Escolar Documentos
Profissional Documentos
Cultura Documentos
Roteiro de
Estudos
Estudos
Introdução
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 1/14
17/05/2021 Roteiro de Estudos
Em qualquer que seja o cenário, segurança é um tópico que requer uma atenção constante e
cuja demanda é crescente. A criticidade das consequências relacionadas a quaisquer violações
nesse âmbito impulsionam organizações a canalizar, cada vez mais, esforços e recursos para o
estabelecimento e a implementação das melhores práticas e garantia de ambientes mais
seguros. Tendo em vista o caráter reconhecidamente estratégico da informação para qualquer
setor de negócio, a segurança desse ativo tem sido igualmente priorizada.
Gestão de Riscos
O gerenciamento de qualquer atividade, processo ou recurso tem como princípio elementar a
clara compreensão do que se trata o objeto a ser gerido. Nesse sentido, o conceito de risco
enquanto “combinação da probabilidade de um evento e de suas consequências” deve
permear todas as atividades coordenadas por uma organização e direcionadas para a gestão
dessas duas variáveis (probabilidade de ocorrência e consequência) que caracterizam um
evento como risco (ABNT, 2005, p. 2).
Alinhado com esse direcionamento, Galvão (2015, p. 93) propõe que a gestão de riscos seja
implementada por meio de seis atividades:
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 2/14
17/05/2021 Roteiro de Estudos
A etapa preliminar de de nição dos objetivos demanda que os responsáveis pelo processo
estabeleçam o que deve ser alcançado com a implementação das atividades que vão compor a
gestão da segurança da informação como um todo. Quaisquer que sejam esses objetivos –
minimização de riscos, corte de custos, redução de falhas de sistemas etc. – precisam estar
alinhados com as estratégias globais de negócio da organização.
Uma vez que o que se pretende conseguir com a gestão da segurança está claramente
de nido, os riscos precisam ser identi cados. Essa etapa exige um conhecimento mais apurado
dos processos de trabalho da organização, como e que tipo de informação está armazenada
em seu parque tecnológico. Logo, para que riscos efetivos sejam identi cados, faz-se
necessário que
Em sequência à identi cação dos riscos, estes precisam ser analisados e avaliados. Essa etapa é
de particular importância para as atividades de gestão, dado que os resultados obtidos a partir
dela vão ajudar “a direcionar e a determinar as ações gerenciais apropriadas e as prioridades
para o gerenciamento dos riscos da segurança da informação, e para a implementação dos
controles selecionados para a proteção dos riscos” (ABNT, 2005, p. 11).
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 3/14
17/05/2021 Roteiro de Estudos
urgente, merece
irá piorar em médio
3 grave atenção no curto
prazo
prazo
Quadro 1 - Exemplo de matriz GUT que pode ser utilizada na etapa de análise e avaliação dos riscos.
Fonte: Camargo (2020, on-line).
Uma ferramenta muito utilizada para a priorização dos riscos é conhecida como Matriz GUT
(acrônimo de Gravidade, Urgência e Tendência). Nessa abordagem, cada risco identi cado é
avaliado sob a ótica dessas três variáveis. Cada variável tem diferentes níveis de criticidade
associados. Cada nível tem um valor numérico correspondente. A partir da pontuação que cada
risco recebe segundo cada uma das variáveis, um valor de pontuação é obtido e usado para a
priorização das listas de riscos. O Quadro 1 apresenta um exemplo de como uma matriz GUT
pode ser de nida.
No planejamento do tratamento dos riscos – atividade que sucede a identi cação dos mesmos
– a organização precisa determinar, inicialmente, quais riscos serão aceitos por ela e quais não
serão. Segundo a ABNT (2005, p. 6), “riscos podem ser aceitos se, por exemplo, for avaliado que
o risco é baixo ou que o custo do tratamento não é economicamente viável para a
organização”. É importante que ações sejam devidamente de nidas e registradas para cada
risco previamente identi cado. Alguns tratamentos que podem ser dados aos riscos são:
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 4/14
17/05/2021 Roteiro de Estudos
A etapa nal do processo de gestão de riscos envolve a avaliação e revisão dos riscos. Essa
etapa agrega um caráter cíclico ao processo, uma vez que os riscos podem sofrer mudanças a
todo o momento. Quando isso ocorre, todo o planejamento em torno de sua análise,
tratamento e controles precisa ser revisado e, quando necessário, ajustado para que se
mantenha em conformidade com a realidade vigente da organização.
LEITURA
ACESSAR
Análise de Vulnerabilidades
Vulnerabilidades são de nidas como fragilidades de um ativo ou grupo de ativos que podem
ser exploradas por uma ou mais ameaças (ABNT, 2005, p. 3). Dessa de nição, entende-se que
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 5/14
17/05/2021 Roteiro de Estudos
vulnerabilidades podem ser identi cadas nos diferentes setores, departamentos e instalações
de uma organização. Duas seções de controles de segurança diretamente suscetíveis a
apresentar vulnerabilidades são a Segurança Física e do Ambiente e o Controle de Acesso.
Instalações e todo ambiente que pode representar algum risco de segurança para a
organização devem ser contemplados na análise de vulnerabilidades, de forma a “prevenir o
acesso físico não autorizado, danos e interferência com as instalações e informações da
organização” (ABNT, 2005, p. 32). Nesse sentido, uma varredura em busca de fragilidades nos
controles de segurança deve ser executada, considerando as seguintes áreas e situações:
Uma análise de vulnerabilidades deve ser feita de forma análoga considerando os controles de
acesso. Nesta seção, o objetivo é garantir que “o acesso à informação, recursos de
processamento das informações e processos de negócios sejam controlados com base nos
requisitos de negócio e segurança da informação” (ABNT, 2005, p. 65). Assim como feito na
análise da segurança física e do ambiente, conjuntos de áreas e procedimentos devem ser
avaliados na busca por vulnerabilidades:
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 6/14
17/05/2021 Roteiro de Estudos
LEITURA
ACESSAR
Medidas de Proteção
Diferentes medidas de proteção podem ser propostas e adotadas de acordo com as
especi cidades dos processos de cada organização. Entretanto, é recomendável que áreas
cujas vulnerabilidades têm maior potencial de surgir sejam priorizadas. Em função disso, a
segurança física e do ambiente e o controle de acesso merecem novamente receber o foco de
atenção quanto à implementação de medidas para a garantia da segurança.
Relacionado à segurança física e do ambiente, recomenda-se que haja a de nição clara dos
limites do perímetro de segurança e a eliminação de brechas estruturais que poderiam
viabilizar uma invasão. Sistemas de detecção de intrusos e a construção de barreiras físicas
para a contenção de acessos não autorizados também são recomendados. Para o controle de
entradas físicas, registros da data e hora de entrada e saídas podem possibilitar que quaisquer
visitantes sejam supervisionados. Com o objetivo de impedir que intrusos se aproveitem de
situações que poderiam camu ar o seu acesso indevido, a exigência de que todos os
funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma de
identi cação visível pode se con gurar como uma medida de proteção. Para as demais
instalações da organização, há a recomendação de que qualquer acesso seja identi cado, ainda
que limitado a alguma atividade de carga e descarga.
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 7/14
17/05/2021 Roteiro de Estudos
LEITURA
ACESSAR
Segurança em Ativos de TI
Um ativo é qualquer coisa que tenha valor para a organização. Logo, os ativos incluem:
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 8/14
17/05/2021 Roteiro de Estudos
A segurança dos ativos de TI está intrinsecamente relacionada com a forma como a gestão
desses elementos se dá. Todo o aferimento da segurança nesse contexto se inicia pela
de nição e formalização de quem são os responsáveis por cada ativo. Nesse sentido, “convém
que todas as informações e ativos associados com os recursos de processamento da
informação tenham um proprietário designado por uma parte de nida da organização” (ABNT,
2005, p. 22). Para que um mapeamento correto e preciso entre ativos e respectivos
responsáveis possa ser feito, é preciso que um inventário seja construído preliminarmente.
Nele devem constar todos os ativos que forem relevantes para a organização.
Associada à de nição dos responsáveis por cada ativo, é recomendável que uma formalização
do que representa o uso aceitável de cada um deles seja feita. Para isso, deve estar claro, para
cada funcionário, fornecedor e terceiros, quais são as regras de uso de cada ativo. Convém que
sejam incluídas normas documentadas de uso da internet e do correio eletrônico, além de
diretrizes identi cadas, regulando o uso de dispositivos móveis dentro e fora das instalações da
organização.
Além das de nições das normas de uso e atribuição de responsáveis, a segurança dos ativos de
TI requer também que a informação seja classi cada, a m de receber o nível adequado de
proteção. Para isso, é recomendável que o dono do ativo de negócio atribua uma classi cação
apropriada de acordo com uma lista acordada de classi cações. A classi cação deve indicar a
forma de segurança que é necessária. Isso é determinado em parte pela sensibilidade, pelo
valor, pelos requisitos legais e pela importância para a organização. A classi cação deve estar
de acordo com a forma como o ativo é utilizado no negócio (HINTZBERGEN et al., 2018, p. 79).
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 9/14
17/05/2021 Roteiro de Estudos
LEITURA
ACESSAR
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 10/14
17/05/2021 Roteiro de Estudos
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 11/14
17/05/2021 Roteiro de Estudos
LEITURA
Conclusão
Neste roteiro de estudos, tivemos a oportunidade de explorar orientações padronizadas de
segurança aplicadas a diferentes áreas de uma organização. Ficou claro, por exemplo, que dois
setores são críticos para a garantia da segurança da informação: a segurança física e do
ambiente e o controle de acesso. Não raro, essas são duas áreas que demandam muito esforço
e investimento para impedir que suas vulnerabilidades se convertam em ameaças para a
organização. Além disso, conseguimos analisar como a forma com que as normas estão
estruturadas viabilizam uma adoção gradativa de suas práticas. Isso foi evidente no ciclo de
processo que orienta a implantação de um software de gestão de segurança da informação.
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 12/14
17/05/2021 Roteiro de Estudos
CAMARGO, R. F. Como fazer a Matriz GUT para a resolução de problemas? Conheça a Matriz
de Prioridades. Disponível em: https://www.treasy.com.br/blog/matriz-gut/. Acesso em: 16 abr.
2020.
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 13/14
17/05/2021 Roteiro de Estudos
https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 14/14