Segurança, ética e privacidade da informação
Upcoming SlideShare
Loading in...5
×
 

Segurança, ética e privacidade da informação

on

  • 4,991 views

 

Statistics

Views

Total Views
4,991
Views on SlideShare
4,991
Embed Views
0

Actions

Likes
0
Downloads
89
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Segurança, ética e privacidade da informação Segurança, ética e privacidade da informação Document Transcript

    • UNIVERSIDADE DO CONTESTADO – UNC CURSO DE SISTEMAS DE INFORMAÇÃO BRUNA REOLON CAMILA CRISTINA HAEFLIGER CRISTIANE DA SILVA DAIANA DE ÁVILA GUILHERME COLOMBO LUCAS ZAMARKI THIAGO DEPARIS DA SILVASEGURANÇA, ÉTICA E PRIVACIDADE DE INFORMAÇÃO CONCÓRDIA-SC 2012
    • BRUNA REOLON CAMILA CRISTINA HAEFLIGER CRISTIANE DA SILVA DAIANA DE ÁVILA GUILHERME COLOMBO LUCAS ZAMARKI THIAGO DEPARIS DA SILVASEGURANÇA, ÉTICA E PRIVACIDADE DA INFORMAÇÃO Trabalho apresentado como exigência para obtenção de nota na disciplina Fundamentos de Sistemas de Informação, do curso de Sistemas de Informação ministrado pela Universidade do Contestado-Unc campus de Concórdia, sob orientação da professora Gisleine Merib Kichel. CONCÓRDIA-SC 2012
    • 1 INTRODUÇÃO Com a utilização dos computadores em diversas organizações, asinformações começaram a se concentrar em único lugar e o grande volume dessasinformações passou a ser um problema para a segurança. Hoje as empresasdependem cada vez mais da tecnologia da informação para o seu funcionamento,ela automatiza e ao mesmo tempo agrega valores aos processos organizacionais.Já a Internet facilita a comunicação entre empresas, funcionários, cidadãos domundo inteiro. A grande rede está cada vez mais sendo utilizado de formacomercial, o comércio eletrônico já chega a ser considerado como marco para umanova economia. Cartões de crédito, Internet e globalização potencializaram as relaçõescomerciais entre empresas por meio eletrônico, de forma que a segurança não éapenas uma preocupação da empresa, mas também do cliente ou consumidor. Deforma que a própria segurança pode agregar valor ao negócio e a segurança dainformação passou a ser parte da estratégia do negócio ou serviço, podendo setraduzir em lucro aumento de competitividade e fator de redução de perdas. Asegurança da informação não pode mais se ater apenas ao nível operacional, masdeve passar para os níveis estratégicos e táticos.
    • 2 VALOR DA SEGURANÇA DA INFORMAÇÃO Podemos definir Segurança da Informação como uma área de conhecimento que dedica–se à proteção de ativos da informação contra acessos nãoautorizados alterações indevidas.Trataremos do valor de forma geral.2.1 O valor da informação e o tempo O valor de uma informação ou conhecimento muda com o tempo e possuiuma validade. Em alguns casos, a definição do tempo em que a informação deve sermantida se dá por conta de alguma norma ou dispositivo legal. É interessanteobservar que, a depender da arquitetura do sistema de informação o gerenciamentodo armazenamento dos dados, conforme a sua utilização, pode vir a sertransparente para os usuários do sistema. Nestes casos, por exemplo, dados compouca ou nenhuma atualização, ou ainda com utilização mínima, podem sermantidos em meios preferencialmente pouco voláteis, seguros, porém menosdispendiosos. A recuperação da informação pode ser um pouco mais lenta, porém aperiodicidade do acesso justifica a menor desempenho e os menores gastos commanutenção operacional, desde que sua criticidade seja baixa. Há de se considerar,portanto, em termos de tempo, não apenas o custo do processamento dainformação, mas também o custo de recuperação da mesma e seu impacto nonegócio. O valor da informação também pode variar segundo o seu público-alvo dentroe fora da organização.2.2 O custeio da Segurança de Informação A análise de custo em Tecnologia da Informação às vezes não é uma tarefasimples, ainda mais quando se trata da segurança da informação. Nem todos oscustos são diretos. Um sistema mais seguro, por exemplo, pode exigir mais passospara o seu acesso, cadastramento, treinamento e Gerente Executivo. Destacamos dois métodos de custeio que têm o seu uso em serviços deTecnologia da Informação: ABC e TCO. A identificação dos objetos de custeio e os responsáveis pelas atividades irãoproporcionar o detalhamento e o rateio dos custos, o que pode ser aplicado à
    • segurança da informação e dos serviços de TI em geral. A análise de custosalgumas vezes não é fácil, porém quanto mais detalhada puder ser a classificaçãodos custos, maior será a identificação das relações de valor entre a informação e osagentes do negócio.2.3 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO Conforme a NBR 17799/2003, os princípios básicos para que uma informaçãoseja considerada segura, são:• Integridade: propriedade de salvaguarda da exatidão e da totalidade doconjunto de ativos.• Disponibilidade: propriedade de estar acessível e utilizável sob demandapor uma entidade autorizada.• Confidencialidade: propriedade de que a informação não esteja disponívelou revelada a indivíduos, entidades ou processos não autorizados.• Legalidade• Responsabilidade• Autenticidade• Autoridade• Não-repúdio• Auditoria2.4 Classificando os Níveis de SegurançaAs classificações são:• Ostensivo: sem classificação, cujo acesso pode ser franqueado.• Ultra-secreto: dados ou informações referentes à soberania e à integridadeterritorial nacionais, a planos e operações militares, às relações internacionais doPaís, a projetos de pesquisa e desenvolvimento científico e tecnológico de interesseda defesa nacional e a programas econômicos, cujo conhecimento não autorizadopossa acarretar dano excepcionalmente grave à segurança da sociedade e doEstado.
    • • Secreto: dados ou informações referentes a sistemas, instalações, programas,projetos, planos ou operações de interesse da defesa nacional, a assuntosdiplomáticos e de inteligência e a planos ou detalhes, programas ou instalaçõesestratégicos, cujo conhecimento não autorizado possa acarretar dano grave àsegurança da sociedade e do Estado.• Confidencial: dados ou informações que, no interesse do Poder Executivo edas partes, devam ser de conhecimento restrito e cuja revelação nãoautorizada possa frustrar seus objetivos ou acarretar dano à segurança dasociedade e do Estado.• Reservado (que corresponde ao restrito nos EUA): dados ou informaçõescuja revelação não autorizada possa comprometer planos, operações ouobjetivos neles previstos ou referidos.2.5 Conscientização da Importância da Segurança da Informação A classificação de níveis de segurança não é imutável, devendo haver umacompanhamento contínuo dos processos e seus riscos com o passar do tempo. As classificações contribuem para a percepção dos riscos e valoresenvolvidos nos negócios. Aspectos como a disponibilização de um serviço ouinformação também deve fazer parte da classificação. A rapidez da resolução édiretamente proporcional ao custo da solução. O envolvimento maior de todos osexecutivos da organização tem se tornado uma exigência graças ao caráter maisnormativo que vem assumindo a segurança da informação, deixando de ser apenasuma questão técnica. O Novo Código Civil traz maior responsabilidade aos administradores das empresas e autoridades do Governo. Os gerentes de segurança e riscosprecisam se relacionar cada vez mais com os departamentos de sua organização,não apenas com Tecnologia da Informação e Auditoria. Há cada vez mais aspectosjurídicos e de recursos humanos envolvidos.2.6 Auditoria e Monitoramento da InformaçãoOs sistemas de informação devem guardar a origem da informação. Esta informaçãopode ser nova, modificada ou vir a ser excluída. Ao histórico destas operações
    • damos o nome de trilhas de auditoria, contendo basicamente o usuário, a data daoperação, o objeto da operação e o tipo de operação.Na fase de testes do sistema é esperado que o sistema contemple os requisitos paraos quais foi constituído. Uma boa prática é desde o nascedouro prover informaçõessobre os processos e o manuseio dos registros de dados. Trilhas de auditoria podemse fazer necessárias por algumas razões:• informação relevante ao negócio• responsabilização• detecção de comportamento que levante suspeitas. A documentação do sistema e o conhecimento da atividade são de granderelevância para a avaliação dos sistemas de informação e de sua segurança.Contudo o acesso às informações fora dos sistemas também deve ser avaliado. Nadefinição do conteúdo das trilhas de auditoria deve-se levar em conta o volume detransações, pois a inclusão de dados de auditoria pode significar grande consumode recursos. O impacto na aplicação deve ser justificável diante do impacto e darelevância do negócio. Porém elas somente possuem valor se podem se nãopuderem ser corrompidas. Se não houver garantia de que aquele que registra osdados não pode alterar o histórico os eventos de atualização sofridos pelainformação, esta trilha não é confiável. Em alguns casos, recomenda-se a gravação de cópias de arquivos de logs outrilhas de auditoria. As trilhas podem ser replicadas em uma base de dados centralizada ou em um sistema de diretórios centralizado comrestrições de acesso.2.7 Programas de Ataque à Segurança da Informação Quando ocorre o acesso físico ao computador se torna muito mais fácil aquebra de segurança. Programas que atuam de forma ilícita divulgando, alterandoou destruindo informações alheias são denominados de malwares, que significaliteralmente software malicioso. Neste grupo encontramos:• vírus - que, como o nome sugere, é um programa que infecta o seu hospedeiro, umou mais arquivos, e tende a se multiplicar ou a destruir o hospedeiro
    • • worm (verme). eles infesta a rede sobrecarregando recursos, liberando acessos erealizando operações remotas sem que o usuário se dê conta.Colabora com a distribuição de listas de e-mails e mensagens falsas.• spywares – são os softwares espiões, passando informações do computadorinfectado.• cavalo de Tróia – como o nome sugere, é a um programa que debilita as defesasdo hospedeiro se fazendo passar por outro um programa inofensivo ou gerandoinformações falsas. Pode se instalar como um serviço do sistema operacional ou umcertificado, por exemplo.• keyloggers – programas que capturam e divulgam o que se tecla. Os alvos usuaissão as senhas. Faz parte de uma das categorias anteriores. Nem sempre à corrupção ou divulgação de informação do usuário do computadoré o objetivo de uma invasão. Existem programas cuja intenção é a propaganda deserviços ou produtos, tal como ocorre quando janelas indesejáveis surgem em umnavegador Internet sem bloqueador.2.8 Hackers e Crackers Os hackers são pessoas com bastante conhecimento da tecnologia que,muitas vezes colocam os seus conhecimentos a serviço da sociedade. O softwarelivre é um exemplo disso. Os hackers em geral atuam como “justiceiros” por causasque entendem como sendo justas, defendendo a liberdade de conhecimento, aindaque nem sempre sejam legais. Quando se trata de atuação criminosa puramente com o fim de tirar proveitopróprio, a denominação usual é a de crackers. O uso de políticas de privacidade, a alteração de senhas de usuários padrõese limpeza de arquivos temporários, podem evitar que informações pessoais fiquemdisponíveis a outros usuários. Estas informações geralmente são de conhecimentodos hackers e são brechas que podem ser facilmente testadas. Mas nem todas asbrechas são tão fáceis. O Gerente de Segurança da Informação deve se mantersempre atualizado quanto às vulnerabilidades do parque de equipamentos eprogramas instalados a fim de minimizar as alternativas de ataques.
    • 2.9 Principais Ameaças à Segurança da Informação O ataque deriva de uma ameaça inteligente e é uma ação deliberada contraas políticas de segurança do sistema aproveitando-se de uma vulnerabilidade. Os ataques contra a confidencialidade podem ter por resultado a liberação deinformação não autorizada para fins de divulgação ou fraude. Steven M. Bellovin (JAJODIA, 2008), da Universidade de Columbia,lembra que a questão dos ataques internos não é algo novo. Em 1978, Donn Parker, na inauguração de seu livro “O crime por Computador”, estimou que 95% de ataques a computadores foram cometidos por usuários autorizados do sistema. Podemos dizer que se tratava de tempos em que o controle de acesso era incipiente. Porém, a realidade de que nem todos os usuários são confiáveis permanece. O mau uso do acesso é um dos ataques mais difíceis de se identificar. Umusuário pode ter se autenticado, estar autorizado, e ainda assim ser uma grandeameaça à segurança da informação. Para o sistema ele é quem afirma ser, contudobasta o descuido para com o sistema aberto e qualquer um pode se fazer passar poraquele usuário, ficando a segurança do sistema fragilizada. Neste caso teria havidocumplicidade, ainda que passiva, do usuário que dispõe da autorização. Firewall é um dispositivo ou programa que limita o acesso a certos recursosde rede e pode exigir a autenticação do usuário externo para a liberação do acesso. Como alternativa existe a temporização da inatividade de um sistema abertoao usuário. Uma vez que o tempo determinado venha a se extinguir, o usuário severá obrigado a se autenticar novamente. Outra alternativa, quando informaçõescríticas ou mais sensíveis estão para ser acessadas é a confirmação comautenticação biométrica, inviabilizando ou minimizando a troca de usuários. Opreparo da defesa contra ataques ao controle de acesso pode ser mais simples,porém em outros casos, o caminho está primeiramente na detecção do ataque e atémesmo no alerta sobre a situação. A defesa por níveis de acesso pode incluir anecessidade de mais de uma autorização ou tipo de autorização. Em alguns casos adefesa contra os ataques pode significar perda de certa privacidade do usuário, umavez que seu perfil e ações podem estar sendo armazenadas pelo controle.
    • Apesar de mais difícil, a utilização de análise de comportamento do usuárioou de alteração de padrões previstos é uma alternativa no caso deste recurso estardisponível, porém somente se presta em situações em que o perfil do usuário ou dautilização dos recursos estão mapeados. Ataques que se aproveitam de vulnerabilidades técnicas de sistemas deaplicações normalmente precisam de algum tipo de ajuda de dentro. Esta ajudapode não ser intencional por parte do usuário interno, seja por conta decomportamento impróprio, seja por conta de curiosidade quanto aos limites de seusdireitos no sistema.2.10 Criptografia Simétrica e Assimétrica É um tipo de proteção na codificação da mensagem. Quando um canal derede não é seguro, informações como senhas e dados financeiros pode sertransmitidos na rede de forma aberta. Programas denominados sniffers podemidentificar este tráfego. A criptografia é técnica de se escrever em cifra ou código. Sem a criptografianão existiria comércio eletrônico. A criptografia simétrica exige e é feita com umachave, a qual será usada para a posterior decodificação e leitura da informação. Seuuso se faz quando emissor e receptor possuem uma relação de confiança. Algunssistemas têm seu código fonte a estrutura de montagem da chave de criptografia,tornando o código um forte ponto de vulnerabilidade do sistema. A criptografia assimétrica possui uma chave pública e outra privada. Ambas são diferentes, sendo que uma é usada para a codificação damensagem e a outra para a decodificação. A chave privada deve ser doconhecimento apenas de seu proprietário. A chave pública, por outro lado é deconhecimento de ambos, um documento codificado com a chave pública não podeser decodificado por ela, como se fosse uma chave simétrica. Assim, na codificaçãocom a chave pública, o proprietário das chaves confirma a confidencialidade dainformação e a autenticidade .
    • 2.11 Firewall Um firewall pode ser instalado através de software no computador que sedeseja proteger ou como um hardware a parte protegendo toda uma rede. O firewallfunciona como um filtro, podendo determinar o que pode passar de uma rede paraoutra, por quais portas, quais protocolos e ainda fazer auditoria das conexões. Um firewall não é capaz de detectar todo o tipo de ameaça, contudo cada veztem sido incorporadas soluções para a prevenção e detecção de invasões.2.13 Ferramentas de Replicação e Backup Computadores são equipamentos eletrônicos susceptíveis a falhas. Erros que provoquem a perda da informação necessitam de alternativas derecuperação a fim de promover a restauração do serviço. É recomendável que a guarda das mídias de backup se situemgeograficamente distantes do servidor de origem, tal como deve ocorrer no caso dereplicação de recursos para o provimento de um serviço, visto que aindisponibilidade do serviço pode ter causas outras que não um defeito comum emparte do circuito, mas pode ser resultante de desastres como inundações, incêndiose atos de vandalismo ou terrorismo. Simulações de recuperação de incidentesdevem fazer parte do planejamento da gestão de riscos e de continuidade donegócio.2.14 Gestão de Riscos Ter sucesso na Gestão de Riscos não significa necessariamente que nãohaverá riscos, mas que fomos capazes de quantificar o risco e decidir que riscosestamos dispostos a correr. Gestão de riscos é tomar decisões ou mapear os riscosde forma a contribuir para que estas decisões sejam tomadas. Não podemos deixar de considerar na análise de riscos estes três aspectosque devem fazer parte de qualquer porjeto de segurança: Pessoas (cultura,capacitação e conscientização), Processos (metodologias, normas e procedimentos)e tecnologia (ferramentas que comportam os recursos físicos e lógicos).
    • Os relatórios fazem parte da gestão de riscos, a existência de uma políticaque determine a constante avaliação da segurança e dos riscos da informação irácolaborar com informações que darão suporte a novos investimentos ou aidentificação de falhas no processo. Os relatórios de métricas podem ser classificados em operacionais eexecutivos, de acordo com o público-alvo. Os relatórios operacionais podem incluirinformações tais como :• Número de violações ou tentativas de violações da política de riscos.• Número de dispositivos fora dos padrões de configuração da corporação.• Número de contas sem uso ou boqueadas.• Número de diferentes tipos de ataques contra a corporação de origemexterna.• Número de vírus, worms e Trojans que foram bloqueadosRelatórios executivos incluem informações tais como as que seguem:• Montante de tempo de indisponibilidade dos serviço e custos causados porfalhas de configurações ou erros de implementação.• Dinheiro gasto acima ou abaixo do estimado pelos projetos de segurança.• Lista de riscos suportados ou acordados. Questionários de conformidade também podem servir de subsídio a avaliaçãocomparativos e histórica da evolução do processo.
    • 3. A Ética na Segurança da Informação e Privacidade Integridade, disponibilidade e confidencialidade são os três atributos de umainformação que definem a segurança que ela deva possuir. Todos os profissionaisque trabalham com informação sambem disto. A grande dificuldade está nadefinição de quem tem direito a alterar e acessar a informação. Este direito pode ser atribuído por razões técnicas, políticas, autoritárias,dentre outras razões mais ou menos subjetivas que levam a segurança dainformação da esfera técnica para a esfera ética. Uma informação ao serconsiderada confidencial implica na liberação de acesso à mesma a um determinadogrupo enquanto que restringe seu acesso a outros. A linha divisória de quem temdireito e de quem não tem é tênue e sutil. Basta lembrarmo-nos da censura àimprensa para termos clareza disto. O mesmo pode-se dizer do direito a proceder uma alteração da informação.Uma mentira pode se perpetuar caso a mesma não seja corrigida. Quem tem opoder de corrigi-la? O partido nazista utilizava a técnica de dizer uma mesmamentira várias vezes até torná-la verdade. Quem tinha o poder de alterar ainformação que era falsa? E após ela se tornar uma verdade? Os gestores de segurança da informação têm por obrigação entender o poderque as informações possuem e não podem supor que a tecnologia é a soluçãodefinitiva. A tecnologia é burra, a inteligência está nas pessoas. De acordo com Houaiss (2007), a Ética é “a parte da filosofia responsávelpela investigação dos princípios que motivam, distorcem, disciplinam ou orientam ocomportamento humano, refletindo a respeito da essência das normas, valores,prescrições e exortações presentes em qualquer realidade social.” “Ser cuidadoso em usar somente dados precisos, obtidos por meios éticos elegais e usá-los de maneira autorizada”. Pressman (2006) cita como responsabilidades do Engenheiro de Software,ainda, os seguinte princípios, que podem se prestar muito bem a aplicaçõesbaseadas na Web, não somente quanto à ética, mas também envolvendoprivacidade: • Nunca roubar dados para ganho pessoal.
    • • Nunca destruir maliciosamente ou modificar programas, arquivos ou dadosde outra pessoa. • Nunca violar a privacidade de um indivíduo, grupo ou organização. • Nunca invadir um sistema por esporte ou lucro. • Nunca criar ou disseminar vírus ou verme de computador. • Nunca usar tecnologia de computação para facilitar a discriminação ou oassédio. Deste modo é extremamente importante que o usuário tenha consciência decomo utilizar esta ferramenta que atualmente é impossível imaginar o mundo semela. Um exemplo disso é ao utilizar um computador público, pois ao fazer uso domesmo deve ter-se em mente que ele foi e será utilizado por diversas pessoas,então ter cautela em não deixar registradas senhas de qualquer tipo de conta, sejaem rede social, e-mail, sites de banco e afins. Já ao utilizar computadores pessoais e notebooks, manter informaçõesimportantes, fotos e demais em pastas criptografadas e dentro do possível em Hd’sexternos, sendo que se o computador/notebook forem roubados, muitos dados einformações ali encontrados podem ser interpretados e utilizados de má fé podendoprejudicar de maneira direta ou indireta o seu dono. Entretanto, para manter a privacidade na internet, ao criar uma conta emalgum tipo de rede social como Facebook, Orkut, Google+, a pessoa tem que evitarem expor seus dados pessoais á pessoas desconhecidas. A partir de informaçõesdisponibilizadas na rede, muitos golpistas podem se aproveitar e aplicar inúmerostipos de trapaças. É interessante restringir as permissões de visualização de perfil, eadicionar a rede de amigos apenas pessoas conhecidas.
    • 3 CONCLUSÃO Ignorar os riscos não os faz deixar de existir. A informação é um ativo da organização cuja segurança deve fazer parte de suagestão. Cada vez mais as organizações se tornam dependentes das informaçõescontidas em Sistemas de Informação, mas acabam se esquecendo queequipamentos também estão sujeitos à falhas e deve haver um planejamento para acontinuidade do negócio. O valor da informação, a competitividade da empresa, o alinhamento estratégicoirão atuar de forma integrada na justificativa ou não do investimento em segurançada informação. A normatização contribui para o envolvimento maior dosadministradores, de forma que segurança da informação não se trata mais deuma cadeira técnica, mas também requer o conhecimento nos negócios e osreflexos jurídicos envolvidos. A gestão de riscos em Sistemas de Informação tem a missão de fazer com que osriscos não venham superar aquele que a alta direção está disposta a correr. Osriscos dependem do contexto e envolvem pessoas, processos e tecnologia. Asmelhores práticas devem ser aplicadas a toda a organização e as manutenções daspolíticas de segurança devem contar com o apoio da alta direção.4 REFERÊNCIAS
    • BIBLIOGRAFIAAIRMIC; ALARM; IRM. A Risk Management Standard. London, UnitedKingdom: The Association of Insurance and Risk Managers; ALARM TheNational Forum for Risk Management in the Public Sector; Institute of RiskManagement, 2002BACIK, SANDY. Building an Effective Information Security PolicyArchitecture. New York, USA: Auerbach Publications, 2008.BEAL, Adriana. Segurança da Informação: Princípios e Melhores Práticaspara a Proteção dos Ativos da Informação nas Orgnizações. São Paulo:Editora Atlas, 2008.BON, JAN VAN. Fundamento do Gerenciamento de Serviços em TIbaseado na ITIL. Amersfoort, Holanda: itSMF, Van Haren Publishing, 2006.BRANDS, STEFAN A. Rethinking Public Key Infrastructures and DigitalCertificates. London, England: MIT Press, 2000.BRASIL, ABNT. NBR ISO/IEC 17799. Rio de Janeiro: ABNT, 2005.BRASIL, ABNT. NBR ISO/IEC 27001:2006. Rio de Janeiro: ABNT, 2006BRASIL. Decreto nº2.134 de 24 de janeiro de 1997. Brasília: Diário Oficialda União, 1997.63BRASIL. Decreto nº4.553 de 27 de dezembro de 2002. Brasília: DiárioOficial da União de 06/01/2003.
    • BRASIL. Decreto nº5.301 de 9 de dezembro de 2004. Brasília: Diário Oficialda União de 10/12/2004.BRASIL. Lei Federal nº10.406 de 10 de janeiro de 2002- Institui o CódigoCivil. Brasília: Diário Oficial da União, 11/01/2002.BRASIL. Medida Provisória nº2.200 de 24 de agosto de 2001 - Institui aInfra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil. Brasília: DiárioOficial da União de 27/08/2001.BRASIL, TRIBUNAL DE CONTAS DA UNIÃO (TCU). Boas Práticas emSegurança da Informação. Brasília: Tribunal de Contas da União, 2007.BRASIL, TRIBUNAL DE CONTAS DA UNIÃO (TCU). Licitações e Contratos:Orientações Básicas. Brasília: Tribunal de Contas da União, 2006.BRASIL, TRIBUNAL DE CONTAS DA UNIÃO (TCU). Manual de Auditoria deSistemas. Brasília: Tribunal de Contas da União, 1998.BRASIL, TRIBUNAL DE CONTAS DA UNIÃO (TCU). Técnica de Auditoria:Marco Lógico. Brasília: Tribunal de Contas da União, 2001.BRASIL, TRIBUNAL DE CONTAS DA UNIÃO (TCU). Técnica de Auditoria:Benchmarking. Brasília: Tribunal de Contas da União, 2000.CAREY, MARK.