Apostila AUDITORIA-E-CONTROLE-DE-ACESSO

Prévia do material em texto

1 
 
 
AUDITORIA E CONTROLE DE ACESSO 
1 
 
 
Sumário 
NOSSA HISTÓRIA .................................................................................. 2 
INTRODUÇÃO ......................................................................................... 3 
O QUE É O CONTROLE DE ACESSO? ................................................. 4 
CONTROLES FÍSICOS E LÓGICOS ...................................................... 5 
PROCESSOS DO CONTROLE DE ACESSO ......................................... 6 
COMO O CONTROLE DE ACESSO FUNCIONA ................................... 7 
POLÍTICA DE ACESSO ........................................................................... 8 
A IMPORTÂNCIA DO CONTROLE DE ACESSO PARA AS 
INFORMAÇÕES ................................................................................................. 9 
O VALOR DO CONTROLE DE ACESSO .............................................. 11 
TIPOS DE CONTROLE DE ACESSO ................................................... 12 
SEGURANÇA NA ESTAÇÃO DE TRABALHO ...................................... 15 
A GESTÃO DE CONTROLE DE ACESSO ............................................ 16 
AUDITORIA ........................................................................................... 18 
TELECOMUNICAÇÕES ........................................................................ 20 
CONSIDERAÇÕES FINAIS ................................................................... 21 
REFERÊNCIAS ..................................................................................... 23 
 
 
2 
 
 
NOSSA HISTÓRIA 
 
 
A nossa história inicia com a realização do sonho de um grupo de 
empresários, em atender à crescente demanda de alunos para cursos de 
Graduação e Pós-Graduação. Com isso foi criado a nossa instituição, como 
entidade oferecendo serviços educacionais em nível superior. 
A instituição tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a 
participação no desenvolvimento da sociedade brasileira, e colaborar na sua 
formação contínua. Além de promover a divulgação de conhecimentos culturais, 
científicos e técnicos que constituem patrimônio da humanidade e comunicar o 
saber através do ensino, de publicação ou outras normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma 
confiável e eficiente para que o aluno tenha oportunidade de construir uma base 
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições 
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, 
excelência no atendimento e valor do serviço oferecido. 
 
 
 
 
 
 
 
3 
 
 
INTRODUÇÃO 
 
 
Com tantos ataques cibernéticos em escala global ocorridos nos últimos tempos, 
estabelecer o controle de acesso nas informações corporativas se tornou uma 
medida inadiável, afinal os futuros ataques podem acontecer a qualquer instante 
— e sua empresa, é claro, não deseja estar entre as vítimas. 
Manter as propriedades de segurança (confidencialidade, integridade e 
disponibilidade) de acordo com o perfil do seu negócio exige dominar os 
controles físicos e lógicos. Esses controles devem estar em sintonia com a 
avaliação dos pontos fortes e fracos da atual política de segurança da informação 
dentro da assessoria de cobrança. 
Os mecanismos de segurança da informação precisam estar de acordo com as 
políticas de segurança estabelecidas pelo escritório de cobrança. Os modelos 
mais modernos que recomendam comportamentos seguros na rede, de acordo 
com políticas de segurança pré-determinadas, devem ser implantados de forma 
a garantir a preservação de dados com total responsabilidade no controle de 
acesso. 
 
 
 
4 
 
 
O QUE É O CONTROLE DE ACESSO? 
 
 
Trata-se do uso de mecanismos tecnológicos, para limitar as ações e privilégios 
do usuário que utiliza os recursos computacionais da empresa. 
Numa linguagem mais prática, o administrador de sistemas aplica regras a cada 
usuário ou grupo de trabalho. Por sua vez, as regras são definidas pelo gestor 
de TI junto aos demais departamentos que utilizam o sistema. 
Antes das regras serem de fato implantadas, elas são dispostas na política de 
segurança da informação da empresa, junto a uma série de melhores práticas a 
ser adotada para que todos usufruam da tecnologia com responsabilidade e 
segurança. 
Resumindo, o controle de acesso nas informações da empresa faz com que 
limites sejam estabelecidos aos usuários do sistema, garantindo que os dados 
sejam acessados somente pelos funcionários autorizados e que recursos, tais 
como a Internet, possam ser controlados. 
“O controle de acesso, na segurança da informação, é composto dos processos 
de autenticação, autorização e auditoria (accounting). Neste contexto o controle 
de acesso pode ser como a habilidade de permitir ou negar a utilização de um 
objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma 
entidade ativa, como um indivíduo ou um processo). A autenticação identifica 
quem acessa o sistema, a autorização determina o que um usuário autenticado 
pode fazer, e a auditoria diz o que o usuário fez “[WIKIPEDIA,2009]. 
 
5 
 
 
CONTROLES FÍSICOS E LÓGICOS 
 
 
É importante diferenciar as formas de controle existentes dentro de uma política 
de segurança fixada por regras de acesso claras e bem delimitadas. No que se 
refere aos controles físicos, existem barreiras reais que limitam o contato ou 
acesso direto à informação ou parte de sua infraestrutura. 
Já no caso dos controles lógicos, estes se dão geralmente em ambiente 
eletrônico com barreiras virtuais que limitam ou impedem o acesso à informação 
dentro dos sistemas e banco de dados de sua assessoria de cobrança. Nos dois 
casos, a proposta é impedir a exposição não autorizada de seus dados 
confidenciais ao uso por parte de terceiros, resguardando aqueles dados que 
interessam a determinados clientes apenas. 
Uma solução viável para manter a seguridade das trocas de dados é utilizar 
sistemas que armazenem informações em um Data Center com alto nível de 
confiabilidade. 
 
6 
 
 
PROCESSOS DO CONTROLE DE ACESSO 
 
 
Deve-se ter em mente que o controle de acesso se baseia em processos de 
autenticação, autorização e auditoria. No caso dos dois primeiros processos, 
está determinado quem pode acessar o sistema por meio de, normalmente, um 
nome e uma senha constantes, que autenticam a identidade de forma 
credenciada. 
No terceiro processo, o da auditoria ou accounting, trata-se da coleta de 
informações sobre a utilização dos recursos de um sistema pelos usuários de 
forma a resguardar material para futuros gerenciamentos, planejamentos e 
cobranças. As informações desse processo estão ligadas à identidade do 
usuário, à natureza do serviço entregue, ao instante em que ele se inicia e ao 
momento do seu término. Além disso, o controle de acesso com definição de 
horários de trabalho e operações permitidas para cada colaborador também se 
mostra eficiente. 
 
7 
 
 
COMO O CONTROLE DE ACESSO FUNCIONA 
 
 
Quando atrelado ao conceito de Segurança da Informação, o controle de acesso 
subdivide-se em três processos: 
 autenticação; 
 autorização; 
 auditoria. 
Entende-se por autenticação o procedimento, composto de duas etapas, ao qual 
se determina se o usuário está permitido a acessar o sistema. Todos nós 
estamos habituados a passar por mecanismos de autenticação, como, por 
exemplo, ao acessar a conta de e-mail ou internet banking. 
A autorização, apesar de tecnicamente fazer parte da autenticação, é 
configurada com intuito de elencar o que cada usuário pode ou não fazer no 
sistema. Ou seja, atribuir permissões aos colaboradores de acordo com suas 
respectivas posições. 
Por exemplo, um funcionário do almoxarifado não pode acessar informações do 
departamento financeiro,mas a equipe de finanças está autorizada a consultar 
o histórico do almoxarifado para levantar os custos com materiais. 
A auditoria, por sua vez, consiste na coleta de informações sobre o uso dos 
recursos tecnológicos envolvendo cada usuário. Os dados podem ser recolhidos 
em tempo real ou por meio de gravação (batch) — para que sejam analisados 
posteriormente — e utilizados em tomadas de decisão, planejamentos, 
cobranças etc. 
 
8 
 
 
POLÍTICA DE ACESSO 
 
 
É preciso elaborar uma política de controle de acesso, que apontará para os 
requisitos de negócio e para as regras de controle de acesso. 
Na idade média já existia o conceito de controle de acesso, quando uma senha 
ou frase secreta era a chave para entrar em um determinado recinto. 
O conceito de controle de acesso baseia-se em dois princípios: 
1 – Separação de responsabilidades; 
O conceito de separação de responsabilidades implica na separação de um 
determinado processo de modo que cada parte possa ser realizada por uma 
pessoa diferente. Isto obriga os colaboradores a interagir para concluir um 
determinado processo, diminuindo as chances de fraudes. 
2 – Privilégios mínimos. 
O conceito de privilégio mínimo implica na concessão apenas dos privilégios 
mínimos necessários para que uma pessoa realize suas atividades. 
Isto evita o conhecimento de outras possibilidades, que eventualmente poderiam 
levar a incidentes de segurança da informação. Há um termo em inglês para este 
conceito: “need-to-know”. 
O fato é que sem uma política de segurança não tem como conduzir uma 
auditoria para verificar a segurança das informações. Isso porque a política é o 
primeiro passo para o estabelecimento de estratégias. 
Portanto, caso sua organização ainda não tenha dado esse passo, sugerimos a 
leitura do artigo Implementando uma política de segurança de TI em sua 
empresa, no qual apresentamos um roteiro que pode com contribuir com a tarefa. 
 
9 
 
 
A IMPORTÂNCIA DO CONTROLE DE ACESSO PARA AS 
INFORMAÇÕES 
 
 
Os dados sigilosos são bens preciosos para a empresa, seja pela sua 
essencialidade aos processos de negócio, seja pela confidencialidade que deve 
ser atrelada a eles. 
Embora os formatos digitais ofereçam mais segurança à integridade dos 
arquivos, visto que são intangíveis — não ficam fisicamente expostos, como o 
papel, há uma série de ameaças (internas e externas) que os cercam a todo 
instante. 
O nível de controle de acesso influencia diretamente no surgimento dessas 
ameaças, afinal os inimigos externos (malware, vírus e outras pragas virtuais) só 
atingem os computadores quando encontram uma brecha, geralmente criada 
pelo mau uso da tecnologia por parte de colaboradores. 
Por exemplo, um determinado grupo de funcionários tem privilégios para 
navegar livremente na Internet e, com isso, as máquinas ficam sujeitas a 
estabelecer conexões mal intencionadas com páginas infectadas ou receber 
downloads de malware, expondo a invasões todo o sistema e a rede de 
computadores. 
Além de eventos dessa natureza, as ameaças internas, representadas pelas 
pessoas ligadas à empresa, podem vir à tona devido a descuidos ou atitudes 
premeditadas. Um exemplo disso é quando um funcionário ou pessoa infiltrada 
consegue obter as credenciais de outro colaborador para acessar um ambiente 
restrito. 
Todas essas situações não só podem como devem ser resolvidas. A solução, 
entretanto, pode começar pela criação de mecanismos para controlar o acesso, 
assegurando o uso de dispositivos de autenticação modernos e uma eficiente 
política de segurança. 
A imagem abaixo ilustra os mecanismos de controle de acesso 
10 
 
 
 
 
( Fonte: https://www.diegomacedo.com.br/mecanismos-de-controle-de-acesso/ ) 
11 
 
 
O VALOR DO CONTROLE DE ACESSO 
 
 
No caso de um escritório de cobrança, o controle de acesso beneficia ambos os 
lados das transações com processos internos seguros descritos em políticas de 
segurança eficientes. No caso dos credores, as informações confidenciais 
disponibilizadas são preservadas e se tem a certeza de que elas serão 
acessadas apenas por pessoas devidamente autorizadas. 
Por parte do escritório, os supervisores podem ter total controle de quais pessoas 
estão autorizadas a acessar determinado conjunto de informações, com 
objetivos previamente definidos. Assim, garante-se a idoneidade dos processos 
e a transparência na hora de fornecer feedbacks aos credores. 
Um credor sentirá maior confiança na contratação de serviços que sigam 
técnicas confiáveis de controle de acesso. Porém, é necessário que as políticas 
de segurança da informação levem em conta direcionamentos específicos 
baseados nas necessidades práticas do negócio. Para isso, cabe estar atento a 
todas as etapas dos processos, identificando falhas e pontos frágeis a serem 
sanados. 
 
12 
 
 
TIPOS DE CONTROLE DE ACESSO 
 
 
Essa parte do controle de acesso nas informações da empresa pode basear-se 
em regras, conforme já mencionamos, bem como em outras diferentes 
classificações. Dentre os principais tipos de controle que podem ser implantados, 
podemos destacar os controles de acesso: 
Baseado em perfis 
Também conhecido como Role Based Access Control (RBAC), o acesso é 
determinado em função de grupos de trabalho (departamentos) ou do próprio 
cargo exercido pelo usuário. No caso, cada perfil terá seus privilégios aplicados 
de forma genérica. 
Baseado em papéis 
Um controle baseado em papéis (RBAC) é uma abordagem para restringir o 
acesso a usuários autorizados. Controles de acesso baseados em papéis (roles) 
definem os direitos e permissões baseados no papel que determinado usuário 
desempenha na organização. Esta estratégia simplifica o gerenciamento das 
permissões dadas aos usuários. 
Permissões de acesso e direitos sobre objetos são dados para qualquer grupo 
ou, em adição, indivíduos. Os indivíduos podem pertencer a um ou mais grupos. 
Os indivíduos podem adquirir permissões cumulativas ou desqualificado para 
qualquer permissão que não faz parte de todo grupo a qual ele pertence. 
 
Mandatório (Obrigatório) 
Essa classificação de controle costuma ser representada pelo acrônimo MAC 
(Mandatory Access Control). Por meio desta funcionalidade, é o sistema quem 
aplica as políticas de acesso, obedecendo às configurações de privilégio 
(definidas pelo administrador de sistemas) e a rotulação das informações (feita 
pelo gestor da informação). 
13 
 
 
Geralmente, o controle de acesso mandatório é utilizado por empresas que 
trabalham com dados críticos e sensíveis, ou seja, onde o acesso não autorizado 
pode acarretar em graves consequências. 
 Rótulos de sensibilidade - Em sistemas de controle de acesso obrigatório, 
todos os sujeitos e objetos devem ter rótulos associados. Um rótulo de 
sensibilidade de um sujeito define o seu nível de confiança. Um rótulo de 
sensibilidade de um objeto define o nível de confiança necessário para 
acessá-lo. Para acessar um determinado objeto, o sujeito deve ter um 
rótulo de sensibilidade igual ou superior ao requisitado pelo objeto. 
 Importação e exportação de dados - O controle de importação e 
exportação de dados para outros sistemas (incluindo impressoras) é uma 
função crítica de um sistema baseado em MAC. O sistema precisa 
garantir que os rótulos de sensibilidade são mantidos e implementados de 
maneira apropriada, de forma que a informação sensível seja protegida a 
todo momento. 
Dois métodos são comumente utilizados na aplicação de controle de acesso 
obrigatório: 
Controles baseados em regras. Todos os sistemas MAC implementam uma 
forma simples de controle de acesso baseado em regras que define que o 
acesso deve ser dado ou negado com base no: 
 
 rótulo de sensibilidade do objeto 
 rótulo de sensibilidade do sujeito 
Controles de acesso baseados no modelo lattice. Estes controles podem ser 
utilizados em decisões complexas envolvendomúltiplos objetos e/ou sujeitos. O 
modelo lattice corresponde basicamente a um grafo dirigido sem ciclos. Um 
lattice define uma ordenação parcial (ex.: filho->pai->avô) que pode ser usada 
para definir níveis de prioridade. 
Sistemas usando MAC podem ser implementados por meio das seguintes 
técnicas: 
14 
 
 
Listas de controle de acesso (ACLs) definem os direitos e permissões que são 
dados a um sujeito sobre determinado objeto. As listas de controle de acesso 
disponibilizam um método flexível de adoção de controles de acesso 
discricionários. 
Poucos sistemas implementam o MAC. O XTS-400 é um exemplo. 
 
Discricionário 
No controle de acesso discricionário (Discretionary Access Control – DAC), quem 
determina as regras e critérios de acesso às informações é o proprietário do 
recurso. Em poucas palavras, o proprietário da informação define os usuários 
que podem acessá-la. 
Sendo assim, para que esse tipo de controle de acesso nas informações seja 
implantado corretamente, é necessário que todo e qualquer objeto armazenado 
no sistema tenha um proprietário e este concederá as permissões de acesso aos 
devidos usuários. 
Criar o controle de acesso nas informações é um grande passo para assegurar 
a segurança e integridade dos dados contidos no sistema. No entanto, o 
processo requer um bom planejamento para que seja escolhido o mecanismo 
adequado para o perfil da empresa. 
O DAC tem dois conceitos importantes: 
 Todo objeto em um sistema deve ter um proprietário. A política de acesso 
é determinada pelo proprietário do recurso. Teoricamente um objeto sem 
um proprietário é considerado não protegido. 
 Direitos de acesso são estabelecidos pelo proprietário do recurso, que 
pode inclusive transferir essa propriedade. 
Um exemplo de DAC são as permissões tradicionais do sistema UNIX, 
implementadas também no Linux. 
 
 
15 
 
 
SEGURANÇA NA ESTAÇÃO DE TRABALHO 
 
 
No uso de Internet e Intranet, um dos elementos mais vulneráveis sem dúvida é 
a estação de trabalho. As estações dos usuários podem armazenar chaves 
privadas e informações pessoais na maioria das vezes sem proteção ou controle 
de acesso. 
Estações de trabalho estão ainda sujeitas a execução de programas 
desconhecidos sendo expostas a grampos de teclado e outras armadilhas de 
ganho de acesso. 
Segurança física e do ambiente são os recursos que regulamentam tanto o 
controle de acesso, quanto a prevenção de sinistros como tempestades, 
furacões, terremotos, acidentes, roubos e outros. São medidas que previnem a 
empresa contra qualquer ocasião em que possa acontecer a perda, dano ou 
extravio de informações da empresa. 
"Vale lembrar que a comunicação é um fator crítico de sucesso para a correta 
disseminação das políticas corporativas, já que esta provoca alteração no status 
quo de praticamente todos os colaboradores. Consequentemente obriga a 
mudanças na forma de trabalho e qualquer mudança gera resistência, sendo a 
comunicação a melhor maneira de reduzir os conflitos inerentes a 
ela."[FERREIRA, ARAÚJO, 2008, 32]. 
16 
 
 
A GESTÃO DE CONTROLE DE ACESSO 
 
 
Uma gestão de controle de acesso para uso comum é ter controle sobre qual 
funcionário acessou a informação, essa medida é muito importante porque é 
possível controlar o acesso a informação e o descumprimento dela implica em 
que o sistema está falho, pois, qualquer funcionário pode ter acesso a ela sem 
necessidade de se identificar. 
Para ter controle sobre a informação deve-se colocar senhas de acessos para 
que somente o usuário permitido tenha disponível essa informação. Não ter um 
gestor de segurança da informação torna ainda mais complicada a implantação 
dela, e é vital para o sucesso do processo de segurança da informação a 
existência de um gestor da informação. É ele o responsável por autorizar ou 
negar o acesso dos demais usuários da empresa àquela informação. 
Não cumprir os planos de continuidade engavetando ou deixando-os 
desatualizados torna as metas de segurança falhas, pois, deve se manter 
atualizados os planos de continuidade para que a segurança possa ser eficiente 
e assim conseguir os objetivos que a empresa espera. 
A falta de registros sobre as ações realizadas é uma falha grave, pois se deve 
guardar registros para possíveis investigações de auditoria onde é preciso ter 
arquivos para poder efetuar a auditoria. Esses registros devem ter seu tempo de 
duração quando forem arquivados. 
As cópias de segurança devem existir para que em situações de perda possam 
ser recuperadas facilmente, cumprimento de requisitos legais, para ter 
informações sobre o histórico da empresa e para possíveis auditorias. 
 
Um profissional especializado deve ser responsável pelo processo de segurança 
da informação e seu funcionamento, e outros. A falta de um gestor de processo 
de segurança pode pôr todo o processo de implantação da segurança da 
informação a perder, por isso um profissional deve ser responsável pela 
existência do processo de segurança da informação. 
17 
 
 
Empresas de médio e grande porte podem ter um funcionário dedicado a esta 
função, evidentemente desde que ele tenha os pré-requisitos para a mesma. 
Uma gestão que previna uma empresa sobre possíveis erros não pode ser 
deixada de lado, pois é de fundamental importância para o sucesso da 
implementação da segurança na organização. 
Os princípios da segurança devem complementar com as normas já vigentes na 
empresa e não competir com elas. A segurança da informação não deve 
atrapalhar o funcionamento da organização e deve existir um paralelo entre a 
segurança e o negócio para não dificultar os processos da corporação. 
Se a segurança da informação está atrapalhando o funcionamento da empresa 
deve ser revisto as diretrizes da segurança para não afetar o negócio. 
As empresas devem adotar medidas para qualificar seus funcionários sobre o 
que vai ser implantado na organização, como será implantado e como o 
funcionário deve agir de acordo com as novas regras que devem ser seguidas. 
Por esse fato deve-se treinar e conscientizar o funcionário como será o 
funcionamento da organização com as normas de segurança da informação que 
passou a vigorar na empresa. 
18 
 
 
AUDITORIA 
 
 
Uma Auditoria em Segurança da Informação é uma avaliação sistemática da 
segurança do sistema de informação de uma empresa. Basicamente, ela busca 
medir o quanto o sistema está em conformidade com um conjunto de critérios 
estabelecidos. Ou, ainda, podemos dizer que a Auditoria em Segurança da 
Informação conduz uma avaliação com o objetivo de garantir que processos e 
infraestrutura estejam atualizados. 
Durante o processo de auditoria, auditores realizam entrevistas pessoais, 
varredura de vulnerabilidades, análise de configurações do sistema operacional, 
análises de compartilhamentos de rede e análise de dados históricos. A 
preocupação está em como as políticas de segurança estão sendo aplicadas. 
Tradicionalmente a auditoria tem o propósito de verificar categorias de controle 
gerais ou específicas de objetos de auditoria (TCU, 98). Os controles gerais são 
aqueles que de alguma forma aparecem com propriedades ou procedimentos 
gerais e que sempre são observados, por exemplo: controle de acessos físicos 
a instalações. Os controles específicos são aqueles que apontam para um 
determinado elemento de atenção, por exemplo, acesso de usuários a um 
determinado banco de dados. 
Uma vez que a quantidade de informação a ser coletada pode facilmente fugir 
ao controle do auditor e exceder os custos e o tempo estimados, é preciso 
recorrer sempre a uma roteirização de auditoria em mãos. Embora sejam 
possíveis outros tipos de auditoria para formatar uma roteirização, nos 
deteremos nos três tipos já descritos: de gestão, operacional e de conformidade. 
 
Para cada tipo a roteirização terá um conjunto de objetos de auditoria e seus 
respectivos pontosde controle, ou seja, eventos, acontecimentos, ações, 
produtos, espaços ou qualquer coisa que mereça atenção em termos de 
segurança da informação e que seja de interesse auditar, dada a sua criticidade 
para os negócios da organização. 
19 
 
 
A auditoria (accounting) é uma referência à coleta da informação relacionada à 
utilização, pelos usuários, dos recursos de um sistema. Esta informação pode 
ser utilizada para gerenciamento, planejamento, cobrança e etc. A auditoria 
em tempo real ocorre quando as informações relativas aos usuários são 
trafegadas no momento do consumo dos recursos. 
Na auditoria em batch as informações são gravadas e enviadas posteriormente. 
As informações que são tipicamente relacionadas com este processo são a 
identidade do usuário, a natureza do serviço entregue, o momento em que o 
serviço se inicia e o momento do seu término. 
 
( Fonte: http://www.greenconcept.com.br/gsp.html ) 
 
 
 
 
 
 
 
20 
 
 
TELECOMUNICAÇÕES 
 
 
Em telecomunicações, o termo controle de acesso tem os seguintes 
significados: 
 Uma funcionalidade ou técnica utilizada para permitir ou negar a utilização 
de componentes de um sistema de comunicações. 
 Uma técnica utilizada para definir ou restringir os direitos de indivíduos ou 
aplicações de obter dados de, ou colocar dados em, um dispositivo de 
armazenagem. 
 O processo de limitar o acesso a recursos de um sistema de auditoria 
para usuários autorizados, programas, processos e outros sistemas. 
 A função realizada por um controlador de recursos que aloca recursos de 
sistema para satisfazer requisições de usuários de telecomunicações. 
 
21 
 
 
CONSIDERAÇÕES FINAIS 
 
No que tange segurança da informação o termo controle de acesso, pode ser 
composto por autenticação ou autorização. Autenticação tem como objetivo 
confirmar algo ou alguém como autêntico, ou seja, verificar sua identidade, 
identificar quem acessa o sistema. Este processo faz-se necessário para 
proteger informações, e será mais detalhado posteriormente. 
Autorização tem como objetivo determinar o que uma entidade ativa como um 
usuário autenticado ou até mesmo um determinado processo pode fazer, como 
por exemplo, permitir ou negar a utilização de uma entidade passiva, como por 
exemplo um sistema de arquivos, ou então permitir apenas determinadas ações 
sobre esta entidade, alguns exemplos: somente leitura, leitura e gravação, 
controle total entre outros. 
Auditoria objetiva dizer ou apontar o que foi feito por determinado usuário 
autenticado no sistema. Trata-se de logs ou registros das atividades deste 
usuário, o que ele fez em uma determinada data e hora, por exemplo, se ele 
realmente tinha permissão para executar determinada ação em um determinado 
período. 
Existem várias formas de um usuário autenticar-se em um sistema, dentre elas, 
atualmente as mais comuns são através de biometria, ou utilizando um usuário 
e senha. O processo de autenticação e autorização está relacionado com o 
conceito de segurança da informação, cujo propósito é proteger e preservar um 
conjunto de informações, sejam elas de uma organização ou de um indivíduo. 
 
Este processo é necessário para evitar que ações maliciosas roubem, alterem, 
destruam ou até mesmo sequestrem essas informações. O processo de auditoria 
de controle de acesso faz referência as informações que foram coletadas de 
acordo com as atividades realizadas pelos usuários do sistema, podendo 
identifica-los através do processo de autenticação. 
22 
 
 
Conclui-se então que se trata de uma espécie de gerenciamento e planejamento 
de extrema importância a fim de manter a segurança e integridade da 
informação. 
 
 
23 
 
 
REFERÊNCIAS 
 
 
https://decisaosistemas.com.br/controle-de-acesso-entenda-a-importancia-de-
resguardar-informacoes/ 
https://www.strongsecurity.com.br/blog/controle-de-acesso-nas-informacoes-
da-empresa-por-que-fazer/ 
http://www.scurra.com.br/blog/auditoria-em-seguranca-da-informacao-como-
maneira-de-proteger-os-dados-da-empresa/ 
https://www.trf3.jus.br/documentos/rget/seguranca/CLRI/GSIC345_Auditoria_C
onformidade_Seguranca_Informacao.pdf 
https://pt.wikipedia.org/wiki/Controle_de_acesso 
http://intertemas.toledoprudente.edu.br/index.php/ETIC/article/viewFile/5321/50
63