Fsi Livro 20170116165239

Fundamentos de
Segurança da Informação
Rodrigo Gomes Lobo de Faria
Rodrigo Gomes Lobo de Faria
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Belo Horizonte
Janeiro de 2016
COPYRIGHT © 2016
GRUPO ĂNIMA EDUCAÇÃO
Todos os direitos reservados ao:
Grupo Ănima Educação
Todos os direitos reservados e protegidos pela Lei 9.610/98. Nenhuma parte deste livro, sem prévia autorização
por escrito da detentora dos direitos, poderá ser reproduzida ou transmitida, sejam quais forem os meios
empregados: eletrônicos, mecânicos, fotográficos, gravações ou quaisquer outros.
Edição
Grupo Ănima Educação
Vice Presidência
Arthur Sperandeo de Macedo
Coordenação de Produção
Gislene Garcia Nora de Oliveira
Ilustração e Capa
Alexandre de Souza Paz Monsserrate
Leonardo Antonio Aguiar
Equipe EaD
Conheça o
Autor
Graduado em Ciência da Computação pela
PUC-MG, pós-graduado em Tecnologia e
Segurança de Redes pela UNA-MG, MBA em
Gestão Estratégica de Projetos pela UNA-MG.
Consultor e Desenvolvedor de Sistemas,

Processos e Rotinas de controle de Contact
Center em várias empresas do Brasil,
gerenciando projetos e implantação destes
sistemas.
Especialista em Sistemas de Controle

Imobiliário, prestando consultoria e
gerenciando projetos de automatização em
empresas neste setor.
Professor de disciplinas na área de Tecnologia

da informação.
Apresentação
da disciplina
O assunto “Segurança da Informação” desperta o interesse em todas
as esferas e vários cargos empresariais, sejam executivos, gerentes e
técnicos. O motivo principal é que ela abrange várias áreas (física, lógica,
infraestrutura, aplicativos e treinamento), sendo que cada uma possui
seus respectivos riscos, ameaças, controles e soluções que podem
reduzir o nível de exposição da empresa.
Frequentemente, associamos a segurança da informação a hackers e a

vulnerabilidades. Muitas vezes entendemos que basta um bom antivírus
e um firewall eficiente e a empresa estará protegida. É obvio que são
questões importantes, mas a Segurança da Informação é muito mais
abrangente.
Um Security Officer (Gestor de Segurança da Informação) deve avaliar

e gerenciar diversos itens sejam: tecnologia, pessoas, processos e
ambiente. Obviamente cada um desses pontos está ligado a muitas
iniciativas, exemplo, Normas de controle de Acesso (Físico e Lógico),
Criptografia, Segurança da Rede, treinamentos etc
Veremos que falhas na segurança com o consequente acesso indevido

podem provocar perdas financeiras e de imagem mercadológica o que
se traduz em maiores perdas.
UNIDADE 1 003
Introdução e conceitos básicos de segurança da informação 004
Segurança da Informação 006
Princípios Básicos da Segurança da Informação 009
UNIDADE 2 022
Segurança em redes de computadores, sistemas operacionais
e comercio eletrônico 023
A Importância da Segurança nos Sistemas Operacionais
e Redes de Computadores 025
UNIDADE 3 048
Estudo das normas ISO 27000 – Aplicação de normas, padrões
internacionais e certificação 049
Objetivos e funções - ISO/IEC 27000 051
UNIDADE 4 068
Estudo das normas ISO 27005 e ISO 31000 - Aplicação de
normas e padrões internacionais 069
Conceitos associados 071
Normas ISO / IEC 27005 078
ISO 31000 - Princípios da Gestão de Riscos, princípios e diretrizes 080
UNIDADE 5 093
Estudo da norma ISO 22301 - Aplicação de normas e
padrões internacionais 094
A Norma ISO 22301 096
UNIDADE 6 113
Criptografia, Certificações digitais, Assinatura digital 114
Criptografia 116
Assinaturas digitais 125
Certificação digital 126
UNIDADE 7 133
Segurança em Sistemas da Informação 134
Modelos e mecanismos de segurança dos Sistemas de Informação 144
UNIDADE 8 158
Identificação e Solução de Problema Reais 159
Teste de Invasão e Ferramentas de Segurança 161
Revisão 171
REFERÊNCIAS 175
Introdução e
conceitos básicos
de segurança da
informação
Introdução
As Organizações têm se tornado mais rápidas e eficientes na troca

• Segurança da
de informações e tomadas de decisões estratégicas. Isto se deve, Informação
em grande parte, a evolução da Tecnologia da Informação. • Princípios
Básicos da
Segurança da
Porém, este novo ambiente tornou-se mais complexo, heterogêneo e
Informação
distribuído, dificultando a gestão de questões relativas à segurança
da informação. As ameaças aos ambientes computacionais, tanto
físicos quanto lógicos, passam por uma grande evolução, tanto
em quantidade de equipamentos e bytes transmitidos quanto
em formato. Portanto, novos vírus e formas de ataque, internos e
externos, surgem a cada dia, trazendo riscos às informações das
empresas e/ou de parceiros que estas representem. Sendo assim,
as estatísticas mostram que as fraudes em Informática são um
problema crescente e em escala mundial, exigindo o investimento
de muitos recursos financeiros das organizações.
A evolução é parte inquestionável da vida e o homem é o maior

resultado disto. No campo da TI (tecnologia da informação), a maior
evolução é a Internet.
Desde o seu aparecimento, ocorreram mudanças de paradigmas o
que permitiu a expansão da conectividade e acessibilidade.
Isto influenciou drasticamente como as empresas administram

seus negócios.
Segundo Sêmola (2003), “os computadores tomam conta dos

ambientes de escritório, quebram o paradigma e acesso local
à informação, e chegam a qualquer lugar do mundo através
dos – cada vez mais portáteis –notebooks e da rede mundial de
computadores: a Internet.” (SÊMOLA, 2003, p.3).
Em função disto, a segurança da informação teve que evoluir e saiu

do nível técnico, reservado à TI, onde a única preocupação era ter
um bom antivírus, um firewall bem configurado.
Com a evolução, houve a necessidade de se pensar também no

nível da gestão, investindo e desenvolvendo os processos e as
pessoas. Os aspectos relativos à implantação de uma eficiente
Política de Segurança de Informação vêm evoluindo muito nos
últimos anos. Os procedimentos de segurança da informação têm
evoluído bastante desde o início quando a segurança se resumia à
parte física e a backups. Atualmente, esta segurança é composta de
políticas, padrões, treinamentos, estratégias, softwares e hardwares.
Veremos aqui as mais diversas formas de ataque, desde as mais

simples e visíveis, até as mais complexas e ocultas, no que diz
respeito ao acesso indevido às informações.
Compreenderemos que a segurança da informação engloba vários

pontos onde cada um contribui de uma forma com o objetivo de
manter sistemas, bancos de dados e conhecimentos (tácitos e/ou
explicitas) protegidos.
Segurança da
Informação
Com o aumento da utilização de sistemas de informação,
tecnologia digital e comércio eletrônico, as empresas se viram
obrigadas a pensar na segurança de suas informações para evitar
golpes, acessos não autorizados e ameaças. Assim, essa medida
surgiu para reduzir possíveis ataques aos sistemas empresariais e
domésticos.
A segurança da informação é uma maneira de proteger os sistemas

contra diversos ataques, preservando documentações e arquivos.
A segurança da
Segundo Anna Carolina Aranha, a questão da segurança da informação é uma
informação tornou-se um tema importante na sociedade maneira de proteger
os sistemas contra
contemporânea sendo uma forte aliada de grandes empresas
diversos ataques,
que armazenam e processam em computadores os segredos de preservando
seus negócios; bem como de pessoas que trocam informações documentações
e arquivos.
eletrônicas de caráter pessoal. Todos nós acreditamos que os
dados confiados às máquinas sejam mantidos confidenciais,
intactos e acessíveis apenas às pessoas autorizadas.
Manter os sistemas de computador livre de ataques não é só uma

questão técnica.
Uma regulamentação mais rígida, a educação, a conscientização e

os treinamentos dos usuários tornam o mundo digital mais seguro.
Curiosamente, a questão da segurança da informação é quase

tão remota quanto à humanidade. Da mesma forma, também são
antigas as tentativas de “desmembrar” e ler os códigos secretos
contidos em mensagens.
6
unidade 1
Colher e ou processar informações de terceiros, sem autorização

sempre constitui um crime, porém, o objetivo do invasor nem
sempre é conseguir algum ganho financeiro. Várias vezes a simples
curiosidade ou a vontade de quebrar regras e padrões que estimula
os infratores. Entender essa peculiaridade é importante tanto para
as organizações como para os cidadãos comuns que se preocupam
com o assunto. Trata-se de um problema cultural/social e não
somente de programação, técnico ou de infra-estrutura de redes e/
ou comunicação.
Mesmo que atualmente exista um bom nível de consciência das

empresas e consumidores em relação aos perigos dos vírus e dos
ataques de hackers, há situações em que as ações para evitar os
problemas não acontecem como deveriam. É bastante frequente
ver empresas que adquirem (por compra ou locação) equipamentos
Os programas
e programas de última geração, porém não os configuram de computador são
adequadamente, ou cometem erros simples na atualização e como equipamentos,
permissão de acesso. Os programas de computador são como pois precisam
de revisões,
equipamentos, pois precisam de revisões, manutenções e cuidados
manutenções e
constantes. Ter um conjunto Software/Hardware de última geração cuidados constantes
e não cuidar adequadamente é o mesmo que um policial comprar
uma arma e deixá-la sem munição. Segundo pesquisas, mais de
80% dos problemas de segurança seriam evitados se os programas
e o hardware estivessem devidamente atualizados e configurados.
Ao divulgar um arquivo de correção, com o objetivo de melhorar a

segurança de determinado produto, a empresa fica exposta, pois,
os hackers imediatamente tentam decodificá-lo para procurar onde
esta a vulnerabilidade que foi corrigida. A partir daí, podem tentar
lançar ameaças contra os computadores não atualizados. Ou seja,
cada atualização é necessária para prevenir um risco em potencial.
Obviamente, para um hacker atento, pode ser uma dica que lhe
estimule explorar o problema.
7
unidade 1
Especialistas em crimes cibernéticos afirmam que os delitos

virtuais crescem em uma velocidade maior que os convencionais.
Além de mais preparados tecnologicamente, os hackers estão
sendo mais ousados: usam da Engenharia Social para conseguir
efetivar os ataques. Eles se utilizam de mensagens eletrônicas
(e-mails e links) com atrativos, como propostas de trabalho, falsas
atualizações bancárias e até a simulação de e-mails de pessoas
conhecidas. Ao acessar um desses e-mails ou links, o usuário
contamina equipamentos desprotegidos ou mal protegidos. Desta
forma, fica cada vez mais difícil identificar as ameaças em um
ambiente informatizado.
O Brasil é um dos países mais expostos aos problemas de Especialistas em

crimes cibernéticos
segurança da informação. Isto ocorre, pois o crescimento na
afirmam que os
utilização da internet e suas vantagens é muito maior do que delitos virtuais
a melhoria e aplicação dos processos de segurança. Segundo crescem em uma
relatório da Conferência de Comércio e Desenvolvimento das
velocidade maior que
os convencionais.
Nações Unidas (Unctad), o Brasil tem a segunda Internet mais
vulnerável do mundo, perdendo apenas para os Estados Unidos. A
solução não é algo simples e passa por fatores como:
• maior regulamentação por parte do governo;
• estímulo constante e crescente à empresas de tecnologia

no sentido de produzirem recursos de segurança mais
poderosos;
• educação, conscientização e treinamento por parte dos

usuários, sejam técnicos ou leigos.
Desta forma, a utilização de todas as potencialidades do mundo

digital será plena com menor risco a integridade, disponibilidade e
confidencialidade das informações.
8
unidade 1
Princípios Básicos
da Segurança da
Informação
Disponibilidade
É a garantia de que os sistemas e as informações de um

equipamento e/ou banco de dados estarão disponíveis quando
necessário.
Confidencialidade
É a capacidade de controlar quem pode acessar as informações e
em que condições. Assegurar que a informação só será acessível
por pessoas explicitamente autorizadas, incluindo até IP de origem,
datas e horários para o acesso, identificação pessoal ou biométrica.
Desta forma, é possível minimizar o acesso não autorizado
aumentando a segurança.
Autenticidade
Permite a verificação da identidade de um usuário seja interno ou
agente externo a um sistema ou empresa. Este conceito também
se aplica a confirmação de que uma informação é autêntica ou
verdadeira.
Integridade
Princípio em que as informações e dados serão armazenados e
posteriormente acessados em sua forma original, sem alterações
realizadas por terceiros, exceto com a devida autorização.
9
unidade 1
Mesmo manipulada, a informação deve manter todas as

características originais estabelecidas pelo seu proprietário.
Auditoria
É a possibilidade de rastrear a informação pelos vários passos pelos
quais a informação “transitou”, bem com o processamento que ela
sofreu, identificando os locais, horários e usuários de cada passo.
Assim é possível avaliar o histórico dos eventos em um sistema e
determinar como ocorreu a falha de segurança.
É possível também, através da análise dos logs, identificar os

usuários que tiveram o contato com a informação.
É possível também,
através da análise
Privacidade dos logs, identificar
os usuários que
É a limitação do acesso às informações. É a garantia à preservação. tiveram o contato
com a informação.
Legalidade
É a garantia de legalidade de uma informação de acordo com a
legislação vigente.
Não Repúdio (Irretratabilidade –

não pode ser desfeito)
Não há como “dizer não” sobre um sistema que foi alterado ou
sobre um dado recebido, ou seja, um usuário não poderá negar
falsamente a autoria de uma informação.
10
unidade 1
Ameaças
Neste caso, a ameaça ocorre quando há uma ação sobre um
sistema ou sobre um processo utilizando uma determinada
vulnerabilidade e causa um problema ou consequência, tais como:
divulgação indevida, roubo de identidade, prejuízo financeiro e
prejuízo de visibilidade.
As ameaças podem ser:
• De origem natural: ligados a eventos da natureza, como

terremotos, tornados ou enchentes;
• Involuntárias: erro humano causado por pessoas

desconhecidas ou pela falta de energia elétrica;
• Voluntárias: em que hackers acessam sistemas com o

intuito de disseminar de causar danos.
Tipos de Ameaça
• Ameaça Inteligente: Ocorre quando o invasor possui

capacidade técnica e operacional para fazer uso das
vulnerabilidades do sistema.
• Ameaça de Análise: Ocorre após um período de análise

onde são descobertas as possíveis vulnerabilidades e as
respectivas consequências da ameaça a um sistema.
Ataques
Um ataque pode ocorrer a partir de um furto a um sistema de

segurança com o objetivo intuito de invadir sistemas, bancos de
dados e serviços. Ele pode ser dividido em:
11
unidade 1
• Ativo: onde os dados são alterados.
• Passivo: onde os dados são liberados.
• Destrutivo: onde os dados são destruídos ou o acesso a

eles fica restrito.
• Os ataques ocorrem somente em sistemas vulneráveis.

Neste caso, a vulnerabilidade pode ser física, lógica ou
engenharia social.
Tipos de Ataque
Cavalo de Troia:
O cavalo de troia ou trojan horse é um programa malicioso e vem

disfarçado em outro software. Baixar programas da Internet sem
o devido cuidado é uma ótima maneira de instalar um cavalo de
O cavalo de troia ou
troia. Estes programas instalam o cavalo de troia, que abre uma trojan horse é um
porta do equipamento e que será utilizada para invasão. Eles se programa malicioso
e vem disfarçado
dedicam a roubar senhas e outros dados sigilosos.
em outro software.
São exemplos de trojans: NetBus, Back Orifice e SubSeven.
Quebra de Senha
O cracker é um programa usado pelo hacker para descobrir uma

senha de acesso a um sistema.
O método mais comum consiste em testar sucessivamente várias

sequencias de palavras até encontrar a senha correta.
Denial Of Service (DOS)
Este ataque consiste na sobrecarga de servidor com uma

quantidade excessiva de solicitações de serviços. Há variações,
como os ataques distribuídos de negação de serviço (DDoS).
12
unidade 1
Neste caso, o invasor ataca muitos computadores e instala neles

um software oculto, como o Tribal Flood Network ou o Trinoo. Estes
programas, quando acionados, bombardeiam o servidor-alvo com
solicitações e este, por sua vez, fica inoperante, em função do
excesso de solicitações.
Mail Bomb
É a técnica de sobrecarregar um computador com e-mails.

Normalmente, o agressor usa um programa para gerar um fluxo
contínuo de e-mails e envia-los uma determinada caixa postal. A
sobrecarga tende a provocar negação de serviço no servidor de
e-mail (mail server). Hoje, o phreaking
é uma atividade
elaborada e que
Phreaking
poucos hackers
dominam.
É o uso não autorizado de linhas telefônicas, fixas ou celulares. Com
o aumento da segurança por parte das companhias telefônicas,
essas técnicas foram se tornando mais complexas e inteligentes.
Hoje, o phreaking é uma atividade elaborada e que poucos hackers
dominam.
Scanners de Portas
Eles são programas que buscam portas TCP abertas, no

computador, por onde é efetuada a invasão. Uma forma de evitar
que o usuário perceba a varredura é testar as portas por vários dias
e em horários aleatórios.
13
unidade 1
Smurf
É outra forma de ataque de negação de serviço. O agressor envia

uma rápida sequência de solicitações de Ping a um endereço de
broadcast, usando spoofing (técnica de se fazer passar por outro
equipamento). O cracker direciona as mensagens do servidor de
broadcast para o endereço da vítima. Assim o alvo é “derrubado”
pelo excesso de solicitações de Ping.
Sniffing
O sniffer é um programa ou dispositivo que analisa o tráfego da rede.

Eles são muito úteis no gerenciamento de redes, porém, nas mãos O sniffer
de hackers permitem roubar senhas e outras informações sigilosas é um programa
ou dispositivo
não criptografadas.
que analisa o
tráfego da rede.
Spoofing
É a técnica de se fazer passar por outro equipamento da rede com o

objetivo de acessar um sistema. Há variantes, como o spoofing de IP.
O processo consiste em usar um programa que altere o cabeçalho
dos pacotes IP. Desta forma, eles parecem vir de outra máquina.
Scamming
Esta técnica tem o objetivo de colher senhas e números de contas

bancárias através de e-mails falsos oferecendo serviços, simulando
a página do banco.
14
unidade 1
Controles de Segurança
Autenticar e Autorizar
Autorizar é permitir ou negar acesso a um sistema utilizando

controles de acesso com o objetivo de criar perfis. Com esses perfis,
é possível definir, por exemplo, as tarefas que serão realizadas por
determinado usuário ou grupo de usuários.
Autenticar é a comprovação do acesso de um usuário a um sistema,

ou seja, se está sendo feito por ele mesmo Ela é importante, pois,
limita o controle de acesso e autoriza somente determinadas
pessoas acessarem uma informação.
Processo de Autenticação
Se você
Identificação positiva: Está relacionado a uma informação. Ocorre compartilha seu
computador com
quando o usuário possui uma senha de acesso.
outras pessoas,
crie usuários com
Identificação proprietária: O usuário possui algum instrumento privilégios normais.
durante a etapa de identificação, como um cartão ou um eToken.
Identificação Biométrica: Neste caso, o usuário se identifica através

de uma parte do corpo, como impressão digital, Iris etc.
Em relação às senhas, uma dica importante é que você sempre

crie senhas que possuam pelo menos oito caracteres, com letras,
números e símbolos. Não utilize seu nome, sobrenome, nomes de
animais de estimação, placas de carros, números de telefones ou
datas que possam tenham relação com você. Procure alterá-las
com frequência e faça com que sejam diferentes para cada serviço.
Se você compartilha seu computador com outras pessoas, crie
usuários com privilégios normais.
15
unidade 1
Vírus
Prevenção:
• Instale e atualize, de preferência diariamente, um programa

de antivírus confiável, assim como as assinaturas deles.
• Configure o antivírus para verificar os arquivos obtidos pela

Internet, discos rígidos (HDs) e unidades removíveis, como
CDs, DVDs e pen drives;
• Desabilite o “auto-execução” de arquivos anexados às

mensagens do seu programa de leitura de e-mails;
• Não execute ou abra arquivos recebidos por e-mail ou por

outras fontes, mesmo que venham de pessoas conhecidas. Não utilize, no
Caso seja necessário abrir o arquivo, certifique-se que ele caso de arquivos
foi analisado pelo programa antivírus; comprimidos,
o formato
• Utilize, na elaboração de documentos, formatos menos executável.
suscetíveis à propagação de vírus, tais como RTF, PDF ou
PostScript;
• Não utilize, no caso de arquivos comprimidos, o formato

executável. Utilize o próprio formato compactado, como,
por exemplo, Zip ou Gzip.
Worms, Bots e Botnets

Prevenção:
• Siga todas as recomendações para prevenção contra vírus;
• Mantenha o sistema operacional e demais softwares

sempre atualizados;
• Aplique todas as correções de segurança (patches)

disponibilizadas pelos fabricantes para corrigir eventuais
vulnerabilidades existentes nos Softwares utilizados;
16
unidade 1
• Instale um firewall pessoal, que em alguns casos pode

evitar que uma vulnerabilidade existente seja explorada ou
que um worm ou bot se propague.
Incidente de Segurança
e Uso Abusivo na Rede
O incidente de segurança está relacionado a problemas ligados aos
sistemas de computação ou às redes de computadores. Pode ser
identificado por acessos não autorizados, mudanças no sistema
sem prévia autorização ou sem conhecimento da execução,
tentativas de acesso aos dados de um sistema etc. O incidente de
segurança está
relacionado a
O uso abusivo na rede está ligado a características específicas problemas ligados
como envio de spams e correntes, distribuição de documentação aos sistemas
protegida por direito autoral, uso indevido da internet para ameaçar de computação
ou às redes de
e difamar pessoas, ataques a outros computadores etc.
computadores.
Registros de Eventos (logs)

Os logs são registros de tarefas realizados por programas de
computador. Normalmente os firewalls identificam estes logs. Os
logs podem ser detectados no momento em que um invasor tenta
acessar um computador e é impedido pelo firewall. A Verificação
periódica dos logs do firewall e dos IDSs que estejam instalados
no computador é de extrema importância, pois pode evitar ou
minimizar as tentativas de ataques.
17
unidade 1
Notificações de Incidentes
Consiste em informar, por meio automatizado ou manual, o ataque
a um sistema sejam por um programa ou invasor mal intencionado.
A informação deve conter logs completos com data, horário, fuso

horário, endereço IP de origem, portas envolvidas, protocolo
utilizado e qualquer outra informação que tenha feito parte da
identificação do incidente.
Proposição:
Você foi convidado a elaborar um laudo e propor uma solução de melhoria
para uma empresa na seguinte situação:
• Possui 8 trabalhadores sendo 2 diretores, 1 gerente e 5
operadores de telemarketing.
• Possui 1 PC desktop com configuração para servidor de arquivos,
5 PC desktop, 3 notebooks e 1 impressora com conexão wi-fi.
• Possui 1 roteador e todos os equipamentos se conectam à rede,
via wi-fi.
Além deste cenário, você recebeu as fotos abaixo do ambiente de trabalho.
FIGURA 1 - CPD
Fonte: www.shutterstock.com
18
unidade 1
FIGURA 2 - Ponto de Atendimento e sala das PAs
FIGURA 3 - Roteador e conexões
19
unidade 1
Revisão
A segurança da informação é uma ferramenta fundamental para
todas as organizações. Isto porque a informação bem elaborada
e bem estruturada e o conhecimento disseminado em todos os
setores representa o maior patrimônio que uma empresa possui.
Por isto, é de extrema importância que esta informação seja muito

bem protegida, levando em conta todos os itens que a compõe.
Sem a preservação desses fatores, não podemos afirmar que há

esta garantia.
FIGURA 4
Segurança da Informação
confidencialidade
Disponibilidade
Autenticidade
Não repúdio
Integridade
Negligenciar qualquer um destes pilares é não levar em conta o

grau de importância dos dados e do conhecimento. Isto gera o risco
de perdas financeiras, além de lesar a imagem no mercado.
Você se sentiria confortável em utilizar os serviços de um banco

que sempre é alvo de hackers?
E este banco, por sua vez, o que faz com os prejuízos acumulados
com os ataques?
20
unidade 1
Por isto devemos ter em mente que investimentos em segurança

da informação são sempre bem vindos, pois minimizam os riscos
das perdas nos mais diversos pontos.
Abaixo estão links e livros que podem ser consultados a respeito do tema:
• DOCUMENTÁRIO Hackers Completo Dublado. Postado por:
Lucas –Ezystep. (49 min 04 seg.): son. Color. Port. Disponível em:
<https://www.youtube.com/watch?v=g1FmSAqNg6U> Acesso
em: 15 jan. 2016.
• ENTREVISTA sobre segurança de redes sem fio wi-fi - www.
defhack.com.brDisponível. Postado por: Marcos Flávio Araújo
Assunção. (11 min 57 seg.): son. Color. Port. Disponível em:
<https://www.youtube.com/watch?v=bwtRBczONI4> Acesso em:
15 jan. 2016.
• PIONTI, Rodrigo. Política de segurança da informação –
conceitos, características e benefícios. Portal Profissionais TI (on-
line). Disponível em: <http://www.profissionaisti.com.br/2013/08/
politica-de-seguranca-da-informacao-conceitos-caracteristicas-e-
beneficios/> Acesso em: 15 jan. 2016.
• REVISTA ESPAÇO ACADÊMICO. nº42, 2004. Disponível em:
<http://www.espacoacademico.com.br/042/42amsf.htm>
Acesso em: 15 jan. 2016.
21
unidade 1
22
unidade 1
Segurança
em redes de
computadores,
sistemas
operacionais
e comércio
eletrônico • A Importância
da Segurança
nos Sistemas
Operacionais
e Redes de
Computadores
Introdução
Sistemas operacionais são softwares ou programas (ou um conjunto

deles) que permitem ou proporcionam a comunicação do hardware
com o “mundo exterior” além de gerenciar os recursos deste
equipamento. Existem vários tipos de SO, cada um adequado ao tipo
de equipamento que irá gerenciar. Podem ser mono ou multiusuário,
mono ou multitarefa, funcionar em rede ou com acesso local. Sendo
assim, temos algumas questões a avaliar:
1. Um Sistema Operacional pode ser contaminado ou

atacado?
2. Se sim, o que fazer para prevenir um ataque?
3. Se um ataque ocorrer, como resolver?

4. Há alguma forma eficiente de proteger uma rede de
equipamentos dos ataques?
5. Por que o termo “equipamentos” e não simplesmente

“computadores”?
Muitas vezes este tema não é tratado com a devida importância.

Isto porque vários profissionais, por associarem este assunto a
situações simples do cotidiano, se esquecem que os temas fazem
parte de um conjunto de estruturas complexas que servem às
organizações e seus usuários, sejam eles internos (funcionários) ou
externos (parceiros de negócios).
Por isto é importante a devida atenção e compreensão dos

conceitos e da forma como se relacionam. Veremos a seguir os
principais conceitos e estabelecer uma relação entre eles, de modo
que seja possível identificar fragilidades e tratá-las com a devida
atitude e precisão.
A Importância da
Segurança nos Sistemas
Operacionais e Redes de
Computadores
De modo a compreender melhor este assunto, é importante
introduzir alguns conceitos e o relacionamento entre eles. Vejamos
então:
Kernel: É uma palavra da língua inglesa e significa "núcleo". Na

Informática, o kernel é a parte principal do sistema operacional e
sua função é interligar (fazer a mediação) do software ao hardware,
estabelecendo uma comunicação adequada entre os recursos de
hardware.
A arquitetura do kernel pode ser dos tipos monolítico, híbrido ou

micronúcleo.
No Monolítico, os controladores de dispositivos e as extensões de

núcleo são executadas no espaço de núcleo, com acesso completo
ao hardware. No Híbrido é um micronúcleo que possui um código
na região do núcleo para que as operações sejam executadas mais
rapidamente. Já no Micronúcleo alguns processos são executados
no núcleo e os demais são no espaço do usuário.
Sistema Operacional: É um programa que controla o computador

independente do seu porte ou plataforma. O Sistema Operacional é
responsável por alocar os recursos do hardware e organizar tarefas.
Ele também proporciona uma interface para que o usuário tenha
acesso aos recursos do computador de uma forma “amigável”. Eles
podem ser projetados para funções específicas como controle de
máquinas e sistemas distribuídos, dispositivos portáteis, redes.
25
unidade 2
O SO estabelece os critérios de uso e a ordem de acesso dos

recursos, não permitindo a violação de espaço de memória de
processos concorrentes e tentativas de acesso simultâneo a
um mesmo recurso (time sharing), gerenciando a proteção dos
dispositivos. A figura abaixo mostra como o SO está posicionado.
FIGURA 1
Ele se divide em diversos tipos e os principais são:
Sistemas Monotarefas: Capazes de executar apenas uma tarefa de

cada vez.
Sistemas Multitarefas: Permite a realização de diversas tarefas

“simultaneamente” em um processador. O que ocorre, na verdade
é que ele divide o uso do processador entre as necessidades do
sistema, de modo a permitir que todas as tarefas sejam executadas,
compartilhando o tempo entre as tarefas (time sharing).
26
unidade 2
Sistemas Multiprocessadores: Conjunto formados pela gerência

da combinação de 2 ou mais processadores, melhor adequando a
distribuição dos processos à disponibilidade do sistema.
Sistemas embarcados: São direcionados para equipamentos de

pequeno porte e aparelhos autônomos (computadores de bordo,
centrais multimídia e sondas espaciais). Normalmente de trabalham
com recursos limitados.
Sistema em tempo Real: Normalmente utilizados na indústria,

com rapidez e exatidão em relação ao tempo de resposta e
processamento de tarefas. Esses sistemas não podem falhar, já
que muitos recursos prioritários dependem de seu funcionamento.
Conforme vimos, o Sistema Operacional é um software e por isto é

passível de invasão ou ataque. Algumas dessas formas são:
Bots: Se assemelha a um robô, e pode ser programado para

desempenhar tarefas específicas no computador contaminado. O
invasor se utiliza de um servidor IRC. Já que ele possui controle
sobre o bot que determina rotinas perigosas para o equipamento
contaminado. Dentre os objetivos do Bot podemos citar: Captar
dados bancários e fazer com que o computador dissemine spam
e phishing.
Backdoor: é um recurso usado por vários malwares com o objetivo de

acessar remotamente o sistema ou uma rede infectada, explorando
falhas em programas instalados, firewall e softwares desatualizados,
abrindo portas do roteador.
Alguns backdoors são explorados por sites maliciosos, pelas

vulnerabilidades dos navegadores, garantindo que um cracker tenha
acesso ao sistema, instalando outros malwares ou roubando dados.
27
unidade 2
Compromised-Key Attack: São ataques realizados em chaves

específicas de registro do SO. Quando o cracker tem acesso a
estas chaves, ele pode gerar logs com a decodificação de senhas
criptografadas e invadir serviços cadastrados e contas de usuários.
Rootkit.: É um software muitas vezes malicioso e que tem por

objetivo esconder ou disfarçar alguns programas ou processos
de métodos usuais de detecção, permitindo acesso exclusivo
a um computador e suas informações. Existem programas que
detectam a presença de rootkits. Alguns destes programas podem
ser instalados gratuitamente de sites da internet. Porém, como todo
problema, a melhor solução é a prevenção.
As ameaças citadas acima podem (e devem) ser evitadas com

medidas simples, a saber:
• Possuir no computador programas de segurança (antivírus,

anti-spyware, anti-rootkit etc);
• Manter os programas (aplicativos, utilitários e o sistema

operacional) atualizados;
• Evitar arquivos de redes ponto a ponto;
• Evitar o download de cracks;
• Instalar, habilitar e configurar um firewall pessoal;
• Executar o sistema com privilégios limitados.
Por isto, a proteção do Sistema Operacional é tão importante

quanto à proteção de outros softwares. Devemos ter todo o
cuidado na prevenção de remoção destas e de outras ameaças.
Redes de Equipamentos: é um conjunto de dois ou mais

equipamentos que utilizam um protocolo (conjunto de regras) em
comum para compartilhar recursos.
28
unidade 2
Utilizam-se de conexão, podendo ser: por cabo (fibra ótica, coaxial,

ethernet ) ou wi-fi (ondas de rádio).
Qualquer tipo de dispositivo que possa enviar ou receber dados pode

compor uma rede. Sendo assim, quando falamos em componentes
de rede, dizemos que são nós, e não somente computadores.
São exemplos de Redes: Internet (WAN), Rede Local (LAN), Intranet,

Rede Metropolitana (MAN) etc.
As redes locais possuem várias topologias, sendo que cada uma

possui particularidades, vantagens e desvantagens. Abaixo citamos
as principais.
Topologias de redes
Ponto a Ponto: Ela é a mais simples. Une dois computadores

através de um meio de transmissão qualquer. Dela, pode-se formar
novas topologias, incluindo novos nós em sua estrutura.
FIGURA 2 - Ponto a ponto
Fonte: Adaptado do www.shutterstock.com
29
unidade 2
Barramento
Ela é de fácil expansão. Nela, todos os nós estão conectados a uma

barra que é compartilhada entre todos os processadores, podendo
o controle ser centralizado ou distribuído. O meio de transmissão é
o cabo coaxial.
FIGURA 3 - Barramento
30
unidade 2
Anel ou Ring
Ela utiliza ligações ponto-a-ponto e transmitem em um único

sentido. O sinal circula no anel até o destino. Ela é pouco tolerável à
falha e a expansão pelo aumento do tempo entre o início e chegada
do sinal ao nó destino.
FIGURA 4 – Anel ou Ring
31
unidade 2
Estrela
Ela utiliza o switch para conectar e gerenciar a comunicação. Ele é

um dos fatores determinantes na velocidade de transmissão, como
também converte sinais transmitidos por protocolos diferentes.
FIGURA 5 – Estrela
32
unidade 2
Árvore
Ela é basicamente uma série de barras interconectadas. Equivale

a várias redes estrelas interligadas por meio de seus nós centrais.
Esta topologia é muito utilizada na ligação de switch e repetidores.
FIGURA 6 – Árvore
33
unidade 2
Híbrida
Ela é bem complexa, pois pode mesclar uma mistura de topologias,

tais como as de anel, estrela, barra, entre outras, que possuem
como características as ligações ponto a ponto e multiponto.
FIGURA 7 – Híbrida
Conforme já foi dito, existem vários tipos de dispositivos em uma

rede. São exemplos: terminais de computadores, impressoras,
computadores, roteadores, pontes, repetidores, celulares, switch,
HUB etc
Cada um dos tipos de redes e dispositivos citados possui

vulnerabilidades que podem ser exploradas por um hacker ou um
usuário mal intencionado.
34
unidade 2
Alguns tipos de ataques são:
Defacement: Também conhecido como “Deface”. É um tipo de ataque

onde o invasor modifica o conteúdo e a aparência de uma página
ou site da internet ou intranet. Normalmente, são realizados por
hackers iniciantes ou usuários com pouco conhecimento técnico.
As formas mais usadas na realização de um defacement são:
• Explorar vulnerabilidades do servidor Web que hospeda o

site;
• Explorar vulnerabilidades de pacotes/linguagem de

desenvolvimento do site;
• Explorar erros da aplicação Web;
• Capturar login e senha de acesso do servidor Web e

gerenciá-lo de forma remota.
DoS: É um ataque de negação de serviço ou em inglês Denial of

Service. Os principais alvos são servidores web e o objetivo é fazer
com que os recursos do sistema fiquem indisponíveis para os
usuários. Na realidade, não é uma invasão do sistema, mas sim dá
uma indisponibilidade por sobrecarga. Os ataques DoS são feitos
normalmente de duas maneiras, a saber:
• fazer com que o Servidor reinicialize ou então utilizar ao

extremo todos os recursos de processamento e memória.
Sendo assim ele não consegue mais oferecer o serviço;
• fazer com que o meio de comunicação entre o Servidor e os

usuários fique instável ou indisponível. Assim o serviço será
negado.
35
unidade 2
DdoS: É um ataque distribuído de negação de serviço ou em inglês

Distributed Denial of Service. Neste tipo de ataque, um computador
Master comanda, por meio de um programa malicioso, muitos
computadores chamados de Zombies. Desta forma, o ataque é
distribuído entre várias máquinas escravizadas.
São exemplos de vírus utilizados para estes tipos de ataque:

"Slammer", "Codered", "MyDoom".
Scanners de Rede: São programas de varredura usados na detecção

de vulnerabilidades em sistemas. São 2 os principais objetivos
em procurar falhas de segurança que são: fortalecer os sistemas
procurando e sanando
Engenharia Social: Este é o tipo, tecnicamente mais simples, pois

qualquer pessoa com o mínimo de noção de configuração técnica
pode executar e, em contrapartida, é muito eficaz, pois atinge
o elo mais fraco da segurança que são as pessoas. Consiste em
explorar a ingenuidade das pessoas para se obter os acessos,
senhas e dados sigilosos. A engenharia social não é uma técnica
exclusiva da tecnologia, pois envolve apenas pessoas. Desta forma,
o treinamento adequado faz a diferença na prevenção a este tipo de
técnica.
Spoofing: É a técnica de se fazer passar por outra pessoa ou outro

equipamento da rede, com o objetivo de acessar um sistema. Há
variantes, como o spoofing de IP. O processo consiste em usar um
programa que altere o cabeçalho dos pacotes IP. Desta forma, eles
parecem estar vindo de outra máquina.
36
unidade 2
Esta técnica também pode alterar o remetente da mensagem para

que a vítima abra os e-mails infectados por softwares maliciosos.
Isso acontece já que o e-mail infectado chega como se fosse
enviado por alguém conhecido. Uma forma eficiente de evitar a
infecção é não abrir e-mails suspeitos e em caso de dúvidas, passe
o ponteiro do mouse (sem clicar) sobre links que estejam no corpo
do e-mail. Desta forma, é possível visualizar o verdadeiro destino
deste link.
Botnets:. Como o próprio nome já deixa claro, as botnets são

basicamente redes de computadores infectados por bots
semelhantes. Para quem propaga esse tipo de ameaça, ter centenas
de computadores ligados com bots sob o seu comando é a maneira
mais eficaz de espalhar os perigos propostos pelo aplicativo na
tentativa de fraudar e enganar os usuários.
Vandalismo Virtual: Com o objetivo de facilitar o entendimento, é

necessário, primeiramente, definir Vandalismo. Esta palavra significa
hostilidade com as propriedades de terceiros. Normalmente, se
manifesta publicamente com ataques a estas propriedades.
O vandalismo virtual ocorre quando um troll (como é chamado um

vândalo deste tipo) modifica páginas de Internet.
Segurança em comércio eletrônico

O comércio eletrônico tem se mostrado extremamente inovador
e eficiente e já é visto como uma realidade consolidada, além de
apresentar um grande potencial nos processos de negócio nos
muitos setores da economia. Este crescimento, reforçado pelo
aumento da velocidade e eficiência da Internet, tem chamado a
atenção dos profissionais de TI para os aspectos de segurança e
privacidade que são determinantes para a utilização deste tipo de
comércio.
37
unidade 2
Veremos aqui uma breve história do comércio eletrônico, bem como

a evolução dos métodos de segurança.
Comércio: É o processo de comprar, vender e trocar produtos e

serviços e existe desde os primórdios da civilização. O Comércio
Eletrônico surgiu com a evolução da Internet e tem por objetivo o
complemento das vendas, além de eliminar intermediários. Também
são características deste tipo de comércio o aumento e melhoria da
parceria de negócios e a diminuição de limites geográficos.
Surpreendentemente, o comércio eletrônico não é só pela

internet. Também ocorre por meio de aparelhos celulares e outros
equipamentos eletrônicos. Ele é muito mais abrangente e envolve
diversos tipos de negócios. É a automação das transações
comerciais utilizando tecnologias de telecomunicações e
informática. Sendo que a parte mais exposta deste tipo de comércio
são as lojas virtuais. O Brasil cresceu 23% no último ano. Dentre
as categorias com destaque estão viagens, setor automobilístico,
varejo e classificados.
Tipos de comércio eletrônico

O comércio eletrônico é formado por diversas modalidades. Em
qualquer destes tipos, o processo será on-line, ou seja, o cliente
visualiza e escolhe o produto, coloca no “carrinho de compras” e
efetua o pagamento no caixa.
38
unidade 2
Os Tipos são:
• Empresa <-> Consumidor (Business to Consumer - B2C);
• Consumidor <–> Consumidor (Consumer to Consumer –

C2C);
• Empresa <-> Empresa (Business to Business – B2B);
• Consumidor <–> Empresa (Consumer to Business – C2B);
• Consumidor <–> Administração (Consumer to

Administration–C2A ou Consumer to Government – C2G);
• Empresa <–> Administração (Business to Administration –

B2A ou Business to Government –B2G);
• Ponto <-> Ponto (Peer to Peer - P2P);
• M-Commerce (Mobile Commerce);
• S-Commerce (Social Commerce);
• Compra coletiva;
• T-Commerce (Television Commerce);
• F-Commerce - Facebook Commerce.
A segurança no comércio eletrônico:
O passo inicial para tratarmos de segurança no comércio eletrônico

é identificar quais os principais tipos de ameaças que podem existir.
Conforme já mencionamos, elas podem ser: acesso não autorizado
(unauthorized access), Alteração de dados (data alteration), exposição
de dados confidencias, monitorização (Monitoring), negação de
serviço (Service Denial), perda ou destruição de dados, repúdio
(Repudiation), spoofing e vulnerabilidade ou erros no software.
39
unidade 2
Estas ameaças podem ser mitigadas ou reduzidas, adotando

algumas medidas que podem ser: diminuir as informações
necessárias no servidor web e limitar o público alvo e os meios de
acesso às informações, adotando padrões de segurança como, por
exemplo, a autenticação e SSL (Secure Sockets Layer). A atualização
dos sites deve ser constante assim como as atualizações de
software de hospedagem de modo a manter a integridade dos
dados do usuário.
Segundo Rafael Alves Florindo,
A política de segurança é o ato de atribuir direitos e

responsabilidades aos usuários de uma empresa e com
as informações por eles tratadas. Ela também define
as atribuições de cada um em relação à segurança dos
recursos com os quais trabalham, devendo prever o
que pode ou não ser feito na rede da empresa e o que
será considerado inaceitável.
A política de segurança da informação é o conjunto

de diretrizes, normas e procedimentos que devem ser
seguidos que tem por objetivo de dar a noção e orientar
os funcionários, clientes, parceiros e fornecedores
para o uso seguro do ambiente informatizado, com
informações sobre como gerenciar, distribuir e proteger
seus principais ativos. Na política de segurança
também são definidas as penalidades às quais
estão sujeitos aqueles que não cumprirem a política.
(FLORINDO, 2014, portal on-line)
Com base no que foi exposto, entendemos que política de segurança

da informação é um conjunto de ações que envolvem processos,
tecnologia e pessoas, além do relacionamento entre estes três
pilares.
Entre estes pilares, o que deve merecer maior atenção é o que se

refere a pessoas, pois este depende de vários fatores subjetivos de
difícil controle. Pessoas adoecem, têm sentimentos e dificuldades
em lidar com eles, de relacionamentos e na maioria das vezes
permite a interferência de fatores pessoais no ambiente profissional.
40
unidade 2
Os principais mecanismos de segurança no comércio eletrônico

são:
Firewall, IDS (Intrusion Detect System), Criptografia, Protocolos

Regras de autenticação, Certificados digitais, Assinaturas digitais,
Selos digitais, SSL.
A certificação digital é a tecnologia que provê mecanismos e

segurança que garantem autenticidade, confidencialidade e
integridade das informações eletrônicas. Os certificados digitais
possuem informações como: dados do dono (nome, identificação,
UF); nome da autoridade certificadora emissora do certificado;
número de série do certificado; o período de validade do certificado;
assinatura digital da autoridade certificadora.
Fraudes em Comércio Eletrônico: Os invasores vêm concentrando

na engenharia social, com o objetivo de fraudar o comércio
eletrônico e internet banking já que é bem mais difícil invadir por
quebra de senha e criptografia.
Segundo: o órgão CERT.BR (2014), a quantidade de ataques vem

crescendo muito, ano a ano, conforme o gráfico abaixo.
FIGURA 8 – Total de Incidentes Reportados ao CERT.br por ano
Fonte: www.cert.br
41
unidade 2
O Brasil ocupa um dos primeiro lugares no ranking em ataques

sofridos, ocorrendo mais de 30.000 milhões de reportados, sendo
de Womrs e a servidores Web.
O gráfico abaixo, do mesmo órgão, mostra os tipos de ataques

durante os meses do ano de 2014.
FIGURA 9 – Incidentes Reportados ao CERT.br – Janeiro a

Dezembro de 2014
Fonte: www.cert.br
A Internet, pela sua agilidade e abrangência, supera a mídia

tradicional, reduzindo tempo de venda e facilitando acesso a
informações adicionais. Com ela, as vendas cresceram, se utilizando
de ferramentas para vender e comprar.
42
unidade 2
A questão da segurança é uma das principais preocupações no

desenvolvimento dos sistemas de pagamento virtual, que precisam
assegurá-la sem comprometer a privacidade, pois os hackers estão
constantemente tentando quebrar este tipo de segurança. Por isto,
devemos ter todo o cuidado lembrando é claro da engenharia social,
pois, esta afeta o elo mais fraco da corrente que são as pessoas.
Em função da grande variedade de tipos de ataques, é de

fundamental importância que sejam aplicados métodos de
prevenção e solução de problemas de segurança.
Estes métodos vão desde treinamentos adequados, evitando ou

minimizando a engenharia social, até a instalação de softwares de
proteção, como firewall e antivírus.
A informática em si, assim como os sistemas de informação,

como ferramentas de gestão estratégica nas organizações, são de
extrema importância, pois permitem que estas se tornem cada vez
mais eficientes em um mercado extremamente competitivo.
Fazer com que a TI e seus sistemas estejam alinhados às estratégias

de crescimento da empresa é um desafio. É fundamental salientar
que a segurança é uma aliada fundamental e que, sem ela, todo
esforço da equipe e da empresa pode ser perdido. A situação ideal
é que ela já seja prevista durante o projeto do software, da área (ou
departamento), porém na realidade atual do Brasil, nem sempre isto
é possível. Muitas vezes, é necessário atuar quando a rotina já está
em execução ou o departamento já está atuando.
Trataremos aqui de um tutorial simples para manter a segurança

tanto nos Sistemas Operacionais quanto na rede empresarial. É
importante observar que alguns tópicos são comuns na prevenção.
Isto significa que devem se adequar à modalidade, ao nível e ao
objeto da proteção.
43
unidade 2
Passo 1: Identificar a área que será tratada conhecendo todos os

relacionamentos dela com as demais na organização.
Passo 2: Identificar, conhecer e cadastrar todos os colaboradores

(internos e externos) que atuam no departamento bem como o nível
de acesso e o conhecimento que eles possuem dos sistemas.
Passo 3: Com as informações dos colaboradores (passo anterior),

identificar aqueles que “tentam” acessar os Sistemas de forma
diferente ou inadequada. É possível saber, através da observação do
trabalho e dos logs de acesso. Verificar se alguma destas tentativas
foi bem sucedida e em que data e hora.
Passo 4: Saber e relacionar quais são as queixas dos usuários em

relação ao acesso aos sistemas (lentidão, queda de conexão, perda
de informação, instabilidades etc)
Passo 5: Para cada um dos problemas identificados nos passos 3 e

4, investigar a veracidade e o motivo do problema. Criar um relatório
completo.
Passo 6: Com base neste relatório, traçar as estratégias de

proteção, corrigindo as falhas que permitiram o erro e/ou a invasão.
Poderão surgir problemas como picos ou falhas de energia, roteador
wi-fi com acesso insuficiente, canal indevido no roteador, senhas
fáceis, falhas de configuração do firewall, colaboradores com níveis
altos de acesso e baixa confiabilidade, interferência de frequências,
portas abertas desnecessariamente no Servidor, controle de acesso
físico aos locais críticos (rack de switch, sala do servidor), etc.
Observação: Todos os passos e pontos devem ser documentados,

de forma clara e objetiva. Assim, o conhecimento sobre o objetivo
proposto é construído e será utilizado na manutenção e melhoria
continua (PDCA).
44
unidade 2
Proposição:
Você foi convidado para avaliar as condições de segurança da informação
em uma empresa de vendas de suprimentos de informática.
Com base no que vimos nesta unidade, você deverá comparar o cenário
atual da organização com as boas práticas aqui propostas. Após esta
comparação, você deverá propor as soluções de melhoria e documentar
estas soluções, sugerindo avaliações periódicas para manter tudo
conforme sua proposta:
• Possui 15 trabalhadores sendo 2 diretores, 1 gerente de vendas,
1 gerente administrativo, 5 vendedores de balcão, 5 vendedores
para atendimento virtual (comércio eletrônico – website, SMS,
whatsapp) e 1 serviços gerais;
• Possui 1 PC desktop com configuração para servidor de arquivos,
10 PC desktop, 4 notebooks, 1 impressora com conexão wi-
fi e 1 impressora multifuncional sem conexão à rede (ligada ao
servidor);
• Possui 1 roteador e todos os equipamentos se conectam à rede,
via wi-fi.
45
unidade 2
Revisão
A produção, o armazenamento e a utilização da informação passam
por várias etapas e controles. A segurança da informação deve ser
um ponto de fundamental importância em cada um dos controles
que são elos desta corrente.
Vimos que a porção tecnológica é a base inicial para que a

informação e o conhecimento sejam produzidos. Esta porção foi
representada aqui pelos Sistemas Operacionais e pela Infraestrutura
de Redes.
Observamos que existem várias formas, técnicas e personagens

dedicados ao ataque, à invasão, à negação de serviços e ao roubo
de informações.
A tríade “Processos, Pessoas e Tecnologia” deve sempre ser

monitorada de modo que nada escape ao controle, já que isto
poderia causa perdas incalculáveis, tanto financeiras quanto para a
imagem da organização.
Devemos lembrar que a parte mais frágil desta tríade refere-se

às pessoas, pois, possuem aspectos subjetivos que dificultam o
controle. Neste caso, treinamentos e monitoramentos constantes
fazem a diferença.
A engenharia social é uma das formas poderosas de ameaça, pois

envolve e engana pessoas com o objetivo de obter informações
sigilosas (logins, senhas, relatórios, manuais, acessos etc). Por isto,
é um ponto estratégico a ser fortemente avaliado.
46
unidade 2
O comércio eletrônico (e-business), por sua vez, tem se mostrado, de

forma crescente, uma ferramenta poderosa na comercialização de
produtos e serviços. Este tipo de comércio utiliza a internet como
meio principal de chegar aos clientes. Sendo a internet uma rede,
ela também pode ser utilizada como meio de ataques e invasões.
Por isto, procedimentos de segurança têm que fazer parte da rotina
na sua utilização.
Por fim, observamos que as medidas de segurança são bastante

comuns em todos os pontos e etapas na produção do conhecimento,
desde a coleta dos dados, passando pela geração da informação,
chegando ao conhecimento propriamente dito.
Abaixo, estão links e livros que podem ser consultados a respeito do tema.
CIPOLI, Pedro. O que é Engenharia Social? Portal Canaltech (on-line).
Disponível em: http://corporate.canaltech.com.br/o-que-e/seguranca/O-
que-e-Engenharia-Social/. Acesso em: 15 jan.2016.
ENGENHARIA Social (Segurança da Informação). Postado por: Jefferson
Costa. (17 min 53 seg.): son. Color. Port. Disponível em: <https://www.
youtube.com/watch?v=cK1k0NABPhs > Acesso em: 15 jan. 2016
SACCO, Luiz Antônio. Dicas de segurança no comércio eletrônico. Portal
e-commerce Brasil (on-line). Disponível em: https://www.ecommercebrasil.
com.br/artigos/dicas-de-seguranca-comercio-eletronico/. Acesso em: 15
jan. 2016.
47
unidade 2
Estudo das
normas ISO
27000 –
Aplicação de
normas, padrões
internacionais e
certificação
Introdução
• Objetivos e
funções - ISO/IEC
Muitas vezes não tratamos as normas com a devida importância 27000
por entendermos ser algo dispensável. Ledo engano!
As normas são criadas com base em acordos, cooperações,

estudos e avaliações por um órgão com conhecimento e
competência para tal. Elas sugerem um conjunto de boas práticas
para execução e/ou produção em um determinado tema. O objetivo
é fazer que aquilo que será produzido cumpra um padrão de
qualidade e funcionamento. Este produto pode ser um software,
eletrodoméstico, edifício, veículo, seminário, palestra etc.
Diante desse fato, é importante ter a devida atenção e compreensão

dos conceitos que serão mostrados e a forma como se relacionam,
de modo que sejam aplicados da melhor forma.
As normas da série ISO/IEC 27000 tratam do SGSI (Sistema de
Gestão de Segurança da Informação). A segurança da informação
não está exclusivamente associada ao conceito tecnológico, apesar
de muitas pessoas acreditarem que seja desta forma. O SGSI é um
modo de segurança para todos os tipos de dados e informações.
Obviamente, está intimamente associado aos pilares da
segurança da informação que são: confidencialidade, integridade,
disponibilidade e autenticidade, já vistos anteriormente.
A ISO (International Organization for Standardization) e a IEC

(International Electrotechnical Commission compõem um
sistema especializado de normatização mundial. Os organismos
membros da ISO ou da IEC auxiliam no desenvolvimento de
normas internacionais utilizando comitês técnicos definidos pela
organização para tratar de assuntos técnicos. Estes comitês
colaboram em áreas de interesse mútuo.
Outras organizações internacionais, governamentais e ligadas a ISO

e a IEC também podem atuar.
Na área de TI, a ISO e a IEC criaram um comitê associando ISO/ IEC

/ JTC1.
Objetivos e funções -
ISO/IEC 27000
A norma ISO/IEC 27000, na realidade, é um conjunto de normas
com várias séries, e cada uma delas tem uma função (ou objetivo)
específica, porém todas elas tratam da criação, manutenção,
melhoria, revisão, funcionamento e análise de um SGSI.
As normas desta série estão relacionadas à segurança da

informação. Este conceito está além dos pontos puramente ligados
à informática. Ainda assim, estão lado a lado. O SGSI representa
formas para a segurança para todos os tipos de dados, informações
e do conhecimento produzido (ativos de TI).
As diretrizes abrangem desde os primeiros passos na

implementação de um SGSI, até áreas específicas, tais como
orientações para empresas parceiras na certificação ou auditoria
que também queiram implementar um SGSI.
Critérios para certificação

As normas 27001 e 27002 devem ser usadas em conjunto.
Elas são as mais conhecidas da família ISO 27000 sendo que o
certificado da ISO 27002 é para profissionais da área. Seus códigos
e orientações facilitam a obtenção do certificado ISO 27001, que é
direcionado para empresas. Cada norma tem critérios diferentes
para a certificação.
51
unidade 3
Semelhante às normas ISO 9000 e ISO 14000, a norma 27001

segue o padrão para a certificação de outros sistemas de gestão
da ISO. Além da questão específica do sistema de gestão de
segurança da informação, é necessário atenção ao funcionamento,
monitoramento e melhoria do sistema.
A certificação é realizada em duas partes: sendo que a primeira é

uma revisão documental, a segunda é detalhada, semelhante a uma
auditoria. Veremos mais sobre isto adiante.
A família ISO/IEC 27000 possui

diversas normas relacionadas à SGSI. Semelhante às
As mais conhecidas são: normas ISO 9000
e ISO 14000, a
• ISO/IEC 27000 – São informações básicas sobre as norma 27001 segue
normas desta série (Vocabulários, objetivos e normas). o padrão para a
certificação de
• ISO/IEC 27001 – Bases para a implementação de um outros sistemas de
gestão da ISO.
SGSI em uma organização. Ela mostra a forma adequada
de estabelecer um sistema de gestão de segurança da
informação, avaliado e certificado de forma independente.
Ela trata dos seguintes tópicos:
• compreensão das necessidades e a importância da

política da segurança da informação;
• implantar e manter controles para gestão de riscos;
• acompanhar a performance, eficiência e eficácia da

PSI;
• estimular melhoria contínua. (Ciclo PDCA).
52
unidade 3
• ISO/IEC 27002 – Certificação profissional traz códigos

de práticas para profissionais. Ela mostra diretrizes para
práticas de gestão de segurança da informação e normas
de segurança da informação para as organizações,
inclusive a seleção, a implementação e o gerenciamento
de controles, levando em conta os ambientes de risco da
segurança da informação da organização. O resultado da
análise de riscos irá determinar quais as ações de controle
mais adequadas na gestão destes riscos. Esta norma está
composta de tópicos e respectivos controles. Estes podem
ou não ser implantados, dependendo do tipo, tamanho e
necessidade da organização. Alguns destes tópicos são:
• organização da segurança da informação;
• gerenciamento de ativos;
• PSI (Política de Segurança da Informação);
• segurança de RH;
• gerenciamento de comunicações e operações;
• segurança física e de acesso;
• aquisição, desenvolvimento e manutenção de sistemas

de informação;
• conformidade;
• gerenciamento de incidentes da segurança da

informação;
• gerenciamento da continuidade de negócios.
• ISO/IEC 27003 – Diretrizes mais específicas para

implementação do SGSI. Nele, concentram-se os aspectos
críticos para a implantação e projeto bem sucedido de um
SGSI, desde a concepção até a preparação da implantação,
incluindo aí o processo de aprovação da direção.
53
unidade 3
• ISO/IEC 27004 – Normas sobre as métricas e relatórios

do SGSI com o objetivo de avaliar a eficácia do SGSI
implementado, além dos controles e/ou grupos de controles.
É fundamental lembrar que as métricas e as respectivas
avaliações são de extrema importância para conhecer,
controlar e melhorar processos, políticas e procedimentos.
Desta forma, é possível identificar problemas ou falhas de
implantação e execução.
• ISO/IEC 27005 – Norma sobre gestão de riscos do

SGSI. Estabelece diretrizes para o processo de gestão de
riscos de segurança da informação. Deve permitir que o
processo de segurança da informação ocorra de maneira
eficaz, eficiente e sem interrupções ao longo do tempo. É
fundamental que um gestor de riscos tenha uma visão de
topo. Desta forma, a criação de processos integrados na
gestão de riscos será facilitada. Além disso, o foco deve ser
na prevenção. Veremos também que planos alternativos
em caso de sinistro farão toda a diferença para a estratégia
organizacional.
• ISO/IEC 27006 – Norma sobre auditoria e certificação de

SGSI, especificando requisitos e fornecendo orientações
para empresas e/ou órgãos que prestem serviços de
certificação e auditoria em um SGSI. Ela pode ser utilizada
como referência para acreditação1, avaliação de pares
ou outros processos de auditoria. A área de atuação
de auditorias em Sistemas de Gestão de Segurança da
Informação está entre a segurança física e lógica da
informação até a adequação de conformidade com a
legislação vigente e obrigações contratuais.
1
Acreditação é um instrumento para geração de confiança para a atuação de
organizações, em nível mundial, que desempenham tarefas de avaliação da
conformidade.
54
unidade 3
Não promover auditorias poderá camuflar insuficiências do SGSI.

Dependendo da profundidade destas insuficiências, estas poderão
se converter em deficiências, gerando riscos para os dados e
informações.
Nesta unidade não veremos a ISO/IEC 27005. Ela será vista

posteriormente.
Relacionamento entre as normas da

série ISO/IEC 27000
As Normas da série ISO/IEC 27000 tratam do “percurso” para
o desenvolvimento de um Sistema de Gestão de Segurança da
Informação (SGSI) nas Organizações de qualquer tamanho ou
setor. Isto é muito importante, pois com a velocidade da produção
de informações, é fundamental que o armazenamento e proteção
sejam fatores determinantes ao sucesso das estratégias nestas A informação é um
organizações. Um SGSI abrange todas as atividades de gestão e dos ativos valiosos
que envolvem a
suporte a esta gestão importantes para a segurança da informação.
organização gerando
valor para o negócio.
Na atualidade, informação (gerando conhecimento) é um dos
pilares para o sucesso. Com este aumento crescente, aumenta
também dependência das empresas em relação aos Sistemas e
Tecnologias da Informação. Sabendo do valor da informação, é
fundamental que elas sejam produzidas e armazenadas de forma
segura, eficiente e eficaz.
O SGSI proporciona, dentre outras facilidades, a gestão dos riscos

da segurança da informação garantindo que esta não seja negada,
não se torne indisponível, não se perca (destruída ou danificada),
não seja divulgada sem autorização ou roubada.
A informação é um dos ativos valiosos que envolvem a organização

gerando valor para o negócio. Sendo assim, a proteção desta
informação é de extrema importância, pois interfere diretamente na
estratégia do negócio.
55
unidade 3
Análise de Risco é um dos instrumentos utilizados para garantir a

segurança da informação. Esta análise deve identificar todos os
riscos, mostrando as possíveis soluções para eliminar, transferir
ou minimizar os riscos. As ameaças são ações, que quando
exploradas, podem gerar vulnerabilidade e permitir ataques,
provocando incidentes e comprometendo as informações, gerando
perda de confidencialidade, disponibilidade e integridade.
As ameaças podem ser classificadas em três tipos:
• ameaças físicas: decorrentes de fenômenos naturais;

Análise de Risco é
um dos instrumentos
• ameaças tecnológicas: provocados por hackers, invasores,
utilizados para
vírus, e também por falhas técnicas (hardware e software); garantir a segurança
da informação.
• ameaças humanas: São as mais perigosas, provocadas
por ladrões e espiões (gerando fraudes e roubos).
Normalmente, passam pela engenharia social mencionada
anteriormente. Segundo Araújo (2005) “(...) o fator humano
é o principal desafio para se ter uma boa e segura conduta
de Segurança da Informação”. (ARAÚJO, 2005, p. 5).
Com a evolução tecnológica e a facilidade de acesso às informações,

é de responsabilidade das organizações adotar e implantar ações
de proteção em relação às ameaças das quais são alvo.
56
unidade 3
É o objetivo da Gestão de Segurança de Informação manter

a qualidade das informações tratando adequadamente da
confidencialidade, integridade e disponibilidade. As normas da série
ISO/IEC 27000 foram produzidas de modo a ser o padrão mundial
para a Segurança da Informação. A série ISO 27000 constitui um
padrão de certificação de sistemas de gestão promovido pela ISO,
adequado à produção e implementação de Sistemas de Gestão
de Segurança da Informação (SGSI), estabelecendo políticas
de segurança e controles adequados. Como vimos, cada uma
das normas da série ISO/IEC 27000 possui uma função que se
relacionam. A família de normas da ISO/IEC 27000 possui padrões
que estabelecem os requisitos para um SGSI e para sua certificação,
prestando apoio e orientação aos processos e necessidades do
ciclo PDCA (Qualidade Total). A figura abaixo relaciona o SGSI ao
ciclo PDCA.
As normas da série
FIGURA 1 - Comparativo entre o ciclo PDCA e os passos para ISO/IEC 27000
implementação de um SGSI foram produzidas
de modo a ser o
padrão mundial
para a Segurança da
Informação
57
unidade 3
Benefícios da Aplicação da Norma

ISO/IEC 27000 e sua série
O volume de informações disponibilizadas às organizações, além
de crescente, é de vital importância estratégica a elas. Visualizar
os benefícios e relacioná-los ao cotidiano das empresas é fator
determinante na implantação dos sistemas de segurança.
Os principais benefícios da norma ISO/IEC 27000 são:
• estabelecer uma metodologia clara de Gestão da

Segurança: é de extrema importância, pois a clareza facilita
o entendimento e a disseminação do conhecimento;
• reduzir o risco de perda, roubo ou alteração da informação: O volume de

já vimos que a informação é o principal ativo de uma informações
disponibilizadas às
organização. Perda de ativo implica em perdas financeiras,
organizações, além
dentre outras; de crescente, é de
vital importância
• acessar as informações por meio de medidas de estratégica a elas.
segurança: isto é fundamental, pois formas corretas e
seguras no acesso à informação evitam que usuários não
autorizados monitorem e/ou acessem indevidamente;
• aplicar a Gestão adequada de pessoas a todos os

envolvidos na organização: já sabemos que o elo mais
fraco no controle e gestão da segurança da informação
é composto por pessoas. A correta gestão é fator
determinante à segurança;
• aumentar a segurança em relação à gestão de processos:

processos mal gerenciados podem gerar falhas e
vulnerabilidades. Isto também implicará no risco de um
acesso não autorizado e perda de informações;
58
unidade 3
• aplicar a legislação sobre informação pessoal e

propriedade intelectual: a legislação permite que
pendências jurídicas sejam resolvidas aos olhos jurídicos.
Com a devida clareza isto previne ataques por descuido ou
falta de informação;
• controlar e verificar continuamente os riscos e os seus

controles: isto faz parte dos processos de melhoria contínua
que podem ser aplicados a qualquer área do conhecimento.
Verificações constantes implicam em aprimoramento;
• garantir a confidencialidade e a qualidade comercial: o

bom gerenciamento permite que a informação permaneça
confidencial, gerando ótima visibilidade estratégica da
organização.
Dificuldades para Implantação

de um SGSI
Por tudo que vimos, entendemos que é muito importante o
desenvolvimento, implantação e manutenção de um SGSI nas
organizações. Porém não é tão simples quanto parece.
Existem várias dificuldades que devem ser vencidas. Elas serão

descritas abaixo:
• dificuldade na definição no escopo: muitas vezes, pelo

levantamento insuficiente de requisitos e coleta de dados,
a definição do escopo fica inadequada, podendo gerar
revisões e dificuldades desnecessárias. Quando isto
ocorre, tanto o desenvolvimento quanto a implantação do
SGSI ficam prejudicados. Isto irá provocar o retrabalho e
possíveis perdas para a organização;
59
unidade 3
• dificuldade em desenvolver uma abordagem sistemática,

clara e simples na gestão dos riscos: a gestão dos riscos
é uma área extremamente importante, pois é nela que
os possíveis riscos são identificados e a forma de tratá-
los é definida de acordo com cada caso. Tratar isto com
simplicidade e clareza pode ser a diferença entre o sucesso
ou o fracasso na implantação do SGSI;
• dificuldade em testar os planos de continuidade do

negócio: muitas vezes não há ambientes de simulação
ou, quando existem, não são adequados. Desta forma,
os testes dos planos de continuidade do negócio ficam
incompletos, inconclusivos ou inexistentes, podendo gerar
graves consequências em caso de uma crise;
• designar indevidamente a área de TI no desenvolvimento

do projeto: por falta de definição ou compreensão
por parte das outras, a área de TI fica encarregada do
desenvolvimento do projeto e, como vimos, o SGSI não
é exclusivo na gestão de informações de tecnologia. O
gestor terá que buscar a integração das áreas e pessoas
envolvidas nos processos e procedimentos. Desta forma, o
SGSI será mais completo, coeso e abrangente;
• visão incorreta no estabelecimento dos parâmetros dos

controles definidos na norma: isto ocorre quando a leitura
e/ou interpretação da norma é ineficiente, podendo gerar
retrabalho em fases críticas da implantação do SGSI. O
gestor terá que ficar muito atento neste ponto, pois estudos
mostram que o custo do “retrabalho” normalmente é maior
do que o do próprio trabalho. Além do aumento financeiro,
este retrabalho pode gerar problemas como refugo, custo
de tempo perdido, redução da confiança por parte dos
stakeholders, dentre outros;
60
unidade 3
• ausência da ação correta ao identificar e usar controles

além da norma: ocorre quando a gestão da implantação não
assume uma visão de topo. Ou seja, “o que será feito com
assuntos e problemas não previstos na norma?”. Muitas
vezes (na maioria dos casos), ocorrem situações não
previstas e/ou definidas nas normas. E aí, como agir? Neste
momento, o gestor terá que utilizar seus conhecimentos
e experiências, além de contar com profissionais que
possuam o conhecimento no problema que será tratado;
• pessoal e Orçamento com limitações: muitas vezes,

principalmente no cenário econômico atual, será necessário
a convivência da necessidade de desenvolver e implantar o
SGSI com as restrições financeiras ou de pessoal. Mesmo
com as adversidades, a equipe de gestão terá que encontrar
soluções adequadas a este cenário. Além disto, sabemos
que no relacionamento humano; por mais profissional
que as pessoas busquem ser, sempre há conflitos e jogos
de interesse. Isto pode dificultar o desenvolvimento e
implantação do SGSI. Caberá ao gestor tratar este ponto,
utilizando técnicas de motivação e de gestão de pessoas.
Cada um destes fatores tem implicações próprias e peculiares

ao tipo e tamanho da organização onde o SGSI será implantado.
Porém, independente da dificuldade, ela deve ser transposta, pois o
objetivo final (Implantação consistente) deve ser cumprido.
61
unidade 3
Principais melhorias nas organizações

com a implantação de um SGSI
Entendemos que, quando há uma proposta de novas implantações
em uma organização, sejam estas implantações em qualquer área,
elas vão trazer melhorias que justifiquem o projeto. Estas melhorias
podem abranger várias ou todas as áreas da empresa. No nosso
caso, as melhorias irão tratar de um assunto extremamente
estratégico para a empresa, este se refere às informações e ao
conhecimento: ferramentas de evolução e competitividade.
Ao implantar o SGSI, esperam-se as seguintes melhorias:
• cumprimento dos objetivos organizacionais de segurança

da informação;
• satisfação dos requisitos de segurança de clientes e

parceiros de negócios;
• melhoria nos seus planos e atividades de curto e longo

prazos;
• organização e adequação na gestão dos seus ativos de

informação promovendo a melhoria contínua.
62
unidade 3
Engenharia Social
Sabemos que os parâmetros técnicos para a segurança lógica e física,
quando bem aplicados, minimizam, em muito, várias formas de ataques e
invasões. Desse modo, Aos invasores, restou a ingenuidade das pessoas
para efetivar suas invasões. Normalmente, os invasores são pessoas com
bom conhecimento técnico e boas noções do espaço virtual que tentarão
invadir, seja uma empresa, rede, residência etc.
Engenharia social é a utilização da boa fé das pessoas com o objetivo
de conseguir vantagens para si ou para terceiros. Neste tipo de ataque,
o invasor utiliza de suas habilidades de comunicação e conhecimento
técnico para ludibriar as pessoas e conseguir informações confidenciais
tais como, logins, senhas, documentos físicos e digitais etc.
Este tipo de ameaça é considerada, por muitos profissionais da área de
segurança da informação, uma das piores formas de ataque, pois envolve
a parte mais fraca da tríade “tecnologias, processos e pessoas”.
Como se prevenir?
1. Desconfie de chamadas que solicitem muitas informações pelo
telefone ou e-mails de pessoas perguntando sobre funcionários
e/ou outras informações internas. Caso desconfie, tente verificar
a identidade diretamente com a empresa.
2. Não forneça informações pessoais ou informações sobre sua
empresa, incluindo a estrutura, a menos que você esteja certo
que uma pessoa pode ter essas informações.
3. Não revele informações pessoais ou financeiras em e-mail e
muito cuidado ao responder e-mails com essas solicitações,
sempre procure verificar a veracidade de quem enviou o e-mail.
Isso inclui os links enviados no e-mail, na dúvida, não clique.
63
unidade 3
4. Preste atenção na URL de um site. Sites falsos podem parecer
idênticos a um legítimo, mas o endereço no navegador pode usar
uma variação na grafia ou um domínio diferente.
5. Se você não tem certeza se uma solicitação por e-mail é legítima,
tente verificar entrando em contato com a empresa e/ou pessoa
diretamente.
6. Desconfie de e-mails que contenha um conteúdo que você não
solicitou, normalmente esses e-mails possuem um link estranho
ou um arquivo para você executar. Este tipo de e-mail procura
explorar alguns aspectos psicológicos requerendo que você tome
uma atitude, como a curiosidade, senso e urgência ou solicitando
uma ajuda. Fique atento!.
Revisão
A produção, armazenamento e utilização da informação passa por
vários controles, personagens e etapas.
A segurança da informação é um ponto de fundamental

importância em cada uma das etapas que compõe os “dentes
desta engrenagem” e por isto deve ser tratada com toda atenção e
cuidado.
O objetivo é fazer que aquilo que será produzido cumpra um padrão

de qualidade e funcionamento. Este produto pode ser um software,
eletrodoméstico, edifício, veículo, seminário, palestra etc.
As normas da série ISO/IEC 27000 tratam do SGSI. A segurança

da informação não está exclusivamente associada ao conceito
tecnológico. O SGSI é um modo de segurança para todos os tipos
de dados e informações e está associado aos pilares da segurança
da informação (confidencialidade, integridade, disponibilidade e
autenticidade, já vistos anteriormente).
64
unidade 3
As normas mais conhecidas são:
• ISO/IEC 27000 – Informações básicas sobre as normas

desta série;
• ISO/IEC 27001 – Bases para a implementação de um SGSI;
• ISO/IEC 27002 – Bases para a Certificação profissional;
• ISO/IEC 27003 – Diretrizes específicas para implementação

do SGSI;
• ISO/IEC 27004 – Normas sobre as métricas e relatórios do

SGSI;
• ISO/IEC27005 – Norma sobre gestão de riscos do SGSI;
• ISO/IEC 27006 – Norma sobre auditoria e certificação de

SGSI.
O SGSI proporciona, dentre outras facilidades, a gestão dos riscos

da segurança da informação garantindo que esta não seja negada,
não se torne indisponível, não se perca (destruída ou danificada),
não seja divulgada sem autorização ou roubada.
As ameaças são ações que, quando exploradas, podem gerar

vulnerabilidade e permitir ataques, provocando incidentes
e comprometendo as informações gerando perda de
confidencialidade, disponibilidade e integridade.
As ameaças podem ser classificadas em três tipos:
• ameaças físicas decorrentes de fenômenos naturais;
• ameaças tecnológicas: provocados por hackers, invasores,

vírus, e também por falhas técnicas (hardware e software) ;
• ameaças humanas: são as mais perigosas, provocadas

por ladrões e espiões (gerando fraudes e roubos), via
“engenharia social”.
65
unidade 3
Os principais benefícios da norma ISO/IEC 27000 são:
• estabelecer uma metodologia clara de Gestão da

Segurança;
• reduzir o risco de perda, roubo ou alteração da informação;
• acessar as informações por meio de medidas de segurança;
• aplicar a Gestão adequada de pessoas a todos os

envolvidos na organização;
• aumentar a segurança em relação à gestão de processos;
• aplicar a legislação sobre informação pessoal, propriedade

intelectual, etc;
• controlar e verificar continuamente os riscos e os seus

controles;
• garantir a confidencialidade e a qualidade comercial.
Dificuldades para Implantação de um SGSI:
• dificuldade na definição no escopo;
• desenvolver uma abordagem sistemática, clara e simples

na gestão do risco;
• dificuldade em testar os planos de continuidade do negócio;
• designar indevidamente a área de TI no desenvolvimento

do projeto;
• visão incorreta no estabelecimento dos parâmetros dos

controles definidos na norma;
• ausência da ação correta ao identificar e usar controles

além da norma;
• pessoal e orçamento com limitações.
66
unidade 3
Ao implantar o SGSI, esperam-se as seguintes melhorias:
• cumprimento dos objetivos organizacionais de segurança

da informação;
• satisfação dos requisitos de segurança de clientes e

parceiros de negócios;
• melhoria nos seus planos e atividades de curto e longo

prazos;
• organização e adequação na gestão dos seus ativos de

informação promovendo a melhoria contínua.
Artigos:
CIPOLI, Pedro. O que é Engenharia Social?. Site Corporate Canaltech
(on-line). Disponível em: <http://corporate.canaltech.com.br/o-que-e/
seguranca/O-que-e-Engenharia-Social/>. Acesso em: 27 jan. 2016.
SACCO, Luiz Antônio. Dicas de segurança no comércio eletrônico. 06
dez. 2013. Site E-commerce Brasil (on-line). Disponível em: <https://
www.ecommercebrasil.com.br/artigos/dicas-de-seguranca-comercio-
eletronico/>. Acesso em: 27jan. 2016.
Vídeos:
ENGENHARIA Social (Segurança da Informação). Postado por: Jefferson
Costa (17min 53seg.): son. Color. Port. Disponível em: <https://www.
youtube.com/watch?v=cK1k0NABPhs>. Acesso em: 27jan.2016.
ISO 27001 - Sistema de Gestão de Segurança da Informação. Postado por:
Prof. Rafael Maia (42min 23seg.): son. Color. Port. Disponível em: <https://
www.youtube.com/watch?v=1t6ZMyJ-n1Q>. Acesso em: 27jan.2016.
67
unidade 3
Estudo das
normas ISO 27005
e ISO 31000 -
Aplicação de
normas e padrões
internacionais
Introdução
As Organizações em todos os planos, níveis e esferas, sejam

públicas ou privadas, estão preocupadas com a segurança de
• Conceitos
suas informações. Isto porque as ameaças estão cada vez mais associados
diversificadas e perigosas, comprometendo as informações. A • Normas ISO /
gerência deste ponto é de total prioridade de suas áreas de TI. A IEC 27005
norma ISO 27005 se bem aplicada nas organizações, irá permitir • ISO 31000 -
que as mesmas administrem melhor tais riscos. Princípios da
Gestão de Riscos,
princípios e
As ameaças têm duas vertentes: acidentais ou intencionais. diretrizes
Em ambos os casos, elas têm relação com os aspectos físicos e
ambientais e quanto à aplicação e ao uso dos sistemas de TI. As
ameaças podem ser de diversos tipos (furto de documentos e
equipamentos, espionagem a distância, escuta não-autorizada,
falsidade de identificação digital, fenômenos da natureza, incêndio,
inundação e radiação eletromagnética).
As consequências dessas ameaças podem ser traduzidas por
vários impactos nos negócios das organizações como, por exemplo,
perdas financeiras, paralização de serviços essenciais, perda de
confiança dos clientes, pane no fornecimento de energia e falhas de
telecomunicações.
Conforme já vimos, as normas são criadas com base em

acordos, cooperações, estudos e avaliações, por um órgão com
conhecimento e competência para tal. Logo, é importante a devida
atenção, compreensão e sua correta aplicação.
As normas propõem várias técnicas a serem adequadas à empresa.

Veremos que uma boa política de gestão da infraestrutura com
controles de acessos, físicos e lógicos bem definidos realmente
minimizam grande parte dos riscos. Elas mostram também que
manter a redundância dos dados, informações e conhecimentos,
além de mantê-los o mais restrito possível (dentro das estratégias
do negócio), é uma das boas práticas propostas.
Conceitos associados
Antes de tratarmos das normas, é importante conhecermos alguns
conceitos que são importantes para compreensão dos assuntos
que veremos aqui. É muito importante que os conheçamos, pois
permitirá integrar os conhecimentos e facilitar o entendimento dos
casos onde seja necessário.
Risco: probabilidade de que algo não tenha sucesso ou não fique

de acordo com o proposto ou esperado, por motivos incertos; eles
podem ser provocados ou serem resultado de ocorrências eventuais
/ naturais. Muitas vezes o risco pode ser previsto e tratado de modo
que não ocorra ou tenha uma baixa probabilidade de ocorrência.
Gestão de riscos: atitudes, políticas, processos e procedimentos,

elaborados e coordenados pelas organizações, na figura dos
gestores, de modo que os riscos sejam tratados da melhor forma,
de acordo com as possibilidades e intenções organizacionais.
Estrutura da gestão de riscos: todos os itens onde as organizações

atuam para a elaboração, implantação, observação, análise e
melhoria contínua do gerenciamento de riscos por toda a empresa.
Esta estrutura envolve processos, tecnologias e pessoas.
Política de gestão de riscos: postura organizacional em relação às

diretrizes e intenções em relação à gestão de riscos. Esta política
deverá estar alinhada com as estratégias e possibilidades da
organização. Veremos que em muitos casos, as empresas preferem
correr um determinado risco, a investir no tratamento dele.
Atitude perante o risco: forma de atuação da organização com o

objetivo de avaliar, assumir, buscar (em alguns casos), manter e
afastar-se do risco. Assim como a política de gestão de riscos, a
atitude deve estar alinhada com as estratégias e possibilidades da
organização.
71
unidade 4
Aversão ao risco: postura onde a organização objetiva afastar-se

dos riscos. Isto nem sempre ocorre, pois há tipos de riscos em que
é melhor aceitar a possibilidade de sua ocorrência do que preveni-lo.
Plano de gestão de riscos: protótipo da estrutura da gestão de

riscos, com a função de detalhar os recursos, a abordagem e os
componentes de gestão que serão aplicados no seu gerenciamento.
Este protótipo deve levar em conta a estratégia de negócios da
empresa, bem como um estudo profundo do impacto de um risco
não tratado.
Atenção ao risco: tipo e quantidade de riscos que uma empresa

tem aptidão para assumir, manter e buscar. É um tópico muito
importante, pois uma avaliação indevida, neste caso, poderá
provocar uma interpretação errada e consequentes perdas
financeiras.
Proprietário do risco: entidade, pessoa ou organização que possui

a autoridade e responsabilidade no gerenciamento do risco. Este
gerenciamento envolve, entre outros pontos, as consequências
da ocorrência de possíveis ameaças previstas e não tratadas
previamente.
Processo de gestão de riscos: fazer com que as práticas,

procedimentos e políticas de gerenciamento sejam aplicados
sistematicamente às atividades de definição do contexto,
comunicação, pesquisa, análise, avaliação, tratamento,
monitoramento dos riscos.
Identificação dos riscos: atitudes e procedimentos de buscar,

reconhecer e descrever os riscos. Esta identificação deve envolver
a todos os interessados da organização, pois por se tratar de uma
das fases iniciais no gerenciamento de riscos, atitudes erradas e/ou
incompletas nesta fase provocarão problemas ligados aos riscos
identificados indevidamente ou não identificados.
72
unidade 4
Processo de avaliação de riscos: procedimentos gerais de

avaliação dos riscos identificados, bem como sua abrangência,
além de propor diretrizes para o devido tratamento.
Perfil de risco: descrição de um conjunto qualquer de riscos

presentes na organização. Esta descrição também deverá estar
alinhada com as estratégias de negócios da organização.
Análise de riscos: processo pelo qual se busca compreender a

natureza do risco e determinar o nível do mesmo. Deve-se utilizar
toda informação e conhecimento disponível de modo a conhecer,
de forma mais profunda, todos os parâmetros e condições que
poderão interferir nos riscos, a possibilidade, frequência de ocorrer
e os impactos, caso ocorram.
Fonte de risco: qualquer componente que possa originar os riscos,

mesmo que este componente atue em conjunto com outro ou tenha
como origem uma fonte externa em relação à organização.
Critérios de risco: pontos referenciais que objetiva avaliar um

determinado risco. Estes pontos são construídos com base na
organização, suas estratégias, atuação no mercado bem como
projeções para o futuro.
Nível de risco: dimensão de um risco. É composto pela combinação

das probabilidades e consequências da ocorrência de um risco.
Este nível não é um conceito isolado, pois deve levar em conta
outros parâmetros como o mercado, clientes, parceiros e toda a
parte interessada (stakeholders.)
Avaliação de riscos: procedimentos em que são comparados os

resultados da análise de riscos com os critérios de risco. O objetivo
é avaliar se um risco ou sua dimensão está dentro dos padrões
aceitáveis, definidos e aprovados pela organização.
73
unidade 4
Tratamento de riscos: Conjunto das tarefas, políticas e processos

que unidos têm a função para excluir, alterar, aceitar, transferir ou
mitigar riscos. A decisão de qual opção escolher irá variar de acordo
com parâmetros organizacionais diversos (Situação do mercado,
participação da organização, capacidade de investimento etc.)
Parte interessada: pessoas e/ou organizações que podem afetar,

serem afetadas, ou perceberem–se afetada por uma decisão ou
atividade que envolva a organização. Conhecido também como
stakeholder.
Estabelecimento do contexto: estruturação de um cenário,

levando em conta os parâmetros externos e internos bem como o
gerenciamento dos riscos, e definição do escopo e dos critérios de
risco no seu gerenciamento.
Contexto externo: ambiente externo onde a empresa quer atingir

seus objetivos (mercado, políticas públicas, condições ambientais
etc.).
Contexto interno: ambiente interno (organizacional) onde a empresa

quer atingir seus objetivos. Os objetivos podem ser:
• estratégias, objetivos e políticas implantadas;
• o status organizacional no que se refere ao conhecimento

e aos recursos (sistemas, recursos financeiros, tempo,
processos, pessoas e tecnologias);
• governança, estrutura organizacional, funções e

responsabilidades;
• atuação das partes internas interessadas e o

relacionamento entre elas;
• fluxos e sistemas de informação e influência dos processos

informais e formais na tomada de decisão;
• normas, modelos e diretrizes organizacionais;
74
unidade 4
• a própria cultura da empresa;
• tipo das relações contratuais sejam formais, explicitas ou

tácitas.
Comunicação e consulta: é tudo o que é feito pela organização,

de forma contínua, no sentido de disseminar e obter informações
relativas ao gerenciamento dos riscos.
Evento: é uma ocorrência. Algo que promove uma alteração em

alguma situação ou conjunto delas.
Consequência: resultado de um evento que altera o percurso ou

objetivos.
Probabilidade: chance de que algum evento aconteça.
Controle: medidas com o objetivo de alterar o risco. Elas podem ser

dispositivos, práticas, processos, políticas, etc. Pode ocorrer de o
controle não exercer o efeito desejado sobre o risco.
Risco residual: é o risco que permanece após o tratamento dos

riscos.
Monitoramento: ato de identificar e acompanhar continuamente

uma determinada situação, com o objetivo de detectar alterações
na performance esperada.
Análise crítica: atividade onde são verificadas a suficiência,

adequação, eficiência e eficácia de um determinado assunto
de modo que os objetivos sejam atingidos. Esta análise pode
ser aplicada ao processo e à estrutura da gestão bem como aos
controles dos riscos conforme descrito abaixo. É importante lembrar
que estes conceitos se interconectam devendo ser avaliados de
forma integrada.
75
unidade 4
Princípios da Gestão
A gestão de riscos é parte integrante de todos os processos

organizacionais: pois não é uma atividade autônoma separada
dos demais processos e atividades da organização. Esta gestão
compõe as responsabilidades da administração e é parte dos
processos organizacionais, tais como o planejamento estratégico e
os processos de gestão de mudanças e gestão de projetos.
A gestão de riscos aborda explicitamente a incerteza: isto porque

risco e incerteza estão ligados. A incerteza de que algo pode não
funcionar está associada aos próprios riscos.
A gestão de riscos é sistemática, estruturada e oportuna:

ela contribui para a eficiência e para os resultados confiáveis,
consistentes e comparáveis.
A gestão de riscos é parte da tomada de decisões: já que auxilia

os responsáveis pelas decisões a fazer escolhas conscientes,
priorizando ações e escolhendo formas diferentes de agir.
A gestão de riscos baseia-se nas melhores informações

disponíveis: os dados utilizados no gerenciamento de riscos são
fundamentados em fontes de informação, como dados históricos,
observações, previsões, experiências, estudos de especialistas.
Entretanto, é importante que gestores estejam atentos às limitações
ou modelagem dos dados. A possibilidade de divergências entre
pontos de vistas de especialistas é também um fator a ser levado
em conta.
A gestão de riscos é feita sob medida: ela deve estar alinhada à

estratégia organizacional, levando em conta os contextos interno e
externo com o perfil do risco.
76
unidade 4
A gestão de riscos considera fatores humanos e culturais: ela deve

estar atenta e reconhecer as intenções, percepções e capacidades
do pessoal (interno e externo) Isto porque eles podem dificultar ou
facilitar a realização dos objetivos organizacionais.
O gerenciamento de riscos gerando e protegendo valor: isso ocorre

já que a gestão de riscos proporciona maior facilidade na obtenção
das metas e objetivos, aumentando o desempenho organizacional.
A gestão de riscos é transparente e inclusiva: isso é fundamental

já que as partes interessadas devem estar envolvidas de forma
adequada, em todos os níveis da empresa, fazendo a gestão de
riscos permanecer de acordo com os objetivos organizacionais.
Este fato também proporciona a devida representação das partes
interessadas de modo que possam opinar e atuar corretamente.
A gestão de riscos facilita a melhoria contínua da organização:

melhoria contínua deve ser uma prática constante no cotidiano da
organização, incluindo a gestão de riscos, pois os riscos mudam
tanto em dimensão quanto em tipo.
A gestão de riscos é dinâmica, iterativa e capaz de reagir a

mudanças: Sabemos que as circunstâncias se alteram com muita
frequência em qualquer área do conhecimento. Sendo assim, a
gestão de riscos deve perceber e reagir às mudanças de forma
rápida e eficiente.
77
unidade 4
Normas ISO / IEC 27005

Norma sobre gestão de riscos do Sistema de Gestão de Segurança
da Informação (SGSI). Estabelecem diretrizes para o processo de
gestão de riscos de segurança da informação. Deve permitir que
o processo de segurança da informação ocorra de maneira eficaz,
eficiente e sem interrupções ao longo do tempo.
Esta norma dá suporte aos conceitos definidos na norma ISO
27001, (norma de requisitos de sistemas de gestão da SI), e auxilia

na implementação e certificação do SGSI.
Apesar desta norma tratar a gestão de riscos de segurança da

informação, ela não trata de um método específico. Por isto é
necessário que cada empresa defina a melhor metodologia, de
acordo com o cenário no qual se encontre.
Segundo esta norma, todas as atividades são compostas por:
• entrada: identifica as informações necessárias para a

execução da atividade;
• ação: descreve a atividade;
• diretrizes: fornece as diretrizes para a implementação das

ações;
• saída: identifica as informações resultantes da atividade.
É fundamental que os tópicos escopo, objetivo, métodos e critérios

(avaliação, impacto e tratamento de risco) além do setor da
organização, que será responsável pelo GRSI (Gerenciamento de
Riscos de Segurança da Informação), sejam definidos de modo que
este gerenciamento seja coeso e eficiente.
78
unidade 4
As diretrizes para a implementação desta norma são:
• definição do contexto: definir os limites e o escopo que

servirão de base para a gestão de riscos;
• identificação de riscos: conhecer e relacionar os possíveis

eventos que terão impacto negativo nos negócios da
empresa;
• estimativa de riscos: valorar qualitativamente e/ou

quantitativamente o impacto de um possível risco além de
avaliar a probabilidade que aconteça;
• avaliação de riscos: estabelecer a prioridade de cada risco

por meio de comparações entre os níveis estimado e
aceitável, definidos pela empresa;
• tratamento do risco: criar e implantar controles com o

objetivo de diminuir, reter, evitar e transferir riscos;
• aceitação do risco: os planos de tratamento do risco bem

como os riscos residuais, a respectiva aprovação, devem
ser documentados e aprovados pelas partes interessadas;
• comunicação do risco: a comunicação dos riscos e dos

controles adotados deve ser ampla e abranger a todos os
stakeholders;
• monitoramento e análise crítica de riscos: processo

continuo de verificação dos riscos e respectivas causas,
com o objetivo de perceber possíveis alterações nos
procedimentos, fazendo com que a gestão de riscos de
segurança da informação esteja em conformidade com a
situação organizacional.
79
unidade 4
ISO 31000 - Princípios

da Gestão de Riscos,
princípios e diretrizes
Esta norma estabelece estrutura, princípios e um processo para
gerir qualquer tipo de risco, de forma sistemática, transparente
e confiável em qualquer situação. Ela disponibiliza os parâmetros
para a gestão de risco, com os princípios e as diretrizes, além de
auxiliar as empresas a gerir o risco de forma eficaz e eficiente. É

referência mundial em gestão de riscos. Várias normas de gestão,
com o objetivo de abordar o risco com um mesmo padrão, utilizam-
se, como base nesta norma, de seus princípios, diretrizes e estrutura.
A ISO 31000 veio para ser uma referência na prática de gestão de

riscos. Ela pode ser aplicada a qualquer empresa e a qualquer tipo
de risco de qualquer tipo de negócio. Essa norma trata a gestão
de riscos a um nível corporativo e não só no âmbito da Segurança
da Informação, fornecendo detalhes de cálculos de probabilidade,
avaliação de consequências. Ela é uma norma bem ampla,
tratando sobre todos os tipos de risco, sejam eles financeiros,
administrativos, econômicos, de gestão, crises locais e crises
mundiais. Além disso, estabelece bases para que a organização
consiga prever o máximo de riscos possíveis. Com esta previsão,
a organização pode estabelecer políticas internas, aliadas à norma,
de modo a tratar estes riscos com as melhores práticas.
80
unidade 4
A série ISO 31000 é composta por três normas. As duas primeiras

orientam a organização a construir e manter a sua gestão de
riscos. A terceira (ISO Guia 73) mostra um glossário com termos
pertinentes à gestão de riscos. Portanto a ISO 31000 trata dos
conceitos básicos, diretrizes e princípios para a implantação
da gestão de riscos. Já a ISO/IEC 31010 trata dos métodos de
avaliação e gerência de riscos.
Os principais benefícios da aplicação desta norma são:
• faz com que a governança e a eficiência operacional

tenham ganhos significativos;
• aumenta a confiança dos stakeholders em relação à

organização bem como no uso das técnicas de gestão de
A ISO 31000 veio
risco;
para ser uma
referência na prática
• reduz perdas por meio da aplicação de controles e de
de gestão de riscos.
métodos de gestão para a análise dos riscos;
• aumenta a performance e a resiliência dos processos de

gestão;
• aumenta a resposta em relação às mudanças fazendo com

que fique mais eficiente protegendo a organização no seu
processo de expansão.
Objetivos e aplicações da gestão de

riscos e das normas ISO/IEC 27005 e
ISO 31000
A Gerência de Riscos trata o risco com uma visão estatística

e probabilística de sua ocorrência. As empresas que tratam e
gerenciam os riscos de forma eficiente e eficaz conseguem alto
nível de proteção e estabilidade além de expandir seus negócios
com maior assertividade. Em relação às normas, as organizações
devem integrar as melhores práticas no seu cotidiano operacional,
aplicando-as de forma ampla nas práticas empresariais.
81
unidade 4
A função da Gestão de Riscos é a de minimizar perdas e seus

efeitos, decorrentes dos riscos inerentes a cada tipo de negócio.
São utilizadas técnicas de análises e inspeções, com o objetivo de
evitar que essas perdas ocorram ou reduzindo a frequência de sua
ocorrência e/ou reduzir os efeitos desses riscos, fazendo com que
fiquem dentro de um valor estipulado pela organização.
Não há uma forma única (ou metodologia padrão) de Gerenciar os

Riscos. Muitas vezes o que é feito é comparar os procedimentos
vigentes com os padrões, avaliando as possíveis alterações.
O Gerenciamento
de Riscos é um
O Gerenciamento de Riscos é um processo contínuo de busca de processo contínuo
possíveis problemas com o objetivo de evitá-los. A avaliação de risco de busca de
trata de várias nuances que podem influenciar a organização. Tais possíveis problemas
com o objetivo de
como financeiro, administrativo, operacional, expansão do negócio,
evitá-los.
limitações por imposições legais. Os riscos devem ser tratados de
acordo com sua prioridade, ou seja, riscos de média probabilidade
de ocorrência e alto impacto financeiro devem ser priorizados em
relação aos riscos com alta probabilidade de ocorrer, porém com
baixo impacto financeiro.
O conhecimento da real dimensão de um risco ocorre a partir do

momento que ele é quantificado e qualificado.
A qualificação é a identificação da qualidade e do tipo de risco.
A quantificação é a determinação do valor da possível perda,

normalmente indicada em percentual ou em valor absoluto.
Tanto o tipo de risco quanto o valor do prejuízo são muito

significativos para a determinação do custo do risco. De acordo
com o custo do risco, é possível elaborar um plano de tratamento
das perdas ou transferir esse risco.
82
unidade 4
A transferência de um risco não isenta uma organização de todas as

preocupações ou prejuízos, ainda que as perdas sejam reparadas.
Com o objetivo de criar um SGSI eficaz, são necessárias uma

abordagem sistemática no gerenciamento de riscos de segurança
da informação e identificar as necessidades da organização em
relação aos requisitos deste tipo de segurança. É muito importante
que essa abordagem seja adequada ao ambiente organizacional,
além de estar alinhada aos processos de gestão de riscos
corporativos. Além disso, os esforços de segurança devem tratar
os riscos de maneira efetiva e no tempo adequado, sempre que
necessário. É fundamental que a gestão de riscos de segurança da
informação componha as atividades de gestão de segurança da
informação e que seja aplicada na implementação e na operação
cotidiana de um SGSI.
Essa gestão de riscos deve ser um processo contínuo e com

melhoria contínua. Esse processo deve definir os cenários externo e
interno, avaliar os riscos e tratá-los com um plano adequado com o
objetivo de implementar o que foi estabelecido. A gestão de riscos,
antes de decidir o que será ou não feito, também deve analisar os
possíveis acontecimentos e suas consequências, com o objetivo
de manter os riscos a um nível aceitável de acordo com o que foi
proposto.
A recomendação da norma como diretrizes para sua implementação

é basicamente o monitoramento contínuo da ABNT NBR ISO/IEC
27005 como segue:
• novos ativos incluídos no escopo;
• modificações dos valores dos ativos;
• novas ameaças que possam afetar os ativos;
• possíveis novas vulnerabilidades ou ampliação das

existentes;
83
unidade 4
• as consequências de ameaças, vulnerabilidades e riscos

avaliados em conjunto;
• incidentes relacionados à segurança da informação.
Sendo assim, podemos concluir que o processo de gestão de riscos

de segurança da informação possui uma ampla atuação, podendo
ser aplicado em toda a organização, seja em uma área específica,
aos sistemas, controles etc.
Os principais benefícios das normas ISO/IEC 27005 e ISO/IEC

31000 como guia para a gestão de riscos são:
• facilitar a identificação de riscos;
• melhoria do entendimento, da comunicação, da

possibilidade e das consequências dos riscos;
• adequação na definição e priorização das ações para

reduzir a ocorrência dos riscos;
• avaliar adequadamente os riscos em relação ao negócio

levando em conta a probabilidade de sua ocorrência e as
possíveis consequências;
• facilitar a definição da ordem prioritária no tratamento do

risco;
• melhoria da eficácia e eficiência no monitoramento do

tratamento dos riscos;
• maior engajamento das partes interessadas na tomada de

decisões de gestão de riscos;
• melhoria do fator “comunicação” em toda a organização,

mantendo as partes interessadas informadas sobre os
assuntos da gestão de riscos;
• possibilitar o monitoramento contínuo e análise crítica

periódica dos riscos e do processo de sua gestão;
84
unidade 4
• permitir a criação de treinamentos adequados dos

colaboradores em todos os níveis em relação aos riscos e
das ações adequadas para cada caso;
• melhorar o foco na coleta de dados e informações com o

objetivo de melhorar a abordagem da gestão de riscos.
Diferenças básicas entre as normas ISO 27005 e ISO 31000
A ISO 27005 trata exclusivamente dos riscos em Segurança da

Informação, direcionando todos os pontos de uma avaliação de
riscos compreendidos entre a análise e o tratamento dos riscos.
Segundo esta norma, os pontos são:
• definição do contexto ou escopo;

Já a ISO 31000 trata
a gestão de riscos a
• identificação dos riscos;
um nível corporativo
e não somente no
• estimativa do risco;
nível da Segurança
• avaliação das estimativas de riscos realizadas;
da Informação.
• tratamento dos riscos;
• monitoramento dos riscos.
Esta norma tem como meta estabelecer um processo de

gerenciamento de riscos de segurança da informação em uma
organização, não impondo uma metodologia específica.
Já a ISO 31000 trata a gestão de riscos a um nível corporativo e

não somente no nível da Segurança da Informação. Esta norma
trata de processos e procedimentos, para gerenciar riscos por meio
da identificação, análise e avaliação. Além disso, avalia se o risco
deverá ser modificado e/ou tratado com o objetivo de atender os
critérios de risco definidos pela empresa.
85
unidade 4
Ela fornece detalhes de cálculos de probabilidade, avaliação de

consequências.
Existem algumas diferenças em cada uma das normas com relação

a escopo, estrutura, processo e execução do processo.
Em relação escopo, ISO/IEC 31000 se aplica qualquer setor da

organização em várias atividades, enquanto a ISO/IEC 27005 é uma
norma voltada especificamente para a segurança da informação.
Em relação a estrutura, ISO/IEC 31000 apresenta uma visão de alto

nível dos componentes necessários no gerenciamento de riscos, e
o relacionamento entre os mesmos. Já a ISO/IEC 27005 apresenta
uma descrição da estrutura das atividades existentes no processo,
com elementos que estarão presentes em cada uma delas.
Em relação a processo, ambas apresentam um processo dividido

em atividades semelhantes. Porém a ISO/IEC 31000 define sete
atividades, e a ISO/IEC 27005 define seis. As atividades de análise e
avaliação de riscos foram agrupadas em um só conjunto.
Em relação à execução do processo, ISO/IEC 27005 sugere que a

análise, avaliação e tratamento de riscos sejam executadas de forma
iterativa, sendo que em cada iteração haverá maior detalhamento e
aprofundamento, isso não ocorre na ISO/IEC 31000.
Cada uma das normas possui características únicas. Em resumo,

a principal característica da norma ISO/IEC 31000 é fazer com que
a gestão de riscos seja tratada de forma integrada na organização,
aliando-se com outros padrões existentes, e no caso da ISO/IEC
27005, seu principal objetivo é atender aos requisitos exigidos para
um SGSI de acordo com a ISO/IEC 27001. Desta forma, ela está
alinhada à família de normas ABNT NBR ISO/IEC 27000, tratando
exclusivamente da Segurança da Informação.
86
unidade 4
Comparativos na estrutura, escopo e processo.
Apesar de possuírem focos diferentes, as duas normas têm o

mesmo objetivo, ou seja, a gestão de riscos. Elas são similares na
sua estrutura, escopo e processo. Serão explicadas rapidamente as
etapas contidas em cada uma das figuras.
FIGURA 1 - Processos de Gestão de Riscos
Fonte: Adaptado de ABNT NBR ISO/IEC 31000
87
unidade 4
FIGURA 2 - Processos de Gestão de Riscos de Segurança da

Informação
Fonte: Adaptado de ABNT NBR ISO/IEC 27005,2008
Assista com atenção ao vídeo “Gestão do Conhecimento, Inteligência
Organizacional e Governamental”.
Reflita sobre os pontos mais importantes e sua relação com a Segurança
da Informação e com as normas ISO 27005 e ISO 31000.
88
unidade 4
Revisão
As Ameaças têm duas vertentes: acidentais ou intencionais. Em
ambos os casos, as ameaças têm relação com os aspectos físicos
e ambientais quanto à aplicação e ao uso dos sistemas de TI.
As consequências dessas ameaças podem ser traduzidas por

vários impactos nos negócios das organizações como, por exemplo,
perdas financeiras, paralização de serviços essenciais, perda de
confiança dos clientes, pane no fornecimento de energia e falhas de
telecomunicações.
Norma ISO / IEC 27005: Norma sobre gestão de riscos do SGSI.

Estabelece diretrizes para o processo de gestão de riscos de
segurança da informação.
Segundo esta norma, todas as atividades são compostas por:
• entrada: identifica as informações necessárias para a

execução da atividade;
• ação: descreve a atividade;
• diretrizes: fornece as diretrizes para a implementação das

ações;
• saída: identifica as informações resultantes da atividade.
ISO 31000 - Princípios da Gestão de Riscos, princípios e diretrizes:

essa norma estabelece estrutura, princípios e um processo para
gerir qualquer tipo de risco, de forma sistemática, transparente e
confiável em qualquer situação.
A Gerência de Riscos trata o risco com uma visão estatística e

probabilística de sua ocorrência. A função da Gestão de Riscos é a
de minimizar perdas e seus efeitos, decorrentes dos riscos inerentes
a cada tipo de negócio.
89
unidade 4
Não há uma forma única (ou metodologia padrão) de Gerenciar os

Riscos. Muitas vezes o que é feito é comparar os procedimentos
vigentes com os padrões, avaliando as possíveis alterações.
O Gerenciamento de Riscos é um processo contínuo de busca de

possíveis problemas com o objetivo de evitá-los.
A qualificação é a identificação da qualidade e do tipo de risco.
A quantificação é a determinação do valor da possível perda,

normalmente indicada em percentual ou em valor absoluto.
De acordo com o custo do risco, é possível elaborar um plano de

tratamento das perdas ou transferir este risco.
A recomendação da norma, como diretrizes para sua

implementação, é basicamente o monitoramento contínuo da ABNT
NBR ISO/IEC 27005 como segue:
• novos ativos incluídos no escopo;
• modificações dos valores dos ativos;
• novas ameaças que possam afetar os ativos;
• possíveis novas vulnerabilidades ou ampliação das

existentes;
• as consequências de ameaças, vulnerabilidades e riscos

avaliados em conjunto;
• incidentes relacionados à segurança da informação.
90
unidade 4
Os principais benefícios da norma ISO/IEC 27005 como guia para

a gestão de riscos são:
• facilitar a identificação de riscos;
• melhoria do entendimento, da comunicação, da

possibilidade e das consequências dos riscos;
• adequação na definição e priorização das ações para

reduzir a ocorrência dos riscos;
• avaliar adequadamente os riscos em relação ao negócio,

levando em conta a probabilidade de sua ocorrência e as
possíveis consequências;
• facilitar a definição da ordem prioritária no tratamento do

risco;
• melhoria da eficácia e eficiência no monitoramento do

tratamento dos riscos;
• maior engajamento das partes interessadas na tomada de

decisões de gestão de riscos;
• melhoria do fator “comunicação” em toda a organização,

mantendo as partes interessadas informadas sobre os
assuntos da gestão de riscos;
• possibilitar o monitoramento contínuo e análise crítica

periódica dos riscos e do processo de sua gestão;
• permitir a criação de treinamentos adequados dos

colaboradores em todos os níveis em relação aos riscos, e
das ações adequadas para cada caso.
• melhorar o foco na coleta de dados e informações com o

objetivo de melhorar a abordagem da gestão de riscos.
91
unidade 4
LEITE, Tácito Augusto S. Segurança física e lógica rumo à segurança
integral. Site It fórum 365 (online). Disponível em: <http://itforum365.com.
br/noticias/detalhe/117886/seguranca-fisica-e-logica-rumo-a-seguranca-
integral> Acesso em: 01 fev. 2016.
TORRES, Sthefane. 6 Casos Reais de falhas de segurança em grandes
empresas. Site Trust Sign (on-line). Disponível em: <https://www.trustsign.
com.br/portal/blog/6-casos-reais-de-falhas-de-seguranca-em-grandes-
empresas/> Acesso em: 01. fev. 2016.
92
unidade 4
Estudo da norma
ISO 22301 -
Aplicação de
normas e padrões
internacionais
Introdução
No início, quando a tecnologia da informação se aliou mais

fortemente a sua segurança, as organizações passaram a
compreender a importância do cuidado com preservação da
• A Norma ISO
informação nos seus pilares básicos (integridade, disponibilidade, 22301
autenticidade, confidencialidade). O ambiente computacional era
restrito e com maior facilidade de controlar. Isso gerava um quadro
maior de segurança para a informação.
Nos dias de hoje, com a expansão tecnológica e de conhecimentos,

esse cenário tornou-se mais competitivo e complexo. Desta forma,
o risco de acesso indevido à informação aumentou na mesma
proporção. E, como sabemos, a informação é ativo de maior
importância estratégica organizacional. Sendo assim, a atenção às
vulnerabilidades é fundamental, pois reduz o risco de ameaças e de
consequentes perdas financeiras.
Assim, aumentou-se a preocupação das empresas com a
continuidade de seus negócios. Essa preocupação tornou-se ainda
maior com o ocorrido em 11 de setembro de 2001 (ataque terrorista
às torres gêmeas nos Estados Unidos), exigindo que normas e
procedimentos relacionados à segurança da informação, fossem
revistos, reformulados e até criados. O objetivo dessa mudança de
cenário foi fazer com que as organizações estivessem protegidas
contra atividades que pudessem tornar inacessíveis os seus ativos
de informação.
Os negócios das organizações, normalmente, baseiam-se em

níveis fundamentais, nas informações e nos recursos e serviços da
Tecnologia da Informação (TI). Nesse cenário, devemos entender
e avaliar como a TI trata os problemas associados que afetam o
funcionamento organizacional em si.
Com isso, podem surgir algumas perguntas pertinentes: como

esta área se preparou para prever, lidar e reagir a sinistros que
prejudiquem o funcionamento da empresa? Caso ocorram, o que
será impactado? A empresa irá parar?
Com apenas esses pontos, podemos entender a importância de um

plano de gestão de continuidade no negócio. É esta compreensão
que a norma ISO 22301 irá nos auxiliar a ter. A seguir, estão descritos
os principais pontos e sugestões dessa norma e a forma adequada
de aplicação.
A Norma ISO 22301

Antes de tratarmos da Norma ISO 22301, é importante salientar
que esta norma deriva da NORMA BS 25999-1. Ela foi criada em
2007, com o objetivo de estabelecer e sugerir as melhores práticas
para que os gestores das organizações entendam, desenvolvam
e implementem procedimentos e rotinas para a continuidade dos
negócios.
96
unidade 5
Os fundamentos da Gestão da Continuidade de Negócios são:
• aprimorar a resiliência da Empresa em relação a problemas

e interrupções de sua capacidade de produzir e/ou entregar
serviços e atingir seus principais objetivos;
• proporcionar recursos e métodos para que produza ou

ofereça serviços, dentro de um nível aceitável;
• adquirir uma sólida capacidade de gestão a ser aplicada em

uma interrupção na organização, resguardando a reputação
da empresa.
A norma descreve alguns elementos chaves que o PGCN (Plano de

Gestão de Continuidade de Negócios) deve conter, a saber:
• entender o cenário dos processos operacionais da empresa;
• entender as barreiras ou possíveis interrupções na entrega

de produtos ou processo pela organização;
• entender os produtos e processos críticos que a empresa

disponibiliza;
• compreender como a empresa continuará a produzir no

caso de um sinistro;
• entender como a empresa disponibilizará uma resposta

rápida e quais as rotinas para recuperação;
• fazer com que a parte interessada compreenda as próprias

funções e responsabilidades no caso de um sinistro;
• criar juntamente com toda a parte interessada a

implementação, execução e a manutenção da continuidade
nos negócios;
• fazer com que a organização internalize todas as rotinas da

gestão da continuidade do negócio.
97
unidade 5
A Gestão da continuidade do negócio (GCN) deve ser definida

dentro da organização e estar relacionada com a estratégica
organizacional e com a gestão de risco.
A elaboração do GCN irá resultar na criação de um ou mais Planos

de Continuidade de Negócios (PCN).
Ciclo de vida da Gestão da

continuidade do negócio (GCN)
O ciclo de vida se constitui de seis etapas fundamentais para o
entendimento, desenvolvimento e implementação do GCN.
A figura abaixo esboça o ciclo de vida da gestão de continuidade de

negócios.
FIGURA 1 - Ciclo de vida da gestão de continuidade de negócios
Fonte: Do próprio autor.
98
unidade 5
Etapas do Ciclo de vida da Gestão da

continuidade de negócios (GCN)
Em nível Brasil, a GCN é algo relativamente recente e tem por
objetivo restaurar o ambiente de produção, mesmo que ocorrências
diversas (físicas, sabotagem, invasões, softwares, processos,
pessoas, infra-estrutura, hardware) suspendam suas operações.
Os processos associados a GCN não são estáticos. Na realidade,

estão em constante alteração. Sendo assim, são necessárias
mudanças no tratamento do atendimento às especificações de
continuidade e a devida atenção aos procedimentos de resposta.
Em situações de crise, pode provocar grande impacto nos negócios
da organização.
Hoje em dia no Brasil, os procedimentos ligados à continuidade dos

negócios estão lamentavelmente restritas as empresas em que os
negócios estejam intimamente ligados à Tecnologia da Informação,
bem como as que possuem as sedes em outros países, onde
a atenção às atividades da continuidade dos negócios é mais
evoluída. Infelizmente, a maior parte das organizações brasileiras
ainda não se deram conta da economia embutida nas metodologias
e melhores práticas para o desenvolvimento da GCN.
A garantia de que o negócio não irá parar proporciona a diminuição

de perdas financeiras como multas, penalidades legais, perda
de mercado e visibilidade, já que a empresa continua a atender o
cliente em função da GCN.
99
unidade 5
A seguir, estão os principais benefícios da implantação de um

sistema de gestão da continuidade de negócios (GCN):
• proteção de valor para os stakeholders;
• maior entendimento da organização, obtido por meio da

análise e identificação dos riscos;
• resiliência organizacional em relação às suas operações,

reduzindo os riscos;
• identificação e implementação de soluções e procedimentos

alternativos. Assim, o tempo de inatividade é reduzido;
• proteção e manutenção das informações representadas

por documentos e registros;
• eficiência e eficácia operacional são aprimoradas utilizando

a reengenharia de processos de negócios e TI;
• garantia da continuidade da prestação de serviços e

produção de bens;
• aprimoramento da segurança organizacional.
Como exercitar os planos de

continuidade de negócios (PCN)
Os exercícios, em âmbito geral, são procedimentos elaborados
com o objetivo de avaliar a capacidade de reação (parceiros e
colaboradores), recuperação e continuação eficaz na execução
de suas funções na organização, no caso, problemas que gere
interrupção. É importante que a empresa utilize de exercícios
e dos respectivos resultados para garantir que seus planos de
continuidade de negócios são eficazes, estáveis e seguros.
100
unidade 5
Cada um desses exercícios deve possuir objetivos e metas definidos

de forma clara e, tenham por base, o cenário mais próximo de uma
situação real. Isso porque eles devem antecipar um resultado e
permitir o desenvolvimento de soluções inovadoras. Além disto,
esses exercícios devem ser planejados em acordo com todos os
stakeholders, com o objetivo de reduzir o risco de interrupção a
níveis mínimos.
É fundamental que o exercício ocorra em um ambiente controlado

e isolado para não interferir na rotina organizacional. Além disso, é
muito importante que a empresa projete cenários que atendam aos
objetivos, usando as ameaças enumeradas na avaliação de risco e
nos demais eventos adequados a este fim.
A eficácia e a eficiência dos processos e procedimentos da GCN

exigirá que algumas pessoas que exerçam posições específicas
possuam habilidades, conhecimentos e compreensões. Eles
devem ser posicionados antes do exercício, proporcionando aos
participantes a aplicação destes às simulações e aos cenários
importantes.
Os exercícios devem ser projetados e conduzidos com o objetivo de:
• verificar se o RTO (Tempo Objetivado para Recuperação)

está em conformidade com o ideal;
• verificar a atualização das informações exigidas pelas

atividades;
• melhorar a compreensão das interdependências de

continuidade dos negócios e fornecedores e demais
stakeholders;
• aumentar a consciência do contexto e prioridades da

empresa;
• melhorar o entendimento da utilização e do conteúdo dos

processos e procedimentos de continuidade de negócios;
101
unidade 5
• melhorar a confiabilidade na resposta a incidentes;
• gerar oportunidades das capacidades gerais da

organização;
• propor avaliações da utilidade e aplicabilidade das

estratégias de continuidade de negócios;
• propor a documentação adequada das capacidades

desenvolvidas e alocação de recursos não documentados
anteriormente;
• identificar e documentar as práticas e necessidades

anteriores de um sinistro ou interrupção não documentadas;
• gerar oportunidades para identificar outras insuficiências

nos procedimentos de continuidade de negócios;
• garantir que os procedimentos de continuidade de negócios

podem ser implementados;
• melhorar a confiança dos stakeholders em relação ao

cumprimento dos requisitos de governança propostos, em
níveis contratuais.
Os exercícios normalmente variam de forma e aplicação. Quem

define a forma adequada em relação aos objetivos e aplicação do
exercício é a GCN, além, é claro, da disponibilidade orçamentárias
dos participantes e da capacidade da empresa relativa à possível
interrupção operacional em função do exercício.
102
unidade 5
Etapas fundamentais para o

entendimento, desenvolvimento e
implementação do GCN
Entendendo a organização: realizar uma análise de impacto

no negócio criando um mapeamento dos produtos e serviços
fundamentais. Além disso, deve-se identificar as atividades que
suportam a entrega dos produtos e serviços, estimando o tempo
para recuperação no caso de sinistro. Identificar e avaliar as
ameaças mais importantes e a forma correta de tratar os riscos.
Determinando a estratégia da continuidade de negócios: a

empresa necessita definir as estratégias para a GCN. Para isto, é
importante analisar e escolher entre as possibilidades em relação
às estratégias disponíveis usando parâmetros como tempo, custo
e os recursos necessários, tais como: instalações, tecnologia,
informação, pessoas e suprimentos.
Desenvolvendo e implementando uma resposta de GCN: após

a definição da estratégia, a organização precisa criar um plano
de resposta para os incidentes. Esse plano deve atender às
expectativas dos stakeholders e estar de acordo com o que foi
avaliado na análise de impacto do negócio. Esse plano deve conter
itens como: o objetivo, responsabilidade dos envolvidos, forma
e data de ativação, definição do responsável por manter, alterar e
atualizar o plano e o tipo de comunicação dos fatos com a mídia e
stakeholders da organização.
103
unidade 5
Testando, mantendo e analisando os preparativos de GCN: após

as etapas anteriores, a empresa necessita implantar os testes do
GCN. Esse programa de testes deverá possuir: a definição do nível
de complexidade do teste e o que cada envolvido deve fazer. Além
disso, deve-se realizar uma análise dos resultados, a manutenção
do programa de testes e a definição das auditorias que irão verificar
as conformidades do GCN com os demais parâmetros (legislação,
padrões e guias).
Plano de Continuidade de negócios

tendo a área de TI como aliada
Muitas organizações se sentem preparadas por apenas possuírem
um plano de contingência. Porém, como fica a questão da
continuidade do negócio (lembrando que são conceitos distintos).
A contingência é uma das providências a serem tomadas no caso
da ocorrência de um problema. Já a continuidade do negócio
está ligada ao tempo necessário para que a empresa retome as
atividades após a ocorrência do problema. E como este objetivo
é atingido? O PCN é um plano e, como tal, é construído a partir
de informações da organização, com o objetivo de enumerar e
descrever os procedimentos que envolvem o PCN constituído por
Plano de Gerenciamento de Crise, Plano de Emergência, Plano
de Contingência e Plano de Retorno, é necessário seguir alguns
passos:
1. entender e identificar todos os componentes de TI que

embasam operações de negócio em todos os níveis;
2. analisar o ambiente que consiste, além de outros processos,

em produzir uma matriz de risco que localize os riscos mais
críticos no ambiente físico e lógico;
104
unidade 5
3. analisar o impacto no negócio, fornecendo o pleno

entendimento de quanto a TI pode interferir na operação
de negócio, avaliando quanto custa uma "parada de
operação" ao longo do tempo. Essa informação, facilita o
entendimento do quanto deve ser investido em TI de modo
a dar o devido suporte a continuidade do negócio;
4. definir as estratégias de continuidade. Aqui a organização

se preocupa com as soluções de contingência, pensando
também na continuidade;
5. elaborar os documentos do Plano de Continuidade de

Negócio. Essa etapa é o momento onde a organização vai
reunir todo o conhecimento sobre a relação TI x Negócio e
elaborar as ações que devem ocorrer para:
• identificar uma crise;
• organizar a tomada de decisão no caso de crise;
• organizar as pessoas adequadas para a execução das

atividades que atenderão a empresa no momento da
crise;
• definir e documentar o conhecimento técnico específico

para que a TI possa restabelecer, o quanto antes, a
operação do negócio (contingência) e, posteriormente,
voltar ao ambiente normal de produção (retorno).
Além do que foi exposto, serão definidas muitas atividades que

serão executadas antes que uma crise ocorra, com o objetivo de
melhorar e atualizar o PCN continuamente e de maneira organizada
e consistente. A figura abaixo sintetiza os pontos avaliados.
105
unidade 5
FIGURA 2 – Pontos determinantes na gestão de continuidade de

negócios
Fonte: Do próprio Autor.
“PCN – Empresa de remoção de doentes”
Você foi procurado, para elaborar um laudo técnico, por uma empresa de
remoção de doentes, com as seguintes características:
• a empresa possui 2 sócios e 4 colaboradores, sendo 3 motoristas
de ambulância e um encarregado de serviços gerais;
• toda a parte financeira é feita por uma sócia que também cuida da
folha de pagamento, compra de materiais, gestão de manutenção
das ambulâncias e contratação de pessoal;
• possui 2 computadores (sendo um servidor) conectados por uma
rede wi-fi.
• o servidor contém todas as informações, sistemas e planilhas de
controles.
• não há política de backup.
Com base no que vimos até aqui, avalie o cenário descrito, indique os
pontos críticos e proponha as devidas soluções.
106
unidade 5
Revisão
Plano de Continuidade de Negócios (PCN): seu objetivo principal
é possibilitar que a organização funcione em um nível aceitável em
situações de problemas onde exista indisponibilidade dos recursos
de informação.
Gestão da Continuidade de Negócios (GCN): deve ser definida

dentro da organização e estar relacionada com a finalidade
estratégica organizacional e com a gestão de risco.
Ciclo de vida da GCN: o ciclo de vida é composto pelas

etapas a seguir e estas são necessárias para o entendimento,
desenvolvimento e implementação do GCN, a saber:
• Entendendo a organização;
• Determinando a estratégia da continuidade de negócios;
• Desenvolvendo a estratégia;
• Implementando uma resposta de GCN;
• Testando;
• Mantendo GCN.
Componentes de um plano de continuidade de negócios: o objetivo

do PCN é documentar um planejamento de ações a ser executadas
no caso de acontecer uma situação de crise. Seus principais
componentes são:
• Plano de administração / gerenciamento de crise;
• Plano de continuidade/resposta empresarial;
• Plano de recuperação de desastre.
107
unidade 5
NORMA BS 25999-1: criada em 2007 para estabelecer e sugerir

as melhores práticas para que os gestores das organizações
entendam, desenvolvam e implementem procedimentos e rotinas
para a continuidade dos negócios.
Os fundamentos da Gestão da Continuidade de Negócios são:
• aprimorar a resiliência da Empresa em relação a problemas

e interrupções de sua capacidade de produzir e/ou entregar
serviços e atingir seus principais objetivos;
• proporcionar recursos e métodos para que produza ou

ofereça serviços, dentro de um nível aceitável;
• adquirir uma sólida capacidade de gestão a ser aplicada em

uma interrupção na organização, resguardando a reputação
da empresa.
A norma descreve alguns elementos chaves que o PGCN deve

conter, a saber:
• entender o cenário dos processos operacionais da Empresa;
• entender as barreiras ou possíveis interrupções na entrega

de produtos ou processo pela organização;
• entender os produtos e processos críticos que a empresa

disponibiliza;
• compreender como a empresa continuará a produzir no

caso de uma sinistro;
• entender como disponibilizar uma resposta rápida e quais

as rotinas para recuperação;
• fazer com que a parte interessada compreenda as próprias

funções e responsabilidades no caso de um sinistro;
108
unidade 5
• criar juntamente com toda a parte interessada a

implementação, execução e o manutenção da continuidade
nos negócios;
• fazer com que a organização internalize todas as rotinas da

gestão da continuidade do negócio.
A GCN deve ser definida dentro da organização e estar relacionada

com a finalidade estratégica organizacional e com a gestão de risco.
A elaboração do GCN irá resultar na criação de um ou mais Planos

de Continuidade de Negócios (PCN).
Ciclo de vida da GCN
O ciclo de vida se constitui de seis etapas fundamentais para o

entendimento, desenvolvimento e implementação do GCN.
Principais benefícios da implantação de um sistema de gestão da

continuidade de negócios:
• proteção de valor para os stakeholders;
• maior entendimento da organização, por meio da análise e

identificação dos riscos;
• resiliência organizacional em relação às suas operações,

reduzindo os riscos;
• identificação e implementação de soluções e procedimentos

alternativos;
• proteção e manutenção das informações representadas

por documentos e registros;
• a eficiência e eficácia operacional são aprimoradas

utilizando a reengenharia de processos de negócios e TI.
109
unidade 5
• garantia da continuidade da prestação de serviços e

produção de bens;
• aprimoramento da segurança organizacional.
A empresa deve usar exercícios e os respectivos resultados para

garantir que seus planos de continuidade de negócios são eficazes,
estáveis e seguros.
Que o exercício ocorra em um ambiente controlado e isolado.
A eficácia e a eficiência dos processos e procedimentos da GCN

exigirão habilidades, conhecimentos e compreensões específicas.
Os exercícios devem ser projetados e conduzidos com o objetivo de:
• verificar se o RTO (Tempo Objetivado para Recuperação)

está em conformidade com o ideal;
• verificar a atualização das informações exigidas pelas

atividades;
• melhorar a compreensão das interdependências de

continuidade dos negócios e fornecedores e demais
stakeholders;
• aumentar a consciência do contexto e prioridades da

empresa;
• melhorar o entendimento da utilização e do conteúdo dos

processos e procedimentos de continuidade de negócios;
• melhorar a confiabilidade na resposta a incidentes;
• gerar oportunidades das capacidades gerais da

organização;
• propor avaliações da utilidade e aplicabilidade das

estratégias de continuidade de negócios;
110
unidade 5
• propor a documentação adequada das capacidades

desenvolvidas e alocação de recursos não documentados
anteriormente;
• identificar e documentar as práticas e necessidades

anteriores de um sinistro ou interrupção não documentadas;
• gerar oportunidades para identificar outras insuficiências

nos procedimentos de continuidade de negócios;
• garantir que os procedimentos de continuidade de negócios

podem ser implementados;
• melhorar a confiança dos stakeholders em relação ao

cumprimento dos requisitos de governança propostos, em
níveis contratuais.
Entendendo a organização: realizar uma análise de impacto

no negócio, criando um mapeamento dos produtos e serviços
fundamentais. Além disso, deve-se, identificar as atividades que
suportam a entrega dos produtos e serviços, estimar o tempo para
recuperação. Identificar e avaliar as ameaças mais importantes e a
forma correta de tratar os riscos.
Determinando a estratégia da continuidade de negócios: a

empresa necessita definir as estratégias para a GCN.
Desenvolvendo e implementando uma resposta de GCN: a

organização precisa criar um plano de resposta para os incidentes.
Testando, mantendo e analisando os preparativos de GCN: após

as etapas acima, a empresa necessita implantar os testes do GCN.
Principais tendências para garantir a continuidade dos negócios:

Virtualização, Cloud computing, Consumerização e redes sociais.
111
unidade 5
Passos para o desenvolvimento de um PCN:
1. Entender e identificar todos os componentes de TI;
2. Analisar o Ambiente que consiste;
3. Analisar o Impacto no Negócio;
4. Definir as Estratégias de Continuidade;
5. Elaboração dos documentos do Plano de Continuidade de

Negócio estando associado a:
• identificar uma Crise;
• organizar a tomada de Decisão no caso de Crise;
• organizar as pessoas adequadas para a execução das

atividades que atenderão a empresa no momento da
crise;
• definir e documentar o conhecimento técnico

específico para que a TI possa restabelecer a operação
do negócio (contingência) e voltar ao ambiente normal
de produção (retorno).
ALEVATE, William. Gestão da continuidade de negócios. Rio de Janeiro: Ed.
Campus, 2013
BLOG QUALIDADE ON-LINE. Disponível em: <https://qualidadeonline.
wordpress.com> Acesso em: 14 fev. 2016.
RISCOS DE PLANO DE CONTINUIDADE DE NEGÓCIOS. Site Guia de
Negócios (on-line). Disponível em: <http://www.improverts.com/riscos-de-
plano-de-continuidade-de-negocios.html> Acesso em 14 fev.2016.
112
unidade 5
Criptografia,
Certificações
digitais,
Assinatura digital
Introdução
Conforme tratamos anteriormente, a Segurança da Informação é

tratada de várias maneiras aliadas entre si, de modo que todas as
nuances e variações de ataques possíveis estejam contempladas.
Além disso, há muitos procedimentos, processos e políticas para

assegurar que a Segurança da Informação seja estável e coesa • Criptografia
no que se refere aos pilares da SI (integridade, confidencialidade, • Assinaturas
digitais
disponibilidade e autenticidade). Cada um desses pilares representa
uma característica necessária à Segurança da Informação. • Certificação
digital
Os assuntos que trataremos aqui compõem aspectos da segurança

da informação, já que a certificação digital é uma comprovação
mútua de autenticidade, a criptografia é um conjunto de regras de
leitura e escrita da informação e a assinatura digital é um método
de validação digital. Com isso, trataremos a informação por esses
três tópicos, no que se refere aos seus pilares básicos.
Há muitas maneiras de preparar senhas, tipos de acesso e formas

de trocar informações. A diferença estará no nível de segurança que
existirá nessa troca de informações.
Conteúdo teórico
Conforme já vimos, a sequência: “dados, informações e

conhecimentos”, corresponde ao maior ativo que uma empresa
possui. Sendo assim, a sua segurança pode representar a diferença
entre o crescimento e o fracasso de uma empresa, ou ainda a
confiança ou não dos stakeholders e/ou acionistas. Existem muitas
formas de ataque e necessidade de defesa por meio de técnicas
para gerenciar riscos e a continuidade dos negócios.
Os pontos que trataremos nesta unidade são de fundamental

relevância para a gestão da Segurança da Informação. Cada
um deles (criptografia, certificações digitais e assinatura digital)
representa uma parte da Segurança da Informação e a atuação
desses três pontos garante uma segurança muito maior.
Apesar de serem tópicos independentes, com as suas respectivas

regras, aplicações, vulnerabilidades, vantagens e desvantagens,
todos se relacionam e se completam.
Apesar de todo o esforço na utilização desses métodos para

aumentar a segurança, eles são passíveis de ataques e quebras
por ameaças como “força bruta”, engenharia social, etc. Contudo,
diminui o risco de que as informações caiam em mãos erradas,
sendo violadas de alguma forma, por métodos semelhantes aos
apresentados ou complementares.
115
unidade 6
Criptografia
É uma palavra formada pela junção de duas palavras gregas:
kryptós, "escondido ou camuflado"e gráphein, "escrita". Em termos de
segurança da informação, é uma técnica que consiste na conversão
da informação da sua forma original para outra que somente possa
ser lida por “alguém” que tenha a chave de leitura. Dessa forma,
alguém não autorizado terá maior dificuldade de ler a informação.
Os primeiros métodos de criptografia utilizavam um único

algoritmo de codificação. Dessa maneira, era necessário que tanto
o emissor quanto o receptor da informação conhecesse esse
algoritmo. Porém, se um invasor conhecer esse algoritmo decifrará
a mensagem, caso a intercepte.
Há duas formas principais de se fazer a criptografia, a saber:
• criptografia por códigos. O objetivo é “esconder” o conteúdo

da mensagem utilizando códigos predeterminados e de
conhecimento entre as partes envolvidas na troca das
mensagens. Sendo assim, se a mensagem for lida por
pessoas não autorizadas, nada terá significado coerente.
Porém, nesse tipo de solução, com o uso constante dos
códigos, eles podem ser decifrados de forma mais fácil;
• criptografia por cifras. É uma técnica na qual o conteúdo

da mensagem é cifrado pela substituição ou mistura (ou
ambos) dos caracteres da mensagem original (plain text).
A decodificação ocorre, fazendo o procedimento inverso
à “cifragem”. Esse método é implementado com o uso
de algoritmos associados a chaves, que determinarão o
formato do texto criptografado.
116
unidade 6
Abaixo estão descritos os principais tipos de cifras.
• Cifras de Transposição: nesse caso, o conteúdo da

mensagem é o mesmo (em quantidade de bytes), mas
a ordem dos bytes não é a mesma. (Exemplo: LIVRO ->
RLVIO).
• Cifras de Substituição: já nesse caso, cada byte ou

grupo deles é trocado de acordo com uma tabela de
substituição.
Esse método pode ser dividido em:
1. cifra de César (cifra mono alfabética de substituição

simples): aqui cada byte da mensagem é trocada por
outro, obedecendo uma tabela que pode seguir um
deslocamento do byte em relação aos caracteres
possíveis na tabela. O motivo pelo qual pode ser
chamada de Cifra de César é que este imperador
romano quando trocava mensagens com seus
generais, alterava a ordem das letras onde cada uma
estava três posições à frente no alfabeto;
2. cifra de substituição polialfabética: é semelhante

à cifra de César, porém, mais elaborada, pois utiliza
mais de uma cifra de substituição simples, em que os
bytes são trocados seguidamente, assumindo valores
diferentes;
3. cifra de substituição de polígramos: consiste na troca

de um grupo de bytes e não de apenas um;
117
unidade 6
4. cifra de substituição por deslocamento: nesse caso,

a troca dos bytes não ocorre utilizando um valor fixo.
Cada byte é associado a um valor usado na troca por
meio de uma regra. E como seria isso? Vejamos neste
exemplo: imagine se quiséssemos cifrar a palavra
"JATO" utilizando o critério de rotação "035", seria
substituir "J" pela letra que está 0 (zero) posições no
início do alfabeto, o "A" pela letra que está 3 posições a
frente. Esse procedimento é repetido até que a cifragem
seja concluída.
A principal vantagem do método das cifras em relação ao dos A principal vantagem

códigos é que não há limite para as mensagens que serão trocadas. do método das
O método das cifras também é mais seguro em relação ao dos cifras em relação ao
dos códigos é que
códigos.
não há limite para
as mensagens que
Com a evolução da criptografia, começou a se utilizar o conceito serão trocadas.
de chaves, Dessa forma, pode-se usar o mesmo algoritmo (método)
para vários receptores. Isso ocorrerá se cada um receber uma
chave diferente. E ainda, se um receptor perder ou ter a segurança
da chave quebrada, ela poderá ser trocada e o algoritmo será o
mesmo.
Chave de criptografia: chave é um parâmetro (ou uma parte de

informação), com o objetivo de controlar o algoritmo de criptografia.
A variação dessa chave interfere no funcionamento do algoritmo;
Plain text (texto claro): é a informação original, não criptografada;
118
unidade 6
Chave simétrica: nesse tipo de chave, o emissor e o receptor utilizam

a mesma, ou seja, é uma única chave para codificar e decodificar
a informação. Há vários algoritmos que utilizam chaves simétricas
tais como: o IDEA (International Data Encryption Algorithm), DES
(Data Encryption Standard) e o RC (Ron's Code ou Rivest Cipher).
• DES (Data Encryption Standard): algoritmo criado pela IBM

em 1977 que utiliza chaves de 56 bits o que equivale a 72
quatrilhões de combinações. É um valor muito grande de
combinações, porém já foi quebrado. Ocorreu em 1997 por
meio de um desafio promovido na internet, usando uma
técnica chamada de "força bruta" (por tentativa e erro).
• IDEA (International Data Encryption Algorithm): Algoritmo

criado em 1991 por James Massey e Xuejia Lai. Ele utiliza
de chaves de 128, com estrutura parecida com a do DES.
Porém, em nível de software o IDEA é mais fácil de ser
implementado do que o DES.
• RC (Ron's Code ou Rivest Cipher): este algoritmo foi criado

por Ron Rivest na empresa RSA Data Security, utilizado
em e-mails, utilizao chaves que variam de 8 a 1024 bits.
Foi lançado em várias versões, cuja principal diferença é o
tamanho das chaves.
Existem outros algoritmos tais como 3DES, o AES (Advanced

Encryption Standard) baseado no DES - o Twofish e sua variante
Blowfish.
As chaves simétricas possuem algumas desvantagens. Por

exemplo, não devem ser utilizadas nos casos em que a informação
tenha maior valor. Isso porque a quantidade de usuários interfere
diretamente na quantidade de chaves. Além disso, como o emissor
e o receptor conhecem e transmitem a mesma chave, em algum
momento da transmissão, ela pode ser rastreada por pessoas não
autorizadas.
119
unidade 6
Chave assimétrica ou "chave pública": este tipo de chave na

realidade trabalha com duas chaves, sendo uma pública e outra
privada. Funciona da seguinte forma: um emissor cria uma chave
de codificação e a envia ao receptor. Essa é a chave pública. A
chave privada é criada para decodificar e, por isso, é secreta. Ou
ainda, o emissor cria uma chave pública e a envia a outros sites.
Quando houver necessidade de algum site enviar informações
criptografadas ao emissor, deverão fazê-lo usando a chave pública
dele. Quando a informação chegar ao emissor, ela somente poderá
ser descriptografada (decodificada) com o uso da sua chave
privada. Tanto o emissor quanto receptor alternam os papéis,
alternando também a utilização das chaves pública e privada.
FIGURA 1 - Processo de criptografia por chave pública
Os principais algoritmos que utilizam as chaves assimétricas são:

RSA (Rivest, Shamir and Adleman), Diffie-Hellman, ElGamal, DSA
(Digital Signature Algorithm) e Schnorr.
• RSA (Rivest, Shamir and Adleman): criado por Adi

Shamir, Ron Rivest e Len Adleman nos laboratórios do
MIT (Massachusetts Institute of Technology) em 1977.
É um dos algoritmos mais utilizados no trato da chave
assimétrica. Nele, a chave privada corresponde a dois
números primos muito grandes, que são multiplicados e a
chave pública é o resultado obtido.
• ElGamal: foi criado por Taher ElGamal, do "logaritmo

discreto" como padrão de segurança. Ele é bastante usado
em assinaturas digitais.
120
unidade 6
• Criptografia Hash: nesse tipo, através de uma string

(conjunto de caracteres), é calculado um identificador
digital de tamanho fixo. Esse valor é chamado de hash.
Esse resultado pode ser formado por tamanhos que variam
entre 16 e 512 bytes.
As principais características da função hash são:
• o valor de entrada pode ser de qualquer tamanho;
• possui valor de saída com tamanho fixo;
• é de processamento relativamente fácil para qualquer

valor de entrada;
• é uma função “one-way” (não aceita lógica reversa);
• é livre de colisão (duas funções hash não apresentam o

mesmo valor).
Tipos combinados de chaves

Já que as Chaves Assimétrica e Simétrica possuem vantagens
e desvantagens, criou-se um método com o objetivo de associar
as vantagens de cada uma, excluindo as desvantagens. Alguns
protocolos como o TLS (Transport Layer Security) e SSL (Secure
Sockets Layer) se originaram dessa junção.
121
unidade 6
E como funciona essa combinação? Como a implementação

da chave simétrica gera problemas como a necessidade de
haver códigos secretos pré-definidos e grande capacidade de
processamento, foi criada uma forma em que na primeira etapa
(handshake) é usada a chave assimétrica, autenticando os pontos e
usando posteriormente uma chave secreta na criptografia simétrica.
Já que o algoritmo de chave pública utiliza um canal mais seguro
na negociação, evitando a necessidade de mudança constante
da chave, todo o restante do processo passa a ser feito usando A criptografia
algoritmos de chave simétrica, reduzindo muito a necessidade quântica nasce
com o objetivo
da alta capacidade computacional, possibilitando a utilização em
de aprimorar a
comunicações intensas. confiabilidade.
A criptografia quântica nasce com o objetivo de aprimorar a

confiabilidade. Ela se utiliza das leis da física para garantir o sigilo
das mensagens trocadas. Ela se baseia em uma lei natural que é
o princípio da incerteza de Heisenberg. Isto é, duas mensagens
são transmitidas em uma única transmissão quântica e o receptor
somente pode ler uma mensagem de cada vez. É dessa incerteza
natural que a criptografia quântica se aproveita.
122
unidade 6
Ataques e segurança
A análise da segurança dos algoritmos conclui que a segurança
está na dificuldade ou facilidade que alguém pode decodificar
mensagens sem conhecer a chave de decodificação (ou quebrar
o código). Essas investidas são conhecidas como ataques, sendo
que a mais simples e conhecida, nesse caso, é o ataque por força
bruta, isto é, uma tentativa e erro com o intuito de decifrar o código).
Apesar de simples, ela é pouco eficiente, e em alguns casos não
pode ser implementada. Em grande parte dos ataques, utiliza-
se um mix composto de equipamentos robustos e matemática
computacional com o objetivo de decodificar. Esse conceito é
chamado de criptoanálise. São três os tipos de análise que usam
esse método, a saber:
• ataque por texto conhecido: em que o atacante utiliza dois

textos, sendo um plain text e o outro é a criptografia do
primeiro. Dessa forma, ele analisa os textos para descobrir
a chave de criptografia para aplicar nas futuras mensagens;
• ataque por texto escolhido: aqui, é possível para o atacante

escolher o plain text e conseguir o seu correspondente
criptografado;
• criptoanálise diferencial: esse método é uma variante

do método de ataque por texto escolhido. O objetivo é
criptografar vários documentos semelhantes e avaliar os
seus efeitos.
Todos os sistemas criptográficos possuem níveis diferentes de

segurança, dependendo da facilidade ou dificuldade com que são
quebrados. Só haveria um sistema realmente seguro se ele fosse
“teoricamente” inquebrável, ou seja, não importaria a quantidade de
texto normal ou codificado que ele nunca teria informação suficiente
para quebrar as cifras ou deduzir as chaves que foram usadas.
123
unidade 6
A situação ideal de uma criptografia, é que ela não seja fundamentada

em algoritmos de criptografia, mas sim, na dimensão das chaves
usadas. Um algoritmo deve passar por todos os tipos de testes e por
todas as formas de ataques possíveis com o objetivo de assegurar
a sua resistência às ameaças. Um algoritmo é tão robusto quanto a
sua resistência em relação à quebra de seu código.
Uma das formas de avaliar a força de um algoritmo é divulgar

sua descrição, permitindo que sua eficiência seja discutida por
muitas pessoas, em relação aos seus métodos. Sistemas que
utilizam algoritmos proprietários normalmente não publicam
sua especificação. Isso porque poderá mostrar os pontos fracos
desse algoritmo. Sendo assim, a situação ideal é que um sistema
criptografado seja tão forte e seguro, que nem o seu criador possa
decifrar uma mensagem sem a chave.
Atualmente, as chaves de criptografia correspondem a grandes

sucessões de bits. Lembrando que um bit pode assumir apenas
dois valores (0 ou 1), ou seja, uma chave de quatro dígitos
oferecerá 16 (24) valores distintos para a chave. Portanto, o grau
de confidencialidade da mensagem é diretamente proporcional ao
tamanho da chave.
Verificação de integridade e
autenticação comum
O Código de Autenticação de Mensagem (Message Authentication
Code - MAC) são dispositivos digitais de criptografia, que atuam
com sistemas de criptografia simétrica, cujo objetivo é proteger
a informação. Quando utilizado em relação à informação, esse
método cria um valor (pequena porção de dados). Essa porção atua
como código para o documento.
Se um atacante alterar o MAC (assim como pode alterar os dados),

sem saber qual foi a chave utilizada na criação do MAC, a alteração
da informação fica inviável, aumentando a segurança.
124
unidade 6
Assinaturas digitais
É um tipo específico de MAC criado por criptografia assimétrica.
A assinatura de uma mensagem consiste na utilização de um
procedimento chamado Message Digest (MD) que é utilizado
para processar o documento. Assim como o MAC, ele gera uma
pequena parte de dados conhecida como hash. A MD é uma função
matemática que condensa toda a informação da mensagem em
uma parte de dados com tamanho fixo. Além disso, deve haver
a garantia que não houve alteração da mensagem durante a
transmissão.
A assinatura digital
A assinatura digital é o resultado desse procedimento sendo uma é o resultado desse
procedimento sendo
garantia que a mensagem recebida corresponda integralmente à
uma garantia que a
original. A principal razão para utilização de funções MD refere-se mensagem recebida
ao tamanho do bloco de dados que será criptografado na obtenção corresponda
da assinatura. Em ambos os casos, o objetivo é possibilitar que integralmente à
original.
a informação trafegue de um ponto a outro, e o receptor deve
comprovar que a mensagem realmente veio do remetente que
confirma o seu envio.
No momento em que o atacante tem acesso à chave privada

que quem assinou o arquivo, a adulteração no documento e/ou
assinatura digital não é percebida.
Outro ponto positivo da assinatura digital é que as informações em

um sistema de computador podem ser assinadas e serem testadas
a sua autenticidade independente da segurança do sistema de
armazenamento.
125
unidade 6
Sendo assim, podemos dizer que assinatura digital é um tipo de

checksum criptográfico (checksum é um tipo de algoritmo cuja
função é encontrar erros de conteúdo de dados em relação à
origem e o destino) que tem por objetivo perceber ataques iniciados
por fontes acidentais ou intencionais, que alterem o conteúdo de
mensagens.
Certificação digital
É um método digital que possibilita provar e/ou certificar que um
arquivo digital foi realmente produzido por alguma entidade ou
pessoa. Isso acontece já que o emitente da mensagem fornece
uma chave pública para certificar a origem. Já o receptor se utiliza
dessa chave pública digital que fica “anexada” ao arquivo eletrônico.
Portanto, qualquer tentativa de alteração (proposital ou acidental)
provoca sua invalidação.
• Autoridade certificadora (CA ou AC): é uma entidade, privada

ou pública, ligada a ICP-Brasil, cujas responsabilidades são:
emitir, revogar, renovar, distribuir e gerenciar certificados
digitais.
Há muitas autoridades certificadoras e cada uma delas

possui seus certificados, métodos, formas e passos para
certificação.
126
unidade 6
Uma das aplicações da criptografia é seu uso em ambientes em que
a segurança é importante para o projeto. Um exemplo são os sistemas
dedicados à web. Nesse caso, as informações trafegam em um meio
público. Por isso, há um risco maior de serem interceptadas, podendo
gerar prejuízos para a empresa. A utilização das técnicas de criptografia
não é muito complicada desde que o conhecimento esteja fundamentado.
Aplicações e conexões seguras via web usam o método de criptografia de
chave única implementado pelo protocolo SSL (Secure Socket Layer). O
navegador de internet informa ao site qual será a chave única a ser usada
na conexão segura, antes do início da transmissão das informações.
Dessa forma, o navegador recebe a chave pública do certificado da
organização que mantém o site. Essa chave pública é usada na codificação
e envio de uma mensagem para o site. Essa mensagem contém a chave
única que será usada na conexão segura. O site então utiliza sua chave
privada na decodificação da mensagem e identificação da chave única a
ser usada.
A partir daí, o navegador e o site passam a transmitir os dados, de maneira
segura, através do uso da forma de criptografia de chave única. Essa chave
é alterada em intervalos de tempo pré-definidos, por meio da repetição dos
procedimentos já descritos, melhorando o nível de segurança de todos os
procedimentos.
Em relação aos certificados digitais, um exemplo é a utilização em internet
banking. No momento em que um cliente acessa a própria conta corrente
utilizando a web, certificados digitais são utilizados com o objetivo de
assegurar que o cliente esteja realizando operações financeiras com o
seu banco. O próprio navegador de internet pode exibir mais detalhes em
relação ao certificado. Caso algum problema ocorra com ele, por exemplo,
prazo de validade expirado, o navegador irá exibir uma mensagem.
127
unidade 6
No caso das assinaturas digitais, são vários os exemplos de aplicações
da assinatura digital. Na área do governo, temos processos judiciais e
administrativos em meio eletrônico, assinatura da DIRPF (Declaração de
Imposto de Renda de Pessoa Física), DIRPJ (Declaração de Imposto de
Renda de Pessoa Jurídica) e demais serviços prestados pela Secretaria da
Receita Federal, etc.
No âmbito da iniciativa privada a assinatura pode ser utilizada em
contratos, procurações, e-mails, formulários da web, mandatos,
notificações, balanços, relatórios, imagens, declarações, resultados de
exames, laudos e prontuários médicos, etc.
Em termos legais, a Medida Provisória 2.200-2 de 24 de agosto de 2001,
garantiu a validade jurídica de documentos eletrônicos e o consequente
uso de certificados digitais para conferir autenticidade e integridade
aos documentos. Isso fez com que a assinatura digital se tornasse um
instrumento válido juridicamente.
Conforme vimos, tanto a criptografia, quanto o certificado e assinatura
digital são amplamente utilizadas no meio digital. Isso já é uma realidade
e vem se tornando uma exigência em muitos casos sendo o objetivo
principal o aumento da segurança da informação, bem como o seu trafego.
128
unidade 6
Revisão
A segurança da informação não é tratada de uma única forma ou
é vista de apenas um ângulo, pois há vários processos, políticas e
procedimentos.
A criptografia, certificados digitais e assinaturas digitais são

suscetíveis a quebras por ataques de “força bruta” e também por
engenharia social. Porém, reduzem o risco de que as informações
caiam em mãos erradas.
• Criptografia: É uma palavra formada pela junção de

duas palavras gregas: kryptós, "escondido ou camuflado"
e gráphein, "escrita". É uma técnica de conversão da
informação da sua forma original para outra que somente
possa ser lida por “alguém” que tenha a chave de leitura.
• Criptografia por códigos: o objetivo é “esconder” o conteúdo

da mensagem utilizando códigos predeterminados e de
conhecimento entre as partes.
• Criptografia por cifras: aqui o conteúdo da mensagem

é cifrado pela substituição ou mistura (ou ambos) dos
caracteres da mensagem original (plain text).
129
unidade 6
Este método é implementado com o uso de algoritmos associados

às chaves, que determinarão o formato do texto criptografado.
• Cifras de Transposição: o conteúdo da mensagem é o

mesmo (em quantidade de bytes), mas a ordem dos bytes
não é a mesma. (Exemplo: LIVRO -> RLVIO).
• Cifras de Substituição: já nesse caso, cada byte ou grupo

deles é trocado de acordo com uma tabela de substituição.
Esse método pode ser dividido em:
1. cifra de César (cifra mono alfabética de substituição

simples): cada byte é trocado por outro, obedecendo
uma tabela que pode seguir um deslocamento do byte
em relação aos caracteres possíveis na tabela;
2. cifra de substituição polialfabética: utiliza mais de

uma cifra de substituição simples, em que os bytes são
trocados seguidamente, assumindo valores diferentes;
3. cifra de substituição de polígramos: consiste na troca

de um grupo de bytes e não de apenas um;
4. cifra de substituição por deslocamento: cada byte é

associado a um valor usado na troca por meio de uma
regra.
A principal vantagem do método das cifras em relação ao dos

códigos é que não há limite para as mensagens que serão trocadas
e é mais seguro em relação ao dos códigos.
Chave de criptografia: chave é um parâmetro para controlar o

algoritmo de criptografia. A variação dessa chave interfere no
funcionamento do algoritmo.
Plain text (texto claro): é a informação original, não criptografada.
Chave simétrica: nesse tipo de chave, o emissor e o receptor

utilizam a mesma chave. São exemplos: o IDEA, DES e o RC.
130
unidade 6
Chave assimétrica: ou "chave pública" trabalha com duas chaves,

sendo uma pública e outra privada, em que um emissor cria uma
chave de codificação e a envia ao receptor. Essa é a chave pública.
A chave privada é criada para decodificá-la e, por isto, é secreta.
Criptografia Hash: por meio de um conjunto de caracteres, é

calculado um identificador digital de tamanho fixo. Este valor é
chamado de hash e pode ser formado por tamanhos que variam
entre 16 e 512 bytes.
As principais características da função hash são:
• o valor de entrada pode ser de qualquer tamanho;
• possui valor de saída com tamanho fixo;
• é de processamento relativamente fácil para qualquer valor

de entrada;
• é uma função “one-way” (não aceita lógica reversa);
• é livre de colisão (duas funções hash não apresentam o

mesmo valor).
Certificação digital: é um meio digital que permite certificar (ou

provar) que um documento digital foi gerado por alguma entidade
ou pessoa.
Autoridade certificadora (CA ou AC): é uma entidade, privada ou

pública, ligada a ICP-Brasil, cujas responsabilidades são emitir,
revogar, renovar, distribuir e gerenciar certificados digitais.
Assinaturas digitais: é um tipo específico de MAC criado por

criptografia assimétrica. A assinatura é a utilização de um
procedimento chamado Message Digest (MD) utilizado para
processar o documento. Ele gera uma pequena parte de dados
conhecida como hash.
131
unidade 6
CARTILHA de segurança para a internet. Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurança no Brasil. Disponível em: <cartilha.
cert.br/criptografia/>. Acesso em: 24 fev. 2016.
CERTISIGN. Institucional. Disponível em: <icp-brasil.certisign.com.br>.
Acesso em: 23 fev. 2016.
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. Institucional.
Disponível em: <www.iti.gov.br/icp-brasil/96- perguntas-frequentes/1743-
sobre-certificacao-digital>. Acesso em: 24 fev. 2016.
MACHADO, Robson Carvalho. Certificação Digital: Os Caminhos do
Documento Eletrônico no Brasil. Rio de Janeiro: Ed. Impetus, 2010.
TERADA, Routo. Segurança de Dados: Criptografia em Rede de Computador.
2.ed. São Paulo: Ed. Blucher, 2008.
132
unidade 6
Segurança em
Sistemas da
Informação
Introdução
Recentemente o advento da internet e seus serviços e crescimento

dos sistemas vêm conquistando um grande e crescente volume
de usuários. Com isso, muitas vulnerabilidades são reportadas
e exploradas diariamente, o que exige das organizações e seus
colaboradores, especialmente os ligados à área de SI, uma atenção
mais que especial. Isso porque a segurança da informação
atualmente é um quesito fundamental à manutenção e ao
crescimento das empresas. • Modelos e
Mecanismos
de Segurança
A internet é uma potencial porta de entrada de ameaças para as dos Sistemas de
Informação
organizações. Enquanto esse recurso não estiver pautado nas
normas, políticas e mecanismos de segurança, a empresa estará
em risco iminente.
A segurança da informação quando adequadamente aplicada

tem o objetivo de blindar a informação, ativo fundamental
de grande utilização nas empresas. Blindar o ambiente de
informações adotando e aplicando procedimentos de segurança
minimiza os riscos. Conforme já vimos, não é possível atingir a
absoluta segurança. Além disso, os investimentos normalmente
são altos e lamentavelmente muitos gestores não dão a devida
atenção a essa necessidade.
Outro ponto a se observar são os ataques internos, promovidos
pelos “insiders”, isto é, colaboradores da organização que por
inocência ou malícia, exploram as vulnerabilidades e atacam as
informações e sistemas.
Os modelos e mecanismos de segurança devem abranger todos os

pontos possíveis que possam gerar vulnerabilidades, pois caso isso
não ocorra, estas poderão permitir as invasões e, consequentemente,
perdas nos mais diversos níveis organizacionais.
Conteúdo teórico
Os sistemas de informação são responsáveis por preservar o
funcionamento da organização, no que se refere ao controle e
aplicação do ativo “conhecimento/informação”. Esses sistemas
recebem a influência de diversos fatores, sejam eles físicos,
humanos e tecnológicos. Sendo assim, é fundamental que recebam
toda a proteção necessária em um ambiente controlado, com o
objetivo de garantir a qualidade das informações.
Parece um contrassenso, mas em termos de vulnerabilidades,

os armazenamentos manuais são mais seguros em relação aos
eletrônicos. Isso porque os dados e informações tendem a ficar
menos expostos.
As políticas em sistemas de segurança da informação devem levar

em conta fatores como:
• ações humanas;
• invasão de terminais;
• incêndios;
• problema de fornecimento de energia elétrica;
• falhas de hardware;
• mudanças de programas;
• problemas de telecomunicações;
• falhas de software;
• roubos de dados, de serviços e de equipamentos;
• erros dos usuários.
136
unidade 7
A segurança da informação não deve ser tratada de uma única

forma ou vista de apenas um ângulo; há vários processos, políticas
e procedimentos com o objetivo de garantir que a informação esteja
segura e ancorada nos pilares que representam esta informação.
A proteção da informação deve abranger as informações e

conhecimentos organizacionais, bem como estar atenta às
possíveis falhas e às quebras da segurança evitando que o ativo
“informações <-> conhecimentos” sejam danificados e/ou furtados.
Faz parte do conjunto de procedimentos e políticas, um plano de

contingência bem preparado com implantação e execução garantida.
A segurança da informação deve ser tratada de maneira integrada,

considerando todos os pontos de vista, sejam eles no âmbito
pessoal (áreas técnica, de gestão, operacional, etc.), como também
em relação às necessidades e estratégias organizacionais, além das
especificidades de todos os setores e colaboradores envolvidos.
As políticas ligadas à segurança da informação agregam diversos

objetivos que elegem a SI como opção estratégica, pois traz
consequências positivas à organização em todos os níveis.
Algumas são:
• implementar um sustentáculo de confiabilidade e proteção

sobre o qual as diversas atividades ligadas à informação
são elaboradas;
• mostrar que a organização se preocupa com a conservação

e integridade dos seus ativos em todos os níveis
(informação, produtos, processos, etc.);
• demonstrar que a empresa se dedica em cuidar dos

objetivos dos clientes, colaboradores e parceiros,
• deixar claro que os fornecedores e clientes representam o

foco de quaisquer aplicações nesse ponto.
137
unidade 7
Nos últimos anos, as aplicações organizacionais ligadas aos

sistemas e tecnologias da informação evoluíram de sistemas
fechados e internos para sistemas abertos e distribuídos, nos
quais as empresas possuem reduzidos controle e conhecimento,
se comparado ao primeiro cenário. Isso alterou a forma de solução
de problemas de segurança, já que o foco mudou da maneira
puramente tecnológica para algo muito mais amplo.
Há fatores que influenciam diretamente na SI e não devem ser vistos

de maneira independente e, sim, de uma forma holística, integrada e
sempre alinhada às estratégias de negócios da organização.
São eles:
• concentração: Segundo este princípio, é necessário

aprimorar a eficiência e a eficácia do gerenciamento
dos critérios de proteção, diminuindo as duplicidades
necessárias quando são utilizados preceitos iguais
de proteção para resguardar repositórios distintos de
informação estratégica;
• consistência: segundo esse princípio, os procedimentos

de proteção em relação aos ativos com nível equivalente
de importância também deverão se equivaler. Isto significa
que a forma de proteção deverá ser homogênea em relação
à importância dos ativos protegidos;
• proteção em camadas: este tipo de proteção sugere que os

ativos e os respectivos métodos de proteção (tanto lógicos,
quanto físicos) sejam organizados de maneira concêntrica,
sendo que os mais importantes estrategicamente fiquem
no centro e os menos na periferia;
• relação custo/benefício: essa relação indica a necessidade

de assegurar que os gastos ligados à implementação de
políticas de segurança e o retorno desse investimento (ROI)
seja traduzido em proteção e prevenção;
138
unidade 7
• redundância: esse fator reforça a necessidade de utilizar

mais de uma maneira de proteção para o mesmo tópico
com o objetivo de preservar um ativo. Isso é fundamental,
pois garante que, em caso de perda do recurso principal de
segurança, um recurso secundário atue aumentando assim
a segurança.
Preservar a integridade, confidencialidade e disponibilidade da

informação contida em sistemas que tratam desse ativo exige
políticas de segurança, que muitas vezes asseguram o não repúdio
e a autenticidade.
A prevenção é o conjunto das medidas que visa reduzir a

probabilidade de concretização das ameaças existentes. O efeito
dessas medidas extingue-se quando uma ameaça se transforma
em um incidente. A prevenção é
o conjunto das
A proteção refere-se às atitudes que visam munir os sistemas de medidas que
visa reduzir a
informação com algumas capacidades como inspeção, detecção,
probabilidade de
reação e reflexo, proporcionando a diminuição bem como a contenção concretização das
das consequências das ameaças quando elas aconteçam. ameaças existentes.
Principais papéis na segurança da informação:
• direção/administração: esse setor, assim como os

colaboradores por ela designados, é e/ou representa os
donos do conhecimento e da informação utilizados pela
organização na comercialização e produção de seus bens,
produtos e serviços, além do relacionamento com os
clientes e parceiros;
• usuários: são todos os que utilizam os sistemas de

informação, independentemente dos níveis de acesso
que tenham. Suas habilidades e conhecimentos técnicos
variam de acordo, basicamente, com dois fatores: a faixa
etária e o tipo de atividade desempenhada;
139
unidade 7
• pessoal técnico: o software, hardware e outros recursos

e insumos ligados à TI (redes, dispositivos de redes, etc.)
precisam de gerenciamento contínuo. Essas tarefas de
gestão ficam a cargo de colaboradores (contratados ou
terceirizados). Normalmente, independentemente da sua
função, o pessoal da área de TI possui conhecimentos
mais profundos e específicos, de acordo com sua atuação
na área (redes, manutenção, desenvolvimento, suporte,
etc.) se comparado aos usuários leigos. Um treinamento
insuficiente ou inadequado pode abrir brechas para
uma possível ameaça colocando em risco os ativos de
informação e conhecimento;
• parceiros: são as entidades externas que cooperam de

alguma forma com os negócios da organização, nos mais
diversos níveis. Esses personagens podem participar, ou
até gerenciar as políticas de SI na empresa.
Podemos concluir que em função da grande variedade de tipos,

tamanhos, áreas de atuação e evolução nas organizações, há
normalmente, alterações nesses papéis, podendo haver mais
personagens e com atuações diferenciadas.
Os modelos de segurança da informação devem possuir os

seguintes princípios:
• envolvimento: fazer com que a organização tenha uma

visão holística da segurança da informação, já que a
implementação de algumas soluções exige que o panorama
seja do contexto geral do negócio;
• exposição: deixar claro que nenhum ponto relativo à

informação está livre de ataques, fato que estimula à
atenção constante;
• emergência: integrar todos os componentes

organizacionais a SI.
140
unidade 7
• eiversidade: diversificar as estratégias de prevenção,

proteção e recuperação. É o famoso “Plano B”;
• contexto: propor soluções tecnológicas fundamentadas no

ambiente organizacional e na forma correta de utilização
dos sistemas.
A internet oferece um paradoxo, pois tenta estabelecer o equilíbrio

entre a fácil acessibilidade e a restrição de acesso, ou seja, o
acesso deve ser fácil e rápido aos usuários autorizados e o mesmo
acesso deve ser seguro e robusto para os usuários indevidos. É
fundamental compreender, que o triunfo das organizações está
ligado diretamente à segurança e ao controle das informações.
Isso porque, conforme vimos, as falhas de segurança estão em
constante crescimento, aumentando também os riscos das
empresas, no que se refere à perda e/ou furto das informações. As
empresas necessitam de controles para detecção e prevenção de
falhas de segurança. Porém, é fundamental que isso seja efetuado
de maneira organizada e assertiva controlando as responsabilidades
por toda a organização.
A utilização de sistemas de informação exige dos gestores uma

prévia garantia de estabilidade, segurança e confiabilidade. Dessa
forma, todas as providências necessárias para garantir esses
pontos, devem ser tomadas. O objetivo é evitar (ou minimizar) que
fatores internos e externos (falhas de comunicação, acessos não
autorizados, erros de hardware e de software, treinamentos indevidos,
vírus, sinistros naturais) provoquem um mau funcionamento ou
interrupção dos serviços que dependam da informação. Com esse
objetivo, são muitos os desafios que os gestores devem encarar.
Podemos citar alguns:
• elaborar programas e sistemas com níveis equilibrados de

controle, nem em excesso e nem em falta, pois ambos são
prejudiciais. O excesso do controle desencoraja a utilização
dos usuários, enquanto a falta gera vulnerabilidades;
141
unidade 7
• utilizar as melhores práticas para o projeto e

desenvolvimento dos sistemas;
• tornar os sistemas (software / hardware / pessoas) mais

resistente a falhas;
• criar políticas e estratégias para continuidade do negócio;
• dedicar atenção à segurança da rede, interna e externa,

pois é uma porta, em potencial, que se não estiver segura,
permitirá o acesso não autorizado.
É importante que o gestor defina regras para realizar reuniões com

o objetivo de avaliar e classificar as possíveis ameaças e impactos.
Algumas dessas regras podem incluir:
• a participação de todos os stakeholders, item fundamental;
• foco no assunto, adequando-o ao tempo;
• coleta ampla de ideias, em que todas devem ser igualmente

válidas;
• os assuntos dever ser debatidos o mínimo possível;
• a objetividade deve ser um pré-requisito.
Outro ponto de extrema importância é a forma como a

organização deve reagir no caso de um desastre, pois este
pode gerar consequências, às vezes incalculáveis. A resiliência
organizacional estabelece a capacidade de sobrevivência, além
de demonstrar o quão preparada está a organização e a atenção
que foi dedicada ao caso.
A preparação e implementação de um plano de reação aos

sinistros, com todas as suas variáveis, não é uma empreitada
simples e necessita do empenho de todos na organização. Isso
porque, a criação dessas medidas de segurança poderá garantir a
continuidade da organização, caso o pior aconteça.
142
unidade 7
As características do programa de segurança da informação

são únicas, em função da sua abrangência e importância. Exige
análises profundas em todos os pontos e sob todos os prismas.
Tratar de um programa desses sem a devida atenção poderá gerar
desvios extremamente prejudiciais para a organização. Portanto,
todos os participantes do processo devem estar alinhados aos
conhecimentos gerados e às estratégias a serem utilizadas na
preparação e implementação desse programa de segurança.
Dois outros fatores de sucesso são: a escolha adequada da equipe

e a comunicação do programa a toda empresa. Dessa forma, é
possível garantir que todos os objetivos fiquem alinhados a toda
parte interessada (stakeholders).
O controle eficiente de todas as atividades durante todo o programa

proporcionará a pró-atividade na solução das dificuldades
e problemas, bem como avaliar a eficiência e eficácia das
metodologias adotadas e implementadas.
Em muitos casos, lamentavelmente, o valor dos sistemas de SI

(Sistemas de Informação), só são percebidos quando ocorre um
problema, pois as perdas decorrentes de sua falta podem variar
entre o “desagradável” e o “desastroso”.
Atualmente, muitos sistemas e aplicações envolvendo sistemas

de informação, são utilizados por toda a sociedade moderna.
Alguns exemplos são os sistemas de companhias aéreas,
sistemas bancários, comércio eletrônico, etc. Sendo assim, é fácil
perceber que esses sistemas devem possuir alta disponibilidade,
desempenho e estabilidade, pois problemas implicam em prejuízos.
O principal objetivo da segurança em Sistemas de Informação se
relaciona com a proteção e controle do ambiente computacional,
garantindo a da segurança de informação.
143
unidade 7
Portanto, o objetivo essencial das políticas organizacionais de

SI é evitar e/ou minimizar incidentes de segurança sejam eles
intencionais ou não.
Modelos e Mecanismos
de Segurança dos
Sistemas de Informação
Um Sistema de Informação é um agrupamento de elementos
que se interrelacionam, com o objetivo de captar, processar,
armazenar e disponibilizar dados e informações de modo que
possam dar apoio à gestão e ao processo de tomada de decisões,
além de facilitar o controle organizacional. Esses sistemas
podem conter informações sobre locais, pessoas, procedimentos
e demais informações importantes para a organização ou seu
ambiente (interno e/ou externo).
Esses sistemas devem abranger todos os elementos e fatores

úteis à direção dos negócios. Esses elementos normalmente
contemplam das atividades corriqueiras até o conhecimento que foi
produzido pela empresa.
Eles devem ser projetados a se ajustarem às organizações e

às suas estratégias, gerando as informações e conhecimentos
necessários e importantes ao andamento de suas atividades.
Portanto, a empresa deve estar atenta às interações geradas pelo
Sistema de Informação, ajustando a maneira de atuação, de acordo
com fatores como: influência do mercado, estratégias do negócio,
mudanças de legislação, dentre outros.
144
unidade 7
A importância da informação e do conhecimento é responsável pelo

empenho na criação e manutenção dos Sistemas de Informação
com o objetivo de garantir sua proteção, segurança e a consequente
continuidade dos negócios da organização.
Metodologia para garantir a segurança

nos sistemas de informação
Uma metodologia básica e inicial compreende algumas etapas:
1. avaliar os riscos e possíveis impactos que podem expor os

sistemas de informação;
2. definir, com base nas estratégias e possibilidades da

empresa, os níveis de segurança desejáveis e essenciais
aos sistemas;
3. efetuar a devida comparação entre os níveis de segurança

desejados e atingidos;
4. avaliar todas as técnicas disponíveis e possíveis, que

tenham por objetivo a segurança dos sistemas;
5. desenvolver, implementar e implantar as técnicas

escolhidas com base nos itens anteriores;
6. testar essas técnicas de modo a garantir a sua eficiência e

eficácia.
Sendo assim, os principais objetivos da segurança nos sistemas de

Informação são:
a. diminuir probabilidade de que incidentes de segurança

ocorram;
b. reduzir os possíveis danos causados pelos incidentes;
c. garantir a recuperação organizacional, caso aconteçam

falhas de segurança.
145
unidade 7
Em resumo, a segurança da informação começa com o

estabelecimento de uma política organizacional de segurança
ampla e, em seguida, pela análise e gestão dos riscos inerentes,
incluindo controles de acesso lógico e físico aos sistemas e
recursos de informação, lembrando, obviamente dos treinamentos
e da conscientização dos colaboradores. Contudo, não pode
deixar de existir planos de contingência, recuperação de sinistros e
continuidade do negócio.
A presença e o devido suporte da direção são fundamentais para

o sucesso da política e dos sistemas de segurança de informação.
Esse suporte não se baseia apenas no nível financeiro, mas
principalmente na elevação da segurança de informação a um
patamar de alta prioridade.
As atitudes para garantir a SI devem ser planejadas e implantadas

nas etapas incipientes do desenvolvimento do sistema, dessa forma,
todos os mecanismos de proteção estarão implantados, juntamente
com os sistemas reduzindo o risco e aumentando a eficiência.
Mecanismos de segurança
da informação
Estes mecanismos abrangem controles como:
• físico: evita o acesso indevido às instalações e ao ambiente

computacional;
• lógico: controla o acesso aos sistemas, por meio de

autenticações, além das permissões por níveis de acesso;
• humano: nesse caso, os treinamentos de colaboradores e

parceiros são fundamentais, pois aumentam a eficiência
evitando erros de operação, além de reduzir o risco por
ataques por meio da engenharia social.
Os softwares (básicos e aplicativos), bancos de dados, sistema
146
unidade 7
operacional, arquivos de senha e histórico de utilização por

constituírem o maior foco dos ataques, também representam o
principal objeto de proteção.
Há várias formas em nível de software e hardware que são utilizados,

na preservação da Segurança de Informação. Conforme já vimos,
assinatura digital, certificados digitais, criptografia, segurança
física, planos de gestão de riscos e da continuidade de negócios
(PCN), controle de invasões, softwares e políticas contra intrusos
virtuais (antivírus, anti-spyware) são alguns dos mecanismos para a
segurança da informação.
Eles podem ser agrupados em três grupos:
• segurança na comunicação: visa proteger os dados e as

informações no momento em que estão sendo trocadas ou
compartilhadas por meio de uma rede local (LAN), intranet
ou mesmo internet. Vimos em outras unidades, algumas
das formas de implementar esse tipo de segurança:
criptografia (e suas diversas formas), certificados digitais e
assinaturas digitais;
• sontroles de acesso lógico: esses controles são elaborados

usando conjuntos de hardware e software, adequadamente
configurados, de modo que os usuários não autorizados
não consigam usar os recursos computacionais. Além
disso, no caso de serem usuários, eles possuem níveis de
acesso de acordo com a função. Dessa forma, só veem e
acessam o que lhes for autorizado;
• controles de acesso físico: visa proteger a

estrutura física na qual a parte lógica está instalada.
Isso é feito de algumas formas: autorização formal de
acesso às dependências da empresa, nos locais onde
se encontram os equipamentos (servidores, switch,
equipamentos de rede) que devem permanecer trancados
e protegidos. Além disso, deve-se manter uso constante
147
unidade 7
de crachás ou credenciais nessas áreas.
Lamentavelmente, não existem mecanismos com 100% de eficácia

na proteção dos sistemas de informação. Por isso, todos esses
possíveis mecanismos devem atuar em conjunto.
Sendo assim, é muito importante a existência de planos que

minimizem o impacto no caso de sinistros. São eles:
• plano de recuperação de desastres: nesse ponto, após

a ocorrência de um sinistro, os recursos de TI que foram
prejudicados são substituídos por outros adequadamente
preparados, agilizando a restauração total ou a um nível
aceitável. Esse plano recomenda que uma organização
mantenha seu funcionamento mesmo após a ocorrência
de problemas. Um plano de recuperação de desastres visa
solucionar dois problemas: primeiro, a forma de restaurar as
operações após a ocorrência de um incidente e o segundo,
como se comportar durante a recuperação de um primeiro
sinistro, se um outro ocorrer. Isso deixa claro que o plano de
recuperação de desastres também deve levar em conta as
prioridades e as respectivas resoluções dos conflitos;
• plano de contingência: o objetivo desse plano é manter o

funcionamento dos sistemas mesmo que tenha havido um
sinistro. Ele é composto de 4 fases:
• análise preliminar: aqui são realizados os estudos

iniciais avaliando e detectando recursos e funções
críticos, além de deixar claro para a gestão
organizacional e para os colaboradores, a necessidade
da empresa possuir um plano de contingência;
• análise de impacto: nessa fase, são avaliados os

impactos sobre a organização no caso de um sinistro.
Essa análise abrange a avaliação de tempo de parada e
o custo correspondente de cada atividade envolvida;
148
unidade 7
• análise das opções para recuperação: nesse caso,

são produzidos estudos sobre o que é possível fazer
para recuperar os sistemas e serviços e/ou mantê-los
funcionando;
• criação do plano de contingência: aqui o plano é

definido e detalhado e os recursos diversos são
estabelecidos. Essa fase considera algumas etapas
para a recuperação de um sinistro, são elas: detectar e
entender o problema; restringir os prejuízos (financeiros
ou não); conter e/ou solucionar o problema; identificar
as perdas; restabelecer o funcionamento dos sistemas
e, por fim, extinguir os motivos de modo a evitar nova
ocorrência do sinistro.
Outro ponto fundamental é disseminar a cultura da segurança da

informação, pois como vimos, ela é composta de vários pilares
e vista de várias formas. Sendo assim, é importante que exista
um plano para conscientizar toda a organização para que todos
os envolvidos, em todos os níveis (operação, desenvolvimento,
manutenção, redes, etc.) recebam os devidos treinamentos de
modo que possam participar ativamente de todos os processos
associados à Segurança de Informação. Os treinamentos devem
ser constantes, com o objetivo de manter todo o quadro de
colaboradores em sintonia entre si e com as normas, treinamentos
e conceitos, além do comprometimento com os procedimentos
para garantir a Segurança de Informação.
Toda a equipe do projeto deve estar preparada para transmitir

credibilidade ao longo da implementação da Segurança de
Informação.
Todas as diretrizes e normas devem ser divulgadas de forma

intensiva por toda a empresa. É necessário que essas normas e
diretrizes descrevam o que será protegido, bem como atitudes que
serão tomadas no caso de problemas de segurança.
149
unidade 7
É fundamental salientar que os problemas que interferem em um ou

mais pilares de SI podem provocar consequências, como a redução
e/ou perda negócios e de confiabilidade em relação aos clientes e
parceiros. Adotando as medidas e procedimentos aqui vistos, isso
sempre deve ser evitado.
Toda organização, seja de qual tamanho for, necessita de controles que
lhe proporcionarão um funcionamento e crescimento seguros. Esses
controles são representados por sistemas informatizados que abrangem
todas as áreas, tais como: CPR (contas a pagar e receber), folha de

Todas as diretrizes
pagamento, controle de clientes, controle de estoques, contabilidade,
e normas devem ser
controle financeiro e sistemas específicos adequados ao negócio e às divulgadas de forma
estratégias da organização. Lembrando que existem sistemas integrados intensiva por toda a
empresa.
e divididos em módulos em que cada módulo contém uma das funções
citadas acima.
Adquirir equipamentos confiáveis de fornecedores certificados é um
ponto muito importante, pois representa a garantia de que o hardware
estará mais estável. Também é fundamental possuir “cópias” desses
equipamentos, com a mesma configuração e estrutura física. Isso garante
que uma pane de hardware seja resolvida com uma simples troca.
Quanto aos sistemas, há dois caminhos: a compra e o desenvolvimento.
A compra implica em customização do software, adaptação da empresa
ou ambos. Além do custo da compra, há também a manutenção mensal
que muitas empresas cobram para manter os softwares atualizados e em
funcionamentos.
Já o desenvolvimento implica em contratações de analistas e
desenvolvedores, mas reduz o custo com manutenções avulsas e mensais,
além do software ficar “mais” próximo da organização.
O cuidado com a rede elétrica deve ser levado em conta, pois picos
ou instabilidades podem provocar danos ao hardware. O uso de
estabilizadores e/ou nobreaks pode minimizar esse risco. Dado que há
casos em que não podem ocorrer paradas, a utilização de geradores de
150
unidade 7
energia se faz necessária.
O banco de dados é o ponto mais importante a ser protegido. Essa
proteção está no nível de invasão e de corrupção da base. A prevenção e
a proteção são feitas por meio das cópias de segurança que reduzirão o
tempo de parada e evitará a perda de dados e informações.
O acesso físico à empresa é outro ponto importante. Ele deve ser feito por
meio de controles de entrada de visitantes na organização, bem como do
acesso dos funcionários a locais não autorizados.
A empresa deve possuir programas de proteção como antivírus e
antispyware, além de treinamentos para evitar que colaboradores sejam
vítimas de ataques por engenharia social.
Os roteadores e demais equipamentos de rede devem ser adequadamente
configurados para evitar o acesso a sites maliciosos e não permitir a
invasão de hackers.
E, finalmente, a organização deve possuir uma equipe responsável para
dar cumprimento a todas as medidas citadas acima, buscando a melhoria
contínua e a tolerância zero.
Revisão
A segurança da informação deve ser tratada sob o ângulo de vários
processos, políticas e procedimentos com o objetivo de garantir que
a informação esteja segura e ancorada nos pilares que representam
essa informação.
A proteção da informação deve abranger as informações e

conhecimentos organizacionais sempre atenta às falhas e às
quebras da segurança.
Faz parte do conjunto de procedimentos e políticas um plano de

contingência bem preparado, com implantação e execução garantida.
151
unidade 7
Algumas consequências positivas das políticas de segurança da

informação:
• implementação de confiabilidade e proteção para a

informação e atividades relacionadas;
• conservação e integridade dos seus ativos organizacionais

(informação, produtos, processos, etc.);
• demonstração de que a empresa se dedica em cuidar dos

objetivos dos clientes, colaboradores e parceiros;
• mostra que os fornecedores e clientes representam o foco

de quaisquer aplicações nesse ponto.
Há fatores que influenciam diretamente na SI e devem ser vistos de

maneira holística, integrada e alinhada às estratégias de negócios
da organização. São eles:
• concentração: é necessário aprimorar a eficiência e a

eficácia do gerenciamento dos critérios de proteção,
diminuindo as duplicidades necessárias e usando preceitos
iguais de proteção em repositórios distintos de informação;
• consistência: os procedimentos de proteção dos ativos com

nível equivalente de importância devem ser equivalentes;
• proteção em camadas: os ativos e respectivos métodos de

proteção são organizados de maneira concêntrica, com os
mais importantes no centro e os menos na periferia;
• relação custo/benefício: indica a garantia de que os gastos

com a implantação de políticas de segurança e o retorno
desse investimento (ROI) seja traduzido em proteção e
prevenção;
• redundância: necessidade de utilizar mais de uma maneira

de proteção para o mesmo tópico. Isso garante que, em
caso de perda do recurso principal de segurança, um
secundário atue.
152
unidade 7
A prevenção é o conjunto das medidas para reduzir a probabilidade

de concretização das ameaças existentes.
A proteção refere-se às atitudes que visam munir os sistemas de

informação com algumas capacidades como inspeção, detecção,
reação e reflexo.
Principais papéis na segurança da informação:
• direção/administração: são e/ou representam os donos

do conhecimento e da informação na organização, na
confecção e venda de seus bens, produtos e serviços, e do
relacionamento com os clientes e parceiros;
• usuários: são os que usam os sistemas. Suas habilidades

e conhecimentos técnicos variam de acordo com a faixa
etária e o tipo de atividade desempenhada;
• pessoal técnico: são os responsáveis pela gestão dos

recursos e insumos de TI. Podem ser contratados ou
terceirizados. Esse pessoal possui conhecimentos mais
profundos e específicos se comparados aos usuários
leigos;
• parceiros: são as entidades externas que cooperam com

os negócios da organização. Eles podem participar, ou até,
gerenciar as políticas de SI na empresa.
Podemos concluir que o tamanho, tipo, áreas de atuação e a forma

de evolução das organizações alteram ou interferem nesses papéis.
Os modelos de segurança da informação devem possuir os seguintes

princípios: envolvimento, exposição, emergência e diversidade.
Implantar um modelo com essas características melhorará a

resistência, o reconhecimento e recuperação de erros.
Abaixo estão níveis de maturidade de programas de SI nas organizações:
153
unidade 7
1. definição de políticas e normas de segurança;
2. definição da estrutura dos processos da segurança;
3. implantação dos procedimentos de suporte à inspeção,

proteção, detecção e reação às falhas de segurança;
4. realização de ações de conscientização e de formação em

segurança;
5. realização periódica de auditorias e testes à segurança;
6. implantação de processos de resposta rápida;
7. validação do modelo de proteção e da sua implementação.
As políticas em sistemas de segurança da informação devem levar

em conta fatores como:
• ações humanas;
• invasão de terminais;
• incêndios;
• problema de fornecimento de energia elétrica;
• falhas de hardware;
• mudanças de programas
• problemas de telecomunicações;
• falhas de software;
• roubos de dados, de serviços e de equipamentos;
• erros dos usuários.
Uma metodologia básica e inicial compreende algumas etapas, são

elas:
1. avaliar os riscos e possíveis impactos que podem expor os

sistemas de informação;
154
unidade 7
2. definir, com base nas estratégias e possibilidades da

empresa, os níveis de segurança desejáveis e essenciais
aos sistemas;
3. efetuar a devida comparação entre os níveis de segurança

desejados e atingidos;
4. avaliar todas as técnicas disponíveis e possíveis, que

tenham por objetivo a segurança dos sistemas;
5. desenvolver, implementar e implantar as técnicas

escolhidas com base nos itens anteriores;
6. testar essas técnicas de modo a garantir a sua eficiência e

eficácia.
Principais objetivos da segurança nos sistemas de informação são:
a. diminuir a probabilidade de que incidentes de segurança

ocorram;
b. reduzir os possíveis danos causados pelos incidentes;
c. garantir a recuperação organizacional, caso aconteçam

falhas de segurança.
É importante que o gestor defina regras básicas para realizar

reuniões de avaliação e classificação de ameaças e impactos:
• a participação de todos os stakeholders é fundamental;
• foco no assunto, adequando-o ao tempo;
• coleta ampla de ideias, em que todas devem ser igualmente

válidas;
• os assuntos dever ser debatidos o mínimo possível;
• a objetividade deve ser um pré-requisito.
Os mecanismos de SI abrangem controles como:
155
unidade 7
• físico: evitando o acesso indevido às instalações e ao

ambiente computacional;
• lógico: controlando o acesso aos sistemas, por meio de

autenticações, além das permissões por níveis de acesso;
• humano: com treinamentos de colaboradores e parceiros

para aumentar a eficiência e reduzir erros de operação e
riscos de ataques por engenharia social.
Eles podem ser agrupados em três grupos:
• segurança na comunicação: proteção dos dados e

informações durante a troca ou compartilhamento na rede
local (LAN), intranet ou internet;
• controles de acesso lógico: utilizam conjuntos de hardware

e software para inibir a utilização indevida dos recursos
computacionais;
• controles de acesso físico: proteção da estrutura física que

“hospeda” a parte lógica como por exemplo: autorização
formal de acesso e proteção dos equipamentos (servidores,
switch, equipamentos de rede, etc.).
É muito importante a existência de planos que minimizem o impacto

no caso de sinistros. São eles:
• plano de recuperação de desastres: após a ocorrência

de um sinistro, os recursos de TI prejudicados devem ser
substituídos;
• plano de contingência: manter o funcionamento dos

sistemas mesmo que tenha havido um sinistro. Ele é
composto de 4 fases:
• análise preliminar: estudos iniciais para identificar os

recursos e funções críticos;
• análise de impacto: avaliação dos impactos sobre a
156
unidade 7
organização no caso de um sinistro (tempo de parada e

o custo correspondente de cada atividade envolvida);
• análise das opções para recuperação: produção de

estudos sobre a recuperação e/ou manutenção dos
sistemas e serviços;
• criação do plano de contingência: definição detalhada

do plano e dos recursos estabelecidos.
Assim é importante haver plano de conscientização de todos os

envolvidos, com treinamentos adequados e a participação ativa
garantindo a segurança de informação.
MOREIRA, N.S. Segurança Mínima: Uma Visão Corporativa da Segurança
de Informação. Rio de Janeiro: Axcel Books, 2001.
SECRETARIA DA TECNOLOGIA DA INFORMAÇÃO DO ESTADO DE SÃO
PAULO. Institucional. Disponível em: <www.sisp.gov.br>. Acesso em: 28 fev.
2016.
TI: ESPECIALISTAS DESENVOLVENDO IDEIAS. Institucional. Disponível em:
<www.tiespecialistas.com.br>. Acesso em: 28.fev. 2016.
157
unidade 7
158
unidade 8
Identificação
e Solução de
Problemas Reais
Introdução
Os estudos e técnicas associados à segurança da informação têm

um único objetivo que é o esforço em preservar a organização
de ataques que venham a colocar em risco as informações
organizacionais.
Vimos que apesar desses esforços, vários ataques vêm ocorrendo • Testes de Invasão
de forma contínua, ano após ano. Uma simples busca em sites e Ferramentas de
Segurança
mostra vários casos de ataques bem sucedidos a organizações e
• Revisão
governos ao redor do mundo. Na grande maioria dos casos, isso
ocorreu por vulnerabilidades dos softwares e serviços e também
por falhas humanas. Lembrando que os softwares são escritos e
desenvolvidos por pessoas, o que eleva a níveis altos as causas por
motivos de falhas humanas. Os sites, que retornam as pesquisas
mencionadas, normalmente mostram estudos de institutos
internacionais demonstrando as fragilidades, as formas de ataque e
as respectivas consequências.
Vulnerabilidades sejam elas de tecnologias, de processos ou de

pessoas abrem brechas para falhas. Quando elas permitem que
um ataque ocorra são gerados problemas para a organização,
que podem variar entre prejuízos financeiros à redução ou quebra
de credibilidade e de visibilidade de mercado. Várias grandes
empresas ao redor do mundo são vítimas de constantes tentativas
de ataques em que, muitas vezes, as pequenas vulnerabilidades
159
unidade 8
proporcionaram os grandes ataques.
Por isso, é reforçada a necessidade de levantamento e solução

de todos os pontos de vulnerabilidade. Sempre com o objetivo
de minimizar os riscos de invasões, furtos de informações e
consequentes perdas.
Após toda a estrutura de defesa pronta, é fundamental elaborar os

testes e colocá-los em prática de modo a assegurar que a estrutura
seja eficaz e eficiente ao SI.
Mostraremos algumas estatísticas e trataremos aqui os principais

testes de invasão e ferramentas de segurança.
160
unidade 8
Testes de Invasão
e Ferramentas de
Segurança
Conforme mencionado, uma simples busca em sites de pesquisa
mostra vários casos de ataques bem sucedidos a organizações e
governos ao redor do mundo.
Isso é tão sério que transmite a sensação de total insegurança,

pois grandes organizações internacionais e governos de países
desenvolvidos parecem impotentes diante da realidade apresentada.
No Brasil, isso tão ou até mais preocupante do que no cenário

mundial. O país está entre os cinco mais atacados por invasores
virtuais. O país está entre os
cinco mais atacados
por invasores
A seguir, veremos um estudo contendo os principais incidentes de
virtuais.
2014, mês a mês, bem como as causas, consequências e atitudes
necessárias para evitá-los e/ou minimizá-los. Esse estudo, sem as
causas e metodologias de tratamento foi feito pela empresa ESET
(empresa especializada em SI) em relação aos principais incidentes
de SI em 2014.
Janeiro de 2014
Causa: envio de e-mails falsos convidando os usuários do WhatsApp

a baixarem nova versão desse aplicativo. Os e-mails possuíam um
cavalo de troia com o objetivo de roubar dados bancários.
Consequência: nesse caso, os ataques foram bem sucedidos,

pois os invasores contaram com três fatores ligados aos usuários:
ingenuidade, falta de conhecimento e falta de interesse em buscá-
lo. Conforme vimos em unidades anteriores, vários atacantes usam
essa técnica já ciente do despreparo de usuários.
161
unidade 8
Atitude: a proposta de prevenção de novos ataques com essas

características passam invariavelmente por treinamentos
ostensivos, de modo a deixar claro aos usuários, que ele é o principal
responsável direto pela segurança das próprias informações. Sendo
assim, instruções e testes constantes farão a diferença nesse caso.
Fevereiro de 2014
Causa: uma provável falha de segurança que, possibilitou o desvio

de aproximadamente 750 mil bitcoins, ao longo do tempo. Isso
fez com que a MtGox, uma grande casa de câmbio de bitcoin,
terminasse suas atividades, provocando a perda total do dinheiro
dos investidores nesse tipo de moeda.
Consequência: aqui, os pontos de vulnerabilidades do sistema não

foram adequadamente verificados, solucionados e nem a solução
foi testada. Dessa forma, o atacante encontrou essa vulnerabilidade
e promoveu o ataque.
Atitude: a prevenção desse tipo de ataque é feita através da

avaliação completa dos insumos de tecnologia de modo que
as vulnerabilidades nesse ponto sejam eliminadas. Lembrando
que essas atitudes devem ser contínuas e evolutivas de modo
que acompanhe a evolução das formas de ataque bem como do
conhecimento dos invasores.
Março de 2014
Causa: vários links de internet anunciavam que poderiam mostrar

cenas do incidente com o voo da Malaysia Airlines. Esse link, na
realidade, apontava para sites maliciosos. Além de infectar os
computadores de cerca de 500 mil em todo o mundo.
Consequência: nesse caso, o invasor usou a curiosidade, além dos

fatores citados no item de janeiro de 2014. Ou seja, usou um fato
citado na mídia mundial para atrair os usuários despreparados.
162
unidade 8
Atitude: aqui as estratégias de prevenção se constituem por rotinas

de instruções e treinamentos constantes. Isso fará com que o
usuário fique mais atento, não permitindo que invasores se utilizem
de sua curiosidade, ingenuidade e despreparo para promover
ataques.
Abril de 2014
Causa: nesse período ocorreu o Heartbleed, uma das piores

vulnerabilidades já conhecidas após o advento da internet. Essa
vulnerabilidade presente em algumas variantes do OpenSSL
proporcionou o acesso de cibercriminosos a milhares de servidores
pelo mundo conectados à web.
Consequência: nesse caso, a vulnerabilidade era do serviço

OpenSSL. Ocorreu por motivos semelhantes aos citados acima no
mês de fevereiro de 2014.
Atitude: vulnerabilidades de softwares são resolvidas com a devida

atenção às “portas abertas”. Os primeiros pontos de acesso mal
intencionado a ser observados pelos hackers são as tais portas.
A avaliação completa e contínua de possíveis vulnerabilidades
minimiza muito esse tipo de invasão.
Maio de 2014
Causa: nesse caso, alguns criminosos virtuais adquiriram

credenciais de acesso com alguns colaboradores dos sites eBay
e Spotify. Isso prejudicou bases de dados que possuíam senhas
criptografadas além de informações financeiras.
Consequência: aqui dois fatores podem ter contribuído para a

invasão: o primeiro é a participação consciente dos colaboradores,
e o segundo é pela engenharia social em que o invasor usa da boa
fé do colaborador. Ambos permitem conhecer as credenciais de
acesso.
163
unidade 8
Atitude: nesse caso, a ingenuidade deve ser tratada com

treinamentos adequados de modo que o colaborador perceba a
importância da discrição e da sua responsabilidade em relação
às informações organizacionais. Já a má fé deve ser tratada
pelos meios legais e de forma exemplar de modo a inibir futuras
ocorrências.
Junho de 2014
Causa: semelhante ao que ocorreu com o voo da Malaysia Airlines,

os criminosos virtuais utilizaram as notícias relativas à Copa do
Mundo para espalhar e-mails e links maliciosos com o objetivo de
criarem ataques e infectar usuários.
Consequência: assim como o que ocorreu em março de 2014, o

invasor usou a curiosidade e despreparo dos usuários, além dos
fatores citados no item de janeiro de 2014.
Atitude: nesse caso, o ponto forte será o treinamento adequado,

intenso e contínuo, pois dessa forma o usuário se tornará mais apto
no cuidado com as informações a ele ligadas.
Julho de 2014
Causa: uma erro de segurança encontrado no módulo de

autenticação da versão móvel do PayPal (sistema de pagamentos)
permitiu um ataque em que os invasores tiveram acesso às 143
milhões de contas da empresa.
Consequência: aqui, a vulnerabilidade era do software da versão

móvel que não foi adequadamente verificado e testado. Dessa
forma, o atacante encontrou a vulnerabilidade e promoveu o ataque.
Atitude: assim como no item de abril de 2014, os softwares podem

apresentar vulnerabilidades que são exploradas pelos hackers
como primeira opção. Elas devem ser resolvidas com a devida
164
unidade 8
manutenção no software e, se isso não for possível, o programa e/

ou serviço deve ser substituído.
Agosto de 2014
Causa: nesse mês, ocorreram vários casos de roubo de informações

confidenciais. Falhas nos filtros de segurança de 76 mil contas da
Mozilla Foundation. Isso permitiu que cibercriminosos da Rússia
furtassem aproximadamente 1,2 milhões de senhas de usuários
de mais de 500 milhões de endereços de e-mail. Houve também
o caso do ataque a UPS (uma das maiores empresas de logística
e transporte no mundo). Ela passou por um ataque em que foram
furtadas informações bancárias dos seus clientes em cerca de 50
escritórios nos EUA. Detalhe, essa operação levou aproximadamente
sete meses.
Consequência: nesse caso, em ambas as situações, os ataques

ocorreram por falhas nos procedimentos de configuração das
estruturas de software e hardware, permitindo que os atacantes
utilizassem vulnerabilidades já presentes nas estruturas das
organizações.
Atitude: avaliar de forma mais profunda e contínua todas as

possíveis vulnerabilidades da estrutura de proteção, fechando
portas e resolvendo as falhas de segurança. Em muitos casos, isso
significa refazer procedimentos e alterar rotinas implicando em
novos custos à organização.
Setembro de 2014
Causa: nesse mês, o foco dos ataques foram as pessoas famosas

de diversos países, principalmente dos Estados Unidos. Muitos
deles que guardavam fotos em serviços de nuvem (cloud) viram
seus conteúdos ficarem disponíveis a quem quisesse ver.
Consequência: aqui dois fatores podem ter influenciado o ataque:
165
unidade 8
a vulnerabilidade não tratada e a engenharia social, isso porque em

ambos os casos são necessários login e senha para acessar os
dados no ambiente de nuvem.
Atitude: o treinamento aliado à verificação das rotinas, processos,

procedimentos e políticas de segurança poderão minimizar as
chances de que novos ataques ocorram - a atenção nesses pontos
é fundamental.
Outubro de 2014
Causa: uma vulnerabilidade chamada de “Poodle” foi descoberta no

SSL 3.0 (Secure Sockets Layer, ferramenta de criptografia de sites,
que autentica as partes), fazendo com que esse serviço perdesse
ainda mais credibilidade. Nota: o serviço citado ainda era muito
utilizado, apesar dos seus 15 anos de existência.
Consequência: nesse caso, a vulnerabilidade era do software,

semelhante aos motivos citados nos itens de fevereiro e julho de
2014.
Atitude: falhas de software são resolvidas com a devida manutenção

nos programas, porém, quando os softwares são de propriedade
de terceiros e não há como promover ou solicitar os ajustes, é
necessário a sua substituição.
Novembro de 2014
Causa: aqui várias ameaças como o Wirelurker, um malware,

direcionadas aos sistemas operacionais Windows e Mac OS foram
disseminadas no ambiente virtual. O objetivo era furtar informações
de dispositivos com o Sistema Operacional iOS (tablets e iPhones).
Consequência: mesmo que uma ameaça semelhante a essa esteja

ao alcance do usuário, ela somente irá infectar o sistema, se for
acessada por links e/ou e-mails. Dessa forma, é instalada uma
166
unidade 8
ameaça nos sistemas operacionais.
Atitude: políticas de treinamentos contínuos e abrangentes irão

reduzir drasticamente esse tipo de ataque, pois os usuários estarão
mais conscientes, protegendo os sistemas e as informações sob a
sua responsabilidade.
Dezembro de 2014
Causa: nesse mês, o principal foco do ataque foi a Sony Pictures.

Cibercriminosos ligados à Coréia do Norte tiveram acesso a
informações importantes como e-mails dos executivos. Isso
ocorreu em protesto ao lançamento do filme “A Entrevista”, que
gerou conflito entre aquele país e os Estados Unidos.
As formas de tratar
Consequência: nesse caso, dois fatores podem ter proporcionado as vulnerabilidades
o ataque: a vulnerabilidade não tratada e a engenharia social, isso que permitiram as
porque em ambos os casos são necessários login e senha para invasões tendem a
seguir um padrão.
acessar os e-mails.
Atitude: assim como em março de 2014, os treinamentos adequados

e contínuos deverão cuidar no que se refere à ingenuidade dos
usuários. Dessa forma, o usuário irá perceber de forma mais clara
a importância da discrição e das informações organizacionais. Já a
vulnerabilidade deverá ser resolvida usando os meios adequados a
cada caso, isso reduzirá futuras ocorrências.
Conforme vimos, as formas de tratar as vulnerabilidades que

permitiram as invasões tendem a seguir um padrão. Sempre
“esbarrando” no fator humano em itens como engenharia
social, configuração indevida de serviços, softwares com falhas
de funcionamento, dentre outros. É por esses motivos que
reforçamos a tese defendida por vários estudiosos e pesquisadores,
demonstrando que o ponto mais fraco no controle da informação
são as pessoas. Abaixo vemos um gráfico demonstrando essa
situação.
167
unidade 8
FIGURA 1 - Incidentes de SI mais frequentes em 2014
Fonte: Arquivo Institucional.
Esses testes têm por objetivo detectar ameaças e vulnerabilidades,

executando simulações de ataque aos ativos, insumos,
equipamentos e softwares.
No decorrer desse processo, as vulnerabilidades, fraquezas e

deficiências técnicas são avaliadas, evidenciando as avaliações de
confidencialidade, disponibilidade e integridade das informações
organizacionais.
São documentadas todas as informações relativas aos testes, sejam

elas os parâmetros pré-definidos e os resultados colhidos durante
os testes. Toda atividade também é documentada com informações
de data, hora e endereços IP de origem e destino, interno e externo,
bem como todas as metodologias e ferramentas utilizadas. Além
disso, a área técnica com representantes da área administrativa
deve compor o quadro de colaboradores responsáveis.
Existem diversas técnicas que podem ser utilizadas nos testes

dos sistemas de segurança e de sua estrutura. Lembrando que as
168
unidade 8
aplicabilidades apresentadas pelos sistemas de testes utilizam as

mesmas possibilidades exploradas pelos invasores.
Antes do início dos testes propriamente ditos, é necessária uma

etapa prévia conhecida como Preparação e Planejamento. Essa
etapa consiste em um levantamento prévio com o objetivo de criar
um modelo e/ou padrão para os testes. Aqui, são verificados itens
como: recursos, equipamentos, infraestrutura, ataques e formas de
atuação. São definidos também os termos de confidencialidade das
informações que serão usadas nos testes.
Abaixo estão informados alguns desses métodos.
• Sondagem e mapeamento
Esse método promove a varredura pelos hosts (“nós da Antes do início dos
rede”) ativos, identificando as regras do firewall, efetuando testes propriamente
ditos, é necessária
o mapeamento de topologia e detectando os serviços de
uma etapa prévia
rede que estejam em execução. conhecida como
Preparação e
• Força bruta Planejamento.
Nesse caso, são analisados os serviços e os controle
de acesso e de autenticação vulneráveis a ataques por
tentativa e erro em relação às senhas.
Além disso, a qualidade e a implementação da política de
senhas também são avaliadas.
• Avaliação de servidores web

Procura as principais fragilidades em serviços e servidores
web, manejando as requisições com o objetivo de prejudicar
a segurança de serviços web.
• Análise de tráfego de rede

O tráfego de rede é analisado com o objetivo de identificar
e obter informações críticas (login, senha, tipos de acesso,
etc.) por meio do manuseio do tráfego de redes.
• Identificação e exploração de vulnerabilidades

Após a detecção das fragilidades, os códigos maliciosos
169
unidade 8
são inseridos para sondar as vulnerabilidades detectadas.
• Injeção de código
Tem o objetivo de explorar softwares cujas entradas de
informações por parte dos usuários não são tratadas
de forma adequada. Assim um invasor insere códigos
que serão tratados pelo servidor. Essa inserção pode ser
feita por meio de cookies, endereços de sites (internos
e externos), formulários e parâmetros e tem o objetivo
de provocar um funcionamento indevido no servidor,
expondo ou alterando dados e informações.
Podemos concluir que é fundamental que os testes
de invasão e de segurança sejam parte integrante das
políticas de segurança da informação. Há várias maneiras
de gerenciar a segurança dos sistemas, redes e aplicações
organizacionais, e esses testes representam apenas
uma das possíveis ferramentas, entretanto, são as que
demonstram resultados mais próximos da realidade. É
fundamental estar alerta para a relevância das auditorias
preventivas, entendendo as necessidades relativas à
prevenção da exposição dos ativos de TI aos riscos
associados.
Nada melhor para ilustrar uma teoria do que compreendê-la na prática.
O filme “Hackers 3: antitrust” mostra de forma objetiva e bem realista
os assuntos e todo o contéudo vistos nesta unidade. Dessa forma, é
fundamental que o aluno assista a esse filme com muita atenção e avalie
as questões abaixo.
1. Qual é a principal motivação dos comportamentos dos hackers
nesse filme?
2. Identifique as principais vulnerabilidades que foram exploradas.
3. Proponha soluções para o que foi identificado no item 2 acima.
170
unidade 8
HACKERS 3: antitrust. Filme. Direção: Peter Howitt. Produção: David
Hoberman, Ashok Amritraj, C.O. Erickson,
Julia Chasman. EUA. 2001. DVD (110 min).
Revisão
Vulnerabilidades sejam elas de tecnologias, de processos ou de
pessoas abrem brechas para falhas que permitem que ataques
ocorram, gerando problemas para a organização: de prejuízos
financeiros à redução ou quebra de credibilidade e de visibilidade
de mercado. Várias grandes empresas ao redor do mundo são
vítimas de constantes tentativas de ataques e, muitas vezes, são as
pequenas vulnerabilidades que proporcionam grandes ataques.
Os principais problemas de SI entre as pequenas e médias empresas

são:
1. vírus e worms: estudos mostram que atualmente 75%

das pequenas e médias empresas em nível global foram
atacadas por essas ameaças, pelo menos uma vez no
ano de 2014. Esses tipos de ataques, quando eficazes,
trazem como conseqüências: bases danificadas, clientes
insatisfeitos, prejuízos financeiros, retrabalho, dentre outras;
2. furto de informações: quando essa ameaça se torna

efetiva, é muito proveitosa para os cibercriminosos, pois
nessas empreitadas podem ser furtadas informações
como números e senhas de cartões de crédito e de
seguro-desemprego, etc. Os invasores vêm nas pequenas
e médias empresas, alvos mais fáceis em relação às
grandes. Isso ocorre, pois as grandes organizações tendem
a possuir mais recursos e sistemas de segurança ligados
à informação. Nesse caso, muitos delitos ocorrem com o
auxílio de profissionais da própria empresa. Esse tipo de
171
unidade 8
problema causa perda de credibilidade, além de prejuízos

financeiros;
3. disponibilidades dos serviços: esse tipo de ataque visa

“derrubar” os serviços on-line da empresa. Ele pode
interromper o funcionamento de sites, comércio eletrônico
e até servidores locais que não estejam devidamente
protegidos. Novamente, a credibilidade da empresa fica
prejudicada se esse tipo de ataque vier a público. Qual
cliente ou comprador gostaria de saber que a empresa
sofreu esse tipo de ataque?
4. falta de domínio de novas tecnologias e sistemas: todas

as vezes que uma nova tecnologia é disponibilizada,
muitos invasores se aproveitam disto para enviar códigos
maliciosos e/ou arquivos infectados. Isso ocorreu, por
exemplo, no início do funcionamento de “mensageiros
instantâneos”, como o WhatsApp.
A área de segurança da informação é bastante abrangente no que

se refere às possibilidades de atuação profissional, pois oferece
diversos cargos, cada um com suas peculiaridades, pontos de
atuação e nível salarial.
Áreas como auditorias em sistemas, sites, infraestrutura, análise de

vulnerabilidade e testes de intrusão, gerenciamento da segurança
da informação (análise de risco, desenvolvimento de políticas,
procedimentos e normas), configuração e manutenção de firewalls,
atuação na central de serviços com foco de resolução de incidentes
e problemas relacionados à segurança da informação, entre outras.
Os estudos e técnicas associados à segurança da informação têm

um único objetivo que é o esforço em preservar a organização
de ataques que venham a colocar em risco as informações
organizacionais.
Vimos que apesar desses esforços, vários ataques vêm ocorrendo
172
unidade 8
de forma contínua, ano após ano. Uma simples pesquisa em

sites de busca mostra vários casos de ataques bem sucedidos a
organizações e governos ao redor do mundo. Na grande maioria dos
casos, isso ocorreu por vulnerabilidades dos softwares e serviços e
também por falhas humanas. Lembrando que os softwares foram
escritos e desenvolvidos por pessoas, o que eleva a níveis altos as
causas por motivos de falhas humanas.
As formas de tratar as vulnerabilidades que permitiram as invasões

tendem a seguir um padrão. Sempre “esbarrando” no fator humano
em itens como engenharia social, configuração indevida de
serviços, softwares com falhas de funcionamento, dentre outros.
São por esses motivos que reforçamos a tese defendida por vários
estudiosos e pesquisadores que demonstram que o ponto mais
fraco no controle da informação são as pessoas.
Os testes de invasão têm por objetivo detectar ameaças e

vulnerabilidades, executando simulações de ataque aos ativos,
insumos, equipamentos e softwares.
Existem diversas técnicas que podem ser utilizadas nos testes

dos sistemas de segurança e de sua estrutura. Lembrando que as
aplicabilidades apresentadas pelos sistemas de testes utilizam as
mesmas possibilidades exploradas pelos invasores.
A etapa de preparação e planejamento ocorre antes dos testes e

consiste em um levantamento prévio com o objetivo de criar um
modelo e/ou padrão para os testes. São verificados itens como
recursos, equipamentos, infraestrutura, ataques e formas de
atuação. São definidos também os termos de confidencialidade das
informações que serão usadas nos testes. Veja alguns métodos de
testes.
• Sondagem e mapeamento: promove a varredura pelos

hosts (“nós da rede”) ativos, identificando as regras
do firewall, efetuando o mapeamento de topologia e
173
unidade 8
detectando os serviços de rede que estejam em execução.
• Força bruta: verifica se os serviços de controle de acesso e

de autenticação são vulneráveis a ataques por tentativa e
erro em relação às senhas.
• Avaliação de servidores web: procura as principais

fragilidades em serviços e servidores web, manejando as
requisições com o objetivo de prejudicar a segurança de
serviços web.
• Análise de tráfego de rede: o tráfego de rede é analisado

com o objetivo de identificar e obter informações críticas
(login, senha, tipos de acesso, etc.) por meio do manuseio
do tráfego de redes.
• Identificação e exploração de vulnerabilidades: após a

detecção das fragilidades, os códigos maliciosos são
inseridos para sondar as vulnerabilidades detectadas.
• Injeção de código: explora softwares cujas entradas de

informações por parte dos usuários não são tratadas de
forma adequada.
Podemos concluir que é fundamental que os testes de invasão e

de segurança sejam parte integrante das políticas de segurança
da informação. Há várias maneiras de gerenciar a segurança
dos sistemas, redes e aplicações organizacionais, e esses testes
representam apenas uma das possíveis ferramentas, entretanto, é a
que demonstra resultados mais próximos da realidade.
LAUNE, Fernanda. Invasão e fraude em sistema de votação. Diário da
Manhã. Disponível em: <http://www.dm.com.br/cotidiano/2015/12/
invasao-e-fraude-em-sistema-de-votacao.html>. Acesso em: 29 fev.
2016.
174
unidade 8
HACKERS 3: antitrust. Filme. Direção: Peter Howitt. Produção: David
Hoberman, Ashok Amritraj, C.O. Erickson,
Julia Chasman. EUA. 2001. DVD (110 min).
MOREIRA, N.S. Segurança Mínima: uma visão corporativa da segurança de
informação. Rio de Janeiro: Axcel Books, 2001.
POLÍCIA Federal combate crimes cibernéticos no DF e em Goiás. EBC
Agência Brasil. Disponível em: <http://agenciabrasil.ebc.com.br/geral/
noticia/2015-12/policia-federal-combate-crimes-ciberneticos-no-df-e-
em-goias>. Acesso em: 29 fev. 2016.
TI ESPECIALISTAS: DESENVOLVENDO IDEIAS. Institucional. Disponível em:
<www.tiespecialistas.com.br>. Acesso em: 29 fev. 2016.
175
unidade 8
Referências
AURICCHIO, Jocelyn. ESET aponta os principais incidentes com
segurança da informação de 2014. BIT Magazine. Disponível em: <http://
www.bitmag.com.br/2015/01/eset-aponta-os-principais-incidentes-
com-seguranca-da-informacao-de-2014/>. Acesso em: 29 fev. 2016.
BLOG DO RICARDO LEOCÁDIO PLACE. Disponível em: <https://eltiger.

wordpress.com/>. Acesso em: 28 fev. 2016.
BRASILIANO, Antônio Celso R. Guia prático para gestão de continuidade

de negócios. São Paulo: Ed. Sicurezza, 2014. Disponível em: <www.abnt.
org.br> Acesso em 14 fev.2016.
CAMPOS, André. Sistema de Segurança da Informação: Controlando os

Riscos. Florianópolis: Visual Books, 2014.
CARVALHO, Daniel Balparda de. Seguranca de Dados com Criptografia.

São Paulo: Ed. Book Express, 2001.
DIAS, C. Segurança e Auditoria da Tecnologia da Informação. Rio de

Janeiro: Axcel Books, 2000.
FERREIRA, Fernando N.; ARAUJO, Marcio T. Política de Segurança da

Informação: Guia prático para elaboração e implementação. Rio de
Janeiro: Ciência Moderna, 2006.
FERREIRA, Fernando Nicolau; ARAUJO, Marcio Tadeu de. Política de

Segurança da Informação: Guia prático para elaboração e implementação.
Rio de Janeiro: Ed. Ciência Moderna, 2014.
FLORINDO, Rafael A. Portal ESPWEB Especialização em Web e Mobile

(on-line). Disponível em: <www.espweb.uem.br>. Acesso em: 15 jan.
176
2016.
FONTES, Edison. Políticas e normas para Segurança da Informação

Cism, Cisa, Crisc. Rio de Janeiro: Brasport, 2014. Disponível em: <www.
abnt.org.br>. Acesso em: 01. fev. 2016.
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO. Institucional.

Disponível em: www.iti.gov.br/icp-brasil. Acesso em: 28 fev. 2016.
LANDIM, Wikerson. 12 principais incidentes de segurança da

informação. Tecmundo. Disponível em: <http://www.tecmundo.
com.br/seguranca/73110-12-principais-incidentes-seguranca-
informacao-2014.htm>. Acesso em: 29 fev. 2016.
MANN, Ian – Engenharia Social. São Paulo: Blucher, 2011.
MATERA SYSTEMS. Institucional. Disponível em: <www.matera.com>.

Acesso em: 24 fev. 2016.
MENEZES, Josué das Chagas. Gestão da Segurança da Informação. –

São Paulo: Ed. J.H Mizuno, 2006.
MITNICK, Kevin D. & Simon, William L. A arte de invadir. São Paulo:

Prentice Hall, 2005.
PROFISSIONAIS TI. Institucional. Disponível em: <www.profissionaisti.

com.br/>. Acesso em: 28 fev. 2016.
SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma visão

executiva. Rio de Janeiro: Módulo, 2013.
TRIBUNAL REGIONAL DO TRABALHO (4ª REGIÃO, RIO GRANDE DO

SUL). Institucional. Disponível em: <www.trt4.jus.br/>. Acesso em: 24 fev.
2016.
177
www.animaeducacao.com.br

Fsi Livro 20170116165239

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Fsi Livro 20170116165239

Enviado por

Direitos autorais:

Formatos disponíveis

Fundamentos de

FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Consultor e Desenvolvedor de Sistemas,

Especialista em Sistemas de Controle

Professor de disciplinas na área de Tecnologia

Frequentemente, associamos a segurança da informação a hackers e a

Um Security Officer (Gestor de Segurança da Informação) deve avaliar

Veremos que falhas na segurança com o consequente acesso indevido

As Organizações têm se tornado mais rápidas e eficientes na troca

A evolução é parte inquestionável da vida e o homem é o maior

Isto influenciou drasticamente como as empresas administram

Segundo Sêmola (2003), “os computadores tomam conta dos

Em função disto, a segurança da informação teve que evoluir e saiu

Com a evolução, houve a necessidade de se pensar também no

Veremos aqui as mais diversas formas de ataque, desde as mais

Compreenderemos que a segurança da informação engloba vários

A segurança da informação é uma maneira de proteger os sistemas

Manter os sistemas de computador livre de ataques não é só uma

Uma regulamentação mais rígida, a educação, a conscientização e

Curiosamente, a questão da segurança da informação é quase

Colher e ou processar informações de terceiros, sem autorização

Mesmo que atualmente exista um bom nível de consciência das

Ao divulgar um arquivo de correção, com o objetivo de melhorar a

Especialistas em crimes cibernéticos afirmam que os delitos

O Brasil é um dos países mais expostos aos problemas de Especialistas em

• maior regulamentação por parte do governo;

• estímulo constante e crescente à empresas de tecnologia

• educação, conscientização e treinamento por parte dos

Desta forma, a utilização de todas as potencialidades do mundo

É a garantia de que os sistemas e as informações de um

Mesmo manipulada, a informação deve manter todas as

É possível também, através da análise dos logs, identificar os

Não Repúdio (Irretratabilidade –

As ameaças podem ser:

• De origem natural: ligados a eventos da natureza, como

• Involuntárias: erro humano causado por pessoas

• Voluntárias: em que hackers acessam sistemas com o

• Ameaça Inteligente: Ocorre quando o invasor possui

• Ameaça de Análise: Ocorre após um período de análise

Um ataque pode ocorrer a partir de um furto a um sistema de

• Ativo: onde os dados são alterados.

• Passivo: onde os dados são liberados.

• Destrutivo: onde os dados são destruídos ou o acesso a

• Os ataques ocorrem somente em sistemas vulneráveis.

O cavalo de troia ou trojan horse é um programa malicioso e vem

São exemplos de trojans: NetBus, Back Orifice e SubSeven.

O cracker é um programa usado pelo hacker para descobrir uma

O método mais comum consiste em testar sucessivamente várias

Denial Of Service (DOS)

Este ataque consiste na sobrecarga de servidor com uma

Neste caso, o invasor ataca muitos computadores e instala neles

É a técnica de sobrecarregar um computador com e-mails.

Eles são programas que buscam portas TCP abertas, no

É outra forma de ataque de negação de serviço. O agressor envia

O sniffer é um programa ou dispositivo que analisa o tráfego da rede.

É a técnica de se fazer passar por outro equipamento da rede com o

Esta técnica tem o objetivo de colher senhas e números de contas

Autorizar é permitir ou negar acesso a um sistema utilizando

Autenticar é a comprovação do acesso de um usuário a um sistema,

Identificação Biométrica: Neste caso, o usuário se identifica através

Em relação às senhas, uma dica importante é que você sempre

• Instale e atualize, de preferência diariamente, um programa

• Configure o antivírus para verificar os arquivos obtidos pela