Seguranca Auditoria Sistema

Segurança e
Auditoria de Sistemas de Informação

Créditos
Centro Universitário Senac São Paulo – Educação Superior a Distância
Diretor Regional Luciana Marcheze Miguel
Luiz Francisco de Assis Salgado Luciana Saito
Superintendente Universitário Mariana Valeria Gulin Melcon
e de Desenvolvimento Mônica Maria Penalber de Menezes
Luiz Carlos Dourado Mônica Rodrigues dos Santos
Nathália Barros de Souza Santos
Reitor Paula Cristina Bataglia Buratini
Sidney Zaganin Latorre Renata Jessica Galdino
Diretor de Graduação Sueli Brianezi Carvalho
Eduardo Mazzaferro Ehlers Thiago Martins Navarro
Wallace Roberto Bernardo
Diretor de Pós-Graduação e Extensão
Daniel Garcia Correa Equipe de Qualidade
Ana Paula Pigossi Papalia
Gerentes de Desenvolvimento Aparecida Daniele Carvalho do Nascimento
Claudio Luiz de Souza Silva Gabriela Souza da Silva
Luciana Bon Duarte Vivian Martins Gonçalves
Roland Anton Zottele
Sandra Regina Mattos Abreu de Freitas Coordenador Multimídia e Audiovisual
Adriano Tanganeli
Coordenadora de Desenvolvimento
Tecnologias Aplicadas à Educação Equipe de Design Visual
Regina Helena Ribeiro Adriana Matsuda
Caio Souza Santos
Coordenador de Operação Camila Lazaresko Madrid
Educação a Distância Carlos Eduardo Toshiaki Kokubo
Alcir Vilela Junior Christian Ratajczyk Puig
Professor Autor Danilo Dos Santos Netto
André Filipe de Moraes Batista Hugo Naoto
Inácio de Assis Bento Nehme
Revisor Técnico Karina de Morais Vaz Bonna
Marcelo José Szewczyk Lucas Monachesi Rodrigues
Técnicos de Desenvolvimento Marcela Corrente
Márcio Roberto Seraggi Marcio Rodrigo dos Reis
Alex de Lima Cabral Renan Ferreira Alves
Renata Mendes Ribeiro
Coordenadoras Pedagógicas Thalita de Cassia Mendasoli Gavetti
Ariádiny Carolina Brasileiro Silva Thamires Lopes de Castro
Izabella Saadi Cerutti Leal Reis Vandré Luiz dos Santos
Nivia Pereira Maseri de Moraes Victor Giriotas Marçon
Equipe de Design Educacional William Mordoch
Alexsandra Cristiane Santos da Silva Equipe de Design Multimídia
Angélica Lúcia Kanô Alexandre Lemes da Silva
Cristina Yurie Takahashi
Cláudia Antônia Guimarães Rett
Diogo Maxwell Santos Felizardo
Elisangela Almeida de Souza Cristiane Marinho de Souza
Flaviana Neri Eliane Katsumi Gushiken
Francisco Shoiti Tanaka Elina Naomi Sakurabu
Gizele Laranjeira de Oliveira Sepulvida Emília Correa Abreu
João Francisco Correia de Souza Fernando Eduardo Castro da Silva
Juliana Quitério Lopez Salvaia Mayra Aoki Aniya
Jussara Cristina Cubbo Michel Iuiti Navarro Moreno
Kamila Harumi Sakurai Simões Renan Carlos Nunes De Souza
Karen Helena Bueno Lanfranchi Rodrigo Benites Gonçalves da Silva
Katya Martinez Almeida Wagner Ferri
Lilian Brito Santos
Segurança e Auditoria de Sistemas
de Informação
Aula 01
Princípios e conceitos em segurança da informação
Objetivos Específicos
• Identificar os elementos chave da segurança da informação
Temas
Introdução
1 A segurança da informação no ambiente corporativo
2 Segurança da informação – definição e termos-chave
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
A informação é um recurso precioso para a sociedade contemporânea. Nas organizações,
esta é uma peça fundamental nos processos de tomada de decisão, criação de novos
produtos, serviços e inovação. Por esse motivo, a informação é dita um ativo de valor, que
deve ser protegido sob diversos níveis, que variam conforme o valor que esta possui para
a organização.
A tecnologia vem tornando possível o uso de recursos digitais para armazenagem e

manipulação de informações. Tais procedimentos exigem tratamentos especiais, tecnológicos
ou não, que são aplicados ao longo do ciclo de vida da informação.
Nas organizações, a informação pode se apresentar em diversas formas, desde escrita

em um papel até mesmo em vídeos de reuniões entre parceiros de negócio. O conhecimento
da organização normalmente está representado nas informações que ela manipula e/ou
armazena. Não importa o formato da informação (escrita, armazenada eletronicamente,
verbal etc.) ou os meios em que é utilizada ou compartilhada (papel, e-mail, vídeo, reuniões
presenciais etc.), ela deve ser sempre protegida.
Nesta aula, iniciaremos o estudo sobre segurança da informação. Abordaremos seus

principais conceitos, para que você tenha um pleno entendimento desse tema de extrema
importância para os profissionais da área.
1 A segurança da informação no ambiente corporativo

O termo segurança da informação normalmente é associado a instituições financeiras,
empresas de grande porte, empresas aéreas e áreas estratégicas do Governo. Essa associação
natural está correta, uma vez que normalmente as organizações dessas áreas apresentam
grande destaque no mercado quando se trata de segurança da informação. Basta assistir aos
comerciais dos bancos e ver o quanto se dá ênfase à segurança da informação, desde seu
armazenamento até seu uso em transações financeiras.
No entanto, é preciso entender que todas as organizações, independentemente de seu

tamanho, possuem e manipulam informações, devendo, portanto, adotar algumas premissas
básicas para a proteção da informação, de modo a permitir a continuidade do negócio, a
segurança de suas negociais, a proteção de suas patentes etc.
O termo segurança da informação, portanto, está relacionado à proteção de um conjunto

de informações, com o objetivo de preservar o valor que elas possuem para uma organização.
Mas quais são as informações a serem protegidas? E como? Vamos começar a conhecer os
tipos de informações a serem protegidas, para avançarmos, ao longo da disciplina, na questão
de como protegê-las.
Senac São Paulo - Todos os Direitos Reservados 3

1.1 Tipos de informação nas organizações

Normalmente podemos classificar a informação de uma organização em três níveis, de
acordo com Sêmola (2003): internas, de parceiros e de clientes e fornecedores.
As informações internas são geradas pela própria organização, normalmente essenciais

aos negócios. Podemos classificar nesse grupo as informações que fazem o diferencial de
negócio, ou seja, informações que não queremos que a concorrência tenha conhecimento.
É de se imaginar, portanto, que para tais informações as medidas de segurança serão as
mais severas.
As informações de parceiros são aquelas trocadas entre parceiros de negócio. Estas

precisam ser protegidas nos meios de comunicação pelos quais são transmitidas. São
informações sigilosas, normalmente trocadas apenas entre parceiros estratégicos de negócio.
É preciso garantir, por exemplo, um mecanismo seguro de troca de informação e que ela
permaneça fidedigna à original, ou seja, que não seja adulterada.
As informações de clientes e fornecedores são informações mantidas pela organização,

normalmente em função de seu relacionamento com clientes e fornecedores. Trata-se, por
exemplo, de um banco de cadastro de clientes, fornecedores etc. Normalmente são
informações que a organização precisa manter, de modo a não divulgá-las, por questões de
interesse de clientes e fornecedores. Por exemplo, nenhum cliente de um website de vendas
gostaria de ter suas informações pessoais divulgadas na internet.
As falhas em política de segurança da informação são bem polêmicas

quando descobertas, principalmente quando envolvem empresas grandes. O
Brasil, por exemplo, virou notícia com uma falha de segurança na Petrobras, em
2008, na qual dados da descoberta do pré-sal haviam sido roubados por meio
de notebooks furtados. No mundo há casos envolvendo empresas como Pespi,
Coca-Cola, HP e diversos bancos. Para conhecer um pouco mais sobre os
eventos de falha de segurança da informação mais famosos, acesse o link
disponível na Midiateca da disciplina.
2 Segurança da informação – definição e termos-chave

Na área de segurança da informação existem algumas normas que norteiam os
procedimentos a serem aplicados. Uma delas é a NBR ISO/IEC 27002. Trata-se de um código
de prática para a gestão de segurança da informação. Ao longo da disciplina, estudaremos
mais profundamente esta e outras normas.
Para a ISO 27002 (ABNT, 2007), a segurança da informação pode ser definida como a
proteção da informação contra vários tipos de ameaças para garantir a continuidade do
negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades
de negócio.
A segurança da informação, portanto, é a proteção da informação contra

vários tipos de ameaças, de modo a garantir a continuidade do negócio,
minimizar riscos, maximizar o retorno sobre os investimentos e as
oportunidades de negócio.
Ao analisarmos essa definição, precisamos definir alguns pontos-chave, para o correto

entendimento de toda essa definição. Inicialmente, a definição nos trás o conceito de que a
segurança da informação é a proteção contra vários tipos de ameaças. Quais seriam essas
ameaças? A seguir, temos alguns exemplos de possíveis ameaças à informação, de acordo
com Fontes (2008):
• Descontentamento ou desmotivação de colaboradores;
• Baixo nível de conscientização dos colaboradores sobre assuntos relacionados à

segurança;
• Inexistência de políticas e procedimentos para acesso, manipulação e armazenagem

da informação;
• Hacking, vírus, spam, e-mails maliciosos;
• Falta de um plano de recuperação a desastres;
• Desastres naturais, tais como incêndio, inundação, terremoto etc.
Observe que as ameaças nem sempre estão ligadas a recursos tecnológicos.

Normalmente, as organizações preocupam-se em se proteger contra ataques tecnológicos,
mas há uma série de ameaças em seu ambiente de trabalho que podem ser mais críticas do
que um ataque por meio eletrônico.

Na sua opinião, a empresa em que você trabalha pensa em todas as

possíveis ameaças listadas acima?
A concretização de uma ameaça pode gerar diversos efeitos, tais como a perda de clientes
e contratos, danos à imagem, perda de produtividade, aumento do custo para conter, reparar
e recuperar os processos de negócios afetados pela concretização de uma ameaça, além de
penalidades e multas que podem ser aplicadas por órgãos reguladores.
2.1 Pilares da segurança da informação

No estudo da segurança da informação, podemos definir três pilares essenciais para
o estabelecimento de controles e procedimentos que visam a garantir a segurança da
informação a ser protegida. Tais pilares formam a base de toda a área de segurança da
informação. São, portanto, elementos norteadores para a tomada de decisão e adoção de
políticas voltadas à proteção da informação pelas organizações. São eles (SÊMOLA, 2003, p. 46):
• Confidencialidade – é a certeza de que o acesso à informação será feito apenas por

aqueles que possuem o devido direito. É importante frisar que o objetivo não é negar
o acesso à informação, mas sim negar o acesso à informação para pessoas indevidas,
enquanto garantirmos o acesso àquelas que estão autorizadas.
• Integridade – é a garantia de que a informação não foi alterada, de forma indevida ou

não autorizada. Se ocorrer a adulteração da informação, é importante ter mecanismos
que sinalizem tal ocorrência.
• Disponibilidade – garantir que a informação esteja disponível sempre que necessário.
Podemos dizer que a segurança da informação visa a preservar três

conceitos importantes: confidencialidade, integridade e disponibilidade.
Para proteger os ativos da organização, em determinados casos, podem ser necessário

aspectos adicionais de segurança da informação, quais sejam (IEPSEN, 2014, p. 1):

• Autenticidade – garantir que as partes envolvidas em um processo de troca de

informação sejam quem afirmam ser;
• Não repúdio – garantir que o emissor ou manipulador da informação não possa

negar sua autoria ou responsabilidade. Por exemplo, uma troca de e-mails utilizando
certificados digitais para assinar digitalmente um e-mail garante que o emissor não
pode negá-lo, caso sua autoria seja questionada, assim como garante ao receptor
quem escreveu esse e-mail;
• Legalidade – garantir a legalidade da informação, de modo que esta fique aderente

à legislação;
Privacidade – garantir a capacidade de manter oculto o usuário criador ou manipulador

da informação, não sendo possível realizar uma associação direta entre a informação e o
usuário. Não se pode confundir esse conceito com confidencialidade. A confidencialidade
visa a manter confidencial a informação, com o acesso apenas para usuários autorizados
(logo, deve-se conhecer quem é o usuário). A privacidade visa a não associar a informação
ao usuário. Um bom exemplo dessa privacidade são as urnas eletrônicas brasileiras, que não
permitem associação de um voto a um eleitor, tornando o voto secreto;
• Auditoria – é a capacidade de rastrear diversos passos de um negócio ou de um

processo, identificando os participantes, assim como os locais e horários dos eventos.
Na sua opinião, as urnas brasileiras são um bom exemplo de garantia à

privacidade? Reflita sobre a posição de diversos países em não adotar um
procedimento eletrônico de votação. Quais as vantagens e desvantagens dessa
decisão, em relação à segurança da informação?
Na definição de segurança da informação, encontramos o termo Ativo. Mas o que vem a

ser um ativo organizacional?
Podemos definir um ativo organizacional como algo que tenha valor para a organização,
com base no que é definido pela ISO 27001. Normalmente, os ativos são elementos que
fornecem suporte aos processos de negócios. Outra definição encontrada para ativo é que
este é qualquer elemento usado para armazenar, processar, transportar, manusear e descartar
a informação, inclusive a própria.

Um ativo organizacional é tudo o que tenha valor para a organização. A

própria Informação é um ativo organizacional.
São diversos os tipos de ativos que podemos encontrar em uma organização. Dessa
forma, eles são agrupados em categorias, quais sejam:
• Ativos de informação: correspondem a bases de dados, documentação de sistemas,

manuais de usuários (helpers), plano de continuidade de negócio, trilhas de
auditoria etc.;
• Ativos de software: são os aplicativos, sistemas e utilitários utilizados pela organização;
• Ativos de serviço: referem-se à iluminação, aquecimento, eletricidade e refrigeração;
• Ativos humanos: pessoas e suas qualificações;
• Ativos intangíveis: são exemplos de ativos intangíveis a imagem e a reputação

da empresa.
2.2 Mais alguns conceitos-chave da segurança da informação
A segurança da informação é repleta de termos. Compreendê-los é fundamental para

o entendimento das normas e dos procedimentos da área. Na definição de segurança da
informação, apresentada na Seção 1.2, temos o termo ameaça. De acordo com a Norma ISO
27001, uma ameaça é qualquer evento que explore vulnerabilidades (ABNT, 2007).
A norma ISO 27001 também nos trás a informação de que uma vulnerabilidade é algo
que pode ser explorado e, sendo, comprometa a segurança de sistemas e informações.
Normalmente dizemos que vulnerabilidade é a fragilidade de um ativo ou grupo de ativos
que pode ser explorada por uma ou mais ameaças (ABNT, 2007).
A combinação da probabilidade de ocorrência de uma ameaça com o impacto que a

vulnerabilidade explorada pode gerar ao negócio é denominada risco. Ou seja, quanto maior
a vulnerabilidade e maior a probabilidade de ocorrência da ameaça, maior é o risco que
existe ao negócio.

Para a norma ISO 27001, dá-se o nome de ataque a uma ação que comprometa a
segurança da organização, sendo também definida como a concretização da ameaça,
explorando uma vulnerabilidade (ABNT, 2007). Podemos dizer que o impacto é a consequência
gerada pela ocorrência de um ataque.
Figura 1 – Termos-chave da segurança da informação
Fonte: Adaptada de Ramos (2008, p. 26).
A Figura 1 apresenta uma visão geral do relacionamento existente entre os termos-chave

da área de segurança da informação.
2.3 Ciclo de vida da informação

Se quisermos proteger a informação de ameaças, minimizando as vulnerabilidades, de
modo a evitar ataques que gerem grandes impactos à organização, precisamos conhecer o
ciclo de vida da informação.
De acordo com Sêmola (2003), a informação em uma organização possui um ciclo de

vida. Tal ciclo é composto por momentos vividos pela informação e que a colocam em risco.
Nesse ciclo participam diversos ativos organizacionais, principalmente os físicos, os humanos
e os tecnológicos, que fazem uso, alteram ou descartam a informação.

Figura 2 – Ciclo de vida da informação
Fonte: Adaptada de Sêmola (2003, p. 11).
A Figura 2 apresenta o ciclo de vida da informação. Na segurança da informação nos

preocupamos com suas etapas, buscando manter a confidencialidade, integridade e
disponibilidade da informação.
Um dos termos mais importantes de segurança da informação é o termo controle. Um

controle é um conjunto de práticas, procedimentos e mecanismos utilizados para a proteção
de ativos. Os controles normalmente são utilizados para impedir que as ameaças explorem as
vulnerabilidades, reduzir o surgimento de novas vulnerabilidades e minimizar o impacto dos
incidentes de segurança da informação na organização.
É por meio dos controles que aplicamos um conjunto de práticas,

procedimentos e mecanismos para a proteção dos ativos da organização, com
o objetivo de impedir ou minimizar que as ameaças explorem as vulnerabilidades.

2.4 Controles, políticas e comprometimento da alta administração

Normalmente um conjunto de controles administrativos e diretrizes organizacionais é
denominado como políticas. Nas políticas existem dois tipos principais de controles:
• Controles físicos: são controles que visam a limitar o contato ou acesso direto à
informação ou à infraestrutura que a suporta. São exemplos de controles físicos as
portas, trancas, blindagens etc.
• Controles lógicos: são controles que buscam impedir ou limitar o acesso à informação,
geralmente implantados de uma maneira eletrônica. Técnicas tais como criptografia,
assinatura digital e controle de acesso são exemplos clássicos de controles lógicos.
É por meio da aplicação de controles, com o objetivo de eliminar e administrar as

vulnerabilidades, que reduzimos os riscos. Mas como escolher os controles? Quais aplicar?
Normalmente, essa decisão é baseada na segmentação da importância da informação para
a organização, isto é, avalia-se o valor da informação e o custo de sua proteção e, então,
aplicam-se controles para garantir a sua confidencialidade, integridade e disponibilidade.
Os controles físicos e lógicos normalmente são colocados em prática nas organizações

por meio de procedimentos, guias e padrões. Enquanto as políticas representam o nível mais
alto de documentação de segurança da informação (posições estratégicas da organização),
os procedimentos, guias e padrões são níveis complementares mais operacionais, porém não
menos importantes que a política.
De fato, uma política é representada por um documento que deve ser definido sob
um aspecto estratégico da organização, normalmente aprovado por seus dirigentes.
Destaca-se, portanto, que nenhuma política de segurança da informação deva existir sem o
comprometimento da alta administração, de modo a viabilizar ações para que os demais
membros da organização compreendam a importância da segurança da informação.
É necessário que o aculturamento de colaboradores, executivos e parceiros comerciais

seja feito no sentido de deixar claro que todos têm uma parcela de contribuição no
estabelecimento de regras, na proteção e que precisam alertar as áreas competentes sempre
que algo suspeito for detectado.
Nesta aula buscamos apresentar os principais conceitos relacionados à segurança da
informação, definindo os principais termos-chave e contextualizando o cenário de segurança
da informação nas organizações.

Vimos que há três pilares que representam as propriedades a serem garantidas pela
segurança da informação, que são: confidencialidade, integridade e disponibilidade. É em
torno desses pilares que buscamos proteger a informação em seu ciclo de vida. Neste ciclo de
vida, estabelecemos um conjunto de controles de modo a garantir tais propriedades.
Vimos também a definição de ameaças, riscos, vulnerabilidades e impactos e seus

relacionamentos. É importante ter em mente os termos e suas relações durante o estudo
da disciplina, pois todos os tópicos estarão voltados para garantir essas três propriedades
básicas, minimizando a ocorrência de ameaças, que explorem as vulnerabilidades.
Por fim, fica evidente que nenhum programa de segurança da informação pode ser bem-
sucedido se não for inclusivo, determinando de maneira clara papéis e responsabilidades de
todas as partes envolvidas e motivado principalmente pela alta administração da organização.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: 2007. Tecnologia
da informação - código de prática para a gestão da segurança da informação. Rio de Janeiro:
ABNT, 2007.
ALBUQUERQUE, R.; RIBEIRO, B. Segurança no desenvolvimento de software. Rio de Janeiro:

Campus, 2002.
FONTES, E. Praticando a segurança da informação: orientações práticas alinhadas com Norma

NBR ISO/IEC 27002, Norma NBR ISO/IEC 27001, Norma NBR 15999-1, COBIT, ITIL. São Paulo:
Brasport, 2008.
______. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2010.
IEPSEN, E. Segurança de sistemas. Pelotas: Faculdade de Tecnologia SENAC, 2014. Disponível

em: <http://187.7.106.14/edecio/seg/aspectosSeguranca.pdf>. Acesso em: 20 dez. 2014.
RAMOS, A. (Org.). Security Officer 1: guia oficial para formação de gestores em segurança da
informação. 2. ed. Porto Alegre: Zouk, 2008.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus,
2003.

de Informação
Aula 02
Princípios e Conceitos em Segurança da Informação
• Entender o papel e importância da política de segurança da informação.
Temas
Introdução
1 Norma ISO/IEC 27001:2006
2 Política de segurança da informação
Referências
Professor
Introdução
Anteriormente, discutimos uma série de conceitos sobre segurança da informação
e também abordamos a política de segurança da informação, um documento que dita as
diretrizes organizacionais para a segurança da informação que, normalmente, é aprovado
pela alta administração da empresa, como uma forma de auxiliar a implementação dos
controles e procedimentos adotados por toda a organização.
Algumas perguntas são norteadoras para a definição e escrita de uma política de

informação:
• O que proteger?
• Contra o quê ou quem protegemos?
• Quais as vulnerabilidades e possíveis ameaças?
• Qual o impacto dessas ameaças caso ocorram?
• Quanto tempo, recursos financeiros e humanos se pretende gastar na implantação

de controles de segurança da informação?
• E, por fim, quais as expectativas organizacionais em relação à segurança

da informação?
Temos que buscar respostas para todas as perguntas de modo a escrever uma política
de segurança da informação eficaz e eficiente. Ao longo da disciplina, seremos cada vez mais
capazes de respondê-las plenamente.
Nesta aula estudaremos mais profundamente o que é uma política de segurança da

informação, com base na norma NBR ISO/IEC 27001:2006.
1 Norma ISO/IEC 27001:2006

A norma NBR ISO/IEC 27001:2006 aborda a criação e implantação de uma Política de
Segurança da Informação em uma organização. Mas o que de fato vem a ser uma norma?
Não podemos confundir normas com políticas, regulamentações, diretrizes ou

procedimentos. Para isso, vamos defini-los de modo a deixar claro o conceito de norma.
Uma política é um conjunto de orientações em conformidade com os objetivos de negócio.

Uma regulamentação é a busca de conformidade com a legislação vigente. Uma diretriz é
um conjunto de ações ou caminhos a serem seguidos em determinados momentos, dentro
de um contexto estratégico. Um procedimento são instruções operacionais, normalmente
com o objetivo de atender a algum objetivo estratégico determinado por uma política.
Com esses conceitos definidos, podemos afirmar que uma norma é aquilo que se
estabelece como medida para a realização de uma atividade. Por meio dela, definimos
regras e instrumentos de controle para assegurar a conformidade de um processo, produto
ou serviço.
A ISO/IEC 27001 tem origem na norma britânica BS-7999-2. Trata-se de uma norma que
é voltada para a certificação de uma organização sobre a implantação de um Sistema de
Gerenciamento de Segurança da Informação (SGSI). Essa norma está dividida em 11 capítulos
principais, quais sejam (ABNT, 2006):
• Políticas de segurança;
• Organizando a segurança da informação;
• Gerenciamento de ativos;
• Segurança dos recursos humanos;
• Segurança física e ambiental;
• Gerenciamento das operações e comunicações;
• Controle de acessos;
• Aquisição, desenvolvimento e manutenção de sistemas de informação;
• Gerenciamento de incidentes na segurança da informação;
• Gerenciamento da continuidade do negócio;
• Conformidade.
Fazendo uso da ISO/IEC 27001 podemos estabelecer, implementar, operar, monitorar,

manter e melhorar um SGSI. A adoção de um SGSI é uma decisão estratégica para a
organização. Não há uma obrigação de se adotar todos os controles e diretrizes apresentados
nessa norma. Além disso, na implantação de um SGSI podemos fazer uso de outros controles
e diretrizes que não estão em tal norma.
Ao longo da disciplina, abordaremos com mais profundidade essa norma, pois ela,
juntamente com outras normas, norteia os trabalhos na área de segurança da informação.

A Norma ISO/IEC 27001 sugere que o nível mais alto da organização defina um documento
contendo diretrizes baseadas em melhores práticas e padrões de segurança reconhecidos
internacionalmente, além de alinhadas com o código de ética da empresa e com a legislação

vigente no país (ABNT, 2006). Esse documento é o que chamamos de Política de Segurança
da Informação (PSI).
Por meio desse documento, uma organização registra os princípios e diretrizes de

segurança da informação a serem adotados. Encontraremos, portanto, a formalização do que
queremos proteger, de quais controles e monitoramento serão aplicados para essa proteção
e quais são os ativos da organização.
Recomenda-se que a estrutura organizacional da empresa possua um setor responsável

pela segurança da informação, o qual deve iniciar a elaboração da PSI, bem como coordenar
sua implantação, aprová-la mediante a alta administração e revisá-la regularmente e sempre
que necessário (SÊMOLA, 2003).
A PSI deve extrapolar assuntos relacionados à TI e recursos computacionais. Ou seja,

uma PSI não é um documento restrito à informática.
A política de segurança da informação deve extrapolar assuntos da área de

TI e recursos computacionais. Ela deve ser integrada à visão, à missão e às
metas institucionais, bem como ao plano estratégico da instituição.
Para a ISO 27001, a PSI deve definir como será a manipulação das informações, além de
como essa ação será monitorada e controlada. Para que os controles se tornem efetivos, além
da premissa de comprometimento da alta administração, é imprescindível que a PSI defina
papéis e responsabilidades (ABNT, 2006).
É importante que o documento da PSI apresente as principais ameaças e vulnerabilidades

que se deseja controlar, assim como riscos e impactos envolvidos. Tenha em mente de que
a informação será sempre alvo de ameaças, e que esta se encontra presente em todos os
processos organizacionais.
O desenvolvimento da tecnologia tornou as informações entrelaçadas, compartilhadas

e distribuídas em um mesmo fluxo, estando sujeitas a vulnerabilidades que ultrapassam
aspectos tecnológicos, sendo alvo de interferências humanas e físicas (SÊMOLA, 2003).
Normalmente, o documento de uma PSI trata dos seguintes aspectos (SÊMOLA, 2003;
FONTES, 2008; ABNT, 2006):
• Controle de acesso: trata da limitação do acesso à informação e aos recursos de

processamento. Visa a garantir principalmente a confidencialidade da informação;
• Classificação e tratamento da informação: para que possamos proteger algo, é

preciso conhecer o que estamos protegendo. Essa tarefa assegura que a informação
seja classificada em função de seu valor para o negócio, sua criticidade, além de
aspectos legais, como sigilo e privacidade. Classificar a informação em níveis de sigilo,
por exemplo, nos auxilia a garantir que esta não seja divulgada sem autorização ou
acessada por usuários sem a devida permissão;
• Segurança física e do ambiente: trata da proteção física da informação, protegendo-a

de acesso não autorizado, danos e interferências físicas;
• Cópias de Segurança ou Backup: trata da apresentação de controles e diretrizes para

proteger a informação de ser perdida. Normalmente, visa a garantir a disponibilidade
da informação, por meio de cópia de segurança das informações e de sistemas
computacionais corporativos;
• Gerenciamento de vulnerabilidades técnicas: controles com objetivo de

garantir a constante atualização dos sistemas computacionais, aplicação de
patches1 de segurança, dentre outros, com o objetivo de minimizar a exploração
de vulnerabilidades;
• Segurança nas comunicações: proteção das informações em redes e dos recursos de

processamento da informação que os apoiam;
• Relacionamento na cadeia de suprimento: proteção dos ativos da organização que

são acessíveis pelos fornecedores;
• Para compor essas seções do documento, normalmente busca-se adotar um conjunto

de fases que formam o Processo de Implantação da PSI, quais sejam:
• Identificação dos recursos críticos para a organização;
• Classificação das informações em níveis de criticidade, sigilo, disponibilidade etc.;
• Definição de objetivos de segurança a serem atingidos pela organização;
• Análise das possíveis ameaças, riscos e impactos nos ativos organizacionais;
• Elaboração da proposta de política;
• Discussão com membros da organização para elicitar os principais requisitos;
• Apresentação do documento à alta administração da organização;
• Aprovação da PSI pela alta administração;
1 Patches são pacotes de atualização e correção de erros disponibilizados com o objetivo de corrigir bugs e eventuais vulnerabilidades que
possam ser exploradas por agentes mal-intencionados.

• Publicação da PSI;
• Divulgação da PSI (cartazes, cartilhas, folders, palestras etc.);
• Treinamento das equipes;
• Implementação da PSI, por meio de procedimentos;
• Avaliação e identificação das mudanças;
• Revisão da PSI.
Após a definição e aprovação de uma PSI por uma organização, é possível desenvolver
normas e procedimentos que tratam de ações no ambiente operacional da organização.
Contextualizando a PSI com os três pilares da segurança da informação

(confidencialidade, integridade e autenticidade), podemos entender como uma política de
segurança da informação pode garantir essas propriedades.
Para a confidencialidade uma PSI deve garantir que o acesso aos dados e às informações
fiquem restritos a pessoas e autoridades devidamente autorizadas, além da proteção em
todas as fases de seu ciclo de vida: armazenamento, transmissão e processamento.
Para a integridade busca-se garantir que a alteração de dados e informações ocorra

apenas por usuários autorizados, além do armazenamento, processamento e transmissão
dos dados e informações de modo a garantir a exatidão e integridade das informações.
Para a disponibilidade a PSI deve garantir o acesso aos usuários autorizados sempre
que necessário. Sem essa garantia, a instituição pode ter diversos prejuízos, assim como
danos à sua imagem.
Como já fora dito, uma política deve se basear na legislação vigente do país. Como
exemplo, citamos o Decreto nº 3.505/2000, que define os objetivos de uma política de
segurança da informação para a administração pública federal. A seguir temos alguns trechos
do documento, que identificam os objetivos de uma PSI (BRASIL, 2000):
[...]
II. Eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos

e atividades vinculadas à segurança dos sistemas de informação;
III. Promover a capacitação de recursos humanos para o desenvolvimento de

competência científico-tecnológica em segurança da informação;
[...]
VIII. Assegurar a interoperabilidade entre os sistemas de segurança da informação.

O Decreto nº 3.505/2000 trata de apresentar objetivos da segurança da

informação para a administração pública federal. É importante enfatizar que
tais decretos apresentam, na maioria das vezes, recomendações que podem
ser adotadas para qualquer tipo de organização, seja ela pública ou privada.
Reflita sobre a importância de se consultar legislações semelhantes para a
elaboração de uma política de segurança da informação, pois ela pode ser um
bom elemento norteador, já que estão normalmente alinhadas com outras
legislações vigentes.
2.1 Fatores críticos de sucesso

Não basta apenas possuir uma PSI aprovada pela alta administração para que a segurança
da informação seja efetiva, o que será mais preciso? Um elemento crucial para o sucesso de
uma política de segurança da informação é uma mudança na cultura da organização.
A PSI é apenas o primeiro passo rumo a uma mudança cultural na organização, por meio
da adoção de novos procedimentos e conscientização sobre os riscos.
A PSI deve ser escrita de forma clara, para que todos os envolvidos possam entendê-la e
praticá-la. Recomenda-se evitar o uso de termos técnicos, pois o alvo principal da PSI são os
usuários que não dominam tais termos. É preciso ter em mente que todos os colaboradores
da organização, independentemente do cargo que ocupam, precisam entender a política e
quais os objetivos que a organização busca alcançar com tais diretrizes (FONTES, 2010).
Normalmente, a complexidade e o conteúdo em demasia fazem com que uma política

fracasse em atingir seus objetivos estratégicos.
A política em si pode ser composta por diversas políticas auxiliares, tais como políticas de
senha, de backup, de contratação de pessoal, de instalação de software e hardware, dentre
outros, de modo que cada área possa focar em uma política mais adequada à sua realidade
institucional (SÊMOLA, 2003; RAMOS, 2008).
O processo de adoção de uma PSI deve ser formal, contendo uma aprovação da alta
administração da empresa. Após a aprovação da PSI, sugere-se a adoção de quatro atividades
em fluxo contínuo: divulgação, distribuição, educação e treinamento e medição.

A política de segurança da informação deve ser constituída por um texto

sucinto, claro e objetivo. Além disso, após a sua aprovação, deve ser amplamente
divulgada para todos os envolvidos.
A divulgação consiste principalmente na realização de propagandas sobre segurança

(riscos, ameaças e impactos) para todos os gestores e funcionários da empresa.
A distribuição é a atividade frequente de distribuir as diretrizes definidas na PSI para

gestores e funcionários. Normalmente, as organizações fornecem cartilhas sobre sua PSI e
também solicitam aos colaboradores que assinem um termo de ciência sobre as diretrizes
definidas em sua política (RAMOS, 2010).
A medição é uma etapa de avaliação da efetividade das diretrizes, de acordo com a ISO
27001 (ABNT, 2006). É um elemento norteador para a alta administração acerca da atualização
de diretrizes que reflitam o cenário atual de suas operações. Por meio da medição, pode-
se avaliar o desempenho da gestão de segurança da informação e obter as sugestões de
melhoria da política.
É imprescindível que a organização tenha a consciência do rápido avanço tecnológico

e da convergência tecnológica aos quais estamos sujeitos, de modo que a política pode
nascer já com data para revisão. Uma política estática, ou seja, que não sofre atualização
regularmente, pode negligenciar novas ameaças e vulnerabilidades decorrentes da evolução
tecnológica e dos processos de negócio.
As diretrizes das políticas podem ser direcionadas: por aspectos tecnológicos (arquitetura
da informação), pelo perfil de atuação da companhia (nacional, multinacional, de capital
aberto, familiar, serviços financeiros ou de saúde etc.), por seus reguladores nacionais e
internacionais e, principalmente, pelo apetite a risco2 da alta administração.
Além de diretrizes de boas práticas, papéis e responsabilidades, uma política também

deve definir penalidades. As penalidades são decorrentes do nível de descumprimento de um
item da PSI. As penalidades vão desde uma advertência verbal, até uma demissão seguida de
processo judicial.
2 O nível de risco que uma organização está disposta a aceitar, antes de ser considerada necessária ação para reduzi-lo. Representa um
equilíbrio entre os benefícios potenciais de inovação e as ameaças que mudar inevitavelmente traz.

Nesta aula foi apresentada a política de segurança da informação, sua função e seus
principais direcionadores.
Falamos também sobre a norma NBR ISO/IEC 27001, principal referência para a definição
das premissas de controle em segurança da informação e políticas institucionais.
Ficou evidente que a política de segurança da informação é um documento elaborado

normalmente por um comitê e deve ser aprovado pela alta administração. Além disso, esse
documento deve estar em conformidade com o código de ética da empresa e a legislação
vigente. Seu conteúdo deve ser sucinto e direto, evitando o uso de jargões técnicos, de modo
a facilitar o entendimento por todos os envolvidos.
Outro tópico abordado foi o conjunto de fatores de sucesso para a devida implantação
da PSI, principalmente a divulgação, distribuição, educação e treinamento e medição. É
imprescindível a adoção de mecanismos de divulgação, distribuição de cartilhas, treinamentos
e medição constante para a atualização da política.
A questão da atualização da política de segurança da informação é um tópico de extrema

importância. A política não é um documento estático, ou seja, esse documento deve ser
constantemente atualizado, de modo a refletir as constantes mudanças tecnológicas e de
processos da organização.
As penalidades são elementos importantes de uma política, que, além de elencar papéis
e responsabilidades, deve definir como a organização irá se portar diante de infrações às
suas diretrizes.
Após a concepção e aprovação da política, um conjunto de procedimentos deverá ser

criado, de modo a operacionalizar as diretrizes definidas na PSI.
A política de segurança da informação pode ser composta por diversos documentos de

políticas complementares, tais como política de senhas, de backup etc.
Chegamos ao fim de mais uma aula. Espero que você tenha compreendido o papel da
PSI. Nas próximas aulas, aprofundaremos os tópicos necessários para elaboração da política
de segurança da informação, iniciando por uma análise mais detalhada das normas que
envolvem o tema.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.

______. ABNT NBR ISO/IEC 27002:2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
BRASIL. Decreto nº 3.505 de 13 de Junho de 2000. Institui a Política de Segurança da Informação

nos Órgãos e entidades da Administração Pública Federal. Disponível em: <http://www.planalto.
gov.br/ccivil_03/decreto/d3505.htm>. Acesso em:23 de Janeiro de 2015.

Brasport, 2008.
2003.

de Informação
Aula 03
As normas técnicas e modelos relacionados à segurança
da informação
• Relacionar as principais normas e os modelos usados em segurança
da informação.
Temas
Introdução
1 Normas ABNT NBR da família 27000
Referências
Professor
Introdução
Em nossas últimas aulas abordamos os principais conceitos de segurança da informação,
comentamos sobre a mudança cultural que deve acontecer nas organizações e os fatores de
sucesso para a implementação de uma política de segurança da informação.
Nesta aula, estudaremos mais profundamente as normas relacionadas à segurança

da informação. Tais normas nos fornecem diretrizes e subsídios para a construção de uma
política de segurança da informação eficiente e alinhada com padrões mundiais.
Para uma organização, o fato desta estar alinhada a uma norma internacional permite
a conquista de novos mercados, além de permitir a busca por certificações que atestam o
tratamento da informação.
1 Normas ABNT NBR da família 27000

A International Organization for Standardization (ISO) é uma organização para o
desenvolvimento e publicação de normas e mais de 160 países a integram (ISO, 2015).
Normalmente cada país possui uma entidade normativa nacional, vinculada à ISO. No
Brasil, a entidade normativa que é membro da ISO é a Associação Brasileira de Normas
Técnicas (ABNT).
Na área de segurança da informação, a ISO publicou algumas normas, sendo as principais

as normas ISO/IEC 27.001 e ISO/IEC 27.002. Após suas publicações, os órgãos nacionais as
revisam para eventuais adequações e, posteriormente, fazem suas publicações. No caso do
Brasil, a ABNT revisou as duas regras e, uma vez aprovadas, elas passaram a denominar-se
normas ABNT NBR ISO, no caso: ABNT NBR ISO 27001:2006 e ABNT NBR ISO 27002:2007.
A norma ABNT NBR ISO/IEC 27001:2006 apresenta um ciclo de atividades para a

implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Esse sistema
não é uma ferramenta tecnológica (isto é, não é um software). Normalmente se trata de
um comitê alinhado ao planejamento estratégico da empresa. Essa norma tem por objetivo
a certificação da empresa, para reconhecimento a nível internacional no que se refere à
garantia da segurança da informação pela organização (SÊMOLA, 2013; ROCHA, 2008).
De um modo geral, o ciclo de atividades proposto pela norma ABNT NBR ISO/IEC
27001:2006 para a implementação de um SGSI, pode ser descrito nos seguintes passos:
1. Criação de um plano de tratamento de riscos;
2. Alocação de recursos;
3. Seleção e implementação de controles de segurança;

4. Treinamento e educação;
5. Gerenciamento das operações;
6. Gerenciamento dos recursos;
7. Gerenciamento dos incidentes de segurança.
Abordaremos com mais detalhes essas atividades ao longo da disciplina, porém vamos
nos atentar à atividade de número 4. Com o objetivo de fornecer suporte para a definição dos
controles a serem utilizados pela empresa, a ISO desenvolveu a norma ISO/IEC 27002, que já
possui sua versão brasileira NBR ISO/IEC 27002:2007.
Essa norma é um padrão reconhecido internacionalmente que reúne um conjunto de

boas práticas, apresentando diversos controles para a segurança da informação em diversas
áreas, tais como: gerenciamento de ativos, gerenciamento das operações e gerenciamento
da continuidade do negócio (SÊMOLA, 2003).
É importante ressaltar que o conjunto de controles apresentados na norma NBR ISO

27002 não são obrigatórios no sentido de que uma organização deve adotar todos os
apresentados. Na verdade, cada organização deve escolher os controles que mais se adequam
à sua realidade, assim como também fazer uso de outros controles, não necessariamente
descritos nessa norma.
A seguir, estudaremos detalhadamente estas duas normas.
1.1 Norma NBR ISO/IEC 27001:2006
A Norma NBR ISO/IEC 27001:2006 denomina-se “Tecnologia da Informação - Sistemas

de Gestão de Segurança da Informação”. Na seção introdutória da NBR ISO/IEC 27001:2006
encontramos elementos que justificam a utilização da mesma como instrumento de referência
e análise para a criação de SGSIs:
Esta Norma foi preparada para prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão
de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão
estratégica para uma organização. A especificação e a implementação do SGSI de
uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de
segurança, processos empregados e tamanho e estrutura da organização. É esperado
que este e os sistemas de apoio mudem com o passar do tempo. É esperado que a
implementação de um SGSI seja escalada conforme as necessidades da organização,
por exemplo, uma situação simples requer uma solução de um SGSI simples. Esta
Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas
e externas. (ABNT NBR ISO/IEC 27001:2006 – Introdução: 0.1 – Geral, grifo nosso).

Como vimos, essa norma aborda a implantação de um SGSI apresentando um conjunto

de requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter
e melhorar esse sistema dentro de um cenário de riscos. Tais atividades formam um ciclo
denominado PDCA (Plan - Do - Check - Act).
O PDCA é um conceito amplamente utilizado em diversas áreas, não apenas na segurança

da informação. De uma maneira simples, é possível compreender como esse ciclo funciona,
conforme segue (FONTES, 2010; SÊMOLA, 2003):
• Toda vez que temos um projeto a ser feito, a primeira coisa que fazemos é conhecer
o que precisamos e o que queremos alcançar (objetivos). Esta é a primeira fase do
PDCA, a fase de Planejamento (Plan);
• Após definirmos o que queremos, podemos começar a pôr em prática um conjunto

de atividades para atingir o objetivo. Esta etapa denomina-se Fazer (Do);
• Após as atividades estarem em execução, nosso trabalho não pode ser dado por
finalizado. É preciso medir o que alcançamos, para saber se atingimos nosso objetivo
ou não. Esta fase denomina-se Verificar (check);
• Visando à melhoria contínua, ao término da fase anterior, temos um conjunto de

indicadores que nos demonstram quais ações devem ser feitas para alcançar mais
efetivamente nosso objetivo, iniciamos um conjunto de ações para isto. Esta fase
denomina-se Agir (Act).
No contexto de segurança da informação, podemos dizer que a fase de planejamento

corresponde ao estabelecimento do SGSI. Isto é: de sua política, objetivos, processos e
procedimentos, da avaliação dos riscos de segurança da informação que a organização possui
e, consequentemente, da seleção dos controles mais apropriados para mitigar tais riscos
(ROCHA, 2008).
A fase de fazer corresponde na implementação e operação dos controles que foram

selecionados. Logo após, temos a fase de verificar, onde um conjunto de atividades para
revisar e avaliar o desempenho do SGSI são colocadas em prática. A última fase do ciclo, agir,
corresponde à realização de uma série de mudanças para garantir e melhorar o desempenho
desse sistema de gestão (ROCHA, 2008).
Essa norma é utilizada pelas empresas para fins de certificação e auditoria. Para que
uma empresa obtenha tal certificação, ela necessita estar em conformidade com todos os
requisitos apresentados pela norma. Como falamos, o ciclo de estabelecimento de um SGSI
inicia-se pela criação de plano de tratamento de riscos. Ao longo das demais aulas, veremos
que há riscos aceitáveis. Logo, em função disso, a empresa pode considerar alguns riscos
aceitáveis, de modo que ela não necessita atender a algumas diretrizes da norma. Porém, ela
terá que justificar o não cumprimento do requisito aos auditores que validarão a certificação.

A norma ISO 27001:2006 divide-se em 9 capítulos, quais sejam:
Tabela 1 – Seções da ABNT NBR ISO/IEC 27001:2006
Capítulos Descrição Detalhes

Apresenta de um modo geral a norma e o conceito
0 Introdução de SGSI. Também discute-se o papel do PDCA na
implantação de um SGSI.
1 Objetivo Apresenta a abrangência da norma.
Apresenta a norma NBR ISO/IEC 17799:2005
como referência normativa indispensável para
2 Referência normativa a aplicação da ISO 27001:2007. A norma foi
17799:2005 foi cancelada e substituída pela ABNT
NBR ISO/IEC 27002.
Apresenta os termos e definições utilizados na
3 Termos e definições
norma.
Apresenta os requisitos para criação,
Sistema de gestão
implementação, monitoramento, melhoria,
4 de segurança da
documentação e registros das informações do
informação
SGSI.
Responsabilidades da Apresenta a definição de responsabilidades,
5
direção treinamentos e provimento de recursos do SGSI.
Apresenta requisitos para auditorias internas
6 Auditorias internas realizadas para determinar se os objetivos do SGSI
estão sendo alcançados.
Análise crítica do SGSI
7 Verificação das ações do SGSI pela direção.
pela direção.
8 Melhoria do SGSI. Melhorias contínuas da eficácia do SGSI.
Fonte:Elaborada pelo autor (2015).
Os capítulos 0, 1, 2 e 3 são mais informativos, descrevendo a finalidade da norma, citando

a norma utilizada como referência (no caso, a ISO 27002), assim como lista o conjunto de
termos e definições utilizados pela norma.
Os capítulos de 4 a 8 são de observância obrigatória para fins de certificação. O capítulo

4 apresenta a necessidade de se estabelecer, implementar, operar, monitorar, manter e
melhorar um SGSI documentado, ressaltando que a criação de um SGSI deve ser precedida
de uma análise de riscos, para definir as áreas de atuação e os limites do SGSI.
O capítulo 5 aborda as necessidades atribuídas à gestão do SGSI, referindo-se à atribuição

de responsabilidades, além de prover treinamentos e demais recursos necessários para a
manutenção do SGSI.
O capítulo 6 aborda as auditorias internas, definindo quais áreas devem ser auditadas,
a periodicidade de tais auditorias, assim como define quem poderá atuar como auditor
nessas atividades.

O capítulo 7 simboliza a fase CHECK do PDCA, na qual são verificadas as ações realizadas
pelo SGSI. O capítulo 8, por sua vez, aborda a melhoria continua do SGSI, simbolizando o ACT
do PDCA.
A norma também apresenta em seu Anexo A os controles e seus objetivos, baseados na

norma ABNT NBR ISO/IEC 27002.
A empresa que tem por objetivo obter a certificação na área, preenche um documento
denominado Declaração de Aplicabilidade. Nesse documento, estão relacionados quais
controles do Anexo A são aplicáveis em seu SGSI e justifica os que não serão aplicáveis. Por
exemplo, há controles para garantir a segurança da informação no caso de acesso remoto? Se
uma empresa não possui acesso remoto de seus colaboradores aos sistemas, não há motivos
para se implantar tais controles. Logo, na declaração de aplicabilidade, esses controles serão
descartados e justificados (SÊMOLA, 2003; ROCHA, 2008).
1.2 Norma NBR ISO/IEC 27002:2007

A norma ABNT NBR ISO/IEC 27002:2007 denomina-se “Tecnologia da Informação -
Técnicas de Segurança - Código de Práticas para controles de Segurança da Informação”.
Trata-se de uma norma preparada para atuar como um guia prático para o desenvolvimento
e a implementação de controles e procedimentos da segurança da informação por
uma organização.
A ISO 27002:2007 apresenta 11 capítulos, denominados seções, que tratam de controles

de segurança da informação. Os primeiros quatro capítulos apresentam o objetivo da norma,
termos de definições, sua estrutura e abordam o tema de análise e tratamento de riscos.
Logo, as 11 seções da norma que apresentam os controles para segurança da informação são
(SÊMOLA, 2003; ROCHA, 2008; FONTES, 2010):
• Seção 5 - Política de Segurança da Informação: provê orientação para elaboração

de uma política de segurança da informação pela direção da organização, sua análise
crítica e avaliação. Um exemplo de controle existente nesta seção é a documentação
da política de segurança da informação aprovada pela direção;
• Seção 6 - Organizando a Segurança da Informação: apresenta controles para

gerenciar a segurança da informação dentro da organização, assim como os
controles para que possa por mantida a segurança dos recursos de processamento
da informação, quando disponibilizados a partes externas (prestadores de
serviço, por exemplo). Um exemplo de controle desta seção é a inserção em
acordos com terceiros de cláusulas que garantam os requisitos de segurança da
informação relevantes;
• Seção 7 - Gestão de Ativos: apresenta controles voltados por definir as

responsabilidades pelos ativos da organização, classificação das informações e uso

aceitável dos ativos. Um exemplo de controle para esta seção é a realização de

inventário de ativos importantes da organização;
• Seção 8 - Segurança em Recursos Humanos: trata dos controles de segurança da

informação durante o ciclo de vida da prestação de serviços pelos profissionais da
organização. Lida com aspectos de segurança que devem ser observados antes,
durante e no encerramento da contratação de profissionais. Um exemplo de
controle apresentado nesta seção é a documentação de papéis e responsabilidades
pela segurança da informação de funcionários, fornecedores e terceiros de acordo
com a política de segurança da informação;
• Seção 9 - Segurança Física e do Ambiente: apresenta controles para o tratamento

da segurança física e do ambiente. Um exemplo de controle desta seção consiste
na demarcação de perímetros de segurança para proteger áreas que contenham
informações e instalações de processamento da informação;
• Seção 10 - Gestão de Operações e Comunicações: é a maior seção da norma. Seu

tamanho justifica-se pelo fato de abordar as operações dos serviços tecnológicos da
organização. Um exemplo de controle para esta seção é a segregação de funções e
áreas de responsabilidades, de modo a reduzir oportunidades de modificação ou
uso indevido e não autorizado dos ativos da organização;
• Seção 11 - Controle de Acessos: apresenta categoria de controles que lidam com

o controle de acesso lógico (senhas, privilégios de acesso, acesso a rede etc.)
aos recursos de informação. Um controle apresentado nesta seção consiste no
estabelecimento e documentação de uma política de controle de acesso. Lembre-
se que uma política de segurança da informação pode ser acompanhada de outras
políticas, ok?;
• Seção 12 - Aquisição, Desenvolvimento e Manutenção de Sistemas: apresentam-se

controles relacionados às atividades de aquisição, desenvolvimento e manutenção
de softwares pela organização. Um exemplo de controle para esta seção é o
estabelecimento de regras de restrição de acesso ao código-fonte de softwares;
• Seção 13 - Gestão de Incidentes de Segurança da Informação: trata de controles

para o processo de notificação de eventos de segurança, papéis e responsabilidades
e coleta de evidências. Um exemplo de controle para esta seção é a disponibilização
de canais adequados para que eventos de segurança da informação sejam relatados
o mais rapidamente possível após a sua ocorrência;
• Seção 14 - Gestão de continuidade de negócio: apresenta controles voltados para a

continuidade do negócio em caso de ocorrência de algum desastre. Um exemplo de
controle para esta seção consiste no desenvolvimento de planos para a manutenção
ou recuperação das operações após interrupções ou falhas em processos críticos
do negócio;

• Seção 15 - Conformidade: estabelece que os requisitos de segurança da informação

a serem adotados pela organização estejam de acordo com qualquer legislação
vigente, assim como estatutos e obrigações contratuais que porventura a organização
venha a ter. Um controle apresentado nesta seção consiste na verificação periódica
de conformidade com normas de segurança e legislação vigente.
As 11 seções de controles de segurança da informação totalizam 39 categorias principais

de segurança e uma seção introdutória abordando a análise e tratamento de riscos. Cada
seção da norma possui um número de categorias principais de segurança da informação.
A seguir temos um exemplo da estrutura da norma, em que destacamos a hierarquia de

seção - categoria - controle, o qual encontramos na norma ISO 27001:
5. Política de Segurança da Informação (Seção)
5.1 Política de Segurança da Informação (Categoria)
5.1.1 Documento de Política de Segurança da Informação (Controle)
“Convém que um documento da política de SI seja aprovado pela direção [...]”
5.1.2 Análise Crítica da Política de Segurança da Informação (Controle)
“Convém que a política de SI seja analisada criticamente a intervalos [...]”
Observando a estrutura acima, vemos que o item 5 é uma seção da norma. O item
5.1 é uma categoria, de modo que os itens 5.1.1 e 5.1.2 sejam os controles apresentados,
juntamente com suas descrições.
Você deve ter notado a extensão da norma. Ela é repleta de um conjunto de controles
que buscam auxiliar a escolha dos mais adequados às necessidades de segurança da
informação pela organização, em função de sua análise de riscos.
Nas demais aulas, abordaremos com mais detalhes cada seção da norma ISO 27002,
contextualizada com a norma ISO 27001, assim como demais normas que venham a
ser necessárias.
Nesta aula, apresentamos com mais detalhes as normas ABNT NBR ISO/IEC 27001:2006
e ABNT NBR ISO/IEC 27002:2007. Iniciamos contextualizando o papel da organização mundial
ISO e chamando a atenção ao fato de que as normas editadas por essa instituição são
adequadas em cada país. No caso do Brasil, a ABNT é a responsável pela adequação.
Avançamos conhecendo mais a fundo a norma ISO 27001, utilizada principalmente

para fins de certificação. Estudamos sua estrutura, conhecendo os capítulos que a compõem
e seus relacionamento com a norma ISO 27002. Vimos que a norma apresenta um conjunto

de diretrizes que devem ser adotadas por uma empresa para certificação na área. A empresa
deve especificar na Declaração de Aplicabilidade quais controles serão utilizados em função
de seu gerenciamento de riscos.
O SGSI é um produto de planejamento e gestão da empresa, que objetiva ter uma

política de segurança da informação eficiente e efetiva. O PDCA é um ciclo de planejamento
e gestão do SGSI, que busca a melhoria contínua e o aperfeiçoamento das diretrizes e dos
procedimentos.
A norma NBR ISO/IEC 27002:2007 nos provê um conjunto de boas práticas para o
estabelecimento de controles que visam a garantir a segurança da informação, buscando a
confidencialidade, integridade e disponibilidade da informação na organização, conforme
estudamos nas aulas anteriores. Ao longo de nossas próximas aulas, nos aprofundaremos em
cada seção dessa norma, conhecendo seus principais controles propostos.
Por fim, apresentamos também uma breve visão sobre as seções dessa norma, seus
principais objetivos e um exemplo de controle que podemos encontrar em tais seções.
Ressalto que esses controles não são absolutos, muito menos representam os únicos controles
que podem ser aplicados por uma empresa. Trata-se de uma lista de recomendações, mais
conhecidas como boas práticas.
Você deve ter notado que os controles também aparecem na norma ABNT NBR ISO/IEC
27001:2006, mas de uma maneira bem resumida em seu Anexo A. Por que então há outra
norma (a NBR ISO/IEC 27002:2007) que apresenta novamente tais controles? A explicação
mais aceita na área é que há diversas formas de interpretar os controles apresentados na ISO
27001. Dependendo da interpretação, o resultado ao qual se chega é divergente do proposto
pela ISO. Logo, com o objetivo de minimizar interpretações divergentes ou tendenciosas, a
ISO editou a norma 27002 para que as boas práticas sejam expostas e haja uma tendência
maior de convergência de ações voltadas à execução dos controles.
Ressalto que as normas não estão presas a nenhuma tecnologia. A descrição dos controles
é genérica e independe de fornecedor e tecnologia. Este é um ponto muito importante, pois
garante a neutralidade de tais normas.
Uma palavra que está mais evidente é RISCO. Vimos que é com base no plano de
gerenciamento de riscos que uma organização escolhe quais controles serão aplicados.
Realizar uma correta análise e classificação de riscos é fundamental para que a política de
segurança da informação seja efetiva.
Em nossa próxima aula, nos aprofundaremos no tema gerenciamento de riscos, para

que possamos compreender cada vez mais quais controles são adequados às necessidades
de uma empresa.
Um abraço e até a próxima aula.

Referências

Brasport, 2008.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. International Organization for

Standardization. Membros. Disponível em: <http://www.iso.org/iso/home/about/iso_
members.htm>. Acesso em 17 Jan. 2015.
ROCHA, H. Proposta de cenário para aplicação da norma NBR ISO/IEC 27002 em auditorias
governamentais do sistema de controle interno. Monografia de Especialização em Ciências da
Computação. Brasília: UNB, 2008.
2003.

de Informação
Aula 04
Riscos e gerenciamento de riscos
• Explicar os conceitos de riscos e as principais técnicas para identificação e
classificação de riscos.
Temas
Introdução
1 Riscos
Referências
Professor
Introdução
Em nossa última aula, estudamos as normas ABNT NBR ISO/IEC 27001:2006 e 27002:2007.
A primeira delas nos fornece requisitos para o estabelecimento e manutenção de um Sistema
de Gestão da Segurança da Informação (SGSI). A especificação do que será este SGSI é muito
influenciada pelas necessidades e objetivos da instituição, seus requisitos de segurança, os
processos empregados, além do tamanho e da estrutura da empresa.
Vimos que o estabelecimento e manutenção de um SGSI segue um ciclo PDCA. A primeira

atividade desse ciclo, equivalente ao planejamento, é conhecida como estabelecimento do
SGSI. Nessa etapa, buscamos identificar, analisar e avaliar os riscos, prevendo o impacto
destes na segurança da empresa, de modo a nos habilitar a escolher um conjunto de ações
para tratamento de tais riscos e uma seleção de controles, que nos permitirão detectar
rapidamente qualquer incidente de segurança. Ou seja, uma das entradas para o SGSI
são os requisitos da empresa acerca da segurança da informação e as expectativas das
partes interessadas.
De acordo com a NBR ISO/IEC 27002:2007, existem três principais fontes para o
estabelecimento de requisitos de segurança: a primeira delas é obtida através da análise
e avaliação de risco para a organização. A segunda fonte é o arcabouço formado pelas
legislações vigentes, estatutos, regulamentação, cláusulas contratuais etc. A terceira fonte
origina-se dos princípios, objetivos e requisitos da organização para o processamento
da informação.
Avaliar riscos é importante para que possamos entender para quais ameaças os ativos de
informação estão sujeitos. A análise e avaliação consistem, portanto, em diagnosticar os riscos
aos quais nossos ativos estão sujeitos e avaliar o que vamos fazer com tais riscos: podemos
adotar controles para minimizá-los ou até mesmo torná-los aceitáveis (isto é, conviver
com eles).
A legislação, os contratos vigentes, estatutos e demais documentos relacionados também

são uma rica fonte de requisitos de segurança da informação: normalmente contratos
deixam claros alguns requisitos que precisam ser atendidos por nossa política de segurança
da informação.
A cultura da organização, seus valores, princípios, objetivos de negócio também é um

forte indicador de requisitos de segurança da informação. É imprescíndivel tê-los em mente
no momento da escrita das diretrizes da política de segurança da informação.
Nesta aula iremos abordar a primeira dessas fontes: a análise e avaliação de risco. De
um modo geral nosso tema versará sobre a gestão de riscos para segurança da informação.

1 Riscos
O que vem a ser um risco no contexto da segurança da informação?
Podemos definir risco como a combinação da probabilidade de um evento ocorrer e de

suas consequências. O que vem a ser esse evento? Um evento é a relação entre as ameaças,
as vulnerabilidades e os dados causados (AVALOS, 2009; DINIZ, 2009).
Na segurança da informação, descrever um risco é detalhar cenários cujas consequências

afetam a confidencialidade, integridade e disponibilidade de determinados ativos (DINIZ,
2009).
Podemos definir risco como um efeito da probabilidade de um evento

ocorrer de suas consequências para o negócio. Descrever o risco é observar
como ele afeta a confidencialidade, integridade e disponibilidade de
determinados ativos.
Um exemplo de risco é o esquema de permissões de arquivos no Sistema Operacional

Linux. Nesse sistema operacional há três grupos de permissões para um arquivo: permissões
para o dono do arquivo, permissões para o grupo de pessoas ao qual o arquivo pertence e
permissões para os demais usuários do sistema. Um erro nessas permissões pode permitir
que uma pessoa não autorizada tenha um nível de permissão acima do permitido para o
arquivo, comprometendo sua integridade, em caso de alteração de seu conteúdo, ou sua
disponibilidade, quando, por exemplo, ela exclui o arquivo do sistema. Nesse caso, o risco é
formado pelo evento de acessar indevidamente um arquivo, explorando a vulnerabilidade de
falha na definição de permissões. Esse risco tem consequências na integridade e disponibilidade
do ativo (arquivo lógico e a informação que ele contém).
O Sistema Operacional Linux apresenta um esquema de permissão para

usuários e grupos muito interessante. Esse sistema é famoso por sua segurança
e estabilidade. Para conhecer um pouco mais sobre o Linux e seu mecanismo
de permissão de acesso, visite o endereço virtual disponível na Midiateca
da disciplina.

É vital que uma empresa tenha definido de uma maneira clara e objetiva o seu nível de
risco aceitável. Definir esse nível é elemento essencial à priorização dos investimentos em
segurança da informação.
Para que um fato seja considerado um risco, ele deve obedecer a um conjunto de
requisitos: ser algo provável de acontecer, causar prejuízos à organização, estar diretamente
relacionado a um ativo de valor, ser provocado por uma ameaça identificável, que explora
uma vulnerabilidade também passível de ser identificada.
De acordo com Alves (2006), os tipos mais comuns de riscos são:
• Risco de negócio - são riscos ocorridos na informação contemplada em decisões

estratégicas da organização;
• Risco humano - este risco é advindo de ações de pessoas, sejam elas mal intencionadas
ou não. A falta de conhecimento de um colaborador, por exemplo, pode levá-lo a
tomar decisões erradas durante a manipulação da informação;
• Risco tecnológico - são riscos oriundos de elementos de tecnologia, assim como

causados pela falsa sensação de segurança, em função de um baixo investimento em
equipamentos para segurança da informação;
• Risco de imagem - a confiança que os clientes possuem de uma organização é algo

inestimável. A segurança é um dos motores dessa confiança. Quando um usuário
informa os dados de seu cartão de crédito para uma compra online, ele confia na
empresa, no sentido de que essa informação não será utilizada para outros fins que
não seja o de concluir seu processo de compra. Ter seus dados expostos por um roubo
de informações nesse site compromete o vínculo de confiança que fora estabelecido
entre o consumidor e a empresa;
• Risco legal - são riscos gerados pela não observância da lei ou de penalidades previstas
em lei e que possam afetar o negócio.
1.1 Gestão de riscos

A gestão de riscos é o rol de atividades coordenadas para direcionar e controlar uma
organização no que se refere a riscos. Para Alves (2006), existem dois tipos de organizações
quando classificadas em função da gestão de riscos: as organizações reativas e as organizações
proativas. As reativas são conhecidas como os “apagadores de incêndios”, que estão sempre
atarefados em diversas atividades do dia a dia, mas nunca possuem tempo para planejar e
desenvolver algo relacionado a gerir os riscos. Nessas organizações, a ação para tratamento
do risco acontece apenas após a ocorrência do incidente. O efeito desse modo de agir é que o
processo fica normalmente mais caro e difícil de ser contido, pois quase não existe controles
de segurança.
As organizações proativas, por sua vez, possuem uma série de controles para o
tratamento das informações, não necessitando esperar que eventos ocorram para agir
mitigando as consequências.
A norma ABNT NBR ISO/IEC 27005:2008 tem por objetivo dotar de conhecimento as
empresas para que elas se tornem mais proativas. Essa norma propõe um modelo de Sistema
de Gestão de Riscos de Segurança da Informação - SGRSI.
Figura 1 - Etapas do Sistema de Gestão de Riscos de Segurança da Informação
Fonte: Adaptada de ABNT NBR ISO/IEC 27005:2008, p. 5
A Figura 1 apresenta as etapas de um Sistema de Gestão de Riscos de Segurança da

Informação, definidas pela ISO 27005. De acordo com a norma, esse sistema pode ser aplicado
a qualquer tipo de organização. A seguir tem-se a apresentação das principais atividades
desenvolvidas em cada etapa de gerenciamento de riscos.
1.1.1 Definição de contexto
Nesta etapa, realiza-se o levantamento do contexto no qual a organização está inserida,

fatores internos e externos que podem influenciar na política a ser adotada.

Também definimos nesta etapa o nível aceitável de riscos dentro da organização, assim
como quais serão os ativos considerados para a gestão de riscos (DINIZ, 2009).
1.1.2 Apreciação de riscos
Uma vez que já definimos o contexto organizacional e elencamos os critérios a serem

adotados na gestão de riscos, esta etapa tem por objetivo analisar e avaliar qualitativamente
e quantitativamente o risco (DINIZ, 2009).
A análise do risco é dividida em duas etapas: identificação do risco e estimativa do

risco. A identificação do risco tem por objetivo verificar os fatores relacionados ao risco,
sejam ativos, ameaças, controles, vulnerabilidades e as consequências de sua ocorrência
(DINIZ, 2009).
A estimativa do risco faz uso das abordagens qualitativa e quantitativa para definir valores
de probabilidade de ocorrência do risco e de seus impactos.
Vamos ver um exemplo de estimativa do risco. Para estimar um risco, precisamos estimar
a probabilidade de ocorrência deste acontecer, assim como mensurar os impactos que ele
pode causar à organização.
Um exemplo de escala impacto da ocorrência de riscos pode ser:
Tabela 1 - Exemplo de Graus de Importância para Impactos na Organização causados por um Evento.
Grau de Importância Impacto
0 impacto irrelevante
1 efeito pouco significativo aos negócios
2 indisponibilidade de sistemas por um período
3 perdas financeiras ao negócio
efeitos desastrosos - não comprometendo os

4
negócios
efeitos desastrosos - comprometendo os
5
negócios
Fonte: Elaborada pelo autor (2015)
De maneira análoga, podemos definir os seguintes graus de importância para as

probabilidades de ocorrência dos eventos:

Tabela 2 - Exemplo de Graus de Importância em Função da Probabilidade de Ocorrência do Evento.
Grau de Importância Probabilidade
0 improvável de ocorrer
1 ocorre menos de uma vez por ano
2 ocorre pelo menos uma vez por ano
3 ocorre pelo menos uma vez por mês
4 ocorre pelo menos uma vez por semana
5 ocorre diariamente
Fonte: Elaborada pelo autor (2015)
Podemos calcular o risco como:
RISCO: IMPACTO x PROBABILIDADE
Por exemplo, se consideramos a ameaça de “Erros Humanos”, com um impacto de perdas

financeiras ao negócio (3) e a probabilidade de ocorrer pelo menos uma vez por ano (2),
temos um risco de grau 3 x 2 = 6.
Na escala de exemplo que acabamos de montar, temos que o menor risco é o de valor 0
e o maior risco é o de valor 25 (5 x 5).
1.1.3 Avaliação dos riscos
Uma vez que temos os riscos definidos e mensurados, podemos avaliá-los em níveis
de prioridades. Normalmente, respondemos a duas perguntas nesta etapa: o que pode dar
errado? E o que fazer para enfrentar os riscos?
Esta fase é responsável por ordenar os riscos conhecidos por prioridade, de acordo com
os critérios de avaliação de riscos que a organização pode definir (DINIZ, 2009).
Nesta etapa determina-se as ações necessárias para reduzir o risco a um nível aceitável.
Em um ciclo de melhoria contínua, a avaliação dos riscos também realiza a comparação do
risco atual com patamares predefinidos.
1.1.4 Tratamento dos riscos
Com a execução das etapas anteriores, nesta etapa temos uma lista ordenada de riscos
conhecidos pela organização, segundo sua prioridade. Para a norma ISO 27001, algumas são
as opções para uma organização tratar o risco (DINIZ, 2009; AVALOS, 2009):

• Reduzir o risco: reduz-se o risco por meio da seleção de controles de modo que o
risco residual seja aceitável. Pode-se também eliminar a fonte do risco, ou minimizar
a sua probabilidade ou o seu impacto;
• Evitar o risco: identificam-se atividades que permitem que determinado risco possa
ser evitado;
• Transferir o risco: o risco deve ser transferido para outras entidades (um seguro, por
exemplo, é a transferência de um risco);
• Aceitar o risco: aceitar o risco por parte da organização. Significa “correr o risco”.
Normalmente é uma decisão da alta direção e bem embasada. Deve-se elaborar
um registro dos riscos aceitos, com a justificativa de seu aceite e com a relação dos
responsáveis por sua aprovação.
1.1.5 Aceitação dos riscos
Nesta etapa há o registro formal e justificado dos riscos residuais existentes na organização.
Risco residual é aquele que resta após a implantação de controles para evitar, transferir ou
mitigar os riscos.
Se um risco residual não for aceitável pela organização, recomenda-se uma nova iteração
desse ciclo de etapas, de modo a reduzi-lo com a adoção de novos controles ou ações. Entram
no grupo de riscos residuais aqueles para os quais a organização não dá importância, ou seja,
aqueles que precisam ser aceitos.
1.1.6 Comunicação
Para aumentar a efetividade do SGRSI, é importante que um processo de comunicação

abrangente e efetivo esteja presente em todas etapas.
Nesta etapa também realizam-se a conscientização e a instrução das partes envolvidas

com o risco.
1.1.7 Monitoramento e revisão
O ciclo PDCA também encontra-se presente no processo de gestão de riscos. A melhoria

continua é primordial, assim como a manutenção das etapas sempre que necessário. Um
novo ativo, uma nova ameaça descoberta, alterações na legislação ou regimento interno da
organização, dentre outros, são motivos para a revisão do SGRSI.

Nesta aula contextualizamos a gestão de riscos no processo de elaboração de uma
política de segurança da informação. Vimos que um dos primeiros passos para a seleção de
controles apropriados é o entendimento e a classificação dos riscos existentes.
Com base na Norma ISO 27005:2008, conhecemos um processo para elaboração de um

Sistema de Gestão de Riscos de Segurança da Informação (SGRSI), composto por um conjunto
de etapas que atuam na análise, estimativa, avaliação, tratamento e aceitação dos riscos.
Novamente estamos diante de um ciclo PDCA, voltado para a melhoria contínua e um melhor
conhecimento dos riscos existentes para a organização.
É importante destacar que não existe instituição 100% segura, de modo que é muito
provável que não conseguiremos tratar todos os riscos nos quais a instituição está envolvida.
Fazendo uso das normas de segurança que já estudamos, juntamente com a ISO 27005,
podemos selecionar controles que minimizem os impactos dos riscos para a organização,
assim como também diminuam a probabilidade de ocorrência dos mesmos. O grau de
severidade de um risco normalmente é associado pelo seu impacto aos negócios e por sua
probabilidade de ocorrência.
Ressalto que a seleção de controles e mudança de práticas organizacionais

(procedimentos) é um instrumento eficaz para diminuir um risco. Nem sempre um risco
pode ser evitado. Vimos que o tratamento de riscos compreende ações voltadas para reduzir,
evitar, transferir e aceitar o risco. A transferência de risco é algo presente em nosso dia a
dia. Por exemplo, ao dirigirmos nossos veículos adotamos uma série de “controles” que
reduzem nosso risco: o uso de cinto de segurança, dirigir em uma velocidade regular, praticar
uma direção defensiva etc. Porém, como o ato de dirigir está envolvido em um cenário com
múltiplos eventos (outros motoristas, por exemplo), não podemos reduzir muito o risco de
uma colisão com nosso veículo. Desse modo, transferimos esse risco com a efetivação de uma
apólice de seguro, que cobre nossos prejuízos em casos de colisões, por exemplo.
O gerenciamento de riscos é um dos principais motores da segurança da informação.

Deve existir sempre uma ação gerencial com o objetivo de monitorar, avaliar e melhorar a
eficiência dos controles que escolhemos para os tratamentos dos riscos identificados.
Em nossa próxima aula, começaremos a estudar mais a fundo os tipos de controle

existentes nas normas e seus principais objetivos.
Um abraço e até a próxima aula!

Referências
AlVES, G. Segurança da informação: uma visão inovadora da gestão. Rio de Janeiro: Ciência
Moderna, 2006.

______. ABNT NBR ISO/IEC 27005:2008. Gestão de Riscos de Segurança da Informação. Rio de
Janeiro: ABNT, 2008.
AVALOS, J. M. A. Auditoria e gestão de riscos. São Paulo: Saraiva, 2009.
DINIZ, F.; DINIZ, P. Avaliação preliminar da gestão de segurança da informação em duas

organizações públicas. Monografia - Licenciatura em Computação. Universidade de Brasília,
2009.

Segurança e Auditoria de Sistemas de
Informação
Aula 05
Objetivos de controle e tipos de controle
• Demonstrar os principais tipos de controle e objetivos de controle.
Temas
Introdução
1 Controles
Referências
Professor
Introdução
Nesta aula, abordaremos os principais controles apresentados na norma ABNT NBR ISO/
IEC 27001:2006. Nela teremos uma visão geral do rol de controles apresentados pela norma.
Por uma questão de propriedade intelectual, não podemos reproduzir na íntegra os

controles. Desse modo, busca-se a sua contextualização nos mais diversos cenários, de modo
que possamos compreender quais controles podem ser estudados com mais detalhes e
consultados na norma, para o tratamento dos riscos à segurança da informação.
É importante lembrar que a atividade de gestão de riscos precede a seleção de controles.

Precisamos conhecer os riscos aos quais nossos ativos estão sujeitos, e buscar por controles
que tratem tais riscos.
1 Controles
O termo controle normalmente é associado à ideia de um alarme, evento, medição,
monitoramento etc. Isto é, geralmente se pensa que um controle é algo muito técnico ou
simplesmente a execução de uma ação.
A norma define controle como todo o conjunto de ações, documentos, medidas,

procedimentos etc. a serem adotados, de modo a permitir que cada ativo, com seus riscos
mensurados, seja atendido por uma política de segurança e auditável.
O Anexo A é um documento adicional da norma ISO 27001:2006 que apresenta 133

controles, formando uma base de referência para o tratamento de riscos de segurança da
informação. Ele apresenta os controles e seus objetivos agrupados conforme a ISO 27002, em
10 seções, de 5 a 15. Cada seção possui categorias que agrupam os controles apresentados.
São elas:
• A.5 Política de segurança;
• A.6 Organizando a segurança da informação;
• A.7 Gestão de ativos;
• A.8 Segurança em recursos humanos;
• A.9 Segurança física e do ambiente
• A.10 Gerenciamento das operações e comunicações
• A.11 Controle de acessos
• A.12 Aquisição, desenvolvimento e manutenção dos sistemas de informação;

• A.13 Gestão de incidentes de segurança da informação;
• A.14 Gestão da continuidade do negócio;
• A.15 Conformidade.
A seguir, conheceremos com mais detalhe cada seção apresentada nesse anexo.
1.1 Política de segurança

Esta seção apresenta dois controles que tratam da criação do documento de política de
segurança da informação. Há também o foco na revisão deste em intervalos planejados ou
quando mudanças significativas acontecerem.
1.2 Organizando a segurança da informação

Este grupo apresenta 11 controles para organizar a segurança da informação e subdivide-
se em dois grupos:
• Organização interna: trata do compromisso da alta direção, responsabilidades,

autorizações, acordos de confidencialidade, contato com autoridades e grupos de
interesses nas áreas de segurança.
• Partes externas: controles relacionados a riscos com terceiros, clientes e sócios do

negócio.
Este grupo de controles foca principalmente na organização e manutenção de um

registro de contatos (externos e internos), com o maior detalhamento possível, contendo
pessoas, responsabilidades, ativos, necessidades, acordos, riscos etc. Foca-se também em
documentos que descrevam os direitos e as responsabilidades de qualquer um dos envolvidos
no tratamento da informação.
1.3 Gestão de ativos

Gerir os ativos de uma organização é uma atividade essencial à segurança da informação.
A gestão dos ativos consiste na manutenção adequada dos ativos da organização, assegurando
que a informação seja classificada de acordo com o nível adequado de proteção (TCU, 2012).
Este grupo apresenta cinco controles e também se encontra dividido em dois subgrupos:
• Responsabilidade pelos ativos: são controles voltados para o inventário dos ativos
e definição de seus proprietários. O termo proprietário não representa diretamente
a posse por um ativo, até porque ele normalmente pertence à organização. Trata-

se de uma pessoa ou organismo que tenha uma responsabilidade autorizada sobre

este ativo. Há também controles voltados para a identificação, documentação e
implementação de regras para o uso aceitável dos ativos;
• Classificação da informação: controles relacionados para que a informação receba

um nível adequado de proteção com base em um procedimento de sua classificação.
A informação pode receber rótulos e ser tratada de maneira diferente, para atingir os
objetos do negócio no que concerne à sua proteção.
O Governo Federal editou o Decreto nº 7.724, de 16 de maio de 2012, que

regulamenta o acesso a informações em virtude da Lei de Acesso à Informação.
Nesse documento são apresentadas formas de classificação das informações.
Essa é uma boa fonte de consulta para definição de critérios de classificação das
informações.
1.4 Segurança de recursos humanos

Este grupo é composto por 9 controles voltados para a Segurança de Recursos Humanos e
tem o objetivo de garantir que colaboradores, fornecedores e terceiros tenham compreensão
de suas responsabilidades e estejam de acordo com seus papéis.
Os controles são divididos em três subgrupos, quais sejam:
• Antes da contratação: são controles que atuam nas áreas de seleção e recrutamento,
incentivando a organização a elaborar, por exemplo, termos de aceitação da política
de segurança da informação, a serem assinados por todos os colaboradores que estão
sendo admitidos, assim como com novos fornecedores.
• Durante a contração: são controles que buscam garantir o conhecimento por

parte dos colaboradores acerca das ameaças e da preocupação com segurança da
informação pela organização, de modo que estes entendam suas responsabilidades e
estejam preparados para apoiar as ações voltadas à segurança da informação.
• Encerramento ou mudança da contratação: os controles deste subgrupo tem

o objetivo de garantir que não haja riscos no término dos vínculos de trabalho e
no término de contrato com fornecedores. Há a preocupação, por exemplo, em se
desenvolver procedimentos para que o acesso dessas pessoas seja revogado tão logo
suas saídas se efetivem.

1.5 Segurança física e do ambiente

Esta seção da norma apresenta controles voltados para a segurança física e do ambiente.
Tais controles sugerem formas de estabelecer áreas seguras para proteção dos ativos críticos
da organização, além de indicar como uma organização pode lidar para proteger os ativos
contra falhas ambientais, como falta de energia elétrica, inundação etc.
Este grupo é composto por 13 controles e encontra-se dividido em dois subgrupos:
• Áreas Seguras: esta seção da norma apresenta controles que lidam com aspectos
relacionados à segurança física e periférica aos ativos de informação, além do
controle físico de entrada, segurança em escritórios, salas, instalações. Também trata
de ameaças externas e do ambiente, do trabalho em áreas seguras, acesso do público
a tais áreas, áreas de entrega de equipamentos e de carregamento. Esses controles,
por exemplo, estabelecem a necessidade de perímetros de segurança (como paredes
e portas controladas por cartões de acesso) em locais que possuam elementos de
processamento das informações (por exemplo, um data center). Sabemos também
que há ameaças externas, como enchentes, terremotos, explosões e perturbação
da ordem pública, que precisam ser contingenciadas por meio de controles que
mitiguem os efeitos de tais riscos;
• Segurança dos equipamentos: são controles que tratam da redução de riscos

referentes a perdas, danos, furtos ou comprometimento dos ativos, além da
interrupção das atividades da organização. Foca-se, por exemplo, em temas
como proteção contra falta de energia elétrica, curto-circuito, manutenção dos
equipamentos de proteção etc.
1.6 Gerenciamento das operações e comunicações

O gerenciamento das operações e comunicações orienta a direção quanto aos
procedimentos e responsabilidades operacionais, incluindo gestão de mudanças, segregação
de funções e separação dos ambientes de produção, desenvolvimento e teste. Além disso,
são fornecidas diretrizes para o gerenciamento de serviços terceirizados, o planejamento e a
aceitação de sistemas, a proteção contra códigos maliciosos e códigos móveis, as cópias de
segurança (backup), o gerenciamento da segurança em redes, o manuseio de mídias, a troca
de informações, os serviços de correio eletrônico e, por fim, o monitoramento (TCU, 2012).
Este grupo é o que apresenta o maior número de controles propostos pela norma. Ao
todo são 32 controles, divididos em:
• Procedimentos e responsabilidades operacionais: tem como principal objetivo

garantir o funcionamento adequado e a operação da informação, sendo composto

por quatro controles. Há uma ênfase especial na documentação de todos os

procedimentos, mantendo os mesmos disponíveis para todos os usuários que
precisam deles, segregando adequadamente os serviços e as responsabilidades para
evitar o uso inadequado do mesmo;
• Gerenciamento de serviços terceirizados: abrange três controles, referindo-se

principalmente aos casos que envolvem tarefas terceirizadas. Os controles são voltados
para a cobertura de três aspectos principais: documentar adequadamente os serviços a
serem prestados (acordos, obrigações, responsabilidades, confidencialidade, nível de
serviço, manutenção etc.); medidas a serem adotadas para avaliação, monitoramento
e auditoria destes e um gerenciamento eficiente das mudanças na prestação destes
serviços;
• Planejamento e aceitação dos sistemas: são dois controles com o objetivo de

minimizar o risco em falhas nos sistemas, abordando temas como o planejamento
da capacidade dos recursos tecnológicos, e a criação de critérios para aceitação de
novos sistemas, atualizações e novas versões que não comprometam a segurança da
informação;
• Proteção contra códigos maliciosos e códigos móveis: possui dois controles que
objetivam detectar, prever e recuperar os ativos de códigos maliciosos, assim como
propor a conscientização dos usuários sobre tais riscos.
• Cópias de segurança: apresenta um controle que busca manter a integridade e a

disponibilidade da informação por meio de cópia de segurança das informações e de
softwares;
• Gerenciamento de segurança em redes: apresenta dois controles com objetivo de

garantir a proteção em redes de computadores, assim como manter níveis de serviço,
monitoramento e auditoria;
• Manuseio de mídia: são quatro controles com o objetivo de prevenir a divulgação

não autorizada de informações, a sua modificação, remoção ou destruição, assim
como evitar a interrupção das atividades de negócio.
• Troca de informações: encontramos neste grupo cinco controles que visam a manter
a segurança na troca de informações e nos softwares internos à organização, além
da interação com entidades externas. Busca-se criar políticas e procedimentos para a
proteção da informação para os processos de troca em todos os tipos de comunicação,
assim como estabelecer mecanismos de controle para a troca de informações entre
diversas instituições. Há também o enfoque para o tratamento de mensagens
eletrônicas, que necessitam ser devidamente protegidas;
• Serviço de comércio eletrônico: controles com objetivo de garantir a segurança dos

e-commerces e sua utilização segura. Este grupo é composto por três controles que,
além de abordar comércio eletrônico, tratam de questões como transações on-line e

informações disponíveis publicamente;
• Monitoramento: este grupo apresenta controles que visam a auditar e rastrear

atividades não autorizadas de processamento da informação. Composto por seis
controles, o monitoramento define objetivos para criação de mecanismo de auditoria
por meio de logs, registro de atividades de administradores nos sistemas, registro de
falhas nos sistemas e sincronização dos relógios entre os equipamentos e registros.
Este último é um elemento de extrema importância. Possui todos os equipamentos e
registros com o mesmo horário nos permite montar uma trilha correta de auditoria,
de modo a compreender a sequência dos eventos que causam o incidente. A não
garantia desse requisito dificulta o rastreamento correto da sequência das atividades
que causaram o evento.
1.7 Controle de acessos

Esta seção da norma lida com controles de acesso à informação e aos recursos de
processamento. Ela busca fornecer diretrizes para o estabelecimento de requisitos de negócio
que tratem do controle de acesso, gerenciamento de tais acessos e responsabilidades dos
usuários, controle de acesso à rede, ao sistema operacional, à aplicação e à informação, além
de aspectos referentes à computação móvel e ao trabalho remoto (TCU, 2012).
Este grupo apresenta 25 controles, agrupados nos seguintes subgrupos:
• Requisitos de negócio para controle de acesso: estabelece a criação de uma política

de controle de acesso na organização, com base nos requisitos de negócio;
• Gerenciamento de acesso do usuário: possui um conjunto de controles que visam

a criar procedimentos para o registro e o cancelamento de acesso em sistemas de
informação e serviços, além de um efetivo controle de privilégios (permissões),
gerenciamento de senhas, política de mesa limpa e tela limpa, que iremos abordar
mais posteriormente;
• Controle de acesso à rede: controles voltados para a prevenção de acesso não

autorizado à rede, dotada de mecanismos de autenticação e criptografia, segregação
de redes e controle do roteamento das redes;
• Controle de acesso ao sistema operacional: apresenta controles que buscam

prevenir acessos não autorizados aos sistemas operacionais da instituição. Os
controles sugerem a utilização de procedimentos seguros de log-on (entrada no
sistema), além de que cada usuário deve ter um identificador único, de modo
a identificá-lo quando necessário. Nestes controles é sugerida a adoção de
mecanismos de bloqueio de tela dos computadores automático, após certo tempo

sem uso. Isso evita o acesso a informações por uma pessoa que não possui o devido
privilégio. Outro controle importante é também o controle do horário de conexão
aos sistemas. Normalmente as empresas adotam políticas que proíbem o acesso
nos finais de semana e de madrugada;
• Controle de acesso à aplicação e à informação: são controles com o objetivo de

prevenir o acesso não autorizado às informações armazenadas nos sistemas de
informação;
• Computação móvel e trabalho remoto: são controles voltados à garantia da segurança

da informação quando do uso da computação móvel e de trabalho remoto.
1.8 Aquisição, desenvolvimento e manutenção de sistemas da

informação
Esta seção da norma nos orienta sobre a definição dos requisitos de segurança para os
sistemas de informação que são adquiridos, desenvolvidos ou mantidos pela organização,
tratando de tópicos como proteção contra processamento incorreto, controles criptográficos
etc.
Este grupo é composto por 16 controles, agrupados em seis subgrupos, quais sejam:
• Requisitos de segurança de sistemas da informação: há um controle que estabelece

que devem ser especificados requisitos para novos sistema de informação e melhoria
nos sistemas existentes;
• Processamento correto das informações: o mau processamento das informações

pode gerar erros, perdas, modificação não autorizada, dentre outros efeitos para
a informação. Os controles aqui definidos visam a mitigar tais efeitos, por meio da
checagem de código-fonte dos sistemas, requisitos de autenticidade e integridade de
mensagens e validação de dados de saída;
• Controles criptográficos: são controles que visam a proteger a confidencialidade,

autenticidade e/ou integridade da informação por meio de mecanismos de criptografia.
Tais mecanismos permitem mascarar a informação que está sendo transmitida ou
acessada, de modo que apenas as partes autorizadas possam ter acesso a ela;
• Segurança dos arquivos do sistema: são controles voltados à segurança dos arquivos
de sistema, por exemplo, controle de acesso aos códigos-fonte dos sistemas;
• Segurança em processos de desenvolvimento e de suporte: são controles que

buscam manter a segurança dos sistemas aplicativos e de informação existentes
na organização. Atuam também na questão do desenvolvimento terceirizado de
software;

• Gestão das vulnerabilidades técnicas: apresenta um controle com o objetivo de

reduzir riscos da exploração de vulnerabilidades técnicas conhecidas, de modo que a
organização possa avaliar a quais riscos está exposta e tomar as medidas adequadas
para lidar com os riscos associados.
1.9 Gestão de incidentes de segurança da informação

Este grupo possui cinco controles que visam garantir a devida notificação dos incidentes
de segurança da informação em tempo hábil, permitindo a ação de medidas corretivas
que minimizem os impactos. É composta por dois subgrupos, que focam na notificação de
fragilidades de segurança da informação e também na melhoria contínua do processo, com o
aprendizado sobre os incidentes de segurança, auxiliando na revisão do SGSI.
1.10 Gestão de continuidade do negócio

Este grupo apresenta 5 controles que buscam garantir a continuidade do negócio diante
da ocorrência de eventos de segurança da informação, assegurando a retomada em tempo
hábil, se for necessário.
Aqui entram conceitos como recuperação de desastres, desenvolvimento de planos de

contingência e continuidade dos negócios.
1.11 Conformidade
Este grupo, formado por 10 controles, tem por objetivo evitar qualquer violação à lei
criminal ou civil, estatutos, regulamentações ou quaisquer obrigações contratuais que a
organização venha a ter. Encontramos neste grupo controles que tratam da proteção de
propriedade intelectual, registros organizacionais, privacidade, uso de informações pessoais
etc.
Nesta aula foi apresentada uma visão geral dos controles estabelecidos pela norma ISO
27001:2006 e seus principais objetivos. Ao longo das demais aulas, abordaremos cada seção
de controles, apresentando cenários de exemplo e modelos de diretrizes de segurança da
informação.
O objetivo desta aula não foi o de ser exaustiva na apresentação dos controles. Apenas
tenha em mente que esse rol de controles é um conjunto de boas práticas oriundas de
diversas partes do mundo e consolidadas nas normas pela ISO e, consequentemente, pela
ABNT, as quais nos auxiliam na seleção de controles mais apropriados para tratar os riscos de
segurança da informação de nossa organização.
Referências
______. ABNT NBR ISO/IEC 27002. Tecnologia da informação - código de prática para a gestão
da segurança da informação. Rio de Janeiro: ABNT, 2007.
TRIBUNAL DE CONTAS DA UNIÃO. Boas práticas em segurança da informação. 2012. Disponível

em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF>. Acesso em 17 Jan. 2015.

Informação
Aula 06
Política de Segurança e Gestão Interna/Externa
• Entender o que é e para o que serve a Política e Gestão da Segurança da
Informação.
Temas
Introdução
2 Organização da segurança da informação
Referências
Professor
Introdução
Nesta aula conheceremos em detalhes as seções 5 e 6 da norma ISO 27001:2006, que
compreendem a política de segurança da informação e a suas organizações interna e externa,
comentando sobre as boas práticas preceituadas na ISO 27002.
Veremos como uma empresa pode se organizar para estabelecer a segurança da

informação internamente e no tratamento de partes externas. Sempre atentos que o conjunto
de controles compreende políticas, procedimentos, práticas etc. – os quais nem sempre são
de origem técnica.

De acordo com a ISO 27002, uma política de segurança da informação objetiva a prover
orientação e apoiar a direção da organização nas ações pertinentes à segurança da informação
de acordo com os requisitos de negócio, assim como leis e regulamentações pertinentes
(ABNT, 2007).
A política de segurança da informação deve ser definida e apoiada pela alta direção,
para que essa demonstração de apoio e comprometimento seja observada por todos os
colaboradores.
A norma ISO 27002 nos apresenta uma estrutura básica de um documento de Política de
Segurança da Informação, ele deve conter:
• Definição de segurança da informação, suas metas globais, escopo e importância;
• Declaração do comprometimento da direção, apoiando metas e princípios

estabelecidos na política, demonstrando que esse documento está alinhado aos
objetivos do negócio;
• Estrutura para estabelecer os objetivos de controle e os controles selecionados,

abordando inclusive a análise/avaliação e o gerenciamento do risco;
• Descrição das políticas, princípios, normas e requisitos de conformidade de

segurança da informação, específicos para a organização, incluindo conformidade
com a legislação, requisitos de treinamento e conscientização da política, gestão da
continuidade do negócio e consequências (penalidades) das violações da política
estabelecida;
• Definição de responsabilidades gerais e específicas na gestão da segurança da

informação, além de apresentar referências a outras documentações que possam
apoiar a política, por exemplo, procedimentos de segurança mais detalhados.

1.1 Um caso real da aplicação de boas práticas na política de

segurança da informação
Para que fique mais claro como podemos aplicar essas boas práticas na elaboração
de uma política de segurança da informação, vamos analisar a Política de Segurança da
Informação (PSI) do Instituto Federal do Paraná (IFPR), uma instituição educacional do
Governo Federal, definida pela Portaria de N. 791 de 16 de Dezembro de 2011.
O primeiro ponto a ser destacado é sobre quem aprova esta PSI e a torna vigente: a maior
autoridade na instituição, isto é, o magnífico Reitor. Esse fato, além de ser uma formalidade
exigida pela administração pública, demonstra o comprometimento da alta direção da
instituição com a política que está sendo definida.
A PSI do IFPR segue as boas práticas preceituadas na ISO 27002. Em seu início, ela
apresenta uma definição breve de segurança da informação e suas intenções com este
documento, o qual destacamos:
A informação é um ativo que a organização tem o dever e a responsabilidade de
proteger [...]
[...] Para a Segurança da Informação, realizar a proteção adequada da informação

consiste em garantir a confidencialidade, integridade e disponibilidade [...]
[...] A proposta desta PSI é estabelecer as diretrizes para a proteção dos ativos
de informação do IFPR. Estas diretrizes devem ter como objetivos: proteger as
informações do IFPR de ameaças, internas ou externas, deliberadas ou acidentais;
permitir o compartilhamento das informações de forma segura; assegurar que
esteja claro para todas as pessoas do IFPR seus papéis na utilização e proteção da
informação; garantir a continuidade e minimizar possíveis danos ao negócio; proteger
o IFPR de responsabilidades legais do uso inadequado das informações. (IFPR, 2011,
Seção 2, p. 3).
Veja como os trechos destacados evidenciam o seu alinhamento com a norma ISO
27002. A instituição inicia definindo conceitos de segurança da informação e apresenta o
escopo da política aprovado e os objetivos de negócio que se pretende alcançar. Observe
também que um dos objetivos é proteger a instituição de responsabilidades legais. De fato,
a política de segurança da informação proposta pelo IFPR está provendo uma orientação e
apoio à direção, assim como aos demais colaboradores e envolvidos, fornecendo requisitos
de segurança alinhados ao negócio e em conformidade com as leis e regulamentações
pertinentes.
Outro ponto de destaque é que a política de segurança da informação deve ser analisada
criticamente, a intervalos planejados, ou oportunamente, mediante mudanças significativas.
Essa prática objetiva assegurar a eficácia da norma. Em seu item 6.2, a PSI do IFPR (IFPR,
2011, Seção 6.2, p. 6) nos revela um exemplo desta diretriz: “6.2 Revisão: A PSI deve ser
revista anualmente para que seja feita a adequação da política à realidade institucional.”

1.1.1 Análise crítica
A revisão de política de segurança da informação é parte de um processo denominado

análise crítica. Esse processo inclui a avaliação de oportunidades para a melhoria da política
da organização, gerenciando-a em resposta às mudanças no ambiente organizacional, às
oportunidades de negócio, às condições legais e ao ambiente técnico.
É uma boa prática estabelecer um gestor para a segurança da informação, que, dentre
outras responsabilidades, seja o responsável por realizar essa análise crítica. No exemplo da
PSI do IFPR, foi instituído o Comitê Gestor da Segurança da Informação (CGSI), ao qual a
seção 7.3 atribui as seguintes responsabilidades:
7.3 Responsabilidades da Segurança da Informação: O CGSI é o dono da política de

segurança da informação, respondendo por mantê-la, revisar e acompanhar a criação
das Instruções Internas de Segurança (IIS)[...]. (IFPR, 2011, Seção 7.3, p. 7).
As saídas do processo de análise crítica da política de segurança da informação

normalmente correspondem à decisões e ações direcionadas à melhoria do enfoque
organizacional no gerenciamento de sua segurança da informação e de seus processos, e
ao aprimoramento dos controles e seus objetivos selecionados, e na alocação de recursos e
responsabilidades definidas no documento de política de segurança da informação.
2 Organização da segurança da informação

Estudaremos agora como organizar, interna e externamente, a segurança da informação
na organização. O conjunto de controles dessa seção na norma 27002 busca subsidiar o
processo de estruturação da organização para que as ações voltadas à proteção da informação
tornem-se eficientes e eficazes.
2.1 Organização interna

Os controles aqui existentes buscam gerenciar a segurança da informação internamente
à organização. A proposta é que uma estrutura de gerenciamento necessita ser estabelecida,
para iniciar e controlar o processo de implantação da segurança da informação na organização.
Uma boa prática sugerida pela norma é a de que a direção da instituição além de aprovar
a política de segurança da informação, atribua funções de segurança e coordene e analise
a implementação da segurança da informação por toda a organização. Vejamos com o IFPR
atribui essa organização interna:
O Reitor, Pró-reitores, chefes de gabinete e diretores são responsáveis pelo

comprometimento de suas equipes, sejam servidores, contratados ou empresas
terceirizadas. Devem incentivar o cumprimento da política de segurança da

informação [...]
[...] A autoria interna irá examinar a adequação dos controles que são implementados
para proteger a informação e farão recomendações de melhorias [...]
[...] Todos os funcionários, terceirizados e empresas contratadas que acessem

as informações do IFPR deverão aceitar a política de segurança, processos e
procedimentos de segurança. (IFPR, 2011, Seção 7.3, p. 7).
Observe como a PSI do IFPR deixa claro o total apoio da direção, inclusive colocando
como responsabilidade dos dirigentes a busca pelo comprometimento de suas equipes.
Veja que a direção também define que a auditoria interna será responsável por examinar
a adequação dos controles. Note como a organização está se preparando para implantar a
segurança da informação internamente.
O envolvimento da direção nesse processo é preceituado na norma ISO 27002. Há

controles que buscam assegurar que a direção identifique as necessidades de segurança,
apresente um claro direcionamento e apoio às iniciativas de segurança, assim como forneça
os recursos necessários para sua efetiva operação.
Para esse processo de organização interna, às vezes se faz necessário ter uma consultoria
especializada em segurança da informação responsável por guiar todo o processo de
estruturação da política e seus procedimentos.
Um ponto importante é a atualização constante da instituição em relação à segurança

da informação. Seus profissionais devem manter contato com especialistas ou grupos
de segurança da informação externos, para se atualizarem com as últimas tendências de
mercado.
2.1.1 Segregação de funções
A coordenação da PSI do IFPR foi atribuída ao comitê CGSI, porém, a direção definiu que
a autoria interna examinará a adequação dos controles. Por que essa segregação?
Isso decorre também de boas práticas existentes na área de segurança, as quais sugerem
que as atividades de segurança da informação sejam coordenadas por representantes de
diferentes partes da instituição, com funções e papéis relevantes (NOVAES, 2011). Se iremos
segregar as atividades para diferentes partes da instituição, quando possível, é recomendando
então que essa segregação (ou melhor, que a definição das atividades de cada representante)
seja o mais objetiva possível e esteja claramente definida na política de segurança da
informação.

Lembre-se que o documento de política de segurança da informação

necessita definir claramente as responsabilidades de cada um dos envolvidos
com a política de segurança da informação. Para cada área na qual uma pessoa
seja responsável, é importante apresentar os ativos e processos de segurança
da informação que estão associados.
2.1.2 Recursos de processamento da informação
Também faz parte do processo de organização interna definir como se dará a autorização
para recursos de processamento da informação. É importante criar procedimentos para que
os novos recursos possuam a autorização adequada por parte da administração de usuários,
autorizando seus propósitos e uso.
Por exemplo, neste ponto é importante refletir como a política pode tratar
o uso de recursos de processamento da informação pessoais, por exemplo, um
notebook. O uso desses aparelhos na rede da empresa pode introduzir novas
vulnerabilidades que, se existirem, convém, portanto, que sejam identificadas e
precisam ser implementados controles que tratem o risco desse evento.
É também responsabilidade da segurança da informação verificar que hardware

e software sejam compatíveis com outros componentes do sistema, de modo a não
interromper as atividades do negócio, além de evitar danos à informação devido a eventuais
incompatibilidades entre essas partes.
2.1.3 Confidencialidade das informações
Um ponto importante no estabelecimento da segurança da informação em uma

organização é a questão da confidencialidade das informações. Informações sigilosas
normalmente são vitais para o negócio da organização, assim como algumas delas são
protegidas por leis, como dados pessoais. As organizações fazem uso de acordos de
confidencialidade e de não divulgação, os quais protegem as informações da organização e
informam as partes envolvidas de suas responsabilidades, para proteger, usar e divulgar a
informação de maneira responsável e autorizada.

A ISO 27002 possui um conjunto de controles voltados para a confidencialidade da

informação, que buscam garantir que a organização identifique e analise criticamente os
requisitos de confidencialidade ou acordos de não divulgação, conforme as necessidades do
seu negócio. Para esses acordos, é importante definir o que é sigiloso, por quanto tempo
será mantido o sigilo dessa informação, quais ações serão necessárias ao encerramento do
acordo, as responsabilidades das partes e o uso permitido da informação confidencial.
Recomenda-se também estabelecer o direito de auditar e monitorar as informações

confidenciais.
2.2 Partes externas

Esta seção da norma trás um conjunto de controles com o objetivo de manter a segurança
dos recursos de processo da informação organizacional, quando estes são acessados,
processados, comunicados ou geridos por partes externas à organização.
As partes externas, referidas pela norma, usualmente são provedores de serviço,

provedores de rede, de telefonia, serviços de apoio e manutenção. Também nesse grupo estão
os clientes, a terceirização de operações e recursos, operação da central de atendimento,
consultores em negócio e em gestão, auditores, fornecedores de softwares e sistemas de TI,
pessoal de limpeza, dentre outros.
2.2.1 Acesso a informações e recursos da organização
Um ponto crucial para o estabelecimento da segurança da informação envolvendo partes

externas é que todo acesso aos recursos de processamento da organização seja controlado.
Assim como para definir quais controles usaremos internamente à organização, a definição
de controles para uso com partes externas é proveniente de uma análise de riscos.
Busca-se impedir que a segurança da informação seja reduzida pela introdução de novos
produtos ou serviços provenientes de partes externas.
O estudo do relacionamento com partes externas é um elemento de vital

importância para o estabelecimento dos requisitos de segurança da informação
de uma organização. Busca-se controlar qualquer acesso aos recursos de
processamento da informação por partes externas, evitando também que esse
relacionamento reduza qualquer nível de segurança estabelecido internamente
para a organização.

Esta análise de risco precisa levar em consideração o tipo de acesso à informação ou aos
recursos de processamento de dados, que pode ser físico (acesso a um escritório, datacenter,
arquivos de papéis etc.), lógico (acesso a banco de dados da organização e aos sistemas de
informação) e por meio de conexão de duas redes, isto é, por acesso remoto. De acordo com
o tipo de acesso ao qual uma parte externa está envolvida, podemos obter a criticidade para
as operações do negócio e criar controles que mitiguem os eventuais riscos levantados.
Normalmente quando lidamos com partes externas, é preciso que a organização defina
procedimentos para concessão de acesso à informação, identificação de quem está
acessando, assim como a frequência da reconfirmação da permissão de acesso.
É comum observar no mercado empresas que possuem logins ativos de

usuários terceirizados que já não prestam serviço para a organização e não
definiram políticas para recolhimento de crachás, remoção de acessos aos
sistemas e áreas seguranças etc.
2.2.2 Disponibilidade das informações
É preciso também, garantir a disponibilidade das informações, no que tange às partes

externas. A organização precisa criar controles que garantam a notificação de incidentes que
envolvam as informações disponibilizadas para partes externas, principalmente porque este
é um ponto que normalmente é apresentado nos contratos de prestação de serviços.
A norma também nos trás um controle que sugere que o acesso à informação pelas
partes externas não seja fornecido até que os devidos controles tenham sido implementados
e, quando viável, seja assinado um contrato, definindo os termos e as condições para acesso
à informação. Esse ponto é muito importante, pois protege a instituição de atos prejudiciais à
segurança da informação e garante que a parte externa estará consciente de suas obrigações
e aceitando as responsabilidades que estão impostas para o acesso, processamento,
comunicação ou gerenciamento dos recursos de informação da organização, normalmente
explicitados nos contratos ou termos de serviço.
2.2.3 Proteção dos ativos
A proteção dos ativos por parte da organização inclui, dentre outras atividades, a
criação de procedimentos para proteger tais ativos, a gestão de vulnerabilidades conhecidas,
procedimentos para determinar se ocorreu algum comprometimento de ativo, procedimentos
para garantia da integridade da informação e política de cópias e divulgação das informações.
Se estamos lidando com partes externas, sejam terceiros, profissionais da limpeza e até
mesmo os clientes, é importante definir uma política de controle de acesso. Essa política
definirá um processo para autorização de acesso e privilégios dos usuários, mantendo, por
exemplo, uma lista de pessoas autorizadas a usar os serviços disponibilidades e quais seus
direitos, privilégios e responsabilidades por tal uso.
Anteriormente, vimos que um controle é uma forma de gerir o risco, composto por
políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, sejam eles
elementos administrativos, técnicos, de gestão ou legais.
Nesta aula abordamos um conjunto de controles que a norma ISO 27002 nos apresenta
para organização da política de segurança da informação, compreendida pelo estabelecimento
interno da segurança da informação, assim como do relacionamento da segurança com partes
externas, sejam prestadores de serviços, profissionais terceirizados ou até mesmo clientes da
organização.
Vimos que um documento de política de segurança da informação necessita de

aprovação pela direção da organização, sendo publicado e comunicado para todos os
colaboradores e partes externas envolvidas. Como exemplo, analisamos alguns trechos da
política do IFPR. Espero que você possa ter compreendido como se dá a utilização das boas
práticas na elaboração de um documento real de política, com base na análise dos exemplos
apresentados.
Ressalto que um dos fatores mais críticos para o sucesso de uma política de segurança
da informação provém do uso de uma abordagem e uma estrutura de implementação,
manutenção, monitoramento e melhoria da segurança da informação que esteja alinhada com
a cultura organizacional. Não é recomendável copiar políticas de segurança da informação
de outras empresas para uso na sua empresa, uma vez que as culturas organizacionais são
diferentes e há uma grande chance dos controles estabelecidos não sejam efetivos, devido à
mudança de cultura e a ruptura com o alinhamento que se faz necessário para a efetividade
da política.
Também foi um ponto de destaque desta aula que as atividades de segurança da

informação sejam segregadas sempre que possível, com vistas a serem coordenadas por
representantes de diferentes partes da organização, com funções e papéis relevantes bem
definidos (NOVAES, 2012).
Mais à frente, veremos quais as boas práticas recomendadas para a gestão dos ativos
de informação, assim como trataremos do processo de classificação da informação, de modo
que esta possa receber um nível adequado de proteção.

Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002. Tecnologia da
informação - código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT,
2007.

Brasport, 2008.
INSTITUTO FEDERAL DO PARANÁ. Política de segurança da informação do Instituto Federal do

Paraná: Portaria nº 791, de 19 de Dezembro de 2011. Disponível em: <http://reitoria.ifpr.edu.
br/wp-content/uploads/2012/07/Politica.pdf>. Acesso em 20 dez. 2014.
2003.

Informação
Aula 07
Gestão de ativos de informação
• Identificar os ativos da organização e classificar a informação.
Temas
Introdução
1 Gestão de ativos
2 Classificação da informação
Referências
Professor
Introdução
Nesta aula estudaremos os controles existentes na norma ISO 27002 para a gestão
dos ativos da organização, com objetivo de alcançar e manter a proteção destes em níveis
adequados.
A informação é um também um ativo para a organização. De tal modo que iremos

também estudar como classificar a informação, para que ela possa receber adequados níveis
de proteção.
1 Gestão de ativos
É importante que o ativo possua um proprietário, alguém ou organismo responsável pela
manutenção apropriada dos controles atuantes nesse ativo.
Mas, quais são os ativos referidos pela norma?
De um modo geral, podemos agrupar os ativos de uma empresa nos seguintes conjuntos:
• Ativos de informação: correspondem a bases de dados, documentação de sistemas,

manuais de usuários (helpers), plano de continuidade de negócio, trilhas de auditoria
etc.;
• Ativos de software: são os aplicativos, sistemas e utilitários utilizados pela organização;
• Ativos de serviço: referem-se à iluminação, aquecimento, eletricidade e refrigeração;
• Ativos humanos: pessoas e suas qualificações;
• Ativos intangíveis: são exemplos de ativos intangíveis a imagem e a reputação da

empresa.
Na gestão da segurança da informação, é fundamental ter as partes e seus

papéis muito bem definidos e suas responsabilidades claramente expressadas.
Um ativo, portanto, necessita ter seu proprietário definido para que este faça a
gestão dos controles que envolvem o ativo identificado como de sua
responsabilidade.

1.1 Inventário de ativos

Convém também que a organização elabore e mantenha um inventário de seus ativos,
com as informações necessárias para a recuperação de desastres. Tais informações incluem:
• Tipo do ativo;
• Formato da informação;
• Localização do ativo;
• Informações detalhadas sobre cópias de segurança;
• Informações detalhadas sobre licenciamento;
• Detalhamento da importância do ativo para o negócio.
Elaborando um inventário de ativos, podemos identificar o valor de cada ativo para o

negócio e classificar a segurança necessária para o mesmo, definindo os níveis de proteção
adequados em função de sua importância para o negócio.
O inventário de ativos é um elemento primordial para o gerenciamento de riscos, já que

no processo de gestão de riscos devemos conhecer todos os ativos envolvidos.
É com base nos inventários de ativos que as informações serão classificadas,

tomando por base as necessidades e particularidades da organização. Logo, é
preciso que a equipe que elabore esse inventário tenha conhecimento acerca
do negócio, de seus processos e das atividades existentes.
1.2 Uso aceitável dos ativos

Em relação à gestão de ativos, é sugerido o estabelecimento de regras que definam a
permissão do uso de informações e recursos de processamento da informação.
Um exemplo disto é o uso da internet e do correio eletrônico, que podem

ser definidos como dois ativos para uma organização. É preciso estabelecer
regras para uso desses ativos, pois normalmente eles são a porta de entrada de
diversas vulnerabilidades.

É preciso que essas regras sejam aplicadas a todos os colaboradores, fornecedores e

terceiros, de modo a consolidar a efetivação dos controles. Um exemplo de regra que aborda
essa questão e que pode ser definida no documento de política de segurança da informação
é a segregação dos usuários da internet da empresa em grupos com diferentes privilégios.
Com essa segregação cada um poderá acessar um conjunto de informações na internet mais
adequadas às suas atribuições e que minimizem os riscos à segurança da informação.
O quadro a seguir ilustra um exemplo de como pode ser essa regra para o ativo internet,
na qual os usuários da organização foram agrupados em 4 grupos, sendo que o ‘X’ representa
um bloqueio à categoria do conteúdo. Note como o grupo IV é mais permissivo, enquanto
que o grupo I tem todas as categorias de conteúdo apresentadas bloqueadas.
Quadro1 – Exemplo de regras de utilização do ativo internet para grupos de usuários
Categoria do
Grupo I Grupo II Grupo III Grupo IV
Conteúdo
Áudio/Vídeo X X
Bate-papo X X
Compras X X X
Downloads X X
Esporte X X X
E-mail corporativo
Jornalismo X
Redes Sociais X X X
Entretenimento X
Política X X
Viagem e Turismo X X X
Conteúdo Ilícito X X X X
Drogas X X X X
Hacker/Proxy X X X X
Jogos de Azar X X X X
Material Adulto X X X X
Fonte: Elaborado pelo autor (2015).
2 Classificação da informação
Classificar a informação é permitir que esta receba um nível adequado de proteção.
Realizando o processo de classificação, podemos indicar a necessidade, as prioridades e o
nível de proteção esperado para o tipo definido em informação, que possui diversos níveis de
sensibilidade e criticidade. De um modo geral, busca-se classificar a informação em termos

de seu valor, de requisitos legais, de sua sensibilidade e de sua criticidade. Além disso, nesse
processo devemos considerar a necessidade de compartilhamento ou restrição informativa,
e os impactos associados a tais necessidades.
O responsável pela classificação da informação é o proprietário do ativo, que também

tem a responsabilidade de analisar tal classificação criticamente em intervalos regulares.
Uma política de segurança da informação pode, por exemplo, definir

previamente que qualquer informação que não estiver classificada será
considerada como interna. Recomenda-se que todos os documentos possuam
em seu cabeçalho ou rodapé a classificação da informação de seu conteúdo,
principalmente com relação à confidencialidade.
2.1 Ciclo de vida da informação

Observe que o processo de classificação é primordial para os demais controles que
serão definidos para o ciclo de vida da informação. Uma das etapas desse ciclo é o
descarte, uma informação classificada como sigilosa, por exemplo, deve sofrer um descarte
que impossibilite sua recuperação. Normalmente as corporações desenvolvem uma norma
específica para descarte de informações. É necessário compreender que tudo faz parte
de um processo, e que um passo está relacionado aos demais. A decisão da categoria da
classificação da informação definirá os riscos aos quais ela está submetida e os controles
que serão utilizados ao longo de seu ciclo de vida.
2.2 Um caso prático de classificação

Vamos ver uma classificação de informação em um caso real. Na política de segurança da
informação do Banco Santander, disponível em seu site, temos os critérios de classificação
de informações confidenciais, dos quais destacamos:
São exemplos de informações confidenciais:
- Informações de clientes que devem ser protegidas por obrigatoriedade legal,

incluindo dados cadastrais (CPF, RG etc.), situação financeira e movimentação
bancaria;
- Informações sobre produtos e serviços que revelem vantagens competitivas do

Santander frente ao mercado;
- Todo o material estratégico do Santander (material impresso, armazenado em

sistemas, em mensagens eletrônicas ou mesmo na forma de conhecimento de
negocio da pessoa);

- Quaisquer informações do Santander, que não devem ser divulgadas ao meio externo
antes da publicação pelas áreas competentes;
- Todos os tipos de senhas a sistemas, redes, estações de trabalho e outras informações

utilizadas na autenticação de identidades. Estas informações são também pessoais e
intransferíveis. (SANTANDER, 2013, p. 4).
Observe a linguagem na definição do que é considerado confidencial: as definições são

feitas para que qualquer pessoa as compreenda. Não é preciso ser do ramo bancário para
compreendê-las.
2.3 O papel da política de segurança da informação

A política de segurança da informação delegará ao proprietário do ativo que faça a sua
classificação. De todo modo, a política pode oferecer um direcionamento do que se espera
desse processo classificatório, apresentando à organização um conjunto de regras a serem
seguidas por seus colaboradores, fornecedores e prestadores após a categorização do ativo.
Durante o processo de revisão da política de segurança da informação, é importante

garantir que as regras para classificação e a classificação atual dos ativos estão em níveis
adequados aos riscos existentes ao negócio.
Devemos ter cuidado para que mecanismos complexos de classificação da

informação não dificultem o andamento das atividades, de modo que estas
ficam impraticáveis ou inviáveis economicamente. Logo, devemos nos atentar
ao número de categorias que estão sendo estabelecidas e balanceá-lo com o
benefício que queremos. Um baixo número de categorias pode nos influenciar
a cometer erros de classificação por generalização (“tudo ou nada”, “sigilosa ou
pública” etc.), mas um número excessivo pode nos dificultar devido à grande
quantidade de possíveis categorias. Lembre-se que a segurança da informação
deve ser sempre feita da forma mais simples possível.
A consideração de outros documentos similares, como o estudo de outras políticas de

segurança da informação pode nos auxiliar nesse processo de classificação.
O quadro 2 ilustra um exemplo de como uma política pode determinar regras gerais para
gestão dos ativos, com base na classificação da informação realizada.

Quadro 2 - Exemplo de critérios de utilização da informação em função de sua classificação
Classificação Critérios de utilização

• As informações classificadas como
confidenciais serão restritas a um grupo
mínimo de usuários.
• O acesso a tais informações deve sempre ser
Informações confidenciais controlado e auditado.
• As informações nesta categoria deverão ser
mantidas em sigilo, devendo ser repassadas
somente às pessoas que irão fazer uso delas
para o desempenho de suas atribuições.
• As informações classificadas como internas
são restritas à organização.
• Permite-se o compartilhamento dessas
Informações internas informações entre seus colaboradores e
prestadores de serviço, porém, não devem
ser acessíveis por elementos externos à
organização, por exemplo, não devendo ser
divulgadas publicamente.
• As informações classificadas como públicas
não possuem restrições de divulgação, de
modo que é permitido seu repasse a qualquer
Informações públicas
elemento, seja interno ou externo, podendo
inclusive serem divulgadas na internet ou em
qualquer outro meio de publicidade.
Fonte: Elaborado pelo autor (2015).
2.4 Formas de tratamento da informação

Com a classificação da informação finalizada, precisamos definir, para cada nível de
classificação, procedimentos para o tratamento da informação, que contemplem, dentre
outros:
2.4.1 Armazenagem
A armazenagem refere-se a um conjunto de procedimentos de como e onde armazenar

as informações em função de sua classificação.
Uma informação classificada como pública, por exemplo, pode ser armazenada nos
próprios computadores dos colaboradores da organização, não sendo necessário o uso de
cuidados extras para garantir a proteção.
Já uma informação sigilosa, por exemplo, deve ser armazenada em um armário ou gaveta
protegidos por chave ou algum mecanismo com senha.

2.4.2 Transmissão
A transmissão é um conjunto de procedimentos que define como a informação será

transmitida, pelos diversos meios de comunicação, tais como fax, e-mail, transportadora,
malote interno etc.
Uma informação classificada como pública, por exemplo, pode ser transmitida livremente
pelos meios de comunicação, enviada por e-mail, publicada em sites etc.
Para uma informação sigilosa, quando da sua transmissão, normalmente as empresas

fazem uso de envelopes com etiquetas que indicam um status de “confidencial” e com um
nome de destinatário explicitamente definido, para garantir a confidencialidade da informação.
2.4.3 Destruição
Procedimentos que necessitam ser adotados no momento do descarte da informação e

quando e como esse descarte deve ocorrer.
Para as informações públicas, o descarte pode ser imediato. Normalmente são arquivos
digitais que basta serem excluídos do computador para que a informação seja descartada.
Por outro lado, com as informações sigilosas, se for um papel, por exemplo, ele pode
ser triturado. Se a informação estiver em formato digital, normalmente as organizações
utilizam softwares específicos para descarte da informação, que garantem a não recuperação
desta. Ressalto que normalmente uma informação confidencial ou secreta tem um prazo de
retenção. Após esse prazo, é comum que sejam descartadas como informações públicas.
2.5 Rotulação
De acordo com a ISO 27001:2006, o processo de gestão de ativos é composto por quatro
etapas fundamentais:
1. a informação é inserida em um inventário de ativos,
2. ela é classificada,
3. ela é rotulada, e
4. manuseada de forma segura.
Das quatro etapas acima, deixei a rotulação por último. Ela consiste no desenvolvimento
de orientações para cada tipo de informação uma extensão do que apresentamos no quadro 2.
Poderíamos, por exemplo, adicionar uma coluna à tabela e definir como será essa rotulagem.

Por exemplo, para informações confidenciais podemos definir que sua transmissão em meio
físico será feita por envelopes lacrados, com uma etiqueta de “confidencial” no canto superior
direito do envelope.
Vamos observar como os assuntos estão interligados nessa área. Mais à frente,
abordaremos um tema denominado Plano de Continuidade do Negócio. Não é de se esperar
que se uma classificação é considerada confidencial ou secreta, devido à sensibilidade que
ela possui para o negócio, que ela seja citada no plano de continuidade do negócio? Se ela
é vital para o negócio, é de se esperar que ela também será, caso algum desastre aconteça.
Reflita como não estamos tratando de assuntos isolados. Tudo está relacionado. Se você
conseguir compreender a dinâmica desses relacionamentos, conseguirá com toda a certeza
desenvolver efetivas políticas de segurança da informação.
É importante frisar, portanto, que a política de segurança da informação deve apresentar

elementos para gestão de ativos e delegar papéis responsáveis pela classificação da informação,
de modo que as demais atividades da segurança da informação possam ser executadas em
sua plenitude.
Como vimos, o processo de gestão de ativos e classificação da informação não é um
processo complexo. A norma nos permite grande flexibilidade na realização dessas tarefas,
nos fornecendo boas práticas para que seus objetivos sejam alcançados mais facilmente.
O mais importante desse processo é assegurar que as informações sensíveis ao negócio

estejam devidamente protegidas. O inventário de ativos é uma peça fundamental, pois
ele forma nossa base de conhecimento sobre os ativos da organização e sua classificação,
informações necessárias para a definição dos controles mais apropriados.
Com o inventário em mãos, passamos a classificar as informações com base na

sensibilidade do negócio a elas. O quão crítico é alguém ter acesso àquela informação? Essa
é uma pergunta-chave e que pode auxiliar nesse processo.
Vimos exemplos de políticas que definem seus critérios de classificação. Foi apresentado
um trecho de uma política de segurança da informação de uma instituição bancária. Note que
não foi preciso entender nada do ramo bancário para compreender quais são os requisitos
esperados pela direção.
Espero que você tenha compreendido os principais controles envolvidos na gestão de

ativos e classificação da informação. Um bom exercício para reflexão é pensar em algum
ativo de informação da empresa em que você trabalha ou de sua escola, tentar classificá-lo e
estabelecer alguns controles que o protejam durante seu ciclo de vida.

Referências
SANTANDER. Política de segurança da informação para correspondente bancário do

Santander. Disponível em: <http://www.santander.com.br/document/wps/politica_seguranca_
informacao_fev_13.pdf>. Acesso em: 20 Dez. 2014.

Informação
Aula 08
Gestão em Recursos Humanos
• Demonstrar os controles e testes no ciclo de vida da Gestão de Recursos
Humanos.
Temas
Introdução
1 Gestão de recursos humanos
Referências
Professor
Introdução
Nesta aula avançaremos um pouco mais no estudo da norma ISO 27001:2006, abordando
o tema Gestão de Recursos Humanos (RH). Essa área é considerada por muitos especialistas a
mais efetiva da norma, uma vez que boa parte dos ataques às organizações está relacionada,
de alguma forma, a pessoas ligadas ao alvo.
As responsabilidades de segurança necessitam ser definidas antes da contratação,

contendo a adequada descrição das atividades e suas condições. Busca-se garantir uma
adequada seleção de colaboradores, fornecedores e terceiros para o exercício de atividades,
principalmente aquelas que lidam com informações sensíveis.
Os colaboradores, fornecedores e terceiros devem assinar um termo no qual concordam

com seus papéis e responsabilidades relacionadas à segurança, além de tomarem
conhecimento de eventuais penalidades em caso de infração aos requisitos de segurança.
Estudaremos quais os principais controles que a norma sugere para uma efetiva gestão
de RH, observando exemplos coletados de políticas de segurança da informação de outras
instituições.
Boa aula!!!
1 Gestão de recursos humanos

A Norma ABNT NBR ISO/IEC 27001:2006 apresenta um conjunto de controles com objetivo
de minimizar os riscos inerentes aos recursos humanos. Esses controles são agrupados em
três momentos distintos:
Quadro 1 - Os controles nas fases da Gestão de RH

Vamos conhecer detalhadamente os controles aplicados a cada fase, com base nas boas
práticas apresentadas na norma ABNT NBR ISO/IEC 27002.
1.1 Antes da contratação

Nesta fase a norma nos informa da importância de assegurar que os funcionários,
fornecedores e terceiros tenham plena compreensão acerca de seus papéis e
responsabilidades. Desse modo, a recomendação é que nas descrições dos cargos, com o rol
de atividades, sejam explícitas as suas responsabilidades sobre a segurança da informação,
assim como nos termos e condições de contratação, normalmente apresentadas no contrato
celebrado entre a organização e o novo colaborador.
É importante destacar que quando falamos de papéis e responsabilidades não estamos

nos referindo a uma pessoa em particular. Os papéis exercidos na organização, juntamente
com suas responsabilidades, pertencem a cargos ou posições dentro da estrutura
organizacional e não a indivíduos. Isto acontece para que independentemente de quem
estiver ocupando o cargo, os papéis e as responsabilidades serão os mesmos.
Papéis e responsabilidades pertencem a cargos ou posições dentro da

estrutura organizacional e não a indivíduos.
1.1.1 Papel e responsabilidade no contexto da segurança da informação
Mas o que vem a ser um papel e uma responsabilidade no contexto da segurança da

informação?
Esses conceitos estão entrelaçados, o que normalmente gera um certo nível de dúvida.
Mas podemos pensar em algo mais simples para defini-los, de modo a tornar mais fácil o
entendimento. Dizemos que o papel é um termo que se refere às atividades inerentes a um
cargo ou posição hierárquica que será ocupada e que devem ser executadas por indivíduos.
Ou seja, são as obrigações de um cargo.
Já a responsabilidade, no contexto da Segurança da Informação, refere-se ao nível de

compromisso com um ativo exercido por um cargo ou posição hierárquica na organização.
Ou seja, se acontecer algo com um ativo, a responsabilidade pode determinar o nível de culpa
dos atores envolvidos.
Sobre o que incluir nas descrições das atividades relacionadas a papéis e responsabilidades,
a norma nos fornece algumas dicas. Sugere-se que (ABNT, 2007):

• sejam apresentados requisitos para que papéis e responsabilidades ajam de acordo

com a política de segurança da informação da organização;
• protejam os ativos sob sua responsabilidade contra acesso não autorizado, divulgação,
modificação, destruição e interferência;
• executar processos ou atividades diretamente relacionados com a segurança da

informação, dentre outros.
1.1.2 Etapas de seleção
No escopo de controles a serem aplicados antes da contratação, temos controles

voltados para a etapa de seleção, que sugerem uma verificação do histórico dos candidatos,
sempre respeitando a ética, as leis e regulamentações vigentes e que analise sua aderência
aos requisitos de negócio e aos riscos percebidos.
Por exemplo, a seguir temos um trecho da política de segurança da informação da

empresa Patrus, o qual destaca os procedimentos a serem adotados pela área de RH:
A área de Recursos Humanos terá a autoridade e a responsabilidade de:
a) Em caso da admissão:
- Obter referências profissionais;
- Verificar a idoneidade das informações do selecionado através da documentação

exigida em sua admissão;
- Providenciar a assinatura do Termo de Responsabilidade;
- Entregar um login, senha inicial e perfil e acesso, quando for o caso, a ser fornecido
pela área responsável pela política de segurança para utilização nos sistemas de
telefonia, MySuite e de rede. (PATRUS, 2014).
Observe como a política apresentada neste exemplo explicita as responsabilidades da

área de RH, assim como exige que o novo colaborador assine o Termo de Responsabilidade.
Normalmente, nesse termo são apresentadas as responsabilidades do colaborador em função
dos ativos com os quais o cargo que ele exerce irá lidar.
1.1.3 Termos e condições de contratação
A norma não explicita quais termos e condições de contratação devem ser utilizados,
mas o mais comum no mercado é Termo de Responsabilidade e Termo de Sigilo, em função
da sensibilidade dos ativos. Mas qual deve ser o conteúdo de tais termos? Temos algumas
boas práticas, a saber:
• Os termos devem evidenciar as responsabilidades legais e os direitos dos

colaboradores, fornecedores e quaisquer outros usuários;

• Deve conter as responsabilidades pela classificação da informação e pelo

gerenciamento dos ativos;
• Deve conter as responsabilidades pelo tratamento da informação recebida de outras

empresas ou de qualquer parte externa;
• Além disso, o termo deve apresentar quais ações serão tomadas em caso de
desrespeito aos requisitos de segurança da informação da organização.
1.2 Durante a contratação

Segundo a norma (ABNT, 2007), os controles dessa categoria têm por objetivo garantir
que funcionários, fornecedores e terceiros estejam conscientes das ameaças relativas à
segurança da informação, suas responsabilidades e obrigações, sendo preparados para apoiar
a política vigente, reduzindo, portanto, o risco de erro humano.
Um dos controles mais conhecidos nesse tópico trata de fornecer um nível adequado
de conscientização, educação e treinamento acerca dos procedimentos de segurança da
informação e no uso dos recursos de processamento da informação de maneira a minimizar
possíveis riscos. (ABNT, 2007).
Compete à direção da organização assegurar que os colaboradores, fornecedores e

terceiros estejam instruídos de seus papéis e responsabilidades, antes de obterem acesso
aos ativos de informação; motivá-los a cumprir com os requisitos apresentados na política de
segurança da informação e que haja capacitação apropriada para a melhoria dos controles e
habilidades profissionais.
Note novamente a presença do PDCA e o objetivo da melhoria contínua. Nesse ponto a

norma nos apresenta que deve haver atualizações regulares sobre as políticas e procedimentos
organizacionais relacionados à segurança da informação. Isso nos mostra a importância de
um ciclo contínuo de capacitação e atualização dos colaboradores, motivando-os a fazer
parte de um grande processo que é a garantia da segurança da informação da organização.
Temos também durante a contratação a importância de existirem processos disciplinares

em caso de desrespeito aos requisitos de segurança e conduta da organização. Obviamente,
esse processo não pode ser iniciado sem uma verificação prévia sobre a verdadeira ocorrência
da infração e deve garantir um tratamento justo e correto aos colaboradores suspeitos,
respeitando sempre a legislação vigente.
Em caso de comprovada má conduta, normalmente esse processo culmina com a

remoção das atribuições, dos direitos de acesso e privilégios do colaborador e até mesmo
com um pedido de desligamento dele do quadro de colaboradores da organização.

1.3 Encerramento da contratação

Precisamos garantir que colaboradores, fornecedores e terceiros deixem a organização
de modo que o risco de segurança da informação seja minimamente afetado. Assim, a norma
nos orienta a definir responsabilidades que assegurem um processo de saída controlado,
com a devolução de todos os equipamentos que estavam cedidos em função do cargo, assim
como a revogação dos direitos de acesso que eram atribuídos ao colaborador, fornecedor ou
terceiro.
1.3.1 Mudança de cargo ou promoção
Um ponto a ser destacado é a mudança de cargo dentro da própria empresa, normalmente

chamada de promoção. Diante desse cenário, busca-se seguir os controles de encerramento
da contratação, com a devida revogação dos acessos e privilégios anteriores para, em seguida,
serem aplicados controles da etapa Antes da Contratação. Isso se dá principalmente no que
se refere à assinatura do termo de responsabilidade para o novo cargo, assim como a ciência
do colaborador acerca de seus novos papéis e responsabilidades na organização.
1.3.2 Encerramento das atividades
Sobre o encerramento das atividades, seja de um colaborador, fornecedor ou terceiro,

a norma preceitua que o procedimento de comunicação sobre o encerramento inclua
requisitos de segurança e responsabilidades legais existentes e, quando oportuno, ressalvas
sobre acordos de confidencialidade que devem ser respeitados por um determinado
período de tempo após o término das atividades. É comum as organizações exigirem de seus
colaboradores ou fornecedores a manutenção do sigilo das informações que os mesmos
tiveram acesso durante o exercício de suas atividades, sob pena de serem responsabilizados
legalmente sobre essa infração.
Geralmente, colaboradores, fornecedores e terceiros possuem equipamentos cedidos

pela organização. É importante estabelecer mecanismos de controles que garantam a total
devolução dos ativos da organização que estejam sobre a sua posse, após o encerramento de
suas atividades.
São exemplos de ativos que necessitam ser devolvidos quando do encerramento das
atividades ou término do contrato:
• Equipamentos;
• Documentos corporativos;
• Softwares;

• Cartões de acesso;
• Manuais;
• Informações armazenadas em mídia eletrônica;
Um ponto importante é a política de gestão do conhecimento. É essencial que a

organização se prepare para a saída de colaboradores e que os processos de negócio estejam
documentados e organizados de modo a facilitar o repasse do conhecimento e atribuições.
1.3.3 Retirada dos direitos de acesso
No término das atividades ou do contrato de prestação de serviços, é importante a

retirada dos direitos de acesso, assim como os controles de acesso devem ser ajustados
após qualquer mudança no rol de papéis e atribuições de um indivíduo. Normalmente a
organização necessita atuar na revisão de direitos de acesso relativos a:
• Acesso lógico e físico;
• Chaves de autenticação;
• Cartões de identificação;
• Recursos de processamento da informação;
• Documentação em geral que identifique o indivíduo como um colaborador da

organização.
Normalmente em função das atribuições, principalmente para a área de TI, há a

possibilidade de um colaborador ter conhecimento de outras senhas, além das suas pessoais.
Convém, então, que estas sejam alteradas regularmente, evitando um possível vazamento
em função desse conhecimento.
É importante ressaltar que em função de como ocorreu o desligamento, os privilégios

e direitos de acesso devem ser alterados antes do efetivo encerramento das atividades. Por
exemplo, no caso de uma demissão por parte da empresa em função de descontentamento
de atividades de um colaborador, a reação deste pode ser drástica. Logo, com razoabilidade
e proporcionalidade, a empresa pode tomar medidas que contingenciem qualquer atitude
com o objetivo de prejudicá-la. É preciso estar atento contra a deliberação de funcionários
demitidos pela corrupção da informação ou pela sabotagem dos recursos de processamento
da informação, assim como da tentativa de coletar informações para uso no futuro.

A organização necessita se prevenir contra eventuais ações deliberadas

voltadas para a corrupção da informação, sabotagem dos recursos de
processamento da informação, assim como a tentativa de coletar informações
para uso no futuro, por parte de colaboradores, fornecedores ou terceiros
descontentes com o desligamento.
1.4 Um exemplo prático de política de segurança da informação na

gestão de RH
Vejamos, agora, um trecho da política de segurança para o ICP-Brasil (Infraestrutura de
Chaves Públicas). Trata-se de uma cadeira hierárquica e de confiança que fornece certificados
digitais para identificação virtual de cidadãos e empresas. O ICP-Brasil é mantido pelo
Instituto Nacional de Tecnologia da Informação (ITI), autarquia federal vinculada à Casa
Civil da Presidência da República.
7.3.10- O Processo de Desligamento:
7.3.10.1- Deverá ser assegurada a salvaguarda dos assuntos sigilosos após o

desligamento dos funcionários das entidades, através de contrato especifico assinado
no processo de admissão;
7.3.10.2- Será restrito o acesso de ex-funcionários às instalações onde sejam

produzidas, manuseadas, tratadas ou armazenadas informações sigilosas;
7.3.10.3- Sua credencial, identificação, crachá, equipamentos, mecanismos e acessos

lógicos devem ser revogados. (ICP-BRASIL, 2001, p. 11).
Um trecho a ser ressaltado na política de segurança apresentada acima é sobre um

processo de entrevista de desligamento. O órgão adota esse procedimento com o objetivo
de formalizar e orientar ao colaborador sobre a responsabilidade da manutenção do sigilo de
dados e/ou conhecimentos sigilosos que teve acesso em função de suas atividades. Vamos
observar um trecho:
7.3.12- A Entrevista de Desligamento:
7.3.12.1- Deverá ser formalizada uma entrevista de desligamento para orientar

o funcionário sobre sua responsabilidade na manutenção do sigilo de dados e/
ou conhecimentos sigilosos de sistemas críticos aos quais teve acesso durante sua
permanência nas entidades;
7.3.12.2- Deverá ser elaborado um texto adequadamente fundamentado, com

informações que identifiquem o motivo de desligamento e o grau de satisfação do

funcionário em relação ao órgão;
7.3.12.3- Sempre que possível será esclarecido na entrevista que a organização

reconhece os serviços relevantes prestados e a competência dedicada pelo
funcionário, possibilitando assim manter novos e periódicos contatos futuros;
7.3.12.4- Deve ser previsto, no contrato inicial, uma cláusula que determine que
o funcionário, quando desligado, mantenha sigilo sobre todos os ativos de
informações e de processos das entidades. (ICP-BRASIL, 2001, p. 12, grifo do autor).
Observe o que está em destaque no trecho acima. Conforme foi exposto nesta aula, há
na política de segurança da informação um procedimento que trata do encerramento das
atividades, o qual destaca o fato da organização reconhecer os serviços relevantes prestados
e a competência dedicada pelo funcionário, de modo a manter o contato com ele, posterior
à exposição do motivo do desligamento do mesmo.
Sobre o sigilo por um determinado período de tempo, a organização determina um sigilo

permanente sobre os ativos de informações e de processos das entidades.
Encontra-se também na política a informação que deve ser aplicado, antes do efetivo
desligamento, um certificado de “nada consta” das diversas unidades que compõem o ICP-
Brasil. Esse é um procedimento adotado por grandes organizações, de modo a garantir que em
todos os seus componentes não existam pendências em relação ao colaborador, fornecedor
ou terceiro.
Nesta aula abordamos o tema de gestão de recursos humanos na segurança da
informação.
Vimos que a norma separa esse processo em três etapas: antes da contratação, durante
a contratação e encerramento da contratação. O objetivo primário é reduzir os riscos
inerentes às atividades humanas, seja no erro humano por falta da conscientização dos riscos
existentes (que são minimizados por treinamentos e atualizações regulares), seja por uma
deliberada ação de corromper a segurança da informação do colaborador, fornecedor ou
terceiro, quando do encerramento de suas atividades.
A organização deve pesquisar o histórico profissional de seus colaboradores antes da

contratação, respeitando a legislação vigente e a ética, de modo a conhecer melhor quem
se candidata a ser membro de seu time. No processo de seleção, deve-se ter papéis e
responsabilidades bem definidos. Ressalto que papéis e responsabilidades não pertencem a
um indivíduo e sim ao cargo que se ocupa ou à sua posição hierárquica na organização.
Na fase de seleção há ainda a assinatura do termo de responsabilidade, ratificando

a ciência e compreensão do usuário sobre seus papéis e responsabilidades, assim como

explicitando possíveis formas de penalizar eventuais infrações aos requisitos de segurança

da informação.
Observamos dois exemplos de políticas de segurança da informação, com o objetivo de

verificar como uma política aborda, na prática, esses controles. Mais uma vez a norma não nos
diz como fazer, nem fornece detalhes do que fazer. São apenas boas práticas que precisam ser
discutidas pelo comitê de implantação do SGSI, para definir como estas serão expostas como
diretrizes e como os procedimentos para execução e auditoria serão elaborados.
Um abraço e até a próxima.
Referências
INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA. Política de Segurança da ICP-Brasil - Parte

III, de 19 de Junho de 2001. Disponível em: <http://www.planalto.gov.br/ccivil_03/consulta_
publica/PDF/PoliticadeSeguranca.pdf>. Acesso em: 26 Dez. 2014.
PATRUS. Política de segurança da informação. Disponível em: <http://www.patrus.com.br/

politica-de-seguranca-da-informacao.php#>. Acesso em: 26 Dez. 2014.

de Informação
Aula 09
Segurança Física e do Ambiente
• Identificar os elementos e controles para segurança física: áreas seguras
e equipamentos
Temas
Introdução
1 Segurança física e do ambiente
Referências
Professor
Introdução
Nesta aula abordaremos o tema Segurança Física e de Ambiente, de acordo com a norma
ABNT NBR ISO/IEC 27002.
Trata-se de um conjunto de controles para impedir o acesso físico não autorizado,

danos ou interferências às instalações e informações. A norma explicita que os serviços de
processamento de informações classificadas como sensíveis devem ser realizados em áreas
denominadas seguras e que são protegidas por um perímetro de segurança, formado por
barreiras e controles de entrada.
Como já abordamos nas aulas anteriores, a proteção deve ser proporcional ao risco.
Vamos conhecer controles voltados à redução do risco de acesso não autorizado à informação,
protegendo-a contra perda ou roubo. De igual maneira, os controles irão nos auxiliar a
proteger a informação contra ameaças provenientes de estruturas físicas, garantindo serviços
locais, tais como eletricidade, infraestrutura de refrigeração etc.
1 Segurança física e do ambiente

Conheceremos agora alguns controles voltados à Segurança Física e do Ambiente. Como
já abordado na introdução desta aula, tais controles têm por objetivo prevenir o acesso físico
não autorizado, danos e interferências nas instalações e informações da organização.
As informações que forem classificadas como críticas ou sensíveis devem ser mantidas
em áreas seguras, protegidas por perímetros de segurança definidos, contendo barreiras de
segurança e os devidos controles de acesso.
Lembre-se de que a proteção a ser oferecida é diretamente proporcional

aos riscos identificados no processo de gestão de riscos.
Os perímetros de segurança devem ser claramente definidos pela organização, assim

como sua estrutura deve ter com base o risco identificado para o que se deseja proteger.
Normalmente, busca-se que um perímetro de segurança seja composto, quando aplicável,
por:
• instalações de processamento de informações, que devem ser fisicamente sólidas, de

modo a dificultar tentativas de invasão;

• paredes externas reforçadas;
• portas externas com proteção contra acesso não autorizado, por exemplo, alarmes e
fechaduras;
• trancas permanentes se houver janelas sem monitoramento, de preferência com

uma proteção externa (uma grade, por exemplo);
• área de recepção nos edifícios, de modo a controlar o acesso físico às instalações do

prédio e garantir o acesso apenas aos indivíduos autorizados;
• alarmes nas portas corta-fogo do perímetro de segurança, sendo monitoradas e

testadas junto com as paredes, para garantir o nível de exigência requerido;
• instalações de processamento da informação geridas pela organização que fiquem

separadas fisicamente das instalações geridas por fornecedores ou terceiros.
Costuma-se falar no termo barreiras múltiplas. Este se refere à utilização de múltiplos

mecanismos que imponham barreiras de acesso à informação sensível. O uso de barreiras
múltiplas proporciona uma proteção adicional, no sentido de que, na falha de uma delas, a
segurança não fique imediatamente comprometida.
As áreas seguras necessitam ser protegidas com controles de entrada, para assegurar
que apenas pessoas autorizadas possam acessá-las. Estes controles precisam armazenar data
e hora de entrada e saída, e todos os visitantes precisam ser supervisionados, exceto quando
seu acesso for previamente autorizado (ISO 27001).
Recomenda-se solicitar que visitantes, fornecedores e terceiros possuam uma forma

visível de identificação. A equipe de colaboradores da organização deve ser instruída a avisar
a equipe de segurança caso encontre pessoas não identificadas. Isto impõe, por outro lado,
que os próprios colaboradores devam sempre utilizar elementos de identificação (ISO 27001).
Para áreas seguras de processamento de informação, costuma-se utilizar controles de

autenticação, tais como controle de acesso com senha, biometria etc., para autorizar e validar
os acessos autorizados.
Sobre a proteção ambiental, sugere-se a proteção física contra:
• incêndios;
• terremotos;
• enchentes;
• explosões;
• perturbações de ordem pública (manifestações, por exemplo);

• demais desastres naturais ou causados pelo homem.
Como prevenir-se contra estas ameaças? Muitas são naturais e imprevisíveis, mas
podemos minimizar os impactos causados pela sua ocorrência. Por exemplo:
• os materiais perigosos ou inflamáveis devem ser armazenados distantes das áreas

seguras, assim como suprimentos de papelaria também não devem ser armazenados
juntos às áreas seguras;
• os equipamentos de cópia de segurança (backup) devem ser instalados em uma

distância segura, para que não sejam danificados por um desastre que afete a origem
dos dados. Recomenda-se que os equipamentos de backup fiquem em uma instalação
física diferente da instalação que abriga os dados;
• se estamos prevenindo as áreas seguras contra incêndios, por exemplo, é preciso

que os equipamentos apropriados para detecção (sensor de fumaça, por exemplo)
e combate a incêndio (extintores, gás FM-2001) sejam providenciados e instalados
adequadamente (SILVEIRA, 2006).
Sobre demais ameaças naturais, há diversas soluções no mercado. Para enchentes, a

construção de ambientes-estanque é a mais adequada. Para perturbações de ordem pública,
além dos controles supracitados, portas antivandalismo também são
frequentemente utilizadas.
São diversas as tecnologias para prevenção física e de ambientes. Na

área de proteção contra vandalismos e consequentes roubos, uma
tecnologia passou a ser utilizada por bancos nacionais. Trata-se de uma
névoa artificial que atinge a visão e audição do vândalo gerando completa
desorientação. A neblina, semelhante ao gás FM-200, não danifica
nenhum equipamento. Para saber mais, pesquise por “geradores de
neblina” para proteção de ambientes.
Como exercer as atividades nas áreas seguras?
Primeiramente, recomenda-se que o conhecimento sobre quais áreas são seguras

ocorra apenas se for necessário.
1 O Gás FM-200 é uma das soluções mais modernas para combate a incêndio para equipamentos de TI (datacenters). O gás é espalhado pelo
ambiente, não deixando resíduos que danifiquem os equipamentos, sem ser necessária posterior limpeza do ambiente (SILVEIRA, 2006).

Para atuar em tais áreas, recomenda-se que as atividades exercidas nestas

sejam supervisionadas, tanto por motivos de segurança quanto para prevenir atividades
mal-intencionadas.
Para áreas seguras, que normalmente não estão ocupadas ou não sejam locais
constantes de execução de atividades, sugere-se que estas fiquem permanentemente
trancadas e que sejam vistoriadas frequentemente. Não se pode esquecer uma área segura!
Dependendo da criticidade da área segura, sugere-se não permitir o uso de fotografias,

gravadores de vídeo ou demais equipamentos de gravação. É preciso criar normas internas para
acesso a tais áreas. Normalmente, as normas são divididas em: normas para colaboradores,
fornecedores, terceiros com atividades em tais áreas e demais atividades.
E sobre o acesso público a tais áreas?
Normalmente o acesso público acontece na entrega de equipamentos ou suprimentos.

Recomenda-se que esta área seja isolada da área segura, ou seja, que haja uma área de
descarregamento isolada da área de instalação dos equipamentos. Os entregadores, por
exemplo, não necessitam ter acesso às outras áreas da empresa, apenas à área para descarga.
Há equipamentos que tratam da segurança destes ambientes, de modo a bloquear

portas externas (para descargas) quando as internas (que fornecem acesso aos elementos de
processamento da informação) estão abertas.
Quando da entrega de materiais, é importante criar procedimentos para a sua

inspeção, contra eventuais ameaças, antes de serem transportados para as áreas seguras ou
seus locais de utilização.
Não é incomum encontrar na mídia situações de vazamento de informações por meio

de pessoas externas, tais como entregadores. Para minimizar tais ameaças, recomenda-se
que a área de entrega seja isolada da área de recebimento. Ou seja, o que a empresa envia
deve ser feito em local diverso do local em que recebe.
Falamos bastante sobre as áreas seguras e perímetros de segurança, mas e sobre

os equipamentos? Como eles podem ser protegidos? Estes precisam ser protegidos contra
ameaças físicas e do meio ambiente.
Os equipamentos devem ser instalados em locais protegidos, para reduzir o risco de

ameaças, bem como mitigar o acesso não autorizado.
As instalações de equipamentos de processamento de dados devem ser feitas de

modo a restringir o ângulo de visão, visando a evitar a percepção de marcas, modelos,
tecnologias utilizadas etc. Por pessoas não autorizadas, fazendo uso da engenharia social.

A engenharia social é um conjunto de práticas que exploram as relações

humanas para obter informações que não deveriam ser fornecidas. O
engenheiro social faz uso de relações de confiança, imagem, poder etc. para
obter informações que comprometam a segurança da informação. Procure por
Kevin Mitnick, um dos engenheiros sociais mais célebres da história. Para você
ter uma ideia, ele chegou a ser proibido de usar telefone ou computador! É
uma história que vale a pena conhecer. Acesse o link disponível na Midiateca
da disciplina.
Quando estamos focados na segurança de equipamentos, além das ameaças já descritas,

temos que nos atentar a:
I. furto ou roubo;
II. fumaça,
III. água,
IV. poeira,
V. vibração,
VI. interferência com equipamentos elétricos etc.
É preciso preocupar-se também com comida, bebida e fumo nas proximidades das
instalações dos equipamentos de processamento da informação. Normalmente o consumo
de tais elementos é proibido nestas áreas.
No que se refere a equipamentos de processamento de informação, normalmente

instalados em datacenters, busca-se monitorar constantemente temperatura e umidade,
pois estes são dois fatores primordiais para o bom funcionamento dos equipamentos.
Para proteção contra raios, é preciso que os edifícios tenham equipamentos de proteção
específicos, e que todas as linhas de entrada de energia e de comunicação tenham filtros
de proteção.
Chamamos de utilidades o fornecimento de energia, de água, esgoto, calefação,

ventilação e condicionamento de ar. Devemos proteger os equipamentos contra alguma falha
na entrega de tais utilidades.

A norma recomenda que tais utilidades sejam inspecionadas com frequência e testadas
de maneira apropriada para assegurar seu correto funcionamento e reduzir riscos de defeitos
ou interrupções do funcionamento.
Com relação à energia, recomenda-se o uso constante de UPS (Uninterruptible

Power Supply, mais conhecido como no-breaks, representado na Figura 1), para garantir a
continuidade do fornecimento de energia por determinado período, permitindo ao menos o
correto desligamento dos equipamentos e garantindo assim a integridade da informação que
está sendo processada.
Figura 1 – Sala com equipamentos UPS (No-breaks)
O uso de geradores de energia juntamente com UPS, pode garantir a continuidade do

processamento, quando da falha da fonte principal de fornecimento de energia. Observe
como tudo precisa ser planejado: um gerador de energia faz uso de um combustível para gerar
a devida energia. Ter um gerador e não garantir o abastecimento do combustível inviabiliza
tal contingência.
O que a norma nos fala sobre múltiplas fontes de energia é que se recomenda a utilização
de múltiplas fontes independentes para garantir o fornecimento contínuo de energia.
Infelizmente, muitas áreas no Brasil não possuem duas concessionárias, de modo que o uso
de geradores é o mais adequado nestas situações.
As salas de equipamentos devem ser projetadas com saídas de emergência. Normalmente

chaves de desligamento de emergência são localizadas próximas a essas saídas. Tais chaves
atuam desligando o fornecimento de energia em caso de uma emergência, disparando
alarmes e equipamentos de contingência, se for o caso.
Ainda sobre a proteção de equipamentos, precisamos atentar-nos sobre a necessidade

de um sistema de alarme para detectar eventuais falhas no funcionamento das utilidades.

Os equipamentos de telecomunicações precisam estar conectados à rede de energia

pública, de preferência, por duas linhas separadas. Na falha de uma das linhas, a comunicação
ainda pode ocorrer pela outra. Isto é extremamente importante quando monitoramos nossos
equipamentos de modo remoto.
A interceptação do cabeamento de comunicação de dados também é um elemento

crítico à segurança da informação. O rompimento de um cabo de comunicação, por exemplo,
pode afetar a disponibilidade da informação. Para este tipo de equipamento, recomenda-se:
• que as linhas de energia e de telecomunicações que entram nas instalações de

processamento da informação sejam subterrâneas, ou abaixo de um piso elevado,
recebendo a proteção adequada;
• o cabeamento seja feito em conduítes, evitando trajetos em áreas públicas ou acessos

que possam rompê-lo;
• os cabos de energia sejam segregados dos cabos de dados, evitando eventuais

interferências;
• para evitar erros no manuseio dos cabos, estes precisam ser devidamente
identificados. A Figura 2 apresenta um exemplo de identificação de cabos de rede,
com uma numeração que permite identificar a origem e o destino do cabo.
Figura 2 – Cabeamento identificado

Nesta aula abordamos o tema Segurança Física e do Ambiente.
Vimos que a norma nos apresenta os conceitos de área segura e perímetro de

segurança. Embora sejam conceitos de fácil assimilação, estes são geralmente citados de
forma superficial e genérica.
Os controles, como, por exemplo, o uso de equipamentos de combate a incêndio em

salas seguras, são melhores descritos em normas específicas. Logo, a implantação de tais
controles requer o estudo aprofundado das normas específicas.
A proteção de caráter ambiental consiste em minimizar a ocorrência de ameaças, que

normalmente não são capazes de serem previstas. Podemos minimizá-las com a construção
de ambientes seguros, monitorados, automatizados e com procedimentos bem definidos.
Você verá que, com o andamento da norma, os controles estarão cada vez mais
alinhados a procedimentos. Para a segurança física e de ambiente, temos apenas linhas gerais
que precisam ser melhor delineadas com o estudo de normas e referências específicas.
Em nossa próxima aula, abordaremos a seção com maior número de controles da

norma. Trata-se da Gestão de Operações e Comunicações, que consiste em controles mais
ligados ao dia a dia e que são de vital importância para uma efetiva proteção da segurança
da informação.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: 2006. Tecnologia da
informação - técnicas de segurança - sistemas de gestão da segurança da informação - Requisitos.
Rio de Janeiro: ABNT, 2006.
______. NBR ISO/IEC 27002: 2007. Tecnologia da informação - código de prática para a gestão
SILVEIRA, C. A. F. et al. DataCenters. Universidade Santa Cecília. 2006. Disponível em: <http://
professores.unisanta.br/gprando/docs/pos/Data%20Center.pdf>. Acesso em: 15 jan. 2015.

de Informação
Aula 10
Gestão de Operações e Comunicações
• Explicar os controles e testes em redes, mudanças e processamento; explicar
os principais tipos de ataques.
Temas
Introdução
1 Procedimentos e responsabilidades operacionais
2 Gerenciamento dos serviços terceirizados
3 Planejamento e aceitação de sistemas
4 Proteção contra códigos maliciosos e códigos móveis
5 Cópias de segurança
6 Gerenciamento da segurança em redes
7 Manuseio de mídias
8 Troca de informações
9 Serviços de comércio eletrônico
10 Monitoramento
Referências
Professor
Introdução
Nesta aula abordaremos o tema Gestão de Operações e Comunicação, referente à seção
10 da norma ABNT NBR ISO/IEC 27002. Trata-se da seção com o maior número de controles.
Mas o que vem a ser o Gerenciamento das Operações e Comunicações?
De acordo com o guia SISP (2014), podemos definir que este gerenciamento trata de
atividades, processos, procedimentos e recursos que objetivam disponibilizar e manter
serviços, sistemas e infraestrutura que os suporta, satisfazendo os acordos de nível de serviço.
O que vem a ser um acordo de nível de serviço? Podemos dizer que um acordo de nível
de serviço é um requisito mínimo de qualidade, que reflete a necessidade do negócio. Por
exemplo, se temos um datacenter que recebe uma conexão com a internet via fibra ótica e
queremos que este link esteja disponível o maior tempo possível, podemos definir um acordo
de nível de serviço para que a disponibilidade do link seja de 99,999%. Esta disponibilidade
representa, em um ano, a inoperância do link por menos de seis minutos1!
A seção 10 da norma é subdividida em 10 subseções. Cada uma delas apresenta seus

objetivos e controles específicos. Cada controle, por sua vez, apresenta diretrizes gerais de
implementação. Obviamente, não iremos entrar nos mínimos detalhes de cada controle,
algo que deve ser feito com a leitura integral da norma, mas abordaremos uma visão geral
destes controles, de modo que lhe permita compreender como eles definem uma política de
segurança da informação de uma empresa. As 10 subseções encontradas na norma são as
seguintes, e serão apresentadas com base na norma ISO 27002:
• Procedimentos e responsabilidades operacionais;
• Gerenciamento de serviços terceirizados;
• Planejamento e aceitação de sistemas;
• Proteção contra códigos maliciosos e móveis;
• Cópias de segurança;
• Gerenciamento da segurança em redes;
• Manuseio de mídias;
• Troca de informações;
• Serviços de comércio eletrônicos; e
• Monitoramento.
1 Apenas como curiosidade: assumindo que a operação encontra-se no regime 24x7 (24 horas, 7 dias por semana), temos um total
aproximado de 24 x 365 x 60 = 525.600 minutos de operação. Realizando (1 - 0.99999) * 525.600 = 5,26 minutos de indisponibilidade em
um ano de operação!

1 Procedimentos e responsabilidades operacionais

Esta subseção tem por objetivo apresentar controles voltados para garantir uma
operação segura e correta dos recursos de processamento da informação, armazenamento e
movimentação da informação (ISO 27001:2006). Como podemos atingir tais objetivos?
A norma nos apresenta duas formas de atingi-los: divulgação e segregação de funções.

A divulgação consiste em tornar conhecidos os procedimentos e responsabilidades em
relação à gestão e operação dos recursos. A segregação de funções, por sua vez, consiste
na divisão de funções de modo a reduzir os riscos, sejam estes provocados por mau uso ou
desídia do usuário.
Quando divulgamos e segregamos funções, visamos garantir que boa parte dos
envolvidos conheçam os procedimentos e suas responsabilidades, assim como pelo fato de
estarem segregadas, contribuímos para a redução dos efeitos e redução dos impactos em
caso de falhas.
Podemos então definir que uma forma de proteger a segurança da informação quanto
aos procedimentos e responsabilidades operacionais consiste em dividir para conquistar
e divulgar.
Ainda com relação aos procedimentos, a norma nos sugere uma padronização nos
procedimentos de operação. Além disso, sabemos que o ambiente organizacional é repleto
de mudanças, mas como reagir a elas? Para isto temos que implantar um processo de gestão
de mudanças.
A gestão de mudanças tem por objetivo controlar as modificações em recursos e

sistemas. Uma ferramenta que pode ser útil para controlar as mudanças nos ambientes
organizacionais é a Matriz RACI. Esta matriz não é um elemento da área de TI, sendo
utilizada em diversas outras áreas. Sua função é definir as responsabilidades dentro de um
determinado processo, por exemplo, um processo de mudança. Nela temos quatro tipos de
sujeitos (FREITAS, 2013, p. 86):
• Responsável (R - Resposible) - é o sujeito que executa a atividade ou processo

na organização;
• Cobrado (A - Accountable) - é quem responde pela atividade ou processo.

Normalmente é quem será cobrado pelo bom andamento da atividade;
• Consultado (C - Consulted) - são os sujeitos que precisam ser consultados para

auxiliar no processo;
• Informado (I - Informed) - são os sujeitos que precisam ser informadas sobre alguma
atividade relacionada ao processo.

Por exemplo, se considerarmos o processo de “instalação de um novo equipamento de

firewall”, podemos elencar os sujeitos envolvidos e criar a seguinte matriz RACI:
Tabela 1 – Exemplo de Matriz RACI para um processo de gestão de mudanças
Gestor de Demais
Sujeitos/Atividades Área de TI Usuários
TI Dirigentes
Receber novo
equipamento de R A C I
firewall
Interromper
operação da rede
R A C I
para testes no
firewall
Comunicar as áreas
do negócio sobre
C A R I
os novos serviços e
restrições
Fonte: Elaborada pelo autor (2015).
Outro aspecto importante apresentado nessa subseção é a separação dos recursos em

três ambientes: desenvolvimento, teste e produção. Por exemplo, na produção de softwares,
o ambiente de desenvolvimento é aquele reservado para o desenvolvimento da aplicação
pela equipe de desenvolvedores, testes de modificação do sistema, análise de impactos etc.
O ambiente de homologação é, por sua vez, utilizado pelos usuários do negócio para testes
de requisitos, e uma análise para verificação de adequação do sistema ao que foi solicitado.
Uma vez aprovado, o sistema vai para o ambiente de produção.
Busca-se, com esta segregação de ambientes, garantir que o que está no ambiente de
produção é o mais estável possível e representa uma versão que atende aos requisitos do
negócio. Uma falha no ambiente de homologação, por exemplo, não corromperá a integridade
da informação do ambiente de produção.
2 Gerenciamento dos serviços terceirizados

Neste gerenciamento temos por objetivo atingir e manter o nível de segurança
da informação e de entrega de serviços, respeitando os acordos de nível de entrega de
serviços terceirizados.
Podemos alcançar tal objetivo por meio da implementação de acordos de nível de

serviço. Tais acordos necessitam ser monitorados e ajustados por processos de gestão de
mudanças, se necessário, para garantir os requisitos acordados com terceiros (FREITAS,
2013, p. 160).

Cabe ressaltar que o acordo de nível de serviço não é, necessariamente, uma via de
mão única. Há acordos em que a organização também se compromete com diversos níveis de
serviço de sua parte.
3 Planejamento e aceitação de sistemas

Sistemas normalmente possuem causa comum de falhas na segurança da informação.
Isto decorre do alto grau de informatização dos processos, mas também devido a falhas no
processo de concepção do sistema. Os requisitos operacionais de um sistema precisam ser
definidos previamente, testados e documentados antes da sua aceitação e disponibilização
no ambiente de produção.
O que representa o termo “Planejar” nesta subseção? Este termo refere-se ao

Planejamento da Capacidade, principalmente. Isto é, precisamos dimensionar recursos
e capacidades para obter-se a disponibilidade e o desempenho esperados para o correto
atendimento às necessidades do negócio.
A capacidade e utilização dos recursos precisa ser monitorada e ajustada, garantindo

o desempenho requerido pelo sistema. É preciso projetar os recursos necessários para
as demandas vindouras. Tais projeções levam em conta requisitos de novos negócios a
serem estabelecidos pela organização, tendências atuais e projetadas de capacidade de
processamento da informação.
Com relação à aceitação de sistemas, busca-se garantir que a organização estabeleça

critérios de aceitação de novos sistemas, atualizações e novas versões, efetuando os testes
necessários no sistema durante seu desenvolvimento e anteriormente à sua aceitação. É
preciso garantir que novos sistemas e novas versões sejam passados para a produção apenas
após um aceite formal, sempre elaborando um plano de contingência e de recuperação da
versão anterior, caso algum incidente ou evento inesperado ocorra.
A aceitação pode também ser feita por um procedimento formal de certificação e

reconhecimento para garantir que os requisitos de segurança tenham sido atendidos. Como
exemplo, podemos definir o seguinte trecho de uma política de segurança da informação
para a aceitação de novos sistemas e aplicação de patches de segurança:
Os patches de segurança devem ser instalados à medida que se tornarem disponíveis

por seus fabricantes, porém esta instalação deve ser precedida por:
(i) homologação em ambiente segregado da produção;
(ii) análise e documentados no plano de mudanças e implantação, contendo o plano de

teste e o disaster recovery, que deve ser aplicado em alguma ocorrência inesperada;
(iii) aprovação formal pela diretoria.

Sobre o desenvolvimento de novos sistemas, os conceitos de segurança da informação

devem estar presentes em todas as fases do desenvolvimento, desde a reunião inicial
do projeto até sua efetiva entrega e aceite pela organização.
4 Proteção contra códigos maliciosos e códigos móveis

Primeiramente precisamos saber: o que são códigos maliciosos?
Tais códigos são mais conhecidos por seus nomes no idioma inglês: worms, trojans,
spywares e vírus. Normalmente estes códigos afetam a integridade do software atacado e
da informação.
Já códigos móveis são scripts servidos pela rede, applets, agentes móveis etc.
Precisamos, portanto, criar medidas necessárias para prevenir, detectar e remover

estes códigos maliciosos e móveis não autorizados. A mobilidade também é um agravante.
Normalmente a fonte de disseminação destes códigos são pen drivers dos usuários. Ao
conectar o dispositivo em um computador, os códigos maliciosos são instalados no sistema
da máquina. Logo, a conscientização dos usuários é ferramenta essencial para mitigar
este risco.
Com relação ao código móvel, devemos permitir a sua execução apenas quando
autorizada. É preciso instalar e manter bloqueios de execução destes quando não autorizados.
5 Cópias de segurança
As cópias de segurança são mais conhecidas por seu termo técnico: backup. Dizemos
que tais cópias são elementos primordiais para manter a integridade e disponibilidade da
informação e dos recursos de processamento da informação.
As cópias de segurança devem ser feitas periodicamente, possibilitando a recuperação

em tempo aceitável. Normalmente há uma política de backups da organização, que determina
a frequência na qual serão feitas as cópias de segurança, em função de sua classificação
(FREITAS, 2013).
Um ponto importante é: precisamos testar nossas cópias de segurança! De nada adianta

realizarmos cópias de segurança frequentemente se não temos a certeza sobre a efetividade
do procedimento de recuperação. Testar a recuperação por meio de uma restauração da
cópia de segurança nos permite desenvolver um procedimento para casos reais, além de
determinar tempo e esforços necessários para esta atividade.

As cópias de segurança são elementos essenciais para a garantia da

continuidade das operações de uma organização. Normalmente, a parte mais
difícil deste processo é definir a periodicidade de tais cópias. Como você
definiria critérios para decidir a periodicidade das cópias de segurança em
função da classificação da informação.
6 Gerenciamento da segurança em redes

Precisamos garantir que a informação que trafega em nossa rede esteja protegida,
assim como garantir a infraestrutura necessária para tais transmissões. Estes são os principais
objetivos dos controles desta subseção.
O gerenciamento de redes pode se estender além dos limites da organização, uma vez
que há tráfego de informações institucionais por meio de recursos de fornecedores externos.
As redes devem, portanto, ser adequadamente controladas e gerenciadas para que

possamos protegê-las contra diversas ameaças e manter a segurança de sistemas e aplicações
que as utilizam.
Uma arquitetura importante para o gerenciamento de segurança em redes é a

Zona Desmilitarizada (DMZ - DeMilitarized Zone). A DMZ é uma zona entre a rede pública
(externa) e privada (interna) de uma organização. Por exemplo, quando uma organização
deseja hospedar seu website, ela deve garantir que um ataque ao seu website não afete sua
rede interna, mas isto sem bloquear o acesso externo ao site. Logo, ela instala um servidor
Web entre a rede interna e externa, na DMZ, e cria regras específicas para esta comunicação.
A DMZ tem se mostrado uma técnica eficiente para o aumento da proteção da informação
em redes de computadores.
Como citado acima, o gerenciamento pode se estender para partes externas.

Os acordos de níveis de serviços de redes, sejam internos ou envolvendo partes externas,
precisam incluir as características de segurança, níveis de serviço e requisitos de gerenciamento
de serviços de rede.
7 Manuseio de mídias
As mídias necessitam ser controladas e fisicamente protegidas para que possamos
gerir as operações e comunicações. Devemos estabelecer controles para a prevenção da
divulgação não autorizada, modificação, remoção ou destruição dos ativos e a consequente
interrupção das atividades da organização.
Os procedimentos que precisam ser estabelecidos devem proteger:
• documentos;
• mídias magnéticas de computadores;
• dados de entrada e saída;
• documentação dos sistemas, dentre outros.
Quando não for mais necessário à organização, o conteúdo de tais mídias deve ser
destruído e mantido o registro desta destruição para fins de auditoria. Mídias contendo
dados sensíveis podem ser destruídas por meio de incineração ou trituração. Uma boa prática
consiste em, ao invés de nos preocuparmos em como vamos destacar mídias com informações
sensíveis, podemos nos preocupar em estabelecer uma política comum de descarte para
todas as mídias e classificação das informações que estas armazenam.
Todas as mídias necessitam ser armazenadas em local seguro, atendendo as

especificações de seus fabricantes.
8 Troca de informações
As trocas de informações e softwares entre diversas organizações necessitam ser
reguladas por meio de uma política que atenda os requisitos das partes envolvidas, assim
como a legislação vigente.
Nesta troca de informação, é preciso estabelecer controles que garantam a segurança

da informação quando as mídias estão em trânsito. Logo, os controles apresentados nesta
subseção da norma buscam garantir que a troca da informação em todos os tipos de recursos
de comunicação devem ter suas políticas e procedimentos estabelecidos e formalizados entre
as partes envolvidas.
As mídias necessitam, portanto, ser protegidas quando em trânsito contra acessos

não autorizados, uso impróprio ou qualquer alteração, afetando sua integridade.
9 Serviços de comércio eletrônico

É uma preocupação constante das organizações a segurança das transações de
comércio eletrônico e sua utilização segura pelos usuários.
As informações envolvidas com comércio eletrônico devem ser protegidas contra

atividades fraudulentas, disputas contratuais e modificações não autorizadas. Cada parte
envolvida no comércio eletrônico precisa ser reconhecida pelas demais, por meio de
mecanismos de autenticidade.

É preciso criar processos de autorização acerca de quem pode determinar preços,

emitir ou assinar documentos de negociação eletrônicos. A preocupação com serviços de
comércio eletrônico está voltada não exclusivamente para:
• a confidencialidade de quaisquer dados sensíveis;
• a confidencialidade e a integridade das transações eletrônicas, mantendo no devido

nível de sigilo informações, tais como: informações de pagamento, endereço de
entrega, confirmações de recebimento etc.;
• prevenção contra perda ou duplicidade da informação, dentre outras.
Os serviços de comércio eletrônico são sujeitos a diversos ataques, tais como a

negação de serviço. Este ataque consiste na geração de denso conjunto de requisições ao
serviço, de modo que o sistema não consiga responder, causando a indisponibilidade do
tempo. Portanto, é preciso que a organização adote políticas e procedimentos que visem
aumentar a resiliência dos servidores utilizados para o comércio eletrônico.
10 Monitoramento
Monitorar é essencial para saber com o quem estamos lidando. Se tivermos um
gerenciamento de ativos e controles que visam garantir a continuidade das operações e
comunicações do negócio, alinhados em um contexto de melhoria contínua, o monitoramento
visa, além de aperfeiçoar os controles estabelecidos, detectar atividades não autorizadas de
processamento da informação.
Logo, um controle primordial a ser estabelecido pela organização é o de que todos os

seus sistemas sejam monitorados e os eventos de segurança da informação registrados. Os
registros sobre quem opera o sistema e de falhas são normalmente os mais importantes na
investigação de problemas que afetem a segurança da informação.
É preciso atentar-se à legislação vigente e acordos de contrato no estabelecimento

de itens a serem monitorados e o que monitorar, de modo que a organização não infrinja
quaisquer cláusulas contratuais ou determinações legais.
Como já comentado em aulas anteriores, a sincronização dos relógios é fundamental

para o devido rastreamento dos incidentes. Os relógios sincronizados garantem a
rastreabilidade adequada para investigar os incidentes de segurança da informação.
Nesta aula, estudamos uma visão geral dos controles voltados ao gerenciamento das
operações e comunicações de uma organização, no que concerne à segurança da informação.

Por se tratar da maior seção da norma ISO 27002, assim como as demais normas, recomenda-
se a sua leitura, para maior entendimento e detalhamento dos controles.
A norma aborda de forma sucinta a gestão de redes, porém cabe ao grupo formulador
das políticas e procedimentos alinhar as boas práticas com a real necessidade do negócio,
discernindo sobre técnicas e tecnologias que serão aplicadas para a gestão eficaz e segura
da rede. É de se notar que a norma distribui os controles entre as subseções. Por exemplo, a
autenticação é um dos requisitos primordiais da segurança da informação e da segurança de
redes, mas é na subseção de comércio eletrônico que a norma vai nos evidenciar a importância
da devida autenticação. Logo, temos que ter em mente, mais uma vez, que todos os controles
são interligados e relacionam-se em comum com a manutenção da confidencialidade,
integridade e disponibilidade da informação.
Vimos também que são diversas as ferramentas que podem apoiar na gestão das
operações e comunicações. Por exemplo, a Matriz RACI pode ser usada como elemento
norteador de um processo de gestão de mudanças, indicando o papel e responsabilidade de
cada sujeito envolvido com a mudança.
Em nossa próxima aula iremos abordar o tema Controle de Acesso, fundamental

para a identificação e correta permissão dos usuários com relação aos ativos de segurança
da informação.
Um abraço e até a nossa próxima aula.
Referências
______. ABNT NBR ISO/IEC 27002: 2007. Tecnologia da informação - código de prática para a
FREITAS, M. Fundamentos do Gerenciamento de Serviços de TI. 2. ed. - Rio de Janeiro: Brasport,

2013.
SISP. Política de Segurança da Informação - Perguntas e Respostas. Disponível em: <http://

www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=13941646>. Acesso em: 26 dez.
2014.

de Informação
Aula 11
Controle de acesso
• Explicar os controles e testes em controles de acesso lógico.
Temas
Introdução
1 Política de controle de acesso
Referências
Professor
Introdução
Precisamos controlar o acesso à informação. Mais especificamente, precisamos controlar
o acesso à informação, aos recursos de processamento de informações e aos processos de
negócio com base nos requisitos de negócio e segurança da informação.
Esta seção da norma trata de apresentar controles para o controle de acesso à informação,
levando em consideração as políticas de autorização e disseminação da informação.
1 Política de controle de acesso

Precisamos elaborar e estabelecer uma política de controle de acesso com base nos
requisitos de acesso aos processos de negócio e segurança da informação.
Nessa política temos que expressar claramente as regras de controle de acesso e direitos
para cada usuário ou grupos de usuários, considerando os controles de acesso lógico e físico
conjuntamente.
No momento de estabelecer uma política de controle de acesso, podemos ter por base
algumas filosofias. A primeira delas é: “Tudo é proibido, a menos que seja expressamente
permitido.” Ou seja, com essa abordagem, a política nasce com a consciência de que tudo
é proibido, identificando apenas o que está permitido. O que não estiver, entende-se como
proibido (TCU, 2012, p. 29).
Outra abordagem é “Tudo é permitido, a menos que seja expressamente proibido.”

Porém, esta requer um conhecimento profundo dos processos de negócios e ativos da
organização, de modo a garantir uma cobertura de todos os itens a serem proibidos (TCU,
2012, p. 29).
A política a ser elaborada deve levar em consideração os seguintes itens (TCU, 2012, p. 29):
• Requisitos de segurança das aplicações do negócio;
• Identificação de todas as informações relacionadas às aplicações e os riscos aos quais

elas estão expostas;
• Política de disseminação e autorização da informação;
• Legislação vigente e demais obrigações contratuais;
• Perfis de acesso dos usuários;

• Segregação de funções para controle de acesso. Por exemplo, a quem se solicita o

acesso, quem o autoriza, quem o administra etc.;
• Análise crítica periódica dos controles de acesso estabelecidos.
1.1 Registro de usuário

A norma estabelece a necessidade da criação de um procedimento formal para registro
e cancelamento de usuário, garantindo e revogando seus acessos em todos os sistemas de
informação e serviços.
Algumas boas práticas podem ser utilizadas para realizar o registro e o cancelamento,
quais sejam (TCU, 2012, p. 30):
• Cada usuário deve possuir um identificador único (ID de usuário) de modo a assegurar
a responsabilidade dos usuários por suas ações;
• Por outro lado, há situações em que podemos fazer uso de grupos de IDs. O ideal é
que seja feito apenas em situações excepcionais e documentado, para aprovação por
quem é responsável;
• Verificar após a concessão dos níveis de acesso se estes são apropriados aos requisitos
de negócio e consistentes com a política de segurança da informação da organização;
• Fornecer a cada usuário uma declaração por escrito de seus direitos de acesso;
• Requerer que os usuários assinem uma declaração indicando sua concordância com
a política de acesso;
• Manter um registro formal de todas as pessoas registradas para uso dos serviços;
• Remover ou bloquear imediatamente o acesso de usuários quando estes deixam a

organização ou mudam de funções;
• Assegurar que não existam IDs de usuários redundantes ou que sejam de usuários
que estão inativos.

Como exemplo, veja um trecho da política de segurança da informação da

Advocacia Geral de União (AGU), no que se refere ao registro de usuários (AGU,
2014, p. 25):
Todo o cadastramento de conta de acesso à rede da AGU deve ser

efetuado mediante solicitação formal;
Contas de acesso de terceirizados da AGU devem ter prazo de

validade no máximo igual ao período de vigência do contrato ou período
de duração de suas atividades;
As solicitações relativas à criação de cada conta devem ser mantidas

registradas e armazenadas de forma segura pela DTI;
Todos os usuários devem assinar um termo de responsabilidade

pela utilização da conta de acesso. Esse termo deve ser entregue junto
com a solicitação de criação de conta de acesso;
[...]
A exclusão da conta de acesso do usuário deve ser solicitada caso

haja: falecimento, aposentadoria, e outros afastamentos que caracterizem
encerramento de vínculo com a instituição;
Contas sem utilização por mais de 45 dias serão bloqueadas.
Observe no trecho apresentado acima o uso de registros formais de

solicitação de acesso, a assinatura de termos de responsabilidade pelos
usuários, assim como definições de bloqueio e exclusão da conta.
1.2 Gerenciamento de privilégios

Precisamos controlar e restringir a concessão de uso de privilégios. É preciso, portanto,
estabelecer processos formais para concessão de privilégios, de modo a prevenir acesso não
autorizado.
Inicialmente devemos identificar os privilégios de acesso de cada produto de sistema,

cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedidos.
A ideia mais comum é que os privilégios sejam concedidos conforme a necessidade de uso,
alinhados à política de segurança de acesso. Ressalta-se que o ideal é que os privilégios não
sejam concedidos até que o processo de autorização esteja finalizado.
A empresa deve incentivar o desenvolvimento e o uso de rotinas de modo que sua

execução não necessite de privilégios adicionais.

1.3 Gerenciamento de senhas de usuários

A concessão de senhas necessita ser controlada por um processo de gerenciamento
formal. A organização deve solicitar aos usuários a assinatura de uma declaração, na qual
afirmam estarem cientes da necessidade de manter a confidencialidade da senha de uso
pessoal e de senhas de grupos de trabalho.
Normalmente, quando um novo usuário é cadastrado em uma base corporativa, este

costuma receber uma senha inicial temporária. A norma nos sugere que haja a obrigatoriedade
de alterá-la após o primeiro acesso. Essas senhas temporárias devem ser únicas por pessoa
(isto é, não usar senhas padrão do tipo “123456”) e que não sejam fáceis de serem adivinhadas.
Porém, o fornecimento dessa senha inicial deve, preferencialmente, exigir um procedimento
formal para verificar a identidade do usuário.
Hoje as senhas não representam um único meio de reconhecer a identidade de um

usuário. Tecnologias como a biometria, uso de tokens1 ou cartões inteligentes, podem ser
usados quando apropriados.
1.4 Responsabilidade dos usuários

É essencial a compreensão e comprometimento dos usuários de modo a evitar o furto
da informação e dos recursos de processamento da informação. Os usuários necessitam
estar conscientes de suas responsabilidades para manter um efetivo controle de acesso,
particularmente em relação ao uso de senhas e dos equipamentos.
Uma das políticas mais aplicadas é a “política de mesa limpa”. Essa política consiste em
deixar a mesa constantemente limpa e organizada, de modo a evitar que informações que
possam comprometer o acesso aos recursos e sistemas estejam disponíveis para qualquer
pessoa que chegue próximo à estação de trabalho.
Para incentivar a responsabilidade dos usuários, além dos termos de responsabilidade

que estes assinam, a organização pode promover eventos que informem aos usuários a
importância de manter suas senhas confidenciais, de não anotá-las em post-its próximos ao
equipamento de acesso, da necessidade de alterá-las regularmente ou quando existir uma
indicação de possível comprometimento do sistema.
A capacitação para seleção de senhas também deve ser um processo disseminado na

organização. De modo geral, na escolha de uma senha recomenda-se fazer uso de (TCU,
2012, p. 20):
• senhas fáceis de lembrar;
1 Token é um dispositivo eletrônico gerador de senhas.

• senhas não baseadas em nada de modo que alguém possa facilmente identificar, tais
como nomes, números de telefone e datas de aniversário;
• senhas não vulneráveis a ataques de dicionário (é um ataque no qual o invasor tenta

uma sequência de palavras, como se estivesse percorrendo um dicionário e testando
todas as possíveis palavras para um idioma - trata-se de um ataque de força bruta);
• senhas isentas de caracteres idênticos consecutivos, todos numéricos ou todos

alfabéticos.
O incentivo ao não compartilhamento de senhas é primordial para a segurança da

informação. Se esta é uma política da organização (errônea, diga-se de passagem), não
estamos mais garantindo a identificação única do usuário autor de um incidente, pois ele
pode alegar facilmente que todos têm conhecimento de sua senha, assim como ele conhece
a senha de vários colegas.
Normalmente as pessoas têm uma tendência de fazer uso de uma mesma senha, seja
para acesso pessoal ou profissional. Recomenda-se incentivar os usuários para que não façam
uso de uma mesma senha para finalidades diferentes.
Não é incomum esquecermos as senhas. Por isto que por mais difícil que seja a sua senha,
de nada ela vai adiantar se você não conseguir gravá-la em sua mente, sem a necessidade de
anotá-la em um papel, por exemplo. Logo, é comum que as empresas atribuam ao helpdesk
uma função de recuperação das senhas. É preciso criar controles efetivos nessa área, pois ela
é um alvo comum de ataques.
Os usuários também precisam ser conscientes da importância de encerrar suas sessões

ativas quando eles estiverem ausentes do computador. Já há políticas de segurança da
informação que determinam que todos os computadores devem ser automaticamente
bloqueados após um certo período de inatividade.
1.5 Controle de acesso à rede

O controle de acesso deve também prevenir o acesso não autorizado aos serviços de
rede. Os acessos aos serviços de rede internos e externos necessitam ser controlados.
Com relação aos serviços de rede, recomenda-se que os usuários recebam somente
acesso para os serviços que tenham sido especificamente autorizados a utilizar. É preciso
formular uma política de uso da rede e de seus serviços, que contemple (TCU, 2012, p. 30):
• Redes e serviços que terão acesso permitido;
• Procedimentos para autorização e determinação de permissões de acesso aos

recursos da rede;

• Procedimentos e controles de gerenciamento para garantir o acesso.
É importante também definir como se dará o acesso remoto dos usuários. Normalmente,
todo o acesso remoto deve ser precedido de uma autenticação. Uma das técnicas mais
utilizadas é a solução de Redes Privadas Virtuais (Virtual Private Networks - VPN). Por meio
de uma VPN, um usuário externo torna-se membro da rede da organização, por meio de
conexões seguras, criptografadas, e que permitam uma troca segura de informações.
Adicionalmente com o uso da VPN, uma organização pode definir os requisitos mínimos
de um computador para que ele consiga se conectar via VPN, por exemplo, possuir antivírus
instalado, apresentar um certo patch do sistema instalado, uma determinada versão de
navegador web etc.
Outra forma de proteger as conexões remotas é fazer uso de modens de discagem

reversas. Ao invés do usuário externo se conectar à rede, a rede envia uma solicitação de
conexão ao usuário, que aceita e estabelece a conexão.
1.6 Identificação de equipamentos em rede

Podemos fazer uso de mecanismos de identificação de equipamentos como uma forma
de autenticar conexões provenientes de localizações e equipamentos específicos. Um
identificador pode indicar se esse equipamento possui permissão para conectar-se à rede.
1.7 Proteção de portas de configuração e diagnóstico remoto

Normalmente fazemos uso de acesso lógico e físico a portas de diagnóstico e
configuração dos equipamentos. A norma sugere o uso de uma tecla de bloqueio e
procedimentos de suporte para controlar o acesso físico às portas.
Para assegurar, por exemplo, que as portas de acesso lógico para diagnóstico e
configuração2 dos equipamentos sejam acessíveis apenas por quem possui a devida
permissão, é possível fazer uso de uma combinação do acesso requerido entre o gestor dos
serviços do computador e o pessoal de suporte.
Se as portas para diagnóstico e configuração remota estiverem desprotegidas, elas

podem comprometer o acesso a tais equipamentos. Normalmente as empresas habilitam
portas e softwares para acesso remoto, mas, para garantir o acesso externo, o usuário do
equipamento deve explicitamente autorizar tal acesso.
2 Normalmente os computadores e dispositivos eletrônicos estão ligados a uma rede de dados. Para que possamos acessar o dispositivo para
realizar diagnósticos sobre o seu estado atual, além de configurá-lo remotamente, podemos criar um conjunto de portas lógicas de acesso, que
permitirão que as pessoas devidamente autorizadas realizem o acesso remoto para diagnóstico e configuração do equipamento.

1.8 Segregação de redes

Os grupos de serviços de informação, usuários e sistemas necessitam, sempre que
possível, ser segregados em rede.
A técnica de segregação de redes é utilizada para gerenciar redes de grande porte,

dividindo-as em redes lógicas de menor porte, de modo a facilitar a gestão e o monitoramento
da rede.
A segregação das redes pode ser feita por dispositivos, tais como IP Switching. Os
domínios podem ser implementados com controle de fluxo, permissões, listas de controle de
acesso etc.
A segregação de uma rede também auxilia na minimização de efeitos de ataques.

Por exemplo, um ataque transmitido via broadcast para uma rede terá um impacto menor
quando ela não representar toda a organização e sim apenas um segmento dela. Além disso,
uma rede segmentada pode possuir diversos níveis de segurança, em função dos papéis e
responsabilidades de seus usuários e dos ativos que as compõem.
1.9 Procedimentos seguros de entrada de sistema

O acesso aos sistemas operacionais, mais conhecimento como log-on, necessita
ser controlado. Convém que o sistema operacional seja configurado para minimizar as
oportunidades de acessos não autorizados, por exemplo, por meio de uma conta que não
solicite senha (conta de convidado).
Um bom procedimento de log-on é aquele que (TCU, 2012, p. 18):
• Não mostre identificadores de sistema ou de aplicação até que o processo tenha sido
concluído com sucesso;
• Mostre um aviso geral informando que o equipamento a ser acessado é autorizado

apenas para usuários com as devidas permissões;
• Não exiba mensagens de ajuda no processo de log-on, que possam auxiliar o usuário
a descobrir a senha de acesso, por exemplo;
• Limite o número de tentativas de entrada no sistema sem sucesso, bloqueando a

conta após este número ou impondo um tempo de espera para minimizar o uso de
ataques de força bruta;
• Limite máximo e mínimo de horários para log-on no sistema. Por exemplo, uma
empresa pode definir que o log-on pode ser realizado apenas em dias úteis, das 07h
até às 23h.

1.10 Sistema de gerenciamento de senhas

Normalmente, as organizações possuem sistemas de gerenciamento centralizado de
senhas de seus usuários. Em geral, tais serviços são baseados em Serviços de Diretório (Active
Directory - Microsoft e Protocolo LDAP). Tais sistemas devem ser interativos, atendendo aos
seguintes requisitos (TCU, 2012, p. 18-20):
• Cada usuário deve ter uma identificação única, protegida por senha;
• Cada usuário deve selecionar e modificar suas senhas, de preferência com um

mecanismo de confirmação de senha, para minimizar casos de digitação incorreta;
• Durante a definição e troca de senha, o sistema deve exigir uma senha forte, definida
com base nos parâmetros de qualidade definidos pela organização;
• Registro de modo seguro e encriptado3 das senhas usadas anteriormente, bloqueando

seu uso, de modo a evitar que o usuário fique alterando as senhas em um grupo de
senhas já conhecido;
• A transmissão da senha e a sua recepção para fins de autenticação devem

ser protegidas.
1.11 Controle de acesso à aplicação e à informação

Os acessos aos sistemas de aplicação devem ser restritos, de modo que possamos
controlar o acesso dos usuários à informação e as funções das aplicações.
Os sistemas de aplicação devem proporcionar proteção contra acessos não autorizados

a qualquer utilitário que possa sobrepor ou contornar os controles de aplicação ou do sistema.
O acesso à informação por usuários e pessoal de suporte deve ser restrito de acordo
com o que for definido na política de acesso da organização.
O ideal é que para cada aplicação a organização possa ter mecanismos para controlar
quais usuários podem acessá-las, e quando fazendo uso das mesmas, para quais operações
eles possuem permissão de leitura, escrita e deleção das informações.
Os ambientes considerados sensíveis necessitam de um ambiente computacional

isolado, sendo esta sensibilidade explicitamente definida e documentada pelo proprietário
da aplicação. Se não for possível executar uma aplicação sensível em um ambiente isolado, é
importante que se faça a devida identificação dos sistemas que irão interagir com a aplicação,
3 Encriptado: Transformar informações informáticas ou mensagens num código único e especial, com a intenção de fazer com que esses
dados fiquem indecifráveis para quem não conhece o respectivo código (DICIONÁRIO LÉXICO).

para que se levantem todos os riscos e o proprietário da aplicação esteja ciente de sua
execução sob tais condições.
1.12 Computação móvel e trabalho remoto

É preciso que a organização analise os riscos em permitir um trabalho remoto e implante
controles para minimização da probabilidade de suas ocorrências.
É preciso também definir uma política para utilização de recursos de computação

móveis, tais como notebooks, palmtops, laptops, smart cards, celulares, visando a não
comprometer as informações do negócio. É preciso deixar explícito os requisitos para conexão
de tais recursos móveis à rede da organização e sob quais diretrizes eles estão sujeitos.
Quando do uso de recursos móveis, precisamos ter cuidado para que pessoas não
autorizadas tenham recursos aos sistemas de informação da empresa. Normalmente, quando
uma empresa fornece uma Wi-Fi pública para convidados, por exemplo, essa rede de acesso
à internet está totalmente isolada da rede interna da empresa, com o objetivo de evitar
acessos não autorizados.
Quando for autorizado o acesso remoto à rede da organização por meio de dispositivos
móveis, tal acesso deve ser concedido apenas após a validação de um grupo mínimo de
requisitos de segurança e de um processo de autenticação.
Nesta aula tivemos uma visão geral dos mecanismos e regras voltados para o controle
de acesso. O controle de acesso é definido tanto físico quanto logicamente por uma política
de segurança da informação.
Há uma série de recomendações que devem ser seguidas pela organização, com
objetivo de minimizar eventuais acessos não autorizados aos sistemas e à informação.
Os controles apresentados nesta seção são de fácil entendimento, porém, sua

implantação requer conhecimentos técnicos como na configuração de uma VPN para proteção
do acesso remoto.
Uma boa tarefa para assimilação dos controles apresentados nesta seção é listar quais
deles sua organização oferece ou para quais deles você conhece uma solução técnica que
atenda. Isso lhe permitirá observar como o controle de acesso, principalmente o acesso lógico,
pode ser realizado com base nos mais diferentes requisitos de segurança da informação.

A conscientização e o treinamento dos usuários são essenciais. A gestão de senhas, a

política de mesa limpa, o sigilo da senha pessoal e técnicas para criação de uma boa senha
são indispensáveis para a garantia da manutenção da política de segurança da informação.
Referências
ADVOCACIA-GERAL DA UNIÃO. Política de Segurança da Informação e das Comunicações da
Advocacia Geral da União: Diretrizes e Normas. Disponível em: <http://www.agu.gov.br/page/
download/index/id/13510112>. Acesso em: 27 dez. 2014.
da informação: técnicas de segurança: sistemas de gestão da segurança da informação:
______. ABNT NBR ISO/IEC 27002: 2007. Tecnologia da informação: código de prática para a
TRIBUNAL DE CONTAS DA UNIÃO. Boas práticas em Segurança da Informação. 4. ed. Brasília,

2012. Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF>. Acesso
em: 20 jan. 2015.

de Informação
Aula 12
Aquisição, Desenvolvimento e Manutenção de Sistemas
da Informação
• Demonstrar os controles e testes nas alternativas de produção, aquisição e
manutenção de sistemas de informação.
Temas
Introdução
1 Segurança em sistemas de informação
2 Segurança em processos de desenvolvimento de software
3 Gestão de vulnerabilidades técnicas
Referências
Professor
Introdução
Faz parte da segurança da informação a garantia de que a segurança seja parte dos
sistemas de informação de uma organização.
Para uma organização, a norma ISO 27002 define como sistemas de informação o
conjunto formado por sistemas operacionais, infraestrutura, aplicações de negócio, produtos
de prateleira (isto é, são softwares de terceiros que compramos “como são”, sem customização
adicional para nosso ambiente), serviços e aplicações desenvolvidas pelo usuário.
É preciso especificar os requisitos para os controles de segurança como requisitos de

negócio para as aplicações, seja para novos sistemas ou melhorias em sistemas existentes.
Nesta aula, abordaremos os principais controles apresentados na norma ISO 27002 para
a incorporação da segurança nos processos de aquisição, desenvolvimento e manutenção dos
sistemas de informação de uma organização. As informações a seguir têm base na descrição
apresentada na norma ISO 27002.
1 Segurança em sistemas de informação

Os requisitos de segurança precisam ser identificados e acordados antes do
desenvolvimento, aquisição ou manutenção dos sistemas de informação organizacionais. Tais
requisitos devem ser documentados e justificados para que possam ser objetos de acordo
entre a organização e demais partes envolvidas.
1.1 Requisitos de segurança

A organização precisa ter em mente que quando um requisito de segurança é solicitado
na fase de projeto do sistema de informação, este provavelmente terá um custo menor
quando comparado à sua incorporação depois de o sistema de informação estar pronto.
Infelizmente, para produtos comprados, como softwares de prateleira, não é possível

adicionar novos controles de segurança sem um processo de customização, que nem sempre
é permitido pelo fabricante. Para estes casos, a organização deve estabelecer um processo
formal de aquisição e testes, antes de o sistema entrar em operação no ambiente de produção.
Nem sempre uma aplicação satisfaz um requisito especificado de segurança. Nestes

casos, a organização deve fazer uma análise dos riscos que existirão após a aquisição da
solução e tomar alguma solução de tratamento de risco.

1.2 Processamento correto nas aplicações

É primordial prevenir a ocorrência de erros, perdas, modificação não autorizada ou o
mau uso de informações nas aplicações. Uma das causas destas ocorrências é o processo
incorreto pelas aplicações.
A organização necessita adotar controles que sejam incorporados ao projeto de

aplicações para assegurar que estas realizem o processamento correto das informações (TCU,
2012, p. 92). Para que o processamento correto seja garantido, um dos primeiros pontos de
atenção é a validação dos dados de entrada.
Os dados de entrada das aplicações necessitam ser validados para garantir que são
corretos e apropriados, evitando erros de processamento ou erros de execução na aplicação,
corrompendo a informação. Por exemplo, é preciso garantir o formato de entrada nos campos
de dados da aplicação e tabelas de dados auxiliares utilizadas pelo sistema (por exemplo,
uma tabela de impostos, na qual devemos garantir que os impostos estão devidamente
registrados).
Com o uso de sistemas gerenciadores de bases de dados (SGBDs) o armazenamento

e controle das informações tornou-se muito mais sofisticado e simples. Porém, devemos
garantir que as aplicações evitem entradas duplicadas, assim como realizem a checagem
de tamanho limite de campos (um nome com 1000 caracteres, enquanto o projetista da
aplicação projetou a base de dados apenas para 250 caracteres). De modo geral, busca-
se que as aplicações façam uma validação dos dados de entrada, detectando as seguintes
inconsistências (ISO 27002):
• valores fora da faixa permitida;
• caracteres inválidos (um campo de número recebendo letras, por exemplo);
• dados incompletos (o usuário informa o endereço de sua residência, mas não informa
o número);
• volumes de dados que excedem limites, sejam eles superiores ou inferiores;
• dados inconsistentes (um sistema que permite cadastro apenas de pessoas maiores
de idade, mas o usuário informa uma data de nascimento que faz com que ele possua
nove anos de idade, gerando uma inconsistência para o negócio).
O processo de validação automática da entrada de dados pode reduzir riscos de erros e

prevenir a organização de ataques como buffer overflow ou injeção de código, que corrompem
e adulteram as informações.
Um ataque de buffer overflow consiste no envio de uma massa de dados de tamanho

superior àquela em que o programa aguarda receber. Ao receber essa massa de dados

excessiva, os sistemas armazenam tais informações em uma área de memória denominada

buffer. Quando o buffer não possui o tamanho adequado, há um estouro (overflow) deste e o
software passa a se comportar de modo anormal. Há casos em que o software, diante de um
buffer overflow, executa uma operação incorreta e permite acesso ao sistema pelo invasor.
A execução deste ataque é muito complexa, pois necessita de um profundo conhecimento

sobre a arquitetura do sistema, motivo pelo qual a norma vai nos alertar para a proteção da
documentação e código-fonte do sistema.
O ataque de injeção de código consiste no aproveitamento de falhas de segurança que

permitem a incorporação de comandos adicionais que manipulam principalmente a base de
dados, corrompendo-a.
Em 2011 houve a divulgação das 25 vulnerabilidades mais perigosas dos

softwares. Para conhecê-las, acesse o link disponível na Midiateca da disciplina.
Após a validação dos dados de entrada, uma etapa a ser controlada é o processamento
interno. Falhas no processamento interno aumentam o risco de comprometimento da
integridade das informações (ISO 27002).
Entra em questão o conceito de transação. Uma transação é um conjunto de operações

realizadas por um sistema que é executado em uma abordagem “tudo ou nada”, isto é, se
todas as operações de uma transação são executadas com sucesso, a transação é concluída e
persistida nas bases de dados. Porém, se alguma das operações de uma transação apresenta
um erro de processamento, toda a transação é desfeita e o sistema volta para um estado
anterior íntegro (ESMERI; NAVATHE, 2005).
Com o uso de transações conseguimos evitar que erros de execução e de processamento

produzam inconsistência das informações. Logo, a implantação de operações pelo mecanismo
de transação é um controle extremamente recomendável.
A criação de registros adicionais que anotem as atividades envolvidas no processo é

uma boa prática, pois permite uma maior rastreabilidade das operações e um entendimento
melhor dos eventos do sistema.
A validação dos dados de saída consiste em assegurar que esses dados dos sistemas
de informação sejam validados e apropriados ao momento em que são gerados. É preciso
garantir que os dados de saída sejam gerados com informação suficiente para que um leitor

ou outro sistema possa determinar a exatidão, completude e precisão à informação que se

deseja transmitir.
1.3 Controles criptográficos

É importante que a organização faça uso de controles criptográficos para proteger a
confidencialidade e integridade das informações.
A utilização de criptografia, embora fortaleça a segurança na troca de informações,

apresenta um custo computacional de processamento que deve ser levado em consideração.
O ideal é que a organização defina os princípios gerais de utilização de criptografia, definindo
quais informações de negócio devem ser protegidas (CARISSIMI, 2009, p. 351).
É preciso também levar em consideração, no uso de controles criptográficos, as leis

e regulamentações nacionais que se aplicam ao uso de tais técnicas, além de questões de
compatibilidade com equipamentos utilizados na organização.
Podemos garantir a confidencialidade da informação por meio do uso de controles

criptográficos, encriptando informações sensíveis ou críticas, estejam elas armazenadas ou
sendo transmitidas.
A decisão por uso de controles criptográficos normalmente é feita no processo de

gestão de riscos, no qual a organização escolhe os controles mais apropriados para a redução
dos riscos.
Há dois tipos de técnicas criptográficas mais comuns, que fazem uso de chaves de
criptografia para a transmissão de informações: técnicas de chaves secretas e técnicas de
chaves públicas (CARISSIMI, 2009, p. 351).
Nas técnicas de chaves secretas, duas ou mais partes compartilham a mesma chave, a
qual é utilizada para cifrar uma informação que deve ser protegida. Esta chave deve ser mantida
em sigilo, pois com uso dela é possível decifrar a informação e obtê-la no formato original.
As técnicas de chaves públicas são mais conhecidas e utilizadas atualmente, nas quais
cada usuário possui um par de chaves: uma chave privada e outra chave pública. Quando um
usuário quer transmitir uma informação sigilosa, ele cifra a informação fazendo uso de sua
chave privada. O receptor, que possui a chave pública do emissor pode decifrá-la. É preciso,
então, o uso de uma chave privada cifrando a mensagem e a correta chave pública para
decifrá-la.
Além de cifrar textos, o uso de chaves públicas permite assinar digitalmente documentos.

1.4 Segurança dos arquivos do sistema

O acesso aos arquivos do sistema e aos programas de código-fonte necessita ser
controlado e as atividades de suporte executadas de forma segura.
Para minimizar a corrupção de sistemas operacionais, uma organização pode adotar

as seguintes diretrizes (ISO 27002):
• a atualização do sistema operacional e de seus aplicativos deve ser feita apenas por
administradores do sistema com autorização para tais atividades;
• exceto quando necessário, os sistemas não devem possuir ferramentas de

desenvolvimento de softwares e compiladores;
• sistemas operacionais e novos softwares devem ser colocados em produção após

exaustivos testes sobre uso, segurança e comunicação com outros sistemas;
• a organização deve fazer uso de sistemas de controle de configuração dos

computadores. Tais sistemas têm a capacidade de coletar dados de aplicativos
instalados nos computadores, gerando um catálogo de aplicações da organização;
• versões antigas de aplicativos que sejam mantidas como contingência, em caso de

eventuais anormalidades no funcionamento ou incompatibilidades não previstas.
Os dados a serem utilizados para testes devem ser selecionados com cuidado,
protegidos e controlados. É importante evitar obter dados para testes provenientes
de bases de dados que contenham informações de natureza pessoal ou qualquer
informação confidencial.
Recomenda-se que toda vez que a cópia de uma base de dados for feita para fins de
testes, ocorra um processo formal de solicitação de autorização.
A cópia da base de dados para fins de testes deve respeitar as políticas

para uso de dados pessoais, confidenciais e sigilosos. É importante prever tais
cláusulas em contratos de prestação de serviço, principalmente quando o
desenvolvimento de software é terceirizado.
O acesso ao código-fonte dos sistemas deve ser restrito, com o objetivo de prevenir
a introdução de funcionalidades não autorizadas e mudanças não intencionais. O ideal é
possuir uma biblioteca central de código-fonte e o que for sensível a negócio que fique por
meio de bibliotecas compiladas, das quais não é possível interpretar o código.
Para evitar o risco de corrupção dos sistemas, busca-se:
• evitar manter o código-fonte junto ao ambiente de execução dos sistemas;
• implementar o controle do código-fonte de programa e das bibliotecas de fontes;
• evitar acesso ao código-fonte dos sistemas pelo pessoal de suporte;
• manter a listagem de aplicativos em um ambiente seguro;
• manter um registro de auditoria de todos os acessos aos código-fonte de aplicativos.
2 Segurança em processos de desenvolvimento de software

Os ambientes de projeto e suporte necessitam ser controlados, assegurando
que mudanças propostas sejam analisadas criticamente de modo a validar que estas não
comprometam a segurança do sistema ou do sistema operacional.
A introdução de novos sistemas na organização ou a implantação de mudanças em

sistemas existentes necessita seguir um processo formal de documentação, especificação,
teste, qualidade e gestão do ciclo de implementação.
É preciso incluir neste processo uma análise e avaliação dos riscos, dos impactos das
mudanças e a especificação dos controles de segurança necessários.
Quando da mudança em sistemas já existentes, é preciso a formalização de um processo

complexo de gestão de mudanças, além de garantir que a documentação da aplicação reflita
o estado atual do sistema.
Recomenda-se manter os sistemas sob um controle de versão. O mecanismo de

controle de versão garante registrar todas as mudanças no código-fonte, assim como comparar
as mudanças realizadas entre a versão anterior e a versão atual.
O controle de versão é um instrumento essencial para a gestão do código-

fonte e bastante utilizado em planos de contingência dos processos
de mudanças.

Muitas organizações fazem uso de desenvolvimento de software terceirizado, por meio

de empresas chamadas fábricas de software. É importante que a organização supervisione e
monitore o desenvolvimento terceirizado de software, além de considerar os seguintes itens:
• acordos de licenciamento, propriedade de código e direitos de propriedade intelectual;
• certificação da qualidade do código produzido e exatidão do serviço prestado;
• custódia em casos de falhas;
• auditorias para a garantia da qualidade de código produzido;
• testes para a detecção de código malicioso e eventuais vulnerabilidades.
3 Gestão de vulnerabilidades técnicas

A organização necessita implementar de forma efetiva e sistemática um processo de
gestão de vulnerabilidades técnicas.
É importante obter em tempo hábil as vulnerabilidades técnicas dos sistemas de

informação em uso, de modo que se possa avaliar o grau de exposição da organização a tais
vulnerabilidades e tomar as medidas necessárias para lidar com os riscos envolvidos.
Para que se consiga fazer o processo descrito acima, é importante que a organização
elabore e mantenha um inventário completo e atualizado dos ativos de informação. Este
inventário deve possuir, no mínimo:
• fornecedor do software;
• número da versão em produção;
• status atual do uso e distribuição;
• os proprietários do ativo e as pessoas responsáveis pelos softwares.
A política de segurança da informação deve definir tempos máximos para reação a

notificações, e que a avaliação dos riscos associados e ações a serem tomadas sejam definidas.
Normalmente, quando uma vulnerabilidade é descoberta, patches são disponibilizados.

Convém que a organização realize testes em tais correções para verificar sua efetividade de
potenciais efeitos decorrentes de sua utilização.

O registro em lista de e-mails que tratam de incidentes em segurança da

informação é uma boa forma de se manter informado sobre as mais recentes
vulnerabilidades e disponibilidade de patches.
Porém, o que fazer quando não existe um patch disponível em tempo hábil? A norma
nos fornece algumas dicas, quais sejam:
• desativar serviços ou alvos da vulnerabilidade em questão;
• adaptação ou agregação de controles de acesso, por exemplo, instalação de firewalls

ou mudanças nas políticas de roteamento;
• aumento no monitoramento para detectar e prevenir ataques;
• aumento da conscientização interna acerca da vulnerabilidade e formas de preveni-la;
• manter um registro de auditoria de todos os procedimentos realizados para melhorar

o controle;
• proteger inicialmente os sistemas mais críticos em relação ao nível de risco.
Nesta aula estudamos uma visão geral dos processos de aquisição, desenvolvimento
e manutenção de sistemas da informação.
Os sistemas são um ponto crítico da gestão de segurança da informação, pois formam

um amplo conjunto de alvos de ataques de segurança da informação.
A aquisição de softwares de prateleira, por exemplo, deve ser feita após um processo
de análise dos riscos inerentes à aquisição e compatibilidade. Não podemos esquecer também
da disponibilidade da informação, uma característica-chave da segurança da informação. Logo,
um novo software que gere uma incompatibilidade com demais sistemas pode comprometer
a disponibilidade da informação.
No processo de desenvolvimento, a norma nos mostra controles para a gestão

de código-fonte, testes de execução do sistema e controle de versão, os quais permitirão
rastrear eventuais mudanças. Um software deve ser exaustivamente testado antes de ir para
o ambiente de produção, pois ele pode produzir erros de grande impacto ao negócio.

A manutenção de sistemas deve ser vista como um processo de gestão de mudanças,

no qual são planejadas as suas fases e um plano de contingência (voltar à versão anterior, por
exemplo) deve ser sempre previsto.
Muitas empresas hoje terceirizam o desenvolvimento de software, por meio de

parceiros que atuam como fábricas de software. É preciso criar um procedimento formal para
o recebimento deste código, testes, auditoria e revisão do código.
A área de desenvolvimento de software precisa estar explícita na política de segurança

da informação, sendo a segurança um requisito que deve ser previsto desde a concepção dos
projetos de desenvolvimento.
Em nossa próxima aula, iremos abordar o tema de gestão de incidentes de segurança

da informação.
Referências
CARISSIMI, A. Redes de Computadores. Porto Alegre: Bookman, 2009.
ELMASRI, R.; NAVATHE, S. B. Sistemas de Banco de Dados. Tradução de Marília Guimarães

Pinheiro et al. Revisão Técnica de Luis Ricardo de Figueiredo. 4. ed. São Paulo: Pearson Addison
Wesley, 2005.

de Informação
Aula 13
Gestão de incidentes de segurança da informação
• Sintetizar os controles e testes no registro, resposta e tratamento
de incidentes.
Temas
Introdução
1 Gestão de incidentes de segurança da informação
Referências
Professor
Introdução
Olá! Nesta aula abordaremos o processo de gestão de incidentes de segurança da
informação, enfocando aspectos sobre como registrar tais incidentes, respondendo-os e
tratando-os de modo a minimizar as consequências de sua ocorrência.
Primeiramente, você deve estar se perguntando: o que é um incidente de segurança

da informação?
Podemos definir um incidente como um ou uma série de eventos de segurança

da informação considerados indesejados ou inesperados, com uma probabilidade de
comprometer as operações do negócio, ameaçando a segurança da informação. São exemplos
de incidentes:
• uma tentativa de obter acesso não autorizado a sistemas ou dados;
• ataques como, por exemplo, de negação de serviço1 ;
• acesso não autorizado a sistemas;
• modificações não autorizadas em sistemas;
• desrespeito à política de segurança da informação.
A seguir iremos nos aprofundar na gestão desses incidentes e de que modo uma
organização pode estabelecer diretrizes para tratá-los. Boa aula!
1 Gestão de incidentes de segurança da informação

Uma gestão de incidentes de segurança da informação deve assegurar que os diversos
eventos que comprometam a segurança da informação sejam tratados de forma efetiva,
contando com um registro adequado, investigação e uma tomada de decisão sobre qual ação
será executada em tempo adequado para minimizar o impacto negativo sobre os sistemas de
informação da organização (ISO 27002).
Geralmente a ocorrência de incidentes relacionados a ataques acontece de duas

formas: automatizada (ataques feitos por programas maliciosos que executam em sistemas
comprometidos) e por meio de pessoas mal-intencionadas, normalmente dotadas de
ferramenta de comprometimento de sistemas, que automatizam o ataque.
Em ambos os cenários de ataque, é importante que os responsáveis pela segurança

da informação sejam alertados, para que possam ser projetadas medidas de detecção e
resolução do problema gerado pelo incidente. Normalmente esses alertas são chamados de
notificações (ISO 27002).
1 Esse ataque tem por objetivo sobrecarregar um servidor Web e fazê-lo indisponível, afetando o acesso à informação.

É comum que as notificações de segurança da informação, além de serem enviadas

aos responsáveis da organização, sejam reportadas aos grupos de pesquisa de resposta a
incidentes de segurança (em inglês, CSIRT - Computer Security Incident Response Team) das
redes envolvidas, de modo a gerar estatísticas sobre os incidentes e alinhar estratégias para
tratar problemas comuns.
É importante que o conteúdo dessas notificações inclua os dados mais completos

possíveis sobre o incidente, de modo que a origem do evento seja facilmente identificada,
juntamente com a causa da vulnerabilidade. De modo geral, costuma-se solicitar que as
notificações de segurança da informação contenham os seguintes dados:
• logs completos do evento. Se existirem mensagens de logs que registram a ocorrência

do evento, estas devem ser incluídas;
• data e horário dos logs, de preferência com time zone;
• se identificado endereço IP de origem do ataque, este deve ser informado, juntamente

com a porta de conexão utilizada para o ataque.
Os grupos de respostas a incidentes podem atuar como organizações que reportam

incidentes quando dotados de mecanismos de análise de tráfego e descoberta automatizada
de incidentes, além de encaminhar as notificações recebidas aos devidos responsáveis.
No Brasil existe o Grupo de Resposta a Incidentes de Segurança no Brasil (CERT.br),

mantido pelo Comitê Gestor da Internet (CGI.br). O CERT.br é responsável pelo tratamento de
incidentes de segurança em redes conectadas à internet no Brasil. Dentre suas atribuições,
destacam-se:
• atuar como ponto central para notificações de incidentes no Brasil, coordenando e

apoiando processos de resposta a tais incidentes;
• manter as estatísticas sobre os incidentes reportados;
• desenvolver documentação e material de treinamento para usuários e administradores

de redes.
O CERT.br divulga constantemente as estatísticas de incidentes de segurança da

informação reportados no Brasil.
Desde 1999 o Brasil vem reportando mais ativamente ao CERT.br as notificações de

incidentes de segurança da informação.

A Figura 1 apresenta o número de incidentes reportados ao CERT.br por ano, de 1999

até 2013. A partir do ano de 2009, o Brasil passou a notificar mais de trezentos mil incidentes
de segurança por ano. Em 2013 foram reportados, conforme a figura nos apresenta,
352.925 incidentes.
Figura 1 – Incidentes reportados ao CERT.br no período 1999-2013
Fonte: Portal CERT.br (2014).
O CERT.br também divulgou estatísticas que apontam que segunda-feira é o dia da

semana em que são reportados mais incidentes de segurança no Brasil. Como falamos
anteriormente, as notificações devem possuir dados que detalhem o tipo de incidente
reportado, a origem e a porta atacada.
No ano de 2013, por exemplo, 61,36% dos incidentes reportados tiveram origem no
Brasil, seguidos de 13,54% de incidentes com origem nos Estados Unidos da América e 6,84%
na República Popular da China.
A Figura 2 apresenta a distribuição dos tipos de ataques reportados nos incidentes de

segurança da informação no ano de 2013. Nela, vemos que 46,86% são ataques do tipo
Scan. Trata-se de varreduras efetuadas em redes de computadores com o objetivo de
identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados
por eles. O Scan normalmente é o primeiro passo antes de um ataque efetivo, pois é por
meio dele que os invasores associam aplicações em execução e potenciais vulnerabilidades a
serem exploradas.

Figura 2 – Tipos de Ataques reportados ao CERT.br no ano de 2013
Fonte: Portal CERT (2014).
O segundo tipo de ataque mais reportado é o de fraude. Trata-se de um ato de má-fé,

com o objetivo de obter alguma vantagem indevida. Os worms, terceiro tipo de ataque mais
comum no Brasil, são eventos de propagação de códigos maliciosos na rede. Os eventos
categorizados como Web representam ataques com o objetivo de comprometimento de
servidores Web, assim como a desconfiguração de páginas da internet.
A invasão, grupo de menor incidência, mas com enorme grau de comprometimento,

representa a efetivação de um acesso não autorizado a um computador ou uma rede.
Conhecer tais estatísticas é essencial no planejamento de uma política de segurança da
informação e no tratamento dos incidentes.
Já que estamos falando em tratamento de incidentes, como podemos tratar os incidentes

de segurança da informação que são reportados aos responsáveis de uma organização?
Vamos à busca das respostas!
1.1 Tratamento de incidentes de segurança da informação

De acordo com o CERT.br, o tratamento de incidentes de segurança da informação
envolve três funções: notificação do incidente, análise do incidente e resposta ao incidente.
A notificação é o ato de formalizar a ocorrência do incidente, apresentando dados de

forma que os responsáveis possam compreendê-lo efetivamente. A análise do incidente, por
sua vez, atua na correlação dos eventos, assim como no estudo da notificação e atividades do
incidente, com fins de determinar seu escopo, prioridade e ameaças, pesquisando respostas
a incidentes anteriores semelhantes e definindo estratégias de mitigação.
A resposta ao incidente consiste em uma metodologia para gerir as consequências no

evento, em que um CSIRT pode encaminhar recomendações para a recuperação, contenção
e prevenção aos envolvidos.
De acordo com Scarfone et al. (2008 apud BRITO, 2010, p. 22) um processo de resposta
a incidentes de segurança da informação é composto por quatro fases, quais sejam:
• preparação: normalmente na fase de preparação de resposta a incidentes, um grupo

de respostas é formado, fazendo uso de ferramentas e recursos necessários para
um melhor entendimento dos incidentes. Este grupo pode ser formado dentro da
própria organização, por usuários especialistas em tratamento de incidentes na área
de Tecnologia da Informação. Em empresas pequenas, por exemplo, a própria equipe
de suporte de TI pode atuar como o grupo de respostas;
• detecção e análise: nesta etapa detecta-se ou comprova-se a existência de um

incidente reportado. A detecção, quando automática, é feita, majoritariamente,
por meio de sistemas denominados Sistemas de Detecção de Intrusão (IDS), que
analisam o tráfego da rede para determinar comportamentos anormais e potenciais
indicadores de ataques. Quando do recebimento da notificação, a equipe deve
estudar profundamente o incidente, analisando seu impacto aos processos de
negócios. Um ponto importante consiste na criação de uma base de conhecimento
sobre incidentes reportados anteriormente. Essa base pode fornecer subsídios para
o grupo, apresentando a forma como incidentes semelhantes foram anteriormente
respondidos;
• contenção, mitigação e recuperação: após a detecção e análise do incidente na fase

anterior, iniciam-se a execução de mecanismos para a sua contenção, para que ele
não se propague ou afete outros recursos da rede. Pode-se, por exemplo, desligar
um sistema comprometido, isolar um segmento da rede, bloquear o firewall etc. A
recuperação pode dispor de várias alternativas, tais como a execução de um software
antivírus, a restauração de uma cópia de segurança etc.
• ações pós-incidente: nesta etapa, após o contingenciamento do incidente e

recuperação dos ativos afetados, verifica-se a eficácia das ações tomadas. Trata-se de
um processo de monitoramento com fins de validar a efetividade das medidas
tomadas pelo grupo na resposta ao incidente. A base de conhecimento de incidentes
necessita ser atualizada. Se necessário, os usuários devem ser notificados e instruídos.
Um exemplo de grupo de respostas a incidentes de segurança da

informação é o grupo formado na Universidade Federal do Rio de Janeiro. Para
conhecer um pouco mais sobre ele, acesse o link disponível na Midiateca
da disciplina.

A Figura 3 apresenta uma proposta da Universidade Federal do Rio Grande do Sul

(UFRGS) para um fluxo de respostas a incidentes de segurança da informação.
Figura 3 – Exemplo de Fluxo de Resposta a Incidentes da UFRGS
Fonte: UFRGS (2014).
Na Figura 3 podemos notar que o processo é formado por seis etapas. Inicialmente
existem três blocos que correspondem ao ponto inicial do processo: a suspeita de um incidente
de segurança da informação. Essa suspeita pode ser formalizada por três formas distintas: (a)
por meio da detecção do incidente pela própria equipe de tratamento de incidentes, fazendo
uso de ferramentas com o IDS e análise do fluxo de conexões existentes na rede. Outras
formas (b e c) correspondem a notificações oriundas de usuários locais ou entidades externas
à rede, como o CERT.br.
Após o recebimento da suspeita de um incidente de segurança da informação, inicia-se

a etapa (1), na qual o grupo de tratamento de incidentes constata a existência de fato do
incidente, encaminhando-o para a etapa (2). Nesta etapa, o grupo de tratamento identifica
o problema, determinando a causa ou o motivo pelo qual o incidente foi gerado. Para isto,
observa-se as características do ataque em andamento, assim como se consulta a base de
conhecimento de incidentes de segurança da informação (3), para estudo de incidentes
similares que ocorreram previamente.
Na etapa (4) são implementadas medidas com o objetivo de isolar as causas, minimizando
as consequências geradas pelo incidente. O grupo de tratamento, como já exposto, pode
fazer uso de antivírus, firewalls e outras ferramentas de apoio.

Após a mitigação do incidente, objetivo da etapa (4), inicia-se a etapa (5), consistindo
em investigar a causa-raiz do problema, ou seja, o que realmente causou o incidente,
documentando todo o processo na base de conhecimento. A base de conhecimento de
incidentes da informação possui, além de dados sobre o incidente, informações sobre quais
foram os métodos utilizados para investigação, os serviços que foram atacados, a atuação dos
responsáveis do sistema no tratamento do incidente, fomentando inclusive as estatísticas da
própria instituição.
Uma etapa a ser destacada no processo da UFRGS é a etapa (6) - educação. Esta etapa
consiste na propagação de informações aprendidas durante todo o processo de tratamento
do incidente de segurança da informação. É educando os colaboradores que minimizaremos
alguns efeitos de desconhecimento e más práticas que favoreçam a ocorrência de incidentes.
Outro elemento de disseminação de incidentes de segurança no Brasil é o Centro de

Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP).
O CAIS dissemina as boas práticas em segurança da informação, sendo apoiado por vários
CSIRTs da América Latina.
Um dos serviços mais interessantes do CAIS é o Catálogo de Fraudes2, um mecanismo

em que as organizações divulgam incidentes de segurança da informação em tempo real.
Em relação a estatísticas, o CAIS da RNP apresenta dados mais atualizados no momento em
relação ao CERT.br.
Conforme as últimas estatísticas divulgadas pelo CAIS, no primeiro quadrimestre

de 2014, por exemplo, foram notificados cerca de 300 incidentes de negação de serviço,
explorando a falha de apenas um protocolo existente na internet (protocolo NTP).
Para que possamos ter uma ideia da dimensão dos números de incidentes de segurança
da informação que exploram vulnerabilidades, o CAIS da RNP divulgou relatório em que uma
vulnerabilidade no protocolo DNS gerou a identificação de 15.000 incidentes de tentativas de
sua exploração. Semelhante a um CSIRT, o CAIS divulga constantemente quais as soluções a
serem adotadas para responder aos incidentes.
Nesta aula tivemos uma visão geral do processo de tratamento de incidentes de
De nada adianta estabelecer uma série de controles que visam minimizar os riscos
à segurança da informação se quando um risco se concretiza a organização se vê incapaz
de resolvê-lo.
2 Disponível em: <http://www.rnp.br/servicos/seguranca/catalogo-fraudes>. Acesso em: 27 dez. 2014.

A norma estabelece que um grupo deve ser formado para tratamento de incidentes
e podemos encontrar nas literaturas várias formas de como tratar tais incidentes. O apoio
de CSIRTs, principalmente o CERT.br e CAIS-RNP, são de fundamental importância para a
constante atualização da organização e para uma pronta notificação de incidentes nos quais
se encontra envolvida.
É graças ao trabalho de times de resposta como o CERT.br e o CAIS-RNP que não

temos números maiores de incidentes de segurança da informação, pois esses grupos focam
em uma atuação direta e efetiva na solução e detecção dos problemas de segurança.
A elaboração de um processo para tratamento de incidentes segue um conjunto de

etapas que necessitam ser vinculadas à política de segurança da informação da organização.
O modelo para resposta a incidentes da UFRGS é bastante interessante, no sentido de

que, semelhante a um PDCA (Plan, Do, Check, Act, ou seja, Planejar, Fazer, Verificar e Agir),
busca a melhoria contínua do processo de resposta a incidentes, assim como vislumbra um
processo de educação, consistindo na notificação e treinamento de usuários como parte da
resolução de um incidente.
É muito importante que a organização crie uma base de conhecimento de tratamento

de incidentes para que as lições aprendidas possam ser documentadas e apoiem os futuros
processos de tratamento de incidentes.
Cabe ressaltar que todo incidente é importante e necessita ser registrado. A

organização deve prover meios para o efetivo registro de um incidente de segurança da
informação. A disponibilização de um canal na internet para a recepção dos incidentes, assim
como e-mails semelhantes a abuse@organizacao.com.br ou seguranca@organizacao.com.br,
pode viabilizar um maior número de notificações.
Além de notificações por parte de usuários (que precisam ser capacitados e incentivados
a fazê-las) e de órgãos externos (como o CERT.br), a organização deve adotar mecanismos de
detecção automática de incidentes, como um sistema de detecção de intrusão (IDS).
É importante que o grupo de tratamento de incidentes da organização gere estatísticas

sobre seu trabalho, de modo a subsidiar processos de decisão, tais como a alocação de
recursos para investimento na melhoria dos processos e equipamentos de proteção.
Referências

BRITO. Í. V. TRAIRA: uma ferramenta para o Tratamento de Incidentes de Rede Automatizado.

Monografia de conclusão de curso (Ciência da Computação). Universidade Federal da Bahia,
2010. Disponível em: <http://www.pop-ba.rnp.br/files/papers/monografia-italovalcy-traira.pdf
>. Acesso em: 27 dez. 2014.
CERT.BR. CERT.br - Grupo de Resposta a Incidentes de Segurança no Brasil. 2014. Disponível

em: <http://cert.br>. Acesso em: 27 dez. 2014.
RNP. CAIS-RNP. Resumo de 2014 - Estatísticas. Disponível em: <http://www.rnp.br/sites/default/

files/cais_em_resumo_2014_1.pdf>. Acesso em: 27 dez. 2014.
SCARFONE, K. et al. Computer Security Incident Handling Guide. NIST Special Publication, v.
800-61, 2008.
UFRGS. O processo de tratamento de incidentes de segurança da UFRGS. Disponível em:

<http://www.ufrgs.br/tri/files/ifis.pdf>. Acesso em: 27 dez. 2014.

de Informação
Aula 14
Gestão da continuidade de negócios e conformidade
• Explicar gestão da continuidade e conformidade com a norma e leis nacionais.
Temas
Introdução
1 Gestão da continuidade de negócios
2 Conformidade
Referências
Professor
Introdução
Toda organização está sujeita a interrupções em suas atividades, em maior ou menor
probabilidade, devido a falhas, tais como falhas tecnológicas, interrupções no fornecimento
de facilidades, terrorismo etc.
A gestão da continuidade de negócios é uma prática fundamental para as organizações

de modo a permitir que estas respondam de uma maneira eficiente aos mais diversos cenários
de incidentes, mantendo a continuidade dos serviços críticos e retomando a sua normalidade
no período mais breve possível.
Além da gestão da continuidade de negócios, abordaremos a importância da

observância da legislação vigente, regulamentações e cláusulas contratuais para manutenção
da conformidade da política de segurança da informação.
Boa aula!
1 Gestão da continuidade de negócios

A gestão da continuidade de negócios é definida pela norma ABNT NBR ISO/IEC 27002
como um processo no qual a organização identifica ameaças potenciais para seus negócios e
os possíveis impactos decorrentes de suas ocorrências. Trata-se de um processo de gestão que
busca proativamente aperfeiçoar a resiliência da organização contra eventuais interrupções
no fornecimento de seus produtos e serviços.
De acordo com Continuity Central (2006), para 32% das organizações um período
equivalente a quatro horas de inatividade pode ser considerado fatal para os negócios. As
organizações, portanto, precisam se antecipar na prevenção e contingência dos incidentes,
de modo que seus negócios sejam minimamente afetados e, quando afetados, se
recuperem rapidamente.
O planejamento do plano de recuperação é essencial, abrangendo contingências, tais

como replicação de instalações, cópias de segurança etc. A seguir, conheceremos os estágios
do ciclo de vida da Gestão da Continuidade de Negócios.
1.1 Ciclo de Vida da Gestão da Continuidade de Negócios

O ciclo de vida de um processo de gestão da continuidade de negócios, com o objetivo
de incluir esse processo na cultura da organização, é formado por cinco etapas, conforme
ilustrado na Figura 1:

• Gestão do programa de gestão de continuidade de negócios;
• Entendendo a organização;
• Determinando a estratégia de continuidade de negócios;
• Desenvolvendo e implementando uma resposta de gestão de continuidade de

negócios;
• Testando, mantendo e analisando criticamente os preparativos de gestão de

continuidade de negócios.
Figura 1 – Ciclo de Vida da Gestão de Continuidade de Negócios (GCN)
Fonte: Rosa (2010, p. 3).
O ciclo apresentado na Figura 1 se inicia pela Gestão do Programa de Gestão da

Continuidade de Negócios (GCN). Essa etapa consiste na estrutura principal de um processo
de gestão de continuidade de negócios.
É nessa etapa que a organização estabelece qual será sua postura em relação à gestão
da continuidade. Há uma participação ativa da alta direção da organização. As atividades
executadas nessa etapa são:
• Atribuição de responsabilidades: a alta direção designa uma pessoa ou um grupo de

pessoas para ser o responsável pela política de gestão de continuidade de negócios
e a sua implementação. Normalmente são eleitas pessoas com alta senioridade e
autoridade, que apresentem um vasto conhecimento dos processos de negócio;

• Implementação da continuidade de negócios: esta atividade contempla o

planejamento, desenvolvimento e implantação de um programa de continuidade de
negócios. Durante sua execução, ocorre a comunicação para as partes interessadas,
estruturam-se e treinam-se as equipes da organização e testes de capacidade de
continuidade são executados;
• Gestão ininterrupta da continuidade de negócios: com esta atividade, busca-

se inserir o processo de gestão da continuidade de negócios como parte da
cultura organizacional. É nessa atividade que se mantêm os programas de gestão
de continuidade atualizados aos requisitos organizacionais, assim como toda a
documentação pertinente ao processo.
• Documentação da continuidade de negócios: para a devida manutenção do programa

de continuidade, busca-se criar e manter um grupo de documentações composto
principalmente por: política de gestão da continuidade, análise de impacto nos
negócios, avaliação dos riscos e ameaças, programa de conscientização e treinamento,
agenda de testes etc.
A etapa entendendo a organização consiste na realização de uma Análise de Impactos

nos Negócios (AIN), identificando atividades críticas de modo a determinar os requisitos
de continuidade a serem atendidos, produzindo uma análise de riscos. É nessa fase que
elaboramos um grupo de ações que serão tomadas quanto aos riscos identificados. Essas
ações podem ter por objetivo a redução da oportunidade de uma interrupção, a minimização
do tempo de uma interrupção, dentre outros. Com base nos objetivos, as ações podem ser:
• De continuidade de negócios: ações com objetivo de garantir a continuidade dos

processos em caso de indisponibilidade;
• De aceitação: a organização aceita o risco e uma possível interrupção causada

por este;
• De transferência: semelhante ao que estudamos na aula de gestão de riscos, pode-se

optar por transferir o risco a outrem, tais como seguradoras;
• De mudança, suspensão ou término: pode-se, por exemplo, optar pelo término da

atividade ou modificação de seu fluxo de execução para conter o risco.
Importante também destacar que é nessa etapa que definimos o tempo máximo
de interrupção de uma atividade que a organização irá tolerar, além dos tempos para sua
recuperação e o tempo para volta à normalidade.
A etapa seguinte, determinando a estratégia de continuidade de negócios, consiste na

escolha de estratégias para pessoas, instalações, tecnologias, informação e suprimentos
considerados partes do processo alvo da GCN (Gestão de Continuidade de Negócios). Como
deve ser essa estratégia? A norma nos fornece alguns pontos importantes:

• A organização necessita implementar medidas apropriadas com o objetivo de reduzir

a probabilidade de ocorrência de incidentes ou de seus potenciais efeitos;
• A organização necessita manter um registro das medidas que visam a aumentar a

resiliência e mitigar os riscos;
• A organização necessita discernir sobre as atividades críticas e não críticas, mantendo

um catálogo atualizado dessa classificação;
• A organização necessita garantir a continuidade de atividades críticas durante e após

um incidente.
Cabe ressaltar que alguns pontos devem ser considerados na tomada de decisão de
quais estratégias devem ser adotadas. Os pontos mais comuns são: custo, períodos máximos
de indisponibilidade aceitos, consequências da inação (ou seja, quais as consequências para
o negócio se não agir na ocorrência do incidente) e as dificuldades técnicas existentes.
Na etapa de desenvolvimento e implantação de uma resposta de gestão de continuidade

de negócios, estrutura-se um processo de resposta a incidentes e criam-se planos de
gerenciamento de incidentes e o plano de continuidade de negócios.
Durante essa etapa, a organização necessita:
• identificar suas atividades críticas;
• avaliar as ameaças a tais atividades;
• escolher estratégias que minimizem a probabilidade de ocorrência dos incidentes;
• escolher estratégias que permitam a continuidade ou recuperação de tais atividades

após a ocorrência dos incidentes.
É importante que a equipe gestora da continuidade, conforme a real existência do

incidente notificado e sua extensão, tome as ações necessárias para o controle da situação,
administrado o incidente e comunicando as partes necessárias.
Alguns planos são criados nessa etapa: o plano de gerenciamento de incidentes e o

plano de continuidade de negócios ou de recuperação de negócios. Tais planos devem ser
concisos e acessíveis aos que possuam responsabilidades estabelecidas nestes.
Mas, em quais momentos tais planos devem ser colocados em prática? A Figura 2 nos
fornece uma visão geral do tratamento da continuidade de negócios após a ocorrência de um
incidente, que pode nos auxiliar a obter tais respostas.

Figura 2 – Linha do tempo do incidente em relação à execução dos planos de gerenciamento de incidentes e de
continuidade e recuperação de negócios
Fonte: Adaptada de Rosa (2010, p. 9).
Na Figura 2 podemos observar a sequência das ações (execução dos planos) após a
ocorrência do incidente. Dizemos que o incidente ocorre no tempo zero, quando identificamos
sua ocorrência. Após essa identificação, inicia-se o plano de resposta ao incidente. Esse plano
é executado dentro de um período de minutos ou horas após a ocorrência do incidente. Com
a execução do plano de resposta a incidentes, a organização já possui uma visão geral do
incidente, seus dados e efeitos.
Após o plano de resposta a incidentes inicia-se a execução do plano de continuidade ou

recuperação de negócios, de modo a permitir que a organização recupere ou mantenha suas
atividades em caso de uma interrupção motivada pelo incidente. O plano tem abrangência de
semanas a meses, após o qual a atividade volta à sua normalidade.
A etapa de testando, mantendo e analisando criticamente os preparativos da gestão de

continuidade de negócios parte do princípio que os planos acima descritos não são confiáveis
até serem testados, ao mesmo tempo em que necessitam estar sempre atualizados. Para
isso, a organização adota mecanismos como auditoria, testes, processos de autoavaliação,
para mensurar a efetividade dos planos.
A consequência da execução das etapas é a inclusão da gestão de continuidade de

negócios na cultura organizacional. Para isso, a organização pode fazer uso de políticas de
conscientização e divulgação acerca dos planos e treinamento.

Como mensurar o nível de gestão de continuidade de negócios de uma organização?
Para nos auxiliar com essa questão, o COBIT1 define um modelo de maturidade para a
gestão da continuidade, formado pelos seguintes estágios de maturidade do processo:
• Inexistente: neste estágio inexiste na organização o entendimento dos riscos,

vulnerabilidades e ameaças às operações do negócio. Não se considera nenhuma
tratativa de continuidade pela direção;
• Inicial: existe uma informalidade com relação à responsabilidade pela continuidade.

É como se cada setor fizesse apenas a sua parte para “proteger” os seus processos. A
direção foca mais na continuidade da infraestrutura e não nos serviços. Há a presença
de ações paliativas em resposta a interrupções;
• Repetível, porém intuitivo: neste estágio já existe a responsabilidade organizacional

em assegurar a continuidade do negócio. Porém, as abordagens são fragmentadas e
um plano de continuidade documentado é inexistente. As práticas de continuidade
existem, mas não estão disseminadas e formalizadas na organização, estão
dependentes da percepção das pessoas;
• Processo definido: nesta etapa existe a definição da responsabilidade pelo

planejamento e pelos testes de continuidade dos serviços. As pessoas seguem
padrões e recebem treinamento para lidar com a maior parte dos incidentes. Há
um apoio formal e uma comunicação efetiva da alta direção sobre a necessidade de
manter a continuidade dos serviços e atividades;
• Gerenciável e mensurável: além das características do estágio anterior, os incidentes

de descontinuidade são classificados e os procedimentos mensurados acerca de sua
efetividade. Há o estabelecimento de métricas que buscam alcançar padrões mínimos
de atendimento;
• Otimização: nesta etapa, os processos de continuidade de negócio adotam as

melhores práticas do mercado e realizam benchmarking entre empresas do mesmo
ramo. Os planos de continuidade são apoiados pela direção efetivamente e há uma
postura dessa direção de que os incidentes não ocorrerão por pontos únicos de falha,
de modo que haverá investimentos para contingenciar os efeitos dos incidentes.
Os objetivos e as métricas são mensurados de forma sistemática e o planejamento
organizacional é ajustado em resposta a tais medições.
1 O Control Objectives for Information and related Technology (COBIT) é um conjunto de boas práticas para a gestão da tecnologia da
informação desenvolvido pela Information System Audit and Control Association (ISACA) e pelo IT Governance Institute (ITGI). Um dos domínios
de organização do COBIT consiste em assegurar a continuidade dos serviços.

2 Conformidade
Estamos agora abordando a última seção da norma ISO 27002, que trata do processo
de conformidade.
O objetivo dessa seção consiste em garantir que a organização não viole quaisquer
obrigações legais, regulamentares ou contratuais no estabelecimento de sua política de
Conforme citamos em praticamente todas as aulas desta disciplina, a legislação deve

ser sempre respeitada. Além da legislação, normalmente uma organização está inserida em um
cenário de múltiplos contratos com partes externas, cada contrato com suas peculiaridades
e regras.
Recomenda-se que as organizações busquem por consultorias jurídicas para validação

de suas diretrizes em conformidade com a legislação e com os contratos envolvidos. Há
políticas de segurança da informação que tratam, por exemplo, de relações internacionais.
Para tais políticas, a complexidade se expande, no sentido em que cada país possui suas
próprias regras que necessitam ter o entendimento comum pacificado.
Para cada sistema de informação da organização, é importante que requisitos

legais e contratuais pertinentes sejam elencados e documentados, sendo mantidos
constantemente atualizados.
Outro aspecto importante é a propriedade intelectual. É preciso estabelecer

procedimentos que visam a garantir que a organização está em conformidade com os
requisitos legais que tratam do uso de materiais intelectuais. Um exemplo de material
intelectual são os softwares proprietários. Há leis específicas de Copyright baseadas no
conceito de propriedade intelectual, uma vez que entende-se que quando adquirimos um
software, estamos adquirindo o direito de executá-lo e não sua propriedade. A propriedade
pertence a seus desenvolvedores. Essa é uma questão profunda que não cabe ser discutida
nesta disciplina, mas é um tema muito importante para as organizações.
Abordamos também em aulas anteriores o uso de controles criptográficos. Tais

controles necessitam obedecer a legislações específicas.
Há também a questão do monitoramento dos usuários e quais informações podem

ser coletadas.
Um ponto a ser destacado é a recente aprovação do Marco Civil da Internet. Trata-se

da Lei nº 12.965/14, que vigora a partir de 23 de junho de 2014.
No Marco Civil da Internet há questões específicas relacionadas à proteção e

privacidade dos usuários, à liberdade de expressão, à retirada de conteúdos e à neutralidade
da rede. Tais questões são de vital importância como elementos de estudos antes da
elaboração de uma política de segurança da informação. O marco civil é um ponto de

convergência de uma série de jurisprudências que vinham sendo adotadas por falta de
uma lei específica.
Nesta aula tivemos uma visão geral do processo de continuidade de negócios e de
conformidade, estabelecidos pela norma ABNT NBR ISO/IEC 27002.
A continuidade de negócios é um processo proativo da organização, que objetiva se

recuperar da forma mais breve possível, e de preferência menos custosa, de interrupções em
suas atividades decorrentes de incidentes de segurança da informação.
A organização necessita aperfeiçoar seu plano de continuidade constantemente, de

modo que as necessidades do negócio sejam atendidas.
De nada adianta uma organização possuir um plano de continuidade se ele não é

testado. A organização deve criar a devida maturidade de seus processos para que o plano de
continuidade se torne cada vez mais efetivo.
A busca pela continuidade de negócios deve ser incorporada à cultura organizacional.

Com origem na alta direção, a qual estabelece como prioridade manter as atividades após a
execução dos incidentes, um grupo de gestão da continuidade pode ser estabelecido e planos
para resposta a incidentes e de continuidade formulados para as mais diversas situações.
Semelhante ao processo de gestão de riscos, é importante conhecer quais atividades

são consideradas críticas e, para estas, determinar as ações e estratégias a serem realizadas.
O COBIT nos fornece um modelo que pode ser facilmente adaptado à realidade da
segurança da informação para mensurar a maturidade de uma organização com relação à
continuidade de seus serviços.
Sobre a conformidade, a norma vem mais uma vez reforçar o que abordamos durante
o estudo de todas as suas seções. É preciso sempre permanecer alinhado com diretrizes,
regulamentações, legislações e obrigações contratuais pertinentes aos ativos de segurança
da informação.
O apoio de uma consultoria jurídica especializada é altamente recomendável neste

processo, pois uma política pode tratar de temas complexos, que envolvam inclusive a
legislação internacional.
O marco civil da internet é um ponto importante de estudo e começará a mudar

o cenário de convivência da internet no Brasil. A organização precisa estar antenada ao
entendimento jurídico no estabelecimento de suas diretrizes.

Bom, aqui termina nossa aula. Espero que você tenha compreendido o processo de
gestão de continuidade de negócios, que adota os elementos que estamos discutindo desde
nossa primeira aula. Lembre-se de que a conformidade com a legislação e com cláusulas
contratuais é muito importante no estabelecimento de uma efetiva política de segurança da
informação.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: 2006. Tecnologia
da informação – técnicas de segurança – sistemas de gestão da segurança da informação –
requisitos. Rio de Janeiro: ABNT, 2006.
______ NBR ISO/IEC 27002: 2007. Tecnologia da informação – código de prática para a gestão
CONTINUITY CENTRAL. Business Continuity Unwrapped.2006. Disponível em: <http://www.

continuitycentral.com/feature0358.htm>. Acesso em: 15 jan. 2015.
ROSA, R. S. et. al. Estratégias de contingência para serviços de tecnologia da informação e

comunicação. In: SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS
COMPUTACIONAIS,10., 2010, Fortaleza. Anais... Fortaleza, Universidade Federal do Ceará,
2010, p. 249-286. Disponível em:<http://www.redes.unb.br/ceseg/anais/2010/04_minicursos/
minicurso_06.pdf>. Acesso em: 28 dez. 2014.

de Informação
Aula 15
Introdução à auditoria
• Demonstrar os principais tipos de auditoria e seus diferenciais.
Temas
Introdução
1 Auditoria de sistemas de informação: principais conceitos
Referências
Professor
Introdução
Ao longo de nossa disciplina, conceituamos que ao conjunto de normas, políticas,
procedimentos, práticas, mecanismos e métricas é dado o nome de controles. É por meio dos
controles que mitigamos os riscos identificados aos nossos ativos de segurança da informação.
Mas, como garantir a efetividade de tais controles? Como saber se os controles

estabelecidos estão atendendo aos objetivos de nossa política de segurança da informação?
Podemos fazer uso de uma opinião de um profissional especializado sobre os controles

implementados na organização, de modo a verificar a efetividade destes. Essa atividade é
parte de um processo denominado auditoria, que iremos começar a estudar a partir de agora.
Bons estudos!
1 Auditoria de sistemas de informação: principais conceitos

O termo auditoria nos remete à imagem de um cidadão exercendo uma visita a campo, o
qual realiza uma série de questionamentos sobre um tema e emite um parecer. Isso não lhe
vem à mente? De fato, a auditoria não é muito diferente disso. De uma maneira geral, uma
pessoa exerce o papel de auditor, empregando algumas práticas para coleta de evidências
para produzir um relato sobre algo.
Com relação à segurança da informação, um processo de auditoria nos assegura se os

controles estão de acordo com as normas e políticas de segurança estabelecidas para os ativos que
visam a proteger, assim como analisa se o que está em operação atinge os objetivos pretendidos.
A auditoria em Sistemas de Informação para a segurança da informação é parte do ciclo

de melhoria constante estabelecido pelo PDCA, pois por meio dela a organização pode adotar
medidas para aperfeiçoar o tratamento da informação que está sendo realizado.
Todos os membros integrantes de uma equipe de auditoria necessitam ter um bom

nível de conhecimento na área. O auditor, por exemplo, para realizar uma auditoria de
Sistemas de Informação pode ter uma experiência prévia em centro de processamentos de
dados e departamentos de tecnologia da informação, tendo conhecimentos em sistemas
computacionais, de modo que possa discernir sobre formas de planejar, dirigir, supervisionar
e revisar o trabalho executado pela organização.
Normalmente não se realiza uma única auditoria ou uma auditoria de forma isolada, pois
além disso não ser eficiente, não é um processo barato. Em geral, criam-se programas de
auditoria, nos quais vários projetos podem ser auditados. Uma vez estabelecido o programa
de auditoria, cada auditoria pode ter um propósito específico, que vai desde a verificação de
situações suspeitas até a verificação de normalidade e conformidade de um processo.
Senac São Paulo- Todos os Direitos Reservados 2

Após determinarmos o propósito da auditoria, podemos definir os objetos da auditoria,

isto é, o que será auditado. Uma vez elencados os objetos da auditoria, definem-se os pontos
de controles. Um ponto de controle representa uma situação específica relacionada ao
objetivo, que necessita ser observada pelo auditor.
Onde podemos obter pontos de controle a serem observados? Modelos como o COBIT
(Control Objectives for Information Technology) podem nos auxiliar nesta tarefa, já que
descrevem um conjunto de objetivos de controle e pontos de controles a serem observados
pelas organizações na área de tecnologia da informação.
Para fins de certificação em segurança da informação, a norma ABNT NBR ISO/IEC 27001
nos fornece os controles a serem implementados e subsídios para determinação dos pontos
de controles a serem observados em uma auditoria.
Uma vez que o propósito da auditoria está definido, os objetivos de auditoria e os pontos
de controle também, quais técnicas podem ser utilizadas para obter evidências que sejam
adequadas e suficientes para a conclusão do trabalho de auditoria? São exemplos de técnicas
para obtermos as evidências durante uma auditoria:
• entrevista e questionário;
• análise de documentações;
• conferência de cálculos;
• correlacionamento de informações;
• inspeção física;
• comparação entre padrão observado e padrão esperado;
• dentre outras.
1.1 Tipos de auditoria

Uma auditoria pode ser classificada em três tipos (RODRIGUES; FERNANDES, 2011, p.
18): auditoria de gestão, auditoria operacional e auditoria de conformidade. Todos esses
tipos avaliam objetos de auditoria por meio de pontos de controle, que são selecionados
com base no estudo da natureza dos objetos de auditoria.
1.1.1 Auditoria de gestão
Este tipo de auditoria tem por objetivo verificar como as atividades de gestão da política
de segurança da informação estão sendo realizadas na organização (RODRIGUES; FERNANDES,
2011, p. 18).

Essa auditoria consiste em verificar se os processos de segurança e as atividades estão

implementados corretamente e se as metas estabelecidas na política de segurança da
informação estão sendo atendidas (RODRIGUES; FERNANDES, 2011, p. 18).
Algumas atividades de apoio, tais como tratamento de incidentes, são verificadas por
esse tipo de auditoria. Quando uma não conformidade é encontrada nesse tipo de auditoria,
deve-se relacionar o que ou quem está fora das diretrizes definidas. O Tribunal de Contas
da União, órgão do Governo Federal responsável por realizar diversas auditorias em órgãos
públicos federais, define que esse tipo de auditoria tem por objetivo analisar (RODRIGUES;
FERNANDES, 2011, p. 23-26):
• Estrutura organizacional: verifica se a estrutura organizacional está adequada para

implantação da política de segurança da informação. As auditorias na área preocupam-
se com a segregação de funções, discutida em nossas aulas anteriores;
• Política de segurança: verifica se a política de segurança da informação atende a

pontos de controle estabelecidos pela ISO 27002, tais como: objetivos, meta, escopo
bem definidos; declaração de comprometimento da alta direção; alinhamento da
política de segurança da informação com os objetivos de negócio; responsabilidades
gerais e específicas definidas; referências a documentações de apoio e conformidade
com a legislação, regulamentos e contratos pertinentes;
• Documentação atualizada: verifica se os documentos relacionados a diretrizes, tais

como os procedimentos, encontram-se controlados e atualizados;
• Cultura de segurança: verifica se a segurança da informação está na cultura

da organização, no sentido de que treinamentos, capacitações, políticas de
conscientização são realizadas para informar os atores envolvidos;
• Pesquisa sobre incidentes: a organização necessita estar atualizada sobre possíveis

incidentes e revisar sempre que necessário seus controles, para garantir que eles
continuem necessários e efetivos;
• Registros de auditoria: verifica se a organização segue as boas práticas indicadas pela

ISO 27002 que permitem ações de auditorias, tais como: a identificação única de todos
os usuários; o registro de entrada e saída de pessoas (controle de acesso); alterações
nas configurações dos sistemas (gestão da configuração); política de privilégios bem
definida e registro de tentativas de invasão, por exemplo.
1.1.2 Auditoria de operacional

A auditoria operacional é mais voltada para obter indicadores de desempenho e constatar
que as ações de segurança da informação estão funcionando, além de fornecer descrições
sobre quão efetivos estão sendo os controles escolhidos pela organização para proteção de
seus ativos (RODRIGUES; FERNANDES, 2011, p. 19).

Essa auditoria necessita de algo além dos pontos de controle que já falamos. Ela necessita
de indicadores de desempenho esperados.
Em uma organização, habitualmente são estabelecidos planos de metas

para um determinado período. Esses planos em geral necessitam de controles
que permitam verificar se eles estão se consolidando ou necessitam de
alguma postura gerencial para administrá-los. Em sua organização, quais
seriam os indicadores de desempenho e pontos de controle relacionados à
segurança da informação?
Além da efetividade, essa auditoria busca determinar a economicidade, eficiência e a

eficácia dos controles. Uma vez que os pontos de controle são estabelecidos, a auditoria
de desempenho pode verificar se estão sendo efetivos. Quando analisamos indicadores de
desempenho, estamos determinando a robustez dos controles que foram escolhidos frente
aos riscos e às ameaças identificados pela organização.
Normalmente, essa auditoria procura analisar controles das seguintes áreas (RODRIGUES;
FERNANDES, 2011, p. 27-31):
• Segurança física: verifica se os perímetros de segurança estão definidos e se eles

atendem à proteção dos ativos considerados críticos; se existe área de recepção para
um controle de acesso às instalações; se há barreiras físicas para impedir eventuais
acessos não autorizados; se as portas corta-fogo possuem alarmes e estão de acordo
com as devidas normas para controle de incêndios; se as salas possuem sistemas
de detecção de intrusos; se as instalações de controle interno estão isoladas das
instalações utilizadas por terceiros; se há procedimentos bem definidos e controlados
para controle de acesso a datacenters, a dispositivos de redes e a servidores; se há
comunicação criptografada quando necessário etc.;
• Segurança lógica: verifica se há erros lógicos no processamento de entrada, processo

interno e processamento de saída de aplicativos; se as rotinas e os procedimentos de
testes de sistemas são efetivos; se há risco de vulnerabilidades, tais como injeção de
código, buffer overflow etc.;
• Acessos a usuários: verifica se os usuários são identificados por meio de um ID único;

se tais credenciais são protegidas por senhas seguras ou algum outro mecanismo
(tais como a biometria); se existe uma única forma de acesso aos sistemas da
organização, estejam eles integrados ou não; se cada usuário tem conhecimento de
suas responsabilidades por aquilo que realiza nos sistemas; se os usuários inativos ou
desligados possuem o acesso devidamente bloqueado; se há uma política efetiva e

coerente de acesso e permissões;
• Segurança dos dados: verifica se há possibilidades de violação da confidencialidade,

integridade ou disponibilidade dos dados da organização. Verifica se há um grupo
restrito de administradores de bases de dados; se há uma política para tratamento de
dados sigilosos e quão efetivos encontram-se os controles para isto; se há a execução
periódica de rotinas de cópia de segurança etc.;
• Eficiência da segurança: como citamos acima, este tipo de auditoria possui indicadores
de desempenho. Nesse ponto podem ser verificados diversos indicadores, tais como
Tempo Médio de Reparo (MTTR - Mean Time to Repair), Tempo Médio entre Falhas
(MTBF - Mean Time Between Failures), tempo médio de respostas a incidentes;
percentual de sistemas com requisitos de segurança não atendidos; percentual de
incidentes causados por violação de segurança etc.;
• Eficácia da segurança: como vimos anteriormente, busca-se medir a eficiência e

eficácia dos controles de segurança implementados na organização. Com relação à
eficácia, busca-se determinar indicadores, tais como: tempo médio de atendimento
efetivo após a notificação de um incidente de segurança, tempo médio para
recuperação do negócio após uma indisponibilidade causada por um incidente etc.;
• Segurança de redes: verifica se há o uso de algoritmos de encriptação atualizados; se

as redes sem fio disponíveis na organização são protegidas por protocolos seguros
e reconhecimentos pelo mercado; se a conexão para trabalho remota é feita por
meio de VPN; se o firewall encontra-se gerido e atualizado; se há proteção para o
cabeamento de redes de modo a evitar indisponibilidade dos meios de comunicação;
se os equipamentos estão catalogados e de fácil identificação para evitar confusões
em suas configurações e instalações etc.
1.1.3 Auditoria de conformidade
A auditoria de conformidade visa a verificar se o que está sendo auditado encontra-se em

conformidade com o especificado. O uso é massivo desse tipo de auditoria nas verificações
de qualidade (RODRIGUES; FERNANDES, 2011, p. 19).
Habitualmente, esse tipo de auditoria verifica se as diretrizes, controles e procedimentos

adotados pela organização estão em conformidade com as legislações vigentes e as
regulamentações diversas. Na administração pública federal, por exemplo, há um vasto
conjunto de Instruções Normativas que disciplinam diversos procedimentos a serem seguidos
pelos órgãos públicos.
Há também uma série de jurisprudências do Tribunal de Contas da União (TCU) que

podem ser observadas para fins de conformidade.

As auditorias de conformidade verificam o nível de aderência a normas ou especificações.

Foge ao escopo dessa auditoria verificar se o que a norma ou especificação determina é eficaz
ou eficiente para a organização. Normalmente, essa auditoria realiza as seguintes atividades
(RODRIGUES; FERNANDES, 2011, p. 33-38):
• Examina se os procedimentos de segurança da informação estão atendendo aos

preceitos especificados na política de segurança da informação da organização, assim
como às diretrizes da ISO 27002, no que se refere à conformidade. Nesse quesito,
cabe ressaltar que a norma ISO 27002 nos indica que se uma não conformidade
for encontrada, compete aos gestores: determinar as causas da não conformidade;
avaliar a necessidade de ações para garantir que essa não conformidade não volte a
acontecer; determinar e aplicar uma ação corretiva apropriada;
• Verifica se as documentações referentes a elementos considerados críticos adotam

níveis corretos de sigilo.
É possível também realizar esse tipo de auditoria para verificar elementos além da
política de segurança da informação, tais como:
• Conformidade com regras contratuais;
• Conformidade com legislação de propriedade intelectual;
• Normas de atualização e retenção de documentos e suas cópias de segurança;
• Utilização de técnicas de segurança como chaves públicas e certificados digitais.
Quanto ao órgão realizador da auditoria, podemos defini-la como:
• Auditoria interna: é realizada pela própria organização, verificando e avaliando os

sistemas e procedimentos internos;
• Auditoria externa: é realizada por uma instituição externa, de caráter independente

da instituição que está sendo auditada. Normalmente, a auditoria externa emite um
parecer sobre a gestão dos recursos, procedimentos, regularidade e conformidade
das operações;
• Auditoria articulada: é um trabalho conjunto entre o setor de auditoria interna da

organização com um órgão de auditoria externa.
Em auditorias detalhadas na área de Tecnologia da Informação, pode ser necessário o

uso de conhecimentos adicionais como ferramentas de Computer Assisted Audit Techniques
(CAAT), softwares de apoio à auditoria, de extração de dados, conhecimento sobre linguagens
de programação (para análise de código-fonte, por exemplo) etc.

1.2 Qualificação profissional na área

Para quem deseja se especializar na área de auditoria, além de um curso específico na
norma ISO 27001, há organizações que fornecem uma certificação específica para auditores
de Sistemas de Informação. Algumas delas são:
• Certificado de Auditor de Sistemas de Informação (CISA- Certified Information System

Auditor) – esta certificação é oferecida pela Information System Audit and Control
Association (ISACA). Essa entidade patrocina o desenvolvimento de metodologias
para execução de atividades de auditoria e controles de Sistemas de Informação. São
mais de 80 mil membros em todo o mundo;
• Qualificação em auditoria computacional – oferecida pelo Instituto de Auditores

Internos (Institute of Internal Auditors). Este exame é oferecido para profissionais que
desejam se certificar em auditorias internas, realizado em diversos países, inclusive
está disponível em língua portuguesa.
1.3 Relatório de auditoria

Ao final de uma auditoria, comumente a organização recebe um documento denominado
relatório de auditoria.
Esse documento normalmente passa por um processo de revisão formal pela equipe
responsável pela auditoria, de modo a sanar eventuais inconsistências e revisar as
considerações efetuadas.
Em geral, encontramos os seguintes elementos em um relatório de auditoria:
• Dados da entidade que está sendo auditada;
• Síntese da auditoria – escopo, resumo do conteúdo do documento e principais pontos

observados;
• Dados – apresentam-se objetivos, período em que ocorreu, a equipe de auditoria,

metodologia utilizada, objetos e pontos de controle;
• Observações da auditoria – apresenta em detalhes não conformidade, falhas e

irregularidades observadas no processo de auditoria. Normalmente, a equipe de
auditoria justifica os julgamentos efetuados e aponta recomendações para sanar os
pontos verificados;
• Considerações finais – nesse ponto do relatório apresentam-se os principais tópicos

abordados no relatório, um resumo de recomendações e demais considerações sobre
o trabalho;

• Parecer superior – principalmente nas auditorias externas, solicita-se um parecer

superior no que foi evidenciado no relatório.
Nesta aula tivemos a oportunidade de abordar o tema de auditoria em Sistemas de
Informação, mais especificamente a auditoria voltada à segurança da informação.
A auditoria é um processo fundamental para a melhoria contínua do processo de

implantação de um Sistema de Gerenciamento de Segurança da Informação (SGSI) e auxilia a
organização a mensurar a efetividade de seus controles.
A auditoria não pode ser vista como um processo que irá evidenciar apenas problemas.
Ela busca revisar os controles implantados para verificar se eles estão alinhados aos objetivos
da política de segurança da informação, assim como pode auxiliar a organização a perceber o
nível de desempenho e efetividade de tais controles.
O auditor é um profissional altamente qualificado e que detém conhecimentos da área a

qual está auditando. Na área de segurança da informação, além das normas específicas, ele
pode buscar por certificações que o diferenciem no mercado de trabalho e que mostram que
ele se encontra atualizado sobre os temas mais recentes.
A organização pode lançar mão de auditorias internas antes de passar por um processo
de auditoria externa. Além de amadurecer os processos internos, essa prática pode criar um
ambiente mais agradável para realização de auditorias, uma vez que o processo é mais bem
compreendido pelas partes externas. Dessa maneira, a organização encontra-se ciente de
possíveis objetos de auditoria e pontos de controle.
Para fins de certificação em segurança da informação, a norma ABNT NBR ISO/IEC 27001
é uma referência para conformidade com os requisitos de segurança da informação. Um
auditor nesta área irá fazer uso extensivo da norma para a avaliação da organização.
Em nossa próxima aula, finalizaremos o tema de nossa disciplina abordando possíveis

testes de auditoria, que demonstram como o processo de auditoria pode ser realizado por
auditores internos e externos, o que lhe dará uma compreensão melhor sobre como garantir
o alinhamento dos controles escolhidos e sua efetividade na proteção da segurança da
informação para a organização.

Referências
ATTIE, W. Auditoria: conceitos e aplicações. São Paulo: Atlas, 2011.
RODRIGUES, R. W.; FERNANDES, J. H. Auditoria e conformidade de segurança da informação.

Programa de formação de especialistas para a elaboração da metodologia brasileira de gestão
de segurança da informação e comunicações. Universidade de Brasília, 2011.
TRIBUNAL DE CONTAS DA UNIÃO. Manual de auditoria de sistemas. Brasília: TCU, 1991.

de Informação
Aula 16
Testes de auditoria e evidências
• Demonstrar os principais testes e formação de evidências em auditoria.
Temas
Introdução
1 Principais Técnicas de Auditoria em Sistemas de Informação
Referências
Professor
Introdução
Em nossa última aula, abordamos o tema de auditoria, definindo os principais tipos
que podem ser aplicados à segurança da informação, além de abordar o perfil do auditor e
certificações na área.
Ressaltamos também como cada tipo de auditoria pode verificar itens de segurança da
informação que viemos salientando desde nossa primeira aula.
Nesta aula abordaremos com mais detalhes as técnicas de auditoria que podem ser
utilizadas por uma organização para validar a efetividade dos controles estabelecidos por sua
política de segurança da informação.
Bons estudos!
1 Principais Técnicas de Auditoria em Sistemas de Informação

Há várias formas de se realizar uma auditoria na área de sistemas de informação, mais
especificamente na área de segurança da informação. A seguir, vamos conhecer uma visão
geral das principais técnicas utilizadas na área.
1.1 Uso de programas de computador

Com o avanço do desenvolvimento das linguagens de programação, os auditores podem
fazer uso de algumas linguagens para construção de programas de computador com fins
específicos de auditoria (ROSSONI, 2015, p. 2).
Normalmente, os programas desenvolvidos atuam correlacionando arquivos, tabulando-

os e analisando seus conteúdos. É possível realizar somas de valores de determinados campos,
cruzamento de informações, dentre outras técnicas que permitam ao auditor verificar a
consistência e integridade das informações analisadas (ROSSONI, 2015, p. 2).
Habitualmente, a instituição possui diversos relatórios estatísticos sobre um mesmo

objeto. Nesses casos, o auditor pode fazer uso de um programa específico desenvolvido por
ele mesmo para confrontar os dados e gerar a validação das devidas consistências.
Esses programas podem analisar tanto arquivos quanto grandes bases de dados. Há
também softwares prontos, disponíveis para tais fins.
Os arquivos analisados, em geral, são derivados de outros sistemas. Para melhor entender
tais arquivos, o auditor pode analisar o fluxo do sistema gerador do arquivo, entrevistar o
analista de sistemas responsável pelo sistema ou o usuário que faz uso deste, para confirmação
dos fluxos das operações, assim como analisar logs de utilização do computador que executa

o sistema, para detectar as operações realizadas neste. Podemos resumir os passos para
construção de um ambiente de testes de auditoria com base em programas de computador
da seguinte forma (ROSSONI, 2015, p. 5):
• O auditor realiza uma análise do fluxo do programa;
• O auditor identifica o arquivo a ser auditado;
• O auditor realiza entrevista com os usuários do sistema ou com o analista responsável

pelo sistema;
• O auditor entende a formatação e disposição das informações no arquivo;
• O auditor elabora um programa de computador para realizar a auditoria;
• O auditor recebe uma cópia do arquivo original;
• O auditor executa o programa de auditoria para o arquivo recebido;
• O auditor realiza uma análise dos resultados obtidos;
• O auditor emite o relatório de auditoria;
• O processo de auditoria é documentado e finalizado.
1.2 Questionários
O uso de questionários é comum em diversas técnicas de investigação. Na auditoria, isso
não é diferente. Essa técnica consiste, portanto, na elaboração de um conjunto de questões
que objetivam a verificar determinado ponto de controle do sistema de informação.
Essas perguntas são formuladas de modo a permitir uma verificação da adequabilidade

do ponto de controle para parâmetros de controles estabelecidos, tais como segurança lógica,
segurança física, conformidade com legislação, eficiência etc.
Normalmente, as perguntas irão abordar os seguintes temas:
• Segurança física dos equipamentos;
• Segurança lógica das informações que circulam na rede de dados;
• Controle de acesso físico e lógico às instalações de data center, por exemplo;
• Infraestrutura para combate aos incêndios, estanqueidade (proteção contra

inundação), vandalismo etc.;
• Dentre outras.

Essa técnica é aplicada regularmente em conjunto com outras técnicas de auditoria,

tais como entrevista, visita à organização etc. Não há a necessidade desse questionário ser
aplicado presencialmente, é possível fazer uso da internet e dispor de ferramentas para coleta
dessas informações à distância.
Podemos definir o seguinte fluxo para execução desta técnica de auditoria:
• O auditor analisa o ponto de controle a ser auditado;
• O auditor elabora o questionário;
• Ocorre a seleção dos profissionais que irão responder este questionário;
• O questionário é respondido pelos profissionais elencados anteriormente;
• O auditor recebe as respostas e inicia o processo de análise das respostas;
• O auditor formula sua percepção sobre o ponto de controle auditado;
• O auditor passa então a elaborar um relatório de auditoria.
É importante destacar a necessidade do auditor possuir conhecimentos técnicos sobre

o ponto de controle em questão, de modo a lhe permitir a formulação das questões e uma
análise técnica coerente.
O que ocorre frequentemente nesse tipo de técnica de auditoria é a correlação das

respostas obtidas de diferentes profissionais, permitindo ao auditor analisar a percepção
dos mais diversos profissionais. É comum que as perguntas sejam objetivas com respostas
quantitativas. Não é comum recebemos perguntas do tipo “Como é feita determinada
atividade?”, mas sim “A atividade X é feita com uso de xxxxx?”.
1.3 Simulação de dados

Esta técnica consiste na geração de um conjunto de dados a serem submetidos a um
sistema computacional, com o objetivo de verificar sua lógica de processamento.
Os dados a serem gerados necessitam representar situações corretas e incorretas, que

possam ser facilmente validadas após a execução do sistema. Busca-se testar os sistemas com
relação à(ao) (ROSSONI, 2015b, p. 3):
• Execução de operações com campos inválidos;
• Execução de operações que lidam com dados nos limites das tabelas de cálculos;
• Comportamento do sistema na execução de operações incompletas;

• Comportamento do sistema na execução de operações incompatíveis em diversos níveis;
• Comportamento do sistema na execução de operações em duplicidade.
Esse teste de auditoria normalmente segue o seguinte fluxo, não sendo exaustivo aos
passos a seguir (ROSSONI, 2015b, p. 3):
• Análise da documentação do sistema;
• Entrevistas com analistas do sistema e usuários deste para complementar o

entendimento acerca da funcionalidade a ser testada;
• Estudo de diagramas que nos permitam entender o fluxo de dados. O Diagrama

de Fluxo de Dados (DFD) é um diagrama que nos permite entender melhor o fluxo
de tratamento dos dados por um sistema, para permitir tirar conclusões sobre
comportamentos inadequados do sistema;
• Execução da simulação de execução do sistema sob diversas entradas diferentes de

dados e análise do comportamento do sistema;
• Apurar os dados obtidos e confrontá-los com resultados esperados;
• Analisar os cenários de execução e seus resultados;
• Elaborar o relatório de auditoria.
1.4 Visita local

Esta é uma técnica que pode ser utilizada em conjunto com outras técnicas. Normalmente,
o auditor realiza uma visita às instalações da organização para auditar sistemas e demais rotinas.
Durante a visita, o auditor invariavelmente anota os procedimentos verificados, coletando

documentos, de modo a melhor compreender o fluxo das atividades. O auditor pode solicitar
uma série de itens para realizar inventário, tais como: mídias magnéticas, logs de sistemas
etc. (ROSSONI, 2015b, p. 5).
1.5 Mapeamento estatístico

Esta técnica é utilizada pelo auditor para verificar rotinas em Sistemas de Informação que
apresentam as seguintes características (ROSSONI, 2015c, p. 1):
• Rotinas não utilizadas;
• Número de vezes que uma rotina de processamento é chamada pelo sistema;

• Rotinas de uso esporádico;
• Rotinas fraudulentas;
• Dentre outras.
Normalmente, o auditor necessita conhecer profundamente o sistema a ser auditado e

fazer uso de ferramentas especiais que permitam colocar tais métricas.
1.6 Rastreamento
Esta técnica visa a entender o fluxo de uma transação durante o processamento do
sistema (ROSSONI, 2015c, p. 1).
Esse fluxo pode ser entendido por meio da análise de logs gerados pela aplicação ou
ferramentas que fazem uma análise externa da aplicação (observando o acesso da aplicação
na memória e na utilização de outros recursos computacionais).
Com base no rastreamento da sequência de operações, é possível identificar inadequações

do sistema e alguns pontos de ineficiência. Em geral, essa técnica é utilizada para descoberta
de rotinas fraudulentas internas a algumas transações dos sistemas.
1.7 Entrevistas
A técnica de entrevista é costumeiramente empregada com diversas outras técnicas e
para várias áreas de auditoria.
Essa técnica consiste em uma conversa do auditor com uma ou mais pessoas, para
compreensão de pontos de controles auditados no sistema.
Frequentemente, o auditor elabora um questionário a ser feito aos participantes da

entrevista e anota as respostas coletadas.
Por uma questão de segurança e registro da atividade, recomenda-se elaborar uma ata que
contenha os registros dos pontos discutidos mais relevantes conforme a apresentação das perguntas.
É raro observar que esta técnica é aplicada como única técnica de auditoria.
Normalmente, ela é utilizada em conjunto com outras técnicas, tais como questionários,
rastreamento, simulação de dados etc.
1.8 Análise de relatórios e telas de sistemas

Em um sistema sendo auditado, o auditor pode fazer uso da leitura de relatórios sobre o
sistema, documentações auxiliares e telas do sistema.
Com essa análise, o auditor pode tecer considerações sobre os seguintes tópicos
(ROSSONI, 2015c, p. 2):
• Grau de utilização do sistema pelos mais diversos usuários;
• Como conteúdos sigilosos ou sensíveis estão sendo tratados pela aplicação;
• Integração entre telas e relatórios emitidos pelo sistema;
• Dentre outros;
• O fluxo de execução dessa técnica de auditoria pode ser assim descrito (ROSSONI,
2015c, p. 2);
• O auditor relaciona quais usuários serão utilizados para testes no sistema (perfis);
• Para cada perfil, o auditor verifica as telas do sistema, os relatórios exibidos e o fluxo
de processamento pertencente ao ponto de controle sendo auditado;
• Elabora um check list para verificar se o sistema atende aos requisitos para os pontos
de controles auditados;
• Se necessário, marca entrevistas com stakeholders que fornecerão mais detalhes

sobre os relatórios e telas analisados.
1.9 Análise de LOG

Esta é uma das técnicas mais disseminadas e conhecidas na área de auditoria. A
popularidade dessa técnica é tamanha que ela não é restrita a auditores. Profissionais da área
de TI geralmente fazem verificações em sistemas por meio da análise de LOG.
1.9.1 O que vem a ser um log?
De uma maneira simples, um log é um arquivo que registra uma série de eventos
relacionados ao sistema. O log pode ser desenvolvido pelo programador do sistema ou gerado
automaticamente pelo sistema operacional.
É por meio do log que realizamos uma tarefa denominada trilhas de auditoria. Uma trilha
de auditoria nos fornece um registro cronológico sobre um determinado evento, de modo
que possamos compreender seu fluxo de execução e a causa das inconsistências detectadas.
Um incidente de segurança da informação normalmente é analisado para ser melhor

compreendido por meio da análise de uma série de logs, desde logs dos equipamentos de
rede, servidor da aplicação, até mesmo da própria aplicação e da base de dados.

Os logs registram também tentativas de acesso negadas, armazenando informações

como origem, usuário e senhas utilizados para teste etc (ROSSONI, 2015c, p. 3).
Uma resposta a um incidente pode ser parametrizada para ser bloqueada. Por exemplo,
há diversos softwares que configuram servidores de aplicação a bloquearem o acesso a um
IP de origem por X minutos após N tentativas de acesso. O log pode fornecer estatísticas
de quantas tentativas ocorreram na rede, qual a origem delas e validar a efetividade dessa
técnica na prevenção de incidentes.
O trabalho de análise de logs pode requerer o uso de um uma série de ferramentas

tecnológicas para auxiliar esse trabalho, uma vez que os arquivos de log são arquivos
extremamente grandes e necessitam de atenção a serem analisados (ROSSONI, 2015c, p. 3).
Uma ferramenta gratuita para análises de logs que vem sendo bastante utilizada pela
comunidade é o Adiscon LogAnalyzer1. Essa ferramenta analisa uma série de arquivos de log
e realiza algumas correlações automáticas.
A Figura 1 ilustra uma tela do LogAnalyzer na análise de logs de um servidor de aplicações

criado para fins de demonstração da ferramenta.
Figura 1 – Exemplo de execução da ferramenta de análise de logs - LogAnalyzer
Fonte: LogAnalyzer (2015).
1 Disponível em: <http://loganalyzer.adiscon.com>. Acesso em: 28 dez. 2014.

É importante ressaltar a importância da sincronização dos relatórios entre os

equipamentos e aplicativos. Essa garantia nos permite gerar diversas correlações sobre os
eventos. Uma solução para garantir a sincronia dos relógios é a rede possuir um servidor NTP
(Network Time Protocol), no qual os demais servidores se baseiam para o estabelecimento
dos horários locais.
A utilização dessa técnica é extremamente poderosa, porém ela requer conhecimentos

avançados na área de computação, uma vez que as mensagens são as mais simples e técnicas
possíveis não são facilmente compreendidas por leigos. O auditor, portanto, necessita possuir
tais conhecimentos e fazer uso de uma base de conhecimento de trilhas de auditoria para
detectar eventos semelhantes que comprometam a segurança da informação.
1.10 Análise de código-fonte

Esta técnica funciona semelhante a um teste de caixa-branca no sistema, a qual consiste
em analisar o código-fonte do sistema e entender seu funcionamento.
O auditor necessita garantir que está testando a versão mais atualizada do sistema,
geralmente mantida em um servidor de versionamento de código. Essa técnica, semelhante à
anterior, exige um profundo conhecimento técnico por parte do auditor (ROSSONI, 2015c, p. 5).
1.11 Captura total – Snapshot

Esta técnica consiste na captura total de um cenário a ser validado. É como se a gente
fotografasse um determinado momento do sistema e essa fotografia representasse o estado
em que ele se encontra. Isto é, os valores que estão em memória, as transações que estão
sendo executadas e demais informações (ROSSONI, 2015c, p. 5).
A esse processo dá-se o nome de snapshot ou dump. Normalmente, o auditor

necessita de um software específico para realizar essa fotografia do sistema e poder utilizá-
la posteriormente. Essa técnica é uma das que mais requer conhecimentos técnicos por
parte do auditor, que irá analisar dados armazenados em posições de memória, valores de
registradores, dentre outros aspectos técnicos (ROSSONI, 2015c, p. 5).
Com esta aula, finalizamos nossa disciplina de Segurança e Auditoria em Sistemas de
Informação. Nesta disciplina abordamos temas essenciais à construção de uma efetiva
política de segurança da informação que visa a garantir as propriedades de confidencialidade,
integridade e disponibilidade da informação e dos demais ativos organizacionais.

Para alcançar nosso objetivo, as aulas foram descrevendo os controles propostos pela
norma, ao mesmo tempo em que analisávamos diversos exemplos de políticas de informações
de algumas empresas e órgãos públicos.
Para validar a efetividade desse controle e se eles estão alinhados à política de segurança da
informação, a organização pode fazer uso da auditoria. Essa auditoria, seja interna ou externa,
ou ainda uma combinação das duas, tem o objetivo de analisar criticamente a implementação
prática dos controles e fomentar o processo de melhoria contínua de nossa política.
Nesta aula abordamos as mais variadas técnicas de auditorias em Sistemas de Informação.

Esse tema é muito amplo e requer algumas disciplinas dedicadas exclusivamente a ele.
Porém, é importante que você tenha observado que há várias formas de auditar os Sistemas
de Informação e que tais técnicas podem ser combinadas sempre que necessário. O mais
importante é ter claramente definido quais pontos de controle estão sendo validados e como
analisar criticamente as informações coletadas.
A você, deixo um forte abraço, com o desejo de que você possa ter acrescentado algo em
seu conhecimento e experiência ao longo desta disciplina e que o conteúdo e a experiência
que tentei trocar durante as aulas possam lhe servir como subsídio para as decisões e trilhas
de sua jornada profissional.
Um grande abraço!
Referências
ATTIE, W. Auditoria: conceitos e aplicações. São Paulo: Atlas, 2011.
CARNEIRO, A. Auditoria e controle de Sistemas de Informação. Portugal: FCA, 2004.
IOMIANA, J. O. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2008.
ROSSONI, C. Auditoria de sistemas computacionais. Notas de Aula 04: Auditoria de

Computadores. 2015a. Disponível em: <http://tecspace.com.br/paginas/aula/asi/aula04.pdf>.
Acesso em: 20 jan. 2015.
______. Auditoria de sistemas computacionais. Notas de Aula 05: Auditoria de Computadores.

2015b. Disponível em: <http://tecspace.com.br/paginas/aula/asi/aula05.pdf>. Acesso em: 20
jan. 2015.
______. Auditoria de sistemas computacionais. Notas de Aula 06: Auditoria de Computadores.

2015c. Disponível em: <http://tecspace.com.br/paginas/aula/asi/aula06.pdf>. Acesso em: 20
jan. 2015.

Seguranca Auditoria Sistema

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seguranca Auditoria Sistema

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança e

Auditoria de Sistemas de Informação

A tecnologia vem tornando possível o uso de recursos digitais para armazenagem e

Nas organizações, a informação pode se apresentar em diversas formas, desde escrita

Nesta aula, iniciaremos o estudo sobre segurança da informação. Abordaremos seus

1 A segurança da informação no ambiente corporativo

No entanto, é preciso entender que todas as organizações, independentemente de seu

O termo segurança da informação, portanto, está relacionado à proteção de um conjunto

Senac São Paulo - Todos os Direitos Reservados 3

1.1 Tipos de informação nas organizações

As informações internas são geradas pela própria organização, normalmente essenciais

As informações de parceiros são aquelas trocadas entre parceiros de negócio. Estas

As informações de clientes e fornecedores são informações mantidas pela organização,

As falhas em política de segurança da informação são bem polêmicas

2 Segurança da informação – definição e termos-chave

A segurança da informação, portanto, é a proteção da informação contra

Ao analisarmos essa definição, precisamos definir alguns pontos-chave, para o correto

• Descontentamento ou desmotivação de colaboradores;

• Baixo nível de conscientização dos colaboradores sobre assuntos relacionados à

• Inexistência de políticas e procedimentos para acesso, manipulação e armazenagem

• Hacking, vírus, spam, e-mails maliciosos;

• Falta de um plano de recuperação a desastres;

• Desastres naturais, tais como incêndio, inundação, terremoto etc.

Observe que as ameaças nem sempre estão ligadas a recursos tecnológicos.

Senac São Paulo - Todos os Direitos Reservados 5

Na sua opinião, a empresa em que você trabalha pensa em todas as

2.1 Pilares da segurança da informação

• Confidencialidade – é a certeza de que o acesso à informação será feito apenas por

• Integridade – é a garantia de que a informação não foi alterada, de forma indevida ou

• Disponibilidade – garantir que a informação esteja disponível sempre que necessário.

Podemos dizer que a segurança da informação visa a preservar três

Para proteger os ativos da organização, em determinados casos, podem ser necessário

Senac São Paulo - Todos os Direitos Reservados 6

• Autenticidade – garantir que as partes envolvidas em um processo de troca de

• Não repúdio – garantir que o emissor ou manipulador da informação não possa

• Legalidade – garantir a legalidade da informação, de modo que esta fique aderente

Privacidade – garantir a capacidade de manter oculto o usuário criador ou manipulador

• Auditoria – é a capacidade de rastrear diversos passos de um negócio ou de um

Na sua opinião, as urnas brasileiras são um bom exemplo de garantia à

Na definição de segurança da informação, encontramos o termo Ativo. Mas o que vem a

Senac São Paulo - Todos os Direitos Reservados 7

Um ativo organizacional é tudo o que tenha valor para a organização. A

• Ativos de informação: correspondem a bases de dados, documentação de sistemas,

• Ativos de software: são os aplicativos, sistemas e utilitários utilizados pela organização;

• Ativos de serviço: referem-se à iluminação, aquecimento, eletricidade e refrigeração;

• Ativos humanos: pessoas e suas qualificações;

• Ativos intangíveis: são exemplos de ativos intangíveis a imagem e a reputação

2.2 Mais alguns conceitos-chave da segurança da informação

A segurança da informação é repleta de termos. Compreendê-los é fundamental para

A combinação da probabilidade de ocorrência de uma ameaça com o impacto que a

Senac São Paulo - Todos os Direitos Reservados 8

Figura 1 – Termos-chave da segurança da informação

Fonte: Adaptada de Ramos (2008, p. 26).

A Figura 1 apresenta uma visão geral do relacionamento existente entre os termos-chave

2.3 Ciclo de vida da informação

De acordo com Sêmola (2003), a informação em uma organização possui um ciclo de

Senac São Paulo - Todos os Direitos Reservados 9

Figura 2 – Ciclo de vida da informação

Fonte: Adaptada de Sêmola (2003, p. 11).

A Figura 2 apresenta o ciclo de vida da informação. Na segurança da informação nos

Um dos termos mais importantes de segurança da informação é o termo controle. Um

É por meio dos controles que aplicamos um conjunto de práticas,

Senac São Paulo - Todos os Direitos Reservados 10

2.4 Controles, políticas e comprometimento da alta administração