Iso 27001

EXIN Information Security Foundation Certificate
www.trainning.com.br
Introdução
Objetivos do curso e público alvo
A EXIN Information Security Foundation baseada na ISO / IEC 27001 é uma certificação que
valida o conhecimento de um profissional sobre:
▪ Informação e segurança: o conceito, o valor, a importância e a confiabilidade da informação;
▪ Ameaças e riscos: os conceitos de ameaça e risco e a relação com a confiabilidade das
informações;
▪ Abordagem e organização: a política de segurança e a organização de segurança, incluindo os
componentes da organização e o gerenciamento de incidentes (de segurança);
▪ Medidas: a importância de medidas de segurança, incluindo medidas físicas, técnicas e
organizacionais
▪ Legislação e regulamentos: a importância e o impacto da legislação e dos regulamentos
O exame para a EXIN Information Security Foundation baseado na ISO / IEC 27001 é destinado a
todos na organização que estejam processando informações. O módulo também é adequado
para empresários de pequenas empresas independentes para as quais é necessário algum
conhecimento básico de segurança da informação.
Este módulo pode ser um bom começo para novos profissionais de segurança da informação
I - Introdução
Módulo I
O que é a ISO / IEC 27001 ?
ISO – International Organization for

IEC - International Electrotechnical Commission
Standardization
• É uma organização fundada em 1946 e
sediada em Genebra, na Suíça com o
propósito de desenvolver e promover normas
• É uma organização internacional de
padronização de tecnologias elétricas,
eletrônicas e relacionadas, sendo que alguns
dos seus padrões são desenvolvidos em
que possam ser utilizadas por todos os países
parceria com a ISO.
do mundo
• Além de trabalhar em parceria com a ISO atua
• No Brasil, estas normas são compostas pela
também em parceria com a ITU (International
sigla NBR e são criadas e gerenciadas pela
Telecommunication Union)
Associação Brasileira de Normas Técnicas
(ABNT)
Módulo I
O que é a ISO / IEC 27001 ?
• A ISO 27001 descreve como gerenciar a segurança da informação em uma

organização e a versão mais recente desta norma foi publicada em 2013, e
seu título completo agora é ISO/IEC 27001:2013.
• A ISO 27001 define os requisitos para um Sistema de Gestão da Segurança
da Informação (SGSI).
• O SGSI parte do sistema de gestão global da organização, com base em
uma abordagem de risco do negócio, para estabelecer, implementar,
operar, monitorar, revisar, manter e melhorar a segurança da informação
• A primeira versão desta norma foi publicada em 2005 e foi desenvolvida
com base na Norma Britânica BS 7799-2.
• Esta norma internacional pode ser utiliza como base para auditoria que
define os requisitos para um Sistema de Gestão de Segurança da
Informação (SGSI).
Módulo I
O que é a ISO / IEC 27001 e ISO / IEC 27002?
• A ISO 27002 estabelece um código de melhores práticas para apoiar na

implantação do Sistema de Gestão de Segurança da Informação (SGSI)
nas organizações.
• A ISO / IEC 27002 traz apenas recomendações de requisitos de
segurança da informação
• A ISO / IEC 27002 - Técnicas de segurança - Código de prática para
controles de segurança da informação
7
Módulo I
O que é a ISO / IEC 27001 e ISO / IEC 27002?
Os capítulos da ISO / IEC 27002 estão alinhados com os controles

no anexo A da ISO / IEC 27001:
0. Introdução 11. Segurança física e de ambiente
1. Âmbito 12. Segurança de Operações
2. Referências normativas 13. Segurança das comunicações
3. Termos e Definições 14. Aquisição, desenvolvimento e manutenção
4. Estrutura desta Norma de sistemas
5. Políticas de Segurança da Informação 15. Relações com fornecedores
6. Organização da segurança da 16. Gerenciamento de incidentes de segurança
informação da informação
7. Segurança de Recursos Humanos 17. Aspectos de segurança da informação do
gerenciamento de continuidade de
8. Gerenciamento de ativos
negócios
9. Controle de Acesso
18. Conformidade (Compliance)
10. Criptografia
8
Módulo I
Melhor De acordo com o livro
Prática Foundations of Information
Security
Dado e Informação
• Os dados podem ser processados pela

tecnologia da informação, mas se
tornam informações depois que
adquirem um certo significado
• As informações podem assumir a
forma de texto, mas também das
palavras faladas e imagens de vídeo
9
Módulo I
Dado e Informação Security
Formas da informação Formas de armazenamento
USB
Digital ou impressa
CD/DVD
Transmitidas eletronicamente
Disco
Rígido
BYOD
10
Módulo I
Dado e Informação
• Os dados podem ser

processados pela tecnologia da
informação, mas se tornam
informações depois que adquirem
um certo significado
• As informações podem assumir a
forma de texto, mas também das
palavras faladas e imagens de vídeo
Módulo I
Melhor
De acordo com a ITIL
Prática
Dado e Informação
• Informação é o entendimento dos

relacionamentos entre partes de Dados
• As informações respondem a quatro
perguntas:
• Who? (Quem ?)
• What? (O que ?)
• When? (Quando ?)
• Where? (Onde ?)
12
Módulo I
De acordo com a ISO/IEC 27002,

ativo é algo muito abrangente que
envolve tudo o que pode ter ou
fornecer um valor para uma
organização, justamente porque a
definição de um ativo (segundo a
Norma) é a seguinte:
"Ativo: qualquer coisa
que tenha valor para a organização".
Portanto, a informação é um ativo

Intangível e é um dos
principais geradores de
valor para as organizações
Módulo I
Na sociedade da informação em
que vivemos, a informação é o Criada
principal patrimônio da empresa,
representando a inteligência Descarta Armazena
competitiva do negócio e sendo da da
reconhecida como um ativo
crítico para a sua continuidade
operacional.
Ciclo de
vida da
informação
Arquiva
usada
da
Comparti
lhada
Módulo I
O que diz a ISO 27002 sobre o valor e classificação da informação ?
0.1 Contexto e histórico
“O valor da informação vai além das palavras escritas,

números e imagens: conhecimento, conceitos, ideias e
marcas são exemplos de formas intangíveis da
informação. Em um mundo interconectado, a informação
e os processos relacionados, sistemas, redes e pessoas
envolvidas nas suas operações, são informações que,
como outros ativos importantes, têm valor para o
negócio da organização e, consequentemente, requer
proteção contra vários riscos.”
Módulo I
O que diz a ISO 27002 sobre o valor e classificação da informação ?
8.2 Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção,
de acordo com a sua importância para a organização
A ISO 27002 recomenda que a “informação seja classificada em termos do

seu valor, requisitos legais, sensibilidade e criticidade para evitar
modificação ou divulgação não autorizada.”
Módulo I
O valor da informação e os processos de negócio Melhor De acordo com o livro

Security
Cada um dos processos de negócio irá definir quais requisitos serão necessários para
poder oferecer a informação desejada
Para poder compreender o valor da informação é muito importante analisar o papel
da informação em cada um dos vários processos do negócio
Ex.: 1 Processo de disponibilidade

Se o banco de dados estiver fora ar não é possível obter nenhuma informação
Ex.: 2 Processo de capacidade

Se a demanda por espaço em disco aumentar é preciso garantir espaço em disco
para poder armazenar as informações
Módulo I
DICS: Dados, Informações, Conhecimento, Sabedoria
Contexto
BEST
De acordo com a ITIL
PRACTICE
www.trainning.com.br Sabedoria
Por que?
Conhecimento
Como?
Informação
Quem, O que,
Quando, Onde?
Dado
Entendimento
18
Módulo I
Todo processo possui basicamente 3 componentes:
Processo
Entradas Saídas
(transformação)
Processo poder ser definido como um conjunto de atividades interrelacionadas
com o objetivo de atingir um resultado.
De acordo com Hammer & Champy, 1993, processo pode ser definido como:
“conjunto de atividades que representam os métodos de execução de um trabalho

necessário para alcançar um objetivo empresarial.”
Módulo I
Os 3 tipos de processos de negócio
• Foco na geração de
Primários resultados para o cliente.

Geram valor direto para o
cliente
Suporte
• Apoio aos processos
primários. Geram valor
indireto para o cliente
• Atividades interna da
Gerenciais organização. Server para

medir, monitorar e controlar
as atividades do processo
Módulo I
Melhor De acordo com o livro Foundations
As camadas da S.I Prática of Information Security
Para haver efetividade da Segurança Segurança

Organizacional
da Informação é necessário implementar
controles que busquem mitigar riscos,
Segurança
tais como: Física
▪ Políticas Segurança
▪ Processos lógica
▪ Procedimentos
▪ Estrutura organizacional
▪ Funções de hardware e software Sistema de
informações
Módulo I
O que é segurança da informação ?
É a Preservação da Confidencialidade, Integridade e

Disponibilidade de informação; Além disso, outras propriedades,
como autenticidade, responsabilidade, não repúdio e a
confiabilidade também pode estar envolvida.
Nota: Repúdio é outra palavra para negação, isenção de responsabilidade

22
Módulo I
O que é segurança da informação ? BEST

PRACTICE
De acordo com o livro Foundations
of Information Security
A Segurança da Informação envolve a definição,

implementação, manutenção e avaliação de um
sistema coerente de medidas que garantam a
Confidencialidade, Integridade e Disponibilidade do
fornecimento de informações (manual e
computadorizado)
23
Módulo I
Sistema de Informação e Tecnologia da Informação
Sistema de Informação # Tecnologia da Informação
• A transferência e o processamento de • O uso da tecnologia para

informações ocorrem através de um armazenamento, comunicação ou
Sistema de Informação processamento de informações
• Todo sistema cujo objetivo é transferir • A tecnologia normalmente inclui
informações computadores, telecomunicações,
• Exemplos de sistemas de informação aplicativos e outros softwares
são arquivos em arquivos, telefones • As informações podem incluir dados
celulares e impressoras comerciais, voz, imagens, vídeo, etc.
• No contexto da Segurança da • A tecnologia da informação é
Informação, um Sistema de frequentemente usada para dar suporte
Informação é a combinação a processos de negócios por meio de
completa de meios, procedimentos, serviços de TI.
regras e pessoas que garantem o
fornecimento de informações para
um processo operacional. BEST according to Foundations
PRACTICE 24
of Information Security and ITIL
Módulo I
Sistema de Informação
Melhor De acordo com o livro Foundations
Prática of Information Security
▪ É o processamento, armazenamento e
transferência de informações
▪ Não é necessariamente o mesmo que um
sistema de TI
▪ É notório que a informatização atinge
praticamente todas as empresas e que
raramente não utilizam um sistema de
TI (Tecnologia da Informação)
Módulo I
De acordo com o livro
Melhor
Sistema de Informação Prática
Foundations of Information
Security
Os 4 componentes de um S.I que garantem que as

informações estejam disponíveis para apoiar na tomada
de decisões estratégicas da organização
Meios Procedimentos
S.I.
Regras Pessoas
Módulo I
Valor da informação BEST

PRACTICE
• O valor da informação é determinado pelo valor que o

destinatário atribui a ele (usuário)
• 0.1 Antecedentes e contexto…. O valor da informação vai além das
palavras, números e imagens escritas: conhecimento, conceitos,
idéias e marcas são exemplos de formas intangíveis de informação.
Em um mundo interconectado, informações e processos, sistemas,
redes e pessoal relacionado a suas operações, manuseio e
proteção são ativos que, como outros ativos comerciais
importantes, são valiosos para os negócios de uma organização e,
consequentemente, merecem ou requerem proteção contra vários
perigos.
• 0.5 Considerações sobre o ciclo de vida .... O valor e os riscos
para os ativos podem variar durante sua vida útil ... a segurança da
informação permanece importante em certa medida em todos os
estágios ...
27
Módulo I
Valor da informação BEST

PRACTICE
• 6.2.1: A identificação dos riscos relacionados ao acesso de terceiros

deve levar em consideração os seguintes problemas: o valor e a
sensibilidade das informações envolvidas e sua importância para as
operações comerciais.
• 7.2.1: As informações devem ser classificadas em termos de valor,
requisitos legais, sensibilidade e criticidade para a organização
• 12.1.1: Os requisitos e controles de segurança devem refletir o
valor comercial dos ativos de informação envolvidos (consulte
também 7.2) e os possíveis danos aos negócios, que podem
resultar de uma falha ou ausência de segurança
• 8.2.1 Classificação das informações ... As informações devem ser
classificadas em termos de requisitos legais, valor, criticidade e
sensibilidade à divulgação ou modificação não autorizada
28
Módulo I
Informação como fator de produção BEST

PRACTICE
Os fatores de produção típicos de uma empresa ou organização são:

Capital
•Trabalho (Manual)
•Matéria Prima
Em Tecnologia da Informação, é comum considerar também a Informação como um

fator de produção:
•Empresas não podem existir sem informações

•Um armazém que perde as informações do cliente e do estoque normalmente não
seria capaz de operar sem ele
•Algumas empresas, como o escritório de um contador, bancos, empresas de
seguros, têm até Informações como seu único Produto / Serviço
29
Módulo I
Valor para os negócios

BEST De acordo com o ITIL
PRACTICE
A Segurança da informação fornece garantia

dos processos de negócios, aplicando os
controles de segurança apropriados em todas
as áreas da TI e gerenciando os riscos de TI, de
acordo com as diretrizes e processos e
gerenciamento de riscos corporativos e de
negócios.
30
Módulo I
Quem determina o valor da informação ?

Security
▪ Em regra, o valor da informação é

determinado pela importância que o
destinatário atribui a ela
▪ A informação é um ativo estratégico para as
organizações
Módulo I
▪ A informação é a base para a geração de

conhecimento e tomada de decisão
▪ Por isso é considerada um ativo muito
importante para as organizações
▪ Portanto, é muito importante que as
▪ informações sejam muito bem gerenciadas
Módulo I
A moeda do século XXI é a informação e as

informações que as empresas possuem sobre
seus processos, fornecedores e clientes é um
ativo estratégico
Como visto, ativos de uma empresa
representam tudo aquilo o que ela possui e
controla, sejam estes bens, créditos ou direitos,
tangíveis ou intangíveis
“O recurso mais valioso do mundo não é mais o

petróleo, mas sim os dados”. Esta frase foi
retirada de uma matéria publicada pela revista
The Economist em 2017
Módulo I
As 3 propriedades de confiabilidade da BEST

PRACTICE
informação
Para que uma informação seja considerada

confiável é mandatório que ela obedeça a 3
quesitos:
Confiden
cialidade
Confidencialidade
Integridade CONFIABILI
Disponibilidade DADE
Disponibi
Integridade
lidade
Módulo I
Confidencialidade BEST
PRACTICE
Confidencialidade é propriedade que limita

o acesso à informação somente às
entidades legítimas, ou seja, aquelas
autorizadas pelo proprietário da
informação.
É o grau em que o acesso à informação é
restrito a um grupo definido autorizado a
ter esse acesso. Isso também inclui
medidas para proteger a privacidade.
35
Módulo I
BEST De acordo com o livro Foundations

Medidas de Confidencialidade PRACTICE of Information Security
• O acesso à informação é concedido com base na necessidade de

conhecimento. Não é necessário, por exemplo, que um empregador
financeiro possa ver relatórios de discussões com o cliente
• Os funcionários tomam medidas para garantir que as informações não achem
o caminho para as pessoas que não precisam delas. Eles garantem, por
exemplo, que nenhum documento confidencial esteja sobre a mesa enquanto
estiverem fora (política clara da mesa)
• O gerenciamento de acesso lógico garante que pessoas ou processos não
autorizados não tenham acesso a sistemas, bancos de dados e programas
automatizados. Um usuário, por exemplo, não tem o direito de alterar as
configurações do PC
36
Módulo I
Medidas de Confidencialidade
BEST De acordo com o livro Foundations
PRACTICE of Information Security
• Uma segregação de funções deve ser criada entre a área de

desenvolvimento de sistema, a organização de
processamento e a organização do usuário. Um
desenvolvedor de sistema não pode, por exemplo, fazer
alterações nos salários
• Deve haver segregações rigorosas entre o ambiente de
desenvolvimento, o ambiente de teste e aceitação e o
ambiente de produção
• No processamento e uso de dados, são tomadas medidas
para garantir a privacidade do pessoal e de terceiros. O
departamento de Recursos Humanos (RH) possui, por
exemplo, sua própria unidade de rede que não é acessível a
outros departamentos
37
Módulo I
Medidas de Confidencialidade
A confidencialidade pode ser quebrada de várias formas, tais como:
• Um usuário não autorizado acessa um arquivo confidencial repassando ou não
esta informação a terceiro
• Um fornecedor divulga uma informação confidencial para um concorrente
quando deveria manter sigilo
• Um funcionário imprime ou tira foto de um documento sem que tenha
permissão para isso
• Uma das formas de tentar garantir a confidencialidade é implementar
políticas, processos e procedimentos
Módulo I
Integridade BEST
PRACTICE
• Integridade é a propriedade que garante que a informação

manipulada mantenha todas as características originais estabelecidas
pelo proprietário da informação durante seu ciclo de vida (nascimento,
manutenção e destruição).
• É o grau em que as informações estão atualizadas e sem erros
• As características da integridade são:
• A correção da informação
• A integridade das informações
39
Módulo I
BEST
Medidas de Integridade
• Alterações nos sistemas e dados são autorizadas. Por exemplo, um membro

da equipe insere um novo preço para um artigo no site e outro verifica a
exatidão desse preço antes de ser publicado
• Sempre que possível, são criados mecanismos que forçam as pessoas a
usar o termo correto. Por exemplo, um cliente sempre é chamado de
'cliente', o termo 'cliente' não pode ser inserido no banco de dados
• As ações dos usuários são registradas (registradas) para determinar quem
fez uma alteração nas informações.
• Ações vitais do sistema, por exemplo, a instalação de um novo software,
não podem ser executadas por apenas uma pessoa. Segregando deveres,
posições e autoridades, pelo menos duas pessoas serão necessárias para
realizar uma mudança que tenha grandes consequências
40
Módulo I
A integridade dos dados pode ser garantida em grande parte por

meio de técnicas de criptografia, que protegem as informações contra
acesso ou alteração não autorizada. Os princípios de política e
gerenciamento para criptografia podem ser definidos em um
documento de política separado
Existem mais 2 propriedades que buscam garantir a integridade:
Autenticidade: Garante que a informação é proveniente da fonte anunciada

e que não foi alvo de qualquer mutação desde sua origem até o seu destino
Final.
Não repúdio: É a propriedade visa garantir que o autor não negue ter criado e
assinado o documento
Módulo I
Disponibilidade BEST
PRACTICE
according to Foundations of
Information Security
Disponibilidade é o grau em que as informações estão

disponíveis para o usuário e para o sistema de informações que
está em operação no momento em que a organização exige
As características da disponibilidade são :
▪ Linhas de tempo: os sistemas de informação estão

disponíveis quando necessário
▪ Continuidade: a equipe pode continuar trabalhando em
caso de falha;
▪ Robustez: existe capacidade suficiente para permitir que
todo o pessoal do sistema trabalhe
42
Módulo I
Medidas de Disponibilidade BEST according to Foundations of

PRACTICE Information Security
• O gerenciamento e armazenamento de dados é tal que a chance de

perder a informações é mínima. Os dados são, por exemplo,
armazenados em um disco de rede e não no disco rígido do PC
• Os procedimentos de backup estão configurados. Os requisitos
regulamentares para quanto tempo os dados devem ser
armazenados são levados em consideração. O local do backup é
fisicamente separado da empresa, a fim de garantir a
disponibilidade em casos de emergência
• Procedimentos de emergência são estabelecidos para garantir que
as atividades possam retomar o mais rápido possível após uma
interrupção em grande escala
43
Módulo I
BEST according to Foundations of
Arquitetura de informação
• A Segurança da Informação está intimamente relacionada à arquitetura da

Informação
• A Arquitetura da Informação é o processo focado na configuração do
fornecimento de informações dentro de uma organização
• A Segurança da Informação pode ajudar a garantir que os requisitos de
fornecimento de informações definidos sejam cumpridos na Arquitetura
da Informação
• A arquitetura da informação concentra-se principalmente em perceber a
necessidade de informações de uma organização e a maneira pela qual
isso pode ser organizado. A Segurança da Informação pode apoiar esse
processo, garantindo a Confidencialidade, Integridade e Disponibilidade
das informações.
44
Módulo I
Processos operacionais e informações BEST according to Foundations of

PRACTICE
• Um Processo Operacional é o processo que está no coração do negócio

• Em um processo operacional, as pessoas trabalham em um produto ou
serviço para um cliente
• Um processo operacional possui os seguintes componentes principais:
entrada, atividades e saída
• Existem vários tipos de processos operacionais:
Processo Primário
Por exemplo. Fabricando uma bicicleta ou Gerenciando dinheiro
Processos norteadores
Por exemplo. Planejando a estratégia da empresa
45
Módulo I
Processos operacionais e informações BEST according to Foundations of

• As informações se tornaram um importante fator de produção na

realização de processos operacionais
• Um dos métodos para determinar o valor da informação é verificar o
papel da informação nos vários processos operacionais
• Cada Processo Operacional define requisitos específicos para o
fornecimento de informações
• Existem processos que dependem muito da disponibilidade de
informações
• Por exemplo. O site da empresa
• Outros processos são mais dependentes da absoluta exatidão das
informações
• Por exemplo. Os preços dos produtos
46
Módulo I
Análise da informação PRACTICE Information Security
• A Análise de informações fornece uma imagem clara de como uma

organização lida com as informações - como as informações "fluem" pela
organização. Por exemplo:
• Um hóspede se registra em um hotel através do site
• Essas informações são repassadas ao departamento de administração, que depois
aloca uma sala.
• A recepção sabe que o hóspede chegará hoje
• O departamento de limpeza sabe que o quarto deve estar limpo para a chegada do
hóspede
• Em todas essas etapas, é importante que as informações sejam confiáveis
• Os resultados de uma análise de informações podem ser usados para
projetar um sistema de informações
47
Módulo I
Gerenciamento de Informações PRACTICE Information Security
• O Gerenciamento de informações define e direciona a Política referente

ao fornecimento de informações de uma organização
• Dentro deste sistema, um gerenciador de Informação pode fazer uso da
Arquitetura da Informação e de uma Análise da Informação.
• O Gerenciamento de informações envolve muito mais do que o
processamento automatizado de informações realizado por uma
organização
• Em muitos casos, a comunicação externa e a comunicação com a mídia
fazem parte da estratégia de gerenciamento de informações
48
Módulo I
Informática
• O termo Informática refere-se à ciência da lógica usada na

estrutura de informações e sistemas
• É importante entender que a informática pode ser usada para
desenvolver programas
49
Módulo I
Atribuição (Assignment)
Quais informações são valiosas na sua organização?
50
Módulo I
O que aprendemos? BEST according to Foundations of

• As várias formas de informação e sistemas de informação

• O trio:
• Confidencialidade
• Integridade
• Disponibilidade
• Como a segurança da informação é importante para:
- Os processos operacionais
- A arquitetura da informação
- Gerenciamento de Informações
51
Módulo I
Simulado – 10 Questões
1) Qual a relação entre dados e informações?
A) Dados são informações estruturadas
B) Informações são o significado e o valor atribuídos a uma coleção de dados (correta)
2) Um hacker obtém acesso a um servidor Web e pode visualizar um arquivo no servidor que contém
números de cartão de crédito de clientes. Qual principio da confiabilidade da informação foi violado neste caso?
A) Disponibilidade
B) Confidencialidade (correta)
C) Integridade
3) Existe uma impressora de rede no corredor da empresa onde você trabalha. Muitos funcionários
não vão pegar suas impressões imediatamente e deixam o material na impressora. Quais são as consequências disto com relação à confiabilidade das informações?
A) A integridade das informações não pode mais ser garantida
B) A disponibilidade das informações não pode mais ser garantida
C) A confidencialidade das informações não pode mais ser garantida (Correta)
4) Um funcionário nega ter enviado uma mensagem específica que outra pessoa diz ter recebido deste funcionário. Qual o aspecto de confiabilidade da informação está
em risco aqui?
A) Disponibilidade
B) Exatidão
C) Integridade (correta)
D) Confidencialidade
5) Como se chama a etapa de “definir se a identidade de alguém é correta” no processo de concessão de acesso?
A) Autenticação (correta)
B) Autorização
C) Identificação
6) Uma empresa possui um sistema ERP para gestão de seus processos de negócio. Este sistema
coleta milhares de dados que são salvos em um banco de dados. Quando um gerente recebe um relatório de faturamento mensal, o que este relatório contém?
A) Dados
B) Dados e informações
C) Informações (correta)
7) Um comprador enviou para o seu fornecedor dados do seu cartão de crédito para fazer o
pagamento de uma fatura e no percurso estes dados foram capturados por um hacker. Quem determina o valor das informações do cartão de crédito?
A) Cada uma das partes determina o valor das informações de forma independente (correta)
B) A legislação sobre privacidade determina a pena e, portanto, o valor
C) O destinatário que pode usar os dados do cartão para fazer compras indevidas
D) O remente, que poderá ter prejuízo financeiro com o vazamento destas informações
8) Uma analista de PCP em uma fábrica precisa processar todo final do dia o cronograma de
produção para encaminhar para o gerente de produção que o utilizará no dia seguinte. Quais aspectos de confiabilidade das informações deste cronograma são mais importantes nesta situação?
A) Disponibilidade e confidencialidade
B) Confidencialidade e integridade
C) Continuidade e autenticidade
D) Integridade e disponibilidade (correta)
9) Quando um funcionário da área de contabilidade chega no trabalho quer acessar o sistema de

automatizado de contabilidade e quer que as informações estejam disponíveis. Qual é a definição MAIS adequada para disponibilidade?
A) O nível de capacidade do sistema é o suficiente para que vários usuários se conectem ao mesmo tempo
B) O nível de continuidade é garantido caso aconteça algum evento de desastre
C) O nível em que o sistema de informações está disponível para os usuários no momento em que eles precisam (correta)
D) O tempo total de funcionamento de um sistema de informações está acessível na rede
10) O conceito de confidencialidade tenta impedir a divulgação intencional ou não intencional do

conteúdo de uma mensagem. Qual dos seguintes é um exemplo de uma ameaça humana intencional?
A) Um funcionário destrói dados após ser demitido (correta)

B) Um funcionário esqueceu seu desktop desbloqueado durante o horário de intervalo
C) Um funcionário clicou sobre um link suspeito a partir de um e-mail de spam
D) Um funcionário criou uma senha muito fraca para acessar a rede
11) Qual é o nome do sistema que garante a coerência da segurança da informação na organização?
A) Sistema de Gestão de Segurança da Informação (SGSI) (correta)

B) Rootkit
C) Regulamentos de segurança para informações especiais do governo.
II - Ameaças e riscos
Módulo II
O que é uma ameaça?

É uma causa potencial de um incidente
indesejado, que pode resultar em danos a
um sistema ou organização
▪ As ameaças normalmente se aproveitam das
falhas de segurança da organização
▪ É um evento que pode comprometer a
confiabilidade da informação
▪ O agente de ameaça é a entidade que tira
vantagem de uma vulnerabilidade
O termo "Ameaça" não está definido na ISO / IEC 27002. Em vez disso, é definido na
norma ISO / IEC 27000: Visão Geral e Vocabulário
57
Módulo II
Alguns exemplos de ameaças:
▪ Invasão de um computador por um

hacker
▪ Engenharia Social
▪ Funcionário mal intencionado
▪ Queda de raio, inundação, incêndio
▪ Perda de dados
▪ Super aquecimento dos computadores
58
Módulo II
Tipos de ameaças Prática Foundations of Information

Security
As ameaças podem ser dividas

Ameaças
em humanas e não humanas
www.trainning.com.br Humanas
Não
humanas
O termo "Ameaça" não está definido na ISO / IEC 27002. Em vez disso, é definido
na norma ISO / IEC 27000: Visão Geral e Vocabulário
Módulo II
Tipos de ameaças Prática Foundations of Information

Security
A ameaça humana é causada por uma pessoa e pode ser :
Intencional: Quando a pessoa deseja causar o dano
Um exemplo desse tipo de ameaça é a engenharia social
Não intencional: Quando a pessoa NÃO deseja causar o dano

Um exemplo desse tipo de ameaça é apagar um banco de dados
por engano
Módulo II
Tipos de Ameaças Prática Foundations of Information

Security
A ameaça não humana tem uma causa que não é através de um

ser humano.
Um exemplo desse tipo de ameaça são fenômenos naturais, como
por exemplo, tempestades, queda de raio ou incêndio,
Módulo II
Tipos de Danos
Dano
Os danos são decorrentes das ameaças e
podem ser classificados de 2 formas:
Direto: Quando o resultado da ameaça
impacta de forma direta algum item de
configuração.
Direto Indireto
Exemplos:
Parara da rede por causa do ataque de
hacker, infecção por vírus que criptografa
os dados
Módulo II
Tipos de Danos
Dano
Indireto: Quando o resultado da ameaça
impacta de forma indireta algum item
de configuração.
Exemplos:
Direto Indireto
Danos provocados pela água de extintor
ou ar condicionado, perda de contrato
com cliente porque o banco de dados
ficou fora do ar após um ataque de
hackers
Módulo II
O ciclo da ameaça ao desastre
AMEAÇA
VULNERA
BILIDADE
PROBABI
LIDADE
POTENCIAL
IMPACTO
INCIDENTE DANO DESASTRE
Módulo II
Agente de
Ameaça ameaça
(hacker) (Invasão)
Vulnerabilidade
(Equipamentos)
O Risco é decorrente da probabilidade

do hacker invadir o servidor da empresa e obter
informações sigilosas
Hacker
Módulo II

Ameaça Prática Foundations of Information
Security
• Uma ameaça é uma potencial causa de um incidente não desejado,

o que pode resultar em prejuízo ao sistema ou à organização.
• No processo de Segurança da Informação, efeitos indesejados
(ameaças) devem ser são mapeados da melhor forma possível.
• A Segurança da Informação determina quais medidas de segurança
devem ser tomadas para evitar esses efeitos.
• A entidade que tira vantagem de uma vulnerabilidade é chamada de
agente ameaçador
• Exemplos: invasão do servidor, usuário mal intencionado, tornado
que destrói equipamentos
66
Módulo II

Vulnerabilidade Prática Foundations of Information
Security
• É uma fraqueza de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaças
• A vulnerabilidade caracteriza-se pela pela ausência ou fraqueza de
uma proteção que pode ser explorada
• Exemplos:
• Portas de firewall mal configuradas, ausência de política de senhas,

falta de instalação ou atualização de antivírus, falta de proteção
física aos equipamentos de TI da empresa
67
Módulo II

Riscos Prática Foundations of Information
Security
• “É a probabilidade de agente ameaçador tirar vantagem de uma

vulnerabilidade e o correspondente impacto nos negócios.”
• É o efeito da incerteza sobre os objetivos e geralmente é caracterizado
pela referência a possíveis eventos e consequências, ou uma
combinação deles.
• O risco de segurança da informação está associado ao potencial de que
as ameaças explorem as vulnerabilidades de um ativo ou grupo de
informações e, portanto, causem danos a uma organização.
• Exemplo:
• Portas do firewall mal configuradas
O termo "Risco" não está definido na ISO / IEC 27002. Em vez disso, é definido na
68
Módulo II

Gerenciamento de Risco Prática Foundations of Information
Security
• “É o processo de planejar, organizar, conduzir e controlar as atividadesde

uma organização visando minimizar os efeitos do risco sobre o capital e o
lucro de uma organização.”
• É um processo contínuo que se aplica a todos os aspectos dos
processos operacionais.
• O principal papel pelo gerenciamento de risco é exercido pelo CISO
(Chief Information Security Officer)
• Uma de suas principais responsabilidades é monitorar os riscos
• Está contemplado na ISO 27005
O termo "Risco" não está definido na ISO / IEC 27002. Em vez disso, é definido na
69
Módulo II
Gerenciamento de Risco
Definição do contexto
ANÁLISE / AVALIAÇÃO
Monitoramento e análise crítica

DE RISCOS
O objetivo do gerenciamento de risco ANÁLISE
Comunicação do risco
é reduzi-lo a um nível aceitável e não eliminá-lo. Identificação de riscos
Estimativa de riscos
A avaliação de risco deve identificar, quantificar e
priorizar os riscos de acordo com os critérios de Avaliação de riscos
aceitação do risco e objetivos relevantes para a Não

Ponto de decisão 1
organização Avaliação satisfatória ?
Sim
Tratamento de riscos
Não
Ponto de decisão 2
Tratamento satisfatório ?
Sim
Aceitação de riscos
70
Fonte ISO/IEC 27005
Módulo II
Avaliação Não
Gerenciamento de Risco Satisfatória ?
Sim
• As opções de tratamento de risco

são:
Opções de tratamento do risco
reduzir, reter, evitar e transferir
Reduzir Reter Evitar Transferir
Riscos residuais
71
Módulo II

Análise de risco Prática Foundations of Information
Security
• “É o processo de definir e analisar os perigos pelos quais indivíduos,

empresas e agências governamentais passam em decorrência de
potenciais efeitos adversos naturais ou causados pelo homem.”
• É a metodologia / processo para nos ajudar a adquirir uma visão /
compreensão dos riscos que uma organização está enfrentando e
precisa se proteger.
• Fornece a base para a avaliação de riscos e decisões sobre tratamento
de riscos.
Nota: Os riscos designam proprietários que também devem estar envolvidos na análise e nas
avaliações de riscos
73
Módulo II
Análise de risco PRACTICE Information Security
1. Identificar ativos e seu valor

2. Determinar vulnerabilidades e ameaças
3. Determinar o risco de que as ameaças se tornem realidade e
atrapalhem o processo operacional
4. Determinar um equilíbrio entre os custos de um incidente e os
custos de uma medida de segurança
Medidas de segurança são

rentáveis, oportunas e
Medidas de segurança são Medidas de segurança são
eficazes
muito rigorosas ineficazes
Módulo II
Análise de custo-benefício BEST

PRACTICE
• Parte do processo de Análise de Riscos de Segurança da Informação
• Pergunta:
• Um servidor custa US $ 100.000.
• As medidas de segurança da informação desse servidor custam
US $ 150.000.
• Conclusão: Nossas medidas de segurança da informação são muito

caras…
• Conclusão certa ou errada?
75
Módulo II
Definição do contexto
Análise de riscos
ANÁLISE / AVALIAÇÃO
Monitoramento e análise crítica

DE RISCOS
PROCESSO ANÁLISE DE RISCOS

Comunicação do risco
Identificação de riscos
Análise
Análise de
de riscos
riscos
Qualitativa Quantitativa
Avaliação de riscos
Não
Ponto de decisão 1 ▪ Visão subjetiva (intuitiva) ▪ Baseada em números e valores
Avaliação satisfatória ? ▪ Pode ser utilizado o “bom ▪ Busca calcular o valor da dano
Sim ▪ senso”, intuição e experiência
Tratamento de riscos
Não
Ponto de decisão 2
Tratamento satisfatório ?
Sim
Aceitação de riscos
Fonte ISO/IEC 27005

Módulo II
Análise de risco qualitativa
• Nesse tipo de análise os números e valores monetários não são

atribuídos a componentes e perdas
• Existem algumas técnicas que podem ser aplicadas como a Delphi,
brainstorming, storyboard, questionários e reuniões
• É preciso que a equipe possua conhecimento experiência das ameaças
que estão sendo avaliadas
• Esta análise produz uma visão subjetiva (intuitiva) de possíveis
ameaças procurando elaborar contramedidas no eventual caso de
ataque cibernético
77
Módulo II
• Com base em cenários e situações

• As chances de uma ameaça se tornar realidade são examinadas com base
em sentimentos
• A análise examina o processo operacional ao qual a ameaça se refere e as
medidas de segurança da informação que já foram tomadas
• Tudo isso leva a uma visão subjetiva das possíveis ameaças
• Medidas são tomadas posteriormente para minimizar o risco à segurança da
informação
• O melhor resultado é alcançado através da análise em uma sessão de grupo,
pois isso leva a uma discussão que evita a visão de uma única pessoa ou
departamento dominando a análise.
Módulo II
Módulo II
Análise de risco quantitativa PRACTICE Information Security
• Tem o objetivo de calcular, com base no impacto de risco, o nível do prejuízo

financeiro e a probabilidade de uma ameaça de se tornar um incidente
• Geralmente baseia-se em incidentes que já ocorreram
• O valor de cada elemento em todos os processos operacionais é determinado
• Esses valores podem ser compostos pelos custos das medidas de segurança
da informação e pelo valor da propriedade, incluindo itens como edifícios,
hardware, software, informações e impacto nos negócios
• O tempo decorrido até a ameaça aparecer, a eficácia das medidas de
segurança da informação e o risco de exploração de uma vulnerabilidade
também são elementos a serem considerados
• Uma análise de risco puramente quantitativa é praticamente impossível
80
Módulo II

Expectativas de perda Prática Foundations of Information
Security
• A análise quantitativa calcula as expectativas de perda com a finalidade de

apoiar na estratégia de risco
• Há 2 tipos de cálculo:
• A SLE que é uma quantidade atribuída a um único evento que representa
a perda potencial da empresa se uma ameaça especifica ocorrer
• SLE=Expectativa de Perda Única (Sigle Loss Expectancy)

• SLE=Valor do Ativo x Fator de exposição
• Ex.: Um servidor de arquivos no valor R$500.000,00 e porcentagem de perda de

25% em caso de incêndio. Calcule o SLE.
• SLE=R$500.000,00 x 0,25 = R$125.000,00
Módulo II

Expectativas de perda Prática Foundations of Information
Security
• A taxa de ocorrência anual é o valor que representa a frequência

estimada de ocorrência de uma ameaça específica dentro do período de
1 ano
• ALE = Taxa de Perda Anual (Annual Rate of Occurence – ARO)
• ALE = ARO x SLE
• Suponha que um ativo seja avaliado em US $ 100.000 e o fator de exposição
(EF) para esse ativo seja de 25%. A expectativa de perda única (SLE), então, é de
25% * $ 100.000, ou $ 25.000.
• A expectativa de perda anual é o produto da taxa de ocorrência anual (ARO) e a
expectativa de perda única. ALE = ARO * SLE
• Para uma taxa anual de ocorrência de 3, a expectativa de perda anualizada é de
3 * US$ 25.000 ou US$ 75.000
Módulo II
Ameaças, riscos e análise de risco

according to ITIL and CRAMM
BEST
(CCTA Risk Analysis and Management Method)
PRACTICE
Quando uma ameaça se materializa, surge um

risco para a organização.
Tanto a extensão da avaliação de
riscos quanto a gestão determinam
se é necessário tomar medidas Ativos Ameaças Vulnerabilidades
para minimizar o risco e o que elas
podem ser. Análise de
Risco
Riscos
Gerenciamento Contramedidas
De Risco
83
Módulo II
BEST according to
PRACTICE ITIL CRAMM
Avaliação de risco
• A Avaliação de Riscos deve incluir a abordagem sistemática de

estimar a magnitude dos Riscos (Análise de Riscos) e o processo
de comparação dos critérios de Riscos estimados contra Riscos
para determinar a significância dos Riscos (Avaliação de Riscos)
• Avaliação de Risco é a soma total da:
• Avaliação e avaliação de ativos

• Avaliação e avaliação de ameaças
• Avaliação de vulnerabilidade
• Avaliação de risco (ISO / IEC 27000)

• processo geral de identificação de riscos, análise e avaliação de riscos
84
Módulo II
Incidentes e desastres de segurança da informação

Incidente de Segurança da Informação PRACTICE Information Security
▪ Quando uma ameaça se manifesta

• Exemplo: um hacker consegue entrar na rede da
empresa
Desastre de segurança da informação

Um ou mais incidentes ameaça a continuidade da segurança da
informação da empresa
• Exemplo: um ou mais hackers excluem ou destroem

informações críticas Recursos de segurança, causando uma
grande perda de acesso às informações 85
Módulo II

Tipos de medidas de segurança PRACTI Information Security
CE
Medidas preventivas: Destinado a prevenir incidentes de segurança

Medidas Detectivas: Destinado a detectar incidentes de segurança
Medidas repressivas: Com o objetivo de interromper as consequências de
incidentes de segurança
Medidas corretivas: Com o objetivo de recuperar os danos causados por
Adquirir seguro: Destinado a comprar seguro contra certos incidentes de
segurança, porque a implementação das medidas
de segurança pode ser muito cara
86
Módulo II
Tipos de medidas de segurança

Prevenção
Incidente
Detecção Seguro Aceitação
Repressão
Recuperação
87
Módulo II
Tipos de ameaças BEST according to Foundations of

Humanas NÃO Humanas
Intencional Queda de raios
Não intencional Fogo
Hacking, danificando propriedades, Inundações
destruindo e-mails após serem demitidos Furacões
Exclusão de dados e confirmação descuidada Tornados
com OK Etc.
Engenharia social
Phishing: Enganar as pessoas a fornecer
voluntariamente informações confidenciais
88
Módulo II
Melhor De acordo com o livro Foundations of

Tipos de Danos Prática Information Security
Dano Direto Dano Indireto
“É a perda consequente que pode ocorrer”.
É o dano que geralmente tem impacto direto
São consequências que podem surgir, de
sobre o negócio quando uma ameaça se
forma indireta, após a ocorrência de uma
concretiza.
ameaça
Exemplo 1: Furto de um servidor de banco de
dados
Exemplo 1: Devido a um data center ser
Exemplo 2: Firewall queimado porque foi
inundado, nenhum Serviço de TI pode ser
atingido por um raio
fornecido, causando perda de receita para
os Negócios
Exemplo 2: Após apagar um incêndio o
banco de dados é destruído por causa
dos extintores
89
Módulo II
O que aprendemos ? PRACTICE Information Security
• Termos:
• Ameaças
• Riscos
• Medidas de segurança
• Análise de risco
• Avaliação de risco
• Os tipos de análise de riscos
• Os vários tipos de ameaças e como lidar com elas
• Os vários tipos de danos
• As estratégias de risco que temos disponíveis
• As medidas de segurança que se pode implementar
90
Módulo II
1) Um departamento administrativo vai determinar os riscos aos quais está exposto.
Como denominamos um possível evento que possa comprometer a confiabilidade da informação?
A) Dependência
B) Ameaça (correta)
C) Vulnerabilidade
D) Risco
2) Houve um incêndio em uma filial da companhia Midwest Insurance. Os bombeiros chegaram

rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a instalação. O servidor, entretanto, foi destruído pelo fogo. As fitas de segurança (backup) mantidas em outra sala derreteram
e muitos outros documentos foram perdidos definitivamente. Qual é um exemplo de dano indireto causado pelo incêndio?
A) Fitas de segurança (backup) derretidas

B) Sistemas de computação queimados
C) Documentos queimados
D) Danos provocados pela água dos extintores de incêndio (correta)
3) No ciclo de incidente há quatro etapas sucessivas. Qual é a etapa que sucede o incidente?
A) Ameaça
B) Dano (correta)
C) Recuperação
4) Há alguns anos você começou sua empresa, que já cresceu de 1 para 20 funcionários. As informações de sua empresa valem mais e mais e já passaram os dias em que você podia manter tudo em suas próprias
mãos. Você está ciente de que precisa tomar medidas, mas quais? Você contrata um consultor, que o aconselha a começar com uma análise de riscos qualitativa. O que é uma análise de riscos qualitativa?
A) Esta análise segue um cálculo preciso de probabilidade estatística a fim de calcular a exata perda causada pelo dano
B) Esta análise é baseada em cenários e situações e produz uma visão subjetiva de possíveis ameaças (correta)
5) Você precisa conduzir uma análise de riscos na sua empresa para determinar quais medidas terão que ser tomadas. Existem dois tipos de análise que podem ser feitas: qualitativa e quantitativa. De que consiste a
análise qualitativa de riscos?
A) Ela tem como objetivo calcular, baseando-se no impacto do risco, o nível do prejuízo financeiro e a probabilidade de uma ameaça se tornar um incidente
B) É baseada em cenários e situações; nesta abordagem, as chances de uma ameaça se

tornar realidade são examinadas com base em uma visão subjetiva (correta)
6) Existem dois grupos de análises de riscos: quantitativa e qualitativa. Qual o foco da análise quantitativa de riscos?
A) Calcular, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameça possa se tornar um incidente de segurança (correta)
B) Com base em cenários e situações, avaliar subjetivamente chances de uma ameaça se tornar real
C) Determinar probabilidade e impacto consultando consultores experientes no setor
D) Contabilizar a quantidade de riscos que poderiam ocorrer devido à manifestação de uma ameaça
7) O que é um exemplo de uma ameaça humana?
A) Um pen drive que passa vírus para a rede. (correta)

B) Muito pó na sala do servidor
C) Uma oscilação de energia que causa uma falha no fornecimento de eletricidade
8) O que é um exemplo de uma ameaça humana?
A) Um relâmpago
B) Fogo
C) Phishing (correta)
9) Danos diretos são perdas, prejuízos e estragos provocados diretamente pela manifestação de ameaças. Danos indiretos são perdas consequentes das ameaças que podem ocorrer. Qual dos exemplos abaixo é
um dano direto?
A) Roubo de computadores da empresa (correta)

B) Perda de um contrato com o cliente porque o pó do extintor de incêndio danificou um servidor de banco de dados
C) Perda de reputação no mercado devido ao vazamento de informações confidenciais
D) Redução nas vendas na loja virtual devido à notícia de que a empresa não cumpriu exigências legais
10) Danos resultantes da ocorrência das ameaças podem ser classificados em dois grupos: diretos e indiretos. Qual das seguintes alternativas é um exemplo de dano indireto?
A) Uma enchente danificou o escritório da empresa

B) Laptops de vendedores externos foram roubados
C) A empresa teve perda de vendas por conta de um ataque DDoS (de negação de serviço) que gerou indisponibilidade no website por 4 horas
D) Um servidor teve a fonte queimada porque o operador o ligou na voltagem errada
11) Existem dois grupos de análises de riscos: quantitativa e qualitativa. Qual o foco da análise quantitativa de riscos?
A) Calcular, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameça possa se tornar um incidente de segurança (correta)
B) Com base em cenários e situações, avaliar subjetivamente chances de uma ameaça se tornar real
C) Determinar probabilidade e impacto consultando consultores experientes no setor
D) Contabilizar a quantidade de riscos que poderiam ocorrer devido à manifestação de uma ameaça
III - Abordagem e Organização
Módulo III
Políticas de Segurança da Informação
5.1 Direção de gerenciamento para segurança da informação
Objetivo:
Fornecer orientação de gerenciamento e suporte à Segurança da
Informação, de acordo com os requisitos comerciais e as leis e
regulamentos relevantes
95
Módulo III
Políticas de Segurança da Informação
Conteúdo:
5.1.1 Políticas para segurança da informação
Um conjunto de políticas para segurança da informação deve ser
definido, aprovado pela gerência, publicado e comunicado aos
funcionários e partes externas relevantes.
5.1.2 Revisão das políticas de segurança da informação

As políticas de segurança da informação devem ser revisadas em
intervalos planejados ou se ocorrerem alterações significativas
para garantir sua adequação, adequação e eficácia contínuas.
96
Módulo III
Políticas de Segurança da Informação PRACTICE Information Security
• Por meio de uma política de segurança da informação, a gerência

fornece orientação e apoio à organização
• Esta política deve ser redigida de acordo com os requisitos
comerciais, bem como a legislação e os regulamentos relevantes
• A Política de Segurança da Informação deve ser aprovada pelo
Conselho de Administração e publicada para todos os funcionários e
todas as partes externas relevantes, como Clientes e Fornecedores
Publicando a política
97
Módulo III
PRACTICE
Políticas de Segurança da Informação Information Security
Conteúdo
• Regulamentos
• Um regulamento é mais detalhado que um documento de política.
• Procedimentos
• Descreve em detalhes como determinadas medidas devem ser
executadas e, às vezes, pode incluir as Instruções de Trabalho.
• Diretrizes
• Fornecer orientação:
• Descreva quais aspectos devem ser examinados com aspectos
específicos de segurança
• As diretrizes não são obrigatórias, mas são de natureza consultiva.
• Padrões
• Por exemplo: a configuração padrão de plataformas específicas.
98
Módulo III
Políticas de Segurança da Informação BEST according to ITIL

PRACTICE
• O objetivo geral da Segurança de TI é 'Segurança balanceada em

profundidade', com controles justificáveis implementados para garantir que
a Política de Segurança da Informação seja aplicada e que os Serviços de TI
continuados dentro dos parâmetros de Segurança (ou seja,
Confidencialidade, Integridade e Disponibilidade) continuem operando
• Para muitas organizações, a abordagem adotada para a Segurança de TI é
coberta por uma Política de Segurança da Informação pertencente e
mantida pelo Gerenciamento de Segurança da Informação
• Na execução da Política de Segurança, o Gerenciamento de Disponibilidade
desempenha um papel importante em sua operação para novos Serviços
de TI
99
Módulo III
Políticas de Segurança da Informação BEST

PRACTICE
according to
ITIL
• O processo de Gerenciamento de Segurança da Informação (ISM) deve

ser o ponto focal de todos os problemas de Segurança de TI e deve garantir
que uma Política de Segurança da Informação seja produzida, mantida e
aplicada para cobrir o uso e uso indevido de todos os sistemas e serviços
de TI
• O ISM precisa entender o ambiente total de TI e Segurança de negócios,
incluindo:
• Política e planos de segurança comercial

• Operação comercial atual e seus requisitos de segurança
• Planos e requisitos de negócios futuros
• Requisitos legislativos
• Obrigações e responsabilidades com relação à segurança contidas nos SLAs
• Os riscos empresariais e de TI e sua gestão
100
Módulo III
Políticas de Segurança da Informação BEST according to ITIL

PRACTICE
• A Política de Segurança da Informação consiste em:
• Uma política geral de segurança da informação
• Política de uso e uso indevido de ativos de TI
• Uma política de controle de acesso
• Uma política de controle de senha
• Uma diretiva de email
• Uma política da Internet
• Uma política antivírus
• Uma política de classificação de informações
• Uma política de classificação de documentos
• Uma política de acesso remoto
• Uma política referente ao acesso do fornecedor a serviços, informações e
componentes de TI
• Uma política de alienação de ativos
101
Módulo III
Organização de Segurança da Informação
Objetivos da organização interna:
6.1 Organização interna
Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e
operação da segurança da informação dentro da organização.
6.2 Dispositivos móveis e teletrabalho

Garantir a segurança do trabalho remoto e do uso de dispositivos móveis.
102
Módulo III

Conteúdo interno da organização:
6.1.1 Funções e responsabilidades de segurança da informação
▪ Todas as responsabilidades de segurança da informação devem ser definidas e alocadas.
6.1.2 Segregação de funções
▪ Deveres e áreas de responsabilidade conflitantes devem ser segregados para reduzir as oportunidades de
modificação não autorizada ou não intencional ou uso indevido dos ativos da organização.
6.1.3 Contato com autoridades

▪ Devem ser mantidos contatos adequados com as autoridades relevantes.
6.1.4 Contato com grupos de interesse especiais

▪ Contatos adequados com grupos de interesses especiais ou outros fóruns de segurança especializados e
profissionais
▪ associações devem ser mantidas.
103
Módulo III

Conteúdo da organização interna (continuação):
• 6.1.5 Segurança da informação no gerenciamento de projetos

•A segurança da informação deve ser abordada no gerenciamento do
projeto, independentemente do tipo do projeto.
• 6.2.1 Política de dispositivo móvel
•Uma política e medidas de segurança de suporte devem ser adotadas
para gerenciar os riscos introduzidos pelo uso de dispositivos móveis.
• 6.2.2 Teletrabalho (Trabalho Remoto)

•Uma política e medidas de segurança de apoio devem ser implementadas
para proteger as informações acessadas, processadas ou armazenadas em
locais de teletrabalho.
104
Módulo III

Conteúdo
• Sem segurança efetiva das informações, não é possível que uma organização
sobreviva
• Todos na organização devem aceitar isso e o conselho de administração e a
gerência devem agir como exemplos
• Somente quando a gerência apoia sua própria Política, os funcionários levam a
sério a Segurança da Informação e, assim, trabalham para cumprir as medidas.
• Segurança da Informação é um processo no qual muitas pessoas estão
envolvidas
• O processo precisa ser controlado efetivamente
• Se não houver responsabilidade ou gerenciamento, a Segurança da informação
não será eficaz 105
Módulo III

BEST according to
PRACTICE Foundations of Information
Security
Conteúdo (Continuação)
• A maneira pela qual a Segurança da Informação é gerenciada depende do
tamanho e da natureza da organização
• Em pequenas organizações, a Segurança da Informação pode ser apenas uma
das responsabilidades de várias pessoas
• Uma pessoa que trabalha por conta própria e sem funcionários é responsável por
todos os aspectos da TI, incluindo Segurança
• Por outro lado, em grandes organizações, haverá pessoal cuja única
responsabilidade é um aspecto particular da Segurança da Informação
• No processo de Segurança da Informação, é necessário realizar consultas
periódicas entre todos aqueles com responsabilidade primária
106
Módulo III

Organização de Segurança da Informação PRACTICE Information Security
Conteúdo (continuação)
• Além dos agentes de Segurança da Informação, também podem ser
responsáveis pela implementação de determinadas medidas
• Preferencialmente, são pessoas que trabalham nos departamentos de
Recursos Humanos, Informação, Finanças, Contabilidade ou
Acomodação
107
Módulo III
Funções BEST
PRACTICE
As funções de segurança da informação podem variar no título que recebem,

mas mais ou menos se resumem ao seguinte:
CISO (Chief Information Security Officer) está no mais alto nível de gerenciamento da
organização e desenvolve a estratégia geral para todo o negócio
Oficial de Segurança da Informação (ISO) desenvolve a política de uma unidade de
negócios com base na política da empresa e garante que ela seja observada
Information Security Manager (ISM) desenvolve a Política de Segurança da Informação na
organização de TI e garante que isso seja observado
Além dessas funções voltadas especificamente para a segurança da informação, uma
organização pode ter um Diretor de Política de Segurança da Informação ou um Oficial de
Proteção de Dados
108
Módulo III
BEST
Funções PRACTICE
according to ITIL
O Gerente de Segurança:
O Gerente de Segurança é responsável por garantir que os objetivos de Segurança da Informação
Gerenciamento são atendidos, como:
Desenvolvendo e mantendo a Política de Segurança da Informação
• Comunicação e divulgação da Política de Segurança da Informação
• Garantir que a Política de Segurança da Informação seja aplicada e respeitada
• Identificação e classificação de ativos de TI e informações e o nível de controle e proteção necessário
• Assistência com análises de impacto nos negócios
• Executando análise de risco de segurança e gerenciamento de risco
• Projetando controles de segurança e desenvolvendo planos de segurança
• Desenvolvimento e documentação de procedimentos para operação e manutenção de controles de segurança
• Monitorar e gerenciar todas as violações de segurança e lidar com incidentes de segurança
109
Módulo III
BEST according to ITIL

Funções PRACTICE
O gerente de segurança é responsável por (cont’d):
• Regar relatórios, análise e redução do impacto e volumes de todos os incidentes de segurança

• Promoção da educação e conscientização da segurança
• Manter um conjunto de controles e documentação de segurança e revisar e auditar regularmente
controles e procedimentos de segurança
• Garantir que todas as alterações sejam avaliadas quanto ao impacto em todos os aspectos de
segurança, incluindo a Política de Segurança da Informação e os controles de segurança, e
participando de reuniões do CAB quando apropriado
• Executando testes de segurança
• Participar de quaisquer análises de segurança decorrentes de violações de segurança e instigar ações
corretivas
• Garantir que a confidencialidade, integridade e disponibilidade dos serviços sejam mantidas nos
níveis acordados nos SLAs e que estejam em conformidade com todos os requisitos legais relevantes
• Garantir que todo o acesso aos serviços por parceiros e fornecedores externos esteja sujeito a
acordos e responsabilidades contratuais
• Atuando como ponto focal para todos os problemas de segurança
110
Módulo III
Segurança de Recursos Humanos
Objetivos:
• 7.1 Antes do emprego garantir que funcionários e contratados compreendam suas

responsabilidades e sejam adequados para as funções para as quais são
contratados.
• 7.2 Durante o emprego Garantir que funcionários e contratados estejam cientes e

cumpram suas responsabilidades de segurança da informação.
• 7.3 Rescisão e mudança de emprego Proteger os interesses da organização como

parte do processo de mudança ou rescisão de emprego.
111
Módulo III
Segurança de Recursos Humanos

Conteúdo:
• 7.1.1 Triagem As verificações de antecedentes em todos os candidatos a emprego devem ser
realizadas de acordo com as leis, regulamentos e ética relevantes e devem ser proporcionais aos
requisitos de negócios, à classificação das informações a serem acessadas e aos riscos percebidos.
• 7.1.2 Termos e condições de emprego Os acordos contratuais com funcionários e contratados devem
indicar suas responsabilidades e a da organização pela segurança da informação.
• 7.2.1 Responsabilidades da gerência A gerência deve exigir que todos os funcionários e contratados
apliquem a segurança das informações de acordo com as políticas e procedimentos estabelecidos da
organização.
• 7.2.2 Conscientização, educação e treinamento em segurança da informação Todos os funcionários da
organização e, quando pertinente, contratados devem receber educação e treinamento em
conscientização apropriados e atualizações regulares nas políticas e procedimentos organizacionais,
conforme relevantes para o seu cargo.
• 7.2.3 Processo disciplinar Deve haver um processo disciplinar formal e comunicado para tomar
medidas contra funcionários que cometeram uma violação da segurança da informação.
• 7.3.1 Rescisão ou mudança de responsabilidades no emprego As responsabilidades e os deveres de
segurança da informação que permanecem válidos após o término ou a mudança de emprego devem
ser definidos, comunicados ao empregado ou contratado e cumpridos 112
Módulo III

Segurança de Recursos Humanos PRACTICE Information Security
• Todo o pessoal é responsável pela segurança da informação. Essa responsabilidade

deve ser esclarecida no contrato de trabalho.
• O manual da equipe deve conter um código de conduta e as sanções impostas em
caso de não conformidade e se houver incidentes como resultado. O código de
conduta pode indicar, por exemplo, que emails particulares não são permitidos.
• O gerente é responsável pelas descrições corretas das funções e, portanto, também é
responsável pelos vários aspectos relacionados ao tratamento de informações nos
vários cargos
• Para uma posição que envolve confidencialidade, essa confidencialidade pode ter que
ser observada mesmo após o término do emprego. O gerente é responsável por
documentar regras especiais para posições específicas. Em todos os casos, todo o
pessoal com uma posição que envolva confidencialidade deve assinar um Acordo de
Não Divulgação (NDA).
• Também é geralmente o caso em que esse pessoal deve enviar um certificado de bom
caráter ou concordar com uma verificação de antecedentes
113
Módulo III

Código de Conduta PRACTICE Information Security
•O Manual do Funcionário deve conter um Código de Conduta e as sanções

impostas em caso de não conformidade e se ocorrerem Incidentes de Segurança
como resultado
• O Código de Conduta pode indicar:
Que e-mails pessoais não são permitidos
Os registros de funcionários podem conter informações como perfil do trabalho, contrato de
trabalho e vários acordos assinados
Que, para o uso de e-mail, declara-se entender e ter a intenção de observar a legislação (por
exemplo, na área de proteção de dados e crimes informáticos), bem como aderir ao Acordo
de Não Divulgação
Que uma campanha de conscientização conscientize os funcionários sobre ameaças à
segurança, como malware, phishing e spam
Que terceiros atendam aos requisitos de segurança da informação
Que é permitido o uso de telefone, email e Internet para fins pessoais, desde que o trabalho
não sofra conseqüência;
É explicitamente proibido baixar músicas, filmes e software e visitar sites com orientação
sexual.
114
Módulo III
Propriedade
6.2.1 Política de dispositivo móvel
…
Diretrizes de implementação
• Onde a política de dispositivos móveis permite o uso de dispositivos móveis de
propriedade privada, a política e as medidas de segurança relacionadas também devem
considerar:
• a) separação do uso privado e comercial dos dispositivos, incluindo o uso de software
para suportar essa separação e proteger os dados comerciais em um dispositivo privado;
• b) fornecer acesso às informações comerciais somente após os usuários assinarem um
contrato de usuário final reconhecendo suas funções (proteção física, atualização de
software etc.), renunciar à propriedade dos dados comerciais, permitindo a limpeza
remota de dados pela organização em caso de roubo ou perda do dispositivo ou
quando não estiver mais autorizado a usar o serviço. Esta política precisa levar em conta
a legislação de privacidade. 115
Módulo III
Propriedade
8.1.1 Inventário de ativos
• Para cada um dos ativos identificados, a propriedade do ativo deve ser atribuída e a
classificação deve ser identificada….
8.1.2 Propriedade dos ativos
Controle
• Os ativos mantidos no inventário devem ser de propriedade.
• Um processo para garantir a atribuição oportuna da propriedade de ativos geralmente é
implementado. A propriedade deve ser atribuída quando ativos são criados ou quando
ativos são transferidos para a organização. O proprietário do ativo deve ser responsável
pelo gerenciamento adequado de um ativo durante todo o ciclo de vida do ativo
116
Módulo III

Propriedade PRACTICE Information Security
• Os ativos de negócios devem ser classificados para poder definir níveis de

segurança para eles. Esta é da responsabilidade do Proprietário
• Cada ativo deve ter um proprietário e deve ser registrado
• As informações registradas sobre o ativo comercial são:
• O tipo de ativo de negócios
• Proprietário
• Localização
• Formato
• Classificação
• Valor para o negócio
• O Proprietário é a pessoa responsável por um Processo de Negócios,
subprocesso ou Atividade de Negócios e cuida de todos os aspectos do Ativo de
Negócios, incluindo Segurança, gerenciamento, produção e desenvolvimento
117
Módulo III

• O proprietário é a pessoa responsável por um ativo comercial. Uma pasta na rede pode,
por exemplo, ter um proprietário. Se alguém quiser ter acesso a essa pasta, o proprietário
terá que dar permissão
• Nos laptops, o usuário geralmente é registrado como proprietário
• O Proprietário de um Ativo Comercial atribui uma classificação apropriada de acordo
com uma lista acordada de classificações. A classificação:
• Indica o nível de segurança necessário. Isso é determinado em parte pela

sensibilidade, valor, requisitos estatutários e importância para a organização
•Está de acordo com a maneira pela qual o ativo comercial é usado no negócio.
•O proprietário do ativo comercial deve garantir que ele seja reclassificado, se
necessário
•Só pode ser baixado pelo proprietário
• Se um ativo tiver uma classificação, receberá uma marca ou rótulo.
•Isso pode ser colocado fisicamente e visivelmente
118
Módulo III
• O Proprietário determina quem tem acesso aos Ativos Comerciais

especialmente designados
• A classificação de um ativo de negócios também determina como ele pode
ser armazenado fisicamente
• O Proprietário dos Dados, geralmente um gerente, é a pessoa que autoriza o
acesso durante o processo de autorização. Essa autorização pode ser
processada automaticamente por software ou pode ser concedida pelo
gerente do sistema / aplicativo
119
Módulo III
Incidentes de segurança da informação

Um incidente de segurança da informação é indicado por um único ou uma
série de eventos indesejados ou inesperados de segurança da informação
que têm uma probabilidade significativa de comprometer a operação
comercial e ameaçar a segurança da informação
Módulo III
Gerenciamento de incidentes de segurança da informação
Objetivo:
16.1 Gerenciamento de incidentes e melhorias na segurança da
informação
• Garantir uma abordagem consistente e eficaz ao gerenciamento de
incidentes de segurança da informação, incluindo comunicação sobre
eventos e pontos fracos de segurança
121
Módulo III
Incidentes de segurança
• Exemplos
• Controle de segurança ineficaz
• Violação das expectativas de integridade, confidencialidade ou
disponibilidade das informações
• Erros humanos
• Não conformidades com políticas ou diretrizes
• Violações de acordos de segurança física
• Alterações não controladas do sistema
• Mau funcionamento de software ou hardware
• Violações de acesso.
122
Módulo III
Relatórios de incidentes de segurança BEST

PRACTICE
• Um formulário de relatório de incidentes deve, no mínimo, permitir que as seguintes

informações sejam inseridas:
• Data e hora
• Nome da pessoa que está relatando
• Localização (onde está o incidente?)
• Qual é o problema? (descrição do incidente: incidente com vírus, roubo, invasão, perda de
dados etc.)
• Qual é o efeito do incidente?
• Como foi descoberto?
• E, se possível, as seguintes áreas:
• Tipo de sistema (desktop, impressora, servidor, servidor de correio etc.)

• Número do sistema / nome do sistema (se houver)
• Quem mais foi informado?
123
Módulo III
Consequências de NÃO reportar incidentes BEST

PRACTICE
• Funcionários, funcionários temporários e usuários externos devem estar cientes

dos procedimentos para relatar os vários tipos de incidentes e pontos fracos que
podem influenciar a confiabilidade das informações e a segurança dos ativos
comerciais
• Eles devem relatar todos os incidentes e pontos fracos o mais rápido possível ao
Service Desk ou a uma pessoa de contato.
• Dois assuntos são de grande importância e precisam ser esclarecidos pela gerência:
Relatar incidentes de segurança é principalmente uma maneira de

aprender com eles, a fim de evitar que incidentes semelhantes ocorram
novamente
A denúncia de um incidente não se destina a ser uma forma de punir o
autor desse incidente
124
Módulo III
Consequências de NÃO reportar incidentes BEST

PRACTICE
• No entanto, se um funcionário intencionalmente sabotar um sistema de

informação, vazar informações ou causar danos, ele ou ela deverão ser
denunciados à polícia
• É importante que as pessoas não tenham medo de denunciar um Incidente por
medo da resposta da Gerência ou que não queiram ser vistas como
reveladoras.
• O processo também deve garantir que a pessoa que relata um incidente de
segurança da informação seja informada dos resultados depois de ter sido
tratada.
125
Processo genérico de gerenciamento de incidentes
BEST according to ITIL
PRACTICE
Incident Control
Detection & Registration
Classification & Assignment
Yes Service
Ownership, Service
Request
monitoring, Request
Procedure
tracking,
and No
communication No Investigation
Investigation & Diagnosis Match? and
diagnosis
Yes No
Resolution & Recovery Match?
Yes
Closure
126
Módulo III
Escalonamento de incidentes BEST

PRACTICE
according to ITIL
Existem 2 tipos de
escalonamento de incidentes:
Gerente de TI
Vertical: O incidente pode ser
escalonado para o
coordenador ou gerente
Coordenador
de Sistemas
Coordenador
de Banco de
Dados
quando se tratar de assunto

crítico. Desenvolvedor Tester DBA Arquiteto
Funcional: Os incidentes são

escalonados para grupos com
conhecimentos mais
específicos sobre o assunto
Módulo III
Prática Information Security
Ciclo de incidentes Tipo de medida Ciclo de vida do incidente
• O ciclo de vida do incidente Redutiva Ameaça

possui 4 fases: ameaça,
incidente, dano e recuperação Preventiva
• Para cada incidente gerado são
possíveis 6 tipos de medidas: Detectiva Incidente
• Redutiva, preventiva,detectiva,
repressiva, corretiva e avaliativa Repressiva
• As medidas devem ser tomadas Dano
com base no CID da organização
• É muito importante que todos os
incidentes sejam registrados e
que as evidências sejam Corretiva Recuperação
armazenadas para fins de
melhoria ou auditoria.
Avaliativa
Módulo III
O que aprendemos?
• Os objetivos e o conteúdo da Política de Segurança da Informação

• Os objetivos e o conteúdo da Organização de Segurança da Informação
• O Código de Conduta, Propriedade e Funções e Responsabilidades com
relação à Segurança da Informação
• O gerenciamento de incidentes de segurança da informação
129
1) Um incidente de segurança relacionado com um servidor Web é relatado a um funcionário do helpdesk. Sua colega tem mais experiência em servidores Web, então ele transfere o caso para ela. Qual termo
descreve essa transferência?
A) Escalonamento funcional (correta)

B) Escalonamento hierárquico
2) Se o funcionário da helpdesk não está habilitado a lidar com um incidente devido à falta de
conhecimento técnico, este incidente pode ser repassado para outro funcionário com mais experiência para resolver a questão. Isto é chamado de: [Código de referência: 3534]
A) Escalação funcional (correta)
B) Escalação hierárquica
3) Ao lidar com um incidente, o help desk pode fazer uma escalação hierárquica. Qual exemplo
abaixo descreve uma escalação hierárquica?
A) Encaminhar uma falha de segurança em um determinado aplicativo para o fornecedor do
aplicativo
B) Notificar o Gerente de Segurança da informação que há uma incoerência na política de acessos
C) Notificar um gerente a respeito de um comportamento suspeito de um colega (correta)
4) Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde. Os

funcionários são transferidos para escritórios vizinhos para continuar seu trabalho pois este era um plano previamente definido caso acontecesse este tipo de desastre. No ciclo de vida do incidente, onde são
encontrados os acordos stand-by (plano de contingência)?
A) Entre a ameaça e o incidente

B) Entre a recuperação e a ameaça
C) Entre os danos e a recuperação (correta)
D) Entre o incidente e os danos
5) Uma funcionária de uma companhia de seguros descobre que a data de validade de uma política
foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela relata este incidente de segurança ao helpdesk. O atendente do helpdesk registra as seguintes informações sobre este incidente:
- data e hora
- descrição do incidente
- possíveis consequências do incidente
Qual a informação mais importante sobre o incidente está faltando acima?
A) O nome da pessoa que reportou o incidente (correta)

B) O nome do pacote de software
C) O número do PC
D) Uma lista de pessoas que foram informadas sobre o incidente
6) No ciclo de incidente há quatro etapas sucessivas. Qual é a etapa que sucede o incidente?
A) Ameaça
B) Dano (correta)
C) Recuperação
6) Qual é o termo usado para designar a causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização?
A) Evento
B) Ameaça (correta)
C) Incidente
D) Vulnerabilidade
7) Em uma avaliação de riscos identificamos além da ameaça o agente da ameaça. De que forma definimos este agente da ameaça?
A) A entidade que tira vantagem de uma vulnerabilidade (correta)
B) Pessoas que roubam informações
C) Danos causados pela ameaça
8) Qual das seguintes opções a seguir é um exemplo de ameaça?

A) Brechas de segurança de autenticação no portal
B) Falta de certificado SSL na loja virtual
C) Divulgação de dados pessoais de clientes por conta de um hacker ter invadido o sistema (correta)
D) Antivírus desatualizado no servidor
9) Você trabalha em uma instituição bancária e percebe que tem acesso a informações confidenciais de determinados clientes que não deveria conseguir acessar. Você reporta isto como um incidente de
segurança para a central de serviços e o ciclo de incidente é iniciado. Depois da fase de ocorrência do incidente, o que ocorre na sequência?
A) Ameaça
B) Dano (correta)
C) Recuperação
10) O gerenciamento de riscos é um processo contínuo que se aplica a todos os aspectos dos processos operacionais. Em grandes organizações, a função de acompanhar este processo é realizada por
um especialista em segurança da informação. Qual função representa o mais alto nível hierárquico na segurança da informação de uma organização?
A) Diretor Principal de Segurança da Informação (Chief Information Security Officer - CISO) (correta)
B) Gerente de Segurança da Informação (Information Security Officer - ISM)
C) Gestor de Segurança da Informação (Information Security Manager- ISO)
IV - Medidas
Assignment
O que podemos fazer para prevenir ou reduzir os danos?
134
Módulo IV
Tipos de medidas de segurança

Prevenção
Incidente
Detecção Seguro Aceitação
Repressão
Recuperação
135
Módulo IV
Contramedidas para mitigar risco BEST according to Foundations of

Contramedidas preventivas: Visam prevenir incidentes de segurança

Contramedidas redutivas: Visam diminuir a probabilidade de uma
ameaça ocorrer
Contramedidas detectivas: Visam detectar incidentes de segurança
Contramedidas repressivas: Visam interromper as consequências de
Contramedidas corretivas: Visam recuperar os danos causados por
Aceitação: Visa aceitar o risco, geralmente adquire-se um seguro contra
certos incidentes de segurança, uma vez que a implementação das
medidas de segurança pode ser muito cara
136
Módulo IV
Medidas preventivas BEST

PRACTICE
Medidas preventivas
Destinadas a prevenir incidentes de segurança
•
• Exemplos:
• Interrompendo a conexão com a Internet
• Fazendo uma prova de bala da porta do cockpit
• Colocar informações confidenciais em um local
segurob
137
Módulo IV

Medidas detectivas PRACTICE Information Security
• Destinadas a detectar incidentes de segurança
• Exemplos:
• Vigilância por vídeo com adesivos nas janelas informando as
pessoas que estão sendo monitoradas
• Informar as pessoas que o uso da Internet está sendo
monitorado dissuadirá muitos funcionários de atividades
impróprias de navegação na Internet
138
Módulo IV
Medidas repressivas PRACTICE Information Security
Possuem o objetivo de interromper as consequências de incidentes de

segurança
• Exemplos:
• Apagando um pequeno incêndio
• Fazendo um backup
• Um arranjo de espera
139
Módulo IV
Medidas corretivas
Com o objetivo de recuperar os danos causados por incidentes de

segurança
• Exemplos:
• Ao criar um novo banco de dados, um banco de dados
existente foi substituído; a idade do backup desse banco de
dados determinará quanto esforço de recuperação precisará
ser feito
140
Módulo IV

Aceitação PRACTICE Information Security
Visa aceitar o risco, podendo adquirir um seguro contra certos incidentes de

segurança se a implementação das medidas de segurança for muito cara.
• Exemplos:
• Seguro contra fogo
• Colocando cópias de informações importantes em um local diferente
141
Módulo IV
Exercício
Categorize suas medidas:
Medidas preventivas
Medidas detectivas
Medidas repressivas
Medidas corretivas
Adquirir seguro
142
Módulo IV
Classificação da informação
Objetivo Garantir que as informações recebam um nível adequado de proteção, de
acordo com sua importância para a organização.
Conteúdo
8.2.1 A classificação das informações deve ser classificada em termos de
requisitos legais, valor, criticidade e sensibilidade à divulgação ou modificação
não autorizada.
8.2.2 Rotulagem de informações Um conjunto apropriado de procedimentos

para rotulagem de informações deve ser desenvolvido e implementado de
acordo com o esquema de classificação de informações adotado pela
organização.
8.2.3 Manuseio de ativos Os procedimentos para manuseio de ativos devem

ser desenvolvidos e implementados de acordo com o esquema de classificação
de informações adotado pela organização.
143
Módulo IV
Classificação da informação na prática
• A classificação dada às informações é uma maneira rápida de determinar como essas

informações devem ser tratadas e protegidas.
• Para cada nível de classificação, devem ser definidos procedimentos de manuseio, incluindo
processamento, armazenamento, transmissão, desclassificação e destruição seguros. Isso
também deve incluir os procedimentos para cadeia de custódia e registro de qualquer evento
relevante de segurança
• A rotulagem (tagueamento) e o manuseio seguro de informações classificadas são um
requisito essencial para acordos de compartilhamento de informações
• Rótulos físicos são uma forma comum de rotulagem
• No entanto, documentos eletrônicos exigem que um meio eletrônico de rotulagem que
precise ser usado; por exemplo. uma mensagem de notificação na tela
144
Módulo IV
Classificação da informação na prática Prática Information Security
CLASSIFICAÇÃO DA INFORMAÇÃO
• Usada para definir diferentes níveis de sensibilidade na qual a informação deve ser
estruturada
CLASSIFICAR
• É o ato de atribuir a classificação apropriada, como por exemplo, sigiloso, confidencial ou
público
DESIGNAR
• Forma especial de categorizar a informação, por exemplo, assunto ou grupo de pessoas
autorizadas
PROPRIETÁRIO
• É a cada encarregada de um ativo de negócio
145
Módulo IV
Segurança física
11.1 Áreas seguras
Objetivo:
Para impedir o acesso físico não autorizado, danos e interferência nas informações e
instalações de processamento de informações da organização.
Conteúdo
11.1.1 Perímetro de segurança física

11.1.2 Controles físicos de entrada
11.1.3 Protegendo escritórios, salas e instalações
11.1.4 Proteção contra ameaças externas e ambientais
11.1.5 Trabalhando em áreas seguras
11.1.6 Áreas de entrega e carregamento 146
Módulo IV
Segurança física
11.2 Equipamento
Objetivo:
Para evitar perda, dano, roubo ou comprometimento de ativos e interrupção das
operações da organização.
Conteúdo:
11.2.1 Localização e proteção do equipamento
11.2.2 Utilitários de suporte
11.2.3 Segurança de cabeamento
11.2.4 Manutenção de equipamentos.
11.2.5 Remoção de ativos
11.2.6 Segurança de equipamentos e ativos externos
11.2.7 Eliminação segura ou reutilização de equipamentos
11.2.8 Equipamento de usuário desacompanhado
11.2.9 Política de mesa limpa e tela limpa 147
Módulo IV
Medidas de Segurança física BEST

PRACTICE
• A Segurança Física emprega uma combinação de medidas

organizacionais, estruturais e eletrônicas
• As medidas de segurança física precisam ser planejadas e coordenadas de
maneira coerente
Exemplos:
A proteção dos equipamentos através do controle climático (ar
condicionado, umidade)
Os cabos devem ser instalados de maneira que não ocorra interferência.
Interferência ocorre quando os cabos de rede captam o ruído e a estática
dos cabos de energia que correm paralelos a eles
A exclusão de informações confidenciais na mídia de armazenamento
quando uma pessoa sai da organização
148
Módulo IV
Medidas de Segurança física PRACTICE Information Security
Principais Categorias:
• Anéis de proteção
• A área ao redor do edifício
• O edifício
• O espaço de trabalho
• Os objetos
• Alarmes
• Sensores
• Monitoramento
• Proteção contra fogo
• Planejamento de Emergência
• Relacionado ao planejamento de contingência
de negócios
149
Módulo IV
Segurança técnica
9. Controle de Acesso
9.1 Requisitos comerciais do controle de acesso Objetivo: Limitar o acesso a
informações e facilidades de processamento de informações.
9.2 Gerenciamento de acesso do usuário Objetivo: Garantir o acesso autorizado do
usuário e impedir o acesso não autorizado a sistemas e serviços.
9.3 Responsabilidades do usuário Objetivo: Responsabilizar os usuários pela proteção
de suas informações de autenticação.
9.4 Controle de acesso ao sistema e aplicativos Objetivo: Impedir o acesso não
autorizado a sistemas e aplicativos.
10. Criptografia
10.1 Controles criptográficos Objetivo: Garantir o uso adequado e eficaz da
criptografia para proteger a confidencialidade, autenticidade e / ou integridade das
informações.
150
Módulo IV
Controle de acesso MAC x DAC
DAC (Discretionary Access Control)

MAC (Mandatory Access Control)
▪ Administração centralizada
▪ Controle muito rígido
▪ Administração DEScentralizada
▪ Controle flexível
▪ O usuário PODE alterar as
▪ O usuário não pode alterar as permissões de acesso
permissões de acesso ▪ O usuário define quem irá ou não
▪ As permissões são obtidas através ter a acesso ao objeto através de
de uma política de segurança da permissões
informação
Módulo IV
Segurança técnica
Conteúdo:
9.1.1 Política de controle de acesso Uma política de controle de acesso deve ser
estabelecida, documentada e revisada com base nos requisitos de negócios e
segurança da informação.
9.1.2 Acesso a redes e serviços de rede Os usuários devem ter acesso apenas à rede
e aos serviços de rede que eles foram especificamente autorizados a usar.
9.2.1 Registro e cancelamento de registro do usuário Um processo formal de
registro e cancelamento de registro deve ser implementado para permitir a
atribuição de direitos de acesso.
9.2.2 Provisionamento de acesso do usuário Um processo formal de
provisionamento de acesso do usuário deve ser implementado para atribuir ou
revogar direitos de acesso de todos os tipos de usuários a todos os sistemas e
serviços.
152
Módulo IV
Segurança técnica
Conteúdo (continuação):
9.2.3 Gerenciamento de direitos de acesso privilegiados A alocação e uso de direitos de acesso
privilegiados devem ser restritos e controlados.
9.2.4 Gerenciamento de informações de autenticação secreta dos usuários A alocação de
informações de autenticação secreta deve ser controlada através de um processo formal de
gerenciamento.
9.2.5 Revisão dos direitos de acesso dos usuários Os proprietários de ativos devem revisar os
direitos de acesso dos usuários em intervalos regulares.
9.3.1 Uso de informações de autenticação secreta Os usuários devem ser obrigados a seguir as
práticas da organização no uso de informações de autenticação secreta.
153
Módulo IV
Segurança técnica
• 9.4.1 Restrição de acesso a informações. O acesso a informações e funções do sistema
de aplicativos deve ser restrito de acordo com a política de controle de acesso.
• 9.4.2 Procedimentos de logon seguro. Quando exigido pela política de controle de
acesso, o acesso a sistemas e aplicativos deve ser controlado por um logon seguro
• 9.4.3 Sistema de gerenciamento de senhas Os sistemas de gerenciamento de senhas
devem ser interativos e garantir senhas de qualidade.
• 9.4.4 Uso de programa utilitário privilegiado O uso de programas utilitários que possam
ser capazes de substituir os controles do sistema e do aplicativo deve ser restrito e
rigidamente controlado.
• 9.4.5 Controle de acesso ao código fonte do programa O acesso ao código fonte do
programa deve ser restrito.
154
Módulo IV
Segurança técnica
• 10.1.1 Política de uso de controles criptográficos Uma política de uso de controles
criptográficos para proteção de informações deve ser desenvolvida e implementada.
• 10.1.2 Gerenciamento de chaves Uma política sobre o uso, a proteção e a vida útil
das chaves criptográficas deve ser desenvolvida e implementada durante todo o
ciclo de vida.
155
Módulo IV

Medidas de segurança técnica PRACTICE Information Security
• O gerenciamento de ativos de negócios, a segurança da infraestrutura

de TI e a proteção de dados contra acesso indesejado por meio de
controle de acesso e aplicativos criptográficos
• O uso correto de um aplicativo e o processamento correto de
informações
156
Módulo IV
Medidas de segurança técnica BEST according to Foundations of

• Gerenciamento de acesso lógico

Conceder acesso às Informações e Serviços de Informações digitais às pessoas
autorizadas e impedir que pessoas não autorizadas obtenham acesso a essas
Informações ou Serviços digitais.
• Requisitos de segurança para sistemas de informação
• Requisitos relativos à compra e desenvolvimento de sistemas de informação
• Criptografia
Um meio de manter as informações em segredo: criptografia de dados
• Requisitos de segurança para sistemas de informação
• Requisitos relativos à compra e desenvolvimento de sistemas de informação
157
Módulo IV
Medidas de segurança técnica PRACTICE Information Security
Política de criptografia; :
• Para que a organização usa a criptografia para
• Que tipos de criptografia a organização usa e em
quais aplicativos
• Controle e gerenciamento de chaves
• Cópia de segurança
• Ao controle
158
Módulo IV
Criptografia: Gerenciamento de Chaves BEST

PRACTICE
• As chaves criptográficas devem ser protegidas contra alterações, perdas e destruição

• Chaves secretas e pessoais devem ser protegidas contra divulgação não autorizada
• O equipamento usado para gerar, armazenar e arquivar chaves deve ser protegido
fisicamente
• O registro dos pares de chaves: Quais pares foram emitidos para quem e quando
• Quando uma chave expirará?
• O que deve ser feito quando uma chave foi comprometida?
• Evite usar a mesma chave em sistemas diferentes (por exemplo, laptops)
159
Módulo IV
O que é PKI ?
PKI (Public Key Infrastructure) é um conjunto de funções, políticas, hardware, software,

processos e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e
revogar certificados digitais e gerenciar criptografia de chave pública.
www.trainning.com.br Public Key–Enabled

Certificado Applications and
Autoridade
Digital Services
Certificadora
Módulo IV
BEST
Tipos de sistemas criptográficos
Simétrico
Encryption
Decryption
Como vai ? %RT$@<S Como vai?
W?S<MG_(
*
Mesma Chave
Segredo compartilhado
161
Módulo IV

Tipos de sistemas criptográficos PRACTICE Information Security
Assimétrico
Encryption
Decryption
How are %RT$@<S How are
you doing? W?S<MG_( you doing?
*
Different keys
are used to
encrypt and
decrypt
Recipient’s Recipient’s
Public Key Private Key
162
Módulo IV
Assinaturas Digitais BEST according to Foundations of

• Assinaturas digitais são criadas usando criptografia assimétrica

• Uma assinatura digital é um método para confirmar se a informação digital foi
produzida ou enviada por quem ela afirma ser comparável à assinatura de
documentos em papel com uma assinatura escrita.
• Uma assinatura digital geralmente consiste em dois algoritmos:
• um para confirmar que as informações não foram alteradas por terceiros
• o outro para confirmar a identidade da pessoa que “assinou” o
• em formação
• Em alguns países (por exemplo, UE), uma assinatura digital agora é considerada igual
a uma assinatura "em papel". Na maioria dos casos, deve ser possível verificar essa
assinatura digital usando um certificado atestado, que deve ser feito por meios
seguros (por exemplo, um cartão inteligente)
Módulo IV
BEST
Três etapas para o Internet Banking PRACTICE
• A Associação Holandesa de Bancos mostrou que 98% dos bancos que utilizam a
Internet o consideram seguro
• No entanto, cerca de 20% não tomam medidas de segurança suficientes
• Os bancos trabalham diariamente para manter a segurança, mas a responsabilidade
pela segurança também cabe ao consumidor
• Isso levou à campanha dos "três direitos" na Holanda:
A segurança do seu PC está correta?
O site do seu banco está correto?
Seu pagamento está correto?
• A atenção pode ajudar a evitar muitos danos
164
Módulo IV

Phishing PRACTICE Information Security
• Phishing é uma forma de fraude na Internet

• Uma fraude é definida como a realização de uma
transação não autorizada
• Normalmente, a vítima recebe um e-mail pedindo
para verificar ou confirmar uma conta com um banco
ou provedor de serviços, números de conta, códigos
PIN ou detalhes de cartão de crédito, por exemplo
• Às vezes, mensagens instantâneas são usadas
• Mesmo contato telefônico foi tentado
165
Módulo IV

Spam PRACTICE Information Security
Spam (Sending and Posting Advertisement in Mass) é um

nome coletivo para mensagens indesejadas
O termo é normalmente usado para emails indesejados, mas
mensagens publicitárias indesejadas em sites também são
consideradas spam
Um filtro de spam pode aliviar um pouco esse fardo
Existem algumas coisas que os usuários de computador
podem fazer para combater o spam. Alguns deles são:
Nunca responda a uma mensagem de spam - mesmo se você
"optar por não participar" ou "cancelar" causa mais spam,
você estará confirmando para o remetente de spam que ele
possui um e-mail ativo e seu spam aumentará
Não encaminhe mensagens de spam e não distribua
endereços de email (use a funcionalidade Cco)
166
Módulo IV
Malware BEST
PRACTICE
• Malware é uma combinação da palavra

Malicioso e Software
• Refere-se a softwares indesejados, como vírus,
worms, cavalos de Tróia e spyware
• Uma medida padrão contra malware é usar
scanners antivírus e um firewall
• Um antivírus sozinho não é suficiente para
interromper o malware devido a ações humanas,
como abrir emails suspeitos ou de remetentes
desconhecidos
167
Módulo IV
Vírus BEST according to Foundations of

Definição:
• Um vírus é um pequeno programa de computador que se replica propositadamente, às
vezes de forma alterada
• As versões replicadas do vírus original também são, em virtude dessa definição, vírus. Para
que o vírus se espalhe, depende de operadoras que contenham código executável
Explicação:
• Assim que o portador é ativado, o vírus procura novos portadores adequados e tenta
infectá-los. O vírus só pode se espalhar para fora do alcance do sistema infectado se um
usuário transferir arquivos do sistema infectado para um novo sistema.
• As operadoras eram tradicionalmente apenas programas, mas hoje em dia os documentos
podem atuar como host de um vírus, pois cada vez mais eles contêm códigos executáveis,
como macros, VBScript ou ActiveX. Na grande maioria dos casos, os vírus são equipados
com uma carga útil que hospeda todas as tarefas que não sejam necessárias para
replicação. Essa carga útil é geralmente, mas nem sempre sempre, de natureza destrutiva168
Módulo IV
Vírus BEST
PRACTICE
Exemplos:
• Brain
• Chernobyl
Medidas:
• Verifique se há um antivírus no servidor de email e nos
computadores individuais no local de trabalho
• Verifique se o assunto de vírus está incluído em uma campanha
de conscientização de segurança
• Verifique se esse assunto está incluído na Política de Segurança
da Informação da organização
169
Módulo IV
Worm BEST according to Foundations of

Definição:
• Um worm é um pequeno programa de computador que se
replica intencionalmente. Os resultados da replicação são
cópias da propagação original para outros sistemas,
utilizando os recursos de rede de seu host.
Explicação:
• As diferenças entre vírus e worms estão se tornando cada
vez mais obscuras
• Um vírus pode atacar seu host por diferentes operadoras e
infectar novas operadoras transferindo código ativo nessas
novas operadoras
• Um worm, por outro lado, não depende de um usuário se
espalhar: assim que um worm é ativado, ele pode se espalhar
automaticamente. É isso que permite que os worms infectem
grandes áreas em um curto período de tempo. 170
Módulo IV

Worm PRACTICE Information Security
Exemploss:
• Melissa, I love you, Happy99, Blaster, Storm Worm
Medidas:
• Verifique se há um scanner (vírus) no servidor de correio e nos
computadores individuais no local de trabalho
• Como os worms podem ser descobertos na rede, certifique-se de usar
uma ferramenta de monitor de rede
• Verifique se o assunto de vírus está incluído em uma campanha de
conscientização de segurança
• Verifique se esse assunto está incluído na Política de Segurança da
Informação da organização
• Garantir que haja maneiras eficazes de relatar incidentes e que haja bons
procedimentos de acompanhamento 171
Módulo IV
Trojan BEST according to Foundations of

Definição:
• Um Trojan é um programa que, além da função que parece desempenhar, realiza
propositadamente atividades secundárias, despercebidas pelo usuário do computador,
o que pode prejudicar a integridade do sistema infectado
Explicação:
• Assim como no verdadeiro cavalo de Tróia, um cavalo de Tróia se apresenta como algo
útil, mas, quando ativado pelo usuário, realiza todo tipo de atividades indesejadas em
segundo plano
• A carga útil de um Trojan geralmente instala um "backdoor", através do qual pessoas
desconhecidas podem obter acesso não autorizado ao sistema infectado
• Outra atividade frequente dos cavalos de Troia é que eles enviam informações
confidenciais do sistema infectado para outro local onde elas podem ser coletadas e
analisadas
• A diferença mais notável com vírus e worms é que os cavalos de Troia não podem se
auto-replicar. Como resultado, os cavalos de Troia geralmente são capazes de continuar
fazendo seu trabalho despercebidos por um longo período de tempo.
172
Módulo IV
Trojan BEST
PRACTICE
Exemplos:
• BackOrrifice, Netbus
Medidas:
• Verifique se há um scanner de Trojan e / ou vírus no servidor de email e
nos computadores individuais no local de trabalho
• Garantir que o assunto Trojans seja incluído em uma campanha de
conscientização de segurança; por exemplo, a equipe deve estar ciente
dos perigos de abrir anexos de e-mails suspeitos
• As conseqüências dos cavalos de Troia (comunicação) também podem ser
descobertas na rede pelos gerentes de rede; ferramentas de monitor de
rede estão disponíveis para este
173
Módulo IV
Hoax
Definição:
• Um hoax é uma mensagem que tenta convencer o leitor de sua
veracidade e depois convence o leitor a realizar uma ação específica
• A disseminação de uma farsa depende do envio deliberado da
mensagem a outras vítimas em potencial que também podem fazer o
mesmo Se você quebrar
esta corrente
Explicação: minha vingança
será maligna
• A carga útil de um hoax não é de natureza técnica, mas psicológica
• Ao brincar com as emoções das pessoas, o hoax tenta convencer o
leitor a enviá-la a outras pessoas (uma forma de engenharia social)
• Esse quase sempre é o objetivo de um hoax, mas um hoax pode
ocasionalmente tentar convencer uma pessoa a depositar dinheiro,
fornecer informações pessoais (phishing) ou algo semelhante.
• As correntes são a forma mais significativa e bem-sucedida de trotes 174
Módulo IV
Hoax BEST according to Foundations of

Exemplos:
• Good times, Pen Pal
Medidas:
• Verifique se há um antivírus no local de trabalho e uma solução
anti-spam para o servidor de email. Uma farsa geralmente contém
textos que podem ser reconhecidos por esses scanners
Envie esta msg e
um cobre coitado
ganhará 1 real
• Garantir que o assunto das fraudes seja incluído em uma

por msg enviada
campanha de conscientização de segurança; os funcionários

devem ter cuidado com perguntas estranhas nos e-mails,
principalmente aqueles que tentam convencer o leitor a realizar
determinadas ações, como encaminhar a farsa para outras pessoas
• Garantir que haja maneiras eficazes de relatar incidentes e que 175
haja bons procedimentos de acompanhamento
Módulo IV

Bomba lógica PRACTICE Information Security
Definição:
• Uma bomba lógica é um pedaço de código embutido em um
sistema de software
• Este código executará uma função quando condições específicas
forem atendidas
• Isso nem sempre é usado para fins maliciosos. Um programador
de computador, por exemplo, pode criar um código que destrói
arquivos (sensíveis) assim que sai da rede da empresa
• Vírus e worms geralmente contêm bombas lógicas, que
geralmente possuem um atraso interno para a execução do vírus
ou a disseminação do worm
Medidas:
• Para softwares criados por funcionários da empresa ou sob
contrato com terceiros, verifique se uma revisão de código é
realizada por outra parte 176
Módulo IV
Spyware PRACTICE Information Security
Definição:
• O Spyware é um programa de computador que coleta informações
sobre o usuário do computador e envia essas informações a terceiros.
O objetivo disso é ganhar dinheiro
• O spyware não intencionalmente tenta danificar o PC e / ou o software
instalado, mas sim violar a privacidade
• O spyware pode ser reconhecido de várias maneiras, por exemplo:
• O computador está mais lento que o normal
• Os programas estão sendo executados no computador que você não
iniciou ou que nunca viu antes
• As configurações do computador foram modificadas e pode haver
uma barra de ferramentas no seu navegador da Internet que não
existia antes e não pode ser removida
• Todos os tipos de pop-ups aparecem sem aviso ou ao abrir páginas da
web 177
Módulo IV

Spyware PRACTICE Information Security
Medidas:
• Existem scanners que examinam o registro do Windows em busca
de chaves de registro suspeitas e examinam o software instalado
quanto a spyware
• Às vezes, os programas antivírus também podem detectar
spywares
• Use um firewall pessoal para detectar o tráfego de rede,
especialmente o tráfego que sai do computador sem motivo
• Verifique se o assunto de spyware está incluído em uma campanha
de conscientização de segurança
• Garantir que haja maneiras eficazes de relatar incidentes e que haja
bons procedimentos de acompanhamento
178
Módulo IV

Botnet / Storm Worm PRACTICE Information Security
Explicação:
• Storm Worm é considerado por muitos o futuro do malware
• É paciente e, portanto, difícil de detectar e analisar
• Funciona como uma colônia de formigas, na qual não existe um
servidor central de comando e controle, mas uma conexão de rede
entre milhares de PCs infectados é configurada
• Como resultado, as máquinas infectadas não afetam a rede de bots
• O Storm Worm não causa nenhum dano ou carga ao host, para que
os hosts não saibam que estão infectados
• O motivo pelo qual o Storm Worm é tão bem-sucedido é que os
servidores que espalham o Storm Worm recodificam a mensagem
de vírus a cada trinta minutos, alterando a assinatura do vírus e
dificultando a detecção por programas antivírus tradicionais
179
Módulo IV
Rootkit PRACTICE Information Security
Explicação:
• Um rootkit é um conjunto de ferramentas de software que
geralmente são usadas por terceiros (geralmente um hacker) após
o acesso a um sistema (computador)
• O rootkit se esconde profundamente no sistema operacional,
possivelmente resultando na instabilidade do sistema operacional
• É quase impossível remover um rootkit sem danificar o sistema
operacional
• Os rootkits podem funcionar em dois níveis: nível do kernel e nível
do usuário
• Os rootkits com estratégias de kernel podem, portanto, fazer quase
qualquer coisa que desejarem na memória de trabalho. O objetivo
dessas ferramentas é ler, alterar ou influenciar os processos em
execução, dados ou arquivos do sistema
• Um rootkit ajuda o invasor a obter acesso ao sistema, sem que o
usuário perceba nada 180
Módulo IV
Segurança Organizacional
12. Segurança de Operações

• 12.1 Procedimentos e responsabilidades operacionais Objetivo:
Garantir operações corretas e seguras das instalações de
processamento de informações.
• 12.2 Proteção contra malware Objetivo: garantir que as informações e
os recursos de processamento de informações estejam protegidos
contra malware.
• 12.3 Objetivo do backup: Proteger contra perda de dados.
• 12.4 Log e monitoramento Objetivo: Registrar eventos e gerar
evidências.
• 12.5 Controle de software operacional Objetivo: Garantir a integridade
dos sistemas operacionais.
• 12.7 Considerações sobre auditoria de sistemas de informação
Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas
operacionais. 181
Módulo IV
• 12.2.1 Controles contra malware Devem ser implementados controles de detecção, prevenção e recuperação
para proteção contra malware, combinados com o conhecimento apropriado do usuário.
• 12.3.1 Backup de informações Cópias de backup de informações, software e imagens do sistema devem ser
tiradas e testadas regularmente, de acordo com uma política de backup acordada.
• 12.4.1 Registro de eventos Os registros de eventos que registram atividades do usuário, exceções, falhas e
eventos de segurança da informação devem ser produzidos, mantidos e revisados regularmente.
• 12.4.2 Proteção das informações de registro Os recursos de registro e as informações de registro devem ser
protegidos contra adulteração e acesso não autorizado.
• 12.4.3 Logs do administrador e do operador As atividades do administrador do sistema e do operador do
sistema devem ser registradas e os logs protegidos e revisados regularmente
182
Módulo IV
• 12.4.4 Sincronização do relógio Os relógios de todos os sistemas relevantes de processamento de
informações em uma organização ou domínio de segurança devem ser sincronizados com uma única fonte
de tempo de referência.
• 12.5.1 Instalação do software nos sistemas operacionais Os procedimentos devem ser implementados para
controlar a instalação do software nos sistemas operacionais.
• 12.6.1 Gerenciamento de vulnerabilidades técnicas As informações sobre vulnerabilidades técnicas dos
sistemas de informação que estão sendo usadas devem ser obtidas em tempo hábil, a exposição da
organização a essas vulnerabilidades avaliadas e as medidas apropriadas tomadas para lidar com o risco
associado.
• 12.6.2 Restrições à instalação do software As regras que regem a instalação do software pelos usuários
devem ser estabelecidas e implementadas.
• 12.7.1 Controles de auditoria de sistemas de informação Os requisitos e atividades de auditoria que
envolvem a verificação de sistemas operacionais devem ser cuidadosamente planejados e acordados para
minimizar interrupções nos processos de negócios.
183
Módulo IV
Segurança de Segurança Organizacional PRACTICE Information Security
Características:
As medidas técnicas estão intimamente relacionadas às medidas
organizacionais; Medidas técnicas executam ou aplicam medidas
organizacionais
O ciclo PDCA é uma maneira de implementar a Segurança da Informação na
organização
Como comercializar a segurança da informação na organização
Como lidar com desastres e como se preparar para eles
O aspecto da comunicação da Segurança da Informação
Os aspectos operacionais, procedimentos de teste e gerenciamento de
Segurança da Informação 184
Módulo IV
Melhoria Contínua em S.I
Gerenciamento de Segurança da Informação
Partes interessadas Partes interessadas
(stakeholders) (stakeholders)
Segurança da Segurança da
informação informação
gerenciada gerenciada
Módulo IV
Exemplos de medidas organizacionais BEST according to Foundations of

• Política de Segurança da Informação
• Organizando a segurança da informação
• Configurando um Sistema de Gerenciamento de Segurança da Informação (ISMS)
• Pessoas
• Rastreio e Não Divulgação
• Registros de funcionários
• Consciência de segurança
• Gerenciamento de Acesso
• Gestão de Continuidade de Negócios
• Planejamento de continuidade de negócios
• Planejamento de recuperação de desastres
• Gerenciamento de processos operacionais e de comunicação
• Procedimentos operacionais
• Mudar a gestão
• Segregação de deveres
186
Módulo IV
Controle de Acesso
Objetivo: Controlar o acesso à informação
Seções
• Requisitos comerciais para controle de acesso
• Política de Controle de Acesso
• Gerenciamento de Acesso do Usuário

• Registro de Usuário
• Gerenciamento de privilégios
• Gerenciamento de senha de usuário
• Revisão dos direitos de acesso do usuário
• Responsabilidades do Usuário
• Uso da senha
• Equipamento de usuário autônomo
• Política de tela clara de anúncio de mesa limpa
187
Módulo IV
Controle de Acesso
Seções
• Controle de acesso à rede
• Política de Uso de Serviços de Rede
• Autenticação do usuário para conexões externas
• Identificação de equipamentos em redes
• Proteção remota de diagnóstico e porta de configuração
• Segregação em redes
• Controle de Conexão de Rede
• Controle de roteamento de rede
• Controle de Acesso do Sistema Operacional

• Procedimentos de logon seguro
• Identificação e autenticação de usuário
• Sistema de Gerenciamento de Senhas
• Uso de utilitários do sistema
• Sessão expirada
• Limitação do tempo de conexão
188
Módulo IV
Liberação de Acesso BEST according to Foundations of

Na liberação de acesso, é feita uma distinção entre :

• Identificação
• Autenticação
• Autorização
1. A identificação é o primeiro passo no processo para conceder acesso. Na
identificação, a pessoa ou sistema apresenta um token, por exemplo, uma
chave, nome de usuário ou senha
2. O sistema determina se o token é autêntico e a quais recursos o acesso
pode ser concedido
3. Assim que isso for determinado, as autorizações podem ser alocadas
189
Módulo IV
Segregação de funções BEST

PRACTICE
• As tarefas e responsabilidades devem ser segregadas para evitar a chance

de alterações não autorizadas ou não intencionais ou o uso indevido dos
ativos da organização
• Na segregação de funções, é realizada uma revisão para determinar se
uma pessoa executa tarefas de tomada de decisão, executivo ou controle
• É determinado se a pessoa precisa acessar informações
• O acesso desnecessário aumenta o risco de informações serem usadas,
alteradas ou destruídas intencionalmente ou não. Isso é chamado de
princípio “need to know“ ou conhecer apenas o necessário.
• Depois que as funções de pessoal e as necessidades de acesso são
determinadas, as tarefas podem ser divididas para reduzir os riscos para a
organização
190
Módulo IV
Sistema de Gerenciamento de senhas
Um sistema de gerenciamento de senhas deve:
a. Impor o uso de IDs de usuário e senhas individuais para manter a responsabilidade
b.Permitir que os usuários selecionem e alterem suas próprias senhas e incluam um
procedimento de confirmação para permitir erros de entrada
c. Impor uma escolha de senhas de qualidade
d.Aplicar alterações de senha
e. Forçar os usuários a alterar senhas temporárias no primeiro logon
f. Manter um registro de senhas de usuários anteriores e impedir a reutilização
191
Módulo IV
Continuidade do negócio
17. Aspectos de segurança da informação do gerenciamento de continuidade de

negócios
• 17.1 Continuidade da segurança da informação
• Objetivo: A continuidade da segurança das informações deve ser incorporada
aos sistemas de gerenciamento de continuidade de negócios da organização
• 17.2 Redundâncias
• Objetivo: Garantir a disponibilidade de instalações de processamento de
informações.
192
Módulo IV
Por que gerenciamento de continuidade de negócios?

• Proteção de processos de negócios PRACTI Information Security and ITIL
CE
• Continuidade do serviço
• Sobrevivência da empresa
•
• www.trainning.com.br
Lucros ou prejuízos
Publicidade negativa
193
Módulo IV
Por que gerenciamento de continuidade de negócios?

• Planejamento de recuperação de desastres (DRP)
• Minimizar as consequências de um desastre e tomar as medidas necessárias para
garantir que a equipe, os ativos e os processos de negócios estejam novamente
disponíveis dentro de um tempo aceitável
• Destina-se à recuperação imediatamente após um desastre
• Planejamento de continuidade de negócios (BCP)
• Organizar métodos e procedimentos para falhas que durem mais tempo
• Organizando um local alternativo onde o trabalho pode ser realizado enquanto o
local original é reconstruído
• Tudo está focado em manter a empresa funcionando, mesmo que apenas
parcialmente, desde o momento em que o desastre ocorre até quando a empresa
se recupera totalmente
194
Módulo IV
O que aprendemos ? BEST

PRACTICE
• A importância das medidas de segurança

• Os vários tipos de medidas de segurança
• As várias classificações de medidas de segurança
• As várias medidas de segurança física
• As várias medidas técnicas de segurança
• Criptografia
• Malware
• As várias medidas de segurança organizacional
• Gerenciamento de Acesso
• Identificação, autenticação, autorização
• Gestão de Continuidade de Negócios
195
Módulo IV
1) Uma avaliação/análise de riscos bem executada oferece uma grande quantidade de informações úteis. A análise de riscos tem quatro principais objetivos. Qual das opções abaixo não é um dos
quatro principais objetivos da avaliação/análise de riscos?
A) Identificação dos ativos e seus valores

B) Implementação de contramedidas (correta)
C) Estabelecimento do equilíbrio entre os custos de um incidente e os custos de medidas de segurança
D) Determinação de vulnerabilidades e ameaças relevantes
2) Qual das seguintes medidas é uma medida preventiva?

A) Instalação de um sistema de registro de eventos (log) que permite que mudanças em um sistema sejam reconhecidas
B) Desativação de todo tráfego internet depois que um hacker ganhou acesso aos sistemas da companhia
C) Armazenamento de informações sigilosas em um cofre (correta)
3) Qual das opções abaixo é uma medida repressiva em caso de incêndio?
A) Fazer um seguro contra incêndio
B) Apagar o fogo depois que o incêndio for detectado pelo detector de incêndio (correta)
C) Reparar os danos causados pelo incêndio
4) O acesso à sala de computadores está bloqueado por um leitor de crachás. Somente o Departamento de Gerenciamento de Sistemas tem um crachá. Que tipo de medida de segurança é essa?
A) Uma medida de segurança corretiva

B) Uma medida de segurança física (correta)
C) Uma medida de segurança lógica
D) Uma medida de segurança repressiva
5) Quem é autorizado a mudar a classificação de um documento?
A) O autor do documento
B) O administrador do documento
C) O proprietário do documento (correta)
D) O gerente do proprietário do documento
6) Qual é o objetivo da classificação da informação?
A) Criar um manual sobre como manusear dispositivos móveis
B) Aplicar identificações que facilitem o reconhecimento das informações
C) Estruturar as informações de acordo com sua confidencialidade (correta)
7) Na segurança física, múltiplas zonas em expansão (anéis de proteção) podem ser aplicadas, nas quais diferentes medidas podem ser adotadas. Qual dos seguintes não é um anel de proteção típico?
A) Edifício
B) Anel médio (correta)
C) Objeto
D) Anel externo
8) Qual das seguintes medidas de segurança é uma medida técnica?
A) Atribuição de informações a um proprietário

B) Criptografia de arquivos (correta)
C) Criação de uma política que define o que é e não é permitido no e-mail
D) Armazenamento de senhas de gerenciamento do sistema em um cofre
9) Você trabalha no departamento de TI de uma empresa de tamanho médio. Informações
confidenciais têm caído em mãos erradas por várias vezes. Isso tem prejudicado a imagem da companhia.
Você foi solicitado a propor medidas de segurança organizacional em laptops para sua companhia. Qual o
primeiro passo que você deveria dar?
A) Formular uma política para tratar da segurança de dispositivos móveis (PDAs, laptops, smartphones, pen drive) (correta)
B) Designar uma equipe de segurança
C) Criptografar os discos rígidos dos laptops e mídias de armazenamento externo, como pen drives
D) Estabelecer uma política de controle de acesso
10) Que tipo de malware cria uma rede de computadores contaminados?
A) Bomba Lógica
B) Storm Worm ou Botnet (correta)
C) Cavalo de Tróia
D) Spyware
11) Qual o nome dado ao programa de computador que coleta informações de um computador de
usuário e as envia para um terceiro com a intenção de obter informações?
A) Spyware (correta)
B) Spam
C) Botnet
D) Worms
V- Legislações e Regulamentos
Módulo IV
Conformidade
18.1 Cumprimento dos requisitos legais e contratuais

• Objetivo: Evitar violações de obrigações legais, estatutárias, regulamentares ou contratuais relacionadas
à segurança da informação e a quaisquer requisitos de segurança.
18.2 Revisões de segurança da informação

• Objetivo: Garantir que a segurança da informação seja implementada e operada de acordo com as
políticas e procedimentos organizacionais.
Módulo IV
Conformidade
Conteúdo:
• 18.1.1 Identificação da legislação aplicável e dos requisitos contratuais Todos os requisitos

legais, regulamentares, contratuais e legislativos relevantes e a abordagem da organização para
atender a esses requisitos devem ser explicitamente identificados, documentados e atualizados
para cada sistema de informação e organização.
• 18.1.2 Direitos de propriedade intelectual Procedimentos apropriados devem ser
implementados para garantir a conformidade com os requisitos legislativos, regulamentares e
contratuais relacionados aos direitos de propriedade intelectual e ao uso de produtos de
software proprietários.
• 18.1.3 Proteção de registros Os registros devem ser protegidos contra perda, destruição,
falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos
legislativos, regulamentares, contratuais e comerciais.
• 18.1.4 Privacidade e proteção de informações de identificação pessoal A privacidade e a
proteção de informações de identificação pessoal devem ser garantidas conforme exigido na
legislação e regulamentação relevantes, quando aplicável 201
Módulo IV
Conformidade
• 18.1.5 Regulamentação dos controles criptográficos Os controles criptográficos
devem ser utilizados em conformidade com todos os acordos, legislação e
regulamentos relevantes.
• 18.2.1 Revisão independente da segurança da informação A abordagem da
organização para gerenciar a segurança da informação e sua implementação (ou
seja, objetivos de controle, controles, políticas, processos e procedimentos para
segurança da informação) deve ser revisada independentemente em intervalos
planejados ou quando ocorrem alterações significativas.
• 18.2.2 Conformidade com políticas e padrões de segurança Os gerentes devem
revisar regularmente a conformidade do processamento e procedimentos de
informações em sua área de responsabilidade com as políticas, padrões e
quaisquer outros requisitos de segurança apropriados.
• 18.2.3 Revisão técnica de conformidade Os sistemas de informação devem ser
revisados regularmente para verificar se estão em conformidade com as políticas
e padrões de segurança da informação da organização. 202
Módulo IV
Por que a legislação e os regulamentos são importantes?
• Para observar os regulamentos estatutários

• Para observar conformidade PRACTICE Information Security
• Para cobrir os direitos de propriedade intelectual
• Para proteger documentos comerciais
• Para proteger dados e a confidencialidade de dados pessoais
• E.g.: Personal Data Protection Act: the protection of personal data
and privacy
• Para impedir o abuso de instalações de TI
• Para bservar a política de segurança e os padrões de segurança
• Para monitorar medidas
• Para conduzir auditorias de sistemas de informação
• Proteger os Meios Usados para Auditar Sistemas de Informação
203
Módulo IV
Legislação de Segurança da Informação

BEST according to Foundations
Exemplos
• Legislação envolvendo privacidade, impostos e finanças e regulamentos para bancos e
empresas (por exemplo, Sarbanes Oxley)
• Legislações Locais, Estaduais e Nacionais
• A política da própria empresa em relação à legislação interna
• A legislação de uma nação estrangeira ao fazer negócios internacionais
• Legislação envolvendo Privacidade
• Os governos estão sujeitos a registros públicos. Esta legislação trata da criação de
arquivos, gerenciamento, destruição, transferência para o arquivo central, transferência
entre governos e acesso a arquivos
• Legislação destinada a crimes realizados com computadores
Módulo IV
Atos legislativos
A Lei de Registros Públicos

Regula o armazenamento e a destruição de documentos de arquivo
Lei de proteção de dados pessoais
Regulamenta o direito à inspeção de dados pessoais
A Lei de Criminalidade de Computadores
Esta lei é uma alteração do Código Penal e do Código de Processo Penal para facilitar o
tratamento de delitos cometidos por meio de tecnologia da informação avançada. Um exemplo
de uma nova ofensa é a invasão de computadores
A Lei de Acesso Público à Informação do Governo
Regulamenta a inspeção de documentos governamentais escritos. Os dados pessoais não
são um documento governamental.
205
Módulo IV
Regulamentos de Segurança da Informação

Exemplos PRACTICE Information Security
• Regulamentos envolvendo privacidade, impostos e finanças e regulamentos para
bancos e empresas (por exemplo, Sarbanes Oxley)
• Regulamentos Locais, Estaduais e Nacionais
• Política da própria empresa em relação a regulamentos internos
• Os regulamentos de uma nação estrangeira ao fazer negócios internacionais
• Regulamentos envolvendo Privacidade
• Regulamentos para proteger dados
• Regulamentos relativos ao uso correto de Licenças
206
Módulo IV
Legislação e medidas regulatórias BEST according to Foundations of

PRACTICE
Exemplos
• Medidas para proteger os direitos de propriedade intelectual
• Contratos de direitos autorais
• Contratos de licença
•
•
• Medidas envolvendo os registros organizacionais de proteção
Arquivos Criptografados
Salas com temperatura controlada para armazenamento de registros em papel
• Uma política de descarte de registros
• Medidas envolvendo a proteção de informações pessoais
• Direitos de acesso apropriados
• Prevenção de uso indevido de instalações de processamento de informações
• Monitorando através de uma rede de câmeras de segurança
207
V - Exame e Revisão de Amostra
Módulo V
Módulo IV
Simulado Final – 40 Questões
Sobre a EXIN
Publicado e projetado pelo EXIN. O EXIN é o instituto global de certificação independente para profissionais
do domínio de TI. Com mais de 30 anos de experiência na certificação de competências de mais de 2
milhões de profissionais de TI, a EXIN é a autoridade líder e confiável no mercado de TI. Com mais de 1000
parceiros credenciados, o EXIN facilita exames e avaliações de competência eletrônica em mais de 165
países e 20 idiomas. O EXIN é co-iniciador da Estrutura de Competência Eletrônica, que foi criado para
fornecer princípios inequívocos de medição de certificação de TIC na Europa e outros países.
211

Iso 27001

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Iso 27001

Enviado por

Direitos autorais:

Formatos disponíveis

EXIN Information Security Foundation Certificate

▪ Informação e segurança: o conceito, o valor, a importância e a confiabilidade da informação;

O que é a ISO / IEC 27001 ?

ISO – International Organization for

O que é a ISO / IEC 27001 ?

• A ISO 27001 descreve como gerenciar a segurança da informação em uma

O que é a ISO / IEC 27001 e ISO / IEC 27002?

• A ISO 27002 estabelece um código de melhores práticas para apoiar na

O que é a ISO / IEC 27001 e ISO / IEC 27002?

Os capítulos da ISO / IEC 27002 estão alinhados com os controles

• Os dados podem ser processados ​pela

Dado e Informação Security

Formas da informação Formas de armazenamento

• Os dados podem ser

• Informação é o entendimento dos

De acordo com a ISO/IEC 27002,

Portanto, a informação é um ativo

O que diz a ISO 27002 sobre o valor e classificação da informação ?

0.1 Contexto e histórico

“O valor da informação vai além das palavras escritas,

O que diz a ISO 27002 sobre o valor e classificação da informação ?

8.2 Classificação da informação

Objetivo: Assegurar que a informação receba um nível adequado de proteção,

A ISO 27002 recomenda que a “informação seja classificada em termos do

O valor da informação e os processos de negócio Melhor De acordo com o livro

Ex.: 1 Processo de disponibilidade

Ex.: 2 Processo de capacidade

DICS: Dados, Informações, Conhecimento, Sabedoria

Todo processo possui basicamente 3 componentes:

“conjunto de atividades que representam os métodos de execução de um trabalho

Os 3 tipos de processos de negócio

Primários resultados para o cliente.

Gerenciais organização. Server para

As camadas da S.I Prática of Information Security

Para haver efetividade da Segurança Segurança

O que é segurança da informação ?

É a Preservação da Confidencialidade, Integridade e

Nota: Repúdio é outra palavra para negação, isenção de responsabilidade

O que é segurança da informação ? BEST

A Segurança da Informação envolve a definição,

Sistema de Informação e Tecnologia da Informação

Sistema de Informação # Tecnologia da Informação

• A transferência e o processamento de • O uso da tecnologia para

Os 4 componentes de um S.I que garantem que as

Valor da informação BEST

• O valor da informação é determinado pelo valor que o

Valor da informação BEST

• 6.2.1: A identificação dos riscos relacionados ao acesso de terceiros

Informação como fator de produção BEST

Os fatores de produção típicos de uma empresa ou organização são:

Em Tecnologia da Informação, é comum considerar também a Informação como um

•Empresas não podem existir sem informações

Valor para os negócios

A Segurança da informação fornece garantia

Quem determina o valor da informação ?

▪ Em regra, o valor da informação é

▪ A informação é a base para a geração de

A moeda do século XXI é a informação e as

Como visto, ativos de uma empresa

“O recurso mais valioso do mundo não é mais o

As 3 propriedades de confiabilidade da BEST

Para que uma informação seja considerada

Confidencialidade é propriedade que limita

• Os dados podem ser processados pela