17/05/2021 Roteiro de Estudos

Gestão da Segurança da Informação

Roteiro de
Estudos
Estudos

Autor: Me. Thiago Nascimento Rodrigues

Revisor: Rogério de Campos

Olá! Seja bem-vindo(a) à disciplina de Gestão da Segurança da Informação. À medida que

avançar no conteúdo desta disciplina, você estará se capacitando para ter uma visão mais
ampla e sistemática de todas as atividades envolvidas na proteção de um dos bens mais
estratégicos das organizações: a informação.  E por se tratar de uma disciplina fundamentada
em normas internacionais de segurança, você vai conhecer padrões e procedimentos adotados
por empresas de todo o mundo. De posse desse conhecimento, você estará habilitado a atuar
como um pro ssional capaz de implementar práticas e propor soluções já reconhecidas pela
e cácia no gerenciamento da segurança da informação.

Caro(a) estudante, ao ler este roteiro, você vai:

aprender como gerenciar os riscos mapeados de uma organização;

ser capaz de identi car vulnerabilidades dentro de processos de trabalho;
estar apto a propor medidas de proteção diante de cenários de risco;
conhecer como funciona a gestão da segurança no âmbito de ativos de TI;
entender o que está envolvido no processo de implantação de um software de gestão da
segurança da informação;
compreender como múltiplos processos podem ser combinados para viabilizar uma
gestão e ciente da segurança da informação.

Introdução

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 1/14
17/05/2021 Roteiro de Estudos

Em qualquer que seja o cenário, segurança é um tópico que requer uma atenção constante e
cuja demanda é crescente. A criticidade das consequências relacionadas a quaisquer violações
nesse âmbito impulsionam organizações a canalizar, cada vez mais, esforços e recursos para o
estabelecimento e a implementação das melhores práticas e garantia de ambientes mais
seguros. Tendo em vista o caráter reconhecidamente estratégico da informação para qualquer
setor de negócio, a segurança desse ativo tem sido igualmente priorizada.

Um direcionamento seguido por organizações de todo o mundo é o de promover a gestão da

segurança da informação por meio de ações baseadas em padrões já validados e reconhecidos
por sua e cácia. Esse é o contexto em que as normas ISO de segurança estão inseridas. Nesse
roteiro de estudos, você terá a oportunidade de conhecer diretrizes abrangendo diferentes
aspectos de segurança das organizações. Além disso, vai entender como essas normas estão
estruturadas, de forma a facilitar a adoção de suas práticas de maneira gradativa e
segmentada.

Gestão de Riscos
O gerenciamento de qualquer atividade, processo ou recurso tem como princípio elementar a
clara compreensão do que se trata o objeto a ser gerido. Nesse sentido, o conceito de risco
enquanto “combinação da probabilidade de um evento e de suas consequências” deve
permear todas as atividades coordenadas por uma organização e direcionadas para a gestão
dessas duas variáveis (probabilidade de ocorrência e consequência) que caracterizam um
evento como risco (ABNT, 2005, p. 2).

Convém que as análises/avaliações de riscos identi quem, quanti quem e

priorizem os riscos com base em critérios para aceitação dos riscos e dos
objetivos relevantes para a organização. Convém que os resultados orientem e
determinem as ações de gestão apropriadas e as prioridades para o
gerenciamento dos riscos de segurança da informação, e para a
implementação dos controles selecionados, de maneira a proteger contra estes
riscos (ABNT, 2005, p. 6).

Alinhado com esse direcionamento, Galvão (2015, p. 93) propõe que a gestão de riscos seja
implementada por meio de seis atividades:

1. De nição dos objetivos

2. Identi cação dos riscos
3. Análise dos riscos
4. Planejamento do tratamento de risco

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 2/14
17/05/2021 Roteiro de Estudos

5. Implementação do controle do risco

6. Avaliação e revisão dos riscos

A etapa preliminar de de nição dos objetivos demanda que os responsáveis pelo processo
estabeleçam o que deve ser alcançado com a implementação das atividades que vão compor a
gestão da segurança da informação como um todo. Quaisquer que sejam esses objetivos –
minimização de riscos, corte de custos, redução de falhas de sistemas etc. – precisam estar
alinhados com as estratégias globais de negócio da organização.

Uma vez que o que se pretende conseguir com a gestão da segurança está claramente
de nido, os riscos precisam ser identi cados. Essa etapa exige um conhecimento mais apurado
dos processos de trabalho da organização, como e que tipo de informação está armazenada
em seu parque tecnológico. Logo, para que riscos efetivos sejam identi cados, faz-se
necessário que

exista um entendimento básico a respeito do ramo exercido pela empresa;

seja realizado um mapeamento de todo processo computacional da empresa;
sejam identi cadas e compreendidas todas as normas e as políticas internas da empresa;
todas as atividades críticas da empresa sejam inspecionadas;
sejam levantadas quais foram as últimas falhas de segurança nos últimos anos (GALVÃO,
2015, p. 94).

Em sequência à identi cação dos riscos, estes precisam ser analisados e avaliados. Essa etapa é
de particular importância para as atividades de gestão, dado que os resultados obtidos a partir
dela vão ajudar “a direcionar e a determinar as ações gerenciais apropriadas e as prioridades
para o gerenciamento dos riscos da segurança da informação, e para a implementação dos
controles selecionados para a proteção dos riscos” (ABNT, 2005, p. 11).

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 3/14
17/05/2021 Roteiro de Estudos

Nota Gravidade Urgência Tendência

extremamente precisa de ação irá piorar

5
grave imediata rapidamente

irá piorar em longo

4 muito grave muito urgente
prazo

urgente, merece
irá piorar em médio
3 grave atenção no curto
prazo
prazo

irá piorar em curto

2 pouco grave pouco urgente
prazo

1 sem gravidade pode esperar não irá mudar

Quadro 1 - Exemplo de matriz GUT que pode ser utilizada na etapa de análise e avaliação dos riscos.
Fonte: Camargo (2020, on-line).

Uma ferramenta muito utilizada para a priorização dos riscos é conhecida como Matriz GUT
(acrônimo de Gravidade, Urgência e Tendência). Nessa abordagem, cada risco identi cado é
avaliado sob a ótica dessas três variáveis. Cada variável tem diferentes níveis de criticidade
associados. Cada nível tem um valor numérico correspondente. A partir da pontuação que cada
risco recebe segundo cada uma das variáveis, um valor de pontuação é obtido e usado para a
priorização das listas de riscos. O Quadro 1 apresenta um exemplo de como uma matriz GUT
pode ser de nida.

No planejamento do tratamento dos riscos – atividade que sucede a identi cação dos mesmos
– a organização precisa determinar, inicialmente, quais riscos serão aceitos por ela e quais não
serão. Segundo a ABNT (2005, p. 6), “riscos podem ser aceitos se, por exemplo, for avaliado que
o risco é baixo ou que o custo   do tratamento não é economicamente viável para a
organização”. É importante que ações sejam devidamente de nidas e registradas para cada
risco previamente identi cado. Alguns tratamentos que podem ser dados aos riscos são:

aplicar controles apropriados para reduzir os riscos;

evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
transferir os riscos associados para outras partes, por exemplo, seguradoras ou
fornecedores (ABNT, 2005, p. 6).

Subsequentemente às de nições referentes ao tratamento dos riscos, é recomendado

implementar controles de riscos. Um controle constitui uma “forma de gerenciar o risco,

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 4/14
17/05/2021 Roteiro de Estudos

incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que

podem ser de natureza administrativa, técnica, de gestão ou legal” (ABNT, 2005, p. 1). Em outras
palavras, a implementação do controle de riscos signi ca “executar tudo o que foi planejado a
respeito dos riscos da empresa” (GALVÃO, 2015, p. 97).

A etapa nal do processo de gestão de riscos envolve a avaliação e revisão dos riscos. Essa
etapa agrega um caráter cíclico ao processo, uma vez que os riscos podem sofrer mudanças a
todo o momento. Quando isso ocorre, todo o planejamento em torno de sua análise,
tratamento e controles precisa ser revisado e, quando necessário, ajustado para que se
mantenha em conformidade com a realidade vigente da organização.

LEITURA

Gestão de riscos de segurança da informação numa instituição pública federal:

um estudo de caso
Autores: Jackson Gomes Soares Souza, Carlos H. Arima, Renata Maria Nogueira de Oliveira,
Getulio Akabane, Napoleão V. Galegale
Ano: 2016
Comentário: a gestão de riscos é uma das áreas mais críticas da gestão de segurança da
informação. Muitas outras atividades dependem de uma gestão de riscos precisa e efetiva.
Nesse sentido, um estudo de caso pode ajudar muito a ver, na prática, os detalhes de execução
dessa atividade. Veja nesse artigo como a gestão de riscos foi implantada e desenvolvida em
uma organização pública.

ACESSAR

Análise de Vulnerabilidades
Vulnerabilidades são de nidas como fragilidades de um ativo ou grupo de ativos que podem
ser exploradas por uma ou mais ameaças (ABNT, 2005, p. 3). Dessa de nição, entende-se que

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 5/14
17/05/2021 Roteiro de Estudos

vulnerabilidades podem ser identi cadas nos diferentes setores, departamentos e instalações
de uma organização. Duas seções de controles de segurança diretamente suscetíveis a
apresentar vulnerabilidades são a Segurança Física e do Ambiente e o Controle de Acesso.

Instalações e todo ambiente que pode representar algum risco de segurança para a
organização devem ser contemplados na análise de vulnerabilidades, de forma a “prevenir o
acesso físico não autorizado, danos e interferência com as instalações e informações da
organização” (ABNT, 2005, p. 32). Nesse sentido, uma varredura em busca de fragilidades nos
controles de segurança deve ser executada, considerando as seguintes áreas e situações:

Perímetro de segurança física: avaliar áreas que contenham informações e instalações de

processamento da informação.
Controles de entrada física: veri car se as áreas seguras oferecem controles para garantir
que apenas pessoas autorizadas tenham acesso.
Segurança em escritórios, salas e instalações: conferir a existência de controles de
segurança físicos nesses ambientes.
Proteção contra ameaças externas e do meio ambiente: avaliar a existência de proteção
contra eventos naturais ou incidentes no perímetro (vazamentos, explosões etc).
Acesso ao público e a áreas de carregamento: garantir o controle de acesso nesses
espaços.
Segurança de equipamentos: avaliar o estado de utilidades e cabeamentos, além de
veri car a segurança da utilização dos mesmos fora da organização.

Uma análise de vulnerabilidades deve ser feita de forma análoga considerando os controles de
acesso. Nesta seção, o objetivo é garantir que “o acesso à informação, recursos de
processamento das informações e processos de negócios sejam controlados com base nos
requisitos de negócio e segurança da informação” (ABNT, 2005, p. 65). Assim como feito na
análise da segurança física e do ambiente, conjuntos de áreas e procedimentos devem ser
avaliados na busca por vulnerabilidades:

Política de controle de acesso: fazer a conferência crítica da documentação existente.

Gerenciamento de acesso do usuário: analisar a existência de procedimentos formais
para o controle e a distribuição de direitos de acesso a sistemas da informação.
Responsabilidade dos usuários: avaliar as políticas preparadas para garantir que os
usuários estejam conscientes de suas responsabilidades em relação ao uso de senhas e
de segurança dos equipamentos.
Controle de acesso aos recursos e sistemas computacionais: veri car os procedimentos
relacionados à computação móvel, trabalho remoto, acesso a aplicações e sistemas
operacionais e à rede.

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 6/14
17/05/2021 Roteiro de Estudos

LEITURA

Análise de vulnerabilidades em Cloud Computing

Autoras: Estefânia Pianoski Arata, Cristiane Fernandez Rodrigues e Renata Farragoni
Ano: 2018
Comentário: muitas organizações têm seguido a tendência de migrar sua infraestrutura
tecnológica para um ambiente de nuvem ou cloud. Isso tem gerado novos desa os para a
gestão da segurança da informação. Veja nesse artigo que tipos de vulnerabilidades surgem
nesse cenário e quais práticas podem ser adotadas para garantir a proteção das informações.

ACESSAR

Medidas de Proteção
Diferentes medidas de proteção podem ser propostas e adotadas de acordo com as
especi cidades dos processos de cada organização. Entretanto, é recomendável que áreas
cujas vulnerabilidades têm maior potencial de surgir sejam priorizadas. Em função disso, a
segurança física e do ambiente e o controle de acesso merecem novamente receber o foco de
atenção quanto à implementação de medidas para a garantia da segurança.

Relacionado à segurança física e do ambiente, recomenda-se que haja a de nição clara dos
limites do perímetro de segurança e a eliminação de brechas estruturais que poderiam
viabilizar uma invasão. Sistemas de detecção de intrusos e a construção de barreiras físicas
para a contenção de acessos não autorizados também são recomendados. Para o controle de
entradas físicas, registros da data e hora de entrada e saídas podem possibilitar que quaisquer
visitantes sejam supervisionados. Com o objetivo de impedir que intrusos se aproveitem de
situações que poderiam camu ar o seu acesso indevido, a exigência de que todos os
funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma de
identi cação visível pode se con gurar como uma medida de proteção. Para as demais
instalações da organização, há a recomendação de que qualquer acesso seja identi cado, ainda
que limitado a alguma atividade de carga e descarga.

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 7/14
17/05/2021 Roteiro de Estudos

Quanto às medidas de proteção relativas ao controle de acesso, o espectro pode variar de

medidas simples a soluções tecnologicamente elaboradas. Nesse sentido, a segregação de
funções de controle de acesso e a utilização de identi cadores de usuários (ID de usuário)
podem proporcionar que o gerenciamento de acesso seja efetuado de maneira mais segura e
suave. Outra medida de proteção elementar é conscientizar e auditar a con dencialidade das
senhas utilizadas pelos usuários. Isso permitirá que o acesso aos ativos computacionais da
organização (rede, sistemas operacionais, aplicações e acesso remoto) esteja alinhado com os
requisitos de segurança previamente estabelecidos.

LEITURA

A privacidade, a segurança da informação e a proteção de dados no Big Data

Autores: Antonio João Gonçalves de Azambuja, Lisandro Zambenedetti Granville e Alexandre
Guilherme Motta Sarmento.
Ano: 2019
Comentário: o conceito de Big Data foi cunhado em função do volume de dados sem
precedentes gerado e manipulado pelas organizações. Essa nova realidade cria complicadores
para a implementação de medidas de proteção a m de garantir a privacidade das
informações. Conheça, com esse artigo, mais detalhes a respeito dos desa os relacionados à
segurança em Big Data e como estes podem ser contornados.

ACESSAR

Segurança em Ativos de TI
Um ativo é qualquer coisa que tenha valor para a organização. Logo, os ativos incluem:

ativos de informação: base de dados, arquivos, contratos e acordos, documentação de

sistemas, manuais de usuários, material de treinamento, planos de continuidade do
negócio etc.;

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 8/14
17/05/2021 Roteiro de Estudos

ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento;

ativos físicos: equipamentos computacionais, equipamentos de construção, mídias
removíveis etc.;
serviços: serviços de computação e comunicações, utilidades gerais como iluminação,
refrigeração etc.;
pessoas e suas quali cações, habilidades e experiências;
intangíveis, tais como a reputação e a imagem da organização (ABNT, 2005, p. 21).

A segurança dos ativos de TI está intrinsecamente relacionada com a forma como a gestão
desses elementos se dá. Todo o aferimento da segurança nesse contexto se inicia pela
de nição e formalização de quem são os responsáveis por cada ativo. Nesse sentido, “convém
que todas as informações e ativos associados com os recursos de processamento da
informação tenham um proprietário designado por uma parte de nida da organização” (ABNT,
2005, p. 22). Para que um mapeamento correto e preciso entre ativos e respectivos
responsáveis possa ser feito, é preciso que um inventário seja construído preliminarmente.
Nele devem constar todos os ativos que forem relevantes para a organização.

Associada à de nição dos responsáveis por cada ativo, é recomendável que uma formalização
do que representa o uso aceitável de cada um deles seja feita. Para isso, deve estar claro, para
cada funcionário, fornecedor e terceiros, quais são as regras de uso de cada ativo. Convém que
sejam incluídas normas documentadas de uso da internet e do correio eletrônico, além de
diretrizes identi cadas, regulando o uso de dispositivos móveis dentro e fora das instalações da
organização.

Além das de nições das normas de uso e atribuição de responsáveis, a segurança dos ativos de
TI requer também que a informação seja classi cada, a m de receber o nível adequado de
proteção.  Para isso, é recomendável que o dono do ativo de negócio atribua uma classi cação
apropriada de acordo com uma lista acordada de classi cações. A classi cação deve indicar a
forma de segurança que é necessária. Isso é determinado em parte pela sensibilidade, pelo
valor, pelos requisitos legais e pela importância para a organização. A classi cação deve estar
de acordo com a forma como o ativo é utilizado no negócio (HINTZBERGEN et al., 2018, p. 79).

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 9/14
17/05/2021 Roteiro de Estudos

LEITURA

Análise da importância da gestão de ativos de TI no ambiente de micro e

pequenas empresas
Autores: Sérgio Francisco da Silva e Je erson de Souza Pinto
Ano: 2019
Comentário: a gestão dos ativos de TI no âmbito da segurança da informação tende a ser uma
realidade apenas em organizações de grande porte. No entanto, micro e pequenas empresas
precisam, de igual modo, dar atenção a essa atividade. Veja nesse artigo o que precisa ser
levado em conta quando a gestão de ativos de TI acontece num contexto diferente das grandes
organizações.

ACESSAR

Sistemas de Gestão da Segurança

da Informação
A adoção de um sistema de gestão da segurança da informação (SGSI) deve ser encarada como
uma decisão estratégica para a organização, tendo em vista o seu impacto nos processos de
trabalho e re exos no modelo de negócio já vigente. Em função disso, a ABNT (2006, p. 5)
sugere que a sua implantação seja executada nos moldes de um modelo conhecido como
PDCA (Plain-Do-Check-Act, cuja tradução é Planejar-Fazer-Veri car-Agir). A Figura 1 apresenta
uma visão esquemática do processo de implantação completo:

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 10/14
 17/05/2021 Roteiro de Estudos

Figura 1 - Ciclo PDCA de implantação de um sistema de gestão da segurança da informação

Fonte: ABNT (2006, p. 5).

Anteriormente à introdução de um SGSI em uma organização, uma etapa de planejamento ou

estabelecimento (Plain) do sistema precisa ser efetuada. Como passo inicial, é preciso de nir o
escopo e os limites do sistema, considerando as características do negócio, a organização, sua
localização, ativos e tecnologia. Além disso, toda uma gestão de riscos deve ser planejada
dentro do contexto do SGSI. Nesse sentido, é preciso identi car quais riscos pertencem ao
escopo do sistema e proceder com a análise, avaliação, proposição de tratamento, seleção de
controles e objetivos a serem alcançados (ABNT, 2006, p. 5-6).

Para a implantação e a operacionalização de um SGSI (Do), é recomendável que a organização

implemente programas de conscientização e treinamento, estabeleça uma política de
gerenciamento de operações e recursos do sistema e ponha em prática “procedimentos e
outros controles capazes de permitir a pronta detecção de eventos de segurança da
informação e resposta a incidentes de segurança da informação” (ABNT, 2006, p. 7).

Uma vez em operação, o SGSI precisa de monitoramento e de ser criticamente analisado

(Check). A organização executa essas veri cações regularmente, avaliando a e cácia do sistema
(incluindo o atendimento da política e dos objetivos do SGSI e a análise crítica de controles de
segurança), levando em consideração os resultados de auditorias de segurança da informação,
incidentes de segurança e sugestões. A melhoria e manutenção (Act) do SGSI naliza um ciclo e
gera os subsídios para que uma nova interação seja executada. Nessa última etapa, melhorias
identi cadas devem ser implementadas, e erros e falhas, corrigidos.

Em todas as etapas do processo PDCA de implantação de um SGSI, o comprometimento da

direção é crucial. A institucionalização de todos os procedimentos e políticas é de
responsabilidade da direção, que precisa, além disso, garantir que recursos su cientes sejam
alocados para a subsidiação de todo o processo. A aderência do corpo funcional da
organização ao correto uso e manutenção tem ligação direta com o pleno envolvimento da
direção.

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 11/14
17/05/2021 Roteiro de Estudos

LEITURA

Sistemas de Segurança da Informação na era do

conhecimento
Autor: Armando Kolbe Júnior
Editora: Intersaberes
Ano: 2017
Comentário: por se tratar de uma área estratégica para a
organização, a segurança da informação não raro é relevante
para a tomada de decisões gerenciais. Aplicar a segurança da
informação nesse contexto, porém requer que os sistemas de
gestão sejam preparados para manipular as informações de
modo apropriado. No capítulo 5 desse livro, conheça algumas
diretrizes de preparação de um SGSI para que possa apoiar a
tomada de decisões.
Esse título está disponível na  Biblioteca Virtual da Laureate

Conclusão
Neste roteiro de estudos, tivemos a oportunidade de explorar orientações padronizadas de
segurança aplicadas a diferentes áreas de uma organização. Ficou claro, por exemplo, que dois
setores são críticos para a garantia da segurança da informação: a segurança física e do
ambiente e o controle de acesso. Não raro, essas são duas áreas que demandam muito esforço
e investimento para impedir que suas vulnerabilidades se convertam em ameaças para a
organização. Além disso, conseguimos analisar como a forma com que as normas estão
estruturadas viabilizam uma adoção gradativa de suas práticas. Isso foi evidente no ciclo de
processo que orienta a implantação de um software de gestão de segurança da informação.

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 12/14
17/05/2021 Roteiro de Estudos

Referências Bibliográ cas

ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: tecnologia da
informação: técnicas de segurança: sistemas de gestão de segurança da informação: requisitos.
Rio de Janeiro: ABNT, 2006.

ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: tecnologia da

informação: técnicas de segurança: código de prática para a gestão da segurança da
informação. Rio de Janeiro: ABNT, 2005.

ARATA, E. P., RODRIGUES, C. F., FARRAGONI, R. Análise de vulnerabilidades em Cloud

Computing. Revista FATEC Sebrae em debate: gestão, tecnologias e negócio, v. 5, n. 9, p. 69-
80, jul./dez. 2018.

AZAMBUJA, A. J. G.; GRANVILLE, L. Z.; SARMENTO, A. G. M. A privacidade, a segurança da

informação e a proteção de dados no Big Data. R. Parcerias Estratégicas, v. 24, n. 48, p. 9-32,
jan./jun., 2019.

CAMARGO, R. F. Como fazer a Matriz GUT para a resolução de problemas? Conheça a Matriz
de Prioridades. Disponível em: https://www.treasy.com.br/blog/matriz-gut/. Acesso em: 16 abr.
2020.

GALVÃO, M. C. Fundamentos em segurança da informação. São Paulo: Pearson Education do

Brasil, 2015.

HINTZBERGEN, J.; HINTZBERGEN, K; SMULDERS, A.; BAARS, H. Fundamentos de Segurança da

Informação: com base na ISO 27001 e ISO 27002. Rio de Janeiro: BRASPORT Livros e Multimídia
Ltda., 2018.

KOLBE JÚNIOR, A. Sistemas de segurança da informação na era do conhecimento. Curitiba:

Intersaberes, 2017.

SILVA, S. F. da; PINTO, J. S. Análise da importância da gestão de ativos de TI no ambiente de

micro e pequenas empresas. R. E-Locução, v. 1, n. 15, p. 52-69, 2019.

SOUZA, J. G. S. et al. Gestão de riscos de segurança da informação numa instituição pública

federal: um estudo de caso. Revista ENIAC Pesquisa, v. 5, n. 2, p. 240-256, jun./dez. 2016.

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 13/14
17/05/2021 Roteiro de Estudos

https://fmu.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_665877_1&P… 14/14