Slides – SI

1. Introdução

Objetivos da Segurança

A segurança deve ser encarada como sendo de importância vital para a

organização/empresa, sendo que os principais objetivos da Segurança são:

• Verificar o desempenho de determinado departamento/área de negócio;

• Auxiliar os decisores a definir estratégias para a organização;

Segurança da Informação

A Segurança da Informação, visa proteger a informação de um vasto leque de

ameaças de modo a assegurar a continuidade de negócio reduzindo o impacto de
acidentes e aumentando o retorno máximo em investimentos e oportunidades de
negócio [ISO 17799 – é a norma que tem as boas diretrizes relacionadas
especificamente com a segurança da informação].
Assenta-se em 3 características chave:

• Confidencialidade – assegura que a informação só esteja acessível apenas

para aqueles que estão autorizados ao seu acesso;

• Integridade – salvaguarda a exatidão da informação, a integridade e os seus

métodos de processamento;

• Disponibilidade – assegura que os utilizadores autorizados tenham acesso à

informação e bens associados quando for pretendido [Pfleeger 1997].
Políticas de Segurança

As Políticas de Segurança permitem às organizações garantirem o

cumprimento de atividades crucias para o adequado funcionamento do negócio.
A confidencialidade, disponibilidade e integridade, da informação bem como as
responsabilidades e direitos dos utilizadores deverão fazer parte das preocupações
aquando o desenvolvimento e definição de Políticas de Segurança.

Segurança Integrada

• Risco – probabilidade e gravidade de um acidente;

• Acidente – acontecimento não desejado que resulta em perdas humanas ou
materiais;
• Desastre/Catástrofe – acidentes de grandes proporções;
• Prevenção – minimizar a probabilidade de ocorrência de acidentes;
• Proteção – aplicação de medidas para reduzir as consequências de um
acontecimento:
o Intervenção – limitação de consequências imediatas;
o Recuperação – reparação dos danos.

Políticas, Normas, Linhas Orientadoras e Procedimentos de

Segurança

Política → é um relato de alto nível de crenças, destinos, ou objetivos, e pretende

atingir um tema numa área específica.
Normas → são atividades, ações, regras, ou regulamentos mandatórios, projetados
para fornecer políticas com uma estrutura de suporte e uma direção mais específica.
Linhas Orientadoras → são umas indicações mais gerais projetadas para atingir os
objetivos da política. Enquanto as normas são mandatórias, as linhas orientadoras são
recomendações.
Procedimentos → explicitam especificamente como a política, as normas e as linhas
orientadoras devem ser implementadas num ambiente operacional [Peltier 2002].
Políticas de Segurança

De acordo com [Peltier 2002] o Diagrama da Hierarquia de Políticas

representa:

Leis, Regulamentos e
Requisitos

Políticas

Normas

Linhas Orientadoras

Procedimentos,
Práticas

Objetivos das Políticas de Segurança

• Sensibilizar os utilizadores para o valor da informação;

• Garantir aos utilizadores um ambiente seguro;
• Garantir a segurança da informação armazenada;
• Proteger a informação contra ameaças externas;
• Reduzir os riscos inerentes à atividade organizacional;
• Proteger os negócios da organização;
• Garantir a confidencialidade, a integridade e a disponibilidade da informação.

Políticas de Segurança Permitem:

• Definir objetivos;
• Definir áreas/pontos a abordar;
• Definir as políticas de sensibilização a otimizar/implementar;
• Definir os objetivos das políticas de sensibilização;
• Elaborar recomendações, tais como:
o Regras de acessos (internet e utilizadores);
o Regras para a instalação de software;
o Definir políticas de atualização de antivírus, etc.
 2. Segurança

A Segurança dos Sistemas de Informação pode ser analisada nos seguintes domínios:

• Segurança Física;
• Segurança Lógica.

2.1 - Segurança Física

2.1.1 - Pessoal
O objetivo é reduzir os riscos de erros humanos, roubo, fraude ou má utilização
dos recursos.
Abrange 3 domínios:

• Conteúdos funcionais
o Os conteúdos funcionais devem abranger as responsabilidades
relevantes;
o As políticas de segurança devem ser inseridas nos conteúdos
funcionais.

• Recrutamento
o Análise do Curriculum Vitae do candidato;
o Confirmação das qualificações académicas;
o Exigência de referências;
o Análise de anteriores empregos;
o Analisar rigorosamente os candidatos quando são recrutados para
tratar informação crítica.

• Confidencialidade
o Compromisso de confidencialidade adequado ao perfil definido para os
utilizadores.

2.1.2 - Instalações
O objetivo, é estabelecer um conjunto de requisitos a que devem obedecer as
instalações da organização em função das suas especificidades.
Abrange 4 domínios:
1. Localização
o Requisitos Físicos - materiais de construção da estrutura de acordo
com as normas em vigor; Análise do perímetro externo à organização;
o Requisitos Ambientais – poluição química;
o Medidas anti-intrusão – sistemas de vigilância, vedações, etc.;
o Vibrações – linhas férreas, metropolitano, etc.;
 o Radiações Eletromagnéticas – linhas de alta tensão, emissores de
rádio, etc.

2. Estrutura do Centro
o Piso adequado em função da sua especificidade;
o Entrada única;
o Saídas de emergência;
o Isolado do calor e poeiras;
o Chão e tetos falsos;
o Dividir o espaço físico principal.

3. Áreas de Segurança

o Áreas de Segurança
▪ Definir perímetro de segurança;
▪ Coerência com valor dos recursos;
▪ Divulgação restrita da atividade interna;
▪ Quando desativadas – fisicamente fechadas;
▪ Equipamento acessório (impressoras, fax) no exterior.

o Controlo de entradas/saídas
▪ Dispositivos de controlo de acessos;
▪ Visitantes – supervisionados (cartão, data, hora);

o Segurança no Centro
▪ Dispositivos de controlo de acessos;
▪ Não publicitar as áreas associadas ao centro de processamento
de dados (onde estão os servidores, etc.), nomeadamente: não
pôr salas de espera, placards, lista telefónicas, etc.
▪ Detetores (calor, fumo, alarmes incêndio, extintores, etc.) –
vistoriados de acordo com a legislação em vigor.

o Cargas/Descargas
▪ Área projetada que não permita acesso a outras áreas do
edifício;
▪ Autorização do pessoal;
▪ Material descarregado deve ser analisado.

o Secretárias Limpas
▪ Documentos e suportes magnéticos em locais seguros;
▪ Informação sensível e crítica guardada de acordo com as
normas vigentes;
▪ PC’s protegidos de acordo com as políticas definidas.
4. Segurança do equipamento

o O objetivo é impedir a perda ou danos das Tecnologias de informação e

Comunicação e contribuir para ininterrupção das atividades do negócio.
Passando por:

▪ Instalação e Proteção do equipamento

• Criação de vedações e blindagem de compartimentos,
portas, janelas;
• Controlo de acessos ao centro;
• Controlo de circulação de pessoas.

▪ Alimentação Elétrica
• Analisar a adequada alimentação elétrica que respeite as
especificações dos respetivos fabricantes;
• UPS’s para equipamentos que suportam atividades
críticas para o negócio.

▪ Segurança da Cabelagem
• Cablagem protegida contra interceções não autorizadas;
• Sistema blindado e de compartimentos ou caixas
fechadas nos pontos de interceção ou de terminação;
• Analisar com coerência as medidas de segurança
subjacentes às redes Wireless.

▪ Manutenção do Equipamento
• Contratos de manutenção;
• Prazos de garantia;
• Definição de direitos e deveres do vendedor e
comprador;
• Existência de um diário de intervenções;
• Existência de um diário de manutenção.

▪ Segurança do Equipamento
• PC’s da organização não devem ser usados fora da
organização;
• Os portáteis em serviços devem respeitar um conjunto
de normas de segurança;
• Cumprir as normas dos fabricantes.
2.2 – Segurança Lógica
2.2.1 - Salvaguarda
O Hardware, Software e/ou ficheiros com informação organizacional não
devem ser deslocados para fora das instalações da organização sem autorização
formal dos decisores.

Abrange 3 domínios:

1. Gestão e Controlo de Acessos

o Requisitos para Acesso

▪ Políticas internas de divulgação de deveres e direitos sobre a
manipulação da informação organizacional;
▪ Definição de requisitos para acesso;
▪ Controlo de acesso à informação baseada em requisitos da
atividade.

o Gestão de Acessos
▪ Autorização para utilizar o serviço;
▪ Verificar se o nível de acesso é adequado à sua atividade;
▪ Cancelar os acessos após o serviço concluído;
▪ Registar formalmente as pessoas autorizadas a utilizar o serviço;

o Responsabilidade do Utilizador
▪ Criar/Alterar as Passwords de acordo com as regras da
organização;
▪ Confidencialidade das Passwords;

o Controlo de Acessos à Rede

▪ Serviços de acessos limitados;
▪ Autenticação dos nós e utilizadores;
▪ Controlo da capacidade de conexão à rede;
▪ Segurança dos serviços de rede.

o Controlo de Acessos ao Sistemas

▪ Identificação do terminal;
▪ Procedimentos de “Logon”;
▪ “Time Out” do terminal;
▪ Limitação do tempo de conexão.

o Controlo de Acessos às Aplicações

▪ Menus de controlo às aplicações;
▪ Isolamento de sistemas sensíveis;
▪ Controlo de acesso à biblioteca de programas fonte.
 o Monotorização
▪ Estabelecer uma avaliação de riscos;
▪ Registo e Análise de Acessos fracassados;
▪ Análise da atribuição e utilização de contas com privilégios;
▪ Acompanhamento de transações.

2. Gestão do Sistema Informático e da Rede

o Procedimentos e Responsabilidade de Exploração

▪ Planeamento dos requisitos;
▪ Instruções para tratamento de erros;
▪ Procedimentos de recuperação;
▪ Outsourcing de serviços.

o Planeamento do Sistemas
▪ Planeamento da capacidade;
▪ Planeamento de recursos alternativos;
▪ Controlo das alterações operacionais.

o Proteção dos Suportes Lógicos

▪ Controlo de vírus;
▪ Autenticidade e Integridade;
▪ Definir políticas de legalização de software.

o Administração
▪ Políticas de registo de operações;
▪ Registo de tratamento de dados relativos às avarias.

o Gestão de Redes
▪ A responsabilidade operacional pelas redes deverá ser separada da
exploração dos sistemas;
▪ Definição de responsabilidades e procedimentos de gestão do
equipamento incluindo o instalado pelos utilizadores;
▪ Coordenar da gestão do sistema e das redes.

o Tratamento e Segurança dos Suportes

▪ Controlar os removíveis;
▪ Proteger a documentação do sistema;
▪ Registar as saídas autorizadas dos suportes;
▪ A destruição de suportes deverá ser cuidadosamente analisada.

o Permuta de Dados
▪ Definir políticas de permuta de dados entre organizações;
▪ Atribuir responsabilidades em caso de perda de danos;
▪ Analisar a vulnerabilidade das interceções ou modificações dos
dados objeto de permuta;
▪ Definir medidas de segurança associadas à transmissão de dados
via Internet.
3. Segurança dos Sistemas Aplicacionais

o Requisitos de Segurança
▪ Controlar o acesso à informação e serviços;
▪ Registos de Auditoria.

o Segurança dos Sistemas

▪ Implementação de políticas de segurança dos sistemas;
▪ Metodologias de testes;
▪ Análise da criticidade das aplicações face ao negócio.

o Segurança dos Ficheiros/Base de Dados

▪ Políticas de manutenção da integridade dos ficheiros e bases de
dados;
▪ Registo de auditorias;
▪ Políticas de testes.

o Segurança dos Ambientes de Desenvolvimento

▪ Definição das áreas de acesso a cada programador;
▪ Acordos formais do trabalho a desenvolver;
▪ Documentação do sistema.
 3. Gestão da Segurança

Princípios de Gestão
1. Identificar Vulnerabilidades;
2. Avaliar os Riscos;
3. Desenvolver um Plano;
4. Implementar o Plano;
5. Monitorizar o Sistema;
6. Investigação e análise de acidentes;
7. Testes e simulacros;
8. Auditorias.

Informação e Formação

• Informação
o Folhetos;
o Documentos;
o Sinalética;
o Intranet

• Formação
o Ações de formação;
o Cursos;
o Demostrações;
o Simulacros.

4. Legislação

4.1 – Legislação Nacional

• Criminalidade Informática
o Lei nº 109/1991, de 17 de Agosto
• Proteção de Dados Pessoais
o Lei nº 67/1998, de 26 de Outubro
• Proteção da Privacidade no Setor das Comunicações Eletrónicas
o Lei nº 41/2004, de 18 de Agosto

Recomendações da Comissão Nacional de Proteção de Dados:

• Princípios sobre a privacidade no local de trabalho (Outubro 2002)

• Princípios sobre a utilização de dados biométricos no âmbito do controlo
de acessos e de assiduidade (Fevereiro 2004)
• Princípios sobre o tratamento de dados por videovigilância (Abril 2004)
4.2 – Legislação Internacional

Normas

• ISO/IEC 27002:2013
o Information technology – Security techniques – Code of practice for
information security controls.
o Apresenta o conjunto de boas práticas que as organizações devem
seguir ao nível da gestão da segurança da informação.
(a 27002:2013 e também a 27002:2005 e a 17799:2005)

• ISO 27001:2013
o Information technology – Security techniques – Information security
management systems ISMS – Requirements.
o Especifica os requisitos para estabelecer, implementar, monitorizar,
rever, manter e melhorar um ISMS (SI) no contexto do negócio da
organização. (e também a 27001:2005)

• NIST
o Security Models (Special Publications)

• COBIT
o Control Objectives for information and related technology

• ITIL
o Information Technology Infrastructure Library
Norma ISO/IEC 27002:2013
Esta norma apresenta um conjunto de boas práticas de suporto às
organizações ao nível da Gestão da Segurança da Informação.
Esta encontra-se organizada em dezoito capítulos, que se encontram em baixo:

5. Information security policies

5.1 Management direction for information security

• Objective: To provide management direction and support for information

security in accordance with business requirements and relevant laws and
regulations.

6. Organization of information security

6.1 Internal organization

• Objective: To establish a management framework to initiate and control the

implementation and operation of information security within the organization.
6.2 Mobile devices and teleworking

• Objective: To ensure the security of teleworking and use of mobile devices.

7. Human resource security

7.1 Prior to employment

• Objective: To ensure that employees and contractors understand their

responsibilities and are suitable for the roles for which they are considered.
7.2 During employment

• Objective: To ensure that employees and contractors are aware of and fulfil
their information security responsibilities.
7.3 Termination and change of employment

• Objective: To protect the organization’s interests as part of the process of

changing or terminating employment.

8. Asset management
8.1 Responsibility for assets

• Objective: To identify organizational assets and define appropriate protection

responsibilities.
8.2 Information classification

• Objective: To ensure that information receives an appropriate level of protection

in accordance with its importance to the organization.
 8.3 Media handling

• Objective: To prevent unauthorized disclosure, modification, removal or

destruction of information stored on media.

9 Access control
9.1 Business requirements of access control

• Objective: To limit access to information and information processing facilities.

9.2 User access management

• Objective: To ensure authorized user access and to prevent unauthorized

access to systems and services.
9.3 User responsibilities

• Objective: To make users accountable for safeguarding their authentication

information.
9.4 System and application access control

• Objective: To prevent unauthorized access to systems and applications.

10 Cryptography
10.1 Cryptographic controls

• Objective: To ensure proper and effective use of cryptography to protect the

confidentiality, authenticity and/or integrity of information.
11 Physical and environmental security
11.1 Secure areas

• Objective: To prevent unauthorized physical access, damage and interference

to the organization’s information and information processing facilities.
11.2 Equipment

• Objective: To prevent loss, damage, theft or compromise of assets and

interruption to the organization’s operations.

12 Operations security
12.1 Operational procedures and responsibilities

• Objective: To ensure correct and secure operations of information processing

facilities.
12.2 Protection from malware

• Objective: To ensure that information and information processing facilities are

protected against malware.
 12.3 Backup

• Objective: To protect against loss of data.

12.4 Logging and monitoring

• Objective: To record events and generate evidence.

12.5 Control of operational software

• Objective: To ensure the integrity of operational systems.

12.6 Technical vulnerability management

• Objective: To prevent exploitation of technical vulnerabilities.

13 Communications security
13.1 Network security management

• Objective: To ensure the protection of information in networks and its

supporting information processing facilities.
13.2 Information transfer

• Objective: To maintain the security of information transferred within an

organization and with any external entity.

14 System acquisition, development and maintenance

14.1 Security requirements of information systems

• Objective: To ensure that information security is an integral part of information

systems across the entire lifecycle. This also includes the requirements for
information systems which provide services over public networks.
14.2 Security in development and support processes

• Objective: To ensure that information security is designed and implemented

within the development lifecycle of information systems.
14.3 Test data

• Objective: To ensure the protection of data used for testing.

15 Supplier relationships
15.1 Information security in supplier relationships

• Objective: To ensure protection of the organization’s assets that is accessible

by suppliers.
 15.2 Supplier service delivery management

• Objective: To maintain an agreed level of information security and service

delivery in line with supplier agreements.

16 Information security incident management

16.1 Management of information security incidents and improvements

• Objective: To ensure a consistent and effective approach to the management of

information security incidents, including communication on security events and
weaknesses.

17 Information security aspects of business continuity management

18 Compliance
18.1 Compliance with legal and contractual requirements

• Objective: To avoid breaches of legal, statutory, regulatory or contractual

obligations related to information security and of any security requirements
18.2 Information security reviews

• Objective: To ensure that information security is implemented and operated in

accordance with the organizational policies and procedures.
 5. PCN – Planeamento da Continuidade do Negócio

O planeamento da Continuidade do Negócio (PCN) é o conjunto de políticas

definidas pela a organização que visam a diminuição ou mesmo eliminação de riscos.

História
Em Portugal as organizações de maior dimensão começaram a demonstrar
preocupações com o PCN a partir dos anos 80.

Evolução

• Necessidade resultante de imposição legal;

• Prestadores de serviços nesta área;
• Evolução lenta.

Necessidade

• Identificar riscos;
• Definir um conjunto de políticas de forma a minimizar esses riscos e/ou o seu
impacto. – ao minorar as consequências dos acidentes está-se a diminuir as
perdas advindas da paragem dos Sistemas de Informação.

Objetivos

• Garantir o cumprimento da missão da organização;

• Preservar a organização sob o ponto de vista legal;
• Assegurar a continuidade do negócio;
• Repor, no mais curto espaço de tempo, a normalidade nas áreas afetadas,
minimizando os efeitos de um acidente.

Metodologias

• Aplicação da metodologia da organização “mãe”:

• Implementação de metodologias específicas;
• Desenvolvimento do próprio PCN.

Componentes
1. Análise do Impacto no negócio
o Matriz de Riscos;
o Riscos a “Controlar”;
o Aplicações Críticas;
o Domínios de Recuperação.
 2. Estratégias de recuperação
3. Desenvolvimento
4. Implementação
5. Testes
6. Manutenção

Os objetivos dos componentes do PCN identificados acima, passa por em

primeiro Identificar Riscos, segundo Definir Políticas e por último Criar/Otimizar
procedimentos de recuperação.

5.1 Gestão do Risco

O alinhamento da Segurança com o negócio e a sua valorização passam
necessariamente pela aceitação e interiorização dos conceitos de Gestão do Risco:

• Ativos;
• Ameaças;
• Probabilidade de Ocorrência;
• Impacto.

Risco → processo que identifica e avalia de forma sistemática e metodológica os

recursos críticos da organização.
Avaliação do Risco → probabilidade de um acidente acontecer e as suas
consequências.
Análise de Risco → Identificar os acidentes que podem ocorrer ou seja determinar as
ameaças a que a organização está exposta e Identificar os controlos existentes e a
sua eficácia.
Ativos → devem ser inventariados e classificados quanto ao seu valor.
Ameaças → identificar as ameaças associadas aos ativos.
Probabilidade de ocorrência → determinar a probabilidade de ocorrência das
ameaças.
Impacto → calcular o impacto por forma a ser possível determinar o risco.
5.2 – Componentes do PCN
5.2.1 – Análise de Risco
A análise de Riscos tem a função de:
1. Analisar o funcionamento das áreas definidas
2. Elaborar matrizes dos riscos subjacentes à atividade

Mais especificamente é constituída pelas seguintes fases:

1. Matriz de Riscos

• Explosão
• Acidente de transporte
• Sismo
• Gelo
• Ausência de colaboradores
• Roubo
• Incêndio
• Temporal
• Aviso de bomba
• Quebra de energia elétrica
• Greve
• Erros dos colaboradores
• Poluição do ar
• Explosão
• Entrada de estranhos
• Pragas de insetos
• Falhas no ar condicionado
• Sabotagem
• Falhas de comunicações
• Manipulação incorreta de dados
• Instalação de software/hardware
• Falhas em dispositivos
• Deficiências de hardware/software
• Inundação
• Negligência de manutenção
• Falta de consumíveis
• Trovoada
• Vírus
• Epidemias
• Furacão.
Matriz de Riscos – Passiva

Matriz de Riscos – Ativa

2. Riscos a “Controlar”
• Custos do Downtime
o Faturação perdida;
o Lucros perdidos;
o Credibilidade junto de clientes;
o Oportunidades perdidas, etc.

• Impacto do Downtime
o Analisar por setor/áreas os riscos subjacentes à atividade;
o Tempo mínimo de paragem;
o Impacto em diversas vertentes:
▪ Operacional;
▪ Social;
▪ Financeiro.

• Níveis de Risco
o Risco baixo: 0 a 2
o Risco médio: 3 a 5
o Risco Alto: 6 a 8

• Probabilidade vs Impacto
 • Erros dos Colaboradores
o Conceção de um plano de Formação individualizada;
o Automatizar processos por forma a evitar erros.

• Negligência de Manutenção
o Contratar manutenção com os fornecedores;
o Criar registo de manutenção;
o Análise de histórico desses registos, etc.

• Vírus
o Formação aos utilizadores;
o Criar rotinas de atualização automáticas, etc.

• Instalação de Software
o Automatizar processo de instalação automática de versões;
o Pedido de autorização de instalação de software adicional;
o Formação aos utilizadores;

• Entrada de Estranhos
o Criação de mecanismos de controlo de acessos;
o Análise do funcionamento desse controlo;
o Cultura organizacional de controlo de entrada de estranhos.

3. Aplicações Críticas

• Inventariar de forma exaustiva a totalidade das aplicações do negócio.

• Analisar a determinar as aplicações críticas de suporte ao negócio, bem como
o tempo de indisponibilidade

Exemplo:
Aplicação: CSESAI
Impacto Operacional: Impossibilidade de formar turmas para dar início ao ano
letivo
Impacto Social: Imagem da ESCE perante estudantes e o IPS
Impacto Financeiro: Custos ao nível dos docentes pelo facto de não se
iniciarem as aulas (avaliação do risco)
Tempo máximo de indisponibilidade: 4 dias no início do ano letivo, 1 semana
nos restantes períodos
 4. Domínios de Recuperação

5.2.2 – Estratégias de Recuperação

Os objetivos das estratégias de recuperação são:

• Disponibilização de informação após o acidente;

• Período de tempo útil;
• Minorar os efeitos do acidente;
• Não condicionar a evolução do negócio.

Podemos definir como estratégias de recuperação:

• Centro redundante;
• Empresas prestadores de serviços;
• Empresas associadas;
• Empty Shell.

5.2.3 – Desenvolvimento
• Equipa interna;
• Equipa externa;
• Equipa mista.

5.2.4 – Implementação
• Sensibilizar para a importância da definição dos processos de suporto ao
negócio;
• Envolver os colaboradores responsáveis pela a recuperação.
5.2.5 – Testes
• Testar a adequabilidade;
• Periocidade;
• Tipos de testes:
o Reais
o Simulações
• São a melhor garantia da sua funcionalidade e análise da adequabilidade face
aos requisitos.

5.2.6 – Manutenção
• Técnico responsável;
• Política de atualizações permanentes.

5.3 Fases do PCN

5.3.1 – Arranque do Projeto
• Definir o Plano de trabalho;
• Estabelecer responsabilidades;
• Definir metodologia de recolha e análise de documentação.

5.3.2 – Análise de Risco

• Analisar o funcionamento das áreas definidas;
• Elaborar matrizes dos riscos subjacentes à atividade.

5.3.3 – Análise da Situação Atual

• Tecnologias de Informação e Comunicação;
• Identificação e análise das aplicações;
• Análise dos atuais planos de recuperação;
• Análise da sua pertinência e coerência.

5.3.4 – Definição do Ambiente de Recuperação

• Análise das necessidades de recuperação;
• Avaliação das tecnologias;
o Sistemas de Interligação
o Plantas de edifícios
o Planta por pisos
o Infraestrutura
o Sistema de cablagem
o Equipamento ativo
o Diagrama de rede
o Comunicações interior/exterior
• Avaliação de cenários alternativos.
5.3.5 – Implementação
• Avaliação das ferramentas existentes;
• Criar processos autónomos;
• Formação das pessoas.

5.3.6 – Testes
• Tecnologias de Informação e Comunicação;
• Telecomunicações;
• Áreas a recuperar;
• Backups.

6. PSI – Planeamento de Sistemas de Informação

Atualmente a atividade de Planeamento de Sistemas de Informação (PSI) é

efetuada de forma desagregada.

Objetivos

• Sistematização das atividades de PSI e de PCN;

• Alinhamento com os objetivos de negócio;
• Avaliação do risco;
• Menor tempo de duração da realização das atividades;
• Necessidade do planeamento simultâneo das atividades de PSI e de PCN.

Atividades de PSI e de PCN

• O PCN tem subjacente a necessidade em assegurar a continuidade do

negócio;
• O PCN pode ser diluível (concentrado) no PSI.

Posicionamento de PSI e de PCN

Pontos de interceção das atividades

• Dependência dos SI face ao negócio;

• Análise de risco;
• Processos críticos;
• Avaliação tecnológica;
• Impacto no negócio.

Reflexo no PSI

• Perspetiva sistémica;
• Mudança de atitude dos decisores;
• Planeamento simultâneo;
• Métodos integrados.

Abordagem integrada de PSI e de PCN

• Necessidade do planeamento simultâneo das atividades de PSI e de PCN;

• Espaços comuns das atividades:
o Análise do grau de dependência dos SI;
o Definição de processos críticos;
o Impacto no negócio.

Abordagem – Organização

Abordagem – Estratégia do negócio

Abordagem – Continuidade do negócio

Vantagens da Abordagem

• Custo global inferior;

• Integração das atividades de planeamento;
• Redução do tempo global;
• Flexibilidade de aplicabilidade às organizações;
• Menor número de colaboradores envolvidos.

Desvantagem da Abordagem

• Equipa única, mas de maior dimensão dado ter como pressuposto envolver
colaboradores de diferentes domínios de especialização.

Exequibilidade

• Acessibilidade de implementação;
• Adequabilidade à realidade das organizações;
• É fundamental o comprometimento dos decisores;
• Integração da equipa.

Abordagem – PME

• Os principais problemas com que se deparam as organizações do tipo PME

(pequenas médias empresas) aquando do PCN são basicamente:
o Escassez económica para recorrer a consultores;
o Reduzido número de publicações especializadas neste no domínio;
o Custos subjacentes à implementação de políticas de recuperação
associada aos centros.
Normas/Standards

• ISO 27002 – Controlo 17 (2013)

o 17 Information security aspects of business continuity management

1. 17.1 Information security continuity

Objective: Information security continuity should be embedded in
the organization’s business continuity management systems.
• 17.1.1 Planning information security continuity
Control The organization should determine its
requirements for information security and the continuity of
information security management in adverse situations,
e.g. during a crisis or disaster.
• 17.1.2 Implementing information security continuity
Control The organization should establish, document,
implement and maintain processes, procedures and
controls to ensure the required level of continuity for
information security during an adverse situation.
• 17.1.3 Verify, review and evaluate information security
continuity
Control The organization should verify the established
and implemented information security continuity controls
at regular intervals in order to ensure that they are valid
and effective during adverse situations.

2. 17.2 Redundancies
Objective: To ensure availability of information processing
facilities.
• 17.2.1 Availability of information processing facilities
Control Information processing facilities should be
implemented with redundancy sufficient to meet
availability requirements.

• ISO 22313 - Societal security — Business continuity management systems –

Guidance (2012)

• ISO 22301 - Societal security — Business continuity management systems –

Requirements (2012)

• BS 25999 - Gestão da Continuidade do Negócio (2006)

o BS 25999:1 - Boas Práticas para a Continuidade do Negócio

1. Âmbito e Aplicabilidade
2. Termos e Definições (2.1 a 2.33)
3. Gestão da Continuidade do Negócio (3.1 a 3.7)
4. Políticas (4.1 a 4.5)
5. Programa (5.1 a 5.5)
6. Organização (6.1 a 6.7)
 7. Estratégias da Continuidade (7.1 a 7.10)
8. Desenvolvimento e Implementação (8.1 a 8.7)
9. Manutenção e Revisão (9.1 a 9.5)
10. BCM na cultura da organização (10.1 a 10.3)

o BS 25999:2 - Gestão da Continuidade do Negócio

• ISO 27004 – Métricas para a Gestão da Segurança da Informação (2009)

• ISO 27005 – Gestão do Risco (2008) - Information Technology – Security

Techniques – Information Security Risk Management

o Fornece diretrizes para a gestão dos riscos de segurança da

Informação.
o Destaca o conceito de Risco e Medida de Risco.
o É composta por:
1. Âmbito
• This International Standard provides guidelines for
information security risk management
• This International Standard supports the general
concepts specified in ISO/IEC 27001.

2. Normativo de Referência

3. Termos e Definições
• 3.1 a 3.9

4. Estrutura do Standard

5. Background
• A systematic approach to information security risk
management is necessary to identify organizational
needs regarding information security requirements and to
create an effective Information Security Management
System (ISMS).
• Information security risk management should be a
continual process.

6. Processo de Gestão do Risco

• The information security risk management process
consists of context establishment (Clause 7), risk
assessment (Clause 8), risk treatment (Clause 9), risk
acceptance (Clause 10), risk communication (Clause 11),
and risk monitoring and review (Clause 12).

7. Contexto
• The context for information security risk management
should be established, which involves setting the basic
criteria necessary for information security risk
management (7.2), defining the scope and boundaries
 (7.3), and establishing an appropriate organization
operating the information security risk management (7.4).

8. Avaliação dos Riscos

• Risks should be identified, quantified or qualitatively
described, and prioritized against risk evaluation criteria
and objectives relevant to the organization.

9. Tratamento de Riscos
• Controls to reduce, retain, avoid, or transfer the risks
should be selected and a risk treatment plan defined.

10. Aceitação de Riscos

• The decision to accept the risks and responsibilities for
the decision should be made and formally recorded.

11. Comunicação dos Riscos

• Information about risk should be exchanged and/or
shared between the decision-maker and other
stakeholders.

12. Revisão e Monitorização

• Risks and their factors (i.e. value of assets, impacts,
threats, vulnerabilities, likelihood of occurrence) should
be monitored and reviewed to identify any changes in the
context of the organization at an early stage, and to
maintain an overview of the complete risk picture.

• NIST - Special Publication 800-34 Contingency Planning Guide for Information

Technology Systems
o Special Publication 800-12 An Introduction to Computer Security: The
NIST Handbook
o Special Publication 800-34 Contingency Planning Guide for Information
Technology Systems
 7. Ética

7.1 - Moral, Ética e Deontologia

Moral

• Conjunto das práticas, sentimentos e juízos relativos ao bem e ao mal, e à

conduta em geral;
• Conjunto de normas de conduta reconhecidas por um determinado grupo
social;
• Conjunto de regras de conduta decorrentes de uma conceção da moral.

Ética

• Parte da filosofia que se ocupa dos costumes, da moral, dos deveres do

homem;
• Ciência que trata da ambivalência entre o bem e o mal, e estabelece o código
moral de conduta;
• Conjunto de princípios morais e de conduta pelos quais se rege o individuo na
sua vida ou no desempenho de uma profissão ou atividade.

Deontologia

• Teoria dos deveres morais, do bem e do mal, do que é lícito e ilícito;

• Conjunto de deveres.

7.2 Ética
• Segundo (Laudon, 2015), refere que a ética é o conjunto de princípios que
estabelece o que é certo ou errado e que os indivíduos, na qualidade de
agentes livres, utilizam para fazer escolhas que orientam o seu
comportamento.

Papel da Ética

• Tem por objetivo maximizar os benefícios e minimizar os prejuízos.

Comissão de Ética

• As comissões de ética devem existir em todos os órgãos e entidades

vinculadas à Administração Pública Federal, conforme prescrito pelo Decreto
nº 1.171, de 22 de junho de 1994.
• Têm por finalidade zelar pela aplicação do Código de Ética Profissional do
Servidor Público, devendo apurar, mediante denúncia ou de ofício, condutas
em desacordo com as normas éticas estabelecidas, recomendando,
acompanhando e avaliando o desenvolvimento de ações objetivando a
disseminação, capacitação e treinamento sobre as normas e comportamento
ético.
 • A Comissão de Ética do INPI, cujos membros foram designados pela Portaria
INPI/PR nº 132/2018, além das competências acima citadas, também está
encarregada de orientar e aconselhar sobre a ética profissional do servidor, no
tratamento com as pessoas e com o patrimônio público.

Valores da Ética

• Os Sistemas de Informação (Baracho, 2016), estão preparados para responder

a perguntas. Os responsáveis pelo seu acesso por mais técnicos e isentos que
sejam dependem de premissas, de instruções. Salienta-se a importância de se
regerem pela ética para definir prioridades e acessos.
• Os valores éticos entram de forma crucial na definição da representação,
organização e recuperação da informação.
o Ética na sociedade da informação;
o Códigos de conduta profissional;
o Promulgados por associações de profissionais;
o Promessas de autorregulamentação feitas por profissionais visando ao
interesse geral da sociedade;
o Dilemas éticos do mundo real;
▪ Um conjunto de interesses comparado a outro.
▪ Exemplo: direito de a empresa maximizar a produtividade dos
empregados versus direito de os empregados utilizarem a
Internet para pequenas tarefas pessoais.
o Um conjunto de interesses comparado a outro.

Ética e os Sistemas de Informação

• Segundo (Laudon, 2015), os Sistemas de Informação suscitam novas questões

éticas para os indivíduos e a sociedade em geral porque criam oportunidades
de mudanças sociais intensas e, assim, ameaçam os padrões existentes de
distribuição de poder, dinheiro, direitos e obrigações.
Dimensões Morais dos Sistemas de Informação
As cinco dimensões morais da era da informação:
1. Direitos e deveres sobre a informação. Que direitos sobre a informação relativa
a si própria os indivíduos e as organizações possuem? O que podem proteger?

2. Direitos e deveres sobre a propriedade. Como os tradicionais direitos de

propriedade intelectual serão protegidos em uma sociedade digital na qual
identificar e prestar contas da propriedade é difícil, mas ignorar os direitos
sobre ela é tão fácil?

3. Prestação de contas e controle. Quem deverá prestar contas e ser

responsabilizado por danos causados aos direitos individuais e a segurança da
sociedade?
4. Qualidade do sistema. Que padrões de qualidade de dados e sistemas devem
ser exigidos para proteger os direitos individuais e a segurança da sociedade?

5. Qualidade de vida. Que valores devem ser preservados em uma sociedade

baseada na informação e no conhecimento? Quais instituições devem ser
protegidas contra a violação?

Enquadramento Legal
Normativo sobre a ética no INPI

• Instrução Normativa PR nº 72, de 07/06/2017 - Aprova o Código de Ética

Profissional dos servidores do INPI.
• Instrução Normativa PR nº 73, de 07/06/2017 - Aprova o Regimento Interno da
Comissão de Ética do INPI-CE/INPI.
Associações Profissionais
Exemplos:

• APEE - Associação Portuguesa de Ética Empresarial.

 8. RGPD – Regulamento Geral da Proteção dos Dados

Comissão Nacional de Proteção de Dados (CNPD)

• Devido ao elevado número de organizações a acederem a dados pessoais dos

clientes, foi criada em Portugal a Comissão Nacional de Proteção de Dados
pessoais (CNPD), para garantir que as instituições não invadam a privacidade
dos titulares dos dados, certificando-se que apenas utilizam os dados para a
finalidade da recolha.
• Assim, qualquer organização que utiliza ou cria um Sistema de Informação
deve, em primeiro lugar, apresentar o Sistema de Informação perante esta
Comissão, para a sua aprovação.
• A CNPD é uma entidade administrativa independente com poderes de
autoridade, que funciona junto da Assembleia da República, cuja função é o
controlo e a fiscalização do processamento de dados pessoais, em rigoroso
respeito pelos direitos do homem e pelas liberdades e garantias consagradas
na Constituição e na Lei.

Regulamento Geral da Proteção de Dados

O Regulamento Geral da Proteção de Dados entrou em vigor a 25 de maio de
2018, e abrange todas as organizações e poderá resultar em multas pesadas para as
entidades que não cumpram a nova legislação nomeadamente coimas até 20 milhões
de euros ou 4% do volume de negócios anual da organização.
O que se pretende implementar:

• Atualmente, o que as organizações têm de fazer em matéria de dados é pedir

um parecer à Comissão Nacional de Proteção de Dados (CNPD), que autoriza
ou não a recolha, tratamento e armazenamento desses mesmos dados.

• Compliance
o Geralmente e só em ocasiões específicas é que as organizações
solicitavam autorização. O ónus vai passar para as organizações.
Vamos passar a um modelo de autorregulação. Nesse sentido recai sob
as organizações a responsabilidade de interpretar e cumprir o novo
regulamento, no sentido de terem que conseguir provar que o
cumprem, que estão em compliance. E que gerem a questão
internamente, de forma contínua.

• Encarregado de Proteção de Dados

o Numa lógica de processo de negócio, as organizações têm de nomear
uma pessoa(s) no sentido de como perfil profissional o tratamentos de
dados. Perceber como é que a privacidade das pessoas é afetada e ter
como função a do Encarregado de Proteção de Dados, ou Data
Protection Officer (DPO), que algumas empresas vão ser obrigadas a
nomear. Será o responsável máximo por garantir que a empresa
cumpre o RGPD.
Importância de cumprir o RGPD
Nesse sentido, salienta-se a importância de cumprir o RGPD, identificando em seguida
as suas fases:

• Fase de Diagnóstico
o Analisar o regulamento;
o Identificar os dados que existem na organização;
o Que tratamento que é feito;
o Que tipos de dados existem;
o Para que finalidade;
o Qual o prazo de conservação;
o Perceber quais os fluxos de dados existentes;
o Analisar no que se refere aos fornecedores o acesso aos dados.

• Fase de Revisão
o Rever se há consentimento dos titulares para uso e tratamento dos
dados que já existem;
o Verificar os documentos de consentimento;
o Rever políticas de privacidade e termos de utilização;
o Analisar os contratos com fornecedores e outras entidades
subcontratantes;
o Colocar toda a documentação em cumprimento com o RGPD.

• Fase do DPO
o Perceber se a empresa cumpre os requisitos para
ter de nomear um Encarregado de Proteção de
Dados (DPO);
o Nomear um DPO caso seja necessário e envolvê-
lo no processo de preparação.
NOTA:
Segundo o RGPD, é obrigatória a
existência de um DPO cuja função é ser
Encarregado de Proteção de Dados nas
seguintes organizações:

• Organizações que tratem dados

• Fase de Implementação
o Identificar as medidas a adotar;
o Avaliar se é preciso substituir sistemas
informáticos;
sensíveis em grande escala como
atividade principal.
• Organismos públicos, exceto tribunais
no exercício da sua função jurisdicional.

o Adquirir os sistemas necessários; • Organizações que façam “controlo

o Desenhar um plano de implementação; regular e sistemático” dos titulares dos
dados.
o Executar as novas medidas;
o Avaliar se tudo ficou em conformidade.

• Fase de compliance
o Formação aos funcionários;
o Garantir a contínua conformidade com o RGPD;
o Business as usual a partir de 25 de maio de 2018.
Análise de Conformidade
Quem vai fiscalizar esta atividade organizacional?

• Em teoria, será a Comissão Nacional de Proteção de Dados (CNPD).

• Aguarda-se a criação de enquadramento legal específico no sentido de existir
legislação própria nos Estados-membros.

Mitos sobre o RGPD

Segundo (IDC, 2018) o Regulamento Geral de Proteção de Dados (RGPD) pode
constituir em si um conjunto de mitos.
• A proteção dos dados não deve ser entendida como um destino, mas como uma nova realidade
a que as organizações estarão sujeitas num novo contexto digital. Neste sentido, as
organizações devem assegurar um ambiente adequado de governança, gestão e operação do
seu sistema de informação que garanta que se mantém em conformidade não apenas em maio
de 2018, mas também depois dessa data.
• Em vários países, incluindo Portugal, o facto de não existir ainda uma visão clara do modelo
operacional das autoridades supervisoras está a atrasar o correto entendimento do ecossistema.
É expectável que exista um alinhamento europeu para um reforço de recursos para as
autoridades supervisoras, assegurando a aplicação da lei.
• Embora seja natural o foco das entidades supervisoras em organizações de maior dimensão e
indústrias onde o processamento de dados é mais intensivo, é igualmente possível que a
estratégia passe por encontrar Organizações onde as infrações sejam evidentes para que
possam servir de exemplo.
• Embora o limite superior das multas seja 4% do turnover global do grupo no espaço da UE ou
um máximo de 20 milhões de euros, este aplica-se apenas caso se verifiquem situações severas
de não conformidade. No entanto, mesmo que a multa no contexto RGPD seja de 20 euros, as
perdas financeiras, operacionais ou reputacionais associadas poderão ser bem mais elevadas.
• As não conformidades RGPD estão sobretudo relacionadas com incidentes de segurança –
Embora seja verdade que, atualmente, um número significativo das multas relacionadas com o
incumprimento de leis de proteção de dados esteja diretamente relacionado com incidentes de
segurança resultantes de vulnerabilidades tecnológicas ou humanas, importa destacar que, de
acordo com o artigo 85 (5) do RGPD, as multas mais pesadas são aplicadas a situações que
violem os princípios fundamentais relacionados com o tratamento de dados pessoais.
• Todos os incidentes de segurança devem ser reportados num máximo de 72 horas – É verdade
que um número elevado de ciber ataques acaba por comprometer a confidencialidade e
integridade dos pessoais das organizações, no entanto apenas nesses casos existe a obrigação
de reportar incidentes relacionados com dados pessoais, excluindo-se todas os incidentes de
segurança que apenas incidam sobre a dimensão de disponibilidade dos dados.
• É mais seguro não reportar os incidentes de segurança? Este tipo de abordagem, para além de
não ser ético e totalmente desaconselhado e não pode ser considerada “gestão de risco”; Na
verdade, caso as autoridades venham a saber do incidente por terceiros (ex. queixas de clientes,
denunciantes, comunicação social), as multas a aplicar deverão ser superiores.
• A encriptação será a principal salvação? As organizações deverão garantir abordagens
orientadas ao risco, demonstrando que os riscos residuais são conhecidos e aceites pela gestão
como parte da estratégia de gestão de risco corporativo. O RGPD refere inclusivamente que as
medidas de controlo deverão garantir um nível de segurança adequado.
• O melhor será externalizar as responsabilidades pela proteção dos dados pessoais para uma
maior segurança da informação? Embora possa constituir uma forma de não tirar o foco da
organização do seu negócio, não reduz a sua responsabilidade em caso de incumprimento.
Cada vez mais as organizações terão em consideração os riscos a montante e a jusante da sua
operação, procurando fornecedores e parceiros que lhes assegurem níveis adequados de
conformidade, em particular no contexto RGPD, mas também de confiança perante os seus
clientes.
• A localização dos dados não influencia a segurança? A capacidade das medidas de segurança
aplicadas, como criptografia, controlos de acesso ou gestão de privilégios, têm mais relevância
do que a localização dos dados. Existem, no entanto, outros requisitos de conformidade que
 influenciam diretamente a proteção dos dados pessoais. No contexto da UE, o RGPD vem
reforçar alguns requisitos relacionados com a localização dos dados, sendo um aspeto crítico a
ter em conta na avaliação dos riscos.

Implementação do RGPD
Sucesso

• Para o sucesso dos processos de transformação digital em curso, (IDC, 2018),

os dados assumem uma posição de destaque, por estarem no centro de
qualquer estratégia a definir.
• Este novo regulamento representa um passo relevante para garantir uma
adequação legal aos novos riscos relacionados com a proteção de dados
pessoais.
Impacto

• Os impactos estimados, (IDC, 2018), do novo regulamento são significativos

tanto ao nível dos fornecedores como dos clientes de tecnologias, em particular
no que refere às responsabilidades que todas as partes envolvidas passarão a
ter no processamento e controlo dos dados pessoais.

Conformidade

• Para as organizações, será essencial recorrer a parceiros com as necessárias

competências, sendo que uma das melhores fontes de informação a
comunidade de supervisores ou outras entidades que irão intervir ativamente
no ecossistema de conformidade do RGPD, (IDC, 2018).

Jornal Oficial da Comissão Europeia

• Segundo o Jornal Oficial da Comissão Europeia de 4/5/2016, o Regulamento

(UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016,
relativo à proteção das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e à livre circulação desses dados e que revoga a Diretiva
95/46/CE (Regulamento Geral sobre a Proteção de Dados);
• Deliberando de acordo com o processo legislativo ordinário e considerando os
três primeiros pontos salienta-se:
o A proteção das pessoas singulares relativamente ao tratamento de
dados pessoais é um direito fundamental. O artigo 8.o, n.o 1, da Carta
dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16.o,
n.o 1, do Tratado sobre o Funcionamento da União Europeia (TFUE)
estabelecem que todas as pessoas têm direito à proteção dos dados de
caráter pessoal que lhes digam respeito.
o Os princípios e as regras em matéria de proteção das pessoas
singulares relativamente ao tratamento dos seus dados pessoais
deverão respeitar, independentemente da nacionalidade ou do local de
residência dessas pessoas, os seus direitos e liberdades fundamentais,
nomeadamente o direito à proteção dos dados pessoais
 o A Diretiva 95/46/CE do Parlamento Europeu e do Conselho visa
harmonizar a defesa dos direitos e das liberdades fundamentais das
pessoas singulares em relação às atividades de tratamento de dados e
assegurar a livre circulação de dados pessoais entre os Estados-
Membros.
• O presente regulamento tem como objetivo contribuir para a realização de um
espaço de liberdade, segurança e justiça e de uma união económica, para o
progresso económico e social, a consolidação e a convergência das economias
a nível do mercado interno e para o bem-estar das pessoas singulares.

Enquadramento legal

• Lei 103/2015 – adita o artigo 45º-A - A Inserção de dados falsos - à Lei 67/98;
• Regulamento (UE) N.º 611/2013 – relativo às medidas aplicáveis à notificação
da violação de dados pessoais em conformidade com a Diretiva 2002/58/CE do
Parlamento Europeu e do Conselho relativa à privacidade e às comunicações
eletrónicas;
• Lei 109/ 2009 - Lei do cibercrime;
• Regulamento (UE) N.º 2016/794, de 11 de maio de 2016.
 9. Backups

9.1 – Conceitos
Backup

• Backup é um termo inglês que significa cópia de segurança.

• É utilizado em informática para indicar a existência de cópia de um ou mais

arquivos guardados em diferentes dispositivos de armazenamentos. Se por
qualquer motivo, houver perda dos arquivos originais, o backup (cópia de
segurança) armazenado, pode ser restaurado para repor os dados perdidos.

• A continuidade de qualquer negócio (Lucena, 2017), deve estar alicerçada

numa estratégia de backup definida e implementada pelas organizações no
sentido de preservar um dos seus ativos valiosos - a informação.

9.2 - Tipos de Backup

Nesse sentido, considera-se crucial conhecer os tipos de backups:
1. Completo
2. Diferencial
3. Incremental

1 - Backup Completo ou full

Consiste na cópia completa dos dados, em que o backup anterior dará lugar a
um novo backup full. Nesse modelo, todos os dados são sempre copiados a cada
execução do backup.
Vantagens:

• Esse é o modelo mais simples e direto;

• Segundo esta opção todos os dados estarão presentes, no caso de necessitar
utilizar as cópias em caso de recuperação.

Desvantagens:

• Todos os dados são sempre copiados;

• Isso pode ser irrelevante para uma pequena quantidade de dados, mas, à
medida em que a base de dados cresce, tanto o backup quanto a restauração
se tornam mais demorados.
2 - Backup Incremental
Este modelo de backup, copia somente os dados alterados desde o último
backup executado — seja o completo, diferencial ou incremental.
Em primeiro lugar, executa-se um backup full, seguido de diversos backups
incrementais. Se houver alterações nos dados, somente elas serão copiadas.

Vantagens:

• A rapidez para cópia dos incrementais é o maior benefício;

• Somente dados alterados ou novos são adicionados ao último backup
executado;
• Essa opção diminui o tempo do processo e um eventual consumo de link de
rede ou internet.
Desvantagens:

• Exige maior domínio por parte do responsável, visto que é preciso ter controle
sobre o catálogo dos backups executados;
• Além disso, a recuperação é mais lenta, pois é preciso primeiro restaurar o
último backup full, seguido da sequência de incrementais até o último
realizado.
3- Backup Diferencial
O backup diferencial é similar ao incremental, pois aplica as alterações
executadas após um backup full.
No entanto, copia sempre os dados alterados desde o backup completo.
Para se executar uma recuperação, basta utilizar o último backup full, seguido do
último backup diferencial.

Vantagens:

• A vantagem principal é ter menos ficheiros para recuperar, já que não se

aplicam vários ficheiros na recuperação. Apenas o full e o último diferencial;
• Ele gera menos tráfego de rede do que o full, e é menos complexo que o
incremental.

Desvantagens:

• O tempo de recuperação pode ser um pouco maior do que quando se utiliza o

modelo incremental.
9.3 – A melhor opção para cada negócio

Face às opções de backup existentes e à especificidade caberá ao responsável

identificar a que melhor corresponde às necessidades do negócio.

Quando optar por um backup completo?

• Para bases de dados pequenas, com tendência de crescimento lento, o backup

full é o mais indicado. Por ser o mais simples, de fácil implementação.
• Para uma eventual recuperação em caso de perda de informação basta ter o
último full guardado.

Quando optar pelo backup diferencial ou incremental?

• Para bases de casos com tendência a crescer, chegando a alguns gigabytes

em meses, pode-se pensar nas opções diferencial ou incremental.
• Empresas de média ou grande dimensão geralmente necessitam de grandes
áreas de armazenamento.
• Nesses casos, um backup full semanal, acompanhado de um diferencial diário
poderá resolver a necessidade do negócio.
 10. Auditoria
10.1 - História
A função de Auditoria, no seu início, baseava-se em ouvir, “audire”, os diferentes
responsáveis sobre os vários “inputs” e “outputs” das organizações em análise.
Assim o auditor, “auditore”, formulava as suas conclusões a partir de recolha de
dados realizada e das informações que lhe eram transmitidas verbalmente. Este método
primitivo começou a ser utilizado pelos funcionários do Império Romano quando eram
mandatados pelo imperador para inspecionarem as contas das diversas províncias.
O autor Fantinatti [1988], refere-se ao conceito de Auditoria evidenciando a
importância da independência, planeamento, sigilo.
Segundo [Carneiro, 2004] o conceito de Auditoria é muito mais amplo, podendo
ser referido como um exame crítico que tem a finalidade de avaliar a eficiência de um
departamento ou uma organização.

10.2 – Conceitos e Tipos de Auditoria

Objetivos da Auditoria

• Verificar o desempenho de departamento(s)/área(s) de negócio;

• Auxiliar os decisores a definir estratégias para a organização;
• Contribuir para a avaliação da qualidade;
• Deve ser encarada como sendo de importância vital para a organização.

Tipos Auditoria

• Financeira
o Verificar a veracidade das situações financeiras, a adequação das
operações e registos e a qualidade dos controlos internos.
o Tem por objetivo a observação das normas e princípios contabilísticos
vigentes.

• Estratégica
o Avalia os domínios de negócio das organizações e as estratégias
utilizadas para alcançar os objetivos pretendidos.
o Fundamenta-se numa recolha de informação sobre a missão da
organização, capacidades, recursos, mercados-alvo.

• Operacional
o Avaliar a consecução dos objetivos e a economia dos métodos e
procedimentos;
o Identificar irregularidades no sistema operacional.
 • Qualidade
o Analisar a conformidade com as ISO;
o As normas ISO 9000 têm proporcionado o desenvolvimento de
sistemas de qualidade;
o As normas definem as exigências a que as organizações devem
atender por forma a atingirem padrões de qualidade.

• Ambiental
o É a mais recente área da Auditoria;
o Examina a analisa os prováveis impactos das organizações face ao
meio ambiente;
o Fornece indicadores aos decisores sobre o desempenho
organizacional, processual e de equipamento relativamente ao
ambiente.

• Tecnológica
o Auditoria em que nos vamos focar e aprofundar mais à frente aqui nesta
cadeira.

Saberes Fundamentais de Auditor

• O saber de estar…
o De acordo com a especificidade, cultura, normas e actividades da
organização.

• O saber de ser…
o Como agente de avaliação, de acordo com as exigências técnicas e
pedagógicas da função de auditoria e com o código de ética e
deontologia profissional.

• O saber de fazer…
o Ações de análise, diagnóstico e avaliação de acordo com as
Normas/Standards, técnicas e metodologias que se enquadrem em
princípios de exequibilidade, aplicabilidade e validade.

• O saber de cooperar…
o Com os departamentos e entidades através de recomendações de
aplicabilidade, razoabilidade e exequibilidade válidas em função da
especificidade da organização.

Elementos da Auditoria

• Conteúdo:
o Uma opinião.

• Condição:
o Profissional.
 • Justificação:
o Sustentada em procedimentos.

• Objeto:
o A informação obtida nos suportes.

• Finalidade:
o Ser fiável;
o Adequada à realidade;
o Que corresponda às expectativas.

Auditoria e Valor

• A mudança é o objeto da estratégia;

• O tempo é o referencial da estratégia;
• Antecipar a mudança e os efeitos do tempo sobre a organização é uma tarefa
principal dos líderes.
• A tarefa-chave do Auditor é proporcionar informação com qualidade aos
decisores para que esta potencie a antecipação da mudança.

Papéis e expectativas da Auditoria

• À medida que a organização cresce e sofre mutações, o mesmo acontece com

o papel do Auditor.
• O papel da auditoria é um reflexo das necessidades e expectativas da
organização como um todo para sobreviver e se diferenciar.

10.3 – Processo de Auditoria

Processo de Auditoria – implementação do papel

Segundo [McNamee 1998] o Papel e Focus são:

• Conformidade
o Verificar se a organização está a aderir: à Legislação,
Normas/Standards, e Regulamentos, por forma a que as estratégias
delineadas sejam atingidas.

• Operacionalidade
o Aplica-se a Auditoria Operacional ou de Performance.
o Destina-se a verificar se os recursos da organização são utilizados
adequadamente e com eficácia.

• Garantia de Qualidade
o O processo catalisador é uma validação exterior do bom cumprimento.
o Salienta-se a importância da certificação para as organizações.
Efeito do Processo de Auditoria – impacto da auditoria

• A Curto Prazo:
o As Auditorias de conformidade incidem habitualmente sobre aspetos
imediatos em que a não conformidade constitui um risco sério.
o A ação corretiva é instantânea.
o O efeito financeiro reflete-se dentro do período do exercício.

• A Médio Prazo:
o As Auditorias Operacionais incidem geralmente sobre os ativos.
o As mudanças na utilização ou aquisição de ativos mais eficientes é
geralmente um aspeto de médio prazo.
o São necessários vários períodos contabilísticos para que os efeitos
destas auditorias sejam conhecidos com alguma confiança.

• A Longo Prazo:
o A garantia de qualidade sujeita à revisão do catalizador focaliza a
sobrevivência da organização no longo prazo.
o O relacionamento da organização com os seus clientes e a adesão aos
valores fundamentais da organização.
o A certificação da organização deverá ser um objetivo.

Informação e Auditoria

• A Informação é um BEM que, à semelhança de outros recursos considerados

pela organização como sendo de importâncias vital, tem VALOR para a
organização e como tal necessita de ser adequadamente preservada,
protegida e valorizada.
• A Informação pode existir em inúmeros FORMATOS. Pode ser impressa,
escrita em papel, armazenada eletronicamente, transmitida por correio ou
através de meios eletrónicos, visualizada em filmes ou falada em
conversações.
• Independentemente do seu formato, ou meio através dos quais é partilhada ou
armazenada, a INFORMAÇÃO deve ser sempre ADEQUADAMENTE
PROTEGIDA.

Fases de uma Auditoria

1. Pré-Auditoria
o Acordar o Departamento/Área de Negócio a ser Auditada;
o Enviar Anúncio para notificação formal de que vai ser efetuada uma
Auditoria;
o O anúncio deverá especificar as áreas a serem Auditadas;
o Efetuar as 1ªs reuniões com os decisores da organização;
o Definir prazos de execução da atividade adequados em função do
trabalho proposto.
o Otimizar o Plano de Trabalho.
 2. Auditoria
o Solicitar sempre por escrito e com data de devolução da informação
pretendida;
o Efetuar reuniões periódicas para expor os factos identificados nas
áreas;
o Entregar relatório ao sector auditado para que o mesmo emita por
escrito as razões de estar em desacordo;
o As razões não aceites pelo grupo auditor farão parte do Sumário
Executivo;

3. Pós-Auditoria
o Concluída a auditoria, o grupo auditor emite um relatório detalhado das
suas atividades:
▪ Objeto da auditoria;
▪ Áreas abrangidas;
▪ Factos identificados;
▪ Ações recomendadas;
▪ Avaliação global do ambiente auditado.

Equipas

• Externa
o Realizada por entidades que não pertencem à organização auditada;
o Permite maior objetividade;
o Entidade imparcial que permite credibilizar a informação.

• Interna
o Realizada com os recursos internos da organização;
o Tem como principal objetivo apoiar a gestão nas suas atividades
organizacionais;
o Deve colaborar nas auditorias externas.
o Salienta-se: Maior dificuldade em ter funções de avaliação independente
e Maior dificuldade em propor medidas.

Auditoria Interna
Principais funções da auditoria interna são:
1. Assegurar a Segurança da Informação;
2. Avaliar o cumprimento das diretivas globais;
3. Assegurar a existência dos ativos da organização;
4. Gerir a eficiência da utilização dos recursos;
5. Verificar a consecução dos objetivos e metas previamente definidos.
Metodologias utilizadas pela auditoria interna:

• Seleção das Técnicas:

o Questionários;
o Entrevistas;
o Check List;
o Recolha de Documentos;
o Observação Direta.~

10.4 - Finalidades e Âmbito da Auditoria em SI

Auditoria Tecnológica

Principais Fases da auditoria tecnológica:

• Proteger as atividades e recursos;

• Analisar a legislação;
• Analisar a eficiência e pertinência das Normas/Standards;
• Analisar a viabilidade e rentabilidade das aquisições de Hardware e Software;
• Analisar o funcionamento das Tecnologias de Informação e Comunicação.

Finalidades da auditoria tecnológica:

• Verificar o cumprimento das políticas de Segurança definidas pela organização;

• Analisar a conformidade das práticas organizacionais face às
Normas/Standards;
• Avaliar a adequação de procedimentos de controlo;
• Efetuar a análise dos fluxos de informação;
• Verificar as condições de exploração das Tecnologias de Informação e
Comunicação (Servidores, Redes e restante Hardware).

Características do Auditor Tecnológico:

• Possuir conhecimentos das Técnicas de Auditoria;

• Conhecer as Normas/Standards nacionais e internacionais;
• Analisar a adequação da Arquitetura do Sistema de Informação;
• Conhecer os princípios dos Sistemas de Informação;
• Analisar adequação das Redes da organização face ao negócio;
• Dominar a(s) Linguagens de Programação implementadas na organização;
• Saber aferir a importância das Bases de Dados para a organização;
• Preocupar-se com a atualização tecnológica face às necessidades da
organização.
Quem são os Auditores Tecnológicos:

• São profissionais que avaliam de forma disciplinada, organizada e

independente os RISCOS e CONTROLOS associados às TIC de suporte ao
negócio por forma a sugerir otimizações que potenciem a atividade das
organizações.

Âmbito da Auditoria Tecnológica:

• Operacionalidade dos Sistemas:

o É o objetivo fundamental;
o Determinar os níveis críticos face às estratégias do negócio;
o Definir níveis mínimos de funcionamento sem por em causa o negócio;
o Realização de controlos técnicos gerais e específicos de
operacionalidade.

• Operatitividade dos Sistemas:

o Controlos Técnicos Gerais:
▪ Compatibilidade de funcionamento simultâneo das TIC de
suporte ao negócio;
▪ Compatibilidade de Sistemas;
▪ Níveis de integração dos Sistemas;
▪ Comunicações;
▪ Processamento interno vs externo.

o Controlos Específicos:
▪ Analisar os tipos de acesso ao sistema;
▪ Definição de perfis de utilizadores;
▪ Atribuição de espaço a cada utilizador;
▪ Definir criteriosamente o tipo de informação a que cada
utilizador terá acesso;
▪ Estabelecer mecanismos de controlo;
▪ Estabelecer mecanismos de reposição da informação.

Critérios de Avaliação utilizados pelo auditor tecnológico:

O Auditor de SI/TIC avalia o funcionamento dos SI, das TIC e a Informação
considerando critérios em função da criticidade dos Sistemas:

• Disponibilidade;
• Integridade;
• Confidencialidade;
• Autenticação;
• Responsabilização;
• Auditabilidade.
 O Auditor de SI/TIC não deve, contudo, descurar a análise de viabilidade da
utilização de outros critérios relevantes dos quais se salientam:

• Funcionalidade e eficácia dos sistemas;

• Ajustamento aos requisitos do negócio;
• Facilidade de manutenção;
• Usabilidade;
• Acessibilidade aos utilizadores.

10.5 - Normas / Standards

• ISO/IEC 27001:2013
• NP EN ISO 19011:2003
• ISO 19011:2011

ISO/IEC 27001:2013

• Especifica os requisitos para estabelece, implementar, monitorizar, rever,

manter e melhorar um ISMS no contexto do negócio da organização.
• Tem por base a ISO/IEC 27001:2005, publicada em Outubro de 2005, a partir
da BS7799-2:2002;
• Em consonância com a ISO/IEC 17799:2005 (27002:2005);
• Especifica os requisitos para o estabelecimento, implementação,
monitorização, revisão, manutenção e melhoria de um ISMS no contexto do
negócio das organizações.
• A Norma proporciona um conjunto de etapas para manter um programa de
segurança:
o Definir a política de segurança da informação;
o Definir o foco do sistema de gestão da segurança da informação;
o Elaborar uma valorização dos riscos de segurança;
o Gerir a identificação dos riscos;
o Selecionar os controlos para serem implementados;
o Preparar uma declaração de aplicabilidade
• Sugestões:
o Adequar as atividades de Segurança da Informação aos objetivos
preconizados e à dimensão da organização.
o Utilizar uma abordagem top-down ao invés de uma abordagem bottom-
up.
• O SGSI é a concretização da Segurança da Informação que abrange os ativos
do negócio:
o Edifícios;
o Equipamentos;
o Pessoas;
o Informação, etc.
NP EN ISO 19011:2003

• Pretende-se que as orientações desta Norma Internacional sejam flexíveis.

• As utilizações destas linhas de orientação podem diferir de acordo com a
dimensão, natureza e complexidade das organizações a serem auditadas,
assim como com os objetivos e âmbitos das auditorias a serem conduzidas
[ISO 19011:2003].
• A norma é constituída por 7 secções:
o Campo de Aplicação
▪ É aplicável a todas as organizações que necessitem conduzir
auditorias internas ou externas a sistemas de gestão da
qualidade e/ou de gestão ambiental ou gerir um programa de
auditorias.
o Referências Normativas
▪ Os membros da ISO e da IEC mantêm registos das Normas
Internacionais em vigor.
▪ ISO 9000:2000, Quality management systems – Fundamentals
and vocabulary
▪ ISO 14050:2002, Environmental management – Vocabulary

o Termos e Definições
▪ Para os fins da presente Norma Internacional, são aplicáveis os
termos e definições dados na ISO 9000 e ISO 14050.
▪ Termos definidos do 3.1 ao 3.14.

o Princípios de Auditoria
▪ Conduta ética
▪ Apresentação imparcial
▪ Devido cuidado profissional
▪ Independência
▪ Abordagem baseada em evidências

o Gestão de um Programa de Auditorias

▪ Generalidades
▪ Objetivos e extensão do programa de auditorias
▪ Responsabilidades, recursos e procedimentos relativos ao
programa de auditorias
▪ Implementação do programa de auditorias
▪ Registos do programa de auditorias
▪ Monitorização e revisão do programa de auditorias

o Atividades de Auditoria
▪ Generalidades
▪ Início da auditoria
▪ Condução da revisão de documentos
▪ Preparação para as atividades da auditoria no local
▪ Execução da auditoria
▪ Preparação, aprovação e distribuição do relatório da auditoria
▪ Fecho da auditoria
▪ Seguimento da auditoria
 o Competência e Avaliação de Auditores
▪ Generalidades
▪ Atributos pessoais
▪ Conhecimentos e competências
▪ Escolaridade, experiência profissional, formação como auditor e
experiência em auditorias
▪ Manutenção e melhoria da competência
▪ Avaliação de auditores

ISO/IEC 19011:2011

• A ISO/IEC 19011:2011 sucede à NP EN ISO 19011:2003.

• A NP EN ISO 19011:2003 é a versão Portuguesa da Norma Europeia ISO
19011:2002; e foi traduzida pelo Instituto Português da Qualidade (IPQ), tendo
sido ratificada pelo Comité Europeu de Normalização (CEN).
• Esta Norma Internacional estabelece orientações sobre a gestão de programas
de auditorias, a condução de auditorias internas ou externas a sistemas de
gestão da qualidade e/ou de gestão ambiental, assim como sobre as
competências e avaliação dos auditores [ISO 19011:2003].~
• Basicamente é constituída por os mesmo capítulos que a NP EN ISSO
19011:2003, mas atualizados, e mais alguns complementares.