MODERNIZAÇÃO DOS PROCESSOS DE AUDITORIA E FISCALIZAÇÃO DA ICP BRASIL

16 

Full text

(1)

FABRÍCIO ABRÃO COSTA

MODERNIZAÇÃO DOS PROCESSOS DE AUDITORIA E

FISCALIZAÇÃO DA ICP BRASIL

FLORIANÓPOLIS – SC

(2)

UNIVERSIDADE DO ESTADO DE SANTA CATARINA – UDESC

PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO

MESTRADO PROFISSIONAL EM ADMINISTRAÇÃO

FABRÍCIO ABRÃO COSTA

MODERNIZAÇÃO DOS PROCESSOS DE AUDITORIA E

FISCALIZAÇÃO DA ICP BRASIL

Dissertação apresentada à Universidade do Estado de Santa Catarina como requisito para a obtenção do título de Mestre em Administração.

Orientador: Carlos Roberto De Rolt

FLORIANÓPOLIS – SC

(3)

FABRÍCIO ABRÃO COSTA

MODERNIZAÇÃO DOS PROCESSOS DE AUDITORIA E

FISCALIZAÇÃO DA ICP BRASIL

Dissertação aprovada como requisito parcial para a obtenção do grau de Mestre em Administração, no curso de Mestrado Profissional em Administração, do Programa de Pós-Graduação em Administração da Universidade do Estado de Santa Catarina.

Banca Examinadora:

Orientador:

_____________________________________________________ Prof. Dr. Carlos Roberto De Rolt

Universidade do Estado de Santa Catarina

Membro:

_____________________________________________________ Prof. Dr. Julio da Silva Dias

Universidade do Estado de Santa Catarina

Membro Externo:

_____________________________________________________ Prof. Dr. Ricardo Felipe Custódio

Universidade Federal de Santa Catarina

(4)
(5)

AGRADECIMENTOS

A Deus, pela vida.

Em especial a meus pais, Regina e Luiz (in memorian), por todos os esforços realizados pela minha educação e formação como pessoa e como profissional.

A toda minha família, pilar de minha vida, meus avós, pais, irmãs, tios, tias, primos e primas, pelo apoio dado sempre que necessário.

A minha namorada Francine, por todo o seu apoio, compreensão, paciência, estímulo e amor.

Ao meu orientador Carlos Roberto De Rolt, pela confiança depositada em minha capacidade em realizar este trabalho.

Aos professores Julio da Silva Dias, Nério Amboni e Mário César Barreto Morais, pelas valiosas sugestões dadas no desenvolvimento da pesquisa.

A meus colegas de trabalho, pela compreensão e apoio sem as quais a execução deste trabalho seria mais difícil.

Aos meus colegas de mestrado, pela troca de experiências e amizade.

A ESAG e seus professores, pela oportunidade dada, pelo conhecimento compartilhado e pelo tempo despendido pela minha formação.

(6)

Estamos nos anos inicias de um tempo que chamo de "década digital" - uma era em que computadores deixarão de ser meramente úteis para se tornar uma parte significativa e indispensável de nossa vida diária.

(7)

RESUMO

A Infraestrutura de Chaves Públicas Brasileira é um conjunto de técnicas, arquiteturas, organização, práticas e procedimentos, definidos pelas organizações governamentais e privadas brasileiras que suportam, em conjunto, a implementação e a operação de um sistema de certificação. O produto das organizações que formam essa estrutura é o certificado digital, um documento eletrônico particular de uma pessoa física ou jurídica que garante a autenticidade, integridade e validade jurídica de documentos em forma eletrônica e possibilita as transações eletrônicas seguras. As entidades que fazem parte da Infraestrutura de Chaves Públicas Brasileira recebem auditorias constantes a fim de verificar e controlar o perfeito seguimento de todas as normas a que estão submetidas, de modo a garantir a qualidade e confiabilidade dos serviços oferecidos. Apesar das entidades da estrutura existirem em função da certificação digital e da confiança nos documentos e nas transações eletrônicas, seus processos de auditoria e fiscalização não utilizam plenamente todas as vantagens e facilidades que o certificado digital, o documento eletrônico e a tecnologia da informação e comunicação proporcionam. O presente trabalho foca na modernização e automação destes processos. Na pesquisa foi utilizada uma abordagem teórico-empírica, utilizando a revisão da literatura sobre o assunto e a pesquisa nos documentos de normatização da Infraestrutura de Chaves Públicas Brasileira para entender a atual situação dos seus processos de auditoria e poder desenvolver e propor uma nova metodologia para a realização automatizada da auditoria e fiscalização das entidades da estrutura, utilizando a certificação digital e o documento eletrônico nas transações entre o sistema e seus usuários. A pesquisa mostra que a nova metodologia proposta é viável e possível de ser implementada, porém necessita de mais estudos para ser possível implantá-la.

PALAVRAS-CHAVE: Infraestrutura de Chaves Públicas. Auditoria. Gestão de

(8)

ABSTRACT

The Brazilian Public Key Infrastructure is a set of techniques, architectures, organization, practices and procedures defined by brazilian government and private organizations that support, in overall, the implementation and operation of a certification system. The product of the organizations that form this structure is the digital certificate, a particular electronic document of a person or organization which guarantees the authenticity, integrity and legal validity of documents in electronic form and enables safes electronic transactions. The entities that are part of Brazilian Public Key Infrastructure receive constant audits to verify and control the perfect follow all the rules that are submitted in order to ensure quality and reliability of services offered. Although the structure of entities exist on the basis of digital certification and trust in the electronic documents and digital transactions, their process of auditing and supervision are not using and enjoying fully all the advantages and facilities that the digital certificate, electronic document and information technology and communication provides. This work focuses on the modernization and automation of these processes. In the survey was used a theoretical-empirical approach using the literature review on the subject and research in normative documents of Brazilian Public Key Infrastructure to understand the current status of their audit procedures and be able to develop and propose a new methodology to achieve automated auditing and supervision of entities of the structure, using digital certification and electronic document transactions between the system and its users. Research shows that the new methodology proposal is feasible and can be implemented, but needs more studies to be able to deploy it.

(9)

LISTA DE ILUSTRAÇÕES

Ilustração 1 – Esquema de criptografia simétrica. ... 33

Ilustração 2 – Esquema de criptografia assimétrica com sigilo de informação. ... 33

Ilustração 3 - Esquema de criptografia assimétrica com autenticidade de informação. ... 34

Ilustração 4 – Analogia entre o documento de identificação digital e o de papel. ... 40

Ilustração 5 – Visão geral da ICP-Brasil. ... 43

Ilustração 6 – Entidades que podem realizar auditoria. ... 50

Ilustração 7 – Entidades da estrutura física da ICP-Brasil... 66

Ilustração 8 – A Organização virtual em rede. ... 70

Ilustração 9 – Eventos do BPMN ... 78

Ilustração 10 – Atividades do BPMN ... 80

Ilustração 11 – Portais do BPMN ... 81

Ilustração 12 – Conexões do BPMN ... 82

Ilustração 13 – Raias do BPMN ... 84

Ilustração 14 – Artefatos do BPMN ... 85

Ilustração 15 – Procedimentos metodológicos adotados. ... 91

Ilustração 16 – Macroprocesso do fluxo de auditoria. ... 95

Ilustração 17 – Início de auditoria por um PLAAO. ... 96

Ilustração 18 – Início de pré-auditoria por credenciamento ... 97

Ilustração 19 – Início de processos de auditoria e pré-auditoria. ... 98

Ilustração 20 – Processo de auditoria por entidade auditora... 100

(10)

Ilustração 22 – Processo de auditoria realizada pela AC Raiz ... 103

Ilustração 23 – Verificação de irregularidades encontradas na auditoria pela AC Raiz. ... 104

Ilustração 24 – Processo de auditoria pré-operacional realizada pela AC Raiz. ... 106

Ilustração 25 – Verificação de irregularidades encontradas na auditoria pré-operacional realizada pela AC Raiz. ... 107

Ilustração 26 – Verificação de auditoria pré-operacional pela AC Raiz. ... 108

Ilustração 27 – Análise do relatório final de auditoria. ... 110

Ilustração 28 – Emissão de parecer sobre o relatório de auditoria ... 111

Ilustração 29 - Emissão de parecer sobre o relatório de auditoria – continuação. .. 112

Ilustração 30 – Processo de fiscalização... 114

Ilustração 31 – Execução de ato de fiscalização de certificação. ... 115

Ilustração 32 – Verificação de irregularidades. ... 117

Ilustração 33 – Verificação de irregularidades – continuação. ... 118

Ilustração 34 – Auditoria pré-operacional de AC e ACT. ... 122

Ilustração 35 – Auditoria pré-operacional de AC e ACT – continuação. ... 123

Ilustração 36 – Parecer sobre o relatório de auditoria. ... 124

Ilustração 37 – Auditoria pré-operacional de AR e PSS de AR. ... 126

Ilustração 38 – Auditoria pré-operacional de AR e PSS de AR - continuação. ... 128

Ilustração 39 – Verificação de auditoria pré-operacional pela AC Raiz. ... 129

Ilustração 40 – Verificação de auditoria pré-operacional pela AC Raiz - continuação. ... 130

Ilustração 41 – Parecer sobre o relatório de auditoria. ... 132

Ilustração 42 – Auditoria operacional de AC e ACT. ... 134

Ilustração 43 – Auditoria operacional de AC e ACT - continuação. ... 135

Ilustração 44 – Parecer sobre o relatório de auditoria. ... 137

Ilustração 45 – Parecer sobre o relatório de auditoria - continuação. ... 138

Ilustração 46 – Auditoria operacional de AR e PSS de AR. ... 140

Ilustração 47 – Auditoria operacional de AR e PSS de AR – continuação. ... 142

(11)

Ilustração 50 – Emissão do parecer sobre o relatório de auditoria. ... 146

Ilustração 51 – Emissão do parecer sobre o relatório de auditoria - continuação. .. 148

Ilustração 52 – Processo de fiscalização... 150

Ilustração 53 – Execução de ato de fiscalização de certificação. ... 152

Ilustração 54 – Correção de irregularidades. ... 154

(12)

LISTA DE ABREVIATURAS

AC – Autoridade Certificadora

AC Raiz – Autoridade Certificadora Raiz

ACT – Autoridade de Carimbo de Tempo

AR – Autoridade Registradora

BPM - Business Process Modeling

BPMN - Business Process Modeling Notation

CG – Comitê Gestor

CNPJ - Cadastro Nacional de Pessoas Jurídicas

DAFN - Diretoria de Auditoria, Fiscalização de Normalização

DES - Data Encryption Standard

DPC - Declarações de Práticas de Certificação

FGTS - Fundo de Garantia por Tempo de Serviço

HSM - Hardware Security Model

ICP - Infraestrutura de Chaves Públicas

ICP Brasil - Infraestrutura de Chaves Públicas Brasileira

(13)

ITU-T - International Telecommunication Union Standardization Sector

PC - Políticas de Certificado

PLAAO – Plano Anual de Auditoria Operacional

PS - Políticas de Segurança

PSC – Prestador de Serviço de Certificação

PSS – Prestador de Serviços de Suporte

SCT - Sistema de Carimbo do Tempo

(14)

SUMARIO

1 INTRODUÇÃO ... 16

1.1 TEMA E PROBLEMA DE PESQUISA ... 16

1.2 OBJETIVOS ... 22

1.2.1 Objetivo Geral ... 22

1.2.2 Objetivos Específicos ... 22

1.3 JUSTIFICATIVA DA PESQUISA ... 22

1.4 ESTRUTURA DA DISSERTAÇÃO ... 26

2 FUNDAMENTAÇÃO TEÓRICA ... 28

2.1 TECNOLOGIA DA INFORMAÇÃO ... 28

2.1.1 A Sociedade da Informação ... 29

2.2 DOCUMENTO ELETRÔNICO ... 30

2.2.1 Criptografia ... 32

2.3 INFRAESTRUTURA DE CHAVES PÚBLICAS ... 35

2.3.1 Certificado Digital ... 35

2.3.2 Lista de Certificados Revogados ... 36

2.3.3 Políticas de Certificação ... 37

2.3.4 Autoridade Certificadora ... 38

2.3.5 Autoridade Registradora ... 39

2.3.6 Repositório de Certificados Digitais ... 40

2.3.7 Arquivo de Certificados Digitais ... 41

2.3.8 Módulo Público ... 41

2.3.9 Entidades Finais ... 41

2.4 ICP BRASIL ... 42

2.4.1 Comitê Gestor ... 44

2.4.2 Comitê Técnico... 45

2.4.3 Autoridade Certificadora Raiz ... 45

2.4.4 Autoridade Certificadora ... 45

2.4.5 Autoridade de Carimbo de Tempo... 46

2.4.6 Autoridade Registradora ... 46

2.4.7 Prestador de Serviços de Suporte ... 46

2.4.8 Auditor Independente ... 46

(15)

2.4.12 Auditorias ... 49

2.4.12.1 Etapas da Auditoria ... 50

2.4.12.1.1 Análise de Documentos Obrigatórios ... 51

2.4.12.1.2 Análise de Documentos Complementares ... 51

2.4.12.1.3 Planejamento dos Testes ... 52

2.4.12.1.4 Auditoria de Campo ... 52

2.4.12.1.5 Encerramento ... 52

2.4.12.2 Auditoria Pré-Operacional de Autoridade Certificadora ... 53

2.4.12.2.1 Segurança de Pessoal ... 53

2.4.12.2.2 Segurança Física ... 55

2.4.12.2.3 Segurança Lógica ... 56

2.4.12.2.4 Segurança de Rede ... 57

2.4.12.2.5 Segurança da Informação ... 58

2.4.12.2.6 Gerenciamento de Chaves Criptográficas e do Certificado da Autoridade Certificadora ... 59

2.4.12.2.7 Gerenciamento do Ciclo de Vida dos Certificados Emitidos ... 60

2.4.12.2.8 Procedimentos Finais ... 60

2.4.12.3 Auditoria Pré-Operacional de Autoridade de Carimbo de Tempo ... 60

2.4.12.4 Auditoria Pré-Operacional de Autoridade Registradora... 61

2.4.12.5 Auditoria Pré-Operacional de Prestador de Serviços de Suporte ... 62

2.4.12.6 Auditoria Operacional de Autoridade Certificadora ... 62

2.4.12.7 Auditoria Operacional de Autoridade de Carimbo do Tempo ... 63

2.4.12.8 Auditoria Operacional de Autoridade Registradora ... 63

2.4.12.9 Auditoria Operacional de Prestador de Serviços de Suporte ... 63

2.4.12.10 Auditorias Operacionais Realizadas por Empresas de Auditoria Independentes ... 64

2.4.12.11 Importância das Auditorias ... 64

2.5 ORGANIZAÇÃO VIRTUAL ... 67

2.5.1 Serviços compartilhados ... 70

2.6 MAPEAMENTO DE PROCESSOS ... 72

2.7 BPMN (BUSINESS PROCESS MODELING NOTATION) ... 76

2.7.1 Noções básicas sobre BPMN ... 77

2.7.1.1 Objetos de Fluxo (Flow Objects) ... 77

2.7.1.1.1 Evento (Event) ... 78

2.7.1.1.2 Atividade (Activity) ... 79

2.7.1.1.2 Portal (Gateway)... 81

2.7.1.2 Objetos de conexão (Connecting Objects) ... 82

2.7.1.2.1 Fluxo de Sequencia (Sequence Flow) ... 82

2.7.1.2.2 Fluxo de Mensagem (Message Flow) ... 82

2.7.1.2.3 Associação (Association) ... 83

2.7.1.3 Raias (Swimlanes) ... 83

2.7.1.3.1 Piscina (Pool) ... 84

2.7.1.3.2 Pista (Lane) ... 84

2.7.1.4 Artefatos (Artifacts) ... 85

2.7.1.4.1 Objeto de dado (Data Object) ... 86

2.7.1.4.2 Grupo (Group) ... 86

2.7.1.4.3 Anotação (Annotation) ... 86

3 PROCEDIMENTOS METODOLÓGICOS ... 87

(16)

3.2 TÉCNICAS DE COLETA E ANÁLISE DOS DADOS ... 89

3.4 LIMITAÇÕES DA PESQUISA ... 92

4 APRESENTAÇÃO, ANÁLISE E INTERPRETAÇÃO DOS DADOS ... 93

4.1 PROCESSOS DE REALIZAÇÃO DE AUDITORIA ... 94

4.2 PROCESSOS DE FISCALIZAÇÃO ... 113

5 APRESENTAÇÃO DO MODELO DE AUTOMAÇÃO PROPOSTO... 119

5.1 PROCESSOS AUTOMATIZADOS PARA REALIZAÇÃO DE AUDITORIAS ... 120

5.1.1 Auditoria Pré-Operacional de AC e ACT ... 120

5.1.2 Auditoria Pré-Operacional de AR e PSS de AR ... 125

5.1.3 Auditoria Operacional de AC e ACT ... 133

5.1.4 Auditoria Operacional de AR, ACs subsequentes e PSS de AR ... 139

5.2 PROCESSOS AUTOMATIZADOS PARA REALIZAÇÃO DE FISCALIZAÇÕES ... 149

6 CONCLUSÕES E RECOMENDAÇÕES ... 156

6.1 TRABALHOS FUTUROS ... 159

REFERÊNCIAS ... 161

ANEXOS ... 169

ANEXO A - CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL ... 171

ANEXO B - CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL ... 200

ANEXO C - CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL ... 214

ANEXO D - FORMULÁRIO DE REQUERIMENTO DE AUDITORIA PARA AUTORIDADES CERTIFICADORAS DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA... 223

ANEXO E - PLANO ANUAL DE AUDITORIA OPERACIONAL ... 226

ANEXO F - MODELO DE E-MAIL COMUNICANDO INÍCIO DE TRABALHOS DE AUDITORIA ... 229

ANEXO G - MAPA DE PROCESSOS IDENTIFICADOS NA ICP-BRASIL ... 231

ANEXO H - CRITÉRIOS PARA EMISSÃO DE PARECER DE AUDITORIA ... 269

CREDENCIADAS NA ICP-BRASIL ... 274

ANEXO J - PROCEDIMENTOS PARA TROCA DE CORRESPONDÊNCIAS ENTRE AS ENTIDADES DE AUDITORIA E O ITI ... 277

ANEXO K – REQUISIÇÃO DE TERMOS COMPLEMENTARES ... 279

ANEXO L – AUTO DE INFRAÇÃO ... 281

ANEXO M – TERMO DE FISCALIZAÇÃO ... 284

Figure

Updating...

References

Updating...

Download now (16 pages)