Tema 1 - Segurança Da Informação Nas Organizações

• UNIVERSIDADE
JOAQUIM CHISSANO
Segurança de
Sistema
Tema 1 –
Segurança da
Informação nas
Organizações
Sérgio Simbine
sergio.simbine@gmail.com
Fevereiro, 2020
1
Agenda
 Apresentação
 Introdução
 Conceitos gerais sobre Segurança da Informação
 Leitura recomendada
 Considerações finais
 Referências bibliográficas
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3º ano do Curso de Engenharia de TSI na UJC - 2020 2
Apresentação
Sérgio Simbine
 Mestre em Sistemas de Informação pela UEM;
 Membro do ISACA – Information Systems Audit and Control
Association (ISACA ID 748519);
 Certified in Information System Auditor (CISA) – pela ISACA;
 Certified in COBIT 5 Foundation – pela ISACA;
 Certified in COBIT 4.1 – pela ISACA;
 Certified in ISO 22301 Lead Auditor – pela Continuity Link.
Introdução
Objectivos:
 Apresentar e discutir os principais conceitos relacionados a Segurança
de Sistemas de Informação;
 Relacionar esses conceitos com a realidade do aluno e das
organizações;
 Propiciar uma visão integrada (ciclo de segurança de Sistemas de
informação) entre os conceitos chave.
Conceitos gerais SegSI
Segurança de Sistemas de Informação:
“É a proteção da informação contra vários tipos de ameaças para
garantir a continuidade do negócio, minimizar riscos, maximizar o
retorno sobre os investimentos e as oportunidade de negócios” [ISO
27002].
“É a área do conhecimento dedicada á protecção dos activos de
informação contra acessos não autorizados, alterações indevidas ou
sua indisponibilidade”.
 As informações podem existir em diversas formas;
 O mesmo ocorre com as vulnerabilidades e ameaças;
 A pergunta chave: O que e como devemos proteger?
(Actividade 0)
Segurança de Sistemas de Informação:
“É a protecção da informação contra vários tipos de ameaças
para garantir a continuidade do negócio, minimizar riscos,
maximizar o retorno sobre os investimentos e as oportunidade
de negócios” [ISO 27002].
 As informações podem existir em diversas formas;
 O mesmo ocorre com as vulnerabilidades e ameaças;

 A pergunta chave: O que e como devemos proteger?
Cliclo de Vida de Segurança:
Princípios (propriedades) básicas da SegSI:
 Confidencialidade - Certeza de que o que foi dito, escrito ou falado será acedido
somente por pessoas autorizadas;
 Integridade:
 Garantia de que a informação não foi alterada (de forma indevida ou não-autorizada);
 A quebra da integridade ocorre quando a informação é corrompida, falsificada ou roubada;
 Disponibilidade:
 Garantia de que a informação será acedida quando necessário;
 Disponibilidade -> estratégias de contingência
Confidencialidade
Somente pessoas explicitamente autorizadas podem
ter acesso à informação
Quebra de confidencialidade
 Conversas no elevador, restaurantes, etc. sobre
assuntos confidenciais de trabalho,

disponibilizando assim a informação para todos à
sua volta.
 Engenharia social
Integridade:
A informação acedida é completa, sem alterações ou distorções, e
portanto, confiável. Mesmo estando errada.
Quebra de Integridade
 Falsificação de documentos;
 Alteração de registos na Base de Dados
Disponibilidade:
A informação está acessível à pessoas autorizadas sempre que
necessário.
Quebra de disponibilidade
 Sistema fora do ar;
 Ataques de negação de serviços (DoS)
 Perdas de documentos;
 Perda de acesso à informação
Princípios (propriedades) básicas da SegSI:
Para proteger os activos, em determinados casos, pode ser

necessário aspectos de segurança adicionais, por exemplo:
 Não-repúdio (emissor autenticado como autor ...);
 Legalidade (activos com valor legal ...);
 Autenticação (processo de identificação e reconhecimento das partes ...);
 Autenticidade (garantia de que as partes envolvidas são quem afirmam
ser ...);
 Autorização (concessão de permissões ...);
(Actividade 01)
Activos:
 Qualquer elemento que tenha valor para a organização [ISO 27002];
 Os ativos fornecem suporte aos processos de negócios, portanto devem ser protegidos.
Todo elemento utilizado para armazenar, processar, transportar, armazenar, manusear e

descartar a informação, inclusive a própria.
• Os ativos são os elos da corrente e estes sempre trarão consigo vulnerabilidades que, por
sua vez, submetem os ativos a ameaças.

• Valor do activo – quantificação de perda de determinado activo quando esse tem a sua
confidencialidade, integridade ou disponibilidade afectadas.
Categoria de Activos:
Os activos podem ser classificados / agrupados de diversas formas:
 Informações; Hardware; Software; Ambiente Físico; Pessoas;
 Lógico; Físico Humano;
 Equipamentos; aplicações, usuários, ambientes, informações e processos;
Nota: Alguns autores consideram a seguinte categoria/classificação de activos:

 Tangíveis: informações impressas, móveis, hardware (Ex.: impressoras, scanners);
 Intangíveis: marca de um produto, nome da empresa, confiabilidade de um órgão estatal/governo,
etc.;
 Lógicos: informações armazenadas em uma rede, sistema ERP (sistema de gestão integrada), etc.;
 Físicos: galpão, sistema de electricidade, estação de trabalho, etc.;
 Humanos: funcionários.
Vulnerabilidades:
 Fragilidade de um activo ou grupo de activos que pode ser explorada por uma ou mais
ameaças [ISO 27002];

 As vulnerabilidades devem ser geridas (identificadas e corrigidas); Qualquer elemento
que tenha valor para a organização [ISO 27002];
“ Fraquezas inerentes aos activos de informação que podem ser exploradas por ameaças
ocasionando um incidente de segurança da informação. É possível que um activo de
informação possua uma vulnerabilidade que , de facto, nunca será efectivamente explorada
por uma ameaça.”
Tipos de Vulnerabilidades:
 Físicas; naturais; hardware e software e humanas;
Direitos reservados do autor Sérgio Simbine, Material produzido para os Estudantes do 3ºano do Curso de Engenharia de TSI na UJC - 2020 15
Tipos de Vulnerabilidades:
 Vulnerabilidades de Hardware - Compreendem possíveis defeitos de fabricação, erros de configuração ou falhas nos
equipamentos. Como exemplos citam-se erros decorrentes da instalação, desgaste, obsolescência ou má utilização do
equipamento.
 Vulnerabilidades de Software - São possíveis falhas de programação, erros de instalação e configuração, que podem, por
exemplo, causar acesso indevido, vazamento de informações, perda de dados.

 Vulnerabilidades de Armazenamento - Relacionadas com a forma de utilização das mídias (disquetes, CD-ROMs, fitas
magnéticas, discos rígidos dos servidores, etc.) em que estão armazenadas as informações, como também o armazenamento de
fitas em local inadequado.
 Vulnerabilidades de Comunicação - Relacionadas com o tráfego de informações, independente do meio de transmissão,
podendo envolver ondas de rádio, satélite, fibra óptica etc. Podem, por exemplo, permitir acesso não autorizado ou perda de
dados durante a transmissão de uma informação.
 Vulnerabilidades Humanas - Relacionadas aos danos que as pessoas podem causar às informações e ao ambiente tecnológico
que as suporta, podendo ser intencionais ou não. Podem ocorrer devido a desconhecimentos das medidas de segurança, falta de
capacitação para execução da tarefa dentro dos princípios de segurança, erros e omissões.
Nota: Alguns autores classificam os Tipos de Vulnerabilidades, nos seguintes:
 Físicas; naturais; hardware e software e humanas;
Ameaças
 Causa potencial (agente) de um incidente indesejado, que pode resultar em dano
para um sistema ou organização [ISO 27002];
 A segurança da informação precisa prover mecanismos para impedir que as
ameaças explorem as vulnerabilidades;
“São agentes externos ao activo de informação que, exploram as vulnerabilidades

para gerar a quabra de um ou mais dos três princípios básicos da segurança da
informação(confidencialidade, integridade e disponibilidade), ou seja, um
incidente de segurança da informação”
Tipos de Ameaças
 Ameaças externas: São aqui representadas por todas as tentativas de ataque e
desvio de informações vindas de fora da empresa. Normalmente essas tentativas são
realizadas por pessoas com a intenção de prejudicar a empresa ou para utilizar seus
recursos para invadir outras empresas.
 Ameaças internas – estão presentes, independentemente das empresas estarem ou
não conectadas à Internet. Podem causar desde incidentes leves até os mais graves,
como a inactividade das operações da empresa.
Nota: Alguma literatura considera como Tipos de Ameaças os seguintes:

 Naturais;
 Intencionais; e
 Involuntárias;
Ameaças em Sistemas Computacionais
 Vazamento – Ocorre quando o utilizador legítimo (autorizado) fornece
informação para um ou mais receptores não autorizados . Isto pode
ocorrer propositadamente ou não.
 Violação – Ocorre quando uma informação legítima sofre alteração
não autorizada (incluíndo programas).

 Furto de recursos - Ocorre quando alguém não autorizado benficia-se
das facilidades dos sistemas computacionais.

 Vandalismo – Quando alguém não autorizado, interfere, causando
prejuízo às operações dos sistemas , sem ganhos próprios.
Ameaças
São três aspectos básicos que um sistema de segurança da informação deve
atender para evitar a concretização dessas ameaças: Protecção, Detecção e
Recuperação
 Violação – Ocorre quando uma informação legítima sofre alteração
não autorizada (incluíndo programas).

 Furto de recursos - Ocorre quando alguém não autorizado benficia-se
das facilidades dos sistemas computacionais.

 Vandalismo – Quando alguém não autorizado, interfere, causando
prejuízo às operações dos sistemas , sem ganhos próprios.
Ameaças à segurança
Evento de Segurança da informação:
 Uma ocorrência identificada de um estado de sistema, serviço ou rede,
indicando uma possível violação da política de segurança da informação ou
falha de controlos que possa ser relevante para a segurança da informação
[ISO 27000:2009].
Incidente de segurança da informação:

 Um simples ou uma série de eventos de segurança da informação indesejados
ou inesperados, que tenham uma grande probabilidade de comprometer as

operações de negócios e ameaçar a segurança da informação [ISO
27000:2009].
“É a ocorrência de um evento que possa interromper os processos de negócio de

um ou mais dos três princípios básicos de segurança da informação”
Exemplo:
(Actividade
Probabilidade:
“ È a chance que um incidente de segurança da informação tem de
acontecer, considerando o grau das vulnerabilidades presentes nos
activos de informação e o grau das ameaças que possam explorar essas
vulnerabilidades. Mas esses graus são relativos , ou seja, mesmo as
mais baixas vulnerabilidades poderão representar probabilidades
consideráveis, se o grau da ameaça for muito grande”.
“ A probabilidade do pão cair com
o lado da manteiga virado para baixo
é proporcional ao valor do carpete”
Joseph Murphy
Impacto:
“ Resultado da acção bem sucedida de uma ameaça ao explorar as vulnerabilidades de um
activo, atigindo assim um ou mais conceitos da segurança da informação. O impacto se
denomina pelos danos/prejuízos causados por um incidente de segurança ocorrido no
negócio/organização”.
O tamanho ou grau de um impacto no negócio da organização depende do grau da
relebvância dos activos de informação para os processos da organização, ou seja, quanto
maior for a relevância do activo para a organização, maior será o impacto de um incidente
de segurança caso este venha a acontecer.
É preciso definir um grau de impacto para cada incidente de segurança da informação que
possa vir a ocorrer. Este grau de impacto será de extrema importância para o cálculo do
risco.
Controlos:
 Medidas de segurança são práticas, procedimentos e mecanismos utilizados
para a protecção de activos;

 Esses controlos podem:
(a) impedir que as ameaças explorem as vulnerabilidades,

(b) reduzir o surgimento de vulnerabilidades e
(c) minimizar o impacto dos incidentes de segurança da informação;
Tipos de controlos:
 Técnicos, administrativos e de gestão;
(Actividade 2)
Informação:
 Na gestão empresarial moderna, a informação é tratada como um importante activo da
empresa. Essa informação pode ser impressa, manuscrita, gravada em meios magnéticos, ou
simplesmente ser do conhecimento dos funcionários (falada). Essas informações (ou
activos), também podem ser classificadas de acordo com o eventual impacto negativo
gerado decorrente de acesso, divulgação ou conhecimento não autorizado. Podemm por
exemplo ser classificadas como confidenciais ou restritas , internas ou públicas.
 A divulgação ou conhecimento não autorizado desses activos pode gerar impactos dos mais
variados, dentre os quais cita-se: problemas financeiros, queda na produtividade, riscos para
o negócio, perda de credibilidade, desgaste da imagem, etc. A segurança da informação,
mais que um problema de utilização de tecnologias, deve ser encarrada como a gestão
inteligente da informação em qualquer ambiente.
Classificação da Informação:
 A Classificação da informação é o proceso de identificar e definir níveis e critérios de protecção adequada para a
informação, objectivando garantir a segurança da mesma. Uma organização precisa ser capaz de identificar o valor de
sua informação para garantir sua confidencialidade, integridade e disponibilidade.
 O objectivo principal dessa classificação está em priorizar recursos, focando os investimentos na informação mais
importante para a organização. São exemplos de informação:

 Dados: base de dados e arquivos, documentação de sistema, informações armazenadas , procedimentos de suporte ou operação;
 Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
 Activos físicos: equipamentos computacionais (processadores, monitores), equipamentosde comunicação (roteadores, hubs), mídia
magnética (fitas, discos), mesas, cadeiras;

 Serviços: serviço de operadoras de telecomunicaçção, serviço de energia eléctrica, àgua,
Desclassificação e reclassificação da Informação

 Uma informação pode ter seu nível de classificação alterado ou rebaixado, dependendo do nível de confidencialidade,
integridade e disponibilidade que a informação tiver no momento. Por exemplo, a informaçãp sobre um novo produto de
uma empresa que ainda será lançado comercialmente. Esta informação no momento anterior ao lançamento é
considerada confidencial, mas no momento em que este produto é divulgado publicamente, esta informação passa a ser
pública.
Classificação da Informação:
Critérios de Classificação da Informação:
Os Critérios de classificação definem qual o tratamento de segurança que uma informação receberá, ou seja, quanto será preciso investir em
segurança para garantir a confidencialidade, integridade e disponibilidade dessa informação, objectivando sempre oriorizar recursos. Assim, a
informação pode ser classificada quanto a:
 Confidencialidade – Classificar a informação levando em consideração a gravidade do impacto ou prejuízo que a revelação não autorizada da
mesma trará para a organização. Podem se definir três níveis de classificação quanto a confidencialidade:
 Confidencial – é toda informação considerada de alto risco para a empresa, pois sua revelação não autorizada pode trazer graves prejuízos .
Geralmente estas informações são acedidas pela alta administração (Conselho de Administração, Presidência, Directores, Administradores....);
 Restrita - é toda a informação considerada de médio e baixo risco para a empresa , pois sua revelação não autorizada pode trazer prejuízos a uma
determinada área da empresa. Geralmente estas informações são acedidas pelas áreas envolvidas na geração e uso destas informações, pelos gestores
da área e pela alta administração;
 Pública - é toda informação considerada de nenhum risco para a empresa e sua revelação não autorizada não traz nenhum prejuízo. Estas informações
são acedidas por todos os funcionários e pessoas externas à empresa.

 Integridade – Classificar a informação levanndo em consideração a gravidade do impacto ou ds prejuízos que a modificação não autorizada da
informação trará. Podem se definis dois níveis de classificação quanto à integrigade:

 Crítica – é toda a informação de alto risco para a empresa. Esta informação não pode ser alterada sem prévia autorização;
 Não Crítica – é toda a informação que, se alterada sem prévia autorização, não representa nenhum risco para a empresa.
 Disponibilidade – Classificar a informação levando em consideração a gravidade do impacto ou prejuízos que a indisponibilidade da
informação trará. Podem se definir dois níveis de classificação quanto à disponibilidade:

 Vital – é toda a informação de alto risco para a empresa. Essa informação precisa estar sempre disponível;
 Não Vital – é toda a informação que em caso de indisponibilidade não representa nenhum risco para a empresa.
 Classificação padrão – Todas as informações que não forem classficadas deverão entrar no nível padrão de classificação.
Funções e Responsabilidades
Em um processo de classificação da informação deve-se definir as funções e os responsáveis por cada
etapa desta classificação, ou seja, deve-se definir quem classifica, quem armazena, quem actualiza, etc.
 Proprietários – são considerados proprietários da informação os gestores das áreas geradoras das
informações, sendo os proprietários responsáveis por classificar, desclassificar, redefinir, os níveis de

classificação das informações;
 Custodiante – é considerada custodiante das informações a área de informática, sendo responsável por
guardar e recuperar as informações classificadas e responsáveis por prover e administrar os acessos ás

informações devidamente solicitados pelos proprietários.
Etapas para o processo de classificação das informações:

 Elaboração de uma política e classificação
 Levantamento das informações;
 Classificação das informações levantadas;
 Implementação da política ;
 Revisão periódica da classificação
Gestão da Segurança da Informação
 A gestão da segurança da informação desempenha um papel prepoderante nas organizações,
ao garantir que as informações da organização e os recursos de processamento da

informação sob o seu controlo estão devidamente protegidos. Isso inclui a implementação
de um Programa de Segurança da Informação que abrange toda a organização, o qual deverá
contemplar o desenvolvimento da Análise de Impacto nos Negócios (BIA – Business
Impact Analysis), Planos de Continuidade de Negócios (BCPs – Business Continuity
Plans) e Planos de Recuperação de Desastres (DRPs – Disaster Recovery Plans).
 Um componente importante no estabelecimento de tais programas é a aplicação dos
princípios de gestão de riscos dos activo da organização, mitigar esses riscos para um nível
aceitável, conforme determinado pela gestão e monitoria dos correspondente risco residual.
Análise de Impacto no Negócio ou Business Impact Analysis - BIA:
“ É um processo administrativo, uma ferramenta de gestão , que tem como finalidade identificar e analisar
os processos de um negócio /actividade (incluíndo os recursos necessários), com o objectivo de
compreender o impato do tempo de inactividade, e estabelecer objectivos de recuperação e priorização”.
A BIA é um processo de análise das actividades e dos efeitos que uma interrupção de negócio pode ter
sobre elas, é o ponto de partida da Gestão de Continuidade de Negócios , sendo considerado o processo
mais importante dentro do ciclo de gestão.
A BIA identifica o que é vital e crítico para o funcionamento do negócio,

além de identificar o tmpo tolerável de interrupção, calcular os possíveis
impactos e a infra-estrutura mínima para a contigência.
A BIA tem por objectivos revelar vulnerabilidades e subsidiar o

desenvolvimento de estratégias para minimizar os riscos.
O resultado é um relatório de análise de impacto, que descreve os riscos
potenciais específicos para a entidade no caso de uma interrupção do
negócio.
A Análise de Impacto no Negócio Identificará:
 Critérios para aferir a relevância e criticidade dos processos;
 Actividades críticas realizadas em cada processo;
 Necessidades de demandas regulatórias;
 Dependências de Sistemas e pessoas;
 Impactos financeiros (perdas) que poderiam ocorrer se estes processos fossem suspensos; e
 Impactos operacionais (segurança, por exemplo) legais de imagem (como “satisfação do Cliente”) finalizando com a
verificação da existênca de contigência.
Na análise de Impacto de Negócios deve ser contemplado o tempo real de recuperação para cada actividade crítica dentro
da organização. Para tal, os aspectos a seguir devem ser considerados:
 Identificação de riscos e definição de cenários possíveis de falha para cada processo crítico, levando em conta a
probabilidade de ocorrência de cada falha;

 Duração dos efeitos e consequências resultantes;
 Custos inerentes e os limites máximos aceitáveis de permanência da falha sem a activação da respectiva medida de
contigência.
A Análise de Impacto no Negócio deve contemplar:
 Breve resumo dos processos críticos e descrição das principais actividades;
 Perfil e quantidade dos profissionais envolvidos;
 Tecnologias que suportam as actividades;
 Impactos de localidade onde é realizada a actividade);
 Impactos financeiros, legais, operacionaise de imagem ocasionados por uma ruptura;
 Critérios para a priorização dos processos em face do tipo de impacto (financeiro, legal, operacional ou imagem);
 Priorização por impacto;
 Definição de nível de criticidade , ou seja da gravidade das consequência do impacto, paa cada atributo(impacto no sector e impacto corporativo, por exemplo);
 Definição de um tempo de recuperação;
 Determinação dos acordos com fornecedores e parceiros externos externos de produtos e serviços dos quais as actividades críticas dependam.
Na avaliação do BIA devem ser observados os seguintes aspectos:

 Aumento do custo operacional;
 Perda de oportunidade de negócio;
 Impacto ao bem-estar das pessoas;
 Dano ou perca de instalações, tecnologia ou informação;
 Não cumprimento de deveres ou regulamentação;
 Danos à reputação;
 Danos à viabilidade financeira;
 Deterioração da qualidade de produtos e serviços; e
 Danos ambientais.
Apartir do BIA, a entidade deve identificar as medidas que reduzam o período de ointerrupção(mitigação de +erdas e tratamento de riscos) e seus custos.
Fases da implantação da Análise de Impacto no Negócio – BIA:
 a) Definição do Projecto – a entidade deve definir o responsável pela sua implementação e sua autoridade, escopo (âmbito), objectivos e prazos;
 b) Elaboração do questinário – A elaboração de um questionário para cplecta das informações subsidia a análise do BIA na identificação dos impactos resultantes
de interrupções ao longo do tempo , dos recursos necessários para recuperação e da existência ou não de rotinas para situações de contigência.
É uma boa prática conjugar no questionário questões qualitativas e quantitativas.
Não existe uma receita de questionário pronta, aplicável a qualquer organização, no entanto os seguintes itens podem constae do questionário:
o Número de colaboradores encolvidos;
o Custo da operação por período;
o Prejuízo por tempo parado;
o Aspectos legais de uma interrupção de serviço;
o Aspectos de imagens e demais prejuízos intagíveis.
Elaboradas as questões, os critérios devem ser definidos: se o entrevistado responder perguntas pela atribuição de valores, por exemplo, de 1 a 5 , é
imprescindível explicar a distinção destas cinco notas. Não é raro que o mesmo evento seja avaliado de uma forma pelos colaboradores de nível funcional mais
operacional e de outra pela alta administração.
 c) Entrevista – Elaborado o questionário, parte-se para a entrevista . Os melhores resultados , com esclarecimento de questões e respostas coerentes, são obtidos
quando a entrevista é realizada directamente com o responsável por uma actividade crítica.IA devem ser observados os seguintes aspectos:
 d) Determinação do Tempo de recuperação – Determinação dos “tempos reais de recuperação”(RTO- Recovery Time Objectives) somente depois de identificadas
todas as interdências processuais.
O Recovery Time Objective – RTO ou tempo real de recuperação é o período dentro do qual um processo deve ser restabelecido após um incidente, afim de
evitar consequências inaceitáveis relacionadas com uma quebra na continuidade dos negócios.
Pode incluir o tempo para tentar corrigir o problema sem uma recuperação, a recuperação em si, testes e comunicação para os utilizadores.
A título de exemplo, com o resutado do questionáio é possível concluir que para a actividade rítica “A”o tempo máximo aceitável de tnterrupção é de dois
dias, porém , o tempo máximo aceitável de interrupção para a actividade crítica “B” é de um dia.
Além disso, esta actividade não pode ser recuperada sem a ajuda da activiadade crítica “A”. Isso significa que o tempo real de recuperação para “A” será um
dia e não dois.
Fases da implantação da Análise de Impacto no Negócio – BIA: (continução)
e) Estabelecimento do “ponto real de recuperação” – Estabelecimento do “ponto real de recuperação” (RPO – Recorevery Point Objective) é definido pelo
período máximo de tolerância em que informações podem ser perdidas ou ficarem ndisponíveis devido a um incidente.
(Actividade 3)
Plano de Continuidade de Negócios (BCP):
 Para garantir a continuidade de serviços, um BCP deve ser escrito para minimizar o impacto das disrupções de serviços. Esse plano
deve ser baseado no plano da àrea de TI de longo prazo e deve estar apoiado e alinhado com o estratégia geral de continuidade dos
negócios. Portanto, o processo de desenvolver e manter um DRP/BCP apropriado seria:
 Realizar avaliação de risco - identificar e priorizar os sistemas e outros recursos necessários para apoiar negócios críticos
processos em caso de interrupção. Identifique e priorize ameaças e vulnerabilidades.
 Preparar Análise de Impacto nos Negócios (BIA) ou o efeito da perda de processos críticos de negócios e seus componentes de
suporte.
 Escolher controlos e medidas apropriados para recuperar os componentesde TI (e não só) para dar suporte aos processos críticos
de negócios.
 Desenvolver um Plano detalhado para recuperar infra-estrututas de TI (DRP).
 Desenvolver um Plano detalhado para as funções críticas de negócios continuem a operar a um nível aceitável (BCP).
 Actulaizar os Planos sempre que se verificarem alterações ou novos desenvolvimentos nos negócios e nos sistemas.
Plano de Recuperação de Desastres (DRP):
 DRP, enquanto suporte às operações comerciais / provisionamento de serviço de IT, é um elemento de um Sistema de Controlo Interno estabelecido para gerir
disponibilidade e restaurar Processos de serviços críticos; em caso de uma eventual de interrupção. O objectivo desse processo de planeamento contínuo é
garantir a implementação de controlos eficientes (custos versus benefícios) para evitar possíveis problemas de TI bem como recuperar a capacidade operacional
da organização, em especial da área de IT, no caso de ocorrência de um evento que cause a interrupção na disponibilização dos serviços.
 A importância da disponibilidade de aplicativos individuais dependem da criticidade dos respectivos processos de negócios que eles suportam. A importância
e urgência desses processos de negócios e serviços e aplicativos de TI correspondentes podem ser definidos através da realização de um BlA e da atribuição de
RPOs e RTOs.
 A disponibilidade de dados comerciais e capacidade de processar e manipular são vitais para o desenvolvimento sustentável e sobrevivência de qualquer
organização, daí que, planear (prevêr) desastres é, portanto, uma parte importante do processo de gestão de riscos e de BCP.
 DRP é um processo contínuo. Uma vez defina a criticidade dos processos de negócios processos, dos serviços de suporte, dos sistemas e dados de TI, deverá ser
periodicamente revista e actualizada. Podem ser indicados pelo menos dois resultados (outputs) do DRP, designadamente:
 Alterações na infra-estrutura de TI (servidores, redes, armazenamento de dados sistemas, ctc.), mudanças nos processos de suporte (aumento do nível de
maturidade), procedimentos e estrutura organizacional (por exemplo novas atribuições/papéis). Essas mudanças são combinados no Programa Director de
TI ou Plano Estratégico de TI (normalmente com vigência de 3 - 5 anos).
 Planos (DRP) desenvolvidos como parte desse processo que direcionam a resposta a incidentes que variam de emergências simples a desastres complexos
ou interrupções totais. O DRP abrange desde o nível departamental, procedimentos modulares e de vários níveis que cobrem diferentes localizações com
vários arquivos e vários níveis de negócios.
O objectivo final do processo de DRP é responder a incidentes que podem impactar as pessoas e a capacidade de a organização entregar bens e serviços ao
mercado e em conformidade com as requisitos regulamentares.
Relação entre RTO e RPO:
Alternativas de Recuperação (Recovery Alternatives):
Quando as instalações normais de produção se tornam indisponíveis, a organização pode utilizar outras alternativas
de instalações credenciadas para executar o seu processamento até que as principais Instalações possam ser
restauradas. abaixo são indicadas algumas alternativas de recuperação:
 Cold Sites;
 Mobile Sites;
 Warm Sites;
 Reciprocal Agreements;
 Hot Sites;
 Mirrored Sites.
(Actividade 4)
Elementos-Chave para a Gestão da Segurança de informação:
Falhas se segurança podem ser despendiosas para a organização/negócio. Perdas podem resultar de falhas de
segurança propriamente ditas, ou como resultado do processo de recuperação após a ocorrêcia de um incidente,
seguidas por mais custos na adequação dos controlos e medidas de prevenção para novas falhas não ocorram. A
seguir estão indicados os elementos-chave para uma adequada gestão da segurança de informação:
 Comprometimento e Suporte da alta administração da organização;
 Políticas e procedimentos;
 Estrutura orgâncica adequada (existência de umaárea que zela pela segurança na organização);
 Advocacia e formação em segurança aos colaboradores (a todos os níveis) da organização;
 Monitorização e Conformidade;
 Tratamento e resposta a incidentes de segurança.
Normas (Standards):
 Normas são entendidas como um conjunto de regras ou orientações que visam qualidade, na actuação de uma tarefa. As
normas em estudo visam tornar o ambiente computacional das organizações mais seguro com relação a mitigar os
incidentes computacionais, além de orientar sobre acções a serem tomadas, quando estes incidentes ocorrem.
 Aplicar normas de segurança em um ambiente computacional é mais do que um modismo, é uma forma de garantir a
existência de coerência nas acções dos coordenadores e executores das tarefas de administração dos ambientes
computacionais. Adoptar padrões (normas ou standards) reconhecidamente eficientes minimiza a ocorrência de problemas
de incidentes relacionados às operações sustentadas por computadores.
 O principal objectivo da Norma é estabelecer um referencial para as organizações desenvolverem, implementar e
avaliarem a gestão da segurança de informação.
Nota: A Tecnologia por si só não garante segurança da informação - os dois itens mais importantes
na hora de manter a informação da organização segura são: a elaboração de políticas de segurança
e a gestão de suprte adequados, seguido do nível de consciencilalização dos funcionários.
Alguns Standards de Segurança:
Alguns Standards de Segurança:
Conclusão:
 A Segurança da informação é um processo que envolve todas
as áreas de negócio de uma organização e deve ser entendida

como mais uma disciplina orientada a atingir a missão
estabelecida;
 A Segurança da Informação é obtida a partir da implementação
de um conjunto de controlos adequados as necessidades da

organização;
 Controlos precisam ser estabelecidos, implementados,
monitorados, analisados e melhorados para garantir que os
objectivos do negócio e de segurança sejam atendidos;
Conclusão:
(Actividade 5)
Segurança Ciberbética
Cibersegurança:
Cibersegurança (também chamada Segurança Cibernética), refere-se às práticas empregadas para garantir a
integridade, confidencialidade e disponibilidade da informação. Ela é composta por um conjunto de ferramentas,
abordagens de gestão de risco, tecnologias, treinamento e métodos para proteger redes, dispositivos, programas e
dados contra ataques ou acesso não autorizado.
Ciber segurança é o conjunto de tecnologias , processos e práticas desenhado para proteger as redes, os
computadores e outros dispositivos electrónicos, programas e dados, de potencias ataques ou ameaças.
Na prática, garantir segurança cibernética em uma empresa/organização, por exemplo, requer a coordenação de
esforços em todo o sistema de informação, que inclui:
 Segurança de aplicativos;
 Segurança da informação;
 Segurança de rede;
 Recuperação de desastres/planeamento de continuidade de negócios;
 Segurança operacional;
 Educação do utilizador final.
(Actividade 06)
Abordagens mais comuns de Cibersegurança:
Aqui estão as frentes de Cibersegurança que mais comumente são adoptadas nas empresas:
 Network Security (Segurança de Rede): protege o tráfego de rede controlando as conexões de entrada e saída para
impedir que as ameaças entrem ou se espalhem na rede;
 Data Loss Prevention (Prevenção de Perda de Dados): protege os dados concentrando-se na localização, classificação e
monitoramento das informações em repouso, em uso e em movimento;
 Cloud Security (Segurança na Nuvem): fornece protecção para dados usados em serviços e aplicativos baseados em
nuvem;
 Adopção de sistemas de detecção de intrusão ou sistemas de prevenção de invasão: trabalham para identificar
actividades cibernéticas potencialmente hostis;
 Gestão de Identidades e Acesso: serviços de autenticação para limitar e rastrear o acesso de funcionários para proteger
sistemas internos contra entidades maliciosas;
 Criptografia: processo de codificar dados para torná-los ininteligíveis e é usado frequentemente durante a transferência de
dados para evitar roubos em trânsito;
 Soluções antivírus / antimalware: aplicações que examinam os sistemas em busca de ameaças conhecidas — as mais
modernas são capazes de detectar ameaças anteriormente desconhecidas com base em seu comportamento.
Ameaças mais comuns no Ciberespaço:
Método Definição
Engenharia Social Técnica usada na obtenção de informações confidenciais, através da
exploração do conhecimento ou confiança das pessoas.
Man-in-the-middle Forma de ataque, em que é interceptada e retransmitida informação
trocada entre duas partes num dado canal.
Man-in-the-browser Consiste na infeção (normalmente, um trojan) do computador da
vítima e que é capaz de modificar as comunicações entre o cliente e o
servidor de uma maneira imperceptível, quer para a vítima quer para
a aplicação.
Trojan Programa malicioso introduzido num computador sem que a vítima
saiba, com o objectivo de abrir uma ligação com o computador do
invasor e, assim, este ter total controlo do computador da vítima.
Worms Programa idêntico a um vírus com a capacidade de replicar-se num
sistema inteiro. O objectivo pode ser, por exemplo, sabotar um
sistema informático até apagar todos os dados contidos nele.
Ameaças mais comuns no Ciberespaço (Cont.):
Método Definição
Virus Pedaço de software malicioso com a finalidade de infetar um
computador e que este se espalhe por outros computadores.
Phishing Técnica que tenta obter dados pessoais, através do envio de e-mails
fraudulentos que tentam fazer passar-se por uma pessoa ou empresa
de confiança e, deste modo, enganar a vítima.
Keylogger Programa capaz de capturar todas as teclas marcadas pelo utilizador.
Spyware Programa de computador que é instalado no computador da vítima e
tem a capacidade de recolher informações sobre a mesma e depois
envia esses dados para outra entidade.
Ransomware Tipo de malware que restringe o acesso ao computador ou aos

arquivos, exibindo uma mensagem em que exige um pagamento para
remover a restrição, por exemplo, através de e-mails com anexos
maliciosos ou websites infectados
Ameaças mais comuns no Ciberespaço (Cont.):
Método Definição
Botnet Conjunto de computadores infectados que são controlados remotamente, funcionando, por exemplo,
como um exército de computadores que realizam diversas tarefas como enviar e-mails com spam,
propagação de malware.
Clickjacking Método que utiliza as acções de um utilizador numa determinada página web para realizar operações
maliciosas. O atacante coloca um iframe num elemento clicável, por exemplo, um botão, de forma a
conseguir que a vítima clique nesse iframe e o invasor, sem o conhecimento da vítima, realize uma
operação por si definida.
Negação de É um ataque que consiste em fazer diversas tentativas ao computador/serviço alvo (ex. servidor web)
para que tenham dificuldade ou mesmo sejam impedidos de executar suas tarefas, por outras palavras,
Serviço sobrecarregam os sistemas. Uma variante deste ataque, muito utilizado, é o DDoS (Negação de
Serviço Distribuído): é um ataque em rede, em que um computador mestre controla um certo número
de computadores cliente para inundar o alvo com tráfego, através da utilização de um software
específico para o efeito.
SQL Isso acontece quando o invasor insere código malicioso em um servidor que usa o Structured Query
Language. As SQL Injections só são bem-sucedidas quando existe vulnerabilidade de segurança.
Injection Nesse caso, o ataque forçará o servidor a fornecer acesso ou modificar dados.
Fonte: S. Mamede, 2006; A. Torres, 2014
Exposição e questões relacionadas com o Crime Informático:
Os sistemas Informáticos (computadores no geral) podem ser usados para roubar dinheiro, mercadorias, software ou informação corporativa. Crimes informáticos podem ser também
cometidos quando as aplicações informáticas (sistemas), são manipulados para processarem dados falsos ou transacções não autorizadas. Também podem ser usados não técnicos – como
é o caso do roubo do próprio equipamento informático (computador por exemplo).
O crime informático pode ocorrer sem que não tenha sido furtado ou roubado absolutamente nenhum recurso físco ou equipamento, podendo este crime realizado a partir de qualquer
local, escritório, casa ou mesmo um café.
Os cibercriminosos tomam vantagem de lacunas existentes na legislação dos diferentes países ao planear ataques cibernéticos, a fim de evitar que sejam responsabilizados
criminalmente.
Cometer crimes que exploram os sistemas informáticos ou recursos computacionais pode atentar contra a reputação, moral ou mesmo a continuação da existência ou operação da
orhanização, perda de clientes ou mercado, constrangimento à gestão e ações legais. Ameaças ao negócio ou organização resultantes de crimes informáticos incluem os seguintes:
 Perdas financeiras;
 Colaboradores ligados à área de Informática;
 Repercussões legais;
 Perda de credibilidade ou vantagem competitiva;  Utilizadores finais;
 Chantagem / Espionagem industrial / crime organizado;  Ex- Colaboradores da organização;

 Divulgação de informações confidenciais ou sensíveis;  Pessoal interressado ou bem informado fora da
 Hachers (também refenciado como crackers);
organização;
 Script.Kiddies;
 Colaboradores eventuais ou em tempo parcial;
 Colaboradores da organização (autorizados ou não
 Terceiros (Corporativos ou individuais);
autorizados)
(Actividade 07)
Taxonomia para incidentes de segurança Cibernéticos:
Classe de Tipo de incidente Classe de Incidente Tipo de incidente
Incidente
Intrusão Exploração de Vulnerabilidade;
Código Malicioso Infecção;
Compromisso de Conta
Distribuição;
Comando e Controlo (C&C) Segurança da Acesso não autorizado;

Disponibilidade DoS/DDoS; Informação Modificação/Remoção não
Sabotagem autorizada
Recolha de Scan; Fraude Utilização indevida ou não

Informação autorizada de recursos Utilização
Sniffing;
ilegítima de nome de terceiros
Phishing;
Conteúdo Abusivo Spam Direitos de autor Pornografia
Tentativa de Exploração de
infantil, racismo e apologia da
Intrusão Vulnerabilidade;
violência
Tentativa de login Fonte: CNCS, 2015
Ameaças Cibernéticas Emergentes:
(Actividade 8)
Pirataria de Software e falta de software actualizado
Factos importantes: Cibersegurança em África
Abordagem de Segurança coordenada:
….é tempo de sincronizar a segurança corporative.es:
Soluções de segurança sincronizada (SOPHOS):
Soluções de segurança sincronizada (SOPHOS):
A CISCO garante que a organização veja de forma centralizada o datacenter até a nuvem:
Solução: Rede + Segurança
Internet Gateway
Internet Gateway
Ameaças bloqueadas (diariamente):
Amostras de malware exclusivas (diariamente):
URLs Processadas (diariamente):
Messagens de e-mail scaneadas (diariamente):
Alguns Standards de Segurança Cibernética:
 CIS CSC 7.0

O Catálogo de controlos críticos de Cibersegurança (CSC) é publicado pelo Center for Internet Security (CIS). Este catálogo
disponibiliza uma lista de acções, priorizada, que é regularmente revista pela comunidade académica de forma a ser utilizável pelas
organizações.
https://www.cisecurity.org/
 COBIT 5
COBIT é uma estrutura emitida pela ISACA (Information Systems Audit and Control Association) que se concentra na governação de
TI corporativa reflectindo o papel fundamental que a tecnologia da informação tem em organizações modernas e baseia-se no
conceito de gestão de riscos e mantendo os serviços a um nível aceitável. Sua principal característica é fornecer o alinhamento entre
os objectivos estratégicos da organização e o uso de TI.
http://www.isaca.org/COBIT/Pages/default.aspx
 ISA 99/IEC 62443

A série de normas ISA / IEC 62443, desenvolvida pelo comitê ISA99 e adotada pela Comissão Eletrotécnica Internacional (IEC),
fornece uma estrutura flexível para abordar e mitigar vulnerabilidades de segurança actuais e futuras em sistemas de controlo e
automação industrial (IACSs). Esta norma descreve as directrives relacionadas com segurança cibernética em tecnologias de
automação.
https://www.isa.org/intech/201810standards/
Alguns Standards de Segurança Cibernética:
 NIST SP-800-53 Rev4

A Norma NIST SP 800-800-53 Rev4, foi publicada pela NIST (National Institute of Standards and Technology), é um catálogo de
controlos de segurança e de privacidade para redes e Sistemas de Informação de organismos do governo. Disponibiliza também um
processo de selecção de controlos para protecção da operação e dos activos das organizações, de incidentes, desastres naturais, falhas
estruturais ou erro humano. Provavelmente constituem a biblioteca mais abrangente de melhores práticas publicamente disponíveis, à
semelhança da norma PCI DSS são principalmente orientadas para questões técnicas de segurança.
https://csrc.nist.gov/csrc/media/publications/sp/800-53/rev-4/archive/2013-04-30/documents/sp800-53-rev4-ipd.pdf
 ISO/IEC 27032
A norma ISO/IEC 27032- Guidelines for cybersecurity (Directrizes para a segurança cibernética), está alinhada com o "espírito" de segurança da
informação inerente à família das normas internacionais 27000, e fornece orientação sobre as seguintes áreas centrais da Segurança Cibernética:
 Segurança da Informação
 Segurança de rede
 Segurança da Internet
 A relação entre segurança cibernética e outros tipos de segurança
 Problemas comuns de segurança cibernética e como resolvê-los.
 CIIP (protecção de infra-estrutura de informação crítica)
Adicionalmente, a norma ISO / IEC 27032: 2012 oferece conselhos práticos sobre como minimizar riscos cibernéticos e orientação para o
gerenciamento de um programa de segurança cibernética.
https://www.iso.org/standard/44375.html
Modelos de maturidade de Segurança Cibernética:
A avaliação da Segurança Cibernética (SegCiber) nas organizações pode ser realizada por meio de um
modelo de maturidade, que fornece um ponto de referência para conhecer o nível de suas práticas,
processos e métodos para, então, definir metas e prioridades de melhoria.
Um modelo de maturidade pode ajudar as organizações públicas a avaliarem o seu estado actual e a
necessidade de um modelo desse tipo surge em decorrência da dependência tecnológica dessas
organizações.
 Cybersecurity Capability Maturity Model (C2M2)

https://innovationatwork.ieee.org/what-is-a-cyber-security-maturity-model/
 NIST Cybersecurity Framework

https://www.nist.gov/cyberframework
 The Community Cyber Security Maturity Model

https://www.researchgate.net/publication/221182620_The_Community_Cyber_Security_Maturity_Model
(Actividade 9)
Como “evitar” ataques de segurança cibernética:
Com tantas ameaças por aí, é essencial aprender como se proteger de violações de segurança
cibernética. Para se proteger de tais riscos, é importante ter uma base sólida de segurança
cibernética que atenue o risco de um ataque. Além disso, existem algumas dicas que devem ser
úteis para todos que usam a rede e todos os tipos de dispositivos da Internet:
 Instale e actualize regularmente o software antivírus para todos os computadores usados nos
negócios, em casa ou em outros locais. Faça uma pequena pesquisa e encontre o melhor
provedor de protecção na internet e não compre o software mais barato.
 Proteja sua conexão à Internet usando um firewall.
 Faça cópias de segurança para dados importantes e mantenha-os em segurança.
 Treine funcionários ou familiares em segurança cibernética e seus princípios.
 Altere regularmente senhas e use senhas robustas. Uma senha robusta contém letras
minúsculas, maiúsculas, caractéres especiais e números. É recomendável não torná-lo uma
palavra, apenas uma combinação aleatória.
 Actualize regularmente o software e os sistemas operacionais.
 Proteja a rede.
A segurança cibernética é um dos aspectos mais importantes do mundo digital em

rápido crescimento. As ameaças são difíceis de negar, por isso é crucial aprender
como se defender delas e ensinar aos outros como fazer isso também.
BIBLIOGRAFIA
STEWART, J.M., CHAPPLE, M., GIBSON, D., CISSP Study guide, 7th
edition. Sybex, 2018
MAMADE, H. , Segurança Informática nas organizações, FCA Editora

Informática, 2006
CANNON, D., CISA – Certified Information Systems Auditor Study Guide,

Sybex. 2013
Livraria online www.isaca.org
82

Tema 1 - Segurança Da Informação Nas Organizações

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Tema 1 - Segurança Da Informação Nas Organizações

Enviado por

Direitos autorais:

Formatos disponíveis

• UNIVERSIDADE

 Certified in COBIT 5 Foundation – pela ISACA;

 Certified in COBIT 4.1 – pela ISACA;

 Certified in ISO 22301 Lead Auditor – pela Continuity Link.

informação) entre os conceitos chave.

 O mesmo ocorre com as vulnerabilidades e ameaças;

somente por pessoas autorizadas;

 A quebra da integridade ocorre quando a informação é corrompida, falsificada ou roubada;

 Disponibilidade -> estratégias de contingência

assuntos confidenciais de trabalho,

A informação está acessível à pessoas autorizadas sempre que

 Ataques de negação de serviços (DoS)

 Perda de acesso à informação

Para proteger os activos, em determinados casos, pode ser

 Legalidade (activos com valor legal ...);

 Autenticação (processo de identificação e reconhecimento das partes ...);

 Autenticidade (garantia de que as partes envolvidas são quem afirmam

Todo elemento utilizado para armazenar, processar, transportar, armazenar, manusear e

sua vez, submetem os ativos a ameaças.

confidencialidade, integridade ou disponibilidade afectadas.

 Lógico; Físico Humano;

 Equipamentos; aplicações, usuários, ambientes, informações e processos;

Nota: Alguns autores consideram a seguinte categoria/classificação de activos:

 Intangíveis: marca de um produto, nome da empresa, confiabilidade de um órgão estatal/governo,

 Físicos: galpão, sistema de electricidade, estação de trabalho, etc.;

ameaças [ISO 27002];

que tenha valor para a organização [ISO 27002];

exemplo, causar acesso indevido, vazamento de informações, perda de dados.

Nota: Alguns autores classificam os Tipos de Vulnerabilidades, nos seguintes:

 Físicas; naturais; hardware e software e humanas;

ameaças explorem as vulnerabilidades;

“São agentes externos ao activo de informação que, exploram as vulnerabilidades

Nota: Alguma literatura considera como Tipos de Ameaças os seguintes:

não autorizada (incluíndo programas).

das facilidades dos sistemas computacionais.

prejuízo às operações dos sistemas , sem ganhos próprios.

não autorizada (incluíndo programas).

das facilidades dos sistemas computacionais.

prejuízo às operações dos sistemas , sem ganhos próprios.

Incidente de segurança da informação:

ou inesperados, que tenham uma grande probabilidade de comprometer as

“É a ocorrência de um evento que possa interromper os processos de negócio de

para a protecção de activos;

(a) impedir que as ameaças explorem as vulnerabilidades,

importante para a organização. São exemplos de informação:

 Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

magnética (fitas, discos), mesas, cadeiras;

Desclassificação e reclassificação da Informação

são acedidas por todos os funcionários e pessoas externas à empresa.

informação trará. Podem se definis dois níveis de classificação quanto à integrigade:

informação trará. Podem se definir dois níveis de classificação quanto à disponibilidade:

informações, sendo os proprietários responsáveis por classificar, desclassificar, redefinir, os níveis de

guardar e recuperar as informações classificadas e responsáveis por prover e administrar os acessos ás

Etapas para o processo de classificação das informações:

 Levantamento das informações;

 Classificação das informações levantadas;

 Revisão periódica da classificação

ao garantir que as informações da organização e os recursos de processamento da

 Um componente importante no estabelecimento de tais programas é a aplicação dos

A BIA identifica o que é vital e crítico para o funcionamento do negócio,

A BIA tem por objectivos revelar vulnerabilidades e subsidiar o

 Actividades críticas realizadas em cada processo;