Gestão Da Infra-Estrutura

Gesto da infra-estrutura atravs do ITIL e Gesto de Segurana para T.
Gesto da infra-estrutura
atravs do ITIL e Gesto de
Segurana para T.I.
Ms. Joo Caldas Jr.
1
Gesto da infra-estrutura atravs do ITIL e Gesto de Segurana para T.I
Sumrio
Apresentao................................................................................................4
Captulo 1 - Fundamentos de Segurana da Informao.............................4
1.1. Dados, Informao e Segurana.................................................................... 4
1.2 Evoluo da Informao................................................................................. 6
1.3 Ameaas Informao .................................................................................7
Captulo 2 - Polticas de Segurana da Informao.....................................8
2.1. Aspectos bsicos da Segurana da Informao............................................... 9
2.2. Itens que precisam ser protegidos................................................................. 9
2.3. Principais Tipos de Incidentes...................................................................... 10
2.4. Tipos de Atacantes e as Formas de Proteo................................................ 11
2.5. Polticas de Segurana: um processo de controle.......................................... 13
2.6. Criao de uma Poltica de Segurana.......................................................... 14
Captulo 3 - Gesto de Ativos.....................................................................17
3.1. Classificao e Controle dos Ativos............................................................... 17
3.2. Classificao e Gesto dos Ativos de Informao........................................... 19
Captulo 4 - Segurana em Recursos Humanos.........................................21
4.1. Garantia da Segurana da Informao para as Pessoas................................. 21
Captulo 5 - Segurana Fsica.....................................................................23
5.1. Segurana Fsica: Proteo de ativos........................................................... 23
3.2. Ameaas Segurana Fsica........................................................................ 24
3.3. Proteo contra as ameaas........................................................................ 25
3.4. Instalao e proteo de equipamentos....................................................... 26
Captulo 6 - Segurana Operacional...........................................................28
6.1. Segurana Operacional: processo contnuo................................................... 28
6.2. Separao de Ambientes: Produo, Desenvolvimento e Testes.................... 29
6.3. Terceirizao (outsourcing)....................................................................... 30
6.4. Cpias de Segurana (Backup)................................................................. 30
6.5. Segurana de Dados em Redes.................................................................... 31
Captulo 7 - Controle de Acessos................................................................32

7.1. Controle de acesso...................................................................................... 32
7.2. Gerenciamento de acesso do usurio.......................................................... 33
Captulo 8 - Conformidade.........................................................................35
8.1 Processos de Conformidade.......................................................................... 35
8.2 Penalidades Cdigo Civil Brasileiro...................................................37
8.3 Auditoria de Sistemas.................................................................................. 37
Captulo 9 ITIL e Segurana da Informao...........................................38
9.1. Segurana da Informao de acordo com a ITIL........................................... 38
9.2. Processo SI do Desenho de Servios da ITIL: Gesto de Segurana da
Informao ...................................................................................................... 38
Gerente de Fornecedor ............................................................................... 39
Produtos ..................................................................................................... 39
9.3. Prticas de Segurana da Informao de acordo com a ITIL.......................... 40
Consideraes Finais..................................................................................42
Bibliografia.................................................................................................42
Apresentao
Captulo 1 - Fundamentos de
Segurana da Informao
Caro aluno um prazer acompanh-lo dessa disciplina

to importante para o nosso curso. O objetivo dessa
Caro aluno, segurana um termo que
disciplina apresentar e discutir conceitos e temas
transmite conforto e tranquilidade a quem
referentes gesto de segurana da informao. Esse
desfruta de seu estado. Entender e implementar
assunto tem tirado o sono de muitos gestores e executivos
este estado em um ambiente empresarial exige
de empresas no mercado, pois inicialmente no damos
conhecimento e prticas especializadas que
a ateno necessria para um dos maiores ativos das
somente so possveis com o emprego e uso de
organizaes: a informao.
um cdigo de prticas de segurana. Atualmente,
Estudaremos, durante o curso, os fundamentos tticos
um dos maiores problemas para as organizaes
de segurana da informao com o objetivo de capacitar
definir um processo de controle das suas
voc, no apenas a ter uma viso mais estratgica do
informaes, de forma que esse controle atinja
tema, mas a desenvolver um plano de segurana com uma
um nvel adequado de gesto dos riscos que
viso muito clara de gesto de riscos.
essa organizao esta exposta. Neste captulo

entenderemos melhor o papel da informao e
Alm disso, abordaremos tpicos de estruturao de
a importncia em garantir a segurana ao seu
polticas de segurana e relacionaremos os processos
acesso e manipulao.
crticos da organizao suportados por controles de uso e

manipulao das informaes.
A Segurana Operacional que discutiremos nesse curso
importante para capacit-lo em controles de processos
relacionados na disciplina Gesto de Servios de Suporte
1.1. Dados, Informao e

Segurana
de TI atravs da ITIL, ajudando-o a aplicar os processos

da ITIL com uma viso clara de controle de segurana
para aumentar o nvel de maturidade dos seus processos
e servios de TI.
E por fim, discutiremos uma questo que vem trazendo
grandes dificuldades s empresas para manterem seus
clssica
de
informao, vinda do dicionrio Aurlio diz que o
controles sob uma gesto mais eficiente e em nveis
conjunto de dados acerca de algum de ou de algo.
aceitveis de riscos, que so as leis e regulamentaes.
Estendendo esse conceito, podemos dizer que a informao
A observncia legislao traz para as empresas uma
a interpretao desses dados.
necessidade forte de controles internos e busca no

mercado por profissionais que possam apoiar a empresa
De nada vale um conjunto de dados sem que se faa
em garantir a conformidade dos seus processos.
a interpretao dos mesmos para que se possa extrair

um conhecimento til. Isso, para as organizaes,
Ento, caros alunos, preparem-se para conhecer esse

tema com mais profundidade, pois certamente
definio
necessariamente uma vantagem competitiva.
far a
diferena no seu perfil profissional e na sua carreira.
As organizaes necessitam da informao para

tomar decises objetivando seus fins, como o sucesso de
seus empreendimentos e, muitas vezes, a
Renato Silva de Lima, PMP, ITIL, CGEIT
sua prpria
sobrevivncia. Isto mostra o quo estratgica
informao. Sem ela no h estratgias a serem traadas,
a um segundo plano as estratgias de negcios. Os altos

executivos no tm conseguido usar as novas tecnologias
porque no tm acesso s informaes que precisam em
tempo hbil e a elas de forma adequada.
no h mudanas a serem feitas ou at mesmo no h

empresa a ser gerida.
As empresas fazem parte do mundo dos negcios que
visa o lucro e o retorno dos capitais investidos no menor
tempo possvel. Nesse ambiente de alta competitividade, as
informaes assumem um papel extremamente importante
para o seu sucesso. Com a enorme quantidade de
informaes que so geradas e disponibilizadas todos os dias,
so necessrios critrios para sua seleo e organizao.
Basta entrar na internet, fazer uma busca rpida por
novidades e centenas de sites com novas informaes so
Uma
consequncia
natural
da
importncia
da
informao a extrema vulnerabilidade a que a empresa

se expe caso haja perda de dados vitais, como plantas
de projetos, planilhas de custos, documentos contbeis,
financeiros, etc. Quanto maior for a organizao maior
ser sua dependncia da informao.
apresentados para ns num piscar de olhos! Mas, no dia
seguinte, muitos destes sites j podem estar fora do ar
tambm... ou seja, empresas acabam falindo pelo excesso
de concorrentes ou pela sua ineficincia.
Como j falamos, dados e informaes so coisas
diferentes. Informaes so os dados transformados em
um contedo til. As informaes, para terem ou manterem
o seu valor, devem ter o mesmo significado para todos os
membros da organizao. Um grande problema encontrado
nas empresas so dados distribudos por diferentes sistemas.
Por exemplo, caso seja necessria a emisso de um relatrio
com informaes de um dado departamento, que esto
armazenadas num determinado sistema, cruzando com
os dados de um outro sistema, isso pode se tornar uma
A informao pode estar armazenada de vrias formas:
tarefa de semanas. Mas, as decises estratgicas devem ser
impressa em papel, armazenada em meios magnticos e
tomadas em pouco tempo, pois o mercado movimenta-se
pticos (discos, fitas, CDs, DVDs, pendrives, celulares),
rapidamente e muito dinmico, e qualquer atraso pode
gravadas em imagens fotogrficas e em filmes. No h
representar grandes prejuzos para uma empresa.
mais novidade em seu utilizarem os meios digitais, sejam
Turban (2009), ao definir a dificuldade e a deficincia

em se obter informaes nos ambientes corporativos,
afirma que a TI- Tecnologia da Informao tem sido mais
uma produtora de dados do que de informao, relegando
eles locais ou na nuvem... um caminho sem volta. Mas

a informao pode estar armazenada, tambm, na mente
das pessoas... o que chamado de capital intelectual.
1.2 Evoluo da Informao
Quando lidamos com segurana

da informao, necessrio pensar
em sua confidencialidade, integridade
e disponibilidade, utilizando todos os
recursos disponveis, e no somente os tecnolgicos.
Devemos tratar a informao como um ativo da
empresa com a mesma importncia de qualquer
outro bem material. Por isso, deve ser protegida
contra roubo, problemas ambientais, vandalismo e
dano acidental ou provocado.
Caro aluno, vamos aqui buscar entender um pouco da

evoluo na linha do tempo da histria da informao e/ou
dos meios de comunicao. Desde tempos pr-histricos,
cerca de 20000 anos antes de Cristo (AC), o homem j
sentia necessidade de transmitir e perpetuar a informao
e usava pinturas nas pedras para expressar seu cotidiano.
Em 3500 AC, registrou-se o primeiro sistema de linguagem
escrita na Sumria.
A partir da, vrias civilizaes desenvolveram seus
prprios mtodos de registro e transmisso da informao,
Quanto mais interconectada for uma empresa, maior

ser a complexidade dos sistemas por onde trafegam e
so armazenadas as informaes e, consequentemente,
maior ser a preocupao, critrios e riscos com o
nvel de segurana a ser implantado a fim de garantir
a confidencialidade, confiabilidade, disponibilidade e
integridade da informao.
dentre eles podemos destacar:

Os hierglifos e o papiro no antigo Egito, em 3000 AC
O baco dos Babilnios, em 1800 AC
Os primitivos livros chineses de bambu ou madeira
presos por cordas datados de 1300 AC
O processo chins de fabricao de papel em 105 DC
A fotografia em 1826
O telgrafo eletromagntico de Samuel Morse, em 1837
As primeiras transmisses de rdio em broadcast em 1917
O primeiro computador digital em 1943
A Segurana da Informao trata do conjunto de

controles e processos que visam preservar e proteger
os dados que trafegam ou so armazenados em
qualquer meio. As modernas tecnologias de transporte,
armazenamento e manipulao dos dados, trouxeram
enorme agilidade para as empresas. Mas, ao mesmo tempo,
as evolues tecnolgicas aumentaram exponencialmente
A histria longa e repleta de inventos marcantes e

revolucionrios. Assim, sugerimos que voc assista ao
filme indicado abaixo.
a complexidade dos riscos de controle das informaes.
Interessante navegar na histria e ter uma ideia

Assista ao filme Evoluo dos
Meios de Comunicao
http://youtu.be/JA-LaiIlWFE
Obs: no final do vdeo, a pessoa quis dizer Enjoy
it ou Divirta-se
Temas comuns nos dias atuais, como ataques de

crackers, de engenharia social, vrus, worms, negao de
servio, espionagem eletrnica, so noticiadas a todo o
momento e com isso, so registradas perdas irreparveis
para as organizaes.
prazerosa de como a informao e os meios de comunicao

evoluram! Hoje vivemos, sem dvida, um momento
de grandes mudanas, em que somos constantemente
surpreendidos e abarcados por modernas e complexas
tecnologias de transmisso e armazenamento digital de
dados, inimaginveis em anos atrs.
Diante deste cenrio, definir e implementar um processo

de Segurana da Informao torna-se imprescindvel para
as organizaes, sejam elas do setor pblico ou privado.
Mas o desafio real, desde os primrdios, como nos dias

de hoje, ainda conter as diversas ameaas informao,
algumas das quais j so bastante conhecidas como
Como resultado de uma abordagem mais estruturada

de controles e com o objetivo de criar um processo padro
de gesto da informao, surgiram vrias propostas e
prticas de segurana em todo o mundo, algumas das
quais destacaremos dessa disciplina.
incndios, saques, catstrofes naturais e deteriorao dos

meios de armazenamento.
1.3 Ameaas Informao

medida que a sociedade evoluiu, a preocupao com
a Segurana da Informao, aumentou, principalmente no
quesito confidencialidade. Foram criados vrios processos
de cifragem da informao com a funo de alterar o
contedo das mensagens antes de seu envio. Ao capturar
uma mensagem, o interceptador obtinha apenas um texto
cifrado e no a mensagem original. Em tempos de guerra,
este processo permitiu que segredos e estratgias fossem
trocados de forma segura entre aliados.
Um dos grandes trunfos da grande expanso dos

sistemas computacionais , certamente, a enorme
facilidade de compartilhamento de recursos e informaes.
Os benefcios que a conectividade em rede, em especial
a internet, proporciona a toda a humanidade, dispensam
maiores comentrios. Porm, essa conectividade pode
expor os computadores e as redes como um todo a
diversas ameaas.
A partir da dcada de 1990, o boom da internet trouxe,
tambm, o boom dos ataques s redes de computadores.
A segurana de dados deixou de ser apenas uma
Citando um exemplo bem antigo ligado guerra, o

imperador romano Csar j utilizava cifragem para a troca
de informaes entre seus exrcitos! Hoje temos tecnologias
que se utilizam de mecanismos semelhantes, mas em um
nvel de complexidade muito maior. Mas a histria se repete.
preocupao com a perda da informao devido a um

acidente com os meios de armazenamento ou a uma
operao indevida do usurio.
O surgimento dos computadores e de sua interconexo

atravs de redes mundialmente distribudas permitiu
maior capacidade de processamento e de distribuio das
informaes. Com essa capacidade de comunicao surgiu,
tambm, a necessidade da criao de mecanismos que
evitassem o acesso e a alterao indevida das informaes.
Existe hoje a ameaa real de ataques via rede,

podendo haver roubo das informaes, vandalismos que
as destruam ou simplesmente tcnicas de negao de
servio impedindo o acesso aos dados.
Outra grande fonte de ameaa o ataque interno, esse
muitas vezes at mais difcil de ser contido devido ao nvel
de acesso e a proximidade que usurio tem rede e aos
seus recursos fsicos.
Atualmente a criptografia e a esteganografia so

largamente utilizadas em diversas aplicaes de
transferncia e armazenamento de dados.
Neste caso, como resolver o problema de permitir o

acesso a certas informaes aos usurios autorizados e,
simultaneamente, como negar o acesso aos usurios no
Esteganografia (do grego escrita

escondida) refere-se ao estudo e uso
das tcnicas para ocultar a existncia
de uma mensagem dentro de outra. A
esteganografia o ramo particular da criptologia
que consiste em fazer com que uma forma escrita
seja camuflada em outra a fim de mascarar o seu
verdadeiro sentido.
autorizados?
importante ressaltar a diferena entre

criptografia e esteganografia. Enquanto a
criptografia oculta o significado da mensagem, a
esteganografia oculta a existncia da mensagem.
Fonte: http://pt.wikipedia.org/wiki/Esteganografia
Essa questo remete a outra, o que precisa ser

Exerccios do Captulo 1
protegido, contra quem e como?
1) Nos ltimos anos estamos presenciando o

crescimento de uma nova forma de comunicao e
relacionamento da sociedade chamada Redes Sociais.
As empresas vm ensaiando dia a dia uma forma
eficiente de obter vantagem competitiva do uso das
redes sociais para seus negcios, uma vez que h
grandes oportunidades que devem ser avaliadas.
Nos tpicos seguintes de nosso estudo trataremos de

temas importantes de controles e polticas de Segurana
da Informao para entendermos como reduzir riscos
diante de ameaas s informaes.
O nvel de controle que devemos
implementar dever ser proporcional ao
valor do que se est protegendo. Ou seja,
a implantao do sistema de Segurana da
Informao tem que apresentar um custo benefcio que
torne a tentativa de ataque to cara que desestimule
o atacante, ao mesmo tempo em que ela seja mais
barata do que o valor da informao protegida.
Como deve ser avaliada a viabilidade de

implementar um sistema de segurana da informao
em uma empresa?
2) A histria da segurana da informao vem
desde o antigo Egito. A evoluo do uso da informao
trouxe cada vez mais um grau de complexidade
maior a cada poca. Qual o maior desafio desde os
primrdios diante desse tema?
Quando o valor do ativo que se est protegendo

to alto que o dano causado ao mesmo difcil de ser
calculado, devemos assumir o valor da informao
como altssimo, imensurvel.
Videoaula: Segurana da Informao

Um exemplo a se analisar seria um receiturio de
- Parte 1 - Conceitos e Princpios
medicamentos para pacientes internados em um hospital.
http://www.youtube.com/watch?v=
Este sistema de informao lida com dados que podem
4smKTkeuxvg&feature=related
colocar em risco a vida humana caso a integridade dos

dados seja corrompida. Neste caso no temos como fazer
uma anlise quantitativa do impacto, pois a vida humana
Captulo 2 - Polticas de
Segurana da Informao
tida como mais valiosa do que qualquer outro ativo.

Mesmo no se tratando de um valor imensurvel, temos
ainda os ativos que so vitais para a empresa e aqueles
Uma poltica de Segurana da Informao visa

prover uma orientao e apoio da direo para
a Segurana da Informao de acordo com os
requisitos do negcio e com os controles, as leis
e as regulamentaes relevantes. Ou seja, ela
prope uma poltica que sistematize um processo a
fim de minimizar as preocupaes da direo com
a segurana de seus ativos. Nessa abordagem,
definir controles o fator crtico desse processo.
Neste captulo, os aspectos bsicos, conceitos
e fundamentos da segurana da informao
e os passos para a criao de uma poltica de
segurana sero apresentados e discutidos.
que podem levar a implicaes legais. Quando estamos

lidando com a anlise de valor destes bens, consideramos
que o dano aos mesmos pode resultar em grande perda
de credibilidade da empresa e at mesmo no posterior
encerramento de suas atividades.
Neste contexto, a Segurana da Informao a proteo
da informao em si, dos sistemas, da infraestrutura e dos
servios que a suporta contra acidentes, roubos e erros de
manipulao, minimizando os impactos dos incidentes de
segurana.
sistema) quem ele realmente diz

ser. Em uma rede, este desafio
ainda maior que em uma mquina
local. Na re de, o sistema deve ser
capaz de autenticar um usurio,
mas tambm interceptar e eliminar
aes de pessoas no autorizadas
ou intrusas. Tipicamente, tcnicas
de criptografia so utilizadas para
garantir a autenticidade das mensagens trocadas
entre pessoas autorizadas.
2.1. Aspectos bsicos da Segurana da

Informao
Antes de iniciar nosso estudo sobre poltica de
segurana, vamos considerar primeiro a trade tradicional
da segurana CID: Confidencialidade, Integridade e
Disponibilidade e entender melhor estes conceitos.
Confidencialidade:
Confidencialidade
a
capacidade que um sistema tem de permitir que
apenas a pessoa autorizada possa ter acesso a
determinadas informaes, como a quantidade de
itens vendidos, o nvel do estoque ou o nmero de
clientes, por exemplo.
Integridade: Uma informao ntegra aquela que

correta e verdadeira, no tendo sido corrompida ou
alterada de maneira ilegal. A poltica de segurana
deve ser capaz de proteger a integridade das
informaes para evitar que haja uso indevido das
mesmas.
No repdio: Se a autenticao prova que uma

entidade quem ela diz ser, o no repdio a
incapacidade de uma entidade de negar a execuo
de determinado ato. Ou seja, a incapacidade de
um invasor alegar que no realizou determinada
ao. O objetivo assegurar de que os remetentes
no possam negar terem emitido uma informao e
os receptores no possam negar de t-las recebido.
Autorizao: Uma vez que um usurio tenha

sido autenticado, o sistema deve garantir que ele
no tenha acesso aos dados de outros usurios.
O sistema deve permitir tambm que apenas o
administrador do sistema possa instalar novos
mdulos ou fazer manuteno do sistema. Note que
a autorizao fornecida baseada na autenticao.
Isso faz com que mdulos que implementam tais
caractersticas sejam comumente denominados de
mdulos de Autenticao e Autorizao, sendo esta
uma das partes da rea de Controle de Acesso.
Legalidade: O sistema deve estar de acordo

com a legislao vigente. Segundo Lyra (2008),
legalidade a caracterstica de um sistema estar
aderente a uma determinada lei, norma ou padro.
Disponibilidade: Se as informaes necessrias ao

andamento dos negcios da empresa no estiverem
disponveis, certamente a empresa perder dinheiro.
Assim, as informaes devem estar disponveis na
2.2. Itens que precisam ser protegidos
hora certa para as pessoas certas.
Todos
estes
mecanismos
Embora Confidencialidade, Integridade e Disponibilidade
discutidos at agora precisam
sejam os trs pilares da segurana de dados e sistemas,
ser implementados na poltica
outros aspectos devem ser considerados na poltica de
de segurana.
segurana. Vamos entend-los.
ento garantir que as polticas
Como podemos
iro produzir um sistema seguro?
Autenticao: Autenticao a capacidade de

verificar que uma entidade (usurio, componente ou
Embora
um
sistema
100%
seguro seja impossvel de se
atingir, os conceitos e mtodos que veremos nas prximas
O risco que uma empresa corre, portanto, a
sees e captulos constituem as peas fundamentais para
probabilidade de uma ameaa realmente explorar
a construo de um sistema seguro.
uma vulnerabilidade em seu sistema e o impacto

que esta ao teria no negcio. O risco , portanto,
Mas, o primeiro passo identificar o que precisa ser
a cola que liga uma ameaa a uma vulnerabilidade
protegido. Como veremos ao longo de nosso estudo,
e a probabilidade de que tal cenrio ocorra, alm
em alguns casos podemos optar por simplesmente no
de definir o impacto provvel decorrente desta
proteger determinada informao ou recurso. Isso ocorre,
ocorrncia.
tipicamente, quando o custo de proteger maior que o
Exposio (Exposure): Para que o risco ocorra,
custo da informao em si.
necessrio que uma vulnerabilidade esteja exposta. Na
Vejamos, ento, o que precisa ser protegido.
medida em que se coloca um sistema no configurado
Ativo (Asset): Segundo a norma ISO/IEC-13335-1
de forma correta em funcionamento, este est sendo
(2004), um ativo qualquer coisa que tenha valor
exposto a uma vulnerabilidade (fragilidade) de para
para a organizao. Como vimos, hoje em dia,
uma ameaa e correndo um risco.
informao um dos mais importantes ativos de
Contramedida (Countermeasure): Para evitar
uma empresa, podendo existir de diversas formas,
que um invasor abuse do sistema, so colocados
sendo estas no necessariamente em meio digital.
controles em prtica para mitigar uma perda
Para qualquer empresa, todos os seus dados so
potencial. Uma contramedida pode ser uma
ativos valiosssimos e a perda, comprometimento
configurao de software, um novo hardware ou
ou vazamento destas informaes poder trazer

prejuzos difceis de serem calculados (como
um procedimento que elimina uma vulnerabilidade
ou reduz a chance de um invasor explor-la.
imagem da empresa ser manchada), alm de ter
Controle (Control): Segundo a ABNT NBR ISO/
consequncias legais.
Ameaa
(Threat):
Usamos
geralmente
IEC 27002 (2005), um controle uma forma de
os
gerenciar o risco, incluindo polticas, procedimentos,
termos ameaa, risco e vulnerabilidade como
diretrizes, prticas ou estruturas organizacionais.
sinnimos, mas na verdade cada um deles tem um
Por exemplo, pode-se implementar controles num
significado prprio e uma relao com os demais.
sistema para alertar quando um cliente realiza um
importante que voc entenda esta relao.
login vindo de um IP fora do Brasil.
Segundo Harris (2010), uma ameaa qualquer

perigo potencial para uma informao ou sistema.
2.3. Principais Tipos de Incidentes
Uma ameaa , portanto, quando algum identifica

uma vulnerabilidade no sistema de e a explora de
Caro aluno, como especialistas na rea de segurana,
alguma forma.
devemos saber que os principais tipos de incidentes que
Vulnerabilidade (Vulnerability):Segundo a ABNT
uma empresa pode sofrer so:
NBR ISO/IEC 27002 (2005), uma vulnerabilidade
Escuta no autorizada (Eavesdropping): A escuta

no autorizada se refere monitorao indevida de
trocas de mensagens. Normalmente requer que o
invasor tenha acesso
fsico ao ambiente
e empregue uma
ferramenta capaz de
capturar e duplicar
as informaes que
uma fragilidade de um ativo ou grupo de ativos

que pode ser explorada por uma ou mais ameaas.
Risco (Risk): Risco
a probabilidade de uma
ameaa explorar uma
vulnerabilidade
seu impacto potencial.
10
circulam pela rede. Esta captura normalmente

feita com o uso de um software especfico, chamado
comumente de sniffer.
2.4. Tipos de Atacantes e as Formas de

Proteo
No h um consenso
Impersonicao (Impersonation): Para realizar

algumas aes maliciosas, um invasor pode tentar
na
literatura
passar-se por um usurio autorizado pelo sistema.
comunidade de segurana
A impersonificao a capacidade deste invasor
sobre a nomenclatura e
passar-se por algum para usufruir dos privilgios
classificao dos diversos
de acesso de outrem.
tipos
de
ou
na
atacantes
existentes. A lista abaixo
Alterao indevida (Unauthorized Modication):
apresenta a terminologia mais comumente aceita:
Visando tirar proveito prprio, um invasor pode

tentar alterar alguma informao de forma indevida.
White hat: o hacker do bem, usa seus
importante notar que o invasor tentar alterar
conhecimentos de forma tica e no maliciosa. Tem
a informao quando ela estiver armazenada em
autorizao prvia para tentar invadir um sistema
algum meio (disco rgido, banco de dados, etc.) ou
apenas como forma de aferir sua segurana.
quanto estiver em trnsito pela rede.
Black hat: o hacker do mal, tambm
Invaso (Intrusion) : A invaso acontece se o
conhecido como cracker ou phreacker (quando
atacante obtiver acesso no ao sistema, mas
envolve telecomunicaes). Este tipo de atacante
aos recursos que suportam este sistema, como
normalmente invade sistemas para praticar crimes
servidores ou roteadores, por exemplo. Caso este
ou vandalismo.
acesso permita ao
Grey hat: atua ora como black hat e ora como
invasor um acesso
com
direitos
administrao
white hat. comum que profissionais de Segurana
de
da Informao tenham algum envolvimento com
no
comunidades de black hats, buscando assim
recurso invadido ele
atualizar-se com as novidades da rea.
poder fazer o que

bem
entender
Blue hat: um especialista preocupado em
no
divulgar
sistema.
as
novidades
avanos
da
rea.
Normalmente realiza palestras e estudos na rea
Negao de Servio (Denial of Service - DoS):
e, algumas vezes, responsvel por realizar testes
Neste tipo de incidente o invasor no busca
em sistemas antes de seu lanamento.
comprometer os dados ou acesso ao sistema, mas

no permitir que usurios legtimos tenham acesso
Elite hacker: um especialista reconhecido por
a ele. Embora no comprometa dados, este ataque
sua excelncia ou habilidade na rea. respeitado
prejudica a empresa, que pode estar deixando
e admirado na comunidade em que participa.
de efetuar vendas, j que um usurio pode ficar
Newbie, n00b ou Neophyte: o calouro, o
impossibilitado de comprar, por exemplo.
hacker novato na rea.
Roubo de Informaes (Information Theft):
Script kiddie: o atacante que utiliza ferramentas
Como o prprio nome diz, o roubo de informaes
prontas e publicamente disponveis. Normalmente
ocorre quando o invasor consegue acessar e copiar
no conhece a parte tcnica nem entende direito
dados confidenciais do sistema.
qual a ao e as consequncias de seus atos.
11
Para detectar, impedir ou mitigar os danos causados pelos
mecanismo de segurana. H duas vantagens
atacantes e invasores, a poltica de segurana pode usar
nessa abordagem. Primeiro, nenhum mecanismo
uma ou mais das metodologias que sero listadas a seguir.
fornece defesa contra todos os tipos de ameaas.

Segundo, dessa forma um mecanismo serve de
backup para outro. Por exemplo, exigir de um
Monitoramento (Monitoring): o processo

pelo qual o uso que usurios fazem do sistema
observado, gerando-se registros (logs) dessa
utilizao. Comportamentos considerados como
atividades anormais para seus perfis geram
alertas e podem ocasionar mudanas na forma ou
quantidade de registros gerados para estas aes.
usurio uma confirmao adicional ao seu login e

senha para confirmar uma compra uma forma
de evitar que um invasor adquira itens em nome
deste usurio. Esta confirmao adicional pode ser
uma segunda senha, um cdigo recebido por SMS
no celular cadastrado, o uso de um teclado virtual
Estes logs devem permitir a reconstruo da ao

que gerou o alerta e idealmente devem permitir
o seu uso como evidncias em um processo de
auditoria ou investigao.
ou a confirmao de dados pessoais, como data de

nascimento ou nome da me, por exemplo.
Criptografia (Cryptography): a arte de escrever
em cdigo. A criptografia visa primariamente
Segregao de Rede (Network Segregation and

Isolation): Se a empresa colocar todos os dados e
funes do seu sistema em um nico servidor, o
invasor ter apenas que conseguir acesso a esta
mquina para obt-los. Colocar todos os ovos
em uma mesma cesta no uma boa prtica de
segurana. Para aumentar a segurana, devem-se
implementar mecanismos que isolem os dados e
processos de um sistema de maneira a eliminar ou
minimizar a possibilidade de o comprometimento
de um afetar a segurana do outro.
impedir que um invasor consiga decifrar o contedo

de determinada mensagem trocada entre usurios.
A criptografia desempenha um papel fundamental
principalmente na transmisso de informaes
entre sistemas. Alm da confidencialidade, a
criptografia pode ser utilizada para confirmar a
autenticidade e integridade de uma informao.
Deteco de Intruso (Intrusion Detection): Um

sistema de deteco de intruso, tambm chamado
de IDS- Intrusion Detection System, um software
que realiza uma anlise automatizada de eventos em
tempo real buscando detectar tentativas de intruso.
Testes de Vulnerabilidades e Invaso
(Vulnerability and Penetration Tests): So testes
realizados por profissionais, simulando o possvel
comportamento de um atacante, para verificar
a real efetividade dos mecanismos existentes e
eventuais falhas nestes.
Abstrao
gerenciamento,
dificultar
agrupar
seu
elementos
individualmente.
Ocultamento de Dados (Data Hiding): Como o
prprio nome diz, a tcnica consiste em se prevenir
a exposio de determinados dados colocando-
Defesa em Profundidade (Defense in Depth

Para
facilitar
so aplicados ao grupo e no aos seus membros
plenamente suas atividades.
Layering):
podem-se
Para
similares. Assim, regras, restries e controles
Poltica do Menor Privilgio (Least Privilege

Policy): Significa dar aos usurios do sistema
apenas o que cada um necessita para realizar
ou
(Abstraction):
as
os em um compartimento lgico inacessvel ou
atividades
invisvel para um invasor.
maliciosas deve-se usar mais de um mais de um
12
Ponto de Sufocamento (Choke Point): Esta
problemas de memria ou cenrios no qual no
tcnica consiste em obrigar todos os sistemas ou
possvel garantir a segurana do sistema, ele falha
todo o fluxo de rede a passar por um nico ponto.
de forma controlada, negando acesso a todos. Aps
Neste ponto ento, podem ser implementados
isso, o sistema pode reiniciar, garantindo assim
diversos controles. Este ponto pode ser um firewall
que a recuperao tambm se d de forma segura
que posicionado e isola o sistema de outras redes
(tambm conhecido como Trusted Recovery).
(rede interna, Internet, etc.).
Gerenciamento de Mudana (Change Control/

Management):
Outro
aspecto
importante
da
gesto de segurana o controle das alteraes,

mais conhecido como Gerenciamento de Mudana.
Participao Universal (Universal Participation):
Assim como numa corrente, a segurana de um
sistema to forte quanto a segurana de seu elo
mais fraco. Participao universal quer dizer que todos
os funcionrios da empresa tm responsabilidade na
segurana (e que o administrador tem que delegar
parte destas responsabilidades para pessoas chave
na empresa). Quer dizer ainda que Bob tambm
responsvel por esta segurana.
A mudana uma constante em praticamente
Simplicidade (Simplicity): Quanto mais simples
se garantir que as alteraes possam ser auditadas
qualquer sistema. Mas, estas alteraes podem

apresentar lacunas, sobreposies, falta de objetos, e
mudanas que podem levar a novas vulnerabilidades.
A nica maneira de manter a segurana em face da
mudana geri-la de forma sistemtica. Para isso,
antes de realizar qualquer alterao, deve-se planejar
bem os passos, test-los em um ambiente separado
e registrar as alteraes realizadas. Alm disso, devee que alteraes nos controles e mecanismos de
o sistema, mais fcil para a equipe de segurana
segurana estejam sendo gerenciadas.
entend-lo. E quanto mais entend-lo, mais fcil

ser garantir que ele esteja seguro. Quanto mais
Por ltimo, o Gerenciamento de Mudana deve garantir
complexo o sistema, mais locais onde se esconder
tambm que seja possvel voltar o sistema a um estado
e mais pontos a explorar tero os invasores.
anterior, caso necessrio.
Falhar de Forma Segura (Fail-Safe Stance):

Caso se consiga atacar o sistema e impact-
2.5. Polticas de Segurana: um processo

de controle
lo de tal forma que ele acabe por se tornar

inoperante,
sistema
deve
falhar
negando
acesso ao atacante. Desta forma, mesmo a
Escrever uma poltica de
disponibilidade tendo sido afetada, a integridade

e
confidencialidade
permanecero
segurana uma tarefa muitas
intactas.
vezes difcil e deve contar com o
Um exemplo deste cenrio a tela azul do sistema
envolvimento de vrias pessoas,
operacional Windows. Quando o sistema operacional

encontra estruturas de
de vrios departamentos. Isso
dados inconsistentes,
no deve ser desanimador e
13
no se deve postergar o incio dos trabalhos, em funo
1. Definir o escopo da poltica
da fragilidade a que o negcio pode estar exposto.
Escreva o esboo do documento da poltica de segurana
Se necessrio, para implementar e manter a poltica
para sua organizao. Esse documento deve ser genrico,
definida, pode ser utilizada uma consultoria especializada,
possuir apenas suas ideias principais, sem preocupao
com conhecimento nos diversos aspectos da segurana
com preciso. Escreva tambm uma justificativa para sua
dos bens de informao e das tecnologias que os apoiam.
implantao, sempre com o foco nos negcios e riscos

a que a organizao est sujeita caso no se implante a
Possuir uma poltica de Segurana da Informao
poltica de segurana da informao.
na organizao importantssimo para o sucesso dos

negcios, melhor dizendo, para muitas organizaes
2. Apresentar para as pessoas chaves
fator critico para seu sucesso e sobrevivncia.
Apresente seu esboo para a rea de negcio, gerentes e
Para a criao de uma poltica de segurana da
diretoria com o objetivo de angariar a confiana da iniciativa
informao deve haver uma rea responsvel que se
e o engajamento da direo, que fundamental para a
incumbir de sua criao, implantao, reviso, atualizao
implantao da poltica. Uma vez que estas importantes
e designao de funes. Nessa rea deve ser escolhido um
pessoas estejam convencidas da importncia da poltica,
gestor responsvel pela anlise e manuteno da poltica.
voc ter o prximo desafio que a implantao. No se

esquea que, em algumas situaes, somente com o apoio
Para garantir a aplicao eficaz da poltica, o ideal
da diretoria ser possvel aplicar as polticas criadas.
que o alto escalo, como diretoria, gerentes e supervisores

faam parte dessa rea, alm de usurios, desenvolvedores,
3. Definir um Comit de Segurana da Informao
auditores, especialistas em questes legais, recursos
Crie um comit de poltica de segurana, que dever ser
humanos, TI e gesto de riscos.
formado por pessoas interessadas na criao da poltica,
Os passos para a criao da poltica de segurana so:
mas que devem ser de setores distintos na organizao.

Com base em seu documento, o comit dever assumir as
seguintes atividades e funes:
1.
Escrever as regras para a poltica e definir o
formato do comit;
2.
Definir atribuies, os papis e responsabilidades;
3.
Detalhar os procedimentos e as penalidades para
as violaes da poltica;
4. Aprovar as polticas e processos estipuladas e as
alteraes propostas.
2.6. Criao de uma Poltica de

Segurana
O comit ter a funo legisladora do processo. Porm,

continua sendo do gestor (no caso, voc) a responsabilidade
pela aplicao da poltica. O comit dever se reunir
Caro aluno, os passos apresentados podem ser melhor
periodicamente. As reunies tm o objetivo de avaliar e
detalhados. Vamos descrever, de forma estruturada,
aprimorar a poltica de segurana, os incidentes ocorridos
uma proposta para que voc possa criar uma poltica de
e as aes a serem tomadas para correo.
segurana respeitando uma srie de etapas importantes
O documento criado dever ter uma linguagem simples
que no dia-a-dia das organizaes esquecido. Estas so
a fim de que todos os usurios a entendam e possam
as etapas:
aplic-la com facilidade. Assim, para que a poltica de
14
5. Garantir o controle da poltica
segurana da informao seja eficaz, o documento ser

na verdade, um conjunto de polticas inter-relacionadas.
Trate a poltica e as emendas como regras absolutas com
A partir deste momento, voc j ter em mos um
fora de lei. Uma vez que a poltica j do conhecimento
documento oficial que dever ser aceito e aprovado pela
de todos, no pode haver violaes da mesma. Caso isso
direo.
ocorra, devem ser previstos procedimentos que vo de

advertncias a punies.
4. Divulgar os processo e polticas

As violaes devem ser analisadas em suas causas,
Divulgue a poltica de segurana da informao. A
consequncias e circunstncias, a fim de sejam tomadas
poltica deve ser de conhecimento de todos e compreensvel
as medidas preventivas e corretivas que alterem a poltica
para todos que interagem com a organizao, sejam
para evitar nova situao de vulnerabilidade. Tudo deve ser
usurios internos ou externos. Deve sempre estar nas
documentado. Caso qualquer regra deixe de ser cumprida
mos de quem vai utiliz-la.
e no houver um processo rgido de controle e punio, a

poltica perde sua credibilidade e fora junto aos demais
colaboradores da organizao.
6. Conscientizao
Sugestes so sempre bem-vindas. Incentive que os
colaboradores proponham sugestes de melhorias. Todas
devem ser levadas em considerao. As pessoas que
esto na rotina do trabalho, so as que mais esto aptas
a levantar problemas de segurana na sua respectiva
rea, ou mesmo provoc-los. Algumas sugestes podem
mostrar, tambm, que a poltica possui um rigor exagerado
em determinado item, o que pode tornar seu cumprimento
demasiadamente oneroso. Neste caso devemos analisar as
Porm, de nada vale colocar o documento inteiro nas
crticas e estudar uma forma alter-las ou criar tratamento
mos de quem vai utilizar apenas uma parte. Por exemplo,
de excees para garantir o cumprimento dos processos.
um funcionrio da limpeza precisa saber apenas como limpar
Facilite o canal de comunicao para que as sugestes
um determinado equipamento preservando a integridade
cheguem ao comit. As sugestes pertinentes devero
fsica do mesmo. Caso algum veja um fio desencapado,
virar emendas poltica.
deve saber a quem avisar para solucionar o incidente.
7. Auditar e realizar revises das polticas
A divulgao eficaz aquela que atinge a pessoa certa
Realize reunies peridicas para consolidar a poltica e
com a informao que ela precisa saber. As pessoas no
as emendas. Devero participar todo o comit de poltica
precisam ler toda a poltica de segurana, mas a parte
de segurana, a direo e os responsveis com funes
que lhes interessa. Essa divulgao segmentada fator
delegadas. O objetivo realizar uma anlise crtica
imprescindvel para o sucesso da implantao da poltica.
da poltica de segurana vigente, das emendas e dos
claro que isso no exclui a necessidade de divulgao de
incidentes relatados.
todo o documento caso algum se interesse em l-lo.Uma

forma prtica de divulgao a criao de um website na
Esta avaliao poder gerar um documento atualizado
intranet da empresa. Nele todas as informaes sobre a
que inclua todas as alteraes. Neste ponto devemos
poltica devem ser bem redigidas e separadas em sees,
considerar as sugestes levantadas no item 6 e todas as
facilitando o acesso a polticas gerais s quais todos devem
alteraes do ambiente desde a ltima reunio, para que
obedecer e a polticas especficas para cada setor.
sirvam como base para o processo de reviso.
15
8. Implementar melhorias das revises

Refaa o processo. O novo documento gerado no passo
7 dever passar por todo o processo novamente, a fim de
que entre em vigor e seja do conhecimento de todos.
De forma mais estratgica, quando definimos uma
poltica de segurana estamos, acima de tudo, exercitando
o apetite da organizao ao risco. Com isso, definir um
processo de controle atravs de uma poltica requer
ateno e alinhamento com a linha executiva da empresa,
os riscos e responsabilidades devem ser compartilhados,
como descrevemos no fluxo abaixo que d uma viso mais
estratgica para o processo de criao de uma poltica.
autorizado pelo sistema. a capacidade deste invasor

passar-se por algum para usufruir dos privilgios de
1) Do que depende a implantao da poltica de

segurana?
acesso de outrem.
E.
Refere-se monitorao indevida de trocas
2) Descreva os quatros primeiros passos para

criao de uma poltica de segurana.
de mensagens. Normalmente requer que o invasor
3) Associe os tipos de incidentes com sua descrio

e assinale a resposta correta.
ferramenta capaz de capturar e duplicar as informaes
i- Eavesdropping ii- Impersonation iiiUnauthorized Modication iv- Intrusion

v- Denial of Service vi- Information Theft
feita com o uso de um software especfico, chamado
tenha acesso fsico ao ambiente e empregue uma

que circulam pela rede. Esta captura normalmente
comumente de sniffer.
F. A invaso acontece se o atacante obtiver
acesso no ao sistema, mas aos recursos que suportam
A. Ocorre quando o invasor consegue acessar e
este sistema, como servidores ou roteadores, por
copiar dados confidenciais do sistema.
exemplo. Caso este acesso permita ao invasor um
B. Um invasor pode tentar alterar alguma
acesso com direitos de administrao no recurso
informao de forma indevida. importante notar
invadido ele poder fazer o que bem entender no
que o invasor tentar alterar a informao quando
sistema.
ela estiver armazenada em algum meio (disco rgido,

banco de dados, etc.) ou quanto estiver em trnsito
pela rede.
C. Neste tipo de incidente o invasor no busca
comprometer os dados ou acesso ao sistema, mas no
permitir que usurios legtimos tenham acesso a ele.
a)
i-E
ii-C
iii-A
iv-B
v-F
vi-D
b)
i-F
ii-C
iii-B
iv-E
v-D
vi-A
c)
i-E
ii-D
iii-B
iv-F
v-C
vi-A
ii-E
iii-F iv-C v-B vi-D
d) i-A
D. Para realizar algumas aes maliciosas,

um invasor pode tentar passar-se por um usurio
16
Captulo 3 - Gesto de Ativos

As informaes de uma organizao, base
de dados, manuais, software, etc, podem
ser identificadas como um ativo como tantos
outros
tradicionais
como
imveis,
mveis,
equipamentos, etc. Neste captulo estudaremos

os tipos de ativos de uma empresa, sua
classificao e as ferramentas que ajudam a
realizar o controle e gesto dos ativos.
Existem diversas ferramentas que nos auxiliam no
levantamento e controle dos ativos. A seguir destacamos
3.1. Classificao e Controle dos Ativos
algumas:
Os ativos de uma empresa possuem um valor e devem
Sistemas
ser classificados e valorados. Vamos ver quais so estes
de
gerenciamento
de
redes:
Estes sistemas podem monitorar a existncia
tipos de ativos e sua classificao.
e o estado de ativos da rede como servidores,

referem-se base de
switches, roteadores, etc. Existem implementaes
dados, contratos e acordos, documentao de
proprietrias e um protocolo padro especfico
sistema e infra-estrutura, manuais, material de
para realizar esta tarefa chamado SNMP - Simple
treinamento, procedimentos de suporte e operao,
Network Manager Protocol ou Protocolo Simples de
planos de continuidade de negcio, etc;
Gerenciamento de Rede. Com o SNMP possvel
Ativos de informao:
criar quantos controles forem necessrios, alm dos
Ativos de softwares: so os aplicativos, sistemas,
bsicos, como uso de CPU, espao em disco, etc.
ferramentas de desenvolvimento e utilitrios;

Ativos
fsicos:
computacionais,
renem
de
os
Sistemas de inventrios de computadores:
equipamentos
comunicao,
So sistemas que realizam um levantamento de
mdias
todos os computadores conectados rede e a
removveis;
relao de software e hardware existentes nestes.

Estes sistemas so teis para se identificar qual
Servios: englobam os servios de computao,

comunicaes,
refrigerao,
o parque da empresa e quais ativos (softwares
iluminao,
licenciados ou gratuitos) e passivos (softwares
eletricidade;
comerciais sem a devida licena) esto instalados
Capital Intelectual: so as pessoas e suas
nestes computadores. Estes softwares tambm so
qualificaes, habilidades e experincias;
teis para avisar ao administrador quando houver

alguma alterao nos dados de inventrio.
Ativos intangveis: referem-se reputao e

imagem da organizao.
Sistemas operacionais de rede: Os sistemas

operacionais de rede possuem DACLs - Discretionary
Para que os ativos sejam protegidos, necessrio que
Access Control Lists (Listas de Controle de Acesso
possua um proprietrio que seja uma pessoa ou entidade
Discricional) que atravs de um banco de dados
autorizada a controlar o uso e a segurana dos ativos,
central de contas de usurios fornece acesso aos
tornando-se o responsvel pelos mesmos.
seus recursos (ativos de informao) somente

a quem efetivamente necessita deste acesso.
17
Ferramentas de gerncia de documentos:
conhecer e cumprir essa poltica para uso dos recursos, a
Estas ferramentas servem como uma camada
fim de no comprometer a empresa e ao prprio usurio.
adicional de proteo dos documentos limitando as
Exemplos de ativos que necessitam de cuidados
aes que os usurios autorizados podem realizar
especiais para seu uso so:
com os ativos de informao, por exemplo, um

usurio pode ler, mas no imprimir. Alm de limitar
Internet: Dentro de uma organizao os usurios
o acesso, estas ferramentas podem tambm manter
utilizam um sistema de controle de uso da internet.
um registro das aes realizadas por cada usurio
Qualquer ato realizado em qualquer computador
e das tentativas de executar aes no permitidas.
dentro da empresa registrado como proveniente do

endereo IP registrado da empresa. importante que
Sistemas de controle de backup: O backup
a empresa especifique e divulgue a todos os usurios
uma cpia fiel dos ativos de informao mais
quais os tipos de acesso so permitidos ou proibidos,
importantes da organizao. Por este motivo
de acordo com a lei e com a poltica de segurana
desejvel que se controle exatamente o que
corporativa, alm de manter o registro adequado de
acontece com cada uma das mdias destinadas
todas as comunicaes oriundas da empresa.
a este fim. Existem vrias ferramentas capazes

de controlar as mdias, seu uso e as informaes
Correio eletrnico: O correio eletrnico
contidas em cada uma.
uma ferramenta de comunicao que identifica

o funcionrio e a empresa perante o mundo
Ferramentas de gesto empresarial: Estas
como um nome e sobrenome separados pelo @
ferramentas controlam toda a gesto da empresa.
(l-se at em ingls, que significa em). Esta
Uma boa ferramenta deste tipo capaz de
ferramenta deve ser utilizada somente para uso
separar os proprietrios para cada processo
profissional e nunca, em hiptese alguma, dever
dentro da empresa. Para que se tenha um
ser utilizada em alguma ao suspeita, que poder
controle efetivo dos ativos essencial que cada
comprometer o usurio e a empresa, uma vez que
ativo de informao dentro de uma organizao
est a provedora do recurso que possibilita a
possua uma pessoa responsvel: essa pessoa
ligao com a internet. Existem
denominada proprietrio do ativo. Apesar de a
ferramentas
que monitoram contedo imprprio em correio
palavra proprietrio expressar posse, o proprietrio
eletrnico, mas o melhor e indispensvel recurso
apenas uma pessoa designada pela empresa

para responder pelo ativo e classific-lo quanto
sua necessidade de confidencialidade, integridade
e disponibilidade. Por estes motivos muitos
autores preferem cham-lo de gestor do ativo.
Os proprietrios so os responsveis por cuidar da
manuteno dos ativos, e mesmo que parte deste
processo seja delegada pelo proprietrio a um
terceiro, o mesmo continua sendo o responsvel
primrio pela proteo adequada dos ativos.
Alm de ter um proprietrio, os ativos da empresa
que todos os usurios conheam e forneam
possuem usurios. importante que sejam criadas regras
provas de que conhecem a poltica da empresa em
que comporo a poltica da empresa quanto a permisses
relao ao uso deste recurso.
de uso de informaes e de ativos associados aos recursos
Estaes de trabalho: A estao de trabalho do
de processamento das informaes. Cada usurio deve
usurio, assim como sua mesa ou cadeira, pertence
18
Cada
exclusivamente empresa e deve ser tratada como
informao
dentro
da
empresa
possui
um recurso precioso, sujeito poltica corporativa
necessidade de estar disponvel para uma pessoa ou
e s normas estabelecidas para seu uso. O mal
equipe, ao mesmo tempo em que h a necessidade de um
uso de estaes de trabalho podem impactar na
controle que garanta que ela estar realmente disponvel
produtividade do usurio, na manuteno da
para os usurios legtimos.
confidencialidade dos dados por ele manipulados
A classificao deve levar em conta estas premissas
e na adequao da empresa s leis de direitos
e principalmente o impacto nos negcios pela quebra
autorais, dentre outros problemas.
na disponibilidade, integridade ou confidencialidade das
Notebooks: Os dispositivos mveis circulam
mesmas.
livremente para dentro e fora do permetro da
Para alcanarmos este objetivo de forma eficaz
empresa. necessrio que a empresa tenha uma
necessrio definir categorias de informaes que sejam
poltica bem definida de uso destes equipamentos,
bem objetivas quanto criticidade de cada uma. Esta
que esta seja bem divulgada e conhecida por todos
classificao deve ser feita pelo proprietrio (gestor) da
os usurios de dispositivos mveis. Sempre que
informao em um momento inicial e posteriormente,
possvel esta poltica deve ser reforada por peas
em prazos pr-definidos, quando a informao pode
de tecnologia uma vez que seu mau uso pode
ser reclassificada de acordo com os requisitos de
trazer ameaas aos dispositivos e a outros ativos
confidencialidade que ainda representa para a organizao.
quando este retornar para dentro do permetro de

proteo da empresa.
Alguns ativos de informao

perdem totalmente o valor depois
de
3.2. Classificao e Gesto dos Ativos de

Informao
um
determinado
evento.
O vencedor de um Oscar, por

exemplo,
passa
de
um
dos
segredos mais bem guardados do
Um dos maiores desafios da segurana da informao
mundo para uma informao de
a necessidade de termos a informao ntegra, correta e
domnio pblico em questo de
ao mesmo tempo disponvel somente para os usurios que
horas. Esta informao j poderia
realmente devem acess-la. No haveria muita dificuldade
ser
em se proteger uma informao se ela no precisasse
classificada
originalmente
como Confidencial at a noite
estar disponvel somente para os usurios legtimos.
da entrega e Desclassificada
Uma vez que garantimos que a informao esteja
aps esta data.
disponvel somente para os usurios autorizados,
necessrio garantir que eles faam o uso correto destas
de
responsabilidade
do
proprietrio do ativo, definir a
informaes. Para alcanar este objetivo necessrio
sua classificao, analisando-o
que um processo eficiente de classificao da informao
conforme critrios estabelecidos.
seja estabelecido, garantindo que os usurios dos ativos

de informao conheam a sua real importncia para a
Para que voc execute este processo de classificao
corporao.
de uma informao, siga os seguintes passos:
Outro aspecto relevante da informao que ela no
Identifique quem o proprietrio da informao;

Especifique quais critrios sero utilizados para sua
classificao;
Converse com o proprietrio da informao esta
deve ser enquadrada
em alguma das categorias estipuladas;
mantm o mesmo valor ao longo do tempo. Algumas

tendem a se tornar pblicas ou simplesmente no
interessar a mais ningum.
19
ser utilizados para classificar seus ativos de informao

quanto sua confidencialidade, no existindo uma
forma nica definida para tal. Uma vez definidos estes
nveis, deve haver procedimentos para tratamento e
manuseio.
Indique qual o nvel de segurana necessrio para

proteger cada categoria;
Documente as excees;
Crie rtulos para a informao impressa e digital;
Defina o mtodo que ser utilizado para transferir a
custdia da informao;
Indique um procedimento para a desclassificao da
informao;
Treine e conscientize os usurios.
Requisitos de Integridade: Uma outra

classificao que se deve fazer dos ativos quanto
sua integridade. As necessidades de integridade
podem ter vrios nveis: baixo, mdio, alto, crtico,
etc, de acordo com a necessidade da empresa.
Requisitos de Disponibilidade: Pela tica da
disponibilidade, a classificao da informao
acontece de acordo com a extenso do impacto que
sua falta ocasionar para a organizao. Novamente
no temos categorias pr-definidas, mas podemos
classificar por intervalo de tempo (minutos, horas ou
dias) ou por categorias que correspondam a estes
intervalos (curto, mdio, longo).
Leia o artigo de Carlos Santanna,

que Security Officer, publicado em
http://internativa.com.br/artigo_
seguranca_02.html
No que se segue, vamos ver como faremos a classificao

de um ativo de informao segundo os requisitos de
confidencialidade, integridade e disponibilidade.
...vamos, atravs de uma anlise de riscos

criteriosa, eleger os ativos de informao mais crticos
para sua organizao, saber qual destes est mais
vulnervel no momento, e por consequncia, precisa
ser protegido mais emergencialmente e, finalmente,
tambm determinar onde sero empregados os
maiores recursos (lembrando sempre que as medidas
necessrias conteno dos riscos inicialmente
levantados devero ser aplicadas seguindo a ordem de
criticidade do impacto das perdas deste ativo para os
negcios da companhia).
Requisitos
de
Confidencialidade: Conforme
vimos
anteriormente, os proprietrios dos ativos so os
responsveis por atribuir as permisses de acesso aos
ativoserevis-lasperiodicamenteparaassegurar-sequeo
controlemaisapropriadosejaaplicadoquelainformao.
Esta classificao deve garantir que o princpio de least
privilege seja aplicado, ou seja, cada usurio somente
ter acesso ao que realmente necessita e as permisses
conferidas a este sero somente as necessrias para a
execuo de sua tarefa relacionada quela informao.
A classificao dos ativos deve ser clara e objetiva,
estando presente em todas as informaes,
independente de seu meio de armazenamento. Os
documentos eletrnicos confidenciais, por exemplo,
devem conter dispositivos como mensagens de rodap
1) A informao por si s um ativo para as
organizaes. No entanto todos os ativos possuem um
valor que vai alm do monetrio, mas existe um nvel
de classificao importante para a organizao. Cite
pelo menos trs tipos de ativos e sua classificao.
que garantam que a classificao da informao

sobreviver passagem da informao do meio digital
para o meio fsico impresso. Cabe a cada empresa
analisar quantos e quais nveis de classificao devero
2) Quais os passos que devemos tomar para

classificar um Ativo?
20
necessrio que consideremos os usurios (funcionrios,
Captulo 4 - Segurana em
Recursos Humanos
fornecedores e terceiros) em 3 momentos de sua vida

profissional na organizao: antes da contratao, durante
a execuo das suas funes profissionais e quando do
O processo de segurana da informao deve
encerramento das suas atividades. Para esta ltima fase
contemplar a pessoa humana que o recurso
devemos considerar, tambm, situaes de mudana
que faz efetivamente acontecer a proteo.
de tipo de atividade que exigir diferentes acessos
A implementao de regras, regulamentos,
informao.
polticas,
normas,
bem
como
uso
de
Cada funo profissional deve ter suas
responsabilidades explicitamente definidas
e de conhecimento das pessoas que vo
exerc-la. Antes da contratao o candidato
deve entender sua funo profissional e concordar
com o papel que vai desempenhar na organizao.
As responsabilidades do cargo e suas caractersticas
devem estar definidas em um documento que descreve
as condies de contratao.
programas de proteo da informao, so

aes importantes. Neste captulo trataremos
da pessoa e dos procedimentos de segurana
da informao a ela ligados, relacionando os
cuidados na sua contratao, durante a sua
atuao na empresa e no seu desligamento.
4.1. Garantia da Segurana da

Informao para as Pessoas
nos leva efetiva proteo. A parte restante, crucial, para
Todo candidato a exercer uma funo profissional

na organizao deve ser analisado em relao sua
capacidade de exerc-la, inclusive considerando:
caractersticas pessoais, alinhamento s regras,
exerccio da responsabilidade, experincia profissional,
tratamento adequado de informaes de diferentes
nveis de confidencialidade e concordncia com a
que a ponte cumpra o seu objetivo construda quando
poltica de segurana da organizao.
Contemplar as pessoas na poltica de segurana da

informao, no entanto, uma parte da soluo. Essas
aes conseguem construir apenas metade da ponte que
as pessoas da organizao (funcionrios, prestadores de

servio, executivos e acionistas) tornam-se conscientes
4.2. Cuidados na Contratao de Pessoas
desse assunto. Neste processo de segurana, a atitude de

cada pessoa fundamental. De certa forma, o sucesso da
implantao da segurana depende da pessoa humana.
Quando da seleo da pessoa devem-se considerar

que todas as verificaes obedeam as leis vigentes, as
regulamentaes e os princpios ticos. Essas verificaes
Podemos ter os melhores esquemas e ferramentas, mas se
devem considerar o respeito privacidade aos dados
no tivermos cada pessoa comprometida com a segurana
pessoais de quem ser contratado.
da informao, a possibilidade de fracasso aumenta.
21
Isto , a pessoa precisa estar conscientizada sobre
Em relao anlise das informaes prestadas pelo
os processos, procedimentos e regras da segurana da
candidato, devemos verificar:
informao na empresa.
Se as informaes da experincia profissional esto

adequadas ao cargo/funo;
Se as informaes prestadas so verdadeiras: dados
acadmicos, documentos de identificao pessoal;
A situao de crdito na praa e registros criminais.
processo
(funcionrios,
que
acontece
fornecedores
quando
terceiros)
as
pessoas
deixam
organizao ou mudam o tipo de trabalho, deve acontecer

de forma ordenada e controlada. As pessoas relacionadas
a esses procedimentos devem estar cientes da suas
responsabilidades.
A seleo deve ser feita por profissionais qualificados,

sejam da prpria organizao ou sejam prestadores de
servio. Quando feito por terceiros importante que exista
um contrato para essa prestao de servio que descreva a
responsabilidade desse prestador de servio em relao ao
profissional que ele est selecionando para a organizao.
O usurio que est saindo da organizao ou muda o

seu tipo de trabalho internamente deve conhecer as regras
relacionadas segurana da informao nestas condies.
Leia o artigo de Maurcio Renner
que conta um pouco sobre como
as polticas de segurana na TI
no esto sendo cumpridas pelas
pessoas. Ele diz que os motivos que elas alegam
so diversos (contando at esquecimento).
Publicado em 14/12/2011
As responsabilidades e aes em relao segurana

da informao devem estar destacadas na descrio
das responsabilidades de cada funo profissional.
importante que a pessoa formalize o conhecimento dessas
regras assinando um documento.
Algumas dessas responsabilidades devem continuar
certo tempo aps o trmino de relao profissional entre a
organizao e a pessoa.
Sete em cada dez profissionais admitiram

violar polticas de TI com frequncias variadas,
segundo um levantamento feito pela Cisco com
2,8 mil universitrios e jovens profissionais em 14
pases, incluindo o Brasil. O levantamento Cisco
Connected World Technology traz ms notcias para
os responsveis pelas polticas de segurana de TI.
Trs em cada cinco profissionais (61%) afirmam no
serem responsveis pela proteo de informaes e
dispositivos, acreditando que o departamento de TI
e/ou provedores de servios devem ser responsveis
por isso. J no Brasil, 50% dos entrevistados
acreditam ser responsveis pela segurana de
informaes e dispositivos.
Durante o exerccio das funes profissionais para a

organizao, precisamos garantir que a pessoa:
Esteja consciente dos controles necessrios para a
manuteno do nvel adequado de segurana;
Saiba quais so suas responsabilidades;
Apoie a poltica de segurana e demais regulamentos.
22
catstrofes naturais, problemas com energia e

abastecimento, acesso indevido s instalaes
da empresa, at falhas humanas.
1 ) Quais os cuidados que devemos ter durante
o processo de contratao de profissionais para a
empresa?
5.1. Segurana Fsica: Proteo de ativos
2) Defina se as afirmaes so V-verdadeiras ou

F-falsas e assinale a resposta correta:
A Segurana Fsica prev proteo ao ambiente onde

esto hospedados os ativos da empresa, utilizando-se de
recursos como trancas, guardas, alarmes, cmeras de
vigilncia, entre outros.
( ) O usurio que est saindo da organizao

ou muda o seu tipo de trabalho internamente deve
conhecer as regras relacionadas segurana da
informao nestas condies.
A importncia da Segurana Fsica que uma vez

que esta esteja subjugada, podem-se contornar vrios
controles de segurana lgicos, concedendo acesso direto
ao ativo. Um exemplo disso que, mesmo com vrios
controles, como firewalls, antivrus, etc. uma pessoa m
intencionada pode, atravs do uso de disquetes, CDs
e pendrives, reiniciar um servidor com outro sistema
operacional e ter acesso irrestrito aos dados.
( ) Nenhuma responsabilidade tem uma

pessoa aps o trmino da relao profissional entre
a organizao e a pessoa.
( ) Quando a contratao feita por
terceiros deve existir um contrato que descreva a
responsabilidade desse prestador de servio em
relao ao profissional que ele est selecionando
para a organizao.
A disponibilidade e integridade dos dados so

facilmente destrudas caso se ultrapassem os dispositivos
de segurana fsica.
( ) Todo candidato a exercer uma funo

profissional na organizao deve ser analisado em
relao sua capacidade de exerc-la, inclusive
considerando: caractersticas raciais e opes
sexuais, experincia profissional e concordncia com
a poltica de segurana da organizao.
As seguintes ameaas podem comprometer o ambiente

fsico das organizaes e so objetos dos controles de
segurana fsica:
Naturais e do ambiente: Estas ameaas so de
a) V V F F
difcil controle quando ocorrem e no temos como
b) F F V V
antecip-las. Exemplos
c)
erupes vulcnicas, furaces, tornados, incndios
FVFV
incluem tempestades,
e enchentes. No Brasil no temos muitos efeitos
d) V F V F
naturais como em outros pases, mas as chuvas

trazendo enchentes e o calor gerando incndios em
nossas matas so preocupaes para as quais o
profissional de segurana deve estar atento.
Captulo 5 - Segurana Fsica

Com a evoluo da computao, os ativos
de informao, que na poca dos mainframes
estavam centralizados e faziam uso de uma
nica sala com poucos acessos, se espalharam
pela empresa. Nos atuais ambientes distribudos
e de computao mvel, a abrangncia e
a demanda de proteo fsica do ambiente
aumentou significativamente. Neste captulo
falaremos sobre como os ativos de informao
podem ser protegidos de ameaas fsicas desde
23
Sistemas
de
suprimento
(utilidades):
Correspondem aos elementos que fazem a operao
funcionar e so essenciais em toda a infraestrutura
fsica. Como exemplo temos energia, comunicao,
encanamento. importante que a disposio
desses elementos esteja protegida, pois ex istem
casos conhecidos de tratores que partiram fibras
ticas subterrneas que ligavam prdios, ou um
cano estourar nas instalaes que continham
equipamentos eltricos ou mesmo num datacenter.
A energia eltrica deve ser sempre mensurada para
suportar o ambiente fsico e elementos crticos
O ambiente de segurana fsica disposto de forma

a proteger a infraestrutura contra roubo, destruio e
acessos no autorizados, atravs da adoo de medidas e
controles que garantam a proteo dos diversos ambientes
internos organizao.
Quando tratamos a proteo de permetro de segurana
fsica, podemos estruturar o ambiente em diversas
camadas, conforme mostramos a seguir:
A) reas exteriores das instalaes: So as reas
em que se tem menos controle. Normalmente recomendase o uso de cercas, portes de acesso e monitorao de
devem ter protees adicionais.
entrada do local at a rea sob domnio da organizao.

B) Fronteiras (reas externas): So as reas sob
responsabilidade da empresa, mas que no possuem ativos
a serem protegidos. So normalmente estacionamentos,
jardins e o uso de controles de vigilncia armada e cmeras
de monitorao so suficientes.
C) Entradas das instalaes: Incluem todos os locais
de acesso, como portas, janelas, escadas de incndios e
outros acessos que podem no ser to comuns mas que
permitem acesso organizao. Devem ter controles que
Humanas: As diversas pessoas internas ou externas

que tenham acesso direto ou indireto aos ativos
da empresa com o intuito de afetar os mesmos
esto includos em ameaas de origem humana.
Como exemplo desses tipos de ameaas, temos:
sabotagens, armas ou agentes qumicos, ataque
cracker. Motivaes polticas: muitas vezes uma
empresa pode, dependendo de sua posio no
mercado, sofrer ameaas de terroristas ou competio
acirrada. Isso aumenta com a sua presena no
mercado global, com os produtos que fabrica e com
suas posies poltico-econmicas. Por exemplo,
a empresa pode sofrer com ataques a bombas ou
espionagem industrial, entre outros riscos.
monitorem o acesso e sejam capazes de impedir o acesso

indevido a uma destas entradas.
D) Andares e escritrios: So reas de acesso aos
locais onde h dados sensveis. Todas as pessoas, incluindo
funcionrios, terceiros e visitantes devem estar identificados,
sendo que pelo menos os funcionrios e terceiros devem
possuir foto. Os visitantes s podero ter acesso s reas
de processamento e manipulao de dados acompanhados
de um funcionrio ou um
terceiro identificado, que
seja responsvel pelo
visitante. O acesso a
estas reas depender
tambm
3.2. Ameaas Segurana Fsica
de
uma
autorizao de acesso
para o colaborador e
A melhor forma de identificar o grau de exposio da
para seu convidado.
empresa s diversas ameaas segurana fsica atravs
E) Locais de trabalho e
processamento: So reas onde
o recurso tecnolgico propriamente dito reside, incluindo
computadores, fax, sistemas de comunicao, entre outros.
da realizao de uma anlise de riscos.
24
Esses ativos devem ser protegidos contra o acesso indevido,

alm de roubo dos mesmos. O uso de travas nos racks dos
servidores, bem como cadeado para desktops, notebooks e
impressoras vem crescendo nas organizaes.
3.3. Proteo contra as ameaas
Conforme vimos anteriormente, todos os acessos devem

ser controlados e protegidos. Como forma de controle de
acesso s diversas reas da organizao devemos registrar
quem est acessando e o que pode ser acessado.
que material de fcil combusto fique prximo a reas
Para garantir a proteo devem-se revisar periodicamente as instalaes eltricas e hidrulicas, evitar
protegidas, e garantir que os equipamentos de proteo
como mangueiras e extintores de incndio, estejam em
local de fcil acesso e sejam revisados periodicamente.
O acesso comea com a entrada na empresa.

Funcionrios e terceiros devem estar sempre identificados
com o uso de documento com fotos. O acesso de terceiros
a reas seguras deve ser monitorado.
Os visitantes devem tambm ser identificados e
sempre acompanhados por uma pessoa responsvel da
empresa, sempre que estiver em uma rea no pblica
(como recepes e salas de reunio). Uma rea pblica
pode conter diversas informaes sensveis em papis de
rascunho, flip charts, etc.
O acesso a reas que contenham informaes
sensveis, como o datacenter, deve possuir controles
adicionais, desde autorizao justificada, controles
biomtricos, at monitorao e auditoria.
Recomenda-se que os acessos sejam revisados
periodicamente para verificar se acessos no mais
utilizados ainda esto presentes, bem como remover
Deve-se dar especial importncia ao armazenamento

de mdias de backup nestes locais. O correto que as
mesmas sejam removidas periodicamente para reas
distantes geograficamente e igualmente protegidas para
que sejam resgatadas em caso de perda de parte ou de
todo o banco de dados.
acessos indevidos.
Como vimos, vrias so as origens das ameaas
Uma considerao importante a se fazer quanto ao

local de armazenamento das mdias de backup que elas
possuem o conjunto das informaes mais importantes
para o negcio. Caso sejam interceptadas em seu
transporte ou furtadas em seu local de armazenamento
representam uma grande quebra de confidencialidade.
vrios so os meios de ataque aos ativos de informao a

serem protegidos. Recomenda-se que seja dada especial
ateno ao ambiente fsico onde as informaes estaro
armazenadas, de forma a evitar que ele seja afetado por
Como vimos, as reas seguras devem ser protegidas

ao mximo. A melhor forma de fazer isso utilizarmos
o conceito de necessidade de conhecimento (need to
know). Ambientes considerados seguros no devem ser
identificados a fim de dificultar sua localizao por quem
no autorizado para estar l. Somente aqueles que
precisarem de acesso aos mesmos devem conhecer sua
localizao dentro da organizao e quais os mtodos de
esses tipos de ameaas.
acesso e mecanismos de proteo dos mesmos.

Na estruturao de um datacenter, podemos colocar
a rea de operao em local separado dos equipamentos
que esto processando os dados. No caso de uma visita,
essa seria a nica rea do datacenter a ser apresentada
aos visitantes. Deve-se evitar e at proibir registros de
imagens (fotos e filmes) destes locais.
Fonte: http://www.videocontrolroom.com/home.php
25
Manutenes em equipamentos, sistemas eltricos,

sistema de refrigerao ou qualquer outro sistema que
suporte a operao da empresa s podero ser feitas aps
a programao ser aprovada pelo responsvel por TI e com
superviso ininterrupta de algum colaborador da empresa.
Assim como temos vrios controles lgicos de segurana
(normalmente chamados hardening ou fortalecimento)
durante a implementa-o de equipamentos, tambm
temos que nos preocupar com controles fsicos.
3.4. Instalao e proteo de

equipamentos
Quando abordamos as ameaas vimos que muitas delas
afetam as utilidades (facilities). Estas utilidades garantem
a operao dos equipamentos atravs do fornecimento de
energia e de outros componentes como fornecimento de
gua (para refrigerao) e comunicao.
O fornecimento de energia vital para a operao
dos equipamentos, bem como para o funcionamento de
outras utilidades como ar-condicionado. A interrupo
abrupta pode causar a perda dos dados que estavam
sendo processados no momento da interrupo nos
equipamentos de computao.
Esses controles comeam com a disponibilizao do

equipamento. Deve ser evitado que os dados que esto
sendo manipulados sejam facilmente visualizados pelo
pblico ou por transeuntes (mesmo que funcionrios
identificados) e que os dados de armazenamento fiquem
em locais protegidos.
Para garantir o fornecimento de energia deve-se fazer

uso de sistemas de UPS - Uninterruptible Power Supply
(Suprimento Ininterrupto de Energia) por um perodo
suficiente para continuar a operao at o desligamento
normal dos equipamentos. Para equipamentos que
no possam ficar parados, deve-se considerar o uso de
geradores eltricos, que contemplem inclusive o sistema
de refrigerao do datacenter.
Os controles continuam com a disponibilizao

de infraestrutura eltrica, cabeamento, refrigerao,
umidificao e todos aqueles que visem manter o ativo em
perfeito funcionamento.
Controles para proteo de reas seguras devem
estar disponveis para proteger os equipamentos, como
protees eltricas e hidrulicas. Adicionalmente devese evitar o consumo de alimentos e fumo prximo aos
equipamentos a serem protegidos.
O fornecimento de gua tambm importante, pois

abastece os sistemas de umidificao e refrigerao,
como o ar-condicionado. O fornecimento de utilidades
deve ser monitorado continuamente e o no fornecimento
ou fornecimento inadequado deve ser alertado (pode se
considerar o uso de alarmes).
Este trabalho feito inicialmente pela poltica de

segurana e reforado pela campanha de conscientizao.
Para equipamentos que processem dados sensveis
importante que tenham segurana fsica reforada, como
aloj-los em locais de difcil acesso e controlar esses
Tanto o fornecimento de energia quanto a comunicao

dos dados (lembremos que hoje existem ambientes de
TI distribudos e convergentes) so feitos normalmente
atravs de cabos ou de comunicao em redes sem fio.
acessos, atravs de identificao e auditorias.
Todo o cabeamento deve ser, portanto, protegido quanto

sua interrupo, devendo os cabos passarem por locais
26
manuteno de equipamentos e nos casos de substituio,
protegidos fisicamente e recomenda-se que cheguem ao

datacenter pelo subterrneo, longe do acesso pblico.
devem-se tomar os mesmos passos para o descarte.
Os princpios de cabeamento estruturado exigem

distncia entre os cabos lgicos (redes) e eltricos (energia)
para evitar que o campo magntico do cabo eltrico afete
a transmisso dos dados (nos caso dos cabos passarem
por campos eltricos deve-se usar fibra ptica que evita a
interferncia eltrica).
Deve-se dar especial ateno aos cabos de comunicao
para evitar que no sejam usados para interceptao
no autorizada dos dados. Para tanto se deve fazer uso
de passagens protegidas por canaletas e/ou condutes.
Periodicamente deve-se fazer uma inspeo fsica para
verificar se equipamentos espies (chamados de traps)
foram colocados irregularmente devendo os mesmos ser
removidos.
Toda retirada de equipamento da organizao deve

ser feita de forma controlada e protegida, evitando-se
que equipamentos que contenham informaes sensveis
sejam retirados da empresa sem a devida autorizao.
Muitas vezes a entrada e sada de equipamentos dentro
Quando o equipamento fica obsoleto o mesmo

precisa ser descartado. No entanto esse descarte deve
ser feito com as preocupaes devidas com segurana
da informao. A principal a de remoo completa das
informaes armazenadas em discos.
da empresa no so devidamente controladas ou, por se

tratar de pessoa conhecida, a sada do mesmo permitida.
Para que os equipamentos possam sair da empresa devem
possuir autorizao especfica que dever ser dada por
pessoas claramente identificadas e que essa identificao
Atualmente uma srie de tcnicas para recuperao

de dados, mesmo em discos defeituosos est crescendo
aceleradamente. Isso foi particularmente til no caso do
famoso desastre de 11 de setembro de 2000 em New York,
quando muitas informaes foram recuperadas, mas pode
ser perigoso quando dados so recuperados com o intuito
de usar a informao para fins ilcitos, como espionagem
seja pblica.
Como forma adicional de controle, pode-se estabelecer
limites para perodo de sada de equipamentos alm do
registro do mesmo quando da sua sada e de seu retorno.
industrial.
Leia
sobre
notcias
1) Qual o papel da Segurana Fsica dentro da

Segurana da Informao?
ligadas
Segurana da Informao da
2) Cite pelo menos trs camadas de estruturao

que a Segurana Fsica deve proteger dentro do seu
permetro.
revista Info Exame online:

http://info.abril.com.br/noticias/seguranca/11-desetembro-pode-gerar-golpes-online-09092011-24.shl
3) Defina se as afirmaes so V-verdadeiras ou

F-falsas e assinale a resposta correta:
Dependendo do grau de sensibilidade dos dados, os
( ) Toda retirada de equipamento da organizao

deve ser feita de forma controlada e protegida,
evitando-se que equipamentos que contenham
informaes sensveis sejam retirados da empresa
sem a devida autorizao, mesmo por funcionrios
graduados.
dispositivos de armazenamento devem ser completamente

des-trudos de forma controlada. Outra situa-o no caso
de falha de equipamentos. Deve ser avaliado se os mesmos
devem ser recuperados ou substitudos. Nos casos de
recuperao devem-se seguir os mesmos passos usados na
27
6.1. Segurana Operacional: processo

contnuo
( ) Todo o cabeamento deve ser protegido quanto

sua interrupo, devendo os cabos passarem por
locais protegidos fisicamente e recomenda-se que
cheguem ao datacenter pelo subterrneo, longe do
acesso pblico.
Segurana Operacional o processo usado para

desenvolver controles e polticas sobre hardware, software,
mdias, operaes de recursos e definir a auditoria e o
( ) Quando um equipamento fica obsoleto o

mesmo precisa ser descartado. O mais indicado
do-lo a instituies de caridade ou apenas jog-lo
no lixo.
monitoramento dos processos para garantir proteo e

controles das ameaas e vulnerabilidades mapeadas.
( ) A tecnologia de cabeamento atual dispensa

a inspeo fsica para verificar se equipamentos
espies (traps) foram colocados irregularmente, pois
esto devidamente protegidos deste tipo de ataque.
(
) Atualmente h uma srie de tcnicas
para recuperao de dados em discos, isso foi
particularmente til no caso do desastre de 11 de
setembro de 2000 em New York, quando muitas
informaes foram recuperadas.
A gesto operacional visa assegurar o sucesso das

operaes dos recursos de processamento da informao,
reduzindo os riscos do mau uso ou uso doloso dos
sistemas. Nada mais reconfortante para um ambiente
organizacional, do que ter em mos documentos com
a) V V F F F
procedimentos operacionais detalhados de aes a serem

tomadas nas mais diversas situaes (como inicializar
b) F F V V V
c)
e desligar computadores, gerar cpias de segurana,
VVFFV
manuteno de equipamentos, tratamento de mdias,

segurana e gesto do tratamento das correspondncias
d) V F V F F
e dos ambientes de computadores). Isso demanda um

trabalho rigoroso de anotao de rotinas para posterior
documentao das mesmas. Tambm devem ser previstas
Captulo 6 - Segurana
Operacional
situaes no rotineiras, bem como emergenciais.

Assista ao filme sobre Segurana
Operacional na Aviao:
Gerenciar recursos de processamento de

informaes um conjunto de tarefas que
demanda critrio de manuseio e responsabilidades
bem definidas. Como no se pode prever tudo,
devemos ao menos prever o bvio de todas as
situaes e o improvvel em alguns casos. Dessa
forma, os riscos podero ser minimizados a nveis
at melhores do que o tolervel. Neste captulo
sero apresentadas as diretrizes a serem adotadas
a fim de estabelecer e documentar procedimentos
e responsabilidades pela gesto operacional dos
recursos de processamento da informao, bem
como a importncia da separao de funes e
reas de responsabilidade.
http://youtu.be/9fA0eg_atMU
Caso ache interessante, leia mais sobre o tema em:
h tt p : / / w w w 2 . a n a c . g ov. b r / S G S O 2 / O s % 2 0
quatro%20componentes%20do%20SGSO.asp
Relatar todas as situaes possveis pode parecer um

procedimento enfadonho, e realmente o . Porm, sua
execuo pode ser muito facilitada caso se possa contar
com o auxlio de todos os que esto diretamente ligados a
cada atividade.
28
Basta solicitar que cada um descreva suas atividades

dirias ligadas ao trato com os recursos de processamento
da informao. importante, tambm, pedir para
descreverem as atividades que porventura tenham fugido
da rotina, e aquelas as quais nunca ocorreram, mas que
acreditam que um dia poder ser um fato, ainda que
uma nica vez. Com esses dados em mos, comece a
documentar as atividades, tendo em mente que a pessoa
que ler esse documento, o far pela primeira vez.
Outro cuidado importante, que o acesso a cada

ambiente seja feito apenas por pessoas destinadas a
trabalhar em cada rea. Assim, o ambiente de produo
dever ser acessado apenas por pessoal de produo,
enquanto os ambientes de desenvolvimento e teste s
podero ser acessados por pessoal das reas respectivas.
Comece com as atividades rotineiras e crie os

procedimentos detalhados de cada tarefa, j incorporando
na documentao alguma modificao ao modo como so
feitas, caso ache necessrio. Em seguida trate as situaes
menos bvias.
O detalhamento de procedimentos de segurana de
operao pode ser visto no quadro:
importante que todas as pessoas envolvidas
respeitem as polticas de acesso informao e aos dados
e observem as regras:
Gesto de Release: Devem ser definidas e
documentadas regras claras para transferncia de
softwares da situao de desenvolvimento para a de
produo. Essa transferncia deve ser acompanhada
de processos de gesto de mudanas (notadamente as
prticas propostas pela ITIL Information Technology
Infrastructure Library), onde so previstos processos de
recuperao em caso de falhas.
Segregao de Ambientes: A separao de
ambientes deve ser feita atravs da utilizao de um
ambiente de desenvolvimento independente do ambiente
de produo, porm, com a mesma configurao de
hardware e software. Assim, o software em desenvolvimento
ter uma simulao do ambiente de produo, ao mesmo
tempo em que protege os sistemas de produo contra
mau funcionamento de sistemas, incluso de cdigos
maliciosos, modificao de arquivos ou sistemas.
Plano de Testes: Para garantir a separao dos
ambientes, imprescindvel que os usurios envolvidos
em desenvolvimento e testes, tenham perfis de acesso
diferentes para ambientes de teste e produo, e que
todas as aes sejam registradas.
Controle de ferramentas de desenvolvimento:
As ferramentas de desenvolvimento, como compiladores e
editores, no devem ser acessveis a partir do ambiente do
sistema operacional de produo.
6.2. Separao de Ambientes: Produo,

Desenvolvimento e Testes
Com o objetivo de reduzir os riscos de acessos ou
modificaes no autorizadas aos sistemas operacionais,
necessrio separar os recursos de desenvolvimento, testes
e produo. Esses trs ambientes devero ter recursos de
hardware e software semelhantes.
Os dados reais, necessrios para a

execuo dos servios da organizao,
armazenados em arquivos e bancos de
dados, somente existiro no ambiente de produo,
enquanto dados fictcios existiro nos ambientes de
desenvolvimento e teste. Esta precauo evitar que
os dados reais sejam danificados ou apagados em
processos de desenvolvimento e teste.
29
Controle dos ambientes: Os ambientes de teste

devem trabalhar com dados que no sejam sensveis
organizao, a fim de garantir a confidencialidade destes.
e manter o nvel apropriado de segurana e de entrega de

servios em consonncia com os acordos de entrega de
servios terceirizados.
importante que os contratos tenham descrio clara
As consideraes acima devem ser acompanhadas
de cada servio a ser entregue, seus objetivos e nveis de
de rgido controle, com regras claras que podem ser
qualidade de servio, com critrios de preciso e prazos.
acompanhadas inclusive de punies em caso de violao.
6.3. Terceirizao (outsourcing)
6.4. Cpias de Segurana (Backup)
Terceirizar um processo de gesto pelo qual se
Efetuar cpias de segurana (backup) uma medida

que visa possibilitar a recuperao de informaes em
caso de perda fsica dos dados originais devido a acidentes,
garantindo assim a disponibilidade dos dados.
repassam algumas atividades para terceiros, com os quais

se estabelece uma relao de parceria, ficando a empresa
concentrada apenas em tarefas essencialmente ligadas ao
negcio em que atua.
A poltica de backup deve conter os procedimentos e

a infraestrutura necessrios proteo de todo o acervo
de dados da organizao, possibilitando a continuidade de
Esse conceito tem sido aplicado em diversas empresas

para reduo dos custos de servios diversos, inclusive
de tecnologia, como operao, desenvolvimento, suporte
suas atividades.
a usurios, ou mesmo na prpria rea de segurana da

informao. Porm, questes de segurana envolvidas no
processo de contratao de servios de terceiros, requerem
cuidados para no expor a organizao, uma vez que suas
informaes estaro acessveis a uma parte externa.
Contratar um servio de terceirizao ou outsourcing,
requer uma avaliao profunda da empresa a ser
contratada, observando, por exemplo, seu histrico,
o tempo de atuao no mercado, referncias de outros
clientes que a contrataram, a qualidade do servio prestado
Devem ser definidos quais dados e sistemas devem
e a qualificao dos profissionais.
ser copiados, e com que frequncia. Devem ser tomadas

vrias medidas de como fazer cpias de segurana para
Alm disso, mesmo com a terceirizao, as organizaes
a eficincia do processo. Dentre elas podemos destacar:
continuam com uma gerncia do processo.
O acesso fsico aos dados copiados deve ser protegido

contra destruio fsica e contra acessos no autorizados;
Configuraes de sistemas devem ser guardadas
separadamente;
Execuo de cpias de segurana deve ser peridica
e com agendamentos a serem seguidos rigorosamente;
Todos os backups devem ser identificados quanto ao
seu contedo e data de atualizao;
Determinar quem tem os privilgios de execuo de
backup e recuperao (restore) dos dados;
Determinar quem pode enviar ou requisitar cpias de
segurana fora do local;
As prticas de mercado tratam sobre o gerenciamento

de servios terceirizados, com o objetivo de implementar
30
c) Devem ser implementados controles para proteo

da confidencialidade e integridade dos dados trafegando
sobre redes pblicas e sem fio, bem como aos sistemas
e aplicaes a elas conectadas. Esse quesito passa pela
implantao de medidas de segurana como criptografia e
VPNs Virtual Private Networks ou Redes Virtuais Privadas.
extremamente recomendvel que haja duas cpias

de segurana: uma no local prximo ao equipamento e
outra no local fsico protegido e diferente do original. Essa
medida ir garantir que, caso haja uma catstrofe, ainda
ser possvel conseguir recuperar os dados;
Deve-se testar periodicamente se as cpias de
segurana so utilizveis, ou seja, se no se deterioraram;
Criar procedimentos para recuperao de cpias de
segurana no menor tempo possvel.
d) Alm de possuir meios para intimidar possveis

ataques, imprescindvel que a rede tambm disponha de
meios para detectar os ataques. Portanto, mecanismos de
registro e monitorao devem ser aplicados para que haja
a gravao das aes relevantes de segurana.
6.5. Segurana de Dados em Redes

Uma rede segura deve ser protegida contra cdigos
e) Devem ser registrados todos os eventos possveis,

permitindo analisar o que aconteceu e compreender o
que estava ocorrendo em um determinado momento. Mas
esses registros em si devem ser protegidos dos atacantes,
para evitar que sejam alterados e para evitar o acesso aos
prprios registros:
maliciosos e ataques inadvertidos e deve, ao mesmo tempo,

estar em sintonia com os requerimentos do negcio. Cabe
aos gestores de segurana implementar os controles a fim
de garantir a segurana dos dados em rede, bem como a
proteo dos servios disponibilizados contra acessos no
autorizados.
os registros devem ser criptografados;

os registros devem ser armazenados somente para
leitura;
os registros devem ser armazenados em vrios lugares.
Para que uma rede possa ter um bom nvel de

segurana da informao, bem como seus servios serem
protegidos, essencial a implementao de controles que
evitem acessos no autorizados. Vrias medidas podem
f) Deve haver uma coordenao entre as atividades

de gerenciamento, a fim de otimizar os servios e
assegurar que os controles estejam aplicados sobre toda a
infraestrutura de processamento da informao.
ser tomadas para a efetivao desses controles. Devem

ser considerados os seguintes aspectos:
a) Para minimizar os riscos de uso acidental ou mau uso
deliberado dos sistemas, a responsabilidade operacional
O controle de acesso aos dados e informaes das

redes devem ser implementados. Vrias tcnicas podem
ser empregadas a fim de se obter segurana de acesso aos
servios de redes, tais como:
pelas redes deve ser separada da operao dos recursos

computacionais.
b) Devem ser estabelecidas as responsabilidades e
procedimentos sobre o gerenciamento de equipamentos
Autenticao de usurios: atravs de senhas

especficas os usurios autorizados ganham acesso rede.
Porm, como hoje as redes esto interconectadas e um
usurio pode se logar remotamente rede, sua senha
utilizada diversas vezes. Os riscos inerentes captura
dessa senha, que enviada em forma de texto pleno,
atravs de varreduras de pacotes (packet snnifers), tornam
necessria a utilizao de novos meios de autenticao,
como PGP ou dispositivos baseados em tokens, apenas
para citar alguns.
Confidencialidade: para proteger a informao
contra leituras no autorizadas, recomen-dvel a
utilizao de mecanismos como criptografia dos dados,
remotos, incluindo equipamentos em reas de usurios.
31
Monitoramento do uso do sistema: De posse

dos registros de auditoria, deve-se proceder
anlise dos mesmos. De nada adianta coletar dados
sem analis-los e emitir concluses. Um sistema de
monitoramento serve aos propsitos de deteco de
tentativas de ataques. Os registros mostraro vrias
dessas tentativas. O nvel de monitoramento dos
recursos deve ser determinado atravs da analise/
avaliao dos riscos. Para a anlise dos registros,
consiste na procura por padres nos registros. Logo
se chegar concluso que o sistema de registros
oferece uma compreenso sobre a rede.
permitindo ao adminis-trador o controle de quem no

sistema poder acessar e ver o contedo dos arquivos.
Autorizao: refere-se ao processo de garantir

privilgios para os processos e usurios. diferente da
autenticao, pois esta identifica o usurio.
Controle de mdias: Para garantir a continuidade
dos negcios sem interrupes, imprescindvel que os
dados estejam sempre disponveis a despeito de qualquer
imprevisto. Para isso necessrio que as mdias sejam
controladas e protegidas fisicamente. Diversos mecanismos
e procedimentos podem ser implementados para que cpias
de mdias estejam disponveis quando necessrio. Tambm
deve haver cuidados quanto ao descarte de mdias, pois os
dados nela contidos podero ser acessados se estiverem
em bom estado aps se desfazer da mdia.
Registros de auditoria: Os registros de auditoria
contm as atividades dos usurios, excees e outros
eventos de segurana de informao. mais fcil
descobrir ataques e atacantes pela anlise de registros do
que detect-los no momento do ataque. Para se conseguir
uma boa amostragem de dados capaz de denunciar
um ataque, deve ser registrado qualquer evento que
identifique padres comuns e no to comuns de ataques.
Informaes para registros incluem:
Identificao de usurios;
Datas e horrios dos eventos;
Identidade do terminal;
Registros de tentativas de acesso aceitas e
rejeitadas;
Alterao de configurao de sistema;
Uso de privilgios;
Uso de aplicaes, utilitrios e recursos;
Arquivos acessados e tipo de acesso;
Endereo e protocolos de rede;
Alarmes disparados pelo sistema de controle de
acesso;
Ativao e desativao dos sistemas de proteo
(antivrus e sistemas de deteco de intrusos).
1) Cite pelo menos trs procedimentos do

processo de Segurana Operacional deve executar.
2) Porque devemos ter os ambientes de Produo,
Teste e Desenvolvimento segregados do ponto de
vista lgico e fsico?
3) Temos vrios procedimentos e tcnicas que
podemos utilizar para garantir um nvel de segurana
adequado para segurana de acesso aos servios de
redes. Cite pelo menos trs tcnicas para segurana
de servios de rede.
Captulo 7 - Controle de Acessos

Os controles de acesso tm o objetivo de
proteger equipamentos, aplicaes, arquivos e
dados contra perda, modificao ou divulgao
no autorizada. Diferente, porm, de outros tipos
de recursos, os sistemas computacionais no
podem ser facilmente controlados por dispositivos
fsicos (alarmes, cadeados, etc...). Neste captulo
falaremos sobre os modos de controle de acesso,
definio de privilgios de acesso, tecnologias
associadas e seu gerenciamento.
7.1. Controle de acesso

Os
controles
de
acesso
so
um
conjunto
de
procedimentos e medidas com o objetivo de proteger

dados, programas e sistemas contra tentativas de acesso
no autorizadas feitas por pessoas ou outros programas.
32
Tambm importante que o responsvel pela poltica

de controle de acesso, realize periodicamente uma anlise
O controle de acesso pode ser escolhido a partir do
crtica dos direitos e privilgios dos usurios.
recurso computacional que se quer proteger e a partir do

usurio a quem sero concedidos privilgios e acessos aos
7.2. Gerenciamento de acesso do

usurio
recursos.
O controle de acesso aos recursos de informao
uma das principais tarefas do administrador de uma rede.
O gerenciamento de acesso do usurio visa garantir
Atravs deste controle possvel determinar quais recursos
o acesso dos usurios onde os gestores da informao
podem ser acessados por determinados usurios e que
definiram, ao mesmo tempo em que se previne o acesso no-
tipo de acesso pode ser realizado. Atravs de auditoria,
autorizado a recursos onde o usurio no possui privilgios.
tambm possvel determinar que tipo de acesso foi

realizado a um recurso, por quem e quando.
Procedimentos devem ser criados para o controle da

distribuio de direitos de acesso a sistemas de informao,
Para executar essa funo com critrio, regras de
bem como a acessos de usurios. Estes procedimentos
controle de acesso devem ser criadas baseadas nas
devero abordar desde a concesso inicial de acesso a um
polticas de autorizao e divulgao da informao.
novo usurio, passando por anlises peridicas ao longo
A restrio do acesso s informaes deve estar em
do tempo de permanncia do usurio na organizao, at
consonncia com os requisitos de negcio. Isso requer
fechar com o desligamento do usurio, quando todos os
que uma poltica de controle de acesso seja formalizada,
direitos de acesso e privilgios devero ser revogados.
levando-se em conta:
A identificao e autenticao de um usurio (confirmao
Os requisitos de segurana das aplicaes do negcio;

A identificao de todas as informaes referentes s
aplicaes;
A consistncia entre controle de acesso e polticas de
classificao da informao;
A legislao aplicvel e obrigaes contratuais;
A administrao de direitos de acesso e remoo dos
mesmos.
de que o usurio quem diz ser) so feitas normalmente

atravs de um identificador de usurio (ID ou login name) e
uma senha durante o processo de logon no sistema.
Para a implantao de controles de acesso, devem ser

criadas regras que sejam compatveis com as polticas de
autorizao, lembrando da premissa de que tudo deve ser
proibido a menos que seja expressamente permitido.
33
Com
os
Os privilgios, ou direitos de acesso a um recurso, so

armazenados com o prprio recurso formando uma lista
de controle de acesso. Neste mtodo, o recurso guarda o
ID do usurio que pode acess-lo e tambm a informao
sobre quais tipos de acesso este usurio pode realizar.
avanos
tecnolgicos temos cada

vez
mais
de
um
de
autenticao
presena
segundo
fator
neste
processo, este fator pode
A concesso de privilgios prerrogativa do responsvel

pela rede e do responsvel pela segurana da informao
na organizao. Ao conceder privilgios recomendvel
que se utilize um processo formal de autorizao, em que
ser algo que o usurio

possui
(token,
smart
card,etc) ou algo que ele

(impresso digital, ris, voz, etc.).
deve ser levado em conta que:

Os privilgios devem ser concedidos apenas se
houver necessidade, e desde que no estejam ferindo a
poltica de segurana;
As listas de controles de acesso devem ser feitas pelo
proprietrio (gestor) do recurso, o qual determinar o tipo
de proteo adequada a cada recurso e quem ter acesso
a eles;
Deve ser criado um processo de autorizao e um
registro de todos os privilgios concedidos.
A fim de padronizar e facilitar o gerenciamento de acesso

do usurio deve ser criado um procedimento formal de registro
e cancelamento de um usurio (registro e cancelamento de
seu ID e senha) para garantir e revogar acessos a que ele
tem direito em todos os sistemas e servios.
Os procedimentos de controle devem incluir:
A verificao da autorizao do proprietrio do
sistema para o uso do sistema de informao ou servio;
Confirmao atravs de documento escrito de que o
usurio est ciente das condies de acesso;
Remoo ou modificao dos direitos de acesso a
usurios que mudaram de funes ou se desligaram da
organizao;
Cuidados para que no haja IDs redundantes.
Aps a identificao do usurio

atravs de seu ID, o mesmo deve
ser autenticado a fim de que
o sistema possa conferir se o
usurio quem realmente diz ser.
Conforme dito anteriormente,
isso feito atravs de algo que
s ele saiba, seja ou possua. A
solicitao de uma senha o
meio mais comum de autenticao de um usurio, porm
existem outros mtodos baseados nas caractersticas
biomtricas da pessoa (ris, retina, reconhecimento de
voz, de face ou impresso digital) ou em algo que este
possua (cartes, crachs e tokens).
O fato de o usurio ter sido identificado e autenticado

significa apenas que ele reconhecido pelo sistema como
um usurio previamente cadastrado, isso no significa que
ele poder ter acesso a qualquer informao ou recurso
sem restries.
Deve ser implementado controle especfico atravs de
concesso de privilgios que limitem o acesso do usurio,
apenas ao que realmente lhe necessrio para a conduo
de seu trabalho, a fim de que possa desempenhar suas
funes.
Qualquer que seja o mtodo empregado, esse requer

um gerenciamento formal que controle a concesso das
IDs, considerando os seguintes requisitos:
A concesso de privilgios de acesso pode ser feita com

foco no usurio ou no recurso, dependendo da forma de
funcionamento do sistema.
Assinatura do usurio em um documento

comprometendo-se a manter confidencialidade de sua
senha;
Fornecer IDs temporrios e nicos que obriguem o
usurio a alter-las quando do primeiro acesso;
Utilizar meios seguros para informar a senha ao
usurio;
Os privilgios de usurio so atributos associados a um

usurio, que definem quais recursos ele poder acessar
e o que ele pode ou no fazer com esses recursos (ler,
alterar, etc.).
34
Ao escolher uma senha, o usurio dever lembrar-se de:
Prover uma forma segura de armazenar senhas no

computador;
Alterar senhas padres de instalao de sistemas ou
softwares.
Evitar senhas muito curtas ou muito longas (oito

dgitos no mnimo o recomendvel).
Evitar senhas bvias, como sobrenome, datas de
aniversrio, nome da namorada, nmero de telefone,
placa de carro, etc.
Criar senhas com caracteres e nmeros a fim de
evitar ataques de dicionrio;
No repetir caracteres e no usar caracteres seguidos
do teclado (QWERT, LKJHGF, QAZWSX).
Criar senhas distintas para sistemas distintos.
Alterar a senha a intervalos regulares e no repetir
senhas antigas.
A anlise dos direitos de acesso deve ser executada

periodicamente a fim de se determinar se os direitos
concedidos ainda so vlidos para aquele usurio. Esse
cuidado visa garantir o controle efetivo dos acessos s
informaes e recursos.
Recomenda-se que a periodicidade varie entre trs
e seis meses para todas as contas de usurio, devendo
tambm ser executada para um usurio especfico sempre
que houver mudana de funo ou cargo deste, ou o
mesmo se desligar da organizao.
1) Como deve ser feita a concesso de privilgios
O uso de senhas requer certos cuidados que dependem
de acesso?
do usurio e, portanto, a segurana depende do
2) O que deve ser levado em conta na criao da
conhecimento deste no uso correto de senhas. Os usurios
poltica de acesso?
devem ter pleno conhecimento das polticas de senha e

devem segui-las risca.
3) O que devemos incluir em um procedimento

de concesso de acesso para um sistema ou em uma
rea da rede?
Captulo 8 - Conformidade
Nos dias atuais, pode-se afirmar que o que
h de mais importante no mundo corporativo
a informao. Os detentores da informao
obtm larga vantagem na disputa pelo
exigente mercado, porm s isso no basta,
imprescindvel ainda garantir a disponibilidade e
o acesso mesma. Para isso devem ser definidos
processos de conformidade e adequao s
regras de acesso e uso da informao, tema que
ser objeto deste captulo.
Algumas diretrizes devem ser seguidas pelo usurio

para manter esse nvel de segurana, tais como:
Evitar escrever a senha em papel ou armazen-la em
arquivos ou memria de dispositivos mveis, como em
agenda de celulares.
Procurar memorizar a senha e apag-la da fonte de
onde a recebeu (papel, e-mail, arquivo, etc).
No compartilhar senhas.
Manter a confidencialidade da senha.
Ao menor indcio de comprometimento de uma
senha, alter-la imediatamente.
8.1 Processos de Conformidade

Os meios eletrnicos por onde trafegam a informao
so expostos constantemente a todo tipo de ameaa,
tais como: espionagem, concorrncia desleal, fraudes
35
TAM e Gol que so reguladas pela ANAC

Unilever e Nestle pelo Ministrio da Sade
Telefonica, TIM, VIVO e Claro pela ANATEL
Vale do Rio Doce pelo Ministrio das Minas e Energia
eletrnicas, sabotagem e at mesmo sequestro de

informaes essenciais para a organizao.
Desse modo, as questes relacionadas Segurana
da Informao conquistaram lugar de destaque nas
estratgias corporativas em mbito mundial. Proteger a
informao das inmeras ameaas tornou-se essencial
para garantir a continuidade do negcio, minimizando
riscos e maximizando o retorno sobre os investimentos.
No entanto, no podemos esquecer que o universo
corporativo est alocado em um Estado de Direito, onde
Acima desses rgos, todos somos regulados pela
o exerccio aos direitos sociais e individuais assegurado,
Receita Federal, do Ministrio da Fazenda.
como valores supremos da sociedade, atravs de vasta
Isso obriga todas as empresas a terem um processo
legislao.
de controle das informaes mais estruturado, visando
Mas em que ponto a Segurana da Informao e o
garantir que estejam em conformidade com essas
Estado de Direito convergem?
entidades.
Nesse sentido, torna-se vlido relacionar algumas
A adoo e a implementao do
cdigo de prticas para a gesto da
segurana da informao devem estar
obrigatoriamente alinhadas s leis,
estatutos, regulamentaes ou obrigaes contratuais
inerentes, sob pena de sofrer sanes legalmente
previstas. As prticas, ainda que restritas ao universo
corporativo, em hiptese alguma devem deixar de
considerar os aspectos legais envolvidos.
definies conceituais jurdicas, que certamente ajudaro

voc a entender melhor o tema. Vejamos:
Legislao: conjunto de leis decretadas ou
promulgadas em um pas, disciplinando matria em carter
geral ou especfico. Exemplos: Constituio Federal, Cdigo
Civil, Cdigo Penal, Consolidao das Leis do Trabalho, Lei
do Software, Lei da Propriedade Industrial.
Estatutos: complexo de regras estabelecidas e
observadas por uma instituio jurdica a serem adotadas
como lei orgnica, que fixam os princpios institucionais de
uma corporao pblica ou privada. Exemplos: Estatuto
Social, Estatuto dos Funcionrios Pblicos.
Regulamentos: conjunto de normas ou regras, em
que se fixam o modo de direo ou conduo de uma
instituio ou associao. Exemplo: Regulamento de
Segurana da Informao.
Obrigaes Contratuais: obrigaes oriundas de
acordo de duas ou mais pessoas fsicas ou jurdicas para
entre si, para constituir, regular ou extinguir uma relao
jurdica. Exemplos: Contrato de Compra e Venda, Contrato
de Trabalho, Contrato com Empresas Terceirizadas.
Aqui, caro aluno, estudaremos uma das sees de

maior relevncia dessa disciplina, cujo teor essencialmente
trata das questes legais e jurdicas inerentes gesto da
Segurana da Informao.
Como notrio, as questes jurdicas so consideradas
de
difcil
compreenso
para
os
profissionais
no
especializados na rea. Tambm difcil para as empresas

seguirem de forma estruturada e clara as regulamentaes
pertinentes, ainda mais que correm o risco de serem
punidas se no cumprirem as leis e regulamentaes dos
seus setores.
Cada empresa regulada por um ou mais rgos que
aplicam Normas, Leis, Estatutos, Regulamentaes, etc,
Aps as definies acima, resta sabermos quais so
com o objetivo de regular um setor do mercado. Como
os instrumentos jurdicos que devem ser observados para
exemplos podemos citar empresas como:
a implementao da gesto de segurana da informao
36
respeitando as leis e regulamentaes locais de cada pas,
segurana devem ser realizadas pelos gestores, e caso
a fim de evitar a violao dos mesmos.
alguma no-conformidade seja detectada, o gestor deve

adotar o seguinte procedimento:
1) Determinar a causa da no conformidade; avaliar
8.2 Penalidades Cdigo Civil

Brasileiro
a real necessidade de ao para que a no conformidade

no se repita novamente;
2) Aplicar ao corretiva, e, por fim, registrar e manter
importante salientar que em nosso ordenamento
todo o ocorrido, relatando os resultados para as pessoas
jurdico ningum pode alegar desconhecimento da lei para
competentes, o que vem a ser medida de cautela que
se eximir de seus efeitos. Esses efeitos podem variar de
resguarda os direitos do gestor, haja vista a grande
pas para pas, fato que torna a anlise jurdica complexa
responsabilidade atribuda ao mesmo.
nesse sentido, evitando demandas judiciais em face das
Finalizando tal categoria, a gesto de segurana deve
corporaes.
garantir um processo de verificao da conformidade
Tal procedimento resguarda no s a organizao,
tcnica, que sugere como controle a verificao peridica
como tambm os administradores, os empregados e
dos sistemas de informao em conformidade com as
terceiros envolvidos em todas as esferas do Direito.
normas de segurana implementadas na organizao. Esta

verificao tcnica deve ser realizada manualmente por
O Cdigo Civil Brasileiro, em seu artigo 186, prev a
engenheiro de sistemas, gerando relatrio tcnico para
responsabilidade civil para aquele que viola direito ou
interpretao por um tcnico especialista.
causa dano a outrem, ainda que exclusivamente moral, por

ao ou omisso voluntria, negligncia ou imprudncia,
configurando-se ato ilcito, ficando obrigado a repar-lo.
Independentemente de culpa, quando a atividade
normalmente desenvolvida pelo autor do dano implicar por
natureza em risco para outrem (artigo 927,Cdigo Civil ).
8.3 Auditoria de Sistemas
Ainda na mesma trilha de entendimento, o Cdigo Civil

preconiza, atravs do artigo 1016, a responsabilidade
Como prtica de mercado, para que um processo de
solidria dos administradores perante a sociedade e
controle seja efetivo, deve haver um processo estruturado
terceiros prejudicados no desempenho de suas funes.
de auditoria de sistemas de informao, aconselhando

que a auditoria e suas atividades inerentes, quando
envolvida na verificao dos sistemas operacionais, sejam
minuciosamente planejadas e acordadas internamente
a fim de evitar quaisquer riscos de interrupo nos
procedimentos e processos do negcio.
A prtica de mercado indica a auditoria como parte
Temos como controle a atribuio de responsabilidade

aos gestores, que devem verificar se todos os procedimentos
estrutural do processo de controle corporativo.
de segurana dentro da sua rea esto sendo executados
Os acordos relativos aos requisitos de auditoria devem

ser acordados com o nvel apropriado de administrao
(observncia de hierarquia). O objetivo da verificao da
auditoria deve ser acordado e controlado, limitando-se a
verificao apenas ao acesso para leitura de software e dados.
adequadamente nos moldes previstos no regulamento de

segurana da informao adotada pela corporao.
Anlises crticas a intervalos regulares da conformidade
do processamento da informao com a poltica de
37
Caso haja necessidade de acessos que ultrapassem
9.1. Segurana da Informao de acordo

com a ITIL
os limites da leitura, devem ser permitidos apenas e

to somente atravs de cpias dos arquivos do sistema,
apagando-se os mesmos ao final da auditoria.
A ITIL- Information Technology Infrastructure Library,

ao definir todos os fluxos e processos de servios de
Eventualmente, caso exista a necessidade de se
TI da organizao, tambm facilita a implementao
guardar arquivos como documentos de auditoria, que seja
da segurana, que parte integrante do processo de
realizado com a proteo apropriada, havendo monitorao
implementao da prpria ITIL. A Segurana da Informao
de todo acesso, documentao de todo o procedimento,
encontra-se na segunda fase de implementao da ITIL,
bem como que os auditores no tenham nenhum vnculo
a fase de Desenho dos Servios (Service Design). Nesta
com as reas auditadas.
fase deve existir foco na confidencialidade, integridade e
Tais diretrizes certamente tm por finalidade a
disponibilidade da informao no contexto dos negcios e
preservao da idoneidade do procedimento de auditoria,

gerando
confiabilidade
inequvoca
nas
processos de negcio.
concluses
A OCG Office of Government Commerce define, nos
apresentadas.
prprios livros de implementao da ITIL, que o principal

guia para definir o que deve ser protegido e o nvel de
proteo tem que estar no prprio negcio. Alm disso,

para ser eficaz, a segurana deve abordar processos de
1) As polticas de segurana devem esta

alinhadas aos processos de proteo da informao
e principalmente s leis e regulamentaes de
mercado que envolve cada empresa. Qual o papel da
Segurana da Informao para o tema conformidade?
todo o negcio e cobrir tanto o aspecto fsico como o aspecto

tcnico. Somente dentro do contexto de necessidades de
negcio e gesto de riscos podem-se definir os critrios
de segurana.
A ITIL define, ainda, que um guia de
segurana bsica deve conter: poltica de segurana de
2) Considere uma empresa que no possui um

processo estruturado de gesto de segurana das
suas informaes e com isso se mantm em no
conformidade com as leis e regulamentaes que
esto vigentes para seu setor de atuao. Que tipo
de penalidade essas empresas podem sofrer?
informao,
ISMS Information Security Management
System (Sistema de Gerenciamento da Segurana da

Informao), estratgia de segurana orientada para
os objetivos da organizao, estrutura de segurana e
controles, gesto de riscos, monitoramento de processos,
estratgias de comunicao e consciencializao da
importncia da segurana. [PAULINO, 2010]
Captulo 9 ITIL e Segurana da

Informao
9.2. Processo SI do Desenho de Servios

da ITIL: Gesto de Segurana da
Informao
O aumento da complexidade da gesto de

organizaes, levou a que muitas se apoiassem
nas novas tecnologias para melhor controlar os
processos e os fatores adjacentes aos mesmos.
A ITIL Information Technology Infrastructure
Library rene boas prticas que incluem
processos que podem ajudar a implementao
de polticas de Segurana de Informao. Neste
captulo vamos abordar como o ITIL pode ajudar
gesto da segurana da informao.
De acordo com a abordagem realizada na disciplina

Gesto de Solues de Sistemas de Aplicao atravs
da ITIL de nosso curso, o objetivo deste processo que
pertence ao Desenho de Servios da ITIL, alinhar a
segurana de TI do negcio e garantir que a segurana
da infraestrutura seja gerenciada eficazmente em todos os
servios e atividades.
38
Este processo trata da segurana alinhada governan
de servio, como por exemplo para cada plataforma de TI,

aplicao e rede.
Implantar: implanta todas as medidas especificadas
nos planejamentos. Classifica e gerencia os recursos de
TI, trata da Segurana de Pessoal e gerencia a segurana
como um todo (implantao de responsabilidades e
tarefas, desenvolve regulamentos e instrues, cobre todo
o ciclo de vida, tratamento de ambientes, mdias, proteo
contra vrus e ameaas).
Avaliar: avalia o desempenho das medidas
planejadas e atende aos requisitos de clientes e terceiros.
Os resultados podem ser usados para atualizar medidas
acordadas em consultas com os clientes e para sugerir
mudanas. Pode ser feita de trs formas: auto-avaliao,
auditorias internas e auditorias externas.
Manuteno: mantm a parte do ANS que trata de
segurana e mantm os planos detalhados de segurana.
feita baseada nos resultados da avaliao e na anlise de
mudanas nos riscos.
a corporativa, alm de garantir o CID (Confidencialidade,

Integridade
Disponibilidade).
Este
processo
de
Gerenciamento de SI baseado na norma ISO/IEC 27001,

que aponta um ciclo para a gesto de segurana da
informao. Na verdade, o ciclo descrito na ITIL usa a
terminologia CPIAM .
Controlar a primeira atividade do gerenciamento
de segurana e trata da organizao e do gerenciamento
do processo.
Planejar inclui definir os aspectos de segurana
do ANS - Acordo de Nvel de Servio em conjunto com
o Gerenciamento de Nvel de Servio, detalhando no
ANO- Acordo de Nvel Operacional posteriormente.
Tambm define as atividades em contratos com terceiros
relacionadas segurana. Importante lembrar que os
ANOs so planejamentos para uma unidade do provedor
A funo e os produtos associados ao processo SI so:
Gerente de Fornecedor
Responsvel por atender aos objetivos deste processo, cuidar da poltica de Segurana da Informao como um todo e
garantir que a mesma seja adequada e seguida por todos.
Produtos
Sistema de Gerenciamento da Segurana da Informao e Poltica do Sistema de Informao.
39
deve ser contemplado desde o incio at o fim da prestao

do servio.
9.3. Prticas de Segurana da Informao

de acordo com a ITIL
O SLA deve incluir, no que diz respeito segurana de

informao, os seguintes pontos:
O framework de segurana da ITIL, denominado ISMS

- Information Security Management System (Sistema de
Gerenciamento de Segurana da Informao) contempla
cinco fases:
Mtodos de acesso informao

Mtricas de avaliao da segurana
Formao necessria no mbito da segurana do
servio
Procedimentos relativos aos acessos informao
Procedimentos de incidentes de segurana
Detalhes do planejamento das auditorias.
Planejamento
Implementao
Avaliao
Manuteno
Controle
Estas informaes so de extrema importncia, visto

que s pode ser controlado o que foi definido. Todos os
documentos de SLA e OLA devem ser apoiados nas polticas
gerais de segurana de informao da organizao, nos
planos de segurana de informao dessas mesmas
polticas e nos manuais de apoio operacional de segurana
de informao.
A segurana dever ser coberta por uma poltica geral,

na qual devero ser definidos os objetivos e o mbito da
aplicao de segurana de informao, metas e princpios
de como a gesto deve ser feita e a definio das funes
e responsabilidades de cada colaborador. Alm disto,
devero existir diversas polticas especficas, orientadas
aos servios. Assim devero ser implementadas as
seguintes polticas:
Poltica
Poltica
Poltica
Poltica
Poltica
Poltica
Poltica
Poltica
Poltica
Poltica
Normalmente a principal dificuldade saber quais os

riscos que a organizao enfrenta, mas a implementao
conjunta com a ITIL pode ajudar muito a vencer este
empecilho, j que existe uma anlise de riscos inicial que
pode gerar uma especificao de ameaas segurana
da informao na organizao. So esses requisitos que
vo ser contemplados nos acordos com os clientes e
fornecedores, e at mesmo internamente nos OLAs.
geral de Segurana da Informao

de uso e mal uso dos ativos
de controle de acesso
de e-mail
de internet
de anti-vrus
de classificao de informaes
de classificao de documentos
de acesso remoto
de alienao de bens
A escolha de como controlar os ativos de informao

deve tambm ser feita com apoio na norma 27002:2005
que permite definir uma poltica e controles para sistemas
de gesto de segurana de informao. Toda esta tarefa
facilitada pela simplificao da estrutura da organizao
que a ITIL oferece. Existe uma clara definio de papis e
privilgios o que permite uma implementao correta de
uma poltica de segurana.
perante estas polticas que na ITIL os SLAs - Service

Level Agreements (ou ANS Acordo de Nvel de Servio)
e os OLAs- Operational Level Agreements (ANO Acordo
de Nvel Operacional) assumem grande importncia.
Medidas de segurana devem ser criadas em cinco

nveis, como vem descrito no guia de implementao ITIL
da OCG, e esses nveis so:
Como j vimos, o SLA um acordo formal de nveis de

servio no qual so definidos todos os fatores inerentes
a um servio contratado/prestado pelas duas partes, por
exemplo, o nvel de disponibilidade do servio, as polticas
de segurana existentes que tanto o cliente como o
fornecedor se comprometem a cumprir e as prprias regras
do servio. Por outro lado, os OLAs definem os mesmos
aspectos que os SLAs mas no nvel interno, ou seja, o que
1. Preveno: medidas para impedir que um

problema de segurana ocorra. O melhor exemplo de
medidas preventivas a atribuio de direitos de acesso
a um grupo limitado de pessoas. Os outros requisitos
associados a esta medida incluem o controle de direitos de
acesso (concesso, manuteno e retirada de direitos) e a
40
A segurana da informao fica alinhada com os

processos do negcio, devido integrao que a ITIL permite.
A segurana fica muito bem definida e estruturada,
possibilitada pela definio de papis e responsabilidades
que a ITIL preconiza, o que permite a eficincia dos controles
escolhidos.
Nada mais importante na segurana que a contnua
auditoria e controle, e a ITIL viabiliza isso devido otimizao
contnua de todos os servios.
A integrao da segurana nas operaes, visto que nos
manuais de processos j podem ser includas as regras de
segurana.
A documentao peridica que a ITIL sugere uma
tima prtica para o controle e alterao das polticas de
segurana.
autorizao (identificao de quem tem direito ao acesso

s informaes e utilizao dos sistemas).
2. Reduo: medidas que so tomadas com
antecedncia para minimizar os possveis danos que
possam ocorrer no futuro. Por exemplo, cpias de segurana
peridicas e desenvolvimento, teste e manuteno de
planos de contingncia.
3. Deteco: medidas para detectar problemas
de segurana. Se existe um problema bom que seja
identificado rapidamente. Um exemplo claro o uso
de anti-vrus que detecta uma ameaa e nos avisa da
vulnerabilidade.
4. Represso: medidas que so utilizadas para
neutralizar qualquer continuao ou repetio do incidente
de segurana. Por exemplo, uma conta temporariamente
bloqueada aps vrias tentativas fracassadas de logon.
Para finalizarmos, importante reforarmos que

aplicar uma poltica de Segurana de Informao no
tarefa fcil mesmo utilizando as prticas da ITIL. Como
j dissemos, necessrio todo o apoio da alta direo
e a sensibilizao de todos para a importncia interna e
externa dessa segurana.
5. Correo: medidas de reparao de dano. Por

exemplo, restaurao da cpia de segurana, ou retorno a
uma situao estvel anterior (roll-back, back-out).
Podemos concluir, caro aluno, que a aplicao de boas
prticas em uma organizao traz vantagens na definio
e aplicao de uma poltica de segurana de informao. A
ITIL vem melhorar e contribuir para este processo, porque
contempla a gesto da segurana de informao nos
servios. Os benefcios que as organizaes podem obter
com a adoo das boas prticas da ITIL so grandes, e
entre eles destacamos:
Fazendo a ligao desta disciplina com as anteriores

que falaram com detalhes da ITIL, definimos aqui uma
abordagem importante na governana corporativa, que
a definio de um processo, apoiado pela execuo e
responsabilidades das pessoas com o uso estruturado
da tecnologia, o que traz um nvel maior de controles e
maturidade nos processos de TI.
41
Consideraes Finais
Bibliografia
ALBERTIN, Rosa; ALBERTIN, Albert. Estratgias de
Caro aluno, esperamos que voc tenha atingido nossos
Governana de Tecnologia da Informao. Rio de
objetivos com os temas discutidos nessa disciplina.
janeiro: Campus, 2009.
Nosso objetivo foi trazer para voc uma abordagem
ALEXANDER,
ttica e estratgica desse tema que vem a cada dia sendo
Managers
cobrado de forma mais enftica nos perfis profissionais
Philip.
Guide
to
Information
Thwarting
security:
Data
Thieves
and Hackers. ConnecticutLondon: Praeger Security
que as empresas buscam: a segurana da informao.
International Business Security, 2008.
Levamos as discusses em um nvel de profundidade
ANDRADE, Adriana; ROSSETTI, Jos P. Governana
que, acreditamos, capacita voc desde j a implementar
Corporativa. So Paulo: Atlas, 2007.
um plano de gesto de segurana da informao com

fundamentos claros de controle da informao e das
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS.
polticas. Voc est capacitado a analisar uma empresa
NBR ISO/IEC 27002: Tecnologia da informao
pelo seus processos e relacionar as polticas de segurana
Tcnicas de segurana Cdigo de prtica para a
que elas necessitam.
gesto de segurana da informao. Rio de Janeiro:

2005.
Como voc aprendeu, a implantao de controles

mais eficientes e dentro de um ciclo de melhoria
BO2K. BO2K - Opensource Remote Administration
contnua, apoiados pelas melhores prticas da ITIL, trar
Tool. Cult of the Dead Cow, 2011. Disponvel em http://
maturidade gesto de segurana e, consequentemente,
www.bo2k.com/. Acesso em: 11 de dezembro de 2011
um maior nvel de maturidade na gesto de riscos para as
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO
organizaes.
DE INCIDENTES DE SEGURANA NO BRASIL CERT.Br.
Com base nessa nova viso relativa ao valor das
Cartilha de Segurana para Internet. Disponvel em:
informaes, conclumos que implementar um processo
http://cartilha.cert.br/conceitos/sec4.html. Acesso em: 25
gesto de segurana da informao para as organizaes,
de novembro de 2011.
estruturada dentro de polticas bem definidas, alinhadas

com as diretrizes executivas e com o negcio, fator crtico
COMPUTER EMERGENCY RESPONSE TEAM. CERT
de sucesso para as organizaes e, acima de tudo, para
Advisory CA-2002-30 Trojan Horse tcpdump and
a sua sobrevivncia no mercado. Adicionalmente, devem
libpcap Distributions. CERT Coordination Center (CERT/
ser respeitadas as leis e regulamentaes, os interesses
CC), 2002. Disponvel em http://www.cert.org/advisories/
dos acionistas e do ecossistema que esto ligados
CA-2002-30.html. Acesso em: 15 de maro de 2011
responsabilidade da empresa com o meio ambiente, a
DIAS, Cludia. Segurana e Auditoria da Tecnologia
sociedade, o governo, etc.
da Informao. Rio de Janeiro: Axcel Books do Brasil

Editora, 2000.
Parabns por ter concludo esta disciplina e esperamos

que o conhecimento aqui adquirido contribua de forma
FORD, Jeffrey Lee. Manual completo de firewalls
significativa para a sua melhor atuao profissional!
pessoais: tudo o que voc precisa saber para

proteger o computador. So Paulo: Pearson, 2002.
FOROUZAN, Behrouz A. Comunicao de Dados
Prof. Renato Lima e Profa. Elisamara
e Redes de Computadores. So Paulo: McGraw Hill

Brasil, 2008.
42
Tecnologias e ferramentas de
FRANCO, D.H.
SAINT. Vulnerability, Management, Assessment,
gesto. Campinas: Alinea, 2009.
Penetration Test | SAINT. Disponvel em http://www.

saintcorporation.com/. Acesso em: 11 de dezembro de
GREGORY, Peter. Enterprise Information Security:
2011.
Information security for non-technical decision

makers. Financial Times/ Prentice Hall, 2003.
SHUKLA, Sudhindra; NAH, Fiona. Web browsing and

spyware intrusion. P. 85-90. Commun. ACM, 2005.
HARRIS, Shon. CISSP All-in-One Exam Guide. Nova
SKOUDIS, E.; ZELTSER, L. Malware: Fighting
Iorque: McGraw-Hill Osborne Media, 2010.
Malicious Code. Prentice Hall, 2003.
HOGUND, Greg; MACGRAW, Gary. Como quebrar

cdigos: a arte de explorar (e proteger) softwares.
SOLOVE, D. J.; ROTENBERG, M. Information Privacy

Law. Nova Iorque: Aspen Publishers, 2003.
So Paulo: Pearson, 2006.
SOUZA NETO, Manoel Veras; RAMOS, Anatlia S. M.
Security techniques Management of information
Gesto da Tecnologia da Informao. Natal: Editora
and communications technology security Part
UFRN, 2010.
ISO/IEC
13335-1.
Information
technology
1: Concepts and models for information and
STAMP, Mark. Information security: principles and
communications technology security management.
practices. Massachussetts: San Jose State University,
Genebra: 2004.
2005.
LYRA, Maurcio Rocha. Segurana e Auditoria em
STEWART, James Michael; TITTEL, Ed; CHAPPLE, Mike.
Sistemas de Informao. Rio de Janeiro: Editora
CISSP: Certified Information Systems Security
Cincia Moderna, 2008.

NORTHCUTT,
Professional
Stephen;
Intrusion Detection.
NOVAK,
Avenel,
Judy.
New
Network
Jersey:
Publishing, 2008.
Sams
TANENBAUM, Andrew S. Redes de Computadores.
Publishing, 2002.
Rio de Janeiro: Campus, 2003.
OBRIEN, James A. Sistemas de Informao e as
TENABLE. Tenable Nessus. Disponvel em http://
decises gerenciais na era da Internet. 3.ed. So
tenable.com/products/nessus. Acesso em 30 de novembro
Paulo: Saraiva, 2010.
de 2011.
OLIVEIRA, D. P. R.
Sistemas de informaes
TURBAN, Efraim; KING, David; ARONSON; Jay E.
gerenciais: estratgias, tticas, operacionais. 12.ed.
Business Intelligence. Porto Alegre: Bookman, 2009.
So Paulo: Atlas, 2008.

PAULINO,
Sergio F. C.
WEISS, Aaron. Spyware be gone! Revista networker:
ITIL e a Segurana de
Agents of destruction: fending off spyware. Ano 1, Vol. 9.
Informao. 2010. Disponvel em: http://sergiopaulino.
P. 18-25. Nova York, ACM Press, 2005.
net84.net/articles/sdi-capsi.pdf. Acesso em 19 dez. 2011.
Indicaes na web:
PAYTON, Anne M. A review of spyware campaigns

and strategies to combat them. Anais da Terceira
Conferncia
Anual
Study Guide. Indianapolis: Wiley
em
Segurana
da
Palestras: Web Security Forum - Dcima Oitava Palestra
Informao
- Jefferson DAddario
(InfoSecCD 06). P. 136141, Nova Iorque. ACM Press,
Foco em gesto de segurana da Informao com viso
2006.
geral do tema
RAPPAPORT, Theodore S. Comunicaes sem fio:
http://www.youtube.com/watch?v=x3f4MbT5D9c
princpios e prtica. So Paulo: Pearson, 2009.
43

Gestão Da Infra-Estrutura

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gestão Da Infra-Estrutura

Enviado por

Direitos autorais:

Formatos disponíveis

Gesto da infra-estrutura atravs do ITIL e Gesto de Segurana para T.

Gesto da infra-estrutura atravs do ITIL e Gesto de Segurana para T.I

Gesto da infra-estrutura atravs do ITIL e Gesto de Segurana para T.I

Captulo 7 - Controle de Acessos................................................................32

Gesto da infra-estrutura atravs do ITIL e Gesto de Segurana para T.I

Caro aluno um prazer acompanh-lo dessa disciplina

Caro aluno, segurana um termo que

disciplina apresentar e discutir conceitos e temas

transmite conforto e tranquilidade a quem

referentes gesto de segurana da informao. Esse

desfruta de seu estado. Entender e implementar

assunto tem tirado o sono de muitos gestores e executivos

este estado em um ambiente empresarial exige

de empresas no mercado, pois inicialmente no damos

conhecimento e prticas especializadas que

a ateno necessria para um dos maiores ativos das

somente so possveis com o emprego e uso de

um cdigo de prticas de segurana. Atualmente,

Estudaremos, durante o curso, os fundamentos tticos

um dos maiores problemas para as organizaes

de segurana da informao com o objetivo de capacitar

definir um processo de controle das suas

voc, no apenas a ter uma viso mais estratgica do

informaes, de forma que esse controle atinja

tema, mas a desenvolver um plano de segurana com uma

um nvel adequado de gesto dos riscos que

viso muito clara de gesto de riscos.

essa organizao esta exposta. Neste captulo

Alm disso, abordaremos tpicos de estruturao de

a importncia em garantir a segurana ao seu

polticas de segurana e relacionaremos os processos

crticos da organizao suportados por controles de uso e

1.1. Dados, Informao e

de TI atravs da ITIL, ajudando-o a aplicar os processos

grandes dificuldades s empresas para manterem seus

informao, vinda do dicionrio Aurlio diz que o

controles sob uma gesto mais eficiente e em nveis

conjunto de dados acerca de algum de ou de algo.

aceitveis de riscos, que so as leis e regulamentaes.

Estendendo esse conceito, podemos dizer que a informao

A observncia legislao traz para as empresas uma

a interpretao desses dados.

necessidade forte de controles internos e busca no

De nada vale um conjunto de dados sem que se faa

em garantir a conformidade dos seus processos.

a interpretao dos mesmos para que se possa extrair

Ento, caros alunos, preparem-se para conhecer esse

necessariamente uma vantagem competitiva.

diferena no seu perfil profissional e na sua carreira.

As organizaes necessitam da informao para

Renato Silva de Lima, PMP, ITIL, CGEIT

sobrevivncia. Isto mostra o quo estratgica

informao. Sem ela no h estratgias a serem traadas,

Gesto da infra-estrutura atravs do ITIL e Gesto de Segurana para T.I

a um segundo plano as estratgias de negcios. Os altos

no h mudanas a serem feitas ou at mesmo no h

informao a extrema vulnerabilidade a que a empresa

A informao pode estar armazenada de vrias formas:

tarefa de semanas. Mas, as decises estratgicas devem ser

impressa em papel, armazenada em meios magnticos e

tomadas em pouco tempo, pois o mercado movimenta-se

pticos (discos, fitas, CDs, DVDs, pendrives, celulares),

rapidamente e muito dinmico, e qualquer atraso pode