Você está na página 1de 184

Política de Segurança

e Inventário e Ativos
de Informação
Prof.ª Neli Miglioli Sabadin

Indaial – 2020
1a Edição
Copyright © UNIASSELVI 2020

Elaboração:
Prof.ª Neli Miglioli Sabadin

Revisão, Diagramação e Produção:


Centro Universitário Leonardo da Vinci – UNIASSELVI

Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri


UNIASSELVI – Indaial.

S113p

Sabadin, Neli Miglioli

Política de segurança e inventário e ativos de informação. / Neli


Miglioli Sabadin. – Indaial: UNIASSELVI, 2020.

174 p.; il.

ISBN 978-65-5663-071-7

1. Segurança da informação. – Brasil. Centro Universitário Leonardo


Da Vinci.

CDD 004

Impresso por:
Apresentação
Caro acadêmico, estamos iniciando o estudo da disciplina Política
de Segurança e Inventário e Ativos de Informação. Esta disciplina objetiva
reconhecer os conceitos básicos de segurança da informação, além de
apresentar as políticas para manter as informações íntegras e seguras. Por
fim, conheceremos como se caracterizam os ativos de informação.

Nesse contexto, o Livro Didático Política de Segurança e Inventário e


Ativos de Informação está dividido em três unidades: Unidade 1 – Conceitos
de Segurança da Informação; Unidade 2 – Política de Segurança e Inventário;
e Unidade 3 – Inventário e Ativos de Informação.

Aproveitamos a oportunidade para destacar a importância de


desenvolver as autoatividades, lembrando que estas não são opcionais.
Elas objetivam a fixação dos conceitos apresentados. Em caso de dúvida na
realização, sugerimos que você entre em contato com o seu tutor externo ou
com a tutoria da UNIASSELVI, não prosseguindo sem ter sanado todas as
dúvidas.

Bom estudo! Sucesso na sua trajetória acadêmica e profissional!

Neli Miglioli Sabadin


NOTA

Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para
você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi-
dades em nosso material.

Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é


o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um
formato mais prático, que cabe na bolsa e facilita a leitura.

O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra-
mação no texto, aproveitando ao máximo o espaço da página, o que também contribui
para diminuir a extração de árvores para produção de folhas de papel, por exemplo.

Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente,


apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilida-
de de estudá-lo com versatilidade nas telas do celular, tablet ou computador.
 
Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para
apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun-
to em questão.

Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas
institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa
continuar seus estudos com um material de qualidade.

Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de


Desempenho de Estudantes – ENADE.
 
Bons estudos!
LEMBRETE

Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela


um novo conhecimento.

Com o objetivo de enriquecer seu conhecimento, construímos, além do livro


que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você
terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complemen-
tares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento.

Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo.

Conte conosco, estaremos juntos nesta caminhada!


Sumário
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO.............................. 1

TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO....... 3


1 INTRODUÇÃO..................................................................................................................................... 3
2 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO.............................. 3
3 TRÍADE C.I.D OU C.I.A...................................................................................................................... 5
3.1 CONFIDENCIALIDADE................................................................................................................ 6
3.2 INTEGRIDADE................................................................................................................................ 9
3.3 DISPONIBILIDADE...................................................................................................................... 12
4 HEXADIANO PARKERIANO......................................................................................................... 15
RESUMO DO TÓPICO 1..................................................................................................................... 17
AUTOATIVIDADE............................................................................................................................... 18

TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL..... 19


1 INTRODUÇÃO................................................................................................................................... 19
2 ATIVOS DE INFORMAÇÃO........................................................................................................... 19
3 ACESSO À INFORMAÇÃO............................................................................................................. 21
3.1 CONTROLE FÍSICO...................................................................................................................... 21
3.2 SEGURANÇA LÓGICA................................................................................................................ 24
3.3 CONVERGÊNCIA ENTRE A SEGURANÇA FÍSICA E A LÓGICA .................................... 26
3.4 COMPONENTE HUMANO........................................................................................................ 27
3.5 CICLO DE VIDA DA INFORMAÇÃO....................................................................................... 28
RESUMO DO TÓPICO 2..................................................................................................................... 31
AUTOATIVIDADE............................................................................................................................... 32

TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS.................................................... 33


1 INTRODUÇÃO................................................................................................................................... 33
2 ABORDAGEM..................................................................................................................................... 33
3 VULNERABILIDADES..................................................................................................................... 35
4 AMEAÇAS ........................................................................................................................................... 36
5 RISCO .................................................................................................................................................. 37
6 ATAQUE............................................................................................................................................... 37
7 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO ............................................................... 38
7.1 PROBABILIDADE E IMPACTO.................................................................................................. 38
LEITURA COMPLEMENTAR............................................................................................................. 41
RESUMO DO TÓPICO 3..................................................................................................................... 51
AUTOATIVIDADE............................................................................................................................... 52

UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO...... 55

TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO...... 57


1 INTRODUÇÃO................................................................................................................................... 57
2 PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO – PESI.......... 57
3 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO – SGSI.............................. 60
4 COMO IMPLEMENTAR O CICLO PDCA?.................................................................................. 64
5 O USUÁRIO FAZ A DIFERENÇA................................................................................................... 66
6 ABRANGÊNCIA................................................................................................................................. 67
7 VIOLAÇÃO DA POLÍTICA............................................................................................................. 68
RESUMO DO TÓPICO 1..................................................................................................................... 70
AUTOATIVIDADE............................................................................................................................... 71

TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO........... 75


1 INTRODUÇÃO................................................................................................................................... 75
2 POLÍTICAS, NORMAS E PROCEDIMENTOS............................................................................ 75
3 POLÍTICAS DE SEGURANÇA – ISO 27000................................................................................. 77
4 BOAS PRÁTICAS PARA A CONSTRUÇÃO DA PSI................................................................. 80
5 DIVULGAÇÃO DA POLÍTICA....................................................................................................... 81
RESUMO DO TÓPICO 2..................................................................................................................... 83
AUTOATIVIDADE............................................................................................................................... 84

TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO............. 87


1 INTRODUÇÃO................................................................................................................................... 87
2 CRIAÇÃO E IMPLANTAÇÃO DA PSI.......................................................................................... 87
3 POLÍTICA DE SEGURANÇA.......................................................................................................... 88
4 POLÍTICA DE USO DE ESTAÇÃO DE TRABALHO................................................................. 92
5 POLÍTICA DE USO DA INTERNET.............................................................................................. 93
6 POLÍTICA DE E-MAIL...................................................................................................................... 95
7 POLÍTICA DE MESA LIMPA........................................................................................................... 97
LEITURA COMPLEMENTAR........................................................................................................... 100
RESUMO DO TÓPICO 3................................................................................................................... 105
AUTOATIVIDADE............................................................................................................................. 106

UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO............................................... 109

TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO.......... 111


1 INTRODUÇÃO................................................................................................................................. 111
2 INVENTÁRIO................................................................................................................................... 111
3 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO................................ 113
4 PROPRIETÁRIO DO ATIVO......................................................................................................... 115
RESUMO DO TÓPICO 1................................................................................................................... 123
AUTOATIVIDADE............................................................................................................................. 124

TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA


DA INFORMAÇÃO................................................................................................... 127
1 INTRODUÇÃO................................................................................................................................. 127
2 POR QUE CONSTRUIR UM INVENTÁRIO DE ATIVOS DE INFORMAÇÃO?............... 127
3 MATRIZ DE RESPONSABILIDADE........................................................................................... 129
4 MATRIZ DE RISCO......................................................................................................................... 132
5 ANÁLISE SWOT............................................................................................................................... 137
RESUMO DO TÓPICO 2................................................................................................................... 141
AUTOATIVIDADE............................................................................................................................. 142
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA
DA INFORMAÇÃO................................................................................................... 145
1 INTRODUÇÃO................................................................................................................................. 145
2 TRAGA SEU PRÓPRIO EQUIPAMENTO ................................................................................. 145
3 BOAS PRÁTICAS DE GERENCIAMENTO DE INVENTÁRIO DE TI................................ 148
4 MODELOS DE INVENTÁRIOS.................................................................................................... 150
LEITURA COMPLEMENTAR........................................................................................................... 156
RESUMO DO TÓPICO 3................................................................................................................... 166
AUTOATIVIDADE............................................................................................................................. 167

REFERÊNCIAS..................................................................................................................................... 169
UNIDADE 1 —

FUNDAMENTOS DE SEGURANÇA
DA INFORMAÇÃO

OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:

• saber a definição, além da importância dos conceitos básicos de segurança


da informação;

• identificar a importância da segurança das informações no contexto


empresarial;

• conhecer a tríade de segurança da informação CID e o hexagrama


parkeriano;

• identificar e diferenciar o que são riscos, ameaças e vulnerabilidade das


informações.

PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer da unidade,
você encontrará autoatividades com o objetivo de reforçar o conteúdo
apresentado.

TÓPICO 1 – CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA


INFORMAÇÃO

TÓPICO 2 – SEGURANÇA DA INFORMAÇÃO NO CONTEXTO


ORGANIZACIONAL

TÓPICO 3 – VULNERABILIDADES, AMEAÇAS E RISCOS

CHAMADA

Preparado para ampliar seus conhecimentos? Respire e vamos


em frente! Procure um ambiente que facilite a concentração, assim absorverá
melhor as informações.

1
2
TÓPICO 1 —
UNIDADE 1

CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA


INFORMAÇÃO

1 INTRODUÇÃO

Para que possamos proteger nossas informações, é necessário saber
quais são as ameaças, e o que deve ser protegido. O conhecimento sobre
segurança da informação deve ser responsabilidade de todos em uma empresa.
Independentemente do tipo de empresa, os riscos se assemelham. A partir da
segurança aplicada em nossas casas, onde mantemos as portas fechadas quando
saímos, ou não deixamos pessoas estranhas entrarem, com as informações nas
empresas também devemos seguir alguns procedimentos. São as chamadas
políticas de segurança e, neste livro, também veremos o que deve ser protegido.

Como já sabemos, em muitas empresas, as informações são vitais para


sua sobrevivência. Ter em mente que somos todos responsáveis, e que todos
estamos envolvidos, seja de maneira proativa ou apenas seguindo as normas, já
são maneiras de participar do processo de segurança das informações.

Começaremos, nossos estudos, revisitando alguns conceitos de segurança


da informação, para que seja possível identificar as diferenças entre os riscos e as
vulnerabilidades das informações.

2 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA


INFORMAÇÃO
Como já comentado, a segurança dos dados de uma empresa é um dos
grandes desafios da tecnologia da informação. A empresa e os indivíduos podem
sofrer ameaças. Para minimizar os riscos, ferramentas e políticas de segurança
podem assegurar a precisão, a integridade e a segurança dos sistemas e recursos
de informação (BARRETO et al., 2018).

Estar ciente do problema é o primeiro passo para tomar as medidas


protetivas necessárias. Por isso, governos, entidades privadas, empresas e
indivíduos estão cada vez mais cientes dos desafios e das ameaças relacionadas
às atividades on-line. Ainda, a dependência das redes de computadores para
a manutenção das informações e a sobrevivência dos negócios das empresas

3
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

aumentam exponencialmente, ano após ano. Seguindo a mesma evolução, o


impacto causado pelas violações de segurança abrange desde inconveniências
até sérias perdas financeiras e insegurança nacional (BARRETO et al., 2018).

A segurança da informação é obtida a partir da implementação de


um conjunto de controles adequados, incluindo políticas, processos,
procedimentos, estruturas organizacionais e funções de software e
hardware. Esses controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, garantindo que os
objetivos do negócio e de segurança da organização sejam atendidos.
Convém que tudo seja feito em conjunto, com outros processos de
gestão do negócio (BARRETO et al., 2018, p. 17).

Para entender como a segurança pode ser gerenciada, diversos conceitos


importantes devem ser explicados, como “informação”, “vulnerabilidade”,
“ameaça”, “risco” e “exposição”, pois são termos que são, repetidamente, usados
para representar a mesma coisa, mesmo que tenham diferentes significados e
relações entre si. É importante entender a definição de cada palavra, mas, mais
importante ainda, é entender as suas relações com outros conceitos (BAARS;
HINTZBERGEN; HINTZBERGEN, 2018).

Começamos com o conceito básico das informações no contexto da


segurança da informação. No cenário atual, as informações se constituem como
objetos de valor para as empresas, e a tecnologia da informação é um grande
facilitador, tratando-se do armazenamento e transporte das informações. No
contexto organizacional, a informação pode estar relacionada, por exemplo, aos
dados armazenados em software e ao uso eficiente (BARRETO et al., 2018).

Ainda, segundo Barreto et al. (2018), o conhecimento e a informação


são pontos-chave para as organizações, e merecem uma atenção especial para
a correta utilização de mecanismos que garantam a segurança, uma vez que a
segurança da informação tem, como propósito, proteger os ativos da informação.

No cenário da segurança da informação, de acordo com Barreto et al.


(2018, p. 14), podemos definir um ativo de informação como “qualquer objeto
que retém partes da informação da empresa nas suas mais diversas formas de
representação e armazenamento: impressas em papel, armazenadas em discos
rígidos de computadores, armazenadas na nuvem ou, até mesmo, retidas em
pessoas”.

4
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 1 – ATIVOS DE INFORMAÇÃO

FONTE: Lyra (2015, p. 12)

Um ativo é qualquer coisa que tenha valor para organização. Portanto,


podem existir diversos tipos de ativos, incluindo a própria informação
(contratos e acordos, documentações de sistema, bases de dados,
manuais de usuário, trilhas de auditoria, planos de continuidade etc.),
pessoas e suas qualificações/experiências, ativos de software (sistemas,
aplicativos, ferramentas etc.), ativos físicos (mídias removíveis,
equipamentos computacionais, equipamentos de comunicação etc.),
serviços (iluminação, eletricidade, refrigeração etc.) e aqueles que são
intangíveis, como é o caso da reputação da organização (LYRA, 2015,
p. 11).

Lyra (2015) afirma que, para o sucesso e a garantia da segurança da


informação, devem existir identificação, controle e constante atualização dos
diferentes tipos de ativos (inventário). Como princípio básico, é recomendado
que todo ativo seja identificado, além de documentado pela organização. Para
cada um, deve-se estabelecer um proprietário responsável, que cuidará da
manutenção dos controles, estes que podem ser delegados a outros profissionais,
porém, sempre sob a responsabilidade do proprietário.

Agora que já temos definido o que é um ativo, vamos relembrar os conceitos


fundamentais da segurança da informação. Um dos conceitos mais conhecimentos
e buscados pelas empresas é o proposto pela tríade Confidencialidade, Integridade
e Disponibilidade (Avaliability), conhecida por C.I.D ou C.I.A.

3 TRÍADE C.I.D OU C.I.A


Quando planejamos um programa de segurança de informação, esse
projeto pode ter objetivos simples, como usar senhas nos computadores, ou
objetivos maiores, como um plano de contingência. Não é um projeto que
tem começo, meio e fim, ou uma data para acabar, é um processo contínuo e
com um proposito. O propósito principal da segurança da informação é
proteger (ou preservar) as propriedades de Confidencialidade, Integridade e
Disponibilidade da informação. Esse propósito também é conhecido como tríade
Confidencialidade, Integridade e Disponibilidade (C.I.D) ou, em inglês, C.I.A
(Condidentiality, Integrity, Avaliability).

5
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 2 – TRÍADE C.I.D

FONTE: O autor

Conforme apresentado, veremos cada um dos itens que dão sustentação à


segurança da informação. Lembrando que todos têm igual importância.

3.1 CONFIDENCIALIDADE
Confidencialidade (Condidentiality), para Barreto et al. (2018), é a capacidade
de um sistema de impedir que usuários não autorizados “vejam” determinada
informação que foi delegada somente a usuários autorizados.

Para Baars, Hintzbergen e Hintzbergen (2018), a confidencialidade,


também chamada de exclusividade, refere-se aos limites em termos de quem
pode obter tal tipo de informação. Vale ressaltar que ela pode variar de pessoa
para pessoa, ou nível hierárquico. Baars, Hintzbergen e Hintzbergen (2018, p. 21)
exemplificam que “os executivos podem estar preocupados com a proteção dos
planos estratégicos de sua empresa em relação aos concorrentes; as pessoas, por
outro lado, estão preocupadas com o acesso não autorizado aos seus registros
financeiros”.

Ainda, ela assegura que o nível necessário de sigilo seja aplicado em cada
elemento de processamento de dados, evitando a divulgação não autorizada.
Tudo deve prevalecer enquanto os dados estiverem em sistemas e dispositivos na
rede, e durante a sua transmissão. Esse grau de confidencialidade pode ser obtido
através da criptografia de dados à medida que são armazenados e transmitidos,
monitoramento de redes, estrito controle de acesso, classificação dos dados e
treinamento de pessoal com procedimentos apropriados.

Reforçando a definição, Kim e Solomon (2014, p. 11) afirmam que


proteger dados privados é o processo de garantir sua confidencialidade. Assim,
as organizações precisam usar controles de segurança apropriados, específicos.
Por exemplo:
6
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO

• Definir políticas, padrões, procedimentos e diretrizes no âmbito da


organização, para proteger dados confidenciais, é uma instrução.
• Adotar um padrão de classificação de dados que defina como tratá-
los em toda infraestrutura de TI. É o roteiro para identificar quais
controles são necessários para manter os dados seguros.
• Limitar o acesso a sistemas e aplicativos que hospedem dados
confidenciais para uso somente de usuários autorizados.
• Usar técnicas de criptografia para ocultar dados confidenciais e
mantê-los invisíveis aos usuários não autorizados.
• Criptografar dados que cruzem a internet pública.
• Criptografar dados armazenados em bancos e dispositivos de
armazenamento.

Kim e Solomon (2014) reforçam que não basta enviar dados para outros
computadores usando uma rede. É preciso tomar medidas especiais para impedir
que usuários não autorizados tenham acesso a dados confidenciais. Assim,
é sugerida a criptografia, como prática de ocultar dados e mantê-los longe de
usuários não autorizados, protegendo as informações de ponta a ponta.

FIGURA 3 – PROCESSO DE ENCRIPTAÇÃO

FONTE: Kim e Solomon (2014, p. 9)

Como podemos observar, há a transmissão e o detalhamento do processo


no qual ocorre a encriptação. Segundo Kim e Solomon (2014, p. 9), “a encriptação
é o processo de transformar dados de texto claro para texto cifrado. Dados em
texto claro são aqueles que qualquer um pode ler. Texto cifrado são os dados
misturados que resultam da encriptação do texto claro”. Como vemos, as
mensagens são encriptadas após o envio, e só são descriptadas quando o usuário
recebe.

7
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

DICAS

Conheça um pouco da segurança em redes de dados em: https://www.


projetoderedes.com.br/artigos/artigo_criptografia_simetrica.php.

São exemplos de medidas de confidencialidade, segundo Baars,


Hintzbergen e Hintzbergen (2018):

• O acesso à informação é concedido com base na “necessidade de conhecer”.


Não é necessário, por exemplo, que um funcionário do departamento financeiro
seja capaz de ver relatórios de discussões com clientes.
• Os funcionários tomam medidas para garantir que a informação não vá para
pessoas que não necessitem dela. Eles asseguram, por exemplo, que nenhum
documento confidencial seja deixado sobre suas mesas enquanto estão ausentes
(política da mesa limpa).
• O gerenciamento de acesso lógico assegura que pessoas ou processos não
autorizados não tenham acesso a sistemas automatizados, base de dados
e programas. Um usuário, por exemplo, não tem o direito de alterar as
configurações do PC.
• É criada uma separação de funções entre a organização de desenvolvimento
do sistema, a organização de processamento e a organização do usuário. O
desenvolvedor não pode, por exemplo, fazer qualquer modificação nos salários.
• São criadas separações estritas entre o ambiente de desenvolvimento, o
ambiente de teste e aceitação e o ambiente de produção.

Baars, Hintzbergen e Hintzbergen (2018) ainda sugerem algumas medidas


no processamento e uso dos dados, para garantir a privacidade dos funcionários
da empresa e de terceiros que possam estar prestando serviços, como o uso de
uma rede dedicada por departamento.

Outra maneira de aumentar a confidencialidade, proposta por Baars,


Hintzbergen e Hintzbergen (2018), refere-se ao uso de computadores por usuários
finais. Ele sugere algumas de medidas, como uso de senhas, para garantir a
confidencialidade da informação. Um exemplo é a autenticação dos usuários
autorizados por meio de uma combinação entre a identificação do usuário (ID),
a senha e, às vezes, um “token de resposta a um desafio”, criando uma senha de
uso único one-time-password para cada sessão de login.

8
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 4 – TOKEN

FONTE: Olhar Digital (2009, s.p.)

DICAS

Fique por dentro da tecnologia de tokens em: https://olhardigital.com.br/fique_


seguro/noticia/entendendo-a-autenticacao-com-tokens/10049 e https://administradores.
com.br/noticias/entendendo-a-autenticacao-com-tokens.

3.2 INTEGRIDADE
Integridade (Integrity), segundo Barreto et al. (2018, p. 14), refere-se ao
“atributo de segurança que garante que a informação seja alterada somente de
forma autorizada, sendo mantida, assim, correta e completa”.

A integridade, para Baars, Hintzbergen e Hintzbergen (2018), refere-se


a ser correto e consistente com o estado ou a informação pretendida. Qualquer
modificação não autorizada de dados, seja ela proposital ou acidental, configura
uma violação da integridade dos dados.

Vale ressaltar que dados que não possuem integridade não são precisos,
não são válidos e não têm utilidade. Por isso, alterações não autorizadas podem
acabar com o valor dos dados. Sabotagem e corrupção da integridade dos dados
são sérias ameaças para uma organização, especialmente se os dados forem
críticos para operações de negócios (KIM; SOLOMON, 2014).

9
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 5 – INTEGRIDADE

FONTE: Kim e Solomon (2014, p. 4)

Para auxiliar o entendimento, Baars, Hintzbergen e Hintzbergen (2018, p.


54) explicam que “é esperado que dados armazenados em disco sejam estáveis.
Não se espera que eles sejam alterados aleatoriamente por problemas com os
controladores de disco”. Seguindo essa linha, também se espera que os programas
de aplicação sejam confiáveis e que salvem as informações perfeitamente, sem
alterações.

Baars, Hintzbergen e Hintzbergen (2018, p. 54) explicam da seguinte


forma: “minha definição para integridade da informação vem dos dicionários.
Integridade significa que a informação é completa, perfeita e intacta (não
necessariamente correta). Significa que nada está faltando na informação, ela está
completa e em um desejado bom estado”. A afirmação dos autores se aproxima
de dizer que a informação está em um estado correto.

A informação pode ser incorreta ou não autêntica, mas possuir integridade,


ou ser correta e autêntica, mas faltar integridade.

Ambientes que reforçam e fornecem o atributo de segurança asseguram


que atacantes, ou erros de usuários, não comprometam a integridade dos sistemas
ou dados. Quando um atacante insere um vírus, uma bomba lógica ou um
backdoor em um sistema, a integridade é comprometida. Isso pode, por sua vez,
afetar negativamente a integridade da informação contida no sistema através de
corrupção, modificação maliciosa ou substituição de dados por dados incorretos.
Controle de acesso estrito, detecção de intrusão e hashing podem combater as
ameaças.

10
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO

Os usuários, normalmente, afetam o sistema ou a integridade de seus dados


por erro (embora usuários internos também possam cometer atos maliciosos). Por
exemplo, um usuário com disco rígido cheio pode, involuntariamente, apagar
arquivos de configuração supondo, equivocadamente, que não haveria problema
ao apagar o arquivo boot.ini, por não se lembrar de tê-lo usado em qualquer
momento. Ainda, por exemplo, um usuário pode inserir valores incorretos em
uma aplicação de processamento de dados, cobrando, de um cliente, $ 3.000.000,00,
em vez de $ 300,00.

Modificar incorretamente dados mantidos em banco de dados é outra


forma comum de os usuários corromperem acidentalmente os dados, um erro
que pode ter efeitos duradouros. São exemplos de medidas de integridade:

• Mudanças em sistemas e dados são autorizadas. Por exemplo, um membro


da equipe atribui um novo preço a um artigo no website e outro verifica a
validade desse preço antes de ser publicado.
• Onde possível, são criados mecanismos que forcem a pessoa a usar o termo
correto. Por exemplo, um cliente é sempre chamado de “cliente”; o termo
“freguês” não pode ser inserido na base de dados.
• As ações dos usuários são gravadas (logged), de forma que possa ser determinado
quem modificou a informação.
• Ações vitais para o sistema, como a instalação de novo software, não podem ser
conduzidas por uma só pessoa. Ao segregar funções, posições e autoridades,
ao menos duas pessoas são necessárias para realizar mudanças que tenham
graves consequências.

A integridade dos dados pode ser garantida, em grande parte, por meio
de técnicas de criptografia, protegendo a informação de acesso ou mudança não
autorizada. Os princípios de política e de gestão para criptografia podem ser
definidos em um documento de políticas separado.

DICAS

Dê uma olhada no backdoor, ou “entrada secreta” em: https://www.


welivesecurity.com/br/2016/08/31/backdoor-e-trojan/. Ainda, veja a definição de detecção
de intrusão em https://www.gta.ufrj.br/grad/16_2/2016IDS/conceituacao.html. Por fim,
confira o que é hashing: https://www.devmedia.com.br/seguranca-da-informacao-para-
desenvolvedores-funcoes-de-hash/25008.

11
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

3.3 DISPONIBILIDADE
Barreto et al. (2018) definem disponibilidade (Avaliability) como a
quantidade de vezes que o sistema cumpriu uma tarefa solicitada, sem falhas
internas, para um número de vezes em que foi solicitada essa tarefa.

Para Baars, Hintzbergen e Hintzbergen (2018), a disponibilidade possui


algumas características, como oportunidade, continuidade e robustez. Para
oportunidade, a informação está disponível sempre que necessário. Para
continuidade, a equipe pode dar sequência aos trabalhos em caso de uma falha.

Para a característica de robustez, Baars, Hintzbergen e Hintzbergen


(2018) explicam que existe capacidade suficiente para permitir que toda a equipe
trabalhe no sistema. Por exemplo, tanto uma falha de disco como um ataque de
negação de serviço causam violação da disponibilidade. Qualquer atraso que
exceda o nível de serviço esperado para um sistema pode ser descrito como uma
violação da disponibilidade.

A disponibilidade do sistema pode ser afetada pela falha de um


dispositivo ou software. Dispositivos de backup devem ser utilizados para
substituir rapidamente os sistemas críticos, e funcionários devem ser qualificados
e estar disponíveis para fazer os ajustes necessários para a restauração do
sistema. Questões ambientais, como calor, frio, umidade, eletricidade estática
e contaminantes, também podem afetar a disponibilidade do sistema. Sistemas
devem ser protegidos contra esses elementos, devidamente aterrados e
monitorados de perto.

Ataques de negação de serviço ou Denial-of-Service (DoS) são métodos


populares que hackers usam para interromper a disponibilidade e a utilização do
sistema de uma empresa. Esses ataques são montados para impedir o usuário de
acessar recursos e informações do sistema. Para se proteger, apenas os serviços e
portas necessárias devem estar disponíveis nos sistemas, e sistemas de detecção
de intrusão (Intrusion Detection Systems – IDS) devem monitorar o tráfego da rede
e a atividade das máquinas. Certas configurações de roteadores e firewalls também
podem reduzir a ameaça de ataques e, possivelmente, impedi-los. Exemplos de
medidas de disponibilidade incluem:

• A gestão (e o armazenamento) de dados para que o risco de perder informações


seja mínimo.
• O dado é, por exemplo, armazenado em um disco de rede, e não no disco
rígido do PC.
• Os procedimentos de backup são estabelecidos. Os requisitos legais de quanto
tempo os dados devem ser armazenados são levados em conta. A localização do
backup é separada fisicamente do negócio, a fim de garantir a disponibilidade
nos casos de emergência.

12
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO

• Os requisitos legais sobre quanto tempo os dados devem ser mantidos


armazenados variam de país para país na União Europeia, nos EUA e em
outros lugares. É importante checar as agências reguladoras individuais do
governo para requisitos específicos.

Procedimentos de emergência são estabelecidos para garantir que as


atividades possam ser recuperadas, o mais breve possível, após uma interrupção
de grande escala.

Apresentaremos algumas sugestões de como os riscos de negócios podem


ser evitados, atendendo aos requisitos de segurança.

FIGURA 6 – MEDIDAS DE PROTEÇÃO

FONTE: O autor

No contexto da segurança da informação, a disponibilidade é expressa


como a quantidade de tempo que um usuário pode usar um sistema, aplicativo
e dados. Medidas comuns de tempo de disponibilidade incluem as seguintes,
segundo Kim e Solomon (2014):

• Tempo de utilização – A quantidade de tempo total que um sistema, aplicativo


e dados ficam acessíveis. O tempo de utilização (ou uptime) normalmente é
medido em unidades de segundos, minutos e horas, dentro de determinado
mês.
• Tempo de paralisação – A quantidade de tempo total que um sistema, aplicativo
e dados não ficam acessíveis. O tempo de paralisação (ou downtime) também é
medido em unidades de segundos, minutos e horas para um mês.
• Disponibilidade – Um cálculo matemático no qual D = (Tempo de utilização
total) / (Tempo de utilização total + Tempo de paralisação).
• Tempo médio para falha (MTTF – Mean Time to Failure) – O tempo médio para
falha é a quantidade média de tempo entre falhas para determinado sistema.

13
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Semicondutores e produtos eletrônicos não quebram e possuem um MTTF de


muitos anos (por exemplo, 25 anos ou mais). Partes físicas, como conectores,
cabeamento, ventiladores e fontes de alimentação, possuem um MTTF muito
menor (cinco anos ou menos), visto que o uso e o desgaste podem danificá-las.
• Tempo médio para reparo (MTTR – Mean Time to Repair) – O tempo médio para
reparo é a quantidade média de tempo necessária para reparar um sistema,
aplicativo ou componente. O objetivo é colocá-lo novamente em atividade, o
mais rápido possível.
• Objetivo de tempo de recuperação (RTO – Recovery Time Objective) – O objetivo
de tempo de recuperação é a quantidade de tempo necessária para recuperar e
tornar um sistema, aplicativo e dados disponíveis para uso após uma parada.
Planos de continuidade de negócios normalmente definem um RTO para
sistemas, aplicativos e acesso a dados de missão crítica.

Como medir a disponibilidade:

• Para determinado mês de 30 dias, a quantidade total de tempo de utilização é:


ᵒ 30 dias × 24 horas/dia × 60 minutos/hora = 43.200 minutos
• Para um mês de 28 dias (fevereiro), a quantidade total de tempo de utilização
é:
ᵒ 28 dias × 24 horas/dia × 60 minutos/hora = 40.320 minutos

Usando a fórmula Disponibilidade = (Tempo de utilização total)/(Tempo


de utilização total + Tempo de paralisação), calcule o fator de disponibilidade
para um mês de 30 dias com 30 minutos de tempo de paralisação:

Disponibilidade = (43.200 minutos)/(43.200 minutos + 30 minutos) = 0,9993


ou 99,93%.

Além dos princípios já conhecidos, e seguindo os padrões internacionais


sobre segurança da informação, a ISO/IEC 27002 aponta apenas três princípios
básicos da segurança da informação: Preservação da confidencialidade, da
integridade e da disponibilidade da informação. No entanto, foram adicionadas
outras propriedades: a autenticidade, o não repúdio e a legalidade.

Autenticidade: Garante a identidade de quem está enviando a


informação, ou seja, gera o não repúdio que se dá quando há garantia
de que o emissor não poderá se esquivar da autoria da mensagem
(Irretratabilidade). Normalmente, não entra como um dos pilares da
segurança da informação. É, através da autenticidade, que se garante
que a informação é proveniente da fonte anunciada, ou seja, não sofreu
nenhuma alteração durante o processo.
Legalidade: O uso da tecnologia da informática e comunicação deve
seguir as leis vigentes do local ou país.
Irretratabilidade ou Não repúdio: Visa garantir que o autor não negue
ter criado ou assinado algum documento ou arquivo. Estabelecer
um programa de segurança da informação na empresa deve sempre
passar por ações que norteiam esses princípios. Tal modelo deve estar
amparado por um sistema de gestão de segurança da informação,
que precisa ser planejado e organizado, implementado, mantido e
monitorado (OLIVEIRA, 2019, s.p.).
14
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO

Agora que já conhecemos a tríade CID, o modelo de segurança mais


conhecido é incapaz de cobrir todas as preocupações que os proprietários de
dados possam ter em relação à segurança. O hexadiano Parkeriano contém três
atributos adicionais, além dos três da tríade da CID.

4 HEXADIANO PARKERIANO
O modelo apresentado na tríade CID é um modelo de segurança que
existe há mais de 20 anos. A importância dos dados, na atualidade, aumentou
significativamente, além da complexidade, sem falar na quantidade de dados que
é armazenada eletronicamente.

Segundo Pender-Bey (2012), tendências tecnológicas, como armazenamento


em nuvem e registros eletrônicos de saúde, tornaram a proteção de dados muito
mais complexa. O modelo da CID está muito orientado para a tecnologia, não se
concentrando, o suficiente, o elemento humano na segurança da informação.

O modelo hexadiano Parkeriano (PH) foi desenvolvido com base no


CID, e foram adicionados componentes para fornecem um modelo abrangente e
completo, protegendo os dados.

O hexadiano Parkeriano é um modelo de segurança composto por seis


elementos de atributos de segurança. Originalmente, foi proposto por Donn
Parker, em 1998. Os seis atributos são, segundo Pender-Bey (2012):

• Confidencialidade: os dados podem ser mantidos em segredo para usuários


não autenticados. Pode ser definida como a qualidade ou estado de ser privado
ou secreto, conhecido apenas por poucos.
• Integridade: dados que estão em um estado intacto até quando foram criados.
Pode ser definida como condição intacta ou sem marca; solidez; correspondência
inteira com uma condição original; a qualidade ou estado de estar completo ou
indiviso; totalidade material.
• Disponibilidade: acessar e usar os dados. Pode ser definida como capaz de
ser utilizada para a realização de um propósito, imediatamente utilizável,
acessível, que possa ser obtido.
• Autenticidade: confirmação de que uma reivindicação de propriedade dos
dados é genuína. Também definida como válida, verdadeira, real, genuína ou
digna de aceitação ou crença por motivo de conformidade com fato e realidade.
• Posse/Controle: Quando tem sob controle próprio acesso aos dados. Também
é definido como um estado de posse ou controle ou posse de alguém; controle
físico real da propriedade, distinto da custódia; algo de propriedade ou
controlado.
• Utilitário: É a capacidade de usar propositadamente esses dados. Em outras
palavras, é definido como útil, adequado para algum propósito.

15
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Quando Parker propôs o nome do modelo, segundo Pender-Bey (2012),


ele queria mudar a maneira como a segurança da informação era avaliada e
compreendida. Para Parker, o modelo da CID consistia em uma visão incompleta
e muito simplista para algumas aplicações. A segurança da informação não
se concentrava suficientemente no papel que as pessoas têm, na manutenção
e na perda das informações. Assim, Parker sugeriu que os elementos fossem
analisados ​​nos seguintes agrupamentos: confidencialidade, posse, integridade,
autenticidade, disponibilidade e utilidade.

Os atributos da informação são atômicos, ou seja, eles não são divididos


em outras partes constituintes, não se sobrepõem, já que se referem a aspectos
únicos da informação. “Qualquer violação da segurança da informação pode ser
descrita como aquilo que afeta um ou mais desses atributos fundamentais da
informação. Confidencialidade, integridade e disponibilidade foram mencionadas
anteriormente” (BAARS; HINTZBERGEN; HINTZBERGEN, 2018, p. 27).

Finalizamos nosso tópico e esperamos que você tenha compreendido a


importância de as informações estarem corretas, acessadas somente por quem
é devido. No próximo tópico, apresentaremos como as informações devem ser
mantidas.

16
RESUMO DO TÓPICO 1

Neste tópico, você aprendeu que:

• Há muita importância do conhecimento dos conceitos de segurança da


informação para a proteção dos ativos.

• Os ativos de informação não são apenas equipamentos, mas tudo que se refere
à informação.

• Os ativos da informação, em muitos negócios, têm muito valor.

• Há importância de conhecer os princípios de segurança, para garantir que as


políticas possam ser desenvolvidas.

• Existem algumas medidas para a garantia dos princípios de segurança da


informação.

• Há métricas de disponibilidade da informação.

• Existe o Hexadiano Parkeriano, uma forma de observar o novo cenário de


segurança da informação.

17
AUTOATIVIDADE

1 O processo de proteção da informação das ameaças se caracteriza como


segurança da informação. Para que se sejam obtidos bons resultados, é
necessário conhecimento sobre o assunto, para realizar uma boa gestão da
segurança da informação. Para tanto, deve existir suporte a cinco aspectos
principais:

I- Somente as pessoas autorizadas têm acesso às informações.


II- As informações são confiáveis e exatas. Pessoas não autorizadas não podem
alterar os dados.
III- Garante o acesso às informações, sempre que for necessário, por pessoas
autorizadas.
IV- Garante que, em um processo de comunicação, os remetentes não se passem
por terceiros e nem que a mensagem sofra alterações durante o envio.
V- Garante que as informações sejam produzidas respeitando a legislação
vigente.

Os aspectos apresentados correspondem, correta e respectivamente, à:


a) ( ) Autenticidade - integridade - disponibilidade - legalidade -
confidencialidade.
b) ( ) Autenticidade - confidencialidade - integridade - disponibilidade -
legalidade.
c) ( ) Integridade - disponibilidade - confidencialidade - autenticidade -
legalidade.
d) ( ) Disponibilidade - confidencialidade - integridade - legalidade -
autenticidade.
e) ( ) Confidencialidade - integridade -disponibilidade - autenticidade -
legalidade.

2 Imagine o seguinte cenário: Um hacker consegue acesso a um servidor web


e, com isso, ele consegue ver um arquivo no servidor contendo números de
cartões de crédito. Baseando-se nesse cenário, e analisando cada um dos
princípios CIA (confidencialidade, integridade e disponibilidade), qual
desses princípios o hacker violou ao acessar o arquivo de cartões de crédito?

3 Em uma empresa de prestação de serviços, ao fim do expediente, na


impressora de rede, que se localiza no corredor da empresa, próxima ao
refeitório, muitos dos documentos impressos não são buscados, ou sejam,
ficam na impressora. Ao analisarmos o cenário, quais são as consequências
em relação à confiabilidade da informação?

a) ( ) A empresa não pode garantir a integridade da informação.


b) ( ) A disponibilidade da informação não é mais garantida.
c) ( ) A confidencialidade da informação não é mais garantida.
d) ( ) A legalidade da informação não é mais garantida.
18
TÓPICO 2 —
UNIDADE 1

SEGURANÇA DA INFORMAÇÃO NO CONTEXTO


ORGANIZACIONAL

1 INTRODUÇÃO
Talvez, a pergunta sobre a importância da segurança da informação seja
irrelevante, dado o cenário em que vivemos. Grande parte das informações já não
se encontra mais no meio físico, estamos apenas no formato digital e, na maioria
das vezes, armazenada em uma nuvem.

Se, para pessoas comuns, a perda de um celular gera grande incômodo,


imagine a perda de dados para uma empresa. Existem diversos motivos para que
as empresas se atentem à segurança das suas informações, como uma falha em
um equipamento, um incêndio ou, até mesmo, o sequestro dos seus dados.

Neste tópico, vamos falar como a empresa pode se precaver, pois, para
muitas empresas, o seu maior capital é a regra de negócio da empresa, a fórmula
de algum produto ou a configuração de um equipamento. Agora, imagine que
uma invasão nos servidores tire seus sistemas do ar e faça com que a empresa pare
de trabalhar por 24 horas. Apesar de ser algo comum, a situação, com certeza, traz
transtornos financeiros, operacionais e, talvez, o mais difícil de recuperar, que é a
confiança dos clientes.

2 ATIVOS DE INFORMAÇÃO
Até o momento, vimos a importância das informações nas empresas. Neste
tópico, conheceremos a importância da física. É importante sabermos que esta
não começa na mesa de trabalho, e não se restringe a uma sala. Sua amplitude é
bem maior.

Antes de começarmos a falar de como a informação deve ser protegida,


vamos ampliar nosso leque, e vamos tratar dos ativos da informação. Talvez,
na empresa em que você trabalha, ou em algum assunto sobre contabilidade,
você já deve ter ouvido falar dos ativos. O termo, tratando-se de segurança da
informação, é muito utilizado. Entende-se “ativo” como qualquer componente
(seja humano, tecnológico, software etc.) que ampara um ou mais processos do
negócio de uma unidade ou área do negócio.

19
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Uma outra boa definição de ativo é tudo aquilo que tem valor para a
empresa. É preciso que todos os ativos relevantes sejam identificados, além de
inventariados. Existe um pouco de confusão porque costumamos associar a
expressão “inventário de ativos” ao usual inventário de hardware e software.

Quando o assunto é segurança da informação, por “inventário de


ativos”, devemos compreender um conjunto mais abrangente de ativos, que
contempla sistemas, pessoas, ambientes físicos etc. Antes de começarmos, vamos
contextualizar o que são ativos, segundo Souza (2013, s.p.):

O departamento de TI não pode resumir os ativos a equipamentos


de informática e softwares instalados no ambiente sob sua
responsabilidade. É algo muito mais abrangente, que envolve tudo o
que pode ter ou fornecer um valor para uma organização, justamente
porque a definição de um ativo, na norma ABNT NBR ISO/IEC 27002
- Código de Prática para a Gestão de Segurança da Informação, é bem
sucinta: Ativo: qualquer coisa que tenha valor para a organização.
Portanto, é preciso localizar, e identificar todos esses ativos, que
podem estar representados em diversas formas, de acordo com a ISO:
a) Ativos de informação: base de dados e arquivos, contratos e acordos,
documentação de sistema, informações sobre pesquisa, manuais
do usuário, material de treinamento, procedimentos de suporte ou
operação, planos de continuidade do negócio, procedimentos de
recuperação, trilhas de auditoria e informações armazenadas.
b) Ativos de software: aplicativos, sistemas, ferramentas de
desenvolvimento e utilitários.
c) Ativos físicos: equipamentos computacionais, equipamentos de
comunicação, mídias removíveis e outros equipamentos.
d) Serviços: serviços de computação e comunicações, utilidades gerais,
como aquecimento, iluminação, eletricidade e refrigeração.
e) Pessoas e suas qualificações, habilidades e experiências.
f) Intangíveis, como a reputação e a imagem da organização.

Semelhante à definição proposta, Barreto et al. (2018) afirmam que pode


ser considerado um ativo tudo que possui um valor para empresa, o que ela quer
proteger.

Os ativos são elementos fundamentais da segurança da informação e a


razão da existência dessa preocupação. O valor de um ativo pode estar
no próprio ativo, como um servidor, ou no uso que se faz dele, como
em um banco de dados, conforme leciona Correa Junior (2011). Os
ativos de informação podem ser divididos nas seguintes categorias:
Informações: toda e qualquer informação que a empresa possui,
digitalizada ou não.
Software: esse grupo de ativos contém todos os programas de
computador utilizados nos processos de acesso, leitura, transmissão e
armazenamento das informações de uma empresa.
Hardware: todos os elementos físicos que apresentam valor importante
para uma empresa no que diz respeito à informação, por exemplo,
computadores e servidores.
Organização: no grupo, estão incluídos os aspectos que compõem as
estruturas física e organizacional das empresas.
Usuários: engloba os indivíduos que lidam com as informações no seu
dia a dia de trabalho (BARRETO et al., 2018, p. 17).

20
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL

Agora que já definimos o que são os ativos de informação, vejamos como


ocorrem as proteções lógica, física e humana desses ativos.

3 ACESSO À INFORMAÇÃO
Para garantir a devida segurança das informações e dos ativos de TI,
temos que ter em mente que eles estão armazenados em algum lugar, e que esse
lugar precisa atender alguns requisitos para a garantia da segurança, itens que
podem até passar despercebidos, como paredes e portas.

Neste tópico, conheceremos maneiras de proteção dos ativos de informação


e como podemos desenvolver maneiras de restrição dos acessos físico, lógico e
humano.

3.1 CONTROLE FÍSICO


Além de garantimos a segurança e a qualidade das nossas informações,
é de suma importância garantir que nossos ativos estejam seguros. A segurança
física é fundamental ao pensarmos em proteção de informações e continuidade dos
negócios. O objetivo maior é impedir perdas, danos, furto, comprometimento de
ativos e a interrupção das atividades da organização. Para tanto, os equipamentos
necessitam de proteção contra ameaças físicas e do meio ambiente.

Como vimos nas definições apresentadas por Souza (2013) e Barreto et


al. (2018), todos os ativos possuem um certo valor e, dependendo desse valor,
além das ameaças e riscos a esses ativos, medidas específicas devem ser tomadas.
Segundo Baars, Hintzbergen e Hintzbergen (2018), devido à importância desses
ativos, medidas de segurança física precisam ser tomadas para proteger a
informação de incêndio, furto, vandalismo, sabotagem, acesso não autorizado,
acidentes e desastres naturais.

O objetivo, com esse tipo de proteção, segundo Baars, Hintzbergen e


Hintzbergen (2018), é dificultar o acesso das pessoas aos ativos que necessitam
ser protegidos. O anel externo representa a área em torno das instalações. No
nível em questão, a proteção se refere aos acessos que circundam as instalações,
por barreiras naturais e arquitetônicas, como vegetação densa ou um rio. Já as
barreiras arquitetônicas são aquelas que incluem cercas e muros. O acesso deve
ser permitido apenas para pessoas autorizadas, de modo que as barreiras sempre
empreguem uma verificação pessoal e/ou eletrônica.

21
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 7 – ANÉIS DE PROTEÇÃO

FONTE: Baars, Hintzbergen e Hintzbergen (2018, p. 107)

Para Baars, Hintzbergen e Hintzbergen (2018), o segundo nível se refere


ao prédio, onde o controle e o acesso às instalações devem acontecer, uma vez que
o anel externo, em alguns cenários, pode não acontecer. Devem existir algumas
maneiras de melhorar a segurança dos prédios, e tornar seguras as aberturas
nas instalações, como vidros resistentes, grades ou portas que não permitam
o arrombamento. Além dessas medidas estruturais mencionadas, medidas de
controle de entrada física podem ser adotadas.

Nesta etapa, pode ser aplicado, também, o gerenciamento do acesso


eletrônico. Medidas, como o acesso eletrônico, que inclui sistemas de cartão,
fechaduras de código e acesso por RFID (ou Tags), são muito utilizados.

DICAS

Leia mais sobre a técnica de RFID em https://www.filipeflop.com/blog/


controle-acesso-leitor-rfid-arduino/ e https://www.usinainfo.com.br/blog/projeto-arduino-
controle-de-acesso-rfid/.

22
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL

Além do RFID, existem outros tipos de controle de acesso que não podem
ser penetrados, e podem complementar a segurança física. Segundo Baars,
Hintzbergen e Hintzbergen (2018):

• No crachá de identificação, colocar uma foto, pois isso torna a cópia um pouco
mais difícil. Também ajuda a equipe de segurança a verificar se a credencial
pertence ao portador. Lembrando que esse crachá/credencial deve ser único,
ou seja, só deve ter um proprietário/usuário, caso contrário, não será possível
determinar quem acessou o edifício/sala.
• Outra prática é não colocar o nome da empresa ou logotipo na credencial, com
utilização em estilo neutro. Em caso de perda, se alguém encontrar a credencial,
seu propósito não deve estar óbvio.
• Deve-se criar a cultura, na empresa, do uso da credencial, e de forma visível.
Isso também deve se aplicar aos visitantes, para que a segurança e os
funcionários possam detectar e abordar qualquer pessoa que não esteja usando
uma credencial.
• Todas essas credenciais também devem exibir uma data de validade legível
para os humanos, ou seja, sem a necessidade de consulta em um sistema.

Além do gerenciamento do acesso, com cartões/credenciais, ele também


pode ser feito por biometria.

A biometria se refere a tecnologias que medem e analisam características


do corpo humano, como impressões digitais, retinas e íris dos olhos,
padrões de voz, padrões faciais e medidas das mãos, para propósitos
de autenticação. Características biométricas podem ser divididas em
duas classes principais: fisiológicas, que são relacionadas à forma do
corpo; e comportamentais, que são relacionadas ao comportamento
da pessoa (BAARS; HINTZBERGEN; HINTZBERGEN, 2018, p. 108).

DICAS

Veja as diferentes formas de biometria: https://sites.google.com/site/


admtopicosdeinformatica/biometria/tipos-de-biometria e https://www.gta.ufrj.br/
grad/08_1/bio-voz/HMM.html.

No próximo nível do anel de proteção está o local de trabalho, as salas


dentro das instalações, o conhecido “anel interno”. Na parte mais interna, chamado
objeto, é, efetivamente, o ativo que deve ser protegido. Medidas protetivas, como
apenas “esconder” esses locais, não são suficientes e nem eficientes. Nada adianta
realizar uma reunião de portas fechadas, sobre um assunto importante, e as
paredes da sala permitem ouvir o que acontece lá dentro. Ainda, se as paredes
são de vidro, e o planejamento está sendo apresentado em um quadro na parede
(BAARS; HINTZBERGEN; HINTZBERGEN, 2018).
23
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Vale ressaltar que cada espaço de trabalho deve ter sua função específica, e
a proteção necessária para garantia da segurança. Medidas protetivas, para evitar
as ameaças, devem ser tomadas, de acordo com a sensibilidade do ativo a ser
protegido, como a estrutura da sala dos servidores, que deve possuir estrutura
específica de construção e de refrigeração.

Silva (2009) destaca os aspectos que devem ser analisados para a prevenção
do acesso físico não autorizado, ocasionando danos e interferências prejudiciais
aos ativos. A lista das ameaças, que devem ser consideradas na proteção dos
ativos, é:

• Incêndios.
• Água (chuvas, enchentes).
• Atividades sísmicas (terremotos, erupções vulcânicas) e furacões.
• Sabotagens e vandalismos.
• Explosões.
• Materiais tóxicos.
• Quedas no fornecimento de energia, água e refrigeração.
• Desmoronamento de prédios.
• Falhas de equipamentos.
• Perdas pessoais (acidentes, doenças e acesso não autorizado).

3.2 SEGURANÇA LÓGICA


Após a explicação do que é a segurança física dos sistemas de informação,
de maneira bem genérica, podemos dizer que é tudo que não é físico, como as
informações são protegidas dentro de um sistema, seja através da criptografia de
arquivos, limitação, controle de acesso à internet, firewall etc.

Antes de mais nada, é preciso que haja uma convergência entre a segurança
física e a lógica. Nada adianta ter todos os arquivos protegidos em uma sala onde
qualquer um pode entrar, por exemplo.

Izquierdo (2017, s.p.) afirma que a proteção que ocorre na segurança lógica
é a que controla o acesso a aplicativos, “dados, sistemas operacionais, senhas
e arquivos de log por meio de firewalls de hardwares e softwares, criptografia,
antivírus, outras aplicações contra hackers e possíveis invasões às fontes internas
da empresa”.

A segurança lógica permite que o acesso às informações seja liberado


segundo as necessidades de uso de cada usuário, para realização das tarefas, com
a devida identificação com senha e login. Dessa maneira, evita-se que pessoas não
autorizadas, ou até mesmo funcionários, realizem funções que não sejam do seu
cargo (IZQUIERDO, 2017).

24
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL

A proteção da informação vem sendo um grande desafio para as empresas,


e exige investimento, não só de equipamentos e estruturas, mas de pessoal
treinado e atualizado com as novas tecnologias de segurança da informação que
surgem diariamente.

Estar atento aos riscos é o primeiro passo para a melhor segurança.


Os riscos que uma empresa pode correr, por não ter uma boa estrutura de
segurança lógica, são muitos. Podemos listar, por exemplo, o acesso de terceiros
a informações sigilosas, perdas de dados, falhas na rede causadas por fraudes
etc. Como consequências, temos a perda de confidencialidade, que acontece
quando há quebra de sigilo e informações restritas apenas a determinados
funcionários são vazadas; perda de integridade, que significa que uma pessoa
não autorizada consegue ter acesso e modificar algum dado importante; e a perda
de disponibilidade, quando pessoas autorizadas passam a não conseguir acessar
uma aplicação (IZQUIERDO, 2017).

DICAS

Já ouviu falar em sequestro de dados ou ransomware? Conheça um pouco


mais sobre o tema em https://www.security.unicamp.br/blog/99-ransomware-arquivos-
sequestrados/ e https://docs.microsoft.com/pt-br/windows/security/threat-protection/
intelligence/understanding-malware.

Malware é o termo utilizado para descrever aplicativos e códigos mal


intencionados. Esses programas podem causar sérios danos e interromper o uso
normal de dispositivos. Como características, um malware pode permitir acesso
não autorizado, usar recursos do sistema, roubar senhas, bloquear você do seu
computador, pedir um resgate e muito mais. Vale ressaltar que essa prática dos
criminosos cibernéticos, que distribuem malware, tem motivação financeira.
Utilizam computadores infectados como porta de entrada para iniciar ataques,
obter credenciais do banco, coletar informações que podem ser vendidas e vender
acesso a recursos de computação.

Os malwares podem ser classificados como mineradores de moedas


virtuais, explorações e kits de exploração, phishing, ransomware, rootkits, ataques
de cadeia de fornecedores, scams de suporte técnico, cavalos de Tróia, software
indesejado e worms.

25
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

DICAS

O objetivo do nosso livro são as políticas de segurança, por isso, para mais
informações sobre a classificação, acesse: https://docs.microsoft.com/pt-br/windows/
security/threat-protection/intelligence/understanding-malware.

Como percebemos, a segurança física e a lógica caminham de mãos dadas,


por isso, é necessário que haja uma convergência entre as duas áreas, a fim de
obter melhores resultados para a segurança da empresa.

3.3 CONVERGÊNCIA ENTRE A SEGURANÇA FÍSICA E A


LÓGICA
Ainda é comum que as empresas tratem desses assuntos separadamente,
porém, com a convergência dos dois departamentos, algumas ameaças podem
ser identificadas e controladas de forma mais rápida. Além da diminuição dos
riscos de segurança, há economia de tempo e dinheiro.

A integração também ajuda nas auditorias, já que é possível ter acesso


ao controle de todas as atividades que acontecem na empresa, melhorando as
investigações e o rastreamento de possíveis problemas. Os dois departamentos
trabalham pelo mesmo objetivo, ainda que de formas diferentes. Por isso, realizar
a convergência é reconhecer a importância de todos os seus componentes para
existirem soluções necessárias à segurança. Quando tudo acontece, a comunicação
entre departamentos diferentes melhora, e é possível que mais funcionários
participem da tomada de decisão (IZQUIERDO, 2017).

Zaniquelli (2010, s.p.) corrobora, e diz que as convergências física e lógica


nada mais são que a integração de ambas, e exemplifica: “imagine um cenário em
que tenhamos câmeras espalhadas pela empresa inteira, porém apenas as câmeras
são ineficientes para fins de investigação, ou seja, apenas exibem o que acontece
naquele momento, sem gravar nada”. Para resolver o problema, é fundamental a
convergência. É necessário começar a gravar e a armazenar os dados. Tudo que
for filmado deve ser armazenado em um computador com HD suficiente, uma
forma de convergir segurança física e lógica.

Outro exemplo pode ser dado em relação ao controle de acesso: imagine


que uma empresa possua catracas físicas, dessa forma, há controle físico da
entrada. O funcionário passa o crachá e entra. As formas de integração seriam
o registro e o armazenamento dos dados da entrada e saída do funcionário,
permitindo a rastreabilidade dos funcionários. Assim, consegue-se melhorar a

26
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL

eficiência da segurança. É possível entregar uma credencial a um funcionário e,


com essa credencial, ele pode acessar as áreas e sistemas que foram vinculados
a ele. Pode-se verificar as áreas que esse funcionário passou, seus horários de
acesso e tentativas de acesso não autorizadas (ZANIQUELLI, 2010).

Zaniquelli (2010) reforça que os criminosos estão sempre bem atualizados


e conseguem utilizar novos meios para roubar informações das empresas. Muitas
vezes, os criminosos utilizam meios lógicos, como roubo de um computador,
para, posteriormente, roubar os dados lógicos.

A convergência, segundo Zaniquelli (2010), deve estar integrada com os


processos da empresa, para facilitar a administração deles, pessoas e sistemas
de TI. Ela também ajuda a dificultar ataques e, ao mesmo tempo, auxiliar na
detecção, correção e prevenção:

• Política de Segurança da Informação.


• Provisionamento de usuário e ativos.
• Monitoramento e auditoria.
• Resposta a incidentes.
• Plano de continuidade de negócios.

Como vimos até agora, não basta ter várias camadas de segurança se elas
não interagirem entre si, por isso, são os seres humanos que, efetivamente, dão
garantia de sucesso ou fracasso nas seguranças física e lógica.

3.4 COMPONENTE HUMANO


Quando falamos em componente humano, estamos nos referindo
aos riscos que, consciente ou inconscientemente, podem afetar os ativos de
informação. Nesta etapa, são consideradas todas as pessoas que possuem acesso
às informações. No grupo, estão incluídos desde quem dá manutenção até aos
que simplesmente utilizam (SILVA NETTO; SILVEIRA, 2007). Para Silva Netto
e Silveira (2007), é uma etapa da segurança da informação que merece muita
atenção e a mais difícil de ser avaliada, pois envolve pessoas com características
individuais.

Dentre os problemas já mencionados, em relação à individualidade dos


que interagem com a informação, outro ponto é a engenharia social. Ela busca
explorar a falta de consciência sobre segurança dentro de uma organização. Para
conseguir o que quer, o criminoso que utiliza a técnica usa expressões corretas
ou nomes de pessoas conhecidas e seus departamentos, enganando ou dando
a impressão de que é um colega. Com essa técnica, um engenheiro social tira
proveito dos pontos fracos das pessoas para concretizar seus objetivos. Como
pontos de sucesso da técnica, podemos citar que grande parte das pessoas
desconhece o conceito de engenharia social e não reconhece um engenheiro da
área.

27
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

DICAS

Conheça um pouco mais o tema e como ele é aplicado em https://www.


kaspersky.com.br/resource-center/threats/malware-social-engineering.

Uma maneira de acesso indevido das informações é devido à forma


incorreta de descarte.

3.5 CICLO DE VIDA DA INFORMAÇÃO


Quando falamos de ativos de informação, temos que ter em mente todo o
processo, desde a obtenção até o descarte. Esse processo é composto por criação,
obtenção, tratamento, distribuição, uso, armazenamento e descarte. Assim,
podemos dizer que essas etapas são a espinha dorsal da informação, segundo
Lyra (2015).

A etapa de identificação das necessidades e dos requisitos é chamada de


criação. São identificadas as necessidades de informação dos grupos e indivíduos
que integram a organização e seus públicos externos (LYRA, 2015)

A etapa seguinte é a obtenção, na qual são desenvolvidos procedimentos


para captura e recepção da informação, esta que pode ser proveniente de
uma fonte externa, de qualquer mídia ou formato. Ainda, é preciso garantir
que a informação seja genuína e que foi produzida por pessoas ou entidades
autorizadas, está completa e compatível com os requisitos apontados na etapa
anterior (LYRA, 2015).

Na etapa do tratamento, é o momento de deixar a informação ser


aproveitada. Segundo Lyra (2015, p. 20), “é comum que a informação precise
passar por processos de organização, formatação, estruturação, classificação,
análise, síntese, apresentação e reprodução, com o propósito de torná-la mais
acessível, organizada e fácil de localizar pelos usuários”.

A garantia da integridade deve ser observada, especialmente, se


estiverem envolvidas técnicas de adequação do estilo, adaptação de linguagem,
contextualização, condensação da informação etc. Ainda nesta etapa, Lyra (2015,
p. 20) adverte:

28
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL

O uso dessas técnicas deve levar em conta a preservação das


características de quantidade e qualidade necessárias para que a
informação efetivamente sirva. No caso das atividades de reprodução
da informação para posterior distribuição, as questões relacionadas à
preservação da confidencialidade podem adquirir grande relevância,
uma vez que a existência de diversas cópias de uma mesma informação,
qualquer que seja a mídia utilizada (computador, papel, disquete, fita
de áudio ou vídeo etc.), amplia os problemas de restrição de acesso aos
usuários devidamente autorizados.

A etapa de distribuição, como o nome já informa, consiste em levar a


informação até seus consumidores. Deve-se garantir que a informação certa seja
entregue a quem necessita dela para a tomada de decisão (LYRA, 2015).

Na etapa do uso, os princípios de integridade e disponibilidade devem


receber cuidado específico, pois se a informação estiver corrompida, difícil de
localizar ou indisponível, pode atrasar os processos decisórios e operacionais da
organização (LYRA, 2015).

A etapa de armazenamento é o momento em que a informação é


armazenada, seja em um banco de dados compartilhado, em uma anotação de
papel para, posteriormente, ser registrada ou, ainda, em uma mídia guardada em
uma gaveta (LYRA, 2015).

A etapa do descarte é o momento em que o ativo de informação perde seu


uso, podendo cair em mãos erradas. Lyra (2015, p. 23) afirma:

Quando uma informação se torna obsoleta ou perde a utilização


para a organização, ela deve ser objeto de processos de descarte que
obedeçam a normas legais, políticas operacionais e exigências internas.
Excluir, dos repositórios de informação corporativos, os dados e as
informações inúteis melhoram o processo de gestão da informação
de diversas formas: economizando recursos de armazenamento,
aumentando a rapidez e eficiência na localização da informação
necessária, melhorando a visibilidade dos recursos informacionais
importantes etc. Entretanto, o descarte de dados e informação precisa
ser realizado dentro de condições de segurança, principalmente no
que tange ao aspecto da confidencialidade e, em menor grau, também
de disponibilidade. No que tange à confidencialidade, o descarte de
documentos e mídias que contenham dados de caráter sigiloso precisa
ser realizado com observância de critérios rígidos de destruição segura
(por exemplo, uso de máquinas fragmentadoras para documentos em
papel, ou de softwares destinados a apagar, com segurança, arquivos
de um microcomputador que, se simplesmente excluídos do sistema,
poderiam ser facilmente recuperados com o uso de ferramentas de
restauração de dados).

Vejamos um resumo do ciclo de vida da informação:

29
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

QUADRO 1 – CICLO DE VIDA DA INFORMAÇÃO

FONTE: Armstrong et al. (2019, p. 590)

Vale reforçar que cada empresa deve definir políticas de descarte de


informação, pois caso isso não seja realizado, pode haver uso indevido. Veja o
exemplo apresentado por Fontes (2006, p. 17):

Disputa entre academias de ginástica chega à Justiça


A concorrência acirrada entre as academias de ginástica de São Paulo
chegou à Justiça. A Companhia Athletica está processando a academia
Reebok por suposto roubo de mala direta, o que caracteriza crime de
concorrência desleal. Como parte do inquérito policial aberto pela
Polícia Civil de São Paulo, o Instituto de Criminalística da Secretaria
de Segurança Pública do Estado elaborou um laudo comprovando que
a maioria dos nomes de clientes da Cia. Athletica consta ‘de forma
idêntica’ no arquivo da Reebok apreendido pela polícia. A briga
começou quando a Reebok inaugurou sua unidade na Vila Olimpia,
cerca de 500 metros da Cia. Athletica do Brooklin. Vários clientes da
Cia. Athletica reclamaram do fato de terem recebido correspondência
da concorrente e queriam saber se a academia teria vendido seus
dados cadastrais.

Fontes (2006) alerta que toda informação tem um valor para a organização
e, por isso, deve haver cuidado em todas as etapas. Para uma empresa que
presta serviço, o cadastro de clientes tem muito valor e deve ser protegido
adequadamente. Por ingenuidade, talvez, muitas vezes, a organização só se
preocupa com invasões mirabolantes, e acaba pecando com pequenas coisas,
como uma listagem de clientes jogada no lixo ou venda de equipamento/mídia de
armazenamento sem a devida destruição da informação anteriormente gravada.

Na próxima unidade, veremos um pouco mais sobre os riscos, ameaças e


vulnerabilidades dos ativos de informação.

30
RESUMO DO TÓPICO 2

Neste tópico, você aprendeu que:

• Os ativos de informação precisam de certos cuidados para serem acessados.

• Deve-se conhecer como os ativos estão armazenados.

• A segurança lógica merece muita importância.

• Não há como desassociar a convergência entre as seguranças física e lógica.

• O componente humano é fundamental para a garantia da segurança da


informação.

• As etapas do ciclo de vida da informação devem ser observadas, inclusive


quando ela perde utilidade.

31
AUTOATIVIDADE

1 Você é funcionário de uma grande empresa e, no meio do expediente, recebe


uma ligação de uma pessoa alegando ser do departamento de suporte e que
estão precisando fazer uma atualização no sistema. A pessoa pergunta a
sua senha, pois precisa fazer a conexão remota. Que tipo de ameaça é essa?

a) ( ) Ameaça natural, pois é natural esse tipo de chamada.


b) ( ) Engenharia social, pois um funcionário do departamento de suporte
nunca pergunta a sua senha.
c) ( ) Ameaça social, pois acaba com a confiança na empresa.
d) ( ) Ameaça organizacional, pois as organizações usam o procedimento.

2 Na segurança física, utilizamos maneiras de proteger os equipamentos


e informações contra agentes mal intencionados, ou usuários que não
possuem autorização. Uma forma de resolver, de maneira simples, é
implantar recursos de identificação de funcionários, como crachás, senhas
e cadastro de digitais. Podem ser aplicadas várias zonas de expansão (anéis
de proteção), em que podem ser tomadas diferentes medidas. O que não é
um anel de proteção?

a) ( ) Um prédio.
b) ( ) Um anel intermediário.
c) ( ) Um objeto.
d) ( ) Um anel externo.

3 Ao analisar a estrutura de segurança de uma empresa, percebe-se que a sala


de computadores é protegida por um leitor de dispositivos de acesso, e que
somente os funcionários do departamento de gestão de sistemas possuem
um dispositivo de acesso. Que tipo de medida de segurança é essa?

a) ( ) Uma medida de segurança física.


b) ( ) Uma medida de segurança corretiva.
c) ( ) Uma medida de segurança lógica.
d) ( ) Uma medida de segurança repressiva.

32
TÓPICO 3 —
UNIDADE 1

VULNERABILIDADES, AMEAÇAS E RISCOS

1 INTRODUÇÃO
Santos (2018) afirma que uma empresa só é capaz de resolver, rapidamente
e de maneira assertiva, as ameaças, quando possui conhecimento total sobre seu
negócio, e consegue responder: Que vulnerabilidades possuo? A que ameaças
estou suscetível? Quais agentes estão envolvidos? Quais são os impactos históricos
e possíveis da exploração dessas ameaças?

Para que possamos desenvolver políticas e controlar nossos ativos, é de


suma importância saber o que pode nos atingir. Por isso, precisamos conhecer
nossas vulnerabilidades, o que nos ameaça e a que riscos estamos expostos.

2 ABORDAGEM
Exemplificando um pouco melhor esses termos, Santos (2018) menciona
que vulnerabilidade também pode ser chamada de falha ou fraqueza, por exemplo,
uma parede rachada; dentro de uma rede, podemos encontrar uma “rachadura”
ou falha; em um design mal planejado; implementação mal realizada; ou até
em controles internos de um sistema mal desenvolvido, levando a rede a abrir
pequenas falhas na política de segurança.

Vulnerabilidades (internas) podem ser tratadas. Fraquezas podem ser


identificadas e, até mesmo, eliminadas, com a aplicação de ações proativas para
correção das vulnerabilidades.

Ameaça é a possibilidade de um agente, interno ou externo, explorar


acidentalmente ou propositalmente uma vulnerabilidade específica.

Ameaças (externas) normalmente não podem ser controladas. É impossível


impedir uma inundação, um homem-bomba ou uma greve em andamento.
Ameaças podem ser identificadas, mas, geralmente, estão fora do nosso controle.

O risco define o que está em jogo na sua organização em termos de bens


econômicos, sejam físicos ou lógicos. É a fonte de ameaça que explora uma
vulnerabilidade, levando um impacto para o funcionamento de uma organização,
como mal funcionamento, roubo de informações etc.

33
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Riscos (externos e/ou internos) podem ser minimizados (ou mitigados).


Riscos podem ser gerenciados em relação às vulnerabilidades ou impactos.
Perallis Channel (2019) apresenta um resumo dos termos, e relembra o que são
os ativos.

Se a empresa estiver bem protegida, ela corre menos risco, e as ameaças


não impactam tanto os negócios. Contudo, se a vulnerabilidade for ignorada e
não for tratada, e os invasores encontrarem uma brecha, com certeza, surge um
impacto muito negativo nos negócios.

FIGURA 8 – VULNERABILIDADE, AMEAÇA, RISCOS

FONTE: Perallis Channel (2019, s.p.)

Com base nos conceitos, vejamos como eles impactam na segurança da


sua informação, e o porquê da necessidade de criarmos políticas de segurança. A
partir do momento em que conhecemos nossas vulnerabilidades, podemos nos
preparar para possíveis riscos e gerenciá-los.

Como poderemos observar a seguir, os ativos de informação possuem


valor para a empresa, por esse motivo, eles despertam interesse de pessoal mal
intencionado, que busca pontos vulneráveis, na segurança da informação, para
poder fazer ameaças e obter lucro.

34
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS

FIGURA 9 – FLUXO DAS VULNERABILIDADES

FONTE: O autor

Por isso, a necessidade de a empresa possuir políticas e requisitos de


segurança, para garantia da sua existência. Detalharemos, um pouco mais, esses
termos.

3 VULNERABILIDADES
Começaremos pela vulnerabilidade. Ela está intimamente ligada ao ponto
fraco de um ativo, em outras palavras, pode ser entendida como uma fragilidade.
É um erro no procedimento (no caso de sistemas), falha de um agente ou má
configuração dos aplicativos de segurança. Lembrando que ela pode acontecer
de maneira não proposital ou proposital e, como consequência, gerar uma
informação não confiável. Quando isso ocorre, temos um “rompimento” de um
ou mais princípios da segurança da informação (LYRA, 2015).

Físicas – Instalações prediais fora do padrão, salas de CPD mal


planejadas, falta de extintores, detectores de fumaça e de outros
recursos para combate a incêndio em sala com armários e fichários
estratégicos, risco de explosões, vazamento ou incêndio.
Naturais – Computadores são suscetíveis a desastres naturais, como
incêndios, enchentes, terremotos, tempestades etc., como falta de
energia, acúmulo de poeira, aumento da umidade e da temperatura
etc.
Hardware – Falha nos recursos tecnológicos (desgaste, obsolescência,
má utilização) ou erros durante a instalação.
Software – Erros na instalação ou na configuração podem acarretar
acessos indevidos, vazamento de informações, perda de dados ou
indisponibilidade do recurso, quando necessário.
Mídias – Discos, fitas, relatórios e impressos podem ser perdidos ou
danificados. A radiação eletromagnética pode afetar diversos tipos de
mídias magnéticas.

35
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Comunicação – Acessos não autorizados ou perda da comunicação.


Humanas – Falta de treinamento, compartilhamento de informações
confidenciais, não execução de rotinas de segurança, erros ou
omissões, ameaça de bomba, sabotagens, distúrbios civis, greves,
vandalismo, roubo, destruição da propriedade ou dados, invasões ou
guerras (LYRA, 2015, p. 14).

Tendo conhecimento das vulnerabilidades, o próximo passo é conhecer


a quais ameaças estamos expostos. Imagine sua empresa: a quais ameaças está
exposta? Baars, Hintzbergen e Hintzbergen (2018) exemplificam que pode haver
um serviço rodando em um servidor, aplicações ou sistemas operacionais que
não estão atualizados, acesso irrestrito para entrada de chamadas no modem,
uma porta aberta no firewall, não configurada etc., ainda, segurança física fraca,
que não faça limitação e controle de acesso, e permita que qualquer pessoa entre
em uma sala de servidores. Outra vulnerabilidade pode ser a não aplicação de
controle de senhas em servidores e estações de trabalho.

4 AMEAÇAS
No começo do nosso livro, definimos os objetivos da segurança para
garantir a confidencialidade, integridade e disponibilidade, que são os pilares da
segurança da informação. Contudo, para a garantia, devemos estar cientes de que
estamos expostos a ameaças. Como posso garantir a integridade de um dado, por
exemplo, se não sei a quais ameaças ele corre?

Como já definido, há a ameaça e a expectativa de acontecimentos, sejam


eles acidentais ou propositais, que foram gerados por um agente, que pode afetar
um ambiente, sistema ou ativo de informação. No contexto em questão, agentes
podem ser pessoas, eventos, meio ambiente, sistemas etc. (LYRA, 2015).

Ainda com relação à classificação dos agentes, Baars, Hintzbergen e


Hintzbergen (2018) afirmam que a entidade que busca vantagem em cima de uma
vulnerabilidade é chamada de agente ameaçador. Esse agente ameaçador pode
ser um invasor, que está acessando a rede através de uma porta no firewall, ou
que acessa dados de uma forma que viole a política de segurança, um funcionário
cometendo um erro não intencional que pode expor informações confidenciais
ou destruir a integridade de um arquivo. O agente, como já mencionamos,
ainda, pode ser o meio ambiente, como um tornado destruindo uma instalação.
Vale ressaltar que as ameaças diferem em cada país, dependendo do nível de
desenvolvimento e do uso da internet. No contexto atual, falamos, muitas vezes,
em organizações, mas a segurança da informação é importante para governos,
universidades, militares, saúde etc. Terrorismo e guerras também são ameaças à
segurança.

Para melhor contextualização, exemplificaremos ameaças acidentais, como


uma falha de hardware, desastres naturais, erros de programação etc., diferentes
de uma ameaça proposital, como roubo, invasão, fraude etc. No que tange às

36
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS

ameaças propositais, podem ser passivas ou ativas, como podemos observar pela
explicação de Lyra (2015, p. 15): “Ativas: Envolvem alteração de dados. Passivas:
Envolvem invasão e/ou monitoramento, mas sem alteração de informações”.

Lyra (2015, p. 15) também classifica as ameaças quanto à intencionalidade,


assumindo que podem ser divididas em três grupos:

• Naturais: ameaças decorrentes de fenômenos da natureza.


• Involuntárias: ameaças inconsistentes, quase sempre causadas pelo
desconhecimento.
• Voluntárias: ameaças propositais causadas por agentes humanos,
como hackers, invasores, espiões, ladrões, criadores e disseminadores
de vírus de computador, incendiários.

5 RISCO
Um risco é a possibilidade de um agente ameaçador tirar vantagem em
cima de uma vulnerabilidade, além do correspondente impacto nos negócios. Por
exemplo, se um firewall não é configurado corretamente e tem diversas portas
abertas, existe uma grande probabilidade de um invasor usar uma delas para
acessar a rede de forma não autorizada. Com relação às equipes, os riscos podem
aparecer se os usuários não forem treinados com processos e procedimentos.
Consequentemente, há grande chance de um funcionário cometer um erro,
intencional ou não, que possa destruir dados. Tratando-se das redes, se um
sistema de detecção de intrusão não for implementado, a possibilidade de um
ataque não ser percebido é maior e, quando finalmente acontecer, pode ser que
seja tarde demais.

Estamos constantemente expostos aos riscos, pois amarram a


vulnerabilidade, a ameaça e a probabilidade de exploração ao impacto resultante
dos negócios. Na prática, um incêndio pode surgir na empresa, um funcionário que
não trabalha no departamento de RH pode obter acesso a informações sensíveis
ou privadas, alguém aparece como um funcionário e tenta obter informação,
sua empresa é atingida por uma falha de energia, ou um hacker consegue obter
acesso à rede de TI, por exemplo.

Até o momento, vimos que todos estamos vulneráveis, as ameaças a que


estamos expostos e que riscos corremos. Nesta etapa, veremos o ataque.

6 ATAQUE
Um ataque, segundo Lyra (2015), é um evento que ocorre em decorrência
da exploração de uma vulnerabilidade por uma ameaça, em outras palavras, um
ataque representa a concretização de uma ameaça.

37
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Pode ter, como focos, diferentes princípios de segurança, como a


invasão de uma rede corporativa, deixando-a inoperante. No caso, o princípio
da disponibilidade é violado, visto que a informação requerida pelo usuário
provavelmente não pode ser acessada (não está disponível). Contudo, se o agente,
ainda, adulterar um arquivo, logo, além da quebra da disponibilidade, acaba de
praticar a quebra da integridade (LYRA, 2015)

Para Lyra (2015), os ataques podem ser divididos em dois grupos: passivos
e ativos. Os ataques passivos são os que não interferem no conteúdo do recurso
que foi atacado, ou seja, o agente teve apenas a observação e o conhecimento de
informações armazenadas nos sistemas institucionais ou análise de tráfego de
uma rede. Já no ataque ativo, os danos são maiores, pois prejudicam diretamente o
conteúdo do recurso atacado, modificando e eliminando informações ou gerando
informações falsas.

7 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO


Um incidente de segurança da informação é caracterizado por um único
ou uma série de eventos de segurança, indesejáveis ou inesperados, que têm uma
probabilidade significativa de comprometer a operação dos negócios. Ainda,
ameaçam a segurança da informação.

Em outras palavras, Lyra (2015, p. 16) descreve “eventos de segurança


indesejados que violem algum dos principais aspectos da segurança da informação
(confiabilidade, integridade, disponibilidade etc.)”. Podemos exemplificar
esses incidentes de segurança, como a perda da integridade de informações e a
divulgação de informações indevidas. Como já mencionado, desastres causados
por fenômenos da natureza, como incêndios, inundações, quedas de energia,
greves, invasões por hackers, defeito em equipamentos etc.

7.1 PROBABILIDADE E IMPACTO


Se perguntassem a você: qual a probabilidade de você sair de casa, ou
quais os impactos dessa ação? Você saberia mensurar? Por isso, a importância
de conseguirmos mensurar como os ativos são impactados e a probabilidade.
A probabilidade, vulnerabilidade e ameaças estão fortemente ligadas. Podemos
dizer que a probabilidade trata das “chances” de uma vulnerabilidade se tornar
uma ameaça (LYRA, 2015).

Para Lyra (2015), a probabilidade é a possibilidade de uma falha de


segurança acontecer, observando-se o grau de vulnerabilidade encontrado nos
ativos e as ameaças que venham a influenciá-lo. Possivelmente, um ativo possui
várias vulnerabilidades que não representem ameaças. No entanto, é possível
que todas essas vulnerabilidades se tornem ameaças.

38
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS

Já se tratando de impacto, diferentemente da probabilidade, Lyra (2015)


afirma que este ocorre após o incidente, ou seja, um incidente de segurança
da informação pode ou não causar um impacto nos processos/negócios da
organização. Segundo Lyra (2015, p. 17):

O impacto de um incidente de segurança é medido pelas


consequências que possa causar aos processos de negócios suportados
pelo ativo em questão. Os ativos possuem valores diferentes, pois
suportam informações com relevâncias diferentes para o negócio da
organização. Quanto maior for o valor do ativo, maior será o impacto
de um eventual incidente que possa ocorrer.

As consequências desses impactos podem ser classificadas de acordo com o


impacto na organização, a curto ou a longo prazo. Lyra (2015, p. 18) caracteriza como:

0. Impacto irrelevante
1. Efeito pouco significativo, sem afetar a maioria dos processos de
negócios da instituição.
2. Sistemas não disponíveis por um determinado período de tempo,
podendo causar perda de credibilidade aos clientes e pequenas perdas
financeiras.
3. Perdas financeiras de maior vulto e perda de clientes para a
concorrência.
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da
instituição.
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição.

Vejamos o fluxo proposto por Lyra (2015), no qual podemos observar


como os ativos de informação são impactados quando não são tomadas as devidas
providências com as vulnerabilidades.

39
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 10 – RELACIONAMENTO ENTRE CARACTERÍSTICAS

FONTE: Lyra (2015, p. 18)

Para evitar que nossos ativos sejam impactados, e os impactos sejam


minimizados, devemos criar políticas bem definidas. O assunto será abordado na
próxima unidade de estudos.

40
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS

LEITURA COMPLEMENTAR

Segurança física dos ativos: conhecendo a Norma ISO 27002

Este artigo discorre sobre a segurança física dos ativos. Para isso, tem
seu foco direcionado para a explicação da norma ISO 27002. Essa norma tem,
como objetivo, auxiliar a implantação, a manutenção e a melhoria contínua dos
controles de segurança da informação, padronizando diretrizes e procedimentos
que auxiliarão a organização na sua gestão.

A Norma ISO 27002 possui 133 controles, divididos em 11 seções, que


abrangem a segurança da informação em todos os seus aspectos, tratando de
ferramentas, processos e pessoas.

Controle de Segurança da Informação

Nunca se falou tanto em Segurança da Informação como no último ano.


Foram diversos eventos, artigos, reportagens, palestras que contribuíram para o
fortalecimento do setor. Porém, no dia a dia das empresas, ainda há muito o que
se fazer, principalmente no âmbito das pequenas e médias empresas (PMEs), que
ainda possuem grandes dificuldades em adotar requisitos básicos de segurança,
sobretudo, na infraestrutura que suporta o negócio.

Enxergar o departamento de TI como uma área que suporta toda


a operação relacionada ao negócio da empresa ainda é algo raro no meio
empresarial das PMEs. Se há investimentos em equipamentos e sistemas básicos
para o funcionamento da rede, é de se esperar que não haja qualquer melhoria
em questões de segurança. Parte da causa do problema, em muitos casos, é do
próprio gestor do departamento de TI, que, por ter uma formação puramente
técnica, acaba tendo dificuldades em apresentar argumentos na hora de buscar
investimentos para sua área.

Em outros casos, os argumentos são mesmo difíceis de mensurar,


principalmente investimentos em segurança que, muitas vezes, só têm um retorno
tangível para o empresário quando ele percebe que a ocorrência de uma falha
não paralisou suas atividades. Outros tipos de investimentos só serão notados ao
longo do tempo, por não se tratar de um produto físico, mas de uma mudança
cultural, que envolve treinamento e conscientização de todo o time. Contudo,
no que se diz respeito à segurança da infraestrutura, há diversos investimentos
que podemos dizer que são um pouco mais “fáceis” de justificar, desde que os
argumentos mostrem um ganho ao negócio. É o que chamamos de Entrega de
Valor ao Cliente.

Quando falamos de segurança de uma infraestrutura de rede, pensamos


em datacenters robustos, verdadeiras salas-cofre, rede elétrica estabilizada com
potentes no-breaks e geradores de grande porte, além de robôs automatizados

41
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

de backup. Contudo, se avaliarmos, de forma mais detalhada, veremos que há


outras inúmeras ações a serem estudadas para a garantia de um nível adequado
de segurança da infraestrutura da rede. Todas as ações estão organizadas na
Norma ABNT NBR ISO/IEC 27002:2005 – Código de Prática para a Gestão de
Segurança da Informação.

A norma tem, como objetivo, auxiliar a implantação, a manutenção e a


melhoria contínua dos controles de segurança da informação, padronizando
diretrizes e procedimentos que auxiliarão a organização na sua gestão. A Norma
ISO 27002 possui 133 controles, divididos em 11 seções, que abrangem a segurança
da informação em todos os seus aspectos, tratando de ferramentas, processos e
pessoas.

Além da proteção física dos ativos, a norma apresenta uma série de


recomendações que visam proteger a informação em três fundamentais aspectos:

Confidencialidade: Este aspecto da informação visa garantir que somente


as pessoas previamente autorizadas tenham acesso à informação. No caso, por
exemplo, utilizamos sistemas com contas de acesso exclusivas, senhas individuais
e softwares de criptografia para proteger o acesso e a comunicação dos dados.

Integridade: Garantir que a informação permaneça autêntica e que, se


for alterada, seja somente por pessoas autorizadas. A integridade é importante
principalmente para garantir a autenticidade de informações disponibilizadas
publicamente. Tal tipo de informação deve ser preservado para que ninguém
altere o conteúdo ou autor.

Disponibilidade: Garantir que a informação esteja disponível sempre


que for necessário para as pessoas autorizadas. Para atingir o objetivo é que
utilizamos sistemas de backup, links redundantes e servidores de contingência,
por exemplo.

Não necessariamente, uma informação deve possuir esses três aspectos


para garantir proteção. De acordo com a classificação da informação é que
o proprietário poderá definir o nível adequado de segurança. Para garantir
esses três fundamentais aspectos da segurança da informação, a Norma ISO
27002 abrange, em suas 11 seções, uma série de ações que envolvem soluções
tecnológicas, documentação de processos e conscientização de pessoas. A seguir,
temos um resumo da Norma:

Política da Segurança da Informação: Prover uma orientação e apoio da


direção para a segurança da informação de acordo com os requisitos do negócio
e com as leis e regulamentações pertinentes.

Organizando a Segurança da Informação: Estrutura de gerenciamento para


iniciar e controlar a implementação da segurança da informação na organização.

42
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS

Gestão de Ativos: Alcançar e manter a proteção adequada dos ativos da


organização.

Segurança em Recursos Humanos: Assegurar que os funcionários,


fornecedores e terceiros entendam suas responsabilidades e estejam de acordo
com os seus papéis. Ainda, reduzir o risco de furto, roubo, fraude ou mal uso de
recursos.

Segurança Física e do Ambiente: Prevenir o acesso físico não autorizado,


danos e interferências com as instalações e informações da organização.

Gestão das Operações e Comunicações: Garantir a operação segura e


correta dos recursos de processamento da informação.

Controle de Acesso: Controlar o acesso à informação com base nos


requisitos de negócio e segurança da informação.

Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação:


Garantir que a segurança seja parte integrante dos sistemas da informação.

Gestão de Incidentes de Segurança da Informação: Assegurar que


fragilidades e eventos de segurança da informação, associados aos sistemas de
informação, sejam comunicados, permitindo a tomada de ação em tempo hábil.

Gestão da Continuidade do Negócio: Não permitirá interrupção das


atividades dos negócios. É preciso proteger os processos críticos contra falhas ou
desastres significativos, além de assegurar a retomada em tempo hábil.

Conformidade: Adequar os requisitos de segurança para não permitir a


violação de regulamentações ou leis estabelecidas, além de obrigações contratuais.

Nas 11 seções da Norma, temos uma que trata exclusivamente da


segurança física para proteção da informação, tema central deste artigo. A seção
possui 13 itens de controle para serem aplicados de acordo com a necessidade de
cada organização. Eles estão distribuídos da seguinte forma:

1. Segurança Física e do Ambiente

1.1 Áreas seguras


1.1.1 Perímetro de segurança física.

1.1.2 Controles de entrada física.

1.1.3 Segurança em escritórios, salas e instalações.

1.1.4 Proteção contra ameaças externas e do meio ambiente.

43
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

1.1.5 O trabalho em áreas seguras.

1.1.6 Acesso do público, áreas de entrega e de carregamento.

1.2 Segurança de equipamentos

1.2.1 Instalação e proteção do equipamento.

1.2.2 Utilidades.
1.2.3 Segurança do cabeamento.

1.2.4 Manutenção dos equipamentos.

1.2.5 Segurança de equipamentos fora das dependências da organização.

1.2.6 Reutilização e alienação segura de equipamentos.

1.2.7 Remoção de propriedade.

Com base nesses controles, serão apresentadas algumas sugestões de


como sua organização pode elevar o nível de segurança.

A implementação dos controles da seção 1 Segurança física e do ambiente


traz mais do que uma proteção para a informação. Esses controles contribuem
para a proteção dos ativos que representam valor para a organização, incluindo
equipamentos e recursos humanos. Com essa visão, já começamos a mudar
o ponto de vista, antes voltado apenas para o departamento de TI, mas agora
abrindo o horizonte para mostrar os benefícios da organização, incluindo o bem-
estar das pessoas.

2. Áreas Seguras

Em todas as organizações, existem áreas em que é permitida a circulação


livre de pessoas e materiais. Por outro lado, há também áreas restritas, onde a
circulação de pessoas e materiais deve ser controlada para preservar algo de valor
para a organização ou para garantir a segurança das pessoas.

Para implementar uma ou mais áreas seguras na organização, é necessário


identificar quais ativos deseja-se proteger e por quais razões, garantindo a proteção
adequada ao valor do ativo. Não faz sentido construir um muro alto de concreto
com cerca elétrica para proteger um barraco simples de madeira. Também não
adianta nada comprar um palácio decorado com ouro e não querer protegê-lo
com muros para não ofuscar sua beleza. Com essas informações bem definidas,
pode-se começar a adotar os controles necessários discutidos na sequência.

44
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS

3. Perímetro de Segurança Física

O perímetro de segurança física é um delimitador, uma barreira que


tem, como objetivo, controlar, restringir ou impedir o acesso a determinado
local ou determinado objeto. Em uma organização, encontramos (ou deveríamos
encontrar) uma combinação de barreiras para limitar o acesso a determinados
pontos.

As barreiras podem ser físicas ou combinadas com recursos lógicos.


Exemplos de barreiras puramente físicas são: portarias, recepções, cercas, muros
e catracas comuns. No caso de barreiras com recursos lógicos empregados,
temos, como exemplos, portas ou catracas com fechaduras eletrônicas abertas
por crachás, senhas ou leitor biométrico, muito usado atualmente. Alarmes e
Circuitos Internos de TV (CFTV) também são considerados barreiras que auxiliam
na proteção do ambiente. Esses recursos, em sua maioria, já são utilizados nas
organizações, mas, muitas vezes, falta uma administração correta. Inúmeras
vezes conseguimos entrar sem a devida identificação em empresas que possuíam
portarias e recepções bem equipadas, mas com pessoas mal treinadas. Bastava
um pouco de conversa e o acesso era liberado.

4. Controles de Entrada Física

Além dos perímetros, para criar barreiras que dificultem o acesso à


organização e que protejam os ativos em geral, incluindo as pessoas, é necessário
um cuidado maior com os locais identificados como áreas seguras. Nesses locais,
o acesso só pode ser realizado por meio de credenciais que possam validar a
presença da pessoa no ambiente, como o uso de crachás magnéticos, cartões
eletrônicos ou senhas para fechaduras de portas e catracas eletrônicas.

Atualmente, vem se destacando, no setor, o uso da biometria. Além


desses recursos tecnológicos, a adoção de procedimentos por parte de todos
os funcionários da organização é fundamental. Todos devem estar cientes das
suas responsabilidades, como manter, sempre visível, sua identificação, e exigir,
dos visitantes, o mesmo, sejam eles clientes ou fornecedores. Todos os visitantes
devem ser identificados em uma recepção, onde seus dados serão registrados e
armazenados para eventuais consultas. Os visitantes devem ser supervisionados
ou acompanhados por alguém responsável na organização.

5. Segurança em Escritórios, Salas e Instalações

Com a descentralização das informações, que antes ficavam nos mainframes


dos antigos CPD, se hoje se encontram fragmentadas em toda a rede, ficou difícil
estabelecer limites físicos para proteger os ativos, especialmente nos dias atuais,
em que a mobilidade virou requisito obrigatório em qualquer tipo de negócio.
Portanto, determinado tipo de controle só tem validade quando combinado com
outros controles que previnem o acesso da informação fora das áreas seguras.

45
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

De qualquer forma, ainda há diversos ambientes de trabalho com


equipamentos fixos (desktops, impressoras, copiadoras, faxes, pen drives) e
onde a informação a ser protegida não está apenas no formato digital, mas em
formato impresso também. Pensando nisso, a organização deve proteger o acesso
a esses ambientes para evitar furto, roubo de ativos ou acesso às informações
importantes. O uso de armários com fechaduras, política de mesa limpa, para
não deixar documentos expostos, e bloqueio para evitar o acesso não autorizado
aos sistemas da empresa durante a ausência do usuário são alguns exemplos de
recursos que podem ser utilizados.

6. Proteção Contra Ameaças Externas e do Meio Ambiente

Toda a organização deve mapear a quais ameaças externas e do meio


ambiente ela está exposta, de acordo com as características da região e do setor
de mercado. Uma empresa localizada próxima à passagem de rios deve adotar
proteções específicas contra enchentes. Uma empresa que trabalha com produtos
altamente inflamáveis deve ter sua central de processamento em local afastado
das áreas com grandes riscos ou, ainda, empresas próximas a centros de detenções
ou penitenciárias devem ter planos de continuidades bem definidos, pois, na
realidade do nosso país, é comum a ocorrência de rebeliões que acabam isolando
as áreas próximas, inclusive a empresa e seus funcionários.

7. O Trabalho em Áreas Seguras

Áreas seguras não devem ser identificadas facilmente. Parece contraditório,


mas se você analisar, somente quem precisa exercer suas atividades no local é que
tem que saber que aquele ambiente fechado é uma área segura. É comum encontrar,
em muitas empresas, placas indicando claramente “SALA DE SERVIDORES” ou
“SALA DE MONITORAMENTO”. Ninguém precisa saber que ali estão todos
os seus servidores ou todos os registros de filmagem. Se um fornecedor prestar
algum tipo de suporte nesses locais, ele deverá ser acompanhado por alguém
que sabe onde ficam os equipamentos. Todo o trabalho deve ser monitorado,
principalmente quando se tratar de visitante (fornecedor ou terceiro). Este deve
ter acesso somente às informações necessárias para execução do trabalho. Nessas
áreas, deve-se evitar o uso de câmeras fotográficas ou de filmagem, a não ser com
expressa autorização da área responsável.

8. Acesso do Público, Áreas de Entrega e de Carregamento

Essas áreas, onde circulam muitas pessoas, devem ser, sempre que possível,
afastadas das áreas seguras da empresa, evitando o acesso não autorizado de
entregadores, por exemplo. Locais onde são realizados atendimentos públicos
devem ser protegidos para evitar o roubo de ativos ou acesso aos sistemas sem
autorização.

46
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS

9. Segurança de Equipamentos

Os equipamentos que armazenam e processam as informações devem ser


protegidos contra ameaças físicas e do ambiente, para garantir a tríade básica
da segurança da informação (confidencialidade, disponibilidade e integridade)
e, consequentemente, garantir a continuidade dos negócios, evitando, assim,
prejuízos para a organização.

Neste item é que podem ser encontrados alguns dos principais argumentos
para o investidor em tecnologia atender aos requisitos da Norma ISO27002.
Contudo, vale lembrar que a aquisição de tecnologias e o apoio de processos bem
desenhados e da capacitação de pessoas não proverão os resultados esperados.

10. Instalação e Proteção do Equipamento

Todos os equipamentos devem ser instalados em ambientes adequados,


protegidos contra ameaças físicas e do meio ambiente. Deixar equipamentos
expostos à poeira, altas temperaturas, vibrações ou interferências elétricas pode
comprometer sua durabilidade, afetando a integridade e a disponibilidade
das informações. Muitos departamentos de TI adotam ambientes com controle
de temperatura, umidade e de alimentação elétrica, mas, às vezes, esquecem
detalhes, como excesso de vibração e acomodação correta dos equipamentos. Em
ambientes industriais, deve-se evitar instalar os servidores em locais que possam
vibrar, devido ao impacto de prensas, ou durante a passagem de veículos pesados.

Outro cuidado necessário é a restrição da entrada de alimentos, bebidas


e materiais químicos e inflamáveis dentro do ambiente onde estão alocados os
equipamentos de informática.

11. Utilidades

Todo o sistema que provê alimentação elétrica, suprimento de água e


climatização do ambiente é identificado com nome de Utilidade. Esses sistemas
permitem que os equipamentos que armazenam e processam as informações
estejam sempre disponíveis, evitando paradas abruptas que poderiam
comprometer a integridade dos dados. O uso de sistemas de suprimento
ininterrupto de energia ou UPS (Uninterruptible Power Supply), como no-breaks, por
exemplo, é algo até que comum na realidade das pequenas e médias empresas.
Contudo, isso, por si só, acaba não trazendo benefícios reais para a organização,
pois se não forem tomadas medidas preventivas, o no-break acaba se tornando
apenas mais um acessório na sala dos servidores.

O no-break tem, como principais funções, estabilizar qualquer variação na


alimentação da energia elétrica e manter, por um breve período, o fornecimento
de energia, o suficiente para que todos os equipamentos conectados possam ser
desligados corretamente. Em situações em que os equipamentos não podem
sofrer qualquer tipo de interrupção, se faz necessário o uso de geradores de

47
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

energia. A manutenção preventiva e a realização de testes periódicos para checar


sua autonomia e sua capacidade são requisitos fundamentais.

12. Segurança do Cabeamento

Por mais trivial que possa parecer, manter esse requisito em plena
conformidade é uma das tarefas mais difíceis, devido à cultura enraizada de
“Disponibilidade a qualquer custo!” Com a crescente expansão dos equipamentos
tecnológicos, a necessidade de disponibilizar pontos de rede e de telefone é
essencial, porém, há pressão em concluir as solicitações da organização, uma
série de extensões das conexões em cascata, mal projetadas, que resultam em
baixa qualidade do sinal, afetando a performance de toda a rede.

Às vezes, o próprio departamento de TI assume a responsabilidade de


“puxar” cabos da rede para aumentar a distribuição de pontos. Só que saber
“puxar” cabos e crimpar os conectores não é a única preocupação que se deve ter.
O cabeamento lógico (rede e telefone) deve ser separado dos cabos que conduzem
energia elétrica, evitando interferências magnéticas. Ainda, em todo o percurso,
o cabeamento lógico deve ser protegido em conduits e canaletas para evitar
interceptações não autorizadas. Manter os cabos devidamente identificados e ter
em mãos um diagrama de toda sua distribuição são requisitos obrigatórios para
qualquer departamento de TI bem administrado. Qual o impacto que o negócio
pode sofrer caso um cabo de comunicação seja rompido ou danificado durante
a realização de alguma obra ou reforma na empresa? Qual será o custo para a
empresa ao solicitar uma manutenção ou expansão da rede de comunicação
quando o fornecedor se deparar com o trabalho extra que ele terá para executar
o serviço, justamente por não ter qualquer informação previamente em mãos?
Quanto tempo a equipe de TI perde durante a realização de suporte técnico e
manutenção na rede tentando localizar possíveis “gargalos” que deixam a rede
lenta? Como identificar pontos de rede sem a documentação e as ferramentas
corretas? Se o gestor conseguir mensurar esses custos, ele terá melhores condições
de negociar, com a alta direção, os investimentos necessários para adequar sua
estrutura dentro de um padrão aceitável.

13. Manutenção dos Equipamentos

Infelizmente, quando falamos em manutenção, somos levados a pensar


em consertos, algo reativo, quando, na verdade, o objetivo da manutenção
é preventivo. Evitar que os equipamentos que suportam toda a operação da
organização parem de funcionar é um dos principais objetivos do controle.

Todas as manutenções realizadas devem ser antecipadamente


programadas, dentro de intervalos periódicos, e todas as ações devem ser
registradas, para manter um histórico de eventuais problemas, que auxiliará na
tomada de decisões futuras.

48
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS

14. Segurança de Equipamentos Fora das Dependências da Empresa

Hoje, é um dos pontos mais críticos da segurança da informação. Manter


um nível de proteção dentro dos limites físicos das organizações já é uma tarefa
difícil, ainda mais quando exposto às diversas ameaças do ambiente externo. No
aspecto em questão, somente a combinação de ferramentas, processos e pessoas
trará algum efeito positivo.

Com toda a evolução do conceito de mobilidade sendo aplicado aos


negócios, é natural que algumas medidas preventivas devam ser tomadas,
evitando que todas as medidas de proteção adotadas internamente também
tenham algum efeito externamente. O uso de dispositivos móveis, como
notebooks, smartphones, celulares, câmeras digitais, pen drives e tablets, expõe
a disponibilidade, a integridade, mas, principalmente, a confidencialidade
das informações. O roubo ou a perda desses dispositivos pode trazer graves
consequências e prejuízos imensuráveis à organização.

Para reduzir os riscos dessa exposição e os graves impactos caso essas


ameaças se concretizem, as seguintes medidas devem ser tomadas:

• Criptografar as informações contidas em dispositivos móveis.


• Fazer o uso de senhas fortes, inclusive em dispositivos como celulares.
• Manter uma cópia atualizada dos dados armazenados nos dispositivos.
• Transportar os equipamentos de forma discreta e protegida contra impactos e
exposições a variações de temperaturas e agentes químicos.
• Treinar os usuários sobre as melhores práticas em segurança da informação e
conscientizar o time do uso aceitável desses dispositivos.

15. Reutilização e Alienação Segura de Equipamentos

Este controle passa despercebido em grande parte das empresas. Quando


tratamos da reutilização e alienação (ou descarte) de equipamentos tecnológicos,
as principais preocupações das organizações são cumprir regulamentações
ambientais, evitando descarte de componentes que possam contaminar o meio
ambiente, e atender questões de responsabilidade social, realizando doações a
ONGs e institutos educacionais. Tão importante como essas questões está o fato
de que, muitas vezes, informações sensíveis da empresa acabam sendo esquecidas
nas unidades de armazenamento dos equipamentos, como computadores e
copiadoras.

O simples ato de formatar o disco rígido de um computador não é garantia


de que a informação não possa ser recuperada. O mercado de recuperação de
discos tem evoluído de forma crescente, tanto para o bem quanto para o mal.
Essas ferramentas são facilmente encontradas na Internet e, para quem não
tem conhecimento técnico no assunto, tem, à disposição, inúmeras empresas
especializadas. Mesmo discos com problemas físicos podem ter informações
restauradas.

49
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

Para evitar incidentes, todo o equipamento que não for mais utilizado,
e que contenha dados gravados, deve ter suas unidades de armazenamento
destruídas fisicamente, observando os cuidados com a segurança do funcionário.
Para equipamentos que possuam informações sensíveis, e se forem reutilizados
em outros departamentos ou doados para alguma ONG ou instituição, devem ter
seus dados apagados com softwares específicos, evitando apenas o recurso básico
de formatação. Mesmo que seja para doação, deve-se avaliar a importância das
informações gravadas e, se for pertinente, doar o equipamento sem a unidade de
armazenamento.

16. Remoção de Propriedade

A retirada de equipamentos de dentro das organizações, seja para realocação


ou para manutenção externa, deve ser feita de forma controlada, registrando
sua saída e, se for o caso, sua entrada na organização. Em muitas empresas, o
controle é rigoroso, com emissão de nota fiscal de saída e com autorização formal
para liberação na portaria. Contudo, em outras empresas, por se ter um contato
constante com a assistência técnica, a informalidade ganha espaço. A “facilidade”
para liberar a saída do equipamento pode fazer com que dados sensíveis acabem
sendo entregues em mãos de terceiros, que, muitas vezes, não possuem qualquer
precaução para preservar a integridade e a confidencialidade das informações.
Todo o processo deve ser registrado e acompanhado por um responsável, para
evitar a perda de ativos para a organização.

No decorrer deste artigo, foi possível ver que a Norma ISO 27002 é muito
abrangente, abordando vários aspectos no tratamento da informação. Para o
departamento de TI, existem várias recomendações que devem ser avaliadas
para que a área possa fornecer suporte ao negócio. Quando o departamento de
TI consegue mensurar a importância das suas ações, consegue obter, com mais
facilidade, os recursos necessários para prover os serviços com qualidade a toda
organização.

Como base inicial de qualquer ação de melhoria no departamento de


TI em relação à segurança, a Norma dispõe de várias recomendações que são
mais fáceis de mensuração, melhorias que são visualmente percebidas pelas
demais áreas. Portanto, seus resultados são práticos, diferentemente de ações que
envolvem mudança cultural, como políticas e treinamentos, que só são percebidas
ao longo do tempo. Contudo, todas essas ações precisam acontecer para que a
segurança possa realmente agregar valor ao negócio, lembrando que a segurança
da informação é sustentada por ferramentas, processos e pessoas.

FONTE: CHANNEL360. Segurança física dos ativos: conhecendo a Norma ISO 27002. 2019.
Disponível em: https://www.channel360.com.br/seguranca-fisica-dos-ativos-conhecendo-a-
-norma-iso-27002/. Acesso em: 4 jun. 2020.

50
RESUMO DO TÓPICO 3

Neste tópico, você aprendeu que:

• Todas as empresas e organizações possuem vulnerabilidades.

• Precisamos estar cientes de algo: a quais ameaças nossos ativos estão sujeitos?

• Riscos podem ser minimizados, desde que tenhamos políticas de prevenção.

• Devemos fazer uma análise da probabilidade e os impactos em um incidente


de segurança da informação.

CHAMADA

Ficou alguma dúvida? Construímos uma trilha de aprendizagem


pensando em facilitar sua compreensão. Acesse o QR Code, que levará ao
AVA, e veja as novidades que preparamos para seu estudo.

51
AUTOATIVIDADE

1 Foi solicitado, para uma empresa de consultoria, um levantamento dos


perigos que podem ocorrer. Durante o processo, foram encontrados vários
eventos que podem ter um efeito prejudicial sobre a confiabilidade da
informação. O nome do evento é:

a) ( ) Uma dependência, por ter um efeito negativo sobre a confiabilidade da


informação.
b) ( ) Uma vulnerabilidade, um possível evento que pode ter um efeito
negativo sobre a confiabilidade da informação.
c) ( ) Um risco, um possível evento que pode ter um efeito negativo sobre a
confiabilidade da informação.
d) ( ) Uma ameaça, um possível evento que pode ter um efeito negativo sobre
a confiabilidade da informação.

2 A segurança da informação, para muitas organizações, é um ponto que


exige extrema atenção, pois é vital para a sobrevivência das organizações
na era da informação. Existem diversos problemas que podem assombrar
as organizações, desde o roubo de equipamentos até a violação dos dados.
Sobre a segurança da informação, considere:

I- Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade,


ocasionando um impacto para a organização.
II- Ameaça: Fragilidade de um ativo, que pode ser explorada por uma ou mais
ameaças
III- Vulnerabilidade: Resultado gerado por uma ameaça ao explorar uma
vulnerabilidade.
IV- Impacto: Causa potencial de um incidente indesejado. Resultado gerado
por uma ameaça ao explorar uma vulnerabilidade.

Está CORRETO o que consta apenas em:


a) ( ) Somente a opção I.
b) ( ) As alternativas II e III estão corretas.
c) ( ) As alternativas I e III estão corretas.
d) ( ) As alternativas II e IV estão corretas.
e) ( ) As alternativas III e III estão corretas.

3 A vulnerabilidade está relacionada ao ponto fraco de um ativo, ou seja, pode


ser entendida como uma fragilidade. Nesse sentido, analise as afirmativas a
seguir:

I- Erros durante a instalação de hardwares e falha nos recursos tecnológicos


não podem ser considerados exemplos de vulnerabilidade.
II- Erros na instalação ou na configuração de softwares podem gerar acessos
indevidos, vazamento de informações e perda de dados.
52
III- A vulnerabilidade trata-se de um erro de procedimento, falha de um agente
ou má configuração dos aplicativos de segurança. Quando isso ocorre, há o
rompimento de um ou mais princípios da segurança da informação.

Assinale a alternativa CORRETA:


a) ( ) Apenas as afirmativas I e II estão corretas.
b) ( ) Apenas as afirmativas II e III estão corretas.
c) ( ) Apenas as afirmativas I e III estão corretas.
d) ( ) Todas as afirmativas estão corretas.

53
54
UNIDADE 2 —

FUNDAMENTOS DE POLÍTICAS DE
SEGURANÇA DA INFORMAÇÃO

OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:

• entender como um plano de segurança é desenvolvido pela organização;

• conseguir o engajamento de todos os envolvidos;

• compreender uma política de segurança da informação;

• conhecer alguns exemplos de políticas para o entendimento do assunto.

PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer da unidade,
você encontrará autoatividades com o objetivo de reforçar o conteúdo
apresentado.

TÓPICO 1 – PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA


INFORMAÇÃO

TÓPICO 2 – ENTENDENDO A POLÍTICA DE SEGURANÇA DA


INFORMAÇÃO

TÓPICO 3 – CRIANDO UMA POLÍTICA DE SEGURANÇA DA


INFORMAÇÃO

CHAMADA

Preparado para ampliar seus conhecimentos? Respire e vamos


em frente! Procure um ambiente que facilite a concentração, assim absorverá
melhor as informações.

55
56
TÓPICO 1 —
UNIDADE 2

PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA


INFORMAÇÃO

1 INTRODUÇÃO

Para alguns, a palavra segurança vem associada ao perigo, pois, se for
preciso pensar em segurança, é necessário pensar nos riscos a que estou exposto.
Com o passar dos anos, com o aumento da responsabilidade, seja pessoal ou
profissional, a preocupação com a segurança aumenta.

A preocupação com segurança não é algo novo. Segundo Baars,


Hintzbergen e Hintzbergen (2015, p. 1), “as raízes da segurança de TI têm mais
de 2.000 anos de idade. Os egípcios utilizavam hieróglifos não padronizados
esculpidos em monumentos, e os romanos inventaram a chamada cifra de César,
para criptografar mensagens. Além disso, a segurança física é muito antiga”.

Indo além, pense em quantas estruturas, hoje consideradas monumentos


históricos, que foram construídas para aumentar a segurança, como a grande
Muralha da China. Atualmente, de maneira mais discreta, continuamos buscando
segurança.

Começaremos nossos estudos conhecendo os conceitos que baseiam as


políticas de segurança da informação. Apresentaremos conceitos, modelos para
que você possa desenvolver e, especialmente, aplicar.

2 PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA


INFORMAÇÃO – PESI
Você já deve ter ouvido a seguinte expressão: se não sabe para onde está
indo, então, qualquer direção serve. Em segurança da informação é o mesmo, se
você não conhece os seus ativos, não sabe a quais riscos estão expostos, então,
qualquer proteção serve.

É importante saber os cenários para que haja um processo coerente e,


especialmente, aderente, por todos, em relação à segurança da informação nas
organizações. Para resolver, é fundamental a existência de política e dos demais
regulamentos de proteção da informação. Somente através dessas políticas que
os limites e direcionamentos que a organização busca, em relação à proteção dos
seus ativos, são alcançados (FONTES, 2012).
57
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Empresas que atuam na bolsa de valores, ou que são do segmento


financeiro, são obrigadas, por lei, a ter políticas de segurança, como nos Estados
Unidos, por causa da Lei Sarbanes-Oxley. Como essa lei é aplicada ao mercado
americano, as empresas brasileiras que buscam passar mais credibilidade e
segurança, em relação às informações financeiras, devem estar em conformidade
com a SOX. Vale reforçar que, além da credibilidade e segurança, as empresas que
seguem os princípios da Lei Sarbanes-Oxley têm mais oportunidade de destaque
nos cenários nacional e internacional (CAMARGO, 2017).

DICAS

As empresas brasileiras que se adequam (ou buscam se adequar) à SOX devem


ter mecanismos para identificar riscos, definir e avaliar os ambientes. Conheça a lei aplicada
nos EUA em https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-sox/.

Em alguns casos, a própria conscientização das empresas, na busca da


sustentabilidade dos negócios, percebe a necessidade da organização, estruturação
e controles mais adequados em relação à segurança da informação. O processo
de segurança da informação existe para possibilitar que a organização utilize,
de maneira confiável, os recursos que suportam as informações necessárias para
as suas atividades estratégicas, táticas e operacionais. Vejamos a definição sobre
segurança da informação, segundo Fontes (2012, p. 8):

A segurança da informação deve estar ligada diretamente aos objetivos


do negócio. A segurança da informação não deve existir para ela
mesma; o processo de segurança da informação por si só não tem valor;
a segurança da informação deve existir para atender à organização
e aos seus objetivos de negócio. Peltier (2004) reforça indicando
que, para garantir que os objetivos de negócio sejam alcançados
no tempo previsto e de uma maneira eficiente, padrões e políticas
eficazes devem existir na organização. Complementa ao indicar que
a criação de políticas, padrões e procedimentos deve ser benéfica
para a organização. Nenhuma política deve ser criada para garantir
que a organização esteja em conformidade com os requerimentos
da auditoria. Políticas, padrões e procedimentos são criados para
garantir que a organização atenda aos requisitos legais e às obrigações
contratuais para com seus clientes, acionistas, funcionários e demais
colaboradores.

Ainda, segundo Fontes (2012, p. 8), é fundamental termos em mente que


as regras e os controles de segurança da informação não são desenvolvidos para
atender à própria segurança, mas “eles são implantados para proteger os recursos
de informação que são utilizados operacionalmente para o funcionamento da
organização e para o atendimento dos objetivos”.

58
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Vale reforçar que a proteção é importante para todas as organizações,


por isso, a NBR ISO/IEC 27002: 2005 indica, explicitamente, que o processo de
segurança da informação se aplica a todas as empresas e a todos os segmentos,
independentemente se são públicos ou privados, com ou sem fins lucrativos
(FONTES, 2012).

Todo processo que envolve segurança da informação somente tem


sucesso se a sua implantação for uma decisão estratégica da organização
e, consequentemente, a direção apoie explicitamente o desenvolvimento, a
implantação e a manutenção do processo de proteção da informação. Para dar
suporte, a NBR ISO/IEC 27001 fornece um modelo para estabelecer, implantar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão
de Segurança da Informação (SGSI), conforme as necessidades (FONTES, 2012).

FIGURA 1 – NÍVEL DE DECISÃO

FONTE: Adaptado de Bezerra (2014)

Como podemos observar, é importante que a decisão venha de cima,


pois, assim, as chances de aderência e comprometimento são maiores. Assim,
listamos os principais aspectos da segurança da informação que todos de uma
organização devem conhecer. É importante ressaltar que nenhum plano terá
sucesso se não for utilizado. Por isso, Fontes (2008) desenvolveu uma lista para
que todo executivo conheça, independentemente se tem ou não conhecimento de
segurança da informação.

A segurança da informação não é um assunto somente de tecnologia,


mas uma decisão empresarial como um todo. Muitas organizações pecam em
transferir toda a responsabilidade para a área de TI. Não basta apenas possuir
soluções técnicas, como programas de antivírus, achando que são o suficiente
(FONTES, 2008).

59
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Como sendo uma decisão que afeta todos, é necessário investimento. A


proteção não vai acontecer por milagre. Por isso, a proteção das informações
já deve fazer parte dos requisitos de negócio da organização. A segurança da
informação deve ser tratada com profissionalismo. Deve ter normas, políticas e
regulamentos (FONTES, 2008).

Como já foi apontado na Unidade 1, cada usuário deve ter acesso somente
ao que é pertinente para a execução da sua atividade profissional. O funcionário
da produção, talvez, não precise ter acesso aos cadastros e folha de pagamento
dos funcionários. Uma solução para o problema é a criação de um controle, a
partir do proprietário da informação. Com o gestor de RH, informar quem pode
ou não acessar a informação (FONTES, 2008)

As normas de segurança devem ser aplicadas a todos, funcionários,


prestadores de serviço, terceirizados, consultores e trabalhadores temporários.
Todos são colaboradores e devem ser contemplados no processo de segurança
da informação. Os parceiros da sua organização devem ter o mesmo nível de
comprometimento, pois se um funcionário não pode fazer uso do celular em
determinado ambiente, os terceiros também não podem. Os ativos da informação
só estão seguros se todas as pessoas da organização participarem (FONTES, 2008).

A aplicação da segurança da informação nas organizações é um processo


que não termina nunca, e que não existe por si só. Ela existe para possibilitar que
o negócio da organização aconteça de forma protegida, uma decisão empresarial.
Por isso, a utilização do ciclo PDCA.

3 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO –


SGSI
Antes da criação das políticas e normas de segurança que serão aplicadas
na organização, sugere-se a criação de um Sistema de Gestão da Segurança da
Informação (SGSI), lembrado que, aqui, sistemas não têm conotação de software.
É um sistema de gestão corporativo voltado para a segurança da informação,
que inclui toda a abordagem organizacional usada para proteger a informação
empresarial e seus critérios de confidencialidade, integridade e disponibilidade.
No sistema, estão as estratégias, planos, políticas, medidas, controles e diversos
instrumentos usados para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar a segurança da informação (PALMA, 2017).

60
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

FIGURA 2 – NORMA ISO/IEC 27002

FONTE: Adaptado de Coelho, Araújo e Bezerra (2014)

Soula (2013, p. 549) afirma que “o gerente da segurança da informação


deve entender que segurança não é somente um passo dentro do ciclo de vida de
serviços e sistemas, e que a segurança não pode ser resolvida somente através da
tecnologia”.

Na Unidade 1, Tópico 3, vimos como um ativo de informação tem valor


para as organizações e que estas estão suscetíveis a ameaças.

FIGURA 3 – CONTROLES DE SEGURANÇA

FONTE: Soula (2013, p. 552)

61
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Soula (2013) afirma que a segurança da informação deve ser parte integral
de todos os serviços e sistemas, além de ser uma prática diária e que precisa ser
continuamente gerenciada, através de um conjunto de controles de segurança
(preventivos, redutivos, detectivos, repressivos e corretivos), conforme detalhados
individualmente.

Os controles preventivos são medidas de segurança que são desenvolvidas


e utilizadas para impedir que um incidente de segurança ocorra. O exemplo
mais conhecido de medida preventiva é a alocação de direitos de acesso a um
grupo limitado de pessoas autorizadas. Somente quem tem necessidade de uma
informação, ou acesso a determinado local, deve acessá-lo (SOULA, 2013).

Os controles redutivos são medidas que podem ser tomadas com


antecedência, buscando minimizar possíveis danos. Podemos exemplificar, como
os backups regulares e o desenvolvimento, o teste e a manutenção de planos de
contingência (SOULA, 2013).

O tempo de resposta a um incidente é de suma importância, por isso,


existem os controles detectivos. Eles se referem ao tempo de detecção de
um incidente. Um exemplo do controle é o monitoramento, associado a um
procedimento de alerta. Por exemplo, uma detecção de um ataque malicioso em
um servidor (SOULA, 2013).

Nos controles repressivos, segundo Soula (2013, p. 551), “as medidas


são usadas para neutralizar qualquer continuação ou a repetição do incidente
de segurança. Por exemplo, um endereço de conta ou rede é temporariamente
bloqueado após inúmeras tentativas frustradas de login”. Já no controle corretivo,
segundo Soula (2013, p. 551), “o dano é reparado usando medidas corretivas. Por
exemplo, medidas corretivas incluem a restauração do backup, ou retornar a uma
situação estável anterior (roll-back, back-out)”.

Além dos controles apresentados por Soula (2013), ele também


indica algumas atividades-chaves que devem ocorrer dentro do processo de
gerenciamento da segurança da informação:

• Produção e revisão da política de segurança da informação e das


políticas específicas de suporte.
• Comunicação, implementação e reforço da política de segurança.
• Avaliação e classificação de todas as informações dos ativos e sua
respectiva documentação.
• Implementação, revisão e aplicação de melhorias no conjunto de
controles de segurança e avaliações de riscos e respostas a esses
riscos. Por exemplo, conceder medidas que bloqueiam o acesso a
um serviço quando são realizadas múltiplas tentativas sem sucesso
(senha incorreta). Assim, a central de serviços da organização deve
ser capaz de restaurar o acesso aos clientes existentes.
• Monitoração e gerenciamento de todas as quebras de segurança
relacionadas à aplicação e infraestrutura e maiores incidentes de
segurança.

62
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

• Análise, relatórios e redução dos volumes de incidentes e impactos


de quebras na segurança.
• Programação e realização completa das revisões de segurança,
auditorias e testes de invasão em sistemas (SOULA, 2013, p. 552).

Após o entendimento da necessidade da criação dos controles de


segurança, percebe-se que é um processo cíclico e, segundo a Norma NBR ISO/
IEC 27001, deve ser desenvolvido de maneira escalonada, com o seguinte Modelo
PDCA (Plan-Do-Check-Act), que permite o Planejamento, a Operação, a Avaliação
e a Melhoria contínua da segurança da informação (FONTES, 2008).

FIGURA 4 – CICLO PDCA

FONTE: Adaptado de Doyle (2016)

Vale ressaltar que a segurança da informação é padronizada por meio da


família de normas ISO 27000, tendo, por objetivo, a proteção das informações
organizacionais e ativos de TI. Ainda, duas normas são mais conhecidas, a ISO
27001, que é o modelo focado em determinar, implantar, operar, monitorar, rever,
manter e melhorar um Sistema de Gestão da Segurança da Informação; e o modelo
ISO 27002, que estabelece o código de práticas para a Segurança da Informação.

É interessante termos o conhecimento da norma para a correta criação das


políticas de padronização. A ISO 27001 traz uma abordagem da implementação
da segurança da informação para organizações com base na estrutura do ciclo

63
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

PDCA, seguindo os passos a seguir:

• PLAN: ocorre o entendimento dos requisitos e da necessidade de se ter uma


política de segurança da informação.
• DO: momento da implementação e operação dos controles para gerenciamento
dos riscos.
• CHECK: começa o monitoramento do desempenho e da eficácia da política de
segurança da informação.
• ACT: análise e promoção da melhoria contínua.

4 COMO IMPLEMENTAR O CICLO PDCA?


As atividades para a implantação do ciclo PDCA ficam divididas em
quatro etapas, da seguinte maneira:

Planejamento: o primeiro passo é a definição do escopo e da política do


Sistema de Gestão de Segurança da Informação (SGSI). Para isso, deve-se realizar
uma abordagem de análise dos riscos que podem afetar a segurança dos dados e
dos ativos da organização.

Nesta etapa, a metodologia deve ser definida, assim como os critérios para
a aceitação de riscos e qual o nível aceitável. Independentemente da metodologia
escolhida, ela deve assegurar que as análises/avaliações de riscos produzam
resultados comparáveis e reproduzíveis. Além disso, todo o processo de análise
e avaliação de risco deve estar documentado. A avaliação dos riscos deve incluir
as seguintes identificações:

• identificação dos ativos e dos seus proprietários (inventários) e das ameaças


que podem comprometê-los (causas potenciais de incidentes);
• identificação das vulnerabilidades nos processos e dos impactos que a perda
de integridade e confidencialidade pode causar nos ativos da empresa;
• avaliação dos riscos, incluindo impacto para o negócio, probabilidade real de
ocorrência de falhas e estimativa dos níveis de riscos;
• determinação se os riscos são aceitáveis ou se requerem tratamento;
• identificação e avaliação das opções para o tratamento de riscos, como a
aplicação dos controles apropriados, medidas preventivas e transferência do
risco (com a contratação de um seguro).

Implementação e operação do SGSI: esse é o momento de implementar o


plano de tratamento dos riscos elaborado na primeira etapa. É preciso colocar, em
prática, os controles selecionados, além de buscar uma forma de medir a eficácia.
Além disso, é o momento de implementar programas para conscientizar, treinar
a equipe interna e gerenciar as operações e os recursos do SGSI, garantindo a
detecção e resposta imediata aos incidentes de segurança da informação.

64
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Monitoramento e análise crítica do SGSI: é a hora de checar se a


implantação do Sistema de Gestão de Segurança da Informação está funcionando.
É preciso executar os procedimentos de monitoramento e análise crítica da eficácia
dos controles e da política de segurança.

Auditorias internas devem ser conduzidas para garantir a conformidade


com as normas ISO 27000, e os planos de segurança devem ser atualizados,
considerando os resultados dos processos de avaliação e monitoramento. No
momento, é preciso estar atento a toda e qualquer ação que gere impacto na
eficácia do desempenho do seu SGSI.

Manutenção e melhoria contínua do SGSI: por último, o processo de


“agir” mantém e melhora o Sistema de Gestão de Segurança da Informação por
meio de ações preventivas e corretivas, com base nos resultados da revisão da
gestão e reavaliação do escopo, da política de segurança e dos objetivos.

A última etapa do ciclo PDCA é o momento de institucionalizar as


melhorias identificadas e testadas nas demais fases, além de executar as ações
de prevenção e correção. Tudo envolve a comunicação das ações de melhoria à
empresa e a confirmação de que a aplicação das novas metodologias teve o efeito
desejado.

A segurança da informação só tem êxito a partir da implementação de um


conjunto de controles adequados. Estão inclusas as políticas, por exemplo.

FIGURA 5 – DIVULGAÇÃO

FONTE: Elpescador (2016, s.p.)

A organização deve escolher como é feita a divulgação, com treinamentos,


por exemplo, ou organizar a disposição dos funcionários. Também pode divulgar
através de cartazes, em ambientes de ampla circulação, além de outras formas.
No próximo tópico, apresentaremos formas de divulgação da PSI.

Agora que já vimos que uma política precisa ser revisitada com frequência,
observaremos como é importante ter o engajamento de todos os funcionários e
prestadores no processo.
65
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

5 O USUÁRIO FAZ A DIFERENÇA


Para a melhor gestão das políticas, é necessária a adesão de todos, além
da noção de que são pessoas que comandam a organização. Todo comando
executivo é formado por pessoas, que definem a prioridade com que a segurança
da informação é tratada dentro da organização. Independentemente do ramo
de negócio, a segurança da informação deve ser inserida dentro da estratégia
(FONTES, 2008).

Fontes (2008) afirma que, como são as pessoas que desenvolvem sistemas,
seja esse desenvolvimento interno ou terceirizado, a estrutura de segurança deve
nascer com a criação dos sistemas aplicativos, pois a implementação de requisitos
de segurança fica mais difícil se o sistema de informação não permite os controles
adequados, por exemplo, níveis de acesso. Se o sistema não foi projetado, não há
como implementar na utilização.

Em muitos casos, Fontes (2008) alerta que as pessoas apenas pensam em


proteger o computador. Não têm noção do descarte indevido, como jogar papel
com informação confidencial no lixo, sem destruir; deixar informação em salas
após as reuniões; e comentar informações confidenciais em lugares sem garantia
de sigilo, como elevador, táxi, avião, recepções de happy hour etc. São atitudes
que as pessoas tomam, muitas vezes, sem querer, mas que podem prejudicar os
negócios da empresa.

Como já vimos, os agentes que pretendem invadir a organização para


fraudar miram nas pessoas da organização. Esses malfeitores se aproveitam do
descuido e da boa-fé das pessoas da organização. Independentemente do nível
hierárquico e da condição de conhecimento técnico, todos os funcionários são
alvos dos que querem fraudar ou roubar informação (FONTES, 2008).

Outro fator que Fontes (2008) menciona é que são as pessoas que seguem
as políticas e normas, são elas que cristalizam como a organização deseja que a
proteção aconteça. Assim, é preciso que os usuários leiam, entendam e executem
os regulamentos. Ainda, são elas que não cumprem os regulamentos. Muitas das
falhas acontecem pelo não cumprimentos de normas. Talvez, elas não se sentem
parte integrante, pois, às vezes, simplesmente recebem uma enorme quantidade
de papel contendo regulamentos e outras obrigações, como a assinatura de termo
de compromisso na sua contratação, mas não leem, ou se leem, não entendem.
Fontes (2008, p. 197) cita que “saber realmente como todos se comportam e
consideram as regras se dá através do exemplo do colega, pelas ações da chefia e,
principalmente, pela coerência da direção executiva”.

Sentir-se parte de alguma coisa é uma característica do ser humano: ser


mais do que uma simples conta de matemática, ser mais do que um número na
organização. Por isso, o Sistema de Gestão da Segurança da Informação deve
explicar para as pessoas, apresentando e informando os riscos, sendo honesto
e coerente. Dessa maneira, é possível conseguir o comprometimento de cada

66
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

usuário, fazendo com que todos se sintam parte e fazendo a diferença. Uma única
pessoa pode colocar tudo a perder, pois ela pode contaminar outra pessoa com
os conceitos de segurança. É de responsabilidade, da área de segurança, orientar,
além de facilitar o conhecimento e a criação de uma boa cultura (FONTES, 2008).

Dentro de uma política, normalmente, cria-se um capítulo para a sua


divulgação. Devem estar descritas as regras que a organização pretende utilizar.
A divulgação das regras e orientações de segurança aplicadas aos usuários
deve ser objeto de campanhas internas permanentes, disponibilização integral
e contínua na Intranet, seminários de conscientização e quaisquer outros meios.
Por isso, quando desenvolver uma política, é necessário definir a abrangência de
cada colaborador.

6 ABRANGÊNCIA
Além dos objetivos, princípios e requisitos do documento que está sendo
construído, deve deixar clara a responsabilidade do colaborador, como a imposição
dos limites de uso, além das responsabilizações, no caso da má utilização dos
recursos de TI da empresa. Nesta etapa, podem ser inseridas as regras com
relação à impossibilidade de uso de dispositivos externos em equipamentos
corporativos, informações sobre websites de acesso proibido, recomendações de
preservação do maquinário da empresa etc.

Uma boa PSI deve conter regras e diretrizes que orientem os colaboradores,
clientes e fornecedores (além da própria TI da organização) com relação aos padrões
de comportamento ligados à segurança da informação, condições de instalações
de equipamentos, restrições de acesso, mecanismos de proteção, monitoramento
e controle, além de outros cuidados imprescindíveis aos processos de negócio.
Em muitos casos, é a chamada abrangência, ou seja, quem é afetado pela política.
Vejamos um exemplo:

A política abrange todos os colaboradores e visitantes que possuem


acesso à rede FANTASIA Ltda., seja acesso às informações confidenciais, aos
equipamentos computacionais ou aos ambientes controlados que necessitam de
um login ou cartão de acesso.

Os funcionários/terceiros que concordarem com a política devem registrar


o conhecimento e o aceite através da assinatura do TERMO DE COMPROMISSO,
apresentado quando há a admissão. Esse termo determina a adesão do parceiro a
todas as políticas e normas internas, incluindo a política em questão.

É importante frisar que o uso indevido dos recursos, informações e


ambientes, em desacordo com a política, pode gerar advertência, suspensão e
demissão, a critério da direção e organização.

67
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

A seguir, apresentaremos um exemplo de como a classificação é feita em


uma política. Identificaremos os papéis, o perfil associado e a descrição.

FIGURA 6 – DESCRIÇÃO DE PAPÉIS

FONTE: Iphan (2013, p. 3)

Como veremos, toda política, além de definir o que podemos e devemos


fazer, também orienta quais ações devem ser tomadas, em caso do não
cumprimento ou violação, independentemente se intencional ou não.

7 VIOLAÇÃO DA POLÍTICA
A própria Política de Segurança de Informações (PSI) deve definir quais
são os procedimentos a serem tomados para cada caso de violação, de acordo
com a severidade, a amplitude e o tipo de infrator que a perpetra (BRASIL, 2014).

Vale ressaltar que a punição pode ser desde uma simples advertência
verbal ou escrita até uma ação judicial. Como podemos observar:

68
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Segundo a Lei nº 9.983, de 14 de julho de 2000, que altera o Código


Penal Brasileiro, prevê penas para os casos de violação de integridade
e quebra de sigilo de sistemas informatizados ou banco de dados da
Administração Pública. O novo art. 313-A trata da inserção de dados
falsos em sistemas de informação, enquanto o art. 313-B discorre sobre
a modificação ou alteração não autorizada dos sistemas. O § 1º do art.
153 do Código Penal foi alterado e, atualmente, define penas quando
da divulgação de informações sigilosas ou reservadas, contidas ou
não nos bancos de dados da Administração Pública. O fornecimento
ou empréstimo de senha, que possibilite o acesso de pessoas não
autorizadas a sistemas de informações, é tratado no inciso I do § 1º do
Art. 325 do Código Penal (BRASIL, 2014, p. 11).

Ainda, segundo Brasil (2014, p. 11), é necessária a ampla divulgação


das políticas para os funcionários e terceirizados, pois, se todos tiverem o
conhecimento, “não será admissível que as pessoas aleguem ignorância quanto
às regras estabelecidas, a fim de livrar-se da culpa sobre violações cometidas”.

Um resumo das implicações da violação das políticas deve ser


desenvolvido e amplamente divulgado, seja por meio de palestras, de material
orientativo etc. Os empregados devem ser aconselhados sobre as consequências
do não cumprimento das políticas e dos procedimentos de segurança. Em
contrapartida, um programa de recompensa deve ser criado para os empregados
que demonstram boas práticas de segurança ou que identificam e comunicam um
incidente. Os colaboradores devem ser recompensados por frustrar uma quebra
de segurança, e essa atitude também deve ser amplamente divulgada em toda a
empresa, como um artigo circular.

É importante que, quando detectada uma violação, seja feita a averiguação


das causas, consequências e circunstâncias em que ocorreu, pois pode ter sido
proveniente de um simples acidente, erro ou, mesmo, desconhecimento da PSI.
Ainda, pode ter sido causada por ação deliberada, fraudulenta ou negligência. A
verificação permite que vulnerabilidades, até então desconhecidas pelo pessoal
da gerência de segurança, passem a ser consideradas, exigindo, se for o caso,
alterações na PSI (BRASIL, 2014).

69
RESUMO DO TÓPICO 1

Neste tópico, você aprendeu que:

• Antes de construímos uma política, é necessária a adesão dos níveis estratégicos


da organização.

• A política não é um documento estático e precisa ser revistada e alterada com


frequência.

• A ferramenta PDCA é muito interessante e tem excelentes benefícios na


aplicação de uma política de segurança da informação.

• Uma política só funciona se todos a aplicarem, necessários o conhecimento, o


entendimento e o engajamento da organização.

• Para conseguir que o maior número de pessoas aplique as políticas, a


comunicação deve ser clara e falar a linguagem da equipe.

• A criação de um sistema de gestão de segurança da informação auxilia a


criação, implantação e controle das políticas de segurança.

• O ciclo PDCA é uma ferramenta muito útil na aplicação e validação das políticas
de segurança.

• Nenhuma política tem sucesso se não estiver alinhada com a cultura da


organização e se não for vivenciada por todos.

70
AUTOATIVIDADE

1 Segundo Fontes (2008), a segurança da informação é obtida a partir


da implementação de um conjunto de controles adequados, incluindo
políticas, processos, procedimentos, estruturas organizacionais e funções
de software e hardware. Assim, julgue os itens a seguir, relativos à gestão de
segurança da informação. No modelo PDCA (Plan, Do, Check, Act), aplicado
aos processos do SGSI, uma análise de riscos deve ser realizada somente
quando houver mudança nos requisitos de segurança, ou quando forem
identificadas ameaças que coloquem em risco a segurança da organização.

a) ( ) Certo.
b) ( ) Errado.

2 Leia o trecho a seguir, relacionado ao modelo PDCA, para estruturação


de todos os processos do Sistema de Gestão da Segurança da Informação
(SGSI):

A letra C, em PDCA, refere-se ao check (checar): monitorar e analisar


criticamente o SGSI.
A letra ___ : Estabelecer a política, objetivos, processos e procedimentos
do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da
informação para produzir resultados de acordo com as políticas e objetivos
globais de uma organização.
A letra ___ : Executar ações corretivas e preventivas, com base nos resultados
da auditoria interna do SGSI e da análise crítica pela direção ou outra
informação pertinente, alcançando a melhoria contínua do SGSI.
A letra ___ : Implementar e operar a política, controles, processos e
procedimentos do SGSI.

As lacunas são corretamente preenchidas, respectivamente, por:


a) ( ) P (Plan - Planejar), A (Act- Agir), D (Do- Fazer).
b) ( ) P (Plan - Planejar), D (Do- Fazer), A (Act- Agir).
c) ( ) A (Act- Agir), P (Plan - Planejar), D (Do- Fazer).
d) ( ) D (Do- Fazer), P (Plan - Planejar), A (Act- Agir).

3 O Ciclo PDCA é creditado a W. Edwards Deming, referência em controle de


qualidade em todo o mundo. O ciclo PDCA, definido, por Deming, como
Ciclo de Shewart, um físico que, na década de 1920, introduziu gráficos
de controle na Bell Labs, baseia-se nos conceitos anteriores do método
científico, este que envolve formular uma hipótese, experimentá-la e avaliá-
la. Considerando o PDCA como sendo o ciclo de Plan (Planejamento), Do
(Execução), Check (Avaliação ou Auditoria) e Act (Ação), avalie as seguintes
afirmações:

71
I- Planejar (Plan) é estabelecer metas e processos para se atingir o objetivo.
Em nível organizacional, contempla determinar a missão, visão e objetivos.
II- Executar (Do) é colocar os processos em execução para se atingir o objetivo,
que sigam as definições da forma como foram desenhados. Somente após o
término da Execução (Do), é acionada a Avaliação (Check) para, por fim, dar
andamento à Ação (Act).
III- Agir (Act) se vale da etapa de Avaliação (Check) do ciclo que gerou
relatórios demonstrando a aderência da execução final dos processos às
métricas e indicadores de qualidade planejados, para que sejam elaborados
planos de ação para serem incluídos no planejamento e serem tratados na
execução do próximo ciclo PDCA.

É CORRETO apenas o que se afirma em:


a) ( ) I e II.
b) ( ) I e III.
c) ( ) II e III.
d) ( ) II.
e) ( ) I.

4 Política de segurança da informação é a documentação que espelha as


decisões da empresa no que diz respeito à manipulação e à proteção da
informação. Esse conjunto de políticas deve ser definido, aprovado pela
direção, publicado e comunicado para:

a) ( ) Todos os funcionários e partes externas relevantes.


b) ( ) Apenas os diretores da empresa.
c) ( ) Apenas os diretores e gerentes da empresa.
d) ( ) Apenas os diretores, gerentes e supervisores da empresa.
e) ( ) Apenas os diretores, gerentes, supervisores e líderes de equipe da
empresa.

5 Na criação, implantação e gestão de uma Política de Segurança da


Informação – PSI:

a) ( ) O escopo deve ser apresentado apenas para os membros da alta


direção, visando obter apoio e confiança na criação da PSI. Somente com
o apoio da alta gestão, será possível aplicar as políticas criadas.
b) ( ) A área de TI deve assumir as seguintes atividades e funções: escrever
as regras para a PSI; definir atribuições, papéis e responsabilidades;
detalhar os procedimentos para as violações da PSI; aprovar o documento
com a PSI; e alterações propostas pela alta direção.
c) ( ) As regras da PSI devem ser divulgadas de forma segmentada. Cada
pessoa deve ter acesso apenas às regras que atingem relativamente a função,
ou seja, a PSI deve chegar à pessoa certa com as regras certas que ela precisa
conhecer. O acesso integral à PSI deve ser impedido aos funcionários, sob
pena de a própria PSI ser colocada em risco.

72
d) ( ) As regras da PSI devem ter força de lei. Uma vez que as regras da
PSI tenham sido amplamente divulgadas, não podem existir violações.
Caso existam, quem viola, deve sofrer as consequências, para que a
PSI não perca credibilidade. A punição pode ser desde uma simples
advertência verbal ou escrita até uma ação judicial.
e) ( ) A área de TI deve realizar reuniões anuais com a alta direção para
fazer uma análise crítica da PSI, considerando os incidentes relatados. No
entanto, a PSI não deve ser alterada fora do período de um ano recomendado
para as reuniões, a fim de que esta não seja comprometida pelo excesso ou
escassez de controles.

73
74
TÓPICO 2 —
UNIDADE 2

ENTENDENDO A POLÍTICA DE SEGURANÇA DA


INFORMAÇÃO

1 INTRODUÇÃO
Conseguir a aderência da gestão da organização é o ponto crucial para
o desenvolvimento de políticas, estas que devem ser seguidas e, especialmente,
incorporadas no dia a dia de todos. Feita a adesão do nível mais alto, é necessário
que ela seja comunicada a todos.

Vale ressaltar que a política deve ser criada de acordo com os negócios
e a cultura da empresa, devendo ser dinâmica e viva. Assim, deve estar sempre
sendo revisitada e adequada aos cenários da organização e da tecnologia.

Talvez, você, acadêmico, já estava ansioso para criar uma política de


segurança da informação na sua empresa, mas o sucesso de uma política está
ligado a outros fatores, como já vimos, como tecnologia e funcionários.

NOTA

A Política de Segurança da Informação (PSI) é o documento que orienta e


estabelece as diretrizes organizacionais no que diz respeito à proteção de ativos de
informação, devendo, portanto, ser aplicado a todas as esferas de uma instituição.

2 POLÍTICAS, NORMAS E PROCEDIMENTOS


Já que produtos e serviços são cada vez mais semelhantes, o acesso à
informação é facilitado pelos instrumentos digitais, e a área da tecnologia se
tornou carro-chefe no ganho de vantagem competitiva das organizações. A forma
com que os dados empresariais são manipulados, armazenados e tratados se
torna fundamental para decidir quem vai sobreviver diante do cenário.

A evolução é um prato cheio para os criminosos, pois, hoje, praticamente


todos os documentos, fórmulas, contratos das organizações estão no formato
digital, e os dados não mentem.

75
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

O Brasil sofreu 15 bilhões de tentativas de ataque cibernético em apenas


três meses, de acordo com a empresa de segurança cibernética Fortinet. Os dados
apontam que somos um importante alvo mundial, e que, ainda, estamos muito
vulneráveis a ataques antigos, como os usados no Wannacry, em 2017, e os que
violaram bancos no Chile e no México, em 2018 (REUTERS, 2019).

Precisamos criar políticas que garantam a sobrevivência da organização.


Uma boa política é construída com base em normas e procedimentos. Coelho,
Araújo e Bezerra (2014) afirmam que uma política de segurança de uma
organização é composta por diretrizes gerais que servem de base para as normas,
procedimentos e instruções referentes à segurança da informação.

FIGURA 7 – HIERARQUIA

FONTE: Saavedra (2013, s.p.)

Ter noção de como funciona a hierarquia e o que deve acontecer em cada


etapa dão a base para a construção da nossa política.

FIGURA 8 – SEQUÊNCIA E RELAÇÃO DA POLÍTICA DE SEGURANÇA COM AS FASES DO


PLANEJAMENTO

FONTE: Coelho, Araújo e Bezerra (2014, p. 72)

76
TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Como podemos observar, Coelho, Araújo e Bezerra (2014) afirmam que as


políticas devem estar alinhadas com a norma ABNT, com a legislação vigente e
com as normas gerais. As políticas devem mencionar o “porquê” de ser realizada
a segurança da informação, definindo diretrizes genéricas do que deve ser
realizado pela organização para alcançar a segurança da informação. Já as normas
são regras básicas de como deve ser implementado o controle ou conjunto de
controles que foi definido nas políticas. Mencionam “o que” fazer para alcançar
as diretrizes definidas na política de segurança. Os procedimentos são atividades
detalhadas de como deve ser implementado o controle ou conjunto de controles.
É preciso responder “como” fazer cada item definido nas normas específicas e
suas políticas (COELHO; ARAÚJO; BEZERRA, 2014).

As instruções apresentam a descrição de uma operação ou conjunto de


operações para a execução da implementação de controles de segurança da
informação. Por último, temos as evidências, que são mecanismos adotados para
permitir a coleta e a comprovação da aplicação dos controles de segurança da
informação, sua eficácia e eficiência. São permitidos a rastreabilidade e uso em
auditorias (COELHO; ARAÚJO; BEZERRA, 2014).

3 POLÍTICAS DE SEGURANÇA – ISO 27000


Como já mencionamos, cada organização precisa definir e desenvolver
suas políticas, de acordo com sua realidade, mas é necessário que a arquitetura
de segurança utilizada tenha uma base teórica. Assim, uma sugestão é a Norma
NBR ISO/IEC 27000. Com base nos elementos dessa norma, e considerando um
agrupamento e estruturação que facilitam a representação com a realidade,
estruturamos uma arquitetura de segurança da informação que possui os
seguintes aspectos (ou dimensões) no primeiro nível (FONTES, 2008).

FIGURA 9 – POLÍTICA DE SEGURANÇA ISO 27002

FONTE: Fontes (2008, p. 91)

77
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Ainda, segundo Fontes (2008), as políticas, as normas e os procedimentos


são os regulamentos que dão suporte e validade ao PSI e aos controles definidos
e aplicados nos aspectos seguintes para:

a) Garantir o acesso à informação. Gestão da identidade do usuário: como o


usuário se apresenta para o ambiente computacional e o ciclo de vida dessa
identidade. Gestão de autenticação do usuário: verificação da veracidade do
usuário e definição das técnicas de autenticação que serão utilizadas. Gestão de
autorização para acessar a informação: verificação se o usuário está autorizado,
modelo de perfil do usuário (individual, grupo, perfil funcional), existência de
gestor da informação, regras para a autorização de acesso.
b) Classificar a informação. Definição dos níveis de sigilo da informação, do
gestor da informação e do custodiante da informação.
c) Enfrentar situações de contingência. Definição da solução para o tempo
suportável de indisponibilidade dos recursos de informação antes que o
negócio atinja um nível de impacto financeiro, operacional ou de imagem que
comprometa a continuidade da organização.
d) Garantir a resiliência operacional. A existência de gestão de problemas, gestão
de mudanças, gestão de recursos, gestão de capacidade possibilita que a
organização suporte situações adversas sem que haja ruptura na operação do
negócio no que se refere aos recursos de informação.
e) Proteger o ambiente físico e de infraestrutura. Garantia de que o ambiente
físico está controlado e protegido e que os elementos da infraestrutura, como
água, energia, temperatura e condições do ar, estão adequados para o uso pelos
recursos da informação.
f) Desenvolver aplicações. Existência de metodologia, requisitos de segurança,
proteção do ambiente de desenvolvimento de sistemas e documentação para
garantia do conhecimento.
g) Tratar incidentes de segurança. Registrar incidentes, responder em tempo
adequado e encaminhar para a solução definitiva.
h) Garantir informações para atividade forense. Definição de ações preventivas,
treinamento de usuário para tratar situações, infraestrutura mínima de
tecnologia, realização de análise forense de situações de fraude, erro e
recuperação da informação.
i) Proteger recursos de tecnologia. Proteção da rede da organização contra ataques
externos e internos, proteção de cada computador, definição da autenticação
entre recursos de tecnologia, garantia de utilização de produtos atualizados e
correções dos produtos e do SW básico.
j) Conscientizar e treinar os usuários. Definir procedimentos para conscientização,
definir e implementar treinamentos necessários, garantir engajamento da
direção e garantir o alinhamento com regulamentos internos e externos.
k) Definir área organizacional da segurança da informação. Definição do escopo
da atuação, definição da estrutura de pessoas e recursos, identificação das áreas
gestoras da informação, identificação das áreas que utilizam a informação,
identificação dos processos necessários para a gestão da segurança da
informação e definição da posição organizacional.
l) Evitar fraudes pela tecnologia. Análise dos sistemas e processos do negócio,

78
TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

definição/avaliação das contramedidas, definição do monitoramento constante,


definição das medidas preventivas, definição de maneiras de detecção de
fraude e existência de respostas rápidas.
m) Os aspectos legais, e outros requerimentos que a organização é obrigada
a cumprir, devem ser considerados em uma visão corporativa, possibilitando
uma única implementação. Questões que atingem áreas específicas continuam
tendo uma abordagem corporativa, porém, com uma implementação específica.
n) Uma arquitetura de segurança da informação é uma estrutura que possibilita
a existência de controles nas diversas dimensões que tratam da informação. O
objetivo principal é o de proteger o negócio.

A política não pode, ou melhor, ela não deve surgir do nada. Para que ela
tenha sentido, e que seja adotada, é necessário que esteja alinhada aos objetivos
da organização. Com base nos objetivos do negócio, são definidos os objetivos
da segurança da informação, que têm, como destaque, possibilitar a realização
do negócio com o uso dos recursos de informação, pois a PSI de uma empresa de
desenvolvimento de software difere de uma organização de ajuda humanitária.

Para que não existam problemas de comunicação e que todos sigam


as mesmas regras, outros documentos e regulamentos da organização servem
para definir estratégias, regras, padrões e procedimentos que norteiam as ações
para a garantia da segurança das informações. Podem ser atividades técnicas,
como o backup, ou atividades dos usuários, como a criação de senhas. Sem o
direcionamento, a equipe pode ficar sem saber para onde ir, sem saber qual é a
filosofia da organização e qual o nível de proteção desejado.

Para ter uma estrutura adequada, recomendamos que deva existir


uma política principal, descrita em um documento curto e simples, de
forma que todos os usuários entendam facilmente como a organização
deseja que a informação seja tratada e quais são as principais
responsabilidades dos usuários. Outros documentos, tipo políticas
específicas e normas, podem e devem complementar esses requisitos
básicos. Todo esse conjunto de regulamentos deve:
• declarar e clarificar as regras;
• definir obrigações, responsabilidades e autoridade;
• formalizar processos e procedimentos;
• documentar a boa cultura empresarial;
• evitar o crescimento da parte do folclore organizacional, que impede
as boas práticas de proteção;
• possibilitar seu uso em questões legais, em contratos, no
relacionamento com as pessoas que participam do negócio e nas
relações com o mercado;
• estabelecer padrões;
• ajudar a educar as pessoas; e
• ser a base para uma efetiva arquitetura de segurança da informação
(FONTES, 2008, p. 34).

As sugestões apresentadas constituem a base para a documentação e


norteiam a construção. Contudo, a empresa pode e deve ter políticas internas,
estas que compõem a política de segurança da informação. Além disso, também
temos que definir o não cumprimento das políticas.

79
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

4 BOAS PRÁTICAS PARA A CONSTRUÇÃO DA PSI


Apresentaremos algumas práticas que, em alguns documentos, são
chamadas de políticas. São comportamentos que visam melhorar a segurança da
informação, pequenas atitudes de grande impacto para evitar invasões e tornar o
ambiente mais seguro.

Outro ponto presente nas políticas de segurança e privacidade de


vários negócios são os controles de segurança. Eles são feitos para que
a infraestrutura de TI tenha uma série de regras capazes de impedir
que contas comprometidas ou vulnerabilidades possam impactar
negativamente outras áreas.
Um controle de acesso eficiente é aquele que reduz o número de
diretórios e sistemas disponíveis para o usuário. Dessa forma, caso a
sua conta seja comprometida, as chances de obter acesso a informações
privilegiadas e recursos administrativos são reduzidas. Além disso, a
sua conta deve estar vinculada a sistemas de monitoramento, tornando
o bloqueio de contas que executam atividades suspeitas mais ágil
(NEOWAY, 2019, s.p.).

Assim, todos os controles de segurança também devem estar interligados


e ser abrangentes. Deve existir a conexão de toda gestão, eles devem se comunicar
entre áreas, avaliando quais os recursos devem ser liberados e como cada bloqueio
afeta a rotina dos colaboradores. Apenas com a união de todos da empresa é
mantida uma rotina de trabalho ágil e com alta segurança (NEOWAY, 2019).

É importante reforçar novamente que as políticas de segurança só


são realmente eficazes a partir do momento em que os profissionais passam a
atuar preventivamente. Por mais eficazes que sejam os processos de controle e
monitoramento da organização, se os usuários não aplicam, não tornam as boas
práticas parte do seu dia a dia, as chances de a empresa ter os seus sistemas
infectados por malwares se mantêm altas. Assim, a empresa deve adotar uma série
de medidas preventivas para reduzir as chances de vulnerabilidades (NEOWAY,
2019).

O primeiro passo é capacitar o profissional a identificar falhas e conteúdos


maliciosos. Ele deve conhecer as principais técnicas de ataque e as práticas mais
comuns para evitar ataques:

• Não utilizar pen drives de origem desconhecida.


• Confirmar, com o remetente, o envio de mensagens eletrônicas com anexos.
• Fazer, da nuvem, o ambiente prioritário para compartilhamento de arquivos.
• Copiar e colar links de e-mails, ao invés de clicar neles diretamente.
• Manter um filtro de SPAM atualizado.
• Adotar autenticação de dois passos, sempre que possível.
• Utilizar senhas com alto nível de complexidade.
• Manter dispositivos criptografados.
• Sempre utilizar uma VPN em redes Wi-Fi desconhecidas ou públicas.

80
TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Apesar de simples, essas rotinas podem impedir que grande parte das
ameaças digitais consiga invadir sistemas internos de uma empresa, diminuindo
os riscos e tornando todo o ambiente de tecnologia da informação (TI) mais
seguro, uma vez que as políticas de segurança têm um impacto elevado. Assim,
toda a empresa deve contar com uma infraestrutura robusta, com baixo nível de
falhas de segurança e alta performance (NEOWAY, 2019).

5 DIVULGAÇÃO DA POLÍTICA
Após a definição da política, do que quer ser protegido, é necessário que
todos saibam. Assim, a organização pode utilizar diversos canais de comunicação
e atingir o nível de conscientização que espera.

O segredo do sucesso de uma campanha consiste em uma boa estratégia


para utilização desses canais, gerando os efeitos desejados em cada uma das fases,
falando com os diversos tipos de audiência de forma distinta, compreendendo as
características e o contexto no qual cada um dos canais é mais eficaz.

Segundo Cabral e Caprino (2015), a organização pode utilizar o e-mail,


quando deseja distribuir mensagens de curto e médio tamanhos. É preciso
notificar os compromissos relacionados à divulgação da política, como data
e local de palestras, ou informar a localização de recursos importantes para
consulta futura, como a localização da política ou dos canais para denúncia de
incidentes. Vale ressaltar que é importante não distribuir conteúdo que precise
ser efetivamente lido e compreendido.

Os pôsteres podem ser colocados em pontos de passagens e utilizados


para apresentar mensagens curtas, de fixação ou lembrete, como “você sabe criar
uma senha segura?”. Despertam a curiosidade por assuntos que ainda não foram
revelados em sua totalidade. Ainda, há os quadros de aviso, colocados em locais
onde os colaboradores costumam ir com frequência e permanecem por algum
tempo, como a mesa de café ou o bebedouro. No caso, as mensagens já são um
pouco mais detalhadas, dando dicas de como criar a senha segura (CABRAL;
CAPRINO, 2015).

O protetor de tela, em razão da sua presença constante nas telas, é quase


que virtualmente ignorado, pois não desperta mais o interesse do colaborador,
assim, é necessário que o conteúdo mude com frequência. Cabral e Caprino (2015,
p. 127) afirmam que “quando a organização possui tecnologia para trocá-lo de
forma periódica, ou mesmo aleatória, pode ser usado para mensagens de fixação”.

Outra maneira de divulgação é a newsletter, que possui conteúdo


periódico, normalmente contendo informações a respeito do que acontece dentro
da organização. Essa ferramenta de divulgação tem um aspecto humano forte,
ou seja, os colaboradores querem saber o que outros colaboradores estão fazendo,
de forma que deve ser o foco do conteúdo ou, pelo menos, o ponto de partida.

81
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Para estimular o interesse, é possível utilizar essa ferramenta para, por exemplo,
divulgar casos de denúncias de incidentes bem-sucedidos, destacando a pessoa
responsável e emendando com conteúdo de fixação (CABRAL; CAPRINO, 2015).

Na divulgação, através de palestra, o conteúdo deve ser mais detalhado,


buscando a sensibilização e compreensão, como os motivadores por trás das
iniciativas de segurança da informação, sejam eles empresariais ou recomendações
habituais para a rotina das pessoas. Nessas palestras, o objetivo é despertar as
sensações de engajamento e comunidade importantes para desenvolver sinergia.
A quantidade de palestras pode variar, conforme a necessidade de proteção, mas
o ideal é fazer, pelo menos, uma palestra, focada no público de alta administração
e multiplicadores (CABRAL; CAPRINO, 2015).

Caso a palestra não consiga contemplar todos os colaboradores, por


questão de horários diferenciados, ou questões físicas e geográficas, pode-se
fazer uso de vídeo, mas com a noção de que sua eficácia é reduzida, por não
possuir o apelo de ser um evento único e não permitir interações. Uma sugestão
é combinar, ou seja, executar algumas palestras e depois gravá-las, especialmente
para reprodução remota (CABRAL; CAPRINO, 2015).

Não basta apenas a divulgação, é necessário um programa de estímulo.


Uma vez que as políticas de segurança tenham sido entregues, é fundamental
estimular seu cumprimento através de benefícios diretos aos que adaptaram sua
rotina de acordo com o que foi solicitado. Para alcançar o engajamento, além da
divulgação nas newsletters, segundo Cabral e Caprino (2015, p. 128), “passar nas
mesas de forma aleatória no horário do almoço em busca de informações sigilosas,
deixando um vale-brinde na gaveta de todas as mesas que estiverem arrumadas”.

82
RESUMO DO TÓPICO 2

Neste tópico, você aprendeu que:

• Conseguir a aderência da gestão da organização é o ponto crucial para o


desenvolvimento de políticas.

• As normas são regras básicas de como deve ser implementado o controle ou o


conjunto de controles, estes que foram definidos nas políticas.

• As políticas, as normas e os procedimentos são os regulamentos que dão


suporte e validade ao PSI e aos controles definidos.

• Cada organização deve definir e desenvolver suas políticas, de acordo com a


sua realidade, mas é necessário que a arquitetura de segurança utilizada tenha
uma base teórica.

• A organização deve criar boas práticas que auxiliem a evitar ataques, e


documentar essas ações nas políticas.

• Além de existir uma política, é necessário que todos saibam, assim, a divulgação,
de forma correta, é de extrema importância para o engajamento de todos.

83
AUTOATIVIDADE

1 Que toda informação deve ser protegida, isso é fato, mas conseguir a adesão
de todos não é fácil. Muitas organizações, quando começam a se preocupar
com a segurança, sentem dificuldade na elaboração dos documentos.
Sobre o que deve conter no documento que reúne as diretrizes para a
implementação de uma política de segurança da informação, considere as
afirmativas a seguir:

I- Uma definição de segurança da informação, suas metas globais, escopo e


importância da segurança da informação como um mecanismo que habilita
o compartilhamento da informação.
II- Uma definição impressa que deve ser recebida no momento da contratação,
pois não há alterações, elas são estáticas e não precisam ser atualizadas.
III- Uma estrutura para estabelecer os objetivos de controle e os controles,
incluindo a estrutura de análise/avaliação e gerenciamento de risco.
IV- Breve explanação das políticas, princípios, normas e requisitos de
conformidade de segurança da informação específicos para a organização.
V- Definição das responsabilidades gerais e específicas na gestão da segurança
da informação, incluindo o registro dos incidentes.
VI- Referências à documentação que possam apoiar a política, por exemplo,
políticas e procedimentos de segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que os usuários devem
seguir.

Estão CORRETAS as afirmativas:


a) ( ) I, II e VI.
b) ( ) I, II, III, IV, V e VI.
c) ( ) II, III, V e VI.
d) ( ) I, III, IV, V e VI.
e) ( ) III, IV e VI.

2 Uma organização não é igual a outra, os ativos de uma diferem muito dos
ativos de outra. Por isso, o que cada organização deve proteger depende
muito da sua estrutura. Com base nisso, cada uma deve desenvolver
sua política de segurança. Uma política de segurança é um instrumento
importante para proteger a organização contra ameaças à segurança
da informação. Considerando as necessidades e particularidades da
organização, é correto afirmar que:

a) ( ) As políticas de segurança definem procedimentos específicos de


manipulação e proteção da informação, mas não atribuem direitos e
responsabilidades às pessoas que lidam com a informação.
b) ( ) A política de segurança não estipula penalidades. Isso é feito
separadamente, no manual do usuário entregue pelo RH no momento da
contratação.
84
c) ( ) Antes que a política de segurança seja escrita, é necessário definir a
informação a ser protegida, e isso é feito, geralmente, através de uma
análise de riscos.
d) ( ) Questões relacionadas ao uso de senhas (requisitos para formação de
senhas, período de validade das senhas etc.) não são cobertas pela Política
de Segurança da Informação. Essas questões são tratadas em um manual
para criação de senhas seguras, criado pela equipe de TI.
e) ( ) A política de segurança é escrita e implantada pelo departamento de
TI. Deve ser seguida por todos os funcionários da organização e assinada
pelo Gerente de TI, sem envolver a alta gestão, que cuida de assuntos
estratégicos.

3 A segurança da informação busca garantir que as informações não caiam


em mãos erradas. Cada organização tem suas particularidades em relação
à segurança das suas informações. Embora o conteúdo de políticas de
segurança da informação varie de instituição para instituição, é comum a
presença do seguinte item:

a) ( ) Declaração informal do comprometimento da alta administração com a


política.
b) ( ) Orientações sobre gerência de projetos de sistemas de informação.
c) ( ) Princípios legais que devem ser observados quanto à tecnologia da
informação.
d) ( ) Definição do controle temporário das tentativas de violação da
segurança da informação.

4 A política de segurança da informação é um dos documentos que auxilia


na garantia das integridades das suas informações. Sem a adesão de todos
da organização, é apenas mais um documento. Com relação à política de
segurança da informação, analise as afirmativas a seguir:

I- Uma política de segurança precisa avaliar as ameaças e os riscos,


classificando-os de acordo com a criticidade da operação e do ativo que
pode ser afetado.
II- A violação da política de segurança da informação deve ser apurada
informalmente, para não expor vulnerabilidades desnecessariamente,
salvo nos casos mais graves.
III- Convém que a direção estabeleça uma clara orientação da política, alinhada
com os objetivos do negócio, demonstrando apoio e comprometimento
com a segurança da informação.

Está CORRETO somente o que se afirma em:


a) ( ) Somente o item I.
b) ( ) Somente o item II.
c) ( ) Somente o item III.
d) ( ) I e II.
e) ( ) I e III.

85
5 Quando falamos de políticas de segurança da informação, devemos ter
em mente um conjunto de regras, procedimentos, padrões, normas e
diretrizes que deve ser de conhecimento de todos na organização. Além dos
conhecimentos, que devem ser seguidos. Assim, com relação às políticas,
normas e procedimentos de segurança da informação, analise e selecione a
opção correta:

a) ( ) Não necessitam do envolvimento da alta administração, já que são


responsabilidades da área de TI.
b) ( ) Devem estar alinhados com as estratégias de negócio da empresa,
padrões e procedimentos já existentes.
c) ( ) Devem ser concentrados, exclusivamente, em ações proibitivas
e punitivas, garantindo a segurança dos recursos de informação
e a responsabilização legal daqueles que infringirem as normas e
procedimentos de segurança.
d) ( ) São criados e implantados pelo Comitê de Segurança da Informação,
constituído, na sua totalidade, por profissionais das áreas administrativas e
de Tecnologia da Informação.
e) ( ) Devem abranger todos os serviços e áreas da organização e ser
implantados de uma única vez, minimizando a possível resistência de
alguns setores da empresa.

6 Após reconhecer a importância da segurança da informação e desenvolver


a Política de Segurança da Informação (PSI), é preciso usar uma linguagem
conhecida e meios adequados aos tipos de mensagens e usuários; adotar
estilo simples e claro; respeitar o interlocutor, sem superestimá-lo, nem
subestimá-lo; e respeitar a cultura organizacional e a do país. Assim, é
necessário que todos entendam e vivenciem as políticas, desde a criação da
sua senha até o acesso a sites indevidos. É correto concluir que tal afirmação:

a) ( ) Adere parcialmente às expectativas de uma PSI, pois a política deve ser


única, e não deve levar em conta características humanas e legais do país no
qual ela é aplicada.
b) ( ) Adere parcialmente às expectativas de uma PSI, tendo em vista que ela
deve ser construída considerando uma linguagem tecnológica desvinculada
de adoção de estilos.
c) ( ) Adere integralmente à formulação de uma PSI, pois, ao elaborar uma
política, é necessário que ela seja ajustada a cada instituição, e deve ser
comunicada de maneira que todos entendam.
d) ( ) Adere parcialmente às expectativas de uma PSI, porque os atributos
do interlocutor não devem constituir relevância, já que todos os usuários,
presumivelmente, foram selecionados pela empresa para entender a
tecnologia usada.
e) ( ) Não atende aos propósitos de uma PSI, pois linguagem, estilo e
interlocutor não podem se sobrepor à linguagem tecnológica, e é preciso
levar em conta a cultura do país, a linguagem tecnológica utilizada e os
níveis de sensibilidade de cada tipo de interlocutor.

86
TÓPICO 3 —
UNIDADE 2

CRIANDO UMA POLÍTICA DE SEGURANÇA DA


INFORMAÇÃO

1 INTRODUÇÃO
Chegou o momento de criarmos as nossas políticas. Já temos o
embasamento do que é necessário ser protegido, como vimos no Tópico 1. Ainda,
como a política dá suporte para mantermos a integridade e a confidencialidade
dos nossos ativos.

Também apresentamos que a política deve ser de conhecimento de todos,


que deve ser seguida, e que as penalidades devem ser informadas na própria PSI.
A atitude de todos é essencial na construção e na segurança das informações de
uma organização.

Nesta unidade, apresentaremos alguns itens, dicas e exemplos que


auxiliarão na documentação da sua política de segurança. Lembrando que a PSI
não é um documento escrito por uma só mão, é necessária a participação de todos.

2 CRIAÇÃO E IMPLANTAÇÃO DA PSI


Semelhante ao desenvolvimento de um sistema, quando é feita a entrega,
é feita através da formalização, que é assinada pelo cliente. Com a PSI, ocorre o
mesmo.

Conforme as etapas de desenvolvimento de um sistema, o tempo, desde o


início até a completa implantação, não é feito de um dia para outro. As principais
etapas que conduzem para a implantação bem-sucedida da PSI são: elaboração,
aprovação, implementação, divulgação e manutenção (BRASIL, 2014). De forma
mais detalhada, é possível citar, como as principais fases que compõem o processo
de implantação da PSI, segundo Borges et al. (2019, p. 69):

• identificação dos recursos críticos;


• classificação das informações;
• definição, em linhas gerais, dos objetivos de segurança a serem
atingidos;
• análise das necessidades de segurança (identificação das possíveis
ameaças, análise de riscos e impactos);
• elaboração de proposta de política;
• discussões abertas com os envolvidos;
• apresentação de documento formal à alta administração;

87
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

• aprovação;
• publicação;
• divulgação;
• treinamento;
• implementação;
• avaliação e identificação das mudanças necessárias;
• revisão.

Sempre lembrando que são sugestões, e que cada organização deve


desenvolver sua política, de acordo seu cenário. Apresentaremos algumas
práticas, estas que poderão ser incorporadas na política de segurança.

3 POLÍTICA DE SEGURANÇA
Começamos apresentando um modelo genérico com os pontos que
devem ser abordados. Conforme a necessidade da organização, podem ser
mais detalhados. A etapa de introdução busca apresentar do que se trata o
documento – Introdução: a segurança é um dos assuntos mais importantes dentre
as preocupações de qualquer empresa. Nesse documento, apresentaremos um
conjunto de instruções e procedimentos para normatizar e melhorar nossa visão
e atuação em segurança (PALMA, 2017, p. 1). Veja o exemplo de uma introdução:

A informação é o dado com uma interpretação lógica ou natural


dada por seu usuário (REZENDE; ABREU, 2000). A informação tem
um valor altamente significativo e pode representar grande poder
para quem a possui. A informação contém valor, pois está integrada
com os processos, pessoas e tecnologias. Diante da sua importância
para as tomadas de decisões, as empresas têm se empenhado para
utilizar mecanismos de segurança no sentido de salvaguardar essas
informações (GHC, 2015, p. 2).

Segundo Senac (2013, p. 4):

A Política de Segurança da Informação, também referida como PSI, é o


documento que orienta e estabelece as diretrizes corporativas do Senac
São Paulo para a proteção dos ativos de informação e a prevenção da
responsabilidade legal para todos os usuários. Deve, portanto, ser
cumprida e aplicada em todas as áreas da instituição.
A presente PSI está baseada nas recomendações propostas pela norma
ABNT NBR ISO/IEC 27002:2005, reconhecida mundialmente como um
código de prática para a gestão da segurança da informação. Ainda,
está de acordo com as leis vigentes em nosso país. Com a intenção
de aumentar a segurança da infraestrutura tecnológica direcionada
ao uso acadêmico, foi desenvolvida, paralelamente, uma Norma
de Segurança da Informação Educacional, visando à orientação dos
nossos clientes para a utilização dos ativos de tecnologia da informação
disponibilizados.
Tais documentos se encontram disponíveis na intranet do Senac São
Paulo, na seção SisNormas.

88
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A próxima etapa deve apresentar como a empresa está se colocando nesse


documento, o que espera, quais são os objetivos:

Todas as normas aqui estabelecidas serão seguidas à risca por todos


os funcionários, parceiros e prestadores de serviços. Ao receber essa
cópia da Política de Segurança, o/a sr/sra se comprometeu a respeitar
todos os tópicos aqui abordados e está ciente de que seus e-mails e
navegação na internet/intranet podem estar sendo monitorados. A
equipe de segurança se encontra à total disposição para saneamento
de dúvidas e auxílio técnico (PALMA, 2017, p. 1).

OBJETIVO: A Política de Segurança da Informação do Grupo


Hospitalar Conceição – PSI/GHC visa preservar a confiabilidade,
integridade e disponibilidade das informações para a resolução de
problemas e tomada de decisão, primando por melhorar a qualidade
do atendimento e tratamento do paciente. O PSI/GHC é uma declaração
formal da instituição acerca do seu compromisso com a proteção das
informações de sua propriedade e/ou sob sua guarda, devendo haver
cumprimento por todos os seus colaboradores no que diz respeito a
seus direitos e responsabilidades com os recursos computacionais
da instituição e as informações. Seu propósito é estabelecer as
diretrizes a serem seguidas pelo GHC no que diz respeito à adoção de
procedimentos e mecanismos relacionados à segurança da informação
(GHC, 2015, p. 2).

Estabelecer diretrizes que permitam, aos colaboradores e clientes do


Senac São Paulo, seguirem padrões de comportamento relacionados à
segurança da informação adequados às necessidades de negócio e de
proteção legal da empresa e do indivíduo.
Nortear a definição de normas e procedimentos específicos de
segurança da informação, além da implementação de controles e
processos para o atendimento.
Preservar as informações do Senac São Paulo quanto à:
• Integridade: garantia de que a informação seja mantida em seu
estado original, visando protegê-la, na guarda ou transmissão,
contra alterações indevidas, intencionais ou acidentais.
• Confidencialidade: garantia de que o acesso à informação seja
obtido somente por pessoas autorizadas.
• Disponibilidade: garantia de que os usuários autorizados obtenham
acesso à informação e aos ativos correspondentes (SENAC, 2013, p. 4).

Como podemos observar nos exemplos, eles justificam a importância da


informação para a organização. Lembrando que a ordem dos itens é definida
pela organização. Aqui, tomamos, como base, Palma (2017). O próximo item é a
informação, o que acontece com o não cumprimento da política, quais as sanções.

O não cumprimento dessas políticas acarretará sanções administrativas


em primeira instância, podendo acarretar o desligamento do
funcionário de acordo com a gravidade da ocorrência (PALMA, 2017,
p. 1).

89
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

PENALIDADES: A não observância dos preceitos desta política


poderá implicar na aplicação de sanções administrativas, cíveis e
penais previstas na legislação em vigor que regule ou venha regular
a matéria. As penalidades administrativas serão aplicadas após a
sua devida apuração em processo administrativo disciplinar, sendo
observados critérios de gravidade e reincidência dos atos de violação
cometidos à Política de Segurança da Informação. As infrações
ocorridas, violando as normas que compõem a Política de Segurança
da Informação, deverão ser analisadas pelo gestor imediato do
infrator, que deverá comunicar a Gerência de Informática para fins
de determinação da apuração das eventuais responsabilidades dos
funcionários envolvidos (GHC, 2015, p. 9).

O Senac, ao monitorar a rede interna, pretende garantir a integridade


dos dados e programas. Toda tentativa de alteração dos parâmetros de
segurança, por qualquer colaborador, sem o devido credenciamento e
a autorização, será julgada inadequada e os riscos relacionados serão
informados ao colaborador e ao respectivo gestor. O uso de qualquer
recurso para atividades ilícitas poderá acarretar ações administrativas
e penalidades decorrentes de processos civil e criminal, sendo que
a instituição cooperará ativamente com as autoridades competentes
(SENAC, 2013, p. 11).

Comum, em todos os modelos usados, é a necessidade de autenticação,


baseada uma senha. Esse meio é muito utilizado, por suas facilidades de
implantação e manutenção, além do baixo custo. Como risco, o uso de senha
fraca, facilmente identificada. Por isso, pode-se definir uma política para a criação
da senha.

As senhas de usuário são pessoais e intransferíveis, não podendo ser


compartilhadas, divulgadas a terceiros (inclusive colaboradores da
própria empresa), anotadas em papel ou em sistema visível ou de
acesso não protegido (GHC, 2015, p. 10).

Senhas, como nome do usuário, combinações simples (abc123),


substantivos (casa, meia, cadeira, Brasil), datas (11092001) e outras,
são extremamente fáceis de descobrir. Então, aprenda a criar senha de
forma coerente, observando nossa política de senhas.
Uma senha segura deverá conter, no mínimo, 6 caracteres alfanuméricos
(letras e números) com diferentes caixas.
Para facilitar a memorização das senhas, utilize padrões mnemônicos.
Por exemplo:
eSus6C (SEMPRE usamos seis 6 CARACTERES)
odIamp0709 (ouviram do Ipiringa as margens plácidas 7 de setembro)
s3Nh45 (Na palavra senha, o 3 substitui o E, o 4, o A e, o 5, o S)
As senhas terão um tempo de vida útil determinado pela equipe de
segurança, devendo ser respeitado, caso contrário, o usuário ficará
sem acesso aos sistemas.
• Sua senha não deve ser passada a ninguém, nem mesmo à equipe de
segurança. Caso desconfie que sua senha não está mais segura, sinta-
se, à vontade, para alterá-la, mesmo antes do prazo determinado de
validade.
• Tudo que for executado com a sua senha será de sua inteira
responsabilidade, por isso, tome todas as precauções possíveis para
manter sua senha secreta (PALMA, 2017, p. 2).

90
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Devem ser distintamente identificados os visitantes, estagiários,


empregados temporários, empregados regulares e prestadores de serviços, sejam
eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente
de rede local, o usuário deverá trocar imediatamente a sua senha, conforme as
orientações apresentadas.

Os usuários que não possuem perfil de administrador deverão ter senha


de tamanho variável, possuindo, no mínimo, seis caracteres alfanuméricos,
utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa
(maiúsculo e minúsculo), sempre que possível. Já os usuários que possuem perfil
de administrador ou acesso privilegiado deverão utilizar uma senha de, no
mínimo, dez caracteres, alfanumérica, utilizando caracteres especiais (@ # $ %) e
variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo).

É de responsabilidade, de cada usuário, a memorização da sua própria


senha, além da proteção e da guarda dos dispositivos de identificação. As senhas
não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel
etc.), compreensíveis por linguagem humana (não criptografados); não devem
ser baseadas em informações pessoais, como próprio nome, nome de familiares,
data de nascimento, endereço, placa de veículo, nome da empresa, nome do
departamento; e não devem ser constituídas de combinações óbvias do teclado,
como “abcdefgh”, “87654321” etc.

Após 3 três tentativas de acesso, a conta do usuário será bloqueada.


Para o desbloqueio, é necessário que o usuário entre em contato com a Gerência
de Sistemas do Senac São Paulo. Deverá ser estabelecido um processo para a
renovação de senha (confirmar a identidade). Os usuários podem alterar a própria
senha, e devem ser orientados a fazer, caso suspeitem que terceiros obtiveram
acesso indevido ao seu login/senha.

A periodicidade máxima para troca das senhas é 45 (quarenta e cinco)


dias, não podendo ser repetidas as três últimas senhas. Os sistemas críticos e
sensíveis para a instituição e os logins com privilégios administrativos devem
exigir a troca de senhas a cada 30 dias. Os sistemas devem forçar a troca das
senhas dentro do prazo máximo.

Todos os acessos devem ser imediatamente bloqueados quando se


tornarem desnecessários. Portanto, assim que algum usuário for demitido ou
solicitar demissão, o Departamento de Recursos Humanos deverá, imediatamente,
comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que a
providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato
ou prestação de serviços tenha se encerrado, além dos usuários de testes e outras
situações similares.

Caso o colaborador esqueça sua senha, ele deverá requisitar, formalmente,


a troca, ou comparecer à área técnica responsável, para cadastrar uma nova
(SENAC, 2013).

91
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

4 POLÍTICA DE USO DE ESTAÇÃO DE TRABALHO


Cada estação de trabalho tem códigos internos que permitem que ela seja
identificada na rede, e cada indivíduo possui sua própria estação de trabalho.
Assim, tudo que venha a ser executado da sua estação acarretará responsabilidade
sua. Por isso, sempre que sair da frente da sua estação, tenha certeza de que
efetuou logoff ou travou o console.

• Não instale nenhum tipo de software/hardware sem autorização da equipe


técnica ou de segurança.
• Não tenha MP3, filmes, fotos e softwares com direitos autorais ou qualquer
outro tipo de pirataria.
• Mantenha, na sua estação, somente o que for supérfluo ou pessoal. Todos os
dados relativos à empresa devem ser mantidos no servidor, onde existe um
sistema de backup diário e confiável.

Caso não saiba como fazer, entre em contato com a equipe técnica.

Política Social

Como seres humanos, temos a grande vantagem de sermos sociáveis, mas,


muitas vezes, quando discorremos sobre segurança, isso é uma desvantagem. Por
isso, observe os seguintes tópicos:

• Não fale sobre a política de segurança da empresa com terceiros ou em locais


públicos.
• Não diga sua senha para ninguém. Nossa equipe técnica jamais pedirá sua
senha.
• Não digite suas senhas ou usuários em máquinas de terceiros, especialmente
fora da empresa.
• Somente aceite ajuda técnica de um membro de nossa equipe técnica
previamente apresentado e identificado.
• Nunca execute procedimentos técnicos cujas instruções tenham vindo por
e-mail.
• Relate, à equipe de segurança, pedidos externos ou internos que venham a
discordar dos tópicos anteriores.

Vírus e códigos maliciosos

• Mantenha seu antivírus atualizado. Provavelmente, nossa equipe técnica


se encarregará disso, mas caso não tenha sido feito, ou você perceba que a
atualização não está funcional, entre em contato, para que a situação possa ser
corrigida.
• Não traga disquetes ou CDs de fora da empresa. Caso isso seja extremamente
necessário, encaminhe para a equipe técnica, passando por uma verificação
antes da liberação.

92
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

• Reporte atitudes suspeitas, em seu sistema, à equipe técnica, para que possíveis
vírus possam ser identificados no menor espaço de tempo possível.
• Suspeite de softwares que "você clica e não acontece nada".

Continuidade de negócios

De nada adianta uma informação segura se ela estiver indisponível para


quem necessita dela. Por isso, nossas equipes técnicas e de segurança contam,
com a sua colaboração, para manter nossa empresa como líder de mercado. Entre
em contato conosco sempre que julgar necessário.

QUADRO 1 – CONTATOS

Função Nome e-mail Ramal Contato


Equipe técnica Fulano fulano@empresa.com 123 9999-9990
Equipe segurança Beltrano beltrano@empresa.com 345 9999-9991
FONTE: Adaptado de Palma (2017)

5 POLÍTICA DE USO DA INTERNET


Podemos dizer que uma política de uso da internet pode ajudar a garantir
que os colaboradores façam um uso da internet de maneira mais eficaz, sem perder
tempo em redes sociais e outros sites de entretenimento que, em nada, agregam.
Lembrando que tudo pode variar, conforme o ramo de atuação da organização.
Essa preocupação se justifica não apenas em relação ao comprometimento
da produtividade dos colaboradores, mas também a outras questões, como a
segurança. Assim, a política de uso da internet deve incluir etapas para minimizar
os riscos causados por vírus, como permitir, somente ao funcionário autorizado,
a fazer downloads e a instalar softwares (MARQUES, 2017).

Marques (2017) ressalta que esse controle de acesso à internet deve ser
desenvolvido para dar, ao colaborador, noção de responsabilidade ao utilizar a
rede do trabalho. Ainda, não deve ser cercado por autoritarismo e proibições, pois
estas podem ser facilmente burlados. Hoje, na internet, é fácil encontrar tutoriais
que ensinam como acessar sites bloqueados, assim, é necessária a conscientização
para o bom uso. É importante que a política de uso da internet seja mais uma
ferramenta educativa.

Para que a política de acesso à internet seja praticada, deve ser um


documento de fácil compreensão e que todos sejam capazes de entendê-lo com
facilidade e usá-lo como guia, por isso, a sua divulgação é tão importante. Pode ser
necessário, dependendo da organização, promover uma reunião para apresentar
cada ponto e sanar as possíveis dúvidas dos funcionários. É importante mencionar
que são medidas preventivas para evitar problemas, e não há a intenção de criar
um clima de proibições. É preciso que os colaboradores não sintam que não há
confiança por parte do gestor (MARQUES, 2017).

93
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Veja um exemplo, a seguir, de política de uso. Após a divulgação, o


colaborador confirma o entendimento e assina. É, de suma importância, que o
jurídico da organização valide o documento.

E
IMPORTANT

Política de uso da internet

O propósito dessa política é assegurar o uso apropriado da Internet na empresa.

O uso da internet, pelos empregados da empresa, é permitido e encorajado desde que seu
uso seja aderente aos objetivos e atividades de negócio. Entretanto, a empresa tem uma
política para o uso da internet desde que os funcionários/colaboradores assegurem que
cada um deles:

• Siga a legislação corrente (sobre pirataria, pedofilia, ações discriminatórias).


• Use a internet de uma forma aceitável.
• Não crie riscos desnecessários para o negócio da empresa.

Se você tem alguma dúvida ou comentários sobre essa Política de Uso da Internet, por
favor, entre em contato com o seu supervisor.

Concorrentemente ao descrito, será considerado totalmente inaceitável, tanto no uso


quanto no comportamento dos empregados:

• visitar sites da internet que contenham material obsceno e/ou pornográfico;


• usar o computador para executar quaisquer tipos ou formas de fraudes, ou software/
música pirata.
• usar a internet para enviar material ofensivo ou de assédio para outros usuários;
• baixar (download) de software comercial ou qualquer outro material cujo direito pertença
a terceiros (copyright), sem ter um contrato de licenciamento ou outros tipos de licença;
• atacar e/ou pesquisar em áreas não autorizadas (hacking);
• criar ou transmitir material difamatório;
• executar atividades que desperdicem os esforços do pessoal técnico ou dos recursos da
rede;
• introduzir, de qualquer forma, um vírus de computador dentro da rede corporativa.

Monitoramento

A empresa reafirma que o uso da internet é uma ferramenta valiosa para seus negócios.
Entretanto, o mau uso dessa facilidade pode ter impacto negativo na produtividade dos
funcionários e na própria reputação do negócio.

Em adição, todos os recursos tecnológicos da empresa existem para o propósito exclusivo


do negócio. Portanto, a empresa se dá ao direito de monitorar o volume de tráfico na
internet e na rede, além dos endereços web (http://) visitados.

94
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A falha em não seguir a política resultará em sanções que variarão desde procedimentos
disciplinares, com avisos verbais ou escritos, até a demissão.

Declaração

Eu li e concordo em seguir as regras descritas nessa política, e entendo que o não


seguimento das regras pode resultar em ação disciplinar ou ação judicial contra minha
pessoa.

Assinatura:
Data:
Nome extenso:

FONTE: <http://www.smartunion.com.br/download_artigos/Politica_Internet_Smart_
Union_Versao_Simples.htm>. Acesso em: 6 jul. 2020.

Após a leitura e assinatura de concordância e entendimento, é necessário


o monitoramento, garantindo que as regras estão sendo seguidas por todos.
Contudo, esse monitoramento é um processo delicado e deve ser realizado de
forma transparente, e que todos sejam informados que os acessos feitos pela rede
corporativa são monitorados. Assim, deixe claro, para os colaboradores, que não
se trata de uma forma de vigiá-los, mas de uma maneira de a organização se
resguardar em casos que possam ser prejudiciais, como queda da produtividade,
ataque de hackers e outros problemas (MARQUES, 2017).

Como vimos, no modelo apresentado, é importante que fique claro que o


não cumprimento gera penalidades para o funcionário. Por isso, é fundamental
que esse documento seja feito com o apoio do jurídico, pois as penas podem
ser desde avisos verbais e, se o problema persistir, demissão por justa causa
(MARQUES, 2017).

Para a implementação da política de mesa limpa, por exemplo, a


organização também deve desenvolver eventos de treinamento e conscientização
para comunicar, aos empregados e outras pessoas envolvidas, os aspectos da
política. Ainda, cartazes, e-mails, informativos etc.

6 POLÍTICA DE E-MAIL
Exemplo de política de uso de e-mail corporativo.

95
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

E
IMPORTANT

Política de uso do e-mail

O propósito dessa política é assegurar o uso apropriado do sistema de mensagens


eletrônicas da empresa.

Todas as mensagens distribuídas pelo sistema da empresa, até e-mails pessoais, são de
propriedade da empresa. Você não deve manter quaisquer expectativas de privacidade
sobre quaisquer mensagens que você crie, armazene, envie ou receba através do sistema
de e-mail.

Seus e-mails podem ser monitorados sem prévia notificação, se a empresa assim achar
necessário. Se existirem quaisquer evidências que você não está aderindo às regras citadas
na política, a empresa se reserva ao direito de tomar medidas disciplinares, incluindo
demissão e/ou ação judicial.

Se você tem alguma dúvida ou comentários sobre essa política, por favor, entre em contato
com o seu supervisor.

É estritamente proibido:

• Enviar ou encaminhar e-mails contendo comentários difamatórios, ofensivos, racistas ou


obscenos. Se você receber algum e-mail dessa natureza, envie, no mesmo instante, para
o seu supervisor.
• Encaminhar mensagens ou copiar uma mensagem ou anexo pertencente a outro
funcionário sem obter a permissão da pessoa.
• Enviar spam ou “correntes”.
• Forjar ou tentar forjar mensagens de e-mail, ou disfarçar ou tentar disfarçar sua identidade
enviando um e-mail.

Cuidados necessários

Os usuários devem ter cuidado. Informações confidenciais não devem ser enviadas via
e-mail.

Para evitar fraudes, recomendamos, fortemente, que seja utilizada uma identificação digital
de segurança ou, pelo menos, uma assinatura com padrão de conhecimento prévio por
seus colegas de trabalho, citando seu nome completo e função.

Uso pessoal

Apesar do sistema de e-mail ser para assuntos de negócio, a empresa permite o uso pessoal
se for necessário e se não interferir com o trabalho a ser executado.

Isenção de Responsabilidade (Disclaimer)

Todas as mensagens devem finalizar com a seguinte comunicação de isenção:

Aviso 1: ‘esta mensagem é direcionada apenas para os endereços constantes no cabeçalho


inicial. Se você não está listado nos endereços constantes no cabeçalho, pedimos que
desconsidere completamente o conteúdo dessa mensagem, cuja cópia, encaminhamento
e/ou execução das ações citadas estão imediatamente anulados e proibidos’.

96
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Aviso 2: ‘apesar da empresa tomar todas as precauções razoáveis para assegurar que
nenhuma virose esteja presente no e-mail, não poderá aceitar a responsabilidade por
quaisquer perdas ou danos causados por esse e-mail ou por seus anexos’.

Declaração

Eu li e concordo em seguir as regras descritas nessa política, e entendo que o não


seguimento das regras pode resultar em ação disciplinar ou ação judicial contra minha
pessoa.

Assinatura: Data:
____________________________ ____________________________
Nome Extenso:
____________________________

Smart Union Consultoria e Soluções em Tecnologia Ltda – www.smartunion.com.br

FONTE: <http://www.smartunion.com.br/download_artigos/Politica_Email_Smart_Union_
Versao_Simples.htm>. Acesso em: 6 jul. 2020.

DICAS

Conheça outros modelos de política de e-mail em http://www.idebrasil.net/


downloads/politica_uso_emails.pdf.

7 POLÍTICA DE MESA LIMPA


Trata-se da engenharia social. Pessoas mal intencionadas se aproveitam
para obter informações.

97
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 10 – MESA LIMPA

FONTE: Marcondes (2015, s.p.)

No exposto, o colaborador sai para tomar um cafezinho, ou para alguma


reunião, e deixa seu computador aberto. Na tela, há informações confidenciais,
ou em qualquer outro documento deixado sobre a mesa. Qualquer pessoa pode
acessar facilmente.

Apesar de bem comum, imaginamos que você também já tenha


presenciado isso na sua empresa, representando um grande risco à informação.
Sem medidas apropriadas, todas as informações e ativos deixados na mesa podem
ser acessados, vistos ou levados por uma pessoa não autorizada. Dependendo da
intenção, a pessoa mal intencionada, já que o computador não está com senha,
pode realizar atividades no nome do empregado que se ausentou (LEAL, 2016).

A organização deve estar pronta para explicar, aos colaboradores,


independentemente se funcionários ou terceirizados que estejam prestando
serviços, mas que estejam manuseando suas informações e ativos, como proceder
adequadamente com informações e outros materiais mantidos na área de
trabalho. Para auxiliar na atividade, há a ISO 27001, que é um framework popular
de segurança da informação, além da ISO 27002, que apresenta um código de
prática detalhado. Podem oferecer boa orientação, por meio do controle de
segurança (LEAL, 2016).

A política de mesa limpa e tela limpa fala da prática relacionada a


assegurar que informações sensíveis, independentemente do seu formato,
seja ele digital ou físico, e ativos (notebooks, celulares, tablets etc.), não sejam
deixados desprotegidos em lugares de trabalho pessoais ou públicos quando não
estiverem sendo usados, ou quando alguém deixa sua área de trabalho por um
curto período de tempo ou ao fim do dia (LEAL, 2016).

Leal (2016) afirma que, uma vez que informações e ativos estejam em
um dos lugares mais vulneráveis (sujeito à divulgação ou uso não autorizado,
como previamente comentado), a aplicação de uma política de mesa limpa e tela

98
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

limpa é uma das principais táticas para diminuir os riscos de segurança. Muitos
procedimentos requerem poucos investimentos e são fáceis de aplicar.

Use áreas com trancas: gavetas com trancas, armários de pastas, cofres e
salas de arquivo deveriam estar disponíveis para armazenar mídias de informação
(documentos em papel, pen drives, cartões de memória etc.) ou dispositivos
facilmente transportáveis (celulares, tablets e notebooks) quando não em uso, ou
quando não houver ninguém tomando conta. Além da proteção contra o acesso
não autorizado, a medida também pode proteger a informação e ativos contra
desastres, como incêndios, terremotos, inundações ou explosões.

Proteção de dispositivos e sistemas de informação: computadores e


dispositivos similares deveriam estar posicionados para evitar que transeuntes
tenham a chance de olhar as telas. Ainda, configurados para protetores de tela
ativados por tempo e protegidos por senha, minimizando as chances de que
alguém tire vantagem de equipamentos desacompanhados. Adicionalmente,
sistemas de informação deveriam ter sessões encerradas quando não em uso.
Ao fim do dia, os dispositivos deveriam ser desligados, especialmente aqueles
conectados em rede (quanto menos tempo o dispositivo permanecer ligado,
menos tempo haverá para alguém tentar acessá-lo).

Restrições ao uso de tecnologias de cópia e impressão: o uso de


impressoras, fotocopiadoras, scanners e câmeras, por exemplo, deveria ser
controlado pela redução da sua quantidade (quanto menos unidades disponíveis,
menor o número de pontos potenciais de vazamento de dados), ou pelo uso
de funções de código que permitam que somente pessoas autorizadas tenham
acesso ao material enviado. Qualquer informação enviada a impressoras deveria
ser recolhida rapidamente.

Adoção de uma cultura sem papel: documentos não deveriam ser


impressos desnecessariamente, e lembretes não deveriam ser deixados em
monitores ou sob teclados. Lembre-se: mesmo pequenos pedaços de informação
podem ser o suficiente para uma pessoa mal intencionada descobrir aspectos da
sua vida, ou dos processos da organização, que possam ajudá-lo a comprometer
informações.

Descarte de informações deixadas em salas de reunião: todas as


informações em quadros brancos deveriam ser apagadas e todos os pedaços de
papel usados durante a reunião deveriam estar sujeitos a um descarte apropriado
(pelo uso de picotadora, por exemplo) (LEAL, 2016).

99
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

LEITURA COMPLEMENTAR

Política de Segurança da Informação

1 OBJETIVO

Esta política tem por objetivo estabelecer os conceitos e as diretrizes de


segurança da informação, visando proteger a Organização, os clientes e o público
em geral.

2 ABRANGÊNCIA

Esta política aplica-se a todos os administradores, funcionários, estagiários


e prestadores de serviços da B3 S.A. – Brasil, Bolsa e Balcão e de suas controladas,
no Brasil e no exterior (Companhia).

3 REFERÊNCIAS

• Código de Conduta.

• Política de Gestão de Riscos Corporativos.

• Política de Continuidade de Negócios.

• Política de Tecnologia da Informação.

• ABNT NBR ISO IEC 27002:2005.

• IOSCO Guidance on cyber resilience for financial market infrastructures.

4 CONCEITOS

A segurança da informação é aqui caracterizada pela preservação dos


seguintes conceitos:

• confidencialidade: garantia de que a informação somente possa ser acessada


por pessoas autorizadas, pelo período necessário;
• disponibilidade: garantia de que a informação esteja disponível para as pessoas
autorizadas quando se fizer necessária;
• e integridade: garantia de que a informação esteja completa, exata, íntegra e
que não tenha sido modificada ou destruída indevidamente, de maneira não
autorizada ou acidental durante o seu ciclo de vida.

100
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

5 DIRETRIZES

A informação constitui-se ativo valioso de extrema importância para


a Companhia e fundamental para o sucesso dos seus negócios, merecendo,
portanto, proteção adequada.

Segurança da informação consiste na adoção de medidas para proteger


a propriedade, confidencialidade, disponibilidade e integridade da informação,
em qualquer forma e suporte que se apresente – física ou digital –, das diversas
ameaças existentes, a fim de evitar seu uso indevido, inadequado, ilegal ou em
desconformidade com as políticas e os procedimentos internos. Para tanto, devem
ser observadas as diretrizes a seguir indicadas.

5.1 PROPRIEDADE, MONITORAMENTO E CLASSIFICAÇÃO DA


INFORMAÇÃO

As informações produzidas pelos administradores, funcionários,


estagiários e prestadores de serviços (em formato físico ou digital) são
de propriedade exclusiva da Companhia, bem como as informações a ela
disponibilizadas, de maneira autorizada, por terceiros, devendo ser utilizadas
exclusivamente para o atendimento dos objetivos do negócio.

Os equipamentos, meios de comunicação e sistemas da Companhia estão


sujeitos a monitoramento, sendo certo que eventuais informações de cunho
pessoal tratadas por esses meios ou fornecidas à Companhia serão abrangidas por
referido controle. O monitoramento aqui previsto é de conhecimento de todos os
administradores, funcionários, estagiários e prestadores de serviços.

Deve existir método para a classificação da informação de acordo com o


nível de confidencialidade e criticidade para o negócio da Companhia.

As informações devem ser atribuídas a proprietários, formalmente


designados como responsáveis pela autorização de acesso às informações sob a
sua responsabilidade.

As informações devem estar adequadamente protegidas e rotuladas em


observância às diretrizes de segurança da informação da Companhia em todo
o ciclo de vida, que compreende: geração, acesso, manuseio, armazenamento,
reprodução, transporte e descarte.

5.2 ACESSOS E IDENTIDADES

Os acessos às informações e aos ambientes tecnológicos da Companhia


devem ser controlados de acordo com sua classificação e revisados periodicamente,
de forma a serem disponibilizados apenas às pessoas autorizadas e com os
privilégios necessários para o desempenho de suas atividades.

101
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

5.3 DESCARTE DE INFORMAÇÕES

O descarte da informação deve ser realizado com o emprego de medidas


que impossibilitem a sua reconstrução, de acordo com as necessidades do suporte
físico ou digital. A informação deve ser descartada considerando prazos mínimos
legais ou regulatórios, bem como sua necessidade para o negócio ou a área, o que
for maior.

5.4 FORNECEDORES E PARTES EXTERNAS

Os contratos com as empresas prestadoras de serviços que possuem acesso


às informações, aos sistemas e/ou ao ambiente da Companhia devem conter
cláusulas que assegurem o cumprimento das regras de segurança da informação,
bem como penalidades no caso de descumprimento.

5.5 CONTINUIDADE DE NEGÓCIOS

A gestão de continuidade de negócios estabelece e mantém estrutura


estratégica e operacional preparada para gerenciar e responder à interrupção
nos processos que suportam os negócios da Companhia. Este é disciplinado pela
Política de Continuidade de Negócios.

6 RESPONSABILIDADES

6.1 ADMINISTRADORES, FUNCIONÁRIOS, ESTAGIÁRIOS E PRESTADORES


DE SERVIÇOS

• Cumprir as regras de Segurança da Informação.

• Proteger as informações contra acessos, modificação, destruição ou divulgação


não autorizados.

• Assegurar que os recursos tecnológicos, as informações e os sistemas a sua


disposição sejam utilizados apenas para as finalidades de negócio.

• Cumprir as leis e as normas que regulamentam a propriedade intelectual.

• Não discutir, citar ou compartilhar assuntos confidenciais em ambientes


públicos ou em áreas expostas (aviões, transporte, restaurantes, encontros
sociais etc.), incluindo comentários e opiniões em blogs e redes sociais.

• Não compartilhar informações confidenciais de qualquer tipo.


Comunicar imediatamente à Segurança da Informação qualquer
descumprimento ou violação desta política e/ou de suas normas e
procedimentos.

102
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

6.2 GESTORES

Reforçar e orientar a equipe em relação a práticas, processos de segurança


e acessos a sistemas.

6.3 SUPERINTENDÊNCIA DE SEGURANÇA DA INFORMAÇÃO

Prover ampla divulgação da Política e das Normas de Segurança da


Informação para administradores, funcionários, estagiários e prestadores de
serviços.

• Promover ações de conscientização sobre segurança da informação para os


funcionários, estagiários e prestadores de serviços.
• Propor ações de aperfeiçoamento da segurança da informação.
• Estabelecer normas e procedimentos relacionados à instrumentação da
segurança da informação, dispondo sobre a propriedade e o uso da informação,
a gestão de acessos e identidades e os incidentes de segurança da informação.

6.4 SUPERINTENDÊNCIA DE ADMINISTRAÇÃO, SUPRIMENTOS E


PATRIMÔNIO

Assegurar que contratos com as empresas prestadoras de serviços que


possuem acesso às informações, aos sistemas e/ou ao ambiente da Companhia
contenham cláusulas que assegurem o cumprimento desta Política e das Normas
de Segurança da Informação, bem como penalidades no caso de descumprimento.

7 INFORMAÇÕES DE CONTROLE Vigência: a partir de junho de 2018.

1ª versão: 16/02/2009.

Responsáveis pelo documento:

Responsável Área
Gerência de Segurança da Informação
Elaboração

Diretoria de Governança e Gestão Integrada


Revisão
Diretoria Jurídica
Diretoria Colegiada
Aprovação
Conselho de Administração

103
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Registro de alterações:

Versão Item Modificado Motivo Data


01 Versão Original N/A 16/02/2009
Primeira revisão da
01.1 Diversos 10/08/2009
Política
Inclusão da
abrangência da
Política, atualização
01.2 Diversos 27/12/2010
das nomenclaturas
das áreas e revisão na
aplicação da Política.
Ampliação
das diretrizes,
substituição de
02 Diversos 08/03/2011
glossário por
definições, remoção
de regras da Política.
Revisão geral,
foco nas diretrizes
03 Diversos corporativas para 15/05/2013
a Segurança da
Informação.
Inclusão dos
conceitos e gestão
de incidentes,
04 Diversos 06/05/2014
simplificação
das diretrizes e
responsabilidades.

104
RESUMO DO TÓPICO 3

Neste tópico, você aprendeu que:

• É, de suma importância, o envolvimento de todas as áreas para a construção da


PSI, desde a área de tecnologia até o jurídico.

• Cada organização deve ter consciência dos ativos que quer proteger, além de
deixar isso claro na PSI.

• Procedimentos simples podem ser adotados, como política de senha e acesso


para melhoria da segurança.

• Algumas atitudes, como manter a mesa organizada e deixar o computador


com senha, também melhoram a segurança.

CHAMADA

Ficou alguma dúvida? Construímos uma trilha de aprendizagem


pensando em facilitar sua compreensão. Acesse o QR Code, que levará ao
AVA, e veja as novidades que preparamos para seu estudo.

105
AUTOATIVIDADE

1 Após o desenvolvimento da política de segurança, é importante que ela seja


de fácil compreensão e amplamente divulgada na organização. É preciso
que atitudes simples, como a criação de uma senha, sigam os critérios de
segurança definidos pela política de segurança. Com relação à política de
acesso a sistemas, é correto afirmar que:

a) ( ) É aconselhável utilizar palavras do dicionário como senhas.


b) ( ) Uma senha grande e formada por caracteres que não constituem uma
palavra dificulta o ataque baseado na força ou na engenharia social.
c) ( ) As senhas são a única forma segura de se autenticar em um computador.
d) ( ) Uma boa senha é a que é facilmente lembrada pelo usuário como data
de aniversários, sobrenomes ou nome dos filhos.

2 Quando a organização decide criar uma política de segurança, deve, além de


decidir o que e como quer proteger, como será feita a divulgação. A política
deve ser desenvolvida seguindo os princípios da organização, deve ser
aprovada pelo conselho de administração e publicada para todo o pessoal
e todos os parceiros externos relevantes, como clientes e fornecedores. Com
relação à política de segurança da informação, assinale a alternativa correta:

a) ( ) A política de segurança da informação deve ser analisada criticamente


em intervalos planejados ou quando mudanças significativas ocorrerem,
assegurando a contínua pertinência, adequação e eficácia.
b) ( ) Uma política de segurança tem, por objetivo, fornecer direção e apoio
gerenciais para a segurança de informações, através da elaboração de
regras e diretrizes. Recomenda-se que o documento que define a política de
uma organização apresente uma descrição detalhada dos mecanismos de
segurança, além da configuração de cada um.
c) ( ) O documento da política de segurança de uma organização é considerado
sigiloso e deve ser mantido em local seguro e controlado para que somente
a alta gerência da organização tenha acesso.
d) ( ) Uma política de segurança é um conjunto formal de regras que devem
ser seguidas pelos utilizadores dos recursos de uma organização. São
englobadas regras para implantação de controles lógicos e organizacionais.
Regras para os controles físicos devem ser especificadas no plano de
continuidade dos negócios.
e) ( ) O documento da política de segurança deve atribuir responsabilidades,
de forma explícita, às pessoas que lidam com os recursos computacionais e
informações de uma organização. O cumprimento de responsabilidades é
papel exclusivo do departamento de tecnologia da informação (TI).

106
3 A divulgação das políticas de segurança da informação pode ser feita via
palestras, panfletos e quadros dispostos em locais de grande circulação,
para conhecimento de todos. Convém que o documento da política de
segurança da informação declare o comprometimento da direção. Ainda,
que estabeleça o enfoque da organização para gerenciar a segurança da
informação. É INCORRETO dizer que o documento da política deva conter:

a) ( ) Uma breve explanação das políticas, princípios, normas e requisitos de


conformidade de segurança da informação específicos para a organização.
b) ( ) Uma definição de segurança da informação, suas metas globais, escopo e
importância da segurança da informação como um mecanismo que habilita
o compartilhamento da informação.
c) ( ) Uma declaração do comprometimento da direção, apoiando as metas e
princípios da segurança da informação, em alinhamento com os objetivos e
estratégias do negócio.
d) ( ) Referências à documentação que possam apoiar a política, por exemplo,
políticas e procedimentos de segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que os usuários devam
seguir.
e) ( ) Uma estrutura para coibir os objetivos de controle, incluindo a estrutura
de análise/avaliação e gerenciamento de risco, em conformidade com a
legislação e com os requisitos regulamentares e contratuais.

107
108
UNIDADE 3 —

INVENTÁRIO E ATIVOS DE
INFORMAÇÃO

OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:

• conhecer alguns equipamentos de segurança da informação;

• identificar recursos para garantir a segurança dos ativos;

• compreender a importância dos controles de inventário;

• visualizar alguns exemplos para construir um controle de ativos.

PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer da unidade,
você encontrará autoatividades com o objetivo de reforçar o conteúdo
apresentado.

TÓPICO 1 – CONHECENDO OS ATIVOS DE SEGURANÇA DA


INFORMAÇÃO

TÓPICO 2 – PLANEJANDO O INVENTÁRIO DE ATIVOS EM


SEGURANÇA DA INFORMAÇÃO

TÓPICO 3 – FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE


SEGURANÇA DA INFORMAÇÃO

CHAMADA

Preparado para ampliar seus conhecimentos? Respire e vamos


em frente! Procure um ambiente que facilite a concentração, assim absorverá
melhor as informações.

109
110
TÓPICO 1 —
UNIDADE 3

CONHECENDO OS ATIVOS DE SEGURANÇA DA


INFORMAÇÃO

1 INTRODUÇÃO

Vimos, na Unidade 2, que é necessária a participação de todos para a
construção de uma política de segurança da informação. É uma forma de difundir
medidas de proteção, e que a política precisa estar sempre sendo atualizada.

Agora, conheceremos alguns equipamentos e procedimentos, estes que


darão suporte em busca da segurança da informação. Veremos que a informação
pode ser classificada conforme o seu risco, mas que os equipamentos também
precisam ser controlados, pois o roubo de um hardware pode trazer vamos
prejuízos para a organização.

Para conseguirmos gerenciar alguma coisa, é necessário conseguir medir


ou contar. Assim, em nossa última unidade de estudos, começaremos conhecendo
alguns ativos de informação, pois é preciso ter um sistema documentado no qual
os ativos e processos de segurança da informação são identificados e descritos.
Todo e qualquer ativo ou processo de segurança da informação deve ser atribuído
a pessoas. Vamos começar com o inventário, qual a necessidade dessa prática.

2 INVENTÁRIO
Provavelmente, você já deve ter ouvido falar da palavra inventário, ou
participado de algum processo de inventário, mas você sabe o que, efetivamente,
ele significa e qual a sua real necessidade?

A aplicação da palavra inventário pode ser usada em outros contextos,


como quando uma pessoa morre, para efetuar a divisão dos bens entre os
herdeiros. Segundo Significados (2018, s.p.):

Inventário é um documento contabilístico que consiste em uma listagem


de bens que pertencem a uma pessoa, entidade ou comunidade.
Dentro de uma empresa, a realização de um inventário é feita para que
seja possível obter um balanço real.
Em muitos países, a administração pública instituiu a obrigatoriedade
do inventário, já que é uma prática importante na gestão de empresas,
porque ajuda a definir os seus resultados, facilitando a administração
fiscal. De acordo com a legislação, o resultado do inventário deve ficar
devidamente registrado.

111
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

No contexto empresarial, muitas vezes, o inventário é feito com o


objetivo de determinar a liquidez da empresa, em caso de separação
dos seus sócios.
O inventário é um método de registro que permite saber, em qualquer
momento, o estoque existente, ou seja, os materiais existentes em
armazém ou almoxarifado. O método possibilita determinar os lucros
e perdas de um determinado negócio.

A aplicação da palavra inventário, no contexto organizacional, segundo


Teixeira (2018), é uma listagem de todos os bens e materiais que pertencem à
organização ou que estão disponíveis em estoque, buscando controlar o que se
tem e diminuir os desperdícios.

Quando falamos de gerenciamento de inventário dos ativos tecnológicos,


ele difere um pouco, pois estamos trabalhando com software e hardware,
chamados de ativos de TI. Podemos classificar, segundo Teixeira (2018, s.p.), da
seguinte forma: “Softwares – todas as licenças utilizadas, serviços em nuvem,
versões, aplicativos etc. Hardwares – todos os equipamentos físicos relacionados
à tecnologia, como computadores, laptops, smartphones, roteadores, cabos etc.”.

Ao conseguirmos ter controle, podemos nos preparar e evitar gastos com


manutenções e paradas desnecessárias, por não sabermos que temos determinado
equipamento em estoque.

No Tópico 3, apresentaremos formas de gerenciar os equipamentos. Antes,


é preciso listarmos alguns motivos para justificar esse controle. Segundo Teixeira
(2018), a diminuição do risco permite a antecipação aos problemas, tornando
possível a resolução de um problema antes que ele se agrave.

Com o inventário, é possível ter, no controle de ativos, o controle de


garantias dadas pelo fabricante, como suporte gratuito e limite de prazos
para renovação da garantia de equipamentos mais críticos, como servidores.
Outra vantagem é o aumento da vida útil dos ativos, pois, com esse controle
de informações, sabe-se o momento de fazer a manutenção dos equipamentos,
pois estão documentadas todas as datas de manutenções, trocas e atualizações
de sistemas. Em consequência, são evitados gastos desnecessários com novos
equipamentos (TEIXEIRA, 2018).

Com a manutenção periódica, e com o controle de garantias, como vimos,


temos a redução dos custos. Ainda, com a melhoria na gestão dos ativos, o aumento
na vida útil e a diminuição dos riscos de perdas significativas, o inventário traz
benefícios para os ativos de TI e para a gestão financeira da empresa. Além disso,
com o controle dos softwares instalados, a gestão consegue identificar se algo
não devidamente instalado, evitando que softwares maliciosos causem riscos à
segurança da informação (TEIXEIRA, 2018).

112
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO

3 CONHECENDO OS ATIVOS DE SEGURANÇA DA


INFORMAÇÃO
A NBR ISO/IEC 27002 trata da questão da gestão de ativos sob a ótica da
gestão da segurança da informação. O objetivo é definir a responsabilidade pelos
ativos da organização, identificando-os e definindo as devidas responsabilidades
pela proteção desses ativos.

Segundo a norma NBR ISO/IEC 27002, os inventários de ativos ajudam a


assegurar que a proteção efetiva ocorra e podem, igualmente, ser exigidos para
outras finalidades, como saúde e segurança, razões de seguro ou financeiras
(gestão de ativos). Além disso, a compilação do inventário de ativos é um requisito
importante da gestão de riscos.

A norma recomenda que um controle seja aplicado para identificar


os ativos e os recursos de processamento associados à informação, e que um
inventário seja mantido e estruturado. Indica, também, algumas diretrizes para
implementar esse controle:

a) Convém que a organização identifique os ativos relevantes no ciclo de vida da


informação e documente a sua importância. Convém que o ciclo de vida da
informação inclua a criação, o processamento, o armazenamento, a transmissão,
a exclusão e a sua destruição. Convém que a documentação seja mantida em
um inventário existente ou exclusivo, conforme apropriado.
b) Convém que o inventário de ativos seja completo, atualizado e alinhado com
outros inventários.
c) Convém que, para cada um dos ativos identificados, seja indicado um
responsável, além da classificação do ativo a ser identificado (SILVA; PINTO,
2019).

Como vimos, durante nossos estudos, a tecnologia da informação


está cada vez mais ligada aos negócios das organizações. Em muitos casos,
a sobrevivência das organizações depende de como as suas informações estão
seguras, independentemente do segmento ou porte. Assim, uma correta gestão de
ativos aparece como um fator decisivo no controle, na identificação e na redução
de custos relacionados à infraestrutura de TI (SCHULTZ, 2018).

É uma correta gestão de ativos que permite que a organização se mantenha


alinhada às expectativas de um mercado cada vez mais concorrido. Essa gestão
também é importante para que a gerência consiga suprir a demanda de clientes
cada vez mais exigentes. Além desse controle, outro fator se refere à infraestrutura
física, evitando que equipamentos se percam ou sejam extraviados. A gestão de
ativos evita o uso de softwares sem a devida licença e o uso de equipamentos e
softwares obsoletos, que geram gastos, gargalos e reduzem o desempenho de
sistemas (SCHULTZ, 2018).

113
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

Na Unidade 1, vimos que um ativo, em tecnologia da informação, são


as informações, os softwares ou hardwares de propriedade da organização
utilizados durante suas atividades de negócios, ou seja, qualquer coisa que tenha
valor para a organização. Para um melhor gerenciamento e tomada de decisões
de negócios, é importante termos um inventário detalhado dos ativos.

Os ativos custam dinheiro ou possuem certo valor. Podemos listar alguns,


segundo Baars, Hintzbergen e Hintzbergen (2018, p. 170):

• Informações na forma de documentos, base de dados, contratos,


documentação de sistemas, procedimentos, manuais, logs de
sistemas, planos e guias.
• Programas de computador, como programas do sistema, programas
do usuário e programas de desenvolvimento.
• Equipamentos, como servidores, PCs, componentes de rede e cabos.
• Mídias, como CD-ROMs, pen drives, HDs externos etc.
• Serviços, como construções, equipamentos de fabricação, instalações
de distribuição etc.
• Pessoas e seus conhecimentos.
• Ativos não tangíveis, como a imagem e a reputação da organização.

Reforçando o conceito apresentado, Kosutic (2014a) afirma que o propósito,


para desenvolver um inventário de ativos, é identificar quais informações
classificadas você tem em sua posse, além do responsável ou proprietário delas. A
informação classificada pode estar em diferentes formatos e tipos de mídia, como
documentos eletrônicos, sistemas de informação/bases de dados, documentos em
papel, mídias de armazenamento (discos, cartões de memória etc.), informação
transmitida verbalmente e e-mail.

Uma importante recomendação, em relação aos ativos, é que eles devem


ser classificados a fim de permitir a definição de níveis de segurança. É preciso
identificar quem é o dono, e este deve ser registrado em uma base de dados
gerenciada de forma centralizada (BAARS; HINTZBERGEN; HINTZBERGEN,
2018).

Sugestões das informações que devem ser gravadas sobre um ativo da


empresa são (BAARS; HINTZBERGEN; HINTZBERGEN, 2018, p. 170):

• O tipo de ativo da empresa.


• O dono.
• A localização.
• O formato.
• A classificação.
• O valor para o negócio.
• O custo inicial.
• A idade.
• O custo estimado de reposição.

114
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO

Baars, Hintzbergen e Hintzbergen (2018) reforçam ao dizer que essas


informações podem ser necessárias, por exemplo, para a recuperação que se segue
a um incidente ou desastre. Já o dono é a pessoa responsável por um processo,
subprocesso ou atividade de negócio e cuida de todos os aspectos dos ativos de
negócio, incluindo segurança, gestão, produção e desenvolvimento. Veremos,
mais adiante, uma matriz de responsabilidade.

Continuando com a definição dos ativos, Kosutic (2014a) faz um


questionamento muito pertinente: por que ativos são importantes para a gestão
da segurança da informação? Segundo ele, existem duas razões do porquê
gerenciar ativos:

1) Ativos são, geralmente, utilizados para se realizar análise/avaliação de


riscos. São o elemento-chave para a identificação de riscos, com ameaças e
vulnerabilidades (KOSUTIC, 2014a).
2) Se a organização não sabe quem é o responsável por cada ativo, o caos reina.
A definição de proprietários de ativos e a designação de responsabilidades,
quanto à proteção da confidencialidade, integridade e disponibilidade da
informação, são os principais conceitos (KOSUTIC, 2014a).

Como todo processo, o mais fácil é defini-lo, desde o início, da maneira


correta. A forma mais fácil de construirmos um inventário de ativos também é
durante o processo inicial de análise/avaliação de riscos, porque é o momento
quando todos os ativos precisam ser identificados com seus proprietários
(KOSUTIC, 2014a).

É preciso iniciar entrevistando o responsável por cada departamento,


e solicita-se uma lista de todos os ativos que o departamento usa. A técnica é
conhecida como “descreva o que você vê”. Basicamente, a pessoa faz uma lista
de todos os softwares que ela vê que estão instalados no computador, todos os
documentos que estão em suas pastas e armários, todas as pessoas trabalhando
no departamento, todos os equipamentos vistos etc. (KOSUTIC, 2014a).

Começaremos conhecendo o conceito de proprietário da informação e,


depois, veremos como são a classificação e a rotulagem dos ativos.

4 PROPRIETÁRIO DO ATIVO
Neste momento, você deve estar pensando no contexto de uma
organização. O dono da empresa é o proprietário do ativo. De uma maneira geral
sim, mas estamos falando no contexto do funcionamento da organização, no
contexto da responsabilidade.

115
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

“O dono é a pessoa responsável por um processo, subprocesso ou


atividade de negócio e cuida de todos os aspectos dos ativos de negócio, incluindo
segurança, gestão, produção e desenvolvimento” (BAARS; HINTZBERGEN;
HINTZBERGEN, 2018, p. 170).

Segundo Kosutic (2014a), o proprietário é, geralmente, o responsável pela


operação, é a pessoa que opera o ativo, que assegura que a informação relacionada
a esse ativo esteja protegida. Por exemplo, um proprietário de servidor pode ser o
administrador do sistema, e o proprietário de um arquivo pode ser a pessoa que
criou o ativo. Já a pessoa que é responsável pelos empregados, o proprietário,
geralmente, é o supervisor direto.

Em casos de ativos similares, que são utilizados por várias pessoas, como
o software da empresa, o proprietário pode ser um membro da diretoria, que
tem a responsabilidade por toda a organização. Ou seja, construir um registro de
ativos pode parecer um trabalho muito burocrático, sem muito uso prático, mas a
verdade é que listar esses ativos ajuda a esclarecer o que é valioso na organização
e quem é responsável por eles. Sem saber o que você tem e quem está no comando,
nem pense que é capaz de proteger a informação (KOSUTIC, 2014a).

Como sempre mencionamos, essa classificação depende de diversas


características da organização, como tamanho, faturamento e tipo de negócio, pois
quanto maior e mais complexa for a organização, mais níveis de confidencialidade
existem.

Segundo Baars, Hintzbergen e Hintzbergen (2018), a classificação da


informação é utilizada para definir os diferentes níveis de sensibilidade da
estruturação, por exemplo, se ela é ou não confidencial ou pública.

Correia (2016) reforça afirmando que diferentes tipos de informações


devem ser protegidos de formas distintas, e que, para que isso seja possível, a
informação precisa ser classificada. O autor menciona que a classificação é um
dos primeiros passos para a implementação de uma política de segurança da
informação.

As políticas de segurança da informação da organização, para haver


sucesso, devem ser construídas com base no inventário de ativos, pois não
adianta construir uma política de acesso a sala de servidores se esse serviço não
é realizado pela organização.

No caso de uma organização de médio porte, você pode utilizar, segundo


Kosutic (2014a), três níveis de confidencialidade e um nível público:

• Confidencial (o mais alto nível de confidencialidade).


• Restrito (médio nível de confidencialidade).
• Uso interno (o mais baixo nível de confidencialidade).
• Público (todos podem ver a informação).

116
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO

Outra definição, para Baars, Hintzbergen e Hintzbergen (2018, p. 175),


é a de designar que “é uma forma especial de categorizar a informação, por
exemplo, de acordo com um determinado assunto da organização ou um grupo
de pessoas autorizadas”. Ainda, identificar quem é dono, ou seja, quem é a pessoa
encarregada de um ativo de negócio.

Correia (2016) apresenta uma forma de classificação que deve estar


registrada na Política de Classificação e Manuseamento da Informação. São
propostos os seguintes níveis de classificação da informação: informação pública,
interna e confidencial. Correia (2016, p. 17) afirma:

a) Informação pública: essas informações podem ser divulgadas a


qualquer pessoa, sem que a organização seja prejudicada.
b) Informação interna: são informações que não devem sair da
organização, mas se isso acontecer, não há consequências danosas.
c) Informação confidencial: o acesso a essas informações é realizado
conforme a sua necessidade, só sendo permitido se as informações
forem fundamentais para o desempenho satisfatório do trabalho.
A organização pode, ainda, estratificar o nível de classificação nos
tipos: informação secreta e informação ultrassecreta.
Informação secreta: para este tipo de informação, o controle sobre o uso das
informações é total; o acesso não autorizado é crítico para a organização.
Informações ultrassecretas: neste tipo de informação, o controle
também é total, pois o acesso não autorizado é extremamente crítico.

Vale ressaltar que “como a vida de uma organização é dinâmica, a


classificação da informação também é dinâmica. As informações consideradas
sigilosas, em determinada época, podem ser, futuramente, de domínio público”
(CORREIA, 2016, p. 17).

Lembrando que a organização que deve definir os níveis baseada no que


quer e com quem quer compartilhar. Assim, uma vez classificada a informação, é
necessário rotular. As técnicas são variáveis, como o exemplo proposto. No caso
de um documento impresso, é possível definir as regras para documentos em
papel, de forma que o nível de confidencialidade seja indicado no canto superior
direito de cada página do documento, e que a classificação também seja indicada
na capa ou no envelope que transporta tal documento, assim como na pasta na
qual o documento é armazenado (KOSUTIC, 2014a).

DICAS

Você já ouviu falar da Lei Geral de Proteção de Dados Pessoais (LGPD)?


Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais,
por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento
da personalidade da pessoa natural. Conheça mais em: http://www.planalto.gov.br/
ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm.

117
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

Vejamos um exemplo de documento, disponibilizado na cartilha do


governo, sobre a classificação de informações sigilosas no Tesouro Nacional.

FIGURA 1 – EXEMPLO DE CLASSIFICAÇÃO DE INFORMAÇÃO

FONTE: Fazenda (2018, p. 44)

118
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO

É importante que todos tenham conhecimento de como os documentos


são classificados, quais as regras e quem são os responsáveis, como veremos a
seguir, segundo Fazenda (2018, p. 46-47).

Preenchimento dos campos:


a) Cabeçalho: identificar o órgão/unidade e seu endereço, telefone e e-mail para
contato;
b) ÓRGÃO/ENTIDADE: identificar o órgão/unidade classificadora;
c) CÓDIGO DE INDEXAÇÃO: Código de Indexação de Documento com
Informação Classificada. As orientações para formatação do CIDIC, conforme
Decreto nº 7.845/2012, estão disponíveis em:
cartilha “Procedimentos para Classificação da Informação em Grau de Sigilo”
(COGRL, 2015);
<http://dsic.planalto.gov.br/documentos/NSC/CIDIC_FORMATACAO_
ORIENTACAO.pdf>;
<http://dsic.planalto.gov.br/documentos/NSC/CIDIC_COMPOSICAO.pdf>;
d) GRAU DE SIGILO: indicar, dentre as opções, o grau de classificação de
sigilo da informação. Após selecionado, o grau de sigilo será exibido no canto
superior direito do TCI;
e) CATEGORIA: identificar o código numérico da categoria na qual se enquadra
a informação que está sendo classificada, de acordo o Anexo II do Decreto nº
7.845, de 14 de novembro de 2012. A categoria referente às atividades-fim do
Ministério da Fazenda é “06 - Economia e Finanças”; já às atividades finalísticas
da ESAF aplica-se a categoria “07 – Educação”;
f) TIPO DE DOCUMENTO: descrever o documento. Exemplos: Memorando nº
1/SE/MF, de 5 de janeiro de 2015;
Processo nº 01.001.001/2015-01;
g) DATA DE PRODUÇÃO: identificar a data em que o documento/processo foi
produzido;
h) FUNDAMENTO LEGAL PARA CLASSIFICAÇÃO: identificar o dispositivo
legal (incluindo artigo e inciso) que fundamenta a classificação, dentre os
estabelecidos no artigo 25 do Decreto nº 7.724/2012;
i) RAZÕES PARA A CLASSIFICAÇÃO: demonstrar como a informação
se enquadra à hipótese legal, ou seja, a motivação do ato administrativo,
observados os critérios estabelecidos no art. 27 do Decreto nº 7.724/2012.
Quando da desclassificação, reclassificação ou alteração do prazo de sigilo, o
campo, no novo TCI, deve ser complementado com a motivação da respectiva
decisão;
j) PRAZO DA RESTRIÇÃO DE ACESSO: indicar o prazo de sigilo, contado em
anos, meses ou dias, ou do evento que defina o seu término, conforme limites
previstos no art. 28 do Decreto 7.724/2012;
k) DATA DE CLASSIFICAÇÃO: identificar a data em que o documento/
processo foi classificado com grau de sigilo;
l) AUTORIDADE CLASSIFICADORA: identificação (nome e cargo) da
autoridade competente para classificar, de acordo com o grau de sigilo,
conforme estabelecido no art. 30 do Decreto nº 7.724/2012:

119
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

grau secreto: as autoridades referidas no grau ultrassecreto, e titulares de


autarquias, fundações, empresas públicas e sociedades de economia mista;
grau reservado: todas as autoridades referidas nos graus ultrassecreto e secreto,
e aquelas que exerçam funções de direção, comando ou chefia nível DAS 101.5
ou superior, e seus equivalentes;
m) AUTORIDADE RATIFICADORA (quando aplicável): identificação (nome
e cargo) do Ministro de Estado, no prazo de 30 dias a partir da classificação.
É necessária somente quando se tratar de informação classificada no grau
ultrassecreto;
n) DESCLASSIFICAÇÃO em (quando aplicável): informar a data, nome e
cargo da autoridade competente, mediante decisão de desclassificação da
informação;
o) RECLASSIFICAÇÃO em (quando aplicável): informar a data, nome e cargo
da autoridade competente, mediante decisão de reclassificação da informação;
p) REDUÇÃO DE PRAZO em (quando aplicável): informar a data, nome e
cargo da autoridade competente, mediante decisão de redução do prazo de
classificação da informação;
q) PRORROGAÇÃO DE PRAZO em (quando aplicável): informar a data, nome
e cargo da autoridade competente, mediante decisão de prorrogação do prazo
de classificação da informação;
Observação: somente informações classificadas em grau de sigilo ultrassecreto
podem ter seus prazos prorrogados (inciso IV do art. 47 do Decreto nº
7.724/2012).

FAZENDA. Classificação de informações sigilosas no Tesouro Nacional.


2018. Disponível em: http://www.fazenda.gov.br/sei/publicacoes/cartilha-
classificacao-de-informacoes-sigilosas-na-stn. Acesso em: 12 abr. 2020.

Além disso, pode-se solicitar a assinatura de um documento, como


apresentado por Fazenda (2018):

120
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA 2 – TERMO DE COMPROMISSO

FONTE: Fazenda (2018, p. 48)

Como mencionamos anteriormente, tudo depende do que se está


protegendo, do tamanho da empresa e do valor dessa informação. É possível,
também, em uma mensagem e e-mail, colocar um aviso em relação ao sigilo,
adicionando aviso legais em todas as mensagens enviadas. O administrador pode
cadastrar um aviso legal disclaimer, que é adicionado automaticamente em todos
os e-mails enviados, do seu domínio. Os casos mais comuns para utilizar um
aviso legal, no rodapé de mensagens de e-mail, são: avisos de confidencialidade,
de direitos autorais, informações contratuais etc. Segundo Mindnet (2020, s.p.):
121
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

O conteúdo deste e-mail é confidencial e destinado exclusivamente


ao destinatário especificado apenas na mensagem. É estritamente
proibido compartilhar qualquer parte da mensagem com terceiros,
sem o consentimento, por escrito, do remetente. Se você recebeu a
mensagem por engano, responda e siga com sua exclusão, para que
possamos garantir que tal erro não ocorra no futuro.

Para auxiliar na classificação, a organização pode definir, por exemplo, que


a rotulagem da informação, geralmente, é de responsabilidade do proprietário da
informação. É preciso desenvolver regras sobre como proteger cada tipo de ativo,
dependendo do nível de confidencialidade. Por exemplo, você pode usar definir
as regras para cada nível de confidencialidade, e para cada tipo de mídia.

QUADRO 1 – CLASSIFICANDO A INFORMAÇÃO

FONTE: Kosutic (2014a, s.p.)

Lembrando que essa classificação da informação é definida pela


organização, mas, normalmente, é o dono do ativo que faz. Segundo Baars,
Hintzbergen e Hintzbergen (2018, p. 175):

O dono de um ativo de negócio atribui uma classificação apropriada


de acordo com uma lista acordada de classificações. A classificação
indica a forma de segurança que é necessária. Isso é determinado,
em parte, pela sensibilidade, pelo valor, pelos requisitos legais e pela
importância para a organização. A classificação está de acordo com a
forma como o ativo de negócio é utilizado no negócio.
O dono do ativo de negócio deve assegurar que ele seja reclassificado,
se necessário. Se ativos de negócio de uma organização estiverem
classificados, apenas o dono é capaz de reduzir a classificação (a
categoria) ou dar permissão para que isso seja feito. A informação,
por exemplo, pode ser classificada como confidencial até o momento
da sua publicação, mas, uma vez que a informação tenha se tornado
pública, a classificação é reduzida.

Agora que já conhecemos os papéis e o que deve ser inventariado, veremos,


no próximo tópico, algumas ferramentas que poderão auxiliar.

122
RESUMO DO TÓPICO 1

Neste tópico, você aprendeu que:

• Ativos de informação não são apenas equipamentos, mas tudo que se refere à
informação.

• Os ativos são muito importantes para a organização criar um controle.

• Os ativos devem ser classificados conforme seu grau de divulgação.

• Após a classificação, é preciso atribuir um proprietário, para auxiliar no


controle.

123
AUTOATIVIDADE

1 Quando falamos da classificação da informação, estamos nos referindo à


classificação das informações e dos níveis de proteção que cada dado deve
ganhar. Por exemplo, os relatórios financeiros da empresa devem ter um
nível de proteção diferente daquele da lista de números de telefone internos
dos setores. Com relação ao processo de classificação da informação, qual é
o seu objetivo?

a) ( ) Estabelecer a quantidade de categorias de classificação e os benefícios


obtidos pelo seu uso.
b) ( ) Determinar o valor da informação, os requisitos legais, a sensibilidade
e a criticidade para a organização.
c) ( ) Determinar o valor da informação, os requisitos legais e as medidas
especiais de tratamento.
d) ( ) Analisar a confidencialidade, a integridade e a disponibilidade da
informação.
e) ( ) Assegurar que as informações recebam um nível adequado de
tratamento e de proteção.

2 Com relação à gestão de ativos, precisamos saber o que temos para


que possamos gerenciar da melhor maneira. Acerca do gerenciamento
de segurança da informação, julgue os itens a seguir. As políticas de
classificação da informação são fundamentais para permitir que os
ativos e as informações sejam gerenciados com base em classificações de
sigilo. Ainda, podem variar, de acordo com a nomenclatura adotada pela
organização, conforme a sua classificação como público (ostensivo) ou
confidencial (sigiloso, secreto).

a) ( ) Certo.
a) ( ) Errado.

3 Quando se desenvolve uma política para a segurança da informação, ela


deve fornecer as instruções do que deve ser feito e contar com o apoio da
organização. Essa política deve ser escrita em conformidade com os objetivos
do negócio, e em consonância com as leis e os regulamentos relevantes.
Com base nisso, julgue os itens seguintes, relacionados à segurança física,
segurança lógica e gestão de risco. Para que a gestão de riscos de segurança
da informação seja viável e eficiente em qualquer tipo de organização, os
ativos de informação devem ser analisados com o objetivo de identificar as
vulnerabilidades e, após, identificar as ameaças.

a) ( ) Certo.
b) ( ) Errado.

124
4 Segundo Baars, Hintzbergen e Hintzbergen (2015, p. 146), “é comum um
documento de políticas ter uma estrutura hierárquica. Vários documentos
de política são desenvolvidos tendo, como base, uma política de segurança
corporativa de alto nível. Eles devem estar sempre em conformidade
com a política corporativa e prover diretrizes mais detalhadas para uma
área específica. Um exemplo é um documento de política sobre o uso de
criptografia”. Com relação à classificação da informação no setor público,
tem, como objetivo, assegurar que a informação receba um nível adequado
de proteção. Sobre a política de classificação da informação no setor público,
é INCORRETO afirmar:

a) ( ) Os dados ou informações sigilosas são classificados como ultrassecretos,


secretos, confidenciais e reservados, em razão do seu teor ou dos seus
elementos intrínsecos.
b) ( ) É aconselhável que considere decretos ou leis que disciplinam a
salvaguarda de dados, informações, documentos e materiais sigilosos, além
das áreas e instalações.
c) ( ) Representa um conjunto de normas, procedimentos e instruções
existentes que trata de como proteger as informações.
d) ( ) Para determinar o grau de sigilo, deve-se definir os rótulos de
classificação da informação, independentemente do público de acesso.
e) ( ) Considera que o grau de sigilo de uma informação é uma classificação
(rótulo) atribuída para cada tipo de informação com base no conteúdo.

125
126
TÓPICO 2 —
UNIDADE 3

PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA


DA INFORMAÇÃO

1 INTRODUÇÃO
Nos últimos tempos, temos visto que, para que as empresas se mantenham
ativas, é necessária uma forte organização no setor de tecnologia. Além dos
controles e segurança das informações, é preciso, também, do controle da rede e
dos equipamentos.

Ao ter o controle em mãos, o responsável pela organização consegue


ter mais agilidade no controle das operações e se adequar às situações, como a
necessidade de fornecer equipamentos para o trabalho remoto, ou a segurança
das informações sendo acessadas fora da rede.

Neste tópico, apresentaremos algumas dicas de como desenvolver o


documento, que pode ser em uma simples planilha de controle ou um software
específico.

2 POR QUE CONSTRUIR UM INVENTÁRIO DE ATIVOS DE


INFORMAÇÃO?
Vale reforçar que é muito importante que a organização tenha registrado
todos os ativos, mas caso isso não tenha acontecido, a forma mais fácil de construir
acontece durante o processo inicial de análise/avaliação. É o momento em que
todos os ativos precisam ser identificados com seus proprietários.

Quando falamos em inventário de ativos, não estamos apenas preocupados


em manter o ambiente de trabalho organizado, o que é muito importante também,
mas é muito mais abrangente. A correta gestão de todos os ativos, especialmente
dos ativos relacionados à tecnologia, evita desperdícios com investimentos
desnecessários, otimiza as atividades do negócio, permite a aderência a vários
controles de normas da gestão, além da qualidade e segurança, fundamentais,
em alguns casos, para a sobrevivência da empresa em um mercado cada vez mais
competitivo.

Quando esse controle não acontece, é quase inevitável o aumento


dos custos, estes que acabam parando no preço do seu produto ou serviço. A
atividade de gerir os ativos é um trabalho que identifica e cataloga ativos de uma

127
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

organização para averiguar se determinado ativo existe na empresa, se está em


sua devida localização e se está sendo utilizado pelas pessoas corretas, dentro de
um prazo de vida útil adequado (SOUZA, 2014).

Ter todas as informações detalhadas e atualizadas dos equipamentos


de informática e softwares utilizados numa organização não só é uma
prática necessária para a localização dos ativos espalhados, muitas
vezes, em plantas geograficamente distantes, como também é um
mecanismo que permite identificar possíveis fontes de desperdício
de recursos mal ou subutilizados, ferramentas inadequadas
para realização das atividades dos funcionários, depredação dos
equipamentos e fraudes ocasionadas por furtos e extravios, muitas
vezes, cometidos pelos próprios colaboradores internos (SOUZA,
2014, s.p.).

Por isso, o inventário de ativos se justifica, e parte da regra básica de


que todos os ativos precisam ser identificados, localizados e devem ter sua
importância ou valor para a organização definido, para que se possa realizar a
devida proteção para cada tipo de ativo. Como percebemos, o inventário, além
de ser fundamental para a segurança da informação da organização, também
serve de apoio para a gestão (SOUZA, 2014).

Outra vantagem, na construção de um inventário, é a identificação


dos proprietários dos ativos, pois, como vimos anteriormente, todos os ativos
relacionados com recursos de processamento da informação devem ter um
proprietário definido para que este possa dar a devida classificação, especialmente,
auxiliar no controle do acesso. Essa identificação auxilia na identificação da
pessoa ou organismo que tenha responsabilidades sobre o ativo, mas não o
direito de posse, pois se entende que o direito de posse é da organização que
fornece (SOUZA, 2014).

Ao falar de inventários, é importante conhecer as corretas terminologias.
Conheceremos os termos Software Asset Management (SAM), Hardware
Asset Management (HAM) e IT Asset Management (ITAM), que aparecerão
constantemente nas suas pesquisas referentes à gestão de ativos: SAM, HAM e
ITAM. É primordial que haja familiaridade a respeito dessas expressões, segundo
Freire (2019).

Software Asset Management (SAM), ou gerenciamento de ativos de


software, talvez seja o mais popular dos termos. Trata-se do processo
empregado para tomar decisões de aquisição ou cancelamento de
programas. É a prática que gera mais insegurança nos gestores, mesmo
que o compromisso de gerenciar recursos imateriais ainda pareça um
mistério.
Hardware Asset Management (HAM), por sua vez, é a terminologia
pertinente aos recursos materiais do parque de TI. Considerando que
os componentes de hardware ocupam um espaço físico nas empresas,
o monitoramento do seu ciclo de vida se torna mais intuitivo.

128
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO

IT Asset Management (ITAM), finalmente, consiste na prática de gestão


integrada de todos os ativos tecnológicos pertencentes à organização.
Tanto SAM quando HAM fazem parte do ITAM, compondo uma
perspectiva ampla sobre o desempenho das redes corporativas. Um
programa ideal deve contemplar ambos os aspectos (FREIRE, 2019,
s.p.).

No próximo subtópico, veremos uma maneira de fazer a gestão de quem


é o responsável, através da matriz de responsabilidade.

3 MATRIZ DE RESPONSABILIDADE
Vimos, até o momento, a importância, para a segurança da informação, de
termos um SGSI. Em conjunto com a diretoria, é preciso definir o que é importante
proteger, pois existem graus distintos de importâncias. Algumas podem ser de
cunho competitivo, como a fórmula de um produto ou o código de um programa,
e existem as de aspecto legal, como contratos e acordos.

Já vimos, também, é fundamental saber quem é o proprietário do ativo.


Assim, momento, apresentaremos a matriz de responsabilidade, de extrema
importância na gestão dos ativos de informação.

Segundo Espinha (2020), é de suma importância que todos os envolvidos


saibam exatamente quais são os seus papéis, pelo que são responsáveis e quais
são as suas atribuições. Todos devem ter clareza de quais ações devem tomar em
caso de um incidente, ou quando apenas precisam ser informados. Por exemplo,
você é do setor de montagem de peças e o servidor apresenta uma instabilidade.
No caso, você deve ser apenas informado, mas o responsável pelo departamento
de TI precisa tomar alguma atitude.

Para resolver esse tipo de problema, surge a matriz de responsabilidade,


muito conhecida apenas por RACI (Rensponsible, Accountable, Consulted e
Informed). O acrônimo do inglês é traduzido para o português como Responsável,
Autoridade, Consultado e Informado (ESPINHA, 2020).

Essa matriz, segundo Espinha (2020), permite, aos membros da equipe,


visualizarem suas responsabilidades e a garantia de que os processos acontecem
de maneira esperada. Ainda, mapeia todas as partes envolvidas e a melhora na
comunicação entre todos. Vejamos cada uma das partes da matriz, definidas por
Espinha (2020):

129
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

FIGURA 3 – MATRIZ DE RESPONSABILIDADES

FONTE: Espinha (2020, s.p.)

Responsabilidade (Responsible): Indica o grupo de pessoas (ou o indivíduo)


que é responsável pela execução, pelo desenvolvimento, pela conclusão e pela
entrega da atividade. É o time de entrega do projeto.

Autoridade (Accountable): Indica quem deve responder pela atividade, o


dono. Vale ressaltar que apenas uma autoridade pode ser atribuída por atividade.
Ela corresponde à parte que tem autoridade para organizar a tarefa, acompanhar
seu desenvolvimento e aceitar ou recusar formalmente uma entrega. O papel
do Accountable é o de aprovador, cobrado caso algo se desvie do esperado. Por
isso, somente deve existir uma autoridade por tarefa e, mesmo se essa pessoa
delegar a responsabilidade pela aprovação de um entregável para outra, ela deve
responder pelo aceite daquela entrega.

Consultado (Consulted): São os apoiadores, todos aqueles que podem dar


dicas, opiniões e sugestões para melhorar o desenvolvimento da atividade ou
aperfeiçoar o entregável. Espinha (2020, s.p.) reforça: “Essas pessoas possuem o
dever de responder aos questionamentos do responsável (Responsible), enquanto
este último deve solicitar o envolvimento delas para agregar valor ou tirar dúvidas
sobre a tarefa que está sendo executada”.

Informado (Informed): neste item, estão inclusas todas as pessoas que


precisam receber a informação sobre a conclusão e o início de uma atividade (ou
uma entrega), gerando uma mudança impactante no cotidiano. Neste grupo,
estão usuários-chave, colegas de projeto, gestores ou interessados diretamente
no projeto.

Veremos, agora, como construir uma matriz de responsabilidade, e quais


os passos que devem ser seguidos. Contudo, primeiramente, é importante que se
faça uma lista de todas as atividades e de todos aqueles que estão envolvidos no
processo.

130
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO

QUADRO 2 – EXEMPLO DE MATRIZ RACI

Gerente Gerente de Gerente Responsável


Descrição
TI RH Finanças Suporte
Backup diário A C, I R
Manutenção de servidor R I C,I I
Treinamento e divulgação
A R C,I I
de PSI
Controle e troca de
A I C,I R
equipamentos
FONTE: O autor

Oliveira (2019) pontua seis regras fundamentais para fazer uma matriz de
responsabilidade RACI. Vejamos:

• Sempre deve haver, ao menos, um responsável para cada atividade do processo.


• Da mesma forma, sempre deve existir, ao menos, um aprovador para cada
tarefa do processo.
• Por outro lado, não pode haver mais de um aprovador para uma mesma
atividade dos processos.
• O responsável por uma determinada atividade pode ser o aprovador.
• Em uma mesma atividade, podem existir várias pessoas consultadas e
informadas.
• O ideal é haver apenas um responsável para cada atividade. Com isso, evitam-
se processos paralelos ou em duplicidade. Contudo, caso seja realmente
necessário definir mais de um responsável, a divisão de tarefas de cada um
deve ser clara e muito bem definida.

Vejamos mais um modelo. Agora, o cenário proposto é o de Oliveira (2019,


s.p.), para o desenvolvimento de um sistema:

QUADRO 3 – EXEMPLO 2 DE MATRIZ DE RESPONSABILIDADE

FONTE: Oliveira (2019, s.p.)

131
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

Agora que já conhecemos a matriz de responsabilidade, e que identificamos


os proprietários dos ativos, conheceremos a quais riscos os ativos estão expostos.

4 MATRIZ DE RISCO
A importância de termos um inventário bem definido se justifica porque
não podemos gerenciar o que não sabemos. Como podemos nos preparar para
uma situação se nem sabemos que estamos expostos a ela?

Uma avaliação de riscos deve começar com o inventário dos ativos de


informação. Feito isso, parte-se para a identificação das ameaças, as quais os
ativos estão expostos, e o seu grau de exposição. Esse último é determinado
pela natureza do negócio, histórico de incidentes e a experiência do analista ou
gestor que lida com determinado ativo. Vale reforçar que também devem ser
consideradas ameaças intencionais, como ataques externos, e acidentais, como
condições naturais e usuários sem treinamento (SOLVIMM, 2019).

Como mencionamos, após listadas as ameaças, a etapa seguinte


é identificar as vulnerabilidades que podem ser exploradas. A seguir,
observaremos uma sugestão de como essas ameaças podem ser documentadas.
Identificaremos, inicialmente, qual o ativo a ser protegido, quais são as ameaças
e as vulnerabilidades.

Para poder avaliar riscos, é importante considerar quais são as fontes, ou


seja, as vulnerabilidades dos ativos que podem expor a organização a falhas de
segurança. Deve-se estar atento a tudo, pois a má configuração de um firewall é
uma vulnerabilidade que pode ser explorada, por exemplo (SOLVIMM, 2019).

132
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO

QUADRO 4 – ATIVO X AMEAÇA X VULNERABILIDADE

FONTE: Adaptado de Solvimm (2019)

Após a identificação dos ativos, deve-se avaliar quais os eventos que


podem decorrer da exposição de uma vulnerabilidade. Um possível vazamento
de dados, por exemplo, pode ter, como consequência, o comprometimento na
confidencialidade das informações. Essas consequências podem gerar, além da
perda da confidencialidade, problemas maiores, como prejuízos financeiros e de
imagem (SOLVIMM, 2019).

Solvimm (2019) alerta que a probabilidade desse cenário se concretizar e o


impacto dessa probabilidade na organização são fatores que ajudam a determinar
a criticidade de um risco.

DICAS

Quer conhecer um pouco mais das análises qualitativa e quantitativa? Acesse


https://sitecampus.com.br/vamos-planejar-analise-qualitativa-quantitativa-dos-riscos/ e
http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/686.

133
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

A análise dos riscos pode ser feita de maneira qualitativa ou quantitativa.


A análise qualitativa é mais subjetiva, já a análise quantitativa atribui valores ao
impacto e à probabilidade, para determinar o nível de criticidade de um risco.
Solvimm (2019) explica que: Para cada item da tríade de segurança, é atribuído
um valor de 0 a 4, de acordo com o efeito que a quebra de confi dencialidade,
integridade ou disponibilidade de um ativo tem sobre a empresa. Assim, Impacto
= Confi dencialidade + Integridade + Disponibilidade/3.

Da mesma forma, são dados valores de 0 a 4 para a probabilidade de


ocorrência do risco. Dessa forma, Risco = Impacto + Probabilidade/2.

QUADRO 5 – MATRIZ DE RISCO POR SOMATÓRIO

FONTE: Solvimm (2019, s.p.)

Podemos identifi car maneiras diferentes de identifi cação dos riscos.

DICAS

Veja outras formas de classificação dos riscos em http://www.iso27000.com.


br/index.php/site-map/articles/76-analise-de-riscos-de-ti.

134
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO

QUADRO 6 – MATRIZ DE RISCO COM PROBABILIDADE

FONTE: Correia (2016, p. 44)

É necessário, para o correto preenchimento, evitar a subjetividade pessoal,


além de ter uma legenda para indicar a classificação, como proposto por Correia
(2016).

QUADRO 7 – CLASSIFICAÇÃO

FONTE: Correia (2016, p. 44)

Outro item proposto por Correia (2016) é o impacto: Impacto – (I) – Perda
ou ganho na ocorrência de uma ameaça. O impacto “pode ser determinado pela
avaliação e pelo processamento de vários resultados da ocorrência de um evento,
pela extrapolação de estudos experimentais ou dados e registos do passado”
(CORREIA, 2016, p. 45).

135
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

QUADRO 8 – IMPACTO

FONTE: Correia (2016, p. 45)

O risco é calculado e classificado em função da combinação do Impacto (I)


e da Probabilidade (P).

(P x I = Risco)

Para determinar, qualitativamente, o nível de risco, é preciso multiplicar


a Probabilidade (P) pelo Impacto (I). Assim, podemos identificar o nível de risco
associado a um determinado risco identificado, segundo Correia (2016).

QUADRO 9 – NÍVEL DE RISCO

FONTE: Correia (2016, p. 45)

Exemplificaremos um evento que tem um impacto muito baixo (valor


1), e a probabilidade de ocorrer (valor 2) tem, como risco, a Probabilidade 1
multiplicada pelo impacto, no caso, 2.

136
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO

(2 x 1 = 2 ( Risco))

QUADRO 10 – TEMPO DE RESPOSTA

FONTE: Adaptado de Correia (2016)

O código das cores da matriz constitui a base de decisão sobre a


aceitabilidade do risco e as medidas de prevenção e controle. Assim, devem ser
estabelecidas as prioridades, além dos respectivos prazos de atuação. É preciso
priorizar, de um lado, os de mais fácil implementação e, de outro lado, os de grau
de risco mais elevado (CORREIA, 2016).

É importante lembrar que o tratamento dos riscos é a etapa posterior à


avaliação. Existem algumas formas de tratá-los: aceitar, diminuir ou compartilhar
o risco. Ainda, ter em mente que riscos nunca deixam de existir, caso contrário, a
atividade também é extinta.

Lembrando que esses são exemplos, e que cada organização deve fazer
sua categorização, de acordo com a sua realidade.

5 ANÁLISE SWOT
Outra ferramenta para auxiliar na identificação dos riscos, com os ativos
da organização expostos, é a análise SWOT Strength, Weakness, Opportunities
and Threats, que também é conhecida pelo acrônimo FOFA (do português, Força,
Oportunidades, Fraqueza e Ameaças). A análise SWOT é uma metodologia útil
para promover mudanças e melhorias contínuas.

Segundo Reis (2014), com o auxílio da ferramenta, é possível fazer uma


análise, ter noção do cenário em que seu negócio ou projeto está inserido, além
de servir para que profissionais e empresários fiquem atentos ao movimento do
mercado.

137
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

DICAS

Veja, na prática, a aplicação da análise SWOT, realizada no Instituto Nacional de


Pesquisas Espaciais – INPE em seu PLANEJAMENTO ESTRATÉGICO DE TECNOLOGIA DA
INFORMAÇÃO E COMUNICAÇÃO – PETIC, n° 407, de 29/06/2006: http://www.inpe.br/cti/
arquivos/PETIC_INPE.pdf. Ainda, do DENIT: http://www.dnit.gov.br/acesso-a-informacao/
insitucional/copy_of_comite-gestor-de-ti/peti-dnit-2016-2019-v-1-6.pdf.

A análise SWOT é dividida em dois grupos: ambiente interno e ambiente


externo. O ambiente interno é representado por pontos fortes (Strenght) e pontos
fracos (Weakness), e está sob controle da organização, ou seja, só depende de os
gestores tomarem ou não determinadas atitudes.

Já o outro quadrante, definido como ambiente externo, corresponde às


oportunidades (Opportunities) e ameaças (Threats). Na parte em questão, a empresa
não tem controle sobre os fatores, não sabe se acontecerão, mas é importante ter
atenção para aproveitá-los ou evitá-los (REIS, 2014). Para fazer a Análise SWOT,
é preciso seguir os seguintes passos, segundo Reis (2014, s.p.):

1) Defina os Pontos Fortes: O objetivo é definir o potencial do negócio


ou projeto, o que o difere dos outros. Inclua os recursos e capacidades
que geram vantagens. Ex.: matéria-prima utilizada, grupo técnico,
localização geográfica, qualidade dos produtos e serviços etc.
2) Identifique as Fraquezas: Aqui, você identifica quais os pontos mais
vulneráveis, ou seja, fatores que podem impedir o sucesso do negócio
ou projeto. Ex.: sistema de comunicação interna fraco, produto
altamente perecível, matéria-prima escassa, equipe pouco qualificada
etc.
3) Aproveite as Oportunidades: As oportunidades são as situações
externas à empresa, que podem acontecer e afetar positivamente
no negócio ou projeto. Essas situações normalmente estão fora do
controle da empresa, mas existe uma chance de elas acontecerem.
Ex.: aprovação de uma nova lei, lançamento de uma nova tecnologia,
lançamento de um produto complementar etc.
4) Proteja-se das Ameaças: Por fim, as ameaças representam todos os
fatores que podem atrapalhar ou oferecer risco ao negócio e projeto.
Ex.: pirataria dos produtos, escassez, lançamento de um produto
superior ao seu etc.

138
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO

FIGURA 4 – SWOT

FONTE: Reis (2014, s.p.)

Como define Reis (2014), a Análise SWOT é etapa essencial para qualquer
planejamento estratégico de sucesso, e sua qualidade depende da habilidade
e atenção de quem executa. Com a ajuda da ferramenta, pode-se determinar
a posição atual do negócio ou projeto, além de antecipar o futuro, visando às
oportunidades e precavendo as ameaças. Veja um recorte da Análise SWOT:

QUADRO 11 – SWOT AMBIENTE EXTERNO - FORÇA E FRAQUEZAS

FONTE: INPE (2017, p. 22)

139
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

QUADRO 12 – SWOT AMBIENTE EXTERNO - OPORTUNIDADE E AMEAÇA

FONTE: INPE (2017, p. 23)

É muito importe salientar que os exemplos apresentados nas matrizes e


na análise SWOT são ilustrativos, e que cada organização deve desenvolver seus
próprios valores para detecção de riscos e ameaças.

140
RESUMO DO TÓPICO 2

Neste tópico, você aprendeu que:

• Antes de criar um inventário, é importante conhecer os riscos associados a ele.

• Planilhas, como a de responsabilidade, nos auxiliam na gestão dos ativos.

• A matriz de risco pode ser muito útil na classificação dos riscos associados aos
ativos.

• Ferramentas, como a SWOT, permitem uma melhor análise e classificação dos


ativos.

141
AUTOATIVIDADE

1 Ao fazer uma gestão da informação eficiente, as organizações garantem


benefícios que vão desde a proteção de dados estratégicos à obtenção
de novos negócios. Para alcançar tudo isso, é necessário realizar, além
de garantir que políticas, processos, hardwares e softwares supram suas
necessidades, considerando todos os riscos e atividades do negócio. Com
relação às normas relacionadas à segurança da informação, julgue os itens
a seguir, marcando, com V, a afirmativa verdadeira e, com F, a afirmativa
falsa:

( ) A gestão de riscos geralmente inclui a análise/avaliação de riscos, o


tratamento, a aceitação e a comunicação.
( ) A elaboração de uma política de segurança da informação deve ser o
primeiro passo de uma organização que deseja proteger seus ativos e estar
livre de perigos e incertezas.
( ) Autenticidade se refere à propriedade de salvaguarda da exatidão e
completeza da informação.
( ) A norma ISO/IEC 15408 (Common Criteria) é a versão brasileira da bS
7799 (British Standard), e específica os requisitos para implementação de
controles de segurança personalizados para as necessidades individuais
de organizações ou suas partes.

Assinale a opção com a sequência CORRETA:


a) ( ) V – F – V – V.
b) ( ) F – F – F – V.
c) ( ) F – V – V – F
d) ( ) V – V – F – F.

2 As políticas buscam desenvolver boas práticas e definir regras, já a


classificação da informação é uma prática muito mais antiga, muito utilizada,
por governos e empresas, para a classificação e o correto tratamento das
informações consideradas confidenciais diante de um possível vazamento
de dados. Analise as seguintes afirmativas sobre política de segurança da
informação e classificação da informação:

I- Todas as informações e ativos associados com os recursos de processamento


da informação devem ter um proprietário designado por uma parte
definida da organização. O termo proprietário não significa que a pessoa
realmente tenha direito de propriedade pelo ativo.
II- Um documento da política de segurança da informação deve ser aprovado
pela direção, mas deve ser mantido em sigilo em relação aos funcionários e
partes externas relevantes.
III- A informação deve ser classificada em termos do seu valor, requisitos
legais, sensibilidade e criticidade para a organização. A classificação da
informação deve ser instituída por uma política.
142
Marque a alternativa CORRETA:
a) ( ) Apenas as afirmativas I e II são verdadeiras.
b) ( ) Apenas as afirmativas I e III são verdadeiras.
c) ( ) Apenas as afirmativas II e III são verdadeiras.
d) ( ) Todas as afirmativas são verdadeiras.

3 Um Sistema de Gestão de Segurança da Informação (SGSI) é um sistema


voltado para a segurança da Informação. Nele, estão declaradas as regras e
políticas que a organização deve utilizar para proteger a informação e garantir
que seus critérios de confidencialidade, integridade e disponibilidade
sejam mantidos. O SGSI inclui estratégias, planos, políticas, medidas,
controles e diversos instrumentos usados para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar a segurança
da informação. Para estabelecer o Sistema de Gestão de Segurança da
Informação (SGSI), este se torna requisito a ser implementado em ambientes
corporativos, educacionais, industriais, governamentais e qualquer outro
que tenha, por objetivo, resguardar ambientes que criam, manipulam ou
destroem informações relevantes. Com relação ao SGSI, considere:

I- A organização deve definir uma política do SGSI nos termos das


características do negócio. A organização, sua localização, ativos e
tecnologia devem estar alinhados com o contexto estratégico de gestão de
riscos da organização no qual o estabelecimento e manutenção do SGSI
ocorrem.
III- A organização deve definir a abordagem de análise/avaliação de riscos da
organização, desenvolver critérios para a aceitação de riscos e identificar os
níveis aceitáveis de risco.
III- Identificar e avaliar as opções para o tratamento dos riscos, sendo, uma
possível ação, aceitar os riscos consciente e objetivamente, desde que
satisfaçam, claramente, as políticas da organização e os critérios de aceitação
dos riscos.

Está CORRETO o que se afirma em:


a) ( ) I e II, apenas.
b) ( ) I e III, apenas.
c) ( ) II, apenas.
d) ( ) III, apenas.
e) ( ) I, II e III.

143
144
TÓPICO 3 —
UNIDADE 3

FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE


SEGURANÇA DA INFORMAÇÃO

1 INTRODUÇÃO
Vimos, ao longo do livro didático, que é muito importante saber onde se
está, para poder definir o tipo de proteção. Ainda, antes de verificar qual o modelo
adotar para o inventário de ativos, se um software pronto ou uma planilha, é
preciso haver a necessidade de controle da organização.

Uma prática que começa a ganhar força, nos últimos anos, é a de trabalhar
a distância, conhecida por home office. No cenário em questão, os equipamentos e
informações acabam saindo da organização, entrando equipamentos particulares,
como celulares e notebooks. Por isso, a prática também precisa ser incluída nas
políticas, devem ser definidas as regras para avaliar os riscos, e a definição de
boas práticas para manter a segurança das informações.

2 TRAGA SEU PRÓPRIO EQUIPAMENTO


Uma prática muito comum, e que você já deve ter presenciado, ou
vivenciado, é o uso de equipamentos próprios. A prática se chama Traga o Seu
Próprio Dispositivo, do inglês, Bring Your Own Device, conhecida pelo elo acrônimo
BYOD. Baars, Hintzbergen e Hintzbergen (2018, p. 179) definem:

Com relação à propriedade de ativos, há um termo que não deve ser


esquecido. É Bring Your Own Device (BYOD), ou “traga o seu próprio
dispositivo”. As empresas dão, ao seu pessoal, a possibilidade de usar
dispositivos próprios para trabalhar na companhia. Se for o caso,
os ativos pessoais (um tablet, laptop ou telefone celular) possuem
informações de negócio e essas informações devem ser protegidas da
mesma forma. Deve haver uma política para BYOD na empresa e as
informações nos ativos BYOD devem ser protegidas.

Essa nova forma de trabalhar também traz seus pontos positivos e


negativos. Como pontos positivos, temos o aumento da produtividade, economia
de recursos e o engajamento dos colaboradores, como detalhados por Sankhya
(2016).

145
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

O ganho na produtividade se refere a um funcionário feliz, que trabalha


melhor e com mais engajamento. Se os funcionários se sentem mais engajados, é
natural que eles passem a produzir mais em prol da empresa. Vale ressaltar que
essa produtividade não advém apenas da questão da comodidade, mas muito
da agilidade que o colaborador tem ao manusear o seu próprio equipamento.
Para exemplificar essa situação, Sankhya (2016) menciona, por exemplo, quem
está acostumado a usar o notebook pessoal com determinada configuração.
Provavelmente, ficaria incomodado ao utilizar outra. Ao dar, ao funcionário, o
poder de escolha, ele retribui com desempenho na produção.

Outro diferencial se refere à economia que a organização tem. Como


o dispositivo que é utilizado é de propriedade do funcionário, você, como
organização, reduz gastos com equipamentos, licenças de softwares e manutenção.
Para as micro e pequenas empresas, é uma vantagem a ser considerada, visto que
se torna uma despesa desnecessária (SANKHYA, 2016).

Obviamente, essa prática também tem desvantagens, especialmente no que


se refere à segurança da informação, pois, um ativo que poderia ser “controlado”
pela organização, agora, é de responsabilidade do colaborador, conforme define
Sankhya (2016, s.p.):

Esse é o grande problema que envolve a implementação do BYOD em


uma empresa. Afinal, quando um funcionário tem a liberdade para
acessar e transportar informações internas, muitas delas, de caráter
sigiloso, para outros lugares, a empresa assume o risco de perdê-las
por alguma eventualidade.

O smartphone de um colaborador pode não ter um antivírus, um notebook


pode ser furtado ou roubado, uma outra pessoa próxima do funcionário pode
acessar as informações. Enfim, são tipos de problemas que põem em risco as
informações de uma organização.

Vejamos alguns pontos que devem ser observados para garantir a


segurança dos ativos. Segundo Softline (2018), as sete práticas a seguir podem
colocar a segurança da organização em risco:

1 Esquecer de implementar uma política de segurança: Segundo Softline


(2018), um dos maiores problemas, para não dizer erro, no uso do BYOD, é a
falta de uma política de segurança das informações corporativas. Uma vez que o
dispositivo é do colaborador, é fundamental que ele siga certas obrigações, a fim
de prevenir o vazamento dos dados. Assim, ele deve ter conhecimento, e essas
obrigações devem estar listadas em um documento, no qual o funcionário afirma
ter conhecimento e se compromete a respeitar e a seguir as normas, que podem
conter desde sistemas operacionais recomendados e termos de monitoramento
dos equipamentos até regras sobre replicação dos dados.

146
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

2 Ignorar o treinamento dos funcionários: Seguindo o que explicamos na


Unidade 2, não basta ter uma boa política de segurança. É fundamental garantir
que os funcionários entendam todas as normas do documento e executem as
instruções necessárias adequadamente. Uma maneira de divulgação surge
através do treinamento da equipe sobre o conceito de BYOD, suas vantagens, os
cuidados necessários e as responsabilidades dos envolvidos (SOFTLINE, 2018).

3 Permitir o uso de lojas terceirizadas para download de aplicativos.


É outro ponto a ser observado, para a segurança das informações. Além dos
computadores, o BYOD também envolve o uso de smartphones e de tablets.
Assim, é importante ter controle sobre as plataformas de aplicativos das quais
seus funcionários fazem os downloads (SOFTLINE, 2018).

4 Aceitar a utilização de versões desatualizadas do sistema operacional.


A atualização do sistema operacional (SO) é uma das medidas mais importantes
para manter o aparelho livre de ameaças. Softline (2018) afirma que essa medida é
de suma importância, pois versões ultrapassadas podem conter vulnerabilidades
que deixam o dispositivo exposto a atividades de sequestro de dados e outros
ciberataques. Assim, é essencial incentivar os funcionários adeptos do BYOD a
acatarem o update do SO das suas máquinas.

5 Autorizar que os colaboradores conectem seus dispositivos a redes


públicas. Quando é permitido que o colaborador faça uso do seu próprio
dispositivo dentro do ambiente da empresa, o departamento de segurança e
tecnologia não só pode como deve seguir alguns protocolos de segurança para
garantir que a rede seja confiável. Porém, Softline (2018) alerta que, caso o
colaborador faça uso da máquina em ambientes em que a rede não é protegida,
como o acesso Wi-Fi em locais públicos, alguns indivíduos conseguem ter acesso
aos dados que trafegam na rede, como informações confidenciais de caráter
pessoal e, até mesmo, da empresa. Portanto, o ideal é evitar que funcionários
aderentes ao BYOD utilizem redes públicas ou que mantenham suas máquinas
com um software especializado.

6 Não implantar mecanismos eficazes de controle de acesso. Como


afirma Softline (2018), o controle de acesso às informações pertinentes à empresa
também deve ser outra preocupação. Ele garante que a informação só fique
disponível para quem, de fato, precisa visualizá-la ou modificá-la. Assim, é
necessário levar em conta questões como: o colaborador realmente precisa ter
acesso a certos arquivos e pastas? É preciso oferecer permissão de editar e excluir
ou basta autorizar a visualizar os arquivos? As informações são criptografadas
antes de serem compartilhadas entre os colaboradores? O profissional precisa ter
cópias locais dos arquivos ou eles devem permanecer armazenados na nuvem?

7 Não utilizar bloqueio por senha e encriptação das informações. Outra


falha é a não aplicação de senhas e criptografia. Elas precisam constar na política
de segurança. Devem existir orientações para bloquear o equipamento com senha
e instruções para encriptar as informações gravadas na memória do equipamento

147
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

do usuário. Softline (2018) afirma que a proteção de dispositivos móveis com


senha costuma ser suficiente para evitar que terceiros tenham acesso ao conteúdo
em situação de perda ou de roubo. No entanto, no notebook, mesmo que o
equipamento exija uma senha, pessoas de má índole podem abrir a máquina,
retirar o disco rígido (HD) e encontrar formas de acessar os arquivos salvos. Então,
para evitar problemas, é importante fazer uso de uma ferramenta de encriptação
de disco. Com isso, as informações do HD permanecem criptografadas e só
podem ser lidas depois de inserida uma senha no sistema.

Como percebemos, o uso do celular ou do computador pessoal traz vários


riscos que devem ser analisados. É preciso observar se sua organização pode ou
não seguir a prática. Caso sim, são necessárias diversas medidas de segurança
para que a prática do BYOD funcione sem contratempos para a empresa e para
os funcionários. Ainda, ter em mente que, por mais que possam causar alguns
inconvenientes para os donos dos equipamentos, são essas ações que permitem
que eles trabalhem com o conforto do próprio dispositivo e com a tranquilidade
de que não estão colocando dados sensíveis da organização em risco (SOFTLINE,
2018).

No próximo subtópico, veremos algumas boas práticas que podem ser


aplicadas para o gerenciamento de inventário.

3 BOAS PRÁTICAS DE GERENCIAMENTO DE INVENTÁRIO


DE TI
Como vimos, durante nossos estudos, podemos fazer uso de diversas
ferramentas para melhorar a segurança da informação, desde práticas de
marketing até a divulgação das práticas que devem ser seguidas, como planilhas
que auxiliam na identificação de quem é responsável, a quais riscos estamos
expostos etc. Ainda, uma empresa, para o seu bom funcionamento, conta com
uma série de recursos tecnológicos que envolve software e hardware.

O inventário de ativos de informação nada mais é que uma lista completa


de todos os recursos. Segundo Schultz (2018), essa relação deve envolver todas
as principais informações necessárias para a gestão de cada um dos itens, como:

• dados técnicos;
• ata de compra;
• número de série;
• local de instalação;
• data da última manutenção ou atualização.

Esses são alguns dos pontos básicos e essenciais que devem ser
demonstrados em um inventário de TI. Essa lista, de acordo com Schultz (2018),
pode ser desenvolvida de forma manual, por meio de planilhas, e realizada por

148
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

profissionais da equipe de TI interna ou um time externo contratado. O objetivo


maior é trazer segurança para a informação.

Como vimos, através do ciclo PDCA, é importante revistar a política de


segurança da informação com o inventário de ativos. Também deve ser sempre
revisitado e atualizado, evitando, assim, qualquer tipo de surpresa desagradável.

Para obter os melhores resultados possíveis, ao implantar um inventário


de tecnologia da informação na sua empresa, é possível utilizar uma série de boas
práticas.

A utilização de ferramentas para a criação e gestão do inventário


dos recursos de tecnologia é uma boa solução, dependendo do tamanho da
organização, já que, dependendo da quantidade de ativos, o controle manual da
listagem do inventário pode estar sujeito a uma série de problemas, como erros
de interpretação, de listagem e confusão de informações que podem levar a falhas
críticas (SCHULTZ, 2018).

Mesmo contando com uma plataforma para gestão de inventário, é


importante a possibilidade de dar entrada, além de atualizar, caso necessário,
manualmente, no sistema de dados referente aos recursos. Hoje, ainda não é
possível, para a ferramenta, realizar a coleta de todos os dados que podem ser
relevantes para o controle do inventário.

Ainda, a listagem de todos os ativos, uma prática imprescindível, pois


algumas empresas optam por não criar uma listagem completa de todos os
seus ativos tecnológicos. O que, muitas vezes, acontece, é que elas deixam os
softwares e sistemas de fora da lista do inventário, buscando facilitar o trabalho.
Obviamente, é uma solução incorreta, já que boa parte dos recursos são sistemas
e não há como realizar uma boa gestão com apenas metade dos dados. O real
controle do inventário de TI só é possível com uma listagem completa.

A atualização automatizada, segundo Schultz (2018), também é uma boa


prática realizada para melhorar a gestão dos ativos, fazendo uso de rotinas de
atualização automatizada. Assim, o responsável pode autorizar a atualização
necessária a determinado recurso automaticamente. No caso de uma gestão de
ativos complexa, em que exista uma grande variedade de itens a ser controlada,
essa automatização pode facilitar, e muito.

As informações acerca dos ativos podem ser ou não importantes para


o melhor gerenciamento e controle. O que é regra e importante, para outra
organização, pode não ser para a sua. Por isso, verifique, no momento da criação
da sua lista de recursos, quais são as informações realmente necessárias. De nada
adianta coletar o máximo de dados acerca de cada ativo se tais dados não serão
utilizados (SCHULTZ, 2018).

149
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

Ainda, há a criação de relatórios customizados. Schultz (2018) afirma


que, assim como você deve se preocupar com informações que sejam relevantes
para a sua gestão, a criação de relatórios deve seguir a mesma lógica. É preciso
colocar, nos relatórios, apenas o necessário, com clareza, permitindo visualizar
um conhecimento realmente útil.

Segundo Freire (2019), atingir um nível adequado de maturidade no


processo de gestão de ativos pode levar tempo, o inventário de TI, certamente, a
base para chegar lá. No entanto, a aplicação de algumas boas práticas auxilia para
que a técnica seja agregada à cultura organizacional. Veja alguns itens que podem
aprimorar e de guiar o aprendizado:

ITIL: Information Technology Infrastructure Library (ITIL) é um


framework para ser aplicado no gerenciamento de infraestrutura,
operação e serviços de TI. Essa biblioteca de boas práticas engloba o
conhecimento acumulado por empresas ao redor do mundo.
ISO 20000: A primeira norma mundial que discorre sobre os requisitos
e melhores práticas para Gestão de Qualidade de Serviços de TI.
ISO 27001 e 27002: Ambas as normas abordam orientações para um
Sistema de Gestão da Segurança da Informação (SGSI). Indicam
a importância de estruturar e manter um inventário de ativos nas
organizações.
ISO 19770: A família de normas 19770 apresenta uma série de
estruturas e padrões a serem seguidos para implementar e comprovar
um processo de Gestão de Ativos de TI.
ISO 55000: Norma internacional que oferece uma visão panorâmica
com terminologias, requisitos e indicações para o Gerenciamento de
Ativos de TI (FREIRE, 2019, s.p.).

O objetivo do inventário de TI não é a geração de gráficos bonitos ou uma


tonelada de dados, mas suporte para decisões importantes do setor de tecnologia
em relação à infraestrutura e à segurança das informações.

4 MODELOS DE INVENTÁRIOS
A escolha de um software especializado em gestão de ativos é
determinante para que a prática seja implantada com sucesso. Atualmente,
uma empresa consegue optar por diferentes soluções presentes nos mercados
nacional e estrangeiro. Além disso, a ferramenta pode ser instalada localmente
ou disponibilizada na nuvem.

150
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

DICAS

Conheça algumas planilhas grátis para o gerenciamento de ativos em http://


mktbrasil.mundolenovo.com.br/gestao-de-inventario.html e https://magma3.com.br/
como-fazer-o-inventario-de-computadores-da-minha-empresa/.

Apesar de existirem inúmeras particularidades em cada alternativa, a


principal finalidade do produto é a de elevar a produtividade da TI.

DICAS

CACIC é uma abreviação que traduz, literalmente, sua funcionalidade:


Configurador Automático e Coletor de Informações Computacionais, ou seja, um sistema
de inventário automatizado na rede. Ele foi lançado em 2005 e tem sido motivo de orgulho
para o Governo Federal por ser, este, o primeiro, e também o mais conhecido software
criado e desenvolvido em uma parceria com o Ministério do Planejamento, Orçamento
e Gestão (MP), da Secretaria de Logística e Tecnologia da Informação (SLTI) e da Empresa
de Tecnologia e Informações da Previdência Social (Dataprev). Conheça mais em https://
www.devmedia.com.br/gestao-de-ativos-a-organizacao-nas-maos-da-ti-revista-infra-
magazine-11/27895.

Antes, veja alguns passos que devem ser observados, que já foram
apresentados no nosso livro. Servem como ponto fundamental para a criação do
seu inventário, segundo Schultz (2018):

FIGURA 5 – TIPOS DE ATIVOS

FONTE: Lenovo (2020, s.p.)

151
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

Rotule os ativos: O primeiro passo é criar uma rotulação para os seus


ativos de tecnologia. Os básicos são: usuários, software e hardware, mas nada
impede que você crie rótulos para melhorar o controle. Outra possibilidade é que
você desmembre cada uma dessas categorias em subtipos, por exemplo, recursos
de rede, um tipo que conta com hub, cabeamento e roteador (SCHULTZ, 2018).

FIGURA 6 – ROTULAR

FONTE: Lenovo (2020, s.p.)

Segundo Schultz (2018), independentemente do tamanho da empresa,


por menor que seja, existe uma grande chance de ela possuir equipamentos e
sistemas repetidos, como dois computadores de uma mesma marca. Podem ser
máquinas iguais, porém, a nível de controle, são distintas. Assim, é fundamental
criar um esquema de nomeação, com etiquetas físicas que possam ser coladas
para identificação em cada um dos equipamentos. O mesmo ocorre com sistemas:
pode ser que cada usuário do sistema conte com uma licença, sendo necessário
diferenciá-las.

Liste seus ativos também. Feita a criação dos rótulos, além do esquema de
nomeação, agora, é possível realizar a listagem de todos os recursos tecnológicos
disponíveis na empresa. Lembrando que a listagem obedece aos rótulos criados,
subtipos e nomeação, criados para a organização. Quando chegar na etapa, pode-
se observar e fazer a gestão dos ativos, com a visualização de vulnerabilidades,
oportunidades de melhoria e o constante monitoramento dos recursos (SCHULTZ,
2018).

FIGURA 7 – ROTULAR

FONTE: Lenovo (2020, s.p.)

152
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

Com base no inventário, busque por vulnerabilidades ou oportunidades.


Com posse de todas as informações relevantes em mãos, acerca dos ativos de
tecnologia, é simples observar qualquer anomalia.

A seguir, será possível observar quantas vezes cada máquina precisou


de conserto. Segundo Schultz (2018), uma alteração pode se mostrar como uma
vulnerabilidade ou oportunidade de melhoria.

FIGURA 8 – MANUTENÇÕES

FONTE: Lenovo (2020, s.p.)

Também podemos observar, a seguir, o controle de licenças. Schultz (2018)


cita como exemplo de vulnerabilidade ou fraqueza, pois é possível identificar pela
quantidade de máquinas e quantidade de licenças, evitando, assim, um processo
e custos desnecessários. Como uma oportunidade, encontrar determinado ativo
que pode ser utilizado para melhorar o desempenho de outro setor da empresa.

FIGURA 9 – LICENÇAS

FONTE: Lenovo (2020, s.p.)

Monitore constantemente, como mencionado diversas vezes. O processo


precisa ser revisitado sempre. Ao fim, o gestor pode realizar a verificação das
necessidades encontradas durante o levantamento dos recursos de TI. A seguir,
será possível acompanhar a garantia de um equipamento.

FIGURA 10 – GARANTIAS

FONTE: Lenovo (2020, s.p.)

153
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

Já para empresas que têm uma infraestrutura montada e que realizam


o inventário pela primeira vez, não é raro se assustarem e encontrarem várias
falhas que exigem atenção. Segundo Schultz (2018), as mais frequentes se referem
à questão de equipamentos ou sistemas que não se adequam à demanda atual
da empresa, para mais ou para menos, causando gastos desnecessários para o
negócio.

Depois de ter realizado todas as primeiras intervenções, basta, ao


administrador do setor de TI, manter-se vigilante acerca de qualquer alteração
ou necessidade de mudança na infraestrutura.

FIGURA 11 – CONTROLE

FONTE: Lenovo (2020, s.p.)

DICAS

Conheça uma listagem de ferramentas de gestão de ativos disponível no


mercado: https://sgatecnologia.com.br/conheca-as-11-melhores-ferramentas-para-
gestao-de-ti/.

Caso a organização decida por uma solução pronta, Freire (2019) pontua
alguns pontos que devem ser observados, requisitos básicos que você procura ao
realizar uma compra. Enfim, algumas funcionalidades são indispensáveis em um
software inteligente de gestão de ativos.

O controle em tempo real, segundo Freire (2019), é o principal diferencial


entre adquirir uma ferramenta de controle automatizado e preenchimento de
planilhas manualmente. Não há necessidade de cadastrar tudo manualmente, já
que o software mapeia, de forma espontânea, a rede corporativa, com o objetivo
de detectar quaisquer alterações.

154
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

Com relação ao aproveitamento de ativos, mais que coletar informações


e centralizá-las em um banco de dados, segundo Freire (2019, s.p.), “uma boa
ferramenta para gestão de ativos deve produzir insights sobre a sua infraestrutura.
O cruzamento dos elementos que permeiam um parque de máquinas revela
oportunidades de intervenção para a otimização dos recursos”.

Por fim, há os relatórios e estatísticas, outra diferença entre as planilhas.


Segundo Freire (2019), a possibilidade de extrair relatórios predefinidos ou
criar os seus próprios modelos agiliza subsequentes análises gerenciais, além
de alertas personalizados, para que nenhuma ação passe em branco e você não
precise acessar o sistema para conferir se há algum movimento nos seus ativos.
Assim, a possibilidade de habilitar alertas personalizados que comuniquem as
atualizações via e-mail se faz necessária.

155
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

LEITURA COMPLEMENTAR

INTRODUÇÃO

As micro e pequenas empresas enfrentam, desde sua fundação, diversos


problemas inerentes aos pequenos negócios. Pouca especialização, gestão não
profissional, foco no aspecto operacional em detrimento ao estratégico, além
da escassez de recursos financeiros são fatores que limitam o crescimento das
pequenas organizações empresariais no Brasil (FERNANDES; ABREU, 2014).

A gestão de empresas é um campo abrangente e não trivial para o pequeno


empresário que, por não contar com recursos financeiros adequados para
contratar profissionais qualificados em cada área de gestão, acaba por contratar
outras pequenas empresas para suprir suas necessidades.

Uma dessas áreas de gestão é a da tecnologia da informação, que tem um


papel fundamental na gestão das empresas, suportando todos os setores, desde o
operacional até a alta administração. Essa utilização abrangente da tecnologia da
informação se faz presente nas grandes empresas, e o investimento em tecnologia
assume papel estratégico nos negócios. Entretanto, existe, nas micro e pequenas
empresas, uma utilização dos recursos tecnológicos que poderiam auxiliar o
empresário a gerir melhor seus empreendimentos.

Os problemas enfrentados pelas micro e pequenas empresas advêm,


essencialmente, da falta de conhecimento. A maioria não possui conhecimentos
sobre planejamento estratégico e desenvolve o negócio utilizando conhecimento
tácito (FIGUEIREDO et al., 2014).

Para executar uma gestão eficaz, em qualquer área, é preciso conhecer


aquilo que se deseja gerir. Para a tecnologia da informação, conhecer os recursos
informáticos ou ativos de informação, mais especificamente, os ativos de rede, é a
base para manter um ambiente onde a informação possa fluir de maneira segura
e confiável.

As informações podem ajudar o pequeno empresário a tomar decisões


mais assertivas com relação ao ambiente tecnológico, como a implantação de um
novo sistema ou a renovação do parque de máquinas, por exemplo. O resultado
pode ocasionar a vantagem competitiva em relação a seus concorrentes no
mercado (PEREIRA et al., 2016). Além disso, com a informatização por parte do
governo, aumenta, ainda mais, a pressão sobre os gestores para o cumprimento
de exigências regulatórias e fiscais (STUMPF; CRIBB, 2018).

Nesse contexto, este trabalho propõe avaliar a importância da gestão


de ativos em uma microempresa prestadora de serviços contábeis na cidade de
Bragança Paulista.

156
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

FUNDAMENTAÇÃO TEÓRICA

Para que a gestão de ativos de rede seja bem compreendida, faz-se


necessária sua contextualização dentro do universo das melhores práticas de
governança e gestão da tecnologia da informação.

Cougo (2015) cita a biblioteca ITIL (Information Technology Infrastructure


Library) para a gestão de serviços, a norma ISO/IEC 27002 para segurança
da informação e o COBIT (Control Objectives for Information and Related
Technology) para a governança e auditoria como instrumentos que auxiliam os
gestores no processo de tomada de decisão. A essa lista, Fernandes e Abreu (2014)
acrescentam a norma ISO/IEC 38500 e ISO/IEC 20000 para governança corporativa
de tecnologia da informação e gerenciamento de serviços de TI, respectivamente.

Castilho et al. (2013) apresentaram um estudo sobre dois sistemas para


documentação de ativos de tecnologia da informação: o GLPI (Gestion Libre
de Parc Informatiqué) e o OCS Inventory NG (Open Computer and Software
Inventory Next Generation). É preciso demonstrar a importância do uso de
ferramentas como forma de auxiliar no processo de documentação e inventário
dos ativos de tecnologia e alinhamento com as melhores práticas de gestão de
serviços propostas pela ITIL.

Em sua pesquisa, Lopes (2016) abordou aspectos relacionados à


implantação da gestão de serviços de TI em uma Instituição de Ensino Superior,
usando as mesmas ferramentas e premissas do COBIT, da norma ISO/IEC 20000
e da ITIL.

Todas as publicações e normas descritas pelos autores indicam que sua


aplicação pode ser dada em qualquer tipo e tamanho de organização. Entretanto,
as pequenas empresas possuem particularidades que precisam ser avaliadas
previamente.

Fernandes e Abreu (2016) elencam as características do cenário de TI nas


pequenas e médias empresas brasileiras:

a) a infraestrutura de TI não é complexa;


b) tarefas mais complexas são terceirizadas (como suporte à rede, desenvolvimento
de sistemas e implantação de sistemas integrados de gestão);
c) geralmente, compra-se, em vez de desenvolver;
d) há limitações de habilidades em TI dentro da empresa;
e) a tolerância ao risco é alta;
f) há muito foco em relação aos custos;
g) a estrutura de comando é simples;
h) existem poucos controles;
i) o foco da informatização está nas áreas administrativas e financeiras das
empresas e na automação de pontos de venda (no caso de empresas comerciais);
j) uso do e-mail;
k) eventualmente, há aplicações de B2B e B2C, através da internet.
157
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

Essas características e os resultados evidenciados pelo estudo de Silva et


al. (2018), em empresas nordestinas, mostram que o distanciamento da direção da
empresa com relação ao setor de TI, a cultura organizacional, a baixa qualificação
dos profissionais de TI e a falta de qualificação da direção em relação à gestão e/
ou governança de TI são fatores que implicam na não adoção de frameworks de
TI, como o COBIT e o ITIL.

Para os objetivos desta pesquisa, o estudo será limitado ao tratamento dado


à questão de gestão de ativos pela norma ISO/IEC 27002, por ser uma referência
conhecida das pequenas e médias empresas, possuir controles mais simplificados
e, além disso, ser referência básica para outras publicações relevantes da área. Será
utilizada a ferramenta OCS Inventory NG para a coleta de dados, pois se trata de
uma ferramenta específica de inventário, sem custos de aquisição e amplamente
utilizada nas organizações.

Governança e Gestão: A governança corporativa é um sistema por meio


do qual as sociedades são dirigidas e monitoradas, permitindo que a missão, a
visão e a estratégia sejam transformadas, tendo em vista as metas e os objetivos.
As boas práticas de governança buscam aumentar o valor da organização, facilitar
o acesso ao capital e contribuir para sua longevidade (MOLINARO; RAMOS,
2015). O COBIT5 faz uma distinção clara entre governança e gestão:

A governança garante que as necessidades, condições e opções das


partes interessadas sejam avaliadas a fim de determinar objetivos
corporativos acordados e equilibrados; definindo a direção através de
priorizações e tomadas de decisão; e monitorando o desempenho e
a conformidade com a direção e os objetivos estabelecidos. A gestão
é responsável pelo planejamento, desenvolvimento, execução e
monitoramento das atividades em consonância com a direção definida
pelo órgão de governança a fim de atingir os objetivos corporativos
(ITGI, 2012).

Em termos gerais, a governança aponta a direção a seguir e os objetivos a


serem alcançados, enquanto a gestão trata das questões operacionais para atingir
esses objetivos.

Definição de Gerenciamento Rede: Gerenciar uma rede de computadores


é uma tarefa de monitoramento dos elementos da rede, sejam eles hardwares ou
softwares. De acordo com Kurose e Ross (2013), o gerenciamento de rede contém a
disponibilização, integração e a coordenação de elementos de hardware, software
e humanos. É preciso monitorar, além de consultar, configurar e controlar os
recursos da rede e seus elementos.

Sistemas de Gerenciamento de Rede: Segundo Kurose e Ross (2013), uma


arquitetura de um sistema de gerenciamento de rede contempla três componentes
principais:

158
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

a) Uma entidade gerenciadora para controle da coleta, processamento, análise e


apresentação de informações, permitindo que o administrador interaja com os
dispositivos da rede.
b) Os dispositivos gerenciados ou dispositivos de rede, como um switch,
uma impressora ou um roteador. Nesses dispositivos, residem agentes de
gerenciamento que permitem, à entidade gerenciadora, executar ações sobre o
dispositivo.
c) Um protocolo de gerenciamento de rede que permite, à entidade gerenciadora,
investigar o estado dos dispositivos gerenciados mediante o agente instalado.

Sistemas de Gestão de Ativos: A gestão de ativos de rede compreende,


além do registro das informações dos dispositivos, outros dados pertinentes ao
ciclo de vida, incluindo informações de aquisição e garantia. Essas informações
permitem, ao administrador, ter uma visão estratégica do parque de computadores,
podendo, assim, prever possíveis atualizações e manutenções. Pereira et al. (2016,
s.p.) apresentam a seguinte definição:

A gestão de ativos é o tratamento dado sobre os ativos físicos, utilizados


para suportar a tomada de decisões, a priorização de investimentos,
a determinação de manutenção ideal dos ativos e a frequência de
renovação. Envolve o controle de construções físicas, ativação,
operação, manutenção, desativação de instalações e equipamentos e
gestão de todo o ciclo de vida dos ativos.

Castilho et al. (2013) destacam a importância da documentação dos ativos


de rede para a manutenção das atividades e sucesso dos negócios. A utilização de
sistemas de gestão de ativos contribui para o planejamento em redes de médio e
grande porte, mantendo uma base de dados dos equipamentos e dos programas
utilizados. É possível facilitar o processo de gerência e a administração da rede.

A gestão de ativos tem um papel relevante para o administrador de rede.


O processo, portanto, é o primeiro a ser dado para a implantação de uma rede
organizada. Todos os dispositivos são registrados e sua utilização é acompanhada
desde a aquisição até o descarte, reduzindo desperdícios e maximizando a
utilização dos recursos existentes.

Ativo de Rede: Sêmola (2014, p. 43-44) define um ativo como “todo elemento
que compõe os processos que manipulam e processam a informação”. Segundo o
autor, o ativo é um elemento de valor para um indivíduo ou organização e, como
tal, deve ser protegido.

Para Galvão (2015, p. 18), ativo pode ser entendido como “[...] qualquer
parte que componha a estrutura de uma organização [...]”. Um ativo é, portanto,
qualquer elemento que represente valor para a empresa.

No contexto de uma rede de computadores de uma empresa, os ativos de


rede integram um conjunto de dispositivos e suas informações relacionadas que
permitem a operacionalização dos negócios da organização.

159
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

ESTUDO DE CASO

Nesta seção, são realizadas análises dos resultados levantados durante a


pesquisa, compreendendo a descrição da estrutura tecnológica da empresa, da
situação atual da gestão de ativos de TI e dos procedimentos adotados para a
coleta de informações dos ativos.

Estrutura Tecnológica

A estrutura tecnológica da rede da empresa estudada é composta por


um computador servidor, onze estações de trabalho e três impressoras. Apenas
o servidor e os equipamentos de rede que estão no armário do servidor, como
roteador e switch, são protegidos, por um no-break, contra falta de energia.
A rede de acesso à internet é composta por um modem com roteador sem fio
integrado fornecido pela operadora de banda larga.

FIGURA – ESTRUTURA TECNOLÓGICA DA EMPRESA

FONTE: O autor

Os departamentos são bem definidos e distribuídos em um prédio próprio


de dois andares e 100 m² de construção. Cada departamento ocupa uma sala e
cada estação de trabalho conta com uma conexão de rede, telefone e energia.

160
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

Situação da Gestão de Ativos Atual

Apesar do número pequeno de equipamentos, não existia um controle


formal da estrutura. Computadores e equipamentos podem ser inseridos e
removidos conforme a necessidade da empresa e, geralmente, os próprios
funcionários fazem as mudanças. Mesmo existindo um suporte de TI externo,
esse serviço se limita a resolver os problemas que surgem eventualmente na rede
ou nos sistemas existentes.

Inventário da Rede

Como não havia documentação sobre os computadores e dispositivos


instalados no ambiente, foi realizado um levantamento automatizado das
máquinas, utilizando o software OCS Inventory NG. A versão servidora,
responsável pelo armazenamento e apresentação dos dados enviados pela versão
agente instalada nas estações da rede, foi instalada na máquina “RECEPCAO”
pelo fato desta estar ociosa.

Com os dados coletados, foi possível avaliar as características de cada


computador em termos de processamento, quantidade de memória e capacidade
de armazenamento. Além dessas informações, todos os softwares instalados nos
computadores foram inventariados automaticamente, o que permitiu avaliar
quais sistemas operacionais, antivírus e outros programas estavam instalados em
cada estação. O exposto a seguir apresenta a página inicial do OCS com a visão
geral das máquinas inventariadas.

FIGURA – VISÃO GERAL DO INVENTÁRIO

FONTE: O autor

161
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

A tela inicial do OCS apresenta uma barra de ferramentas na qual é possível


escolher entre diversas opções de filtros e configurações. Para a funcionalidade
de inventário e visualização dos dados pelos utilizadores, o ícone computadores
mostra a relação de computadores inventariados.

RELATÓRIO DOS EQUIPAMENTOS

FONTE: O autor

Na tela, é possível aplicar filtros de visualização, além de adicionar e


remover colunas com as informações desejadas. Por meio dessa visualização,
obtemos uma primeira análise das configurações dos computadores, como o
nome da máquina, o sistema operacional, a quantidade de memória, a velocidade
do processador e o endereço de rede. Além disso, podemos detectar anomalias,
como nome duplicado na lista e falta de identificação do sistema operacional.
Escolhendo um nome de computador na coluna computer, podemos obter detalhes
da configuração da máquina.

162
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

FIGURA – DETALHES DO PROCESSADOR (DP-PC)

FONTE: O autor

Por meio dessa tela, obtemos um segundo nível de detalhes, que inclui
o nome do usuário, informações de licenciamento do sistema operacional e
última data que essa máquina foi inventariada. Essa tela apresenta uma barra
de ferramentas na qual podemos obter informações das partes que integram o
computador, como o processador, memória e dispositivos de armazenamento.

FIGURA – DETALHES DE ARMAZENAMENTO (DP-PC)

FONTE: O autor

163
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO

Observe o detalhamento dos dispositivos de armazenamento contidos no


equipamento, informando seu tipo, sistema de arquivos, tamanho total e espaço
livre. Uma visão gráfica facilita o acompanhamento da utilização de cada disco,
permitindo detectar a situação.

FIGURA – DETALHES DOS SOFTWARES INSTALADOS (DP-PC)

FONTE: O autor

Outro relatório importante diz respeito à lista de programas instalados


no computador. A figura anterior mostra o resultado ao escolher a ferramenta
indicada. Uma lista com todos os programas instalados permite identificar
qualquer programa não permitido que esteja presente na máquina do usuário.
Esse monitoramento é importante para evitar multas por infração à lei de
direitos autorais ou outros problemas, como programas antigos que não são mais
utilizados ou que estão desatualizados, ocasionando riscos de segurança.

Resultados

A partir dos relatórios gerados pelo programa OCS, as seguintes


recomendações foram apresentadas à direção da empresa:

a) Os nomes dos computadores não seguem um padrão que possa indicar qual
usuário é o utilizador e a qual departamento pertence. Sugere-se adotar uma
identificação do tipo usuário-departamento para identificar cada computador
na rede. A adoção dessa nomenclatura, segundo o item “c” da ISO27002,
permitiria identificar o responsável pelo ativo.
b) Em termos de processamento e memória, todos os computadores possuem
requisitos mínimos desejados para operar os programas instalados, entretanto,
uma atualização ou substituição dos três computadores com dois gigabytes de
memória pode ser necessária a curto prazo.

164
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO

c) O relatório de dispositivo de armazenamento mostrou que a maioria dos


computadores utiliza menos da metade dos recursos de disco e apenas um
chegou a 60% de utilização.
d) Outro relatório importante mostrou que existiam vários programas instalados
que não diziam respeito às atividades da empresa, assim, sugeriu-se que
cada usuário avaliasse a necessidade dos programas instalados e solicitasse a
remoção daqueles que não mais seriam utilizados.

Sugeriu-se uma verificação semanal dos relatórios pela diretoria, com


o objetivo de manter, sob controle, os parâmetros mínimos de funcionamento
da rede. Esse monitoramento pode ser delegado ao suporte terceirizado, que
ficaria responsável por reportar qualquer anomalia ou necessidade de reparo
ou atualização. O processo permitiria atingir a conformidade com o item “b” da
Norma 27002, no que tange à manutenção do inventário.

CONCLUSÕES

A gestão de ativos se caracteriza como atividade essencial para o


gerenciamento de uma rede de computadores. Para uma gestão eficaz, é preciso
conhecer os recursos existentes e utilizá-los adequadamente, evitando desperdícios
e maximizando sua operação. A atividade exige recursos tecnológicos que podem
demandar recursos financeiros e humanos que, no universo das micro e pequenas
empresas, podem inviabilizar o projeto.

A presente pesquisa teve, por objetivo, revelar a importância da gestão de


ativos de rede à luz das melhores práticas da gestão da tecnologia da informação
para a gestão de uma microempresa prestadora de serviços contábeis.

Com a implantação da ferramenta de inventário OCS Inventory NG,


os responsáveis pela empresa puderam ter uma visão da situação do parque
tecnológico e tomar decisões com base em informações precisas e atualizadas.

A gestão de ativos, aliada aos controles da norma NBR ISO/IEC 27002,


propicia, aos gestores das pequenas empresas, a porta de entrada para a adoção
de tecnologias mais robustas de gestão e governança TI, conforme a empresa se
familiariza com a adoção de boas práticas.

165
RESUMO DO TÓPICO 3

Neste tópico, você aprendeu que:

• A divulgação de boas práticas, na gestão dos ativos, traz diversos benefícios.

• No mercado, existem diversas soluções que podem auxiliar no controle


inventário de ativos.

• Através de uma planilha, é possível fazer o inventário de ativos.

CHAMADA

Ficou alguma dúvida? Construímos uma trilha de aprendizagem


pensando em facilitar sua compreensão. Acesse o QR Code, que levará ao
AVA, e veja as novidades que preparamos para seu estudo.

166
AUTOATIVIDADE

1 Para o sucesso de uma organização, independentemente do segmento, é


preciso saber o que tem e onde tem. Com a informação não é diferente,
pois, como vimos, a informação é um ativo que, como qualquer outro
ativo importante, é essencial para os negócios de uma organização, e todo
cuidado na sua classificação e controle é essencial. Sobre os ativos, é correto
afirmar:

a) ( ) Alguns ativos de informação, como documentos em forma eletrônica,


não podem ser fisicamente rotulados, sendo necessário usar um rótulo
eletrônico.
b) ( ) O inventário do ativo deve incluir apenas seu tipo, formato e
localização, pois essas são as únicas informações relevantes para a
recuperação de um desastre.
c) ( ) A implementação de controles específicos não pode ser delegada
pelo proprietário do ativo, mesmo sendo ele o único responsável pelos
controles e pela proteção adequada.
d) ( ) Todos os ativos devem ter um alto nível de proteção pois,
independentemente da sua importância, possuem valor para o negócio.
e) ( ) O processo de compilação de um inventário de ativos é importante,
mas não é requisito no gerenciamento de riscos.

2 As políticas de classificação da informação, fundamentais para permitir que


os ativos e as informações sejam gerenciados com base em classificações
de sigilo, podem variar de acordo com a nomenclatura adotada pela
organização, conforme a sua classificação, como público (ostensivo) ou
confidencial (sigiloso, secreto). Quando observamos as informações, são
critérios, que precisam ser considerados para a classificação da informação:

I- Os requisitos legais associados à informação.


II- O valor da informação.
III- Criticidade da informação para o negócio.

Assinale a opção CORRETA:


a) ( ) Apenas as afirmações I e II são verdadeiras.
b) ( ) Apenas as afirmações I e III são verdadeiras.
c) ( ) Apenas as afirmações II e III são verdadeiras.
d) ( ) As afirmações I, II e III são verdadeiras.
e) ( ) Nenhuma das afirmações é verdadeira.

3 A Segurança da Informação busca garantir a proteção das informações


das pessoas e das organizações. São definidas as informações, como todo
e qualquer conteúdo ou dado que tenha valor para alguma organização
ou pessoa. Para dar suporte, temos a ISO, que define alguns padrões.
Há o seguinte controle para a Classificação da Informação: Convém que
167
a informação seja classificada em termos do seu valor, requisitos legais,
sensibilidade e criticidade para a organização. Para implementação desse
controle, a norma recomenda, também, a seguinte diretriz:

a) ( ) Convém que sejam identificadas, documentadas e implementadas


regras para que seja permitido o uso de informações e de ativos associados
aos recursos de processamento da informação.
b) ( ) Convém que o proprietário do ativo da informação seja responsável
por assegurar que as informações e os ativos associados com os recursos de
processamento da informação estejam adequadamente classificados.
c) ( ) Convém que acordos com outras organizações, que incluam o
compartilhamento de informações, considerem procedimentos para
identificar a classificação daquela informação e para interpretar os rótulos
de classificação de outras organizações.
d) ( ) Convém que sejam definidos, para cada nível de classificação,
procedimentos para o tratamento da informação, que contemplem o
processamento seguro, a armazenagem, a transmissão, a reclassificação e a
sua destruição.
e) ( ) Convém que a classificação da informação e seus respectivos controles
de proteção levem, em consideração, as necessidades de compartilhamento
ou restrição de informações e os respectivos impactos nos negócios
associados com tais necessidades.

168
REFERÊNCIAS
ARMSTRONG, M. et al. Ciclo de vida da informação no suporte ao processo de
inovação: uma proposta de modelo interativo. Revista Gestão e Planejamento,
Salvador, v. 20, n. 1, p. 581-599, 2019.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC


27002:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro,
2006.

BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J. Fundamentos de


segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro:
Brasport, 2018.

BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J. Fundamentos de


segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro:
Brasport, 2015.

BARRETO, J. S. et al. Fundamentos de segurança da informação. Porto Alegre:


SAGAH, 2018.

BEZERRA, F. Planejamento estratégico, tático e operacional. 2014. Disponível


em: https://www.portal-administracao.com/2014/07/planejamento-estrategico-
tatico-operacional.html. Acesso em: 15 maio 2020.

BORGES, D. et al. Segurança da informação para iniciantes. Joinville: Clube de


Autores, 2019

BRASIL. Boas práticas em segurança da informação. 4. ed. Brasília: TCU;


Secretaria de Fiscalização de Tecnologia da Informação, 2012. Disponível em:
http://www4.planalto.gov.br/cgd/assuntos/publicacoes/2511466.pdf. Acesso em:
6 jul. 2020.

CABRAL, C.; CAPRINO, W. O. Trilhas em segurança da informação: caminhos


e ideias para a proteção de dados. Rio de Janeiro: Brasport, 2015.

CAMARGO, R. F. de. Lei Sarbanes-Oxley: aprimorando a prestação de contas


com a SOX. 2017. Disponível em: https://www.treasy.com.br/blog/sox-lei-
sarbanes-oxley/#Empresas-brasileiras-e-a-Lei-Sarbanes-Oxley. Acesso em: 21
mar. 2020.

COELHO, F. E. S.; ARAÚJO, L. G. S.; BEZERRA, E. K. Gestão da segurança da


informação NBR 27001 e NBR 27002. Rio de Janeiro: RNP/ESR, 2014.

169
CORREIA, C. M. R. Plano de implementação da Norma ISO/IEC 27001 no
INEM. 2016.
Disponível em: https://run.unl.pt/bitstream/10362/19605/1/TGI0069.pdf. Acesso
em: 18 abr. 2020.

DOYLE, D. O que é gestão estratégica empresarial e sua importância. 2016.


Disponível em: https://www.siteware.com.br/gestao-estrategica/gestao-
estrategica-nas-empresas/. Acesso em: 21 mar. 2020.

ELPESCADOR. O que é ciclo educativo e por que ele é importante na


conscientização em segurança da informação. 2016. Disponível em: https://
www.elpescador.com.br/blog/index.php/o-que-e-ciclo-educativo-e-porque-ele-
e-importante-na-conscientizacao-em-seguranca-da-informacao/. Acesso em: 21
mar. 2020.

ESPINHA, R. G. Matriz RACI: o que é a matriz de responsabilidades e como


fazer. 2020. Disponível em: https://artia.com/blog/matriz-raci-o-que-e-a-matriz-
de-responsabilidades/. Acesso em: 12 abr. 2020.

FAZENDA. Classificação de informações sigilosas no Tesouro Nacional.


2018. Disponível em: http://www.fazenda.gov.br/sei/publicacoes/cartilha-
classificacao-de-informacoes-sigilosas-na-stn. Acesso em: 12 abr. 2020.

FONTES, E. Políticas e normas para a segurança da informação. Rio de Janeiro:


Brasport, 2012.

FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport,


2008.

FREIRE, V. Gestão de ativos de TI: tudo o que você precisa saber. 2019.
Disponível em: https://neteye.co/blog/gestao-ativos-ti/. Acesso em: 18 abr. 2020.

GHC. Política de segurança da informação. 2015. Disponível em: https://www.


ghc.com.br/files/PSI_GHC.pdf. Acesso em: 29 mar. 2020.

INFONOVA. Gestão de TI. 2018. Disponível em: https://www.infonova.com.br/


artigo/inventario-de-ti/. Acesso em: 3 abr. 2020.

INPE. Planejamento Estratégico de Tecnologia da Informação e Comunicação -


PETIC. 2017. Disponível em: http://www.inpe.br/cti/arquivos/PETIC_INPE.pdf.
Acesso em: 18 abr. 2020.

IPHAN. Política de segurança da informação do IPHAN. 2013. Disponível


em: http://portal.iphan.gov.br/uploads/ckfinder/arquivos/Pol%C3%ADtica%20
de%20Seguran%C3%A7a%20da%20Informa%C3%A7%C3%A3o.pdf. Acesso
em: 21 mar. 2020.

170
IZQUIERDO, V. A. Qual a diferença entre segurança física e segurança lógica?
2017. Disponível em: https://blogbrasil.westcon.com/qual-a-diferenca-entre-
seguranca-fisica-e-seguranca-logica. Acesso em: 15 mar. 2020.

KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de


informação. Rio de Janeiro: LTC, 2014.

KOSUTIC, D. Classificação da informação de acordo com a ISO 27001. 2014a.


Disponível em: https://advisera.com/27001academy/pt-br/blog/2014/05/14/
classificacao-da-informacao-de-acordo-com-a-iso-27001/. Acesso em: 3 abr. 2020.

KOSUTIC, D. Como lidar com o registro de ativos (inventário de ativos)


de acordo com a ISO 27001. 2014b. Disponível em: https://advisera.
com/27001academy/pt-br/blog/2014/05/14/classificacao-da-informacao-de-
acordo-com-a-iso-27001/. Acesso em: 3 abr. 2020.

LEAL, R. Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
2016. Disponível em: https://advisera.com/27001academy/pt-br/blog/2016/03/17/
politica-de-mesa-limpa-e-tela-limpa-o-que-a-iso-27001-requer/. Acesso em: 21
mar. 2020.

LENOVO. Gestão do inventário de tecnologia. 2020. Disponível em: http://


mktbrasil.mundolenovo.com.br/gestao-de-inventario.html. Acesso em: 8 jul.
2020.

LYRA, M. R. Governança da segurança da informação. Brasília: Editora UnB,


2015.

MARCONDES, J. S. Políticas de mesas limpas e telas limpas na segurança da


informação. 2015. Disponível em: https://gestaodesegurancaprivada.com.br/
politica-de-mesas-limpas-e-telas-limpas-na-seguranca-da-informacao/. Acesso
em: 29 mar. 2020.

MARQUES, M. Criando uma política interna de acesso à internet na


organização. 2017. Disponível em: http://marcusmarques.com.br/gestao-de-
pessoas/criando-politica-interna-acesso-internet-organizacao/. Acesso em: 29
mar. 2020.

MINDNET. Adicionando aviso legal em todas as mensagens enviadas.


2020. Disponível em: https://mindnet.com.br/painel/index.php?rp=/
knowledgebase/219/Adicionando-aviso-legal-em-todas-as-mensagens-enviadas.
html. Acesso em: 12 abr. 2020.

NEOWAY. Conheça as melhores práticas para garantir a segurança das


informações. 2019. Disponível em: https://www.neoway.com.br/melhores-
praticas-para-garantir-seguranca-das-informacoes/. Acesso em: 29 mar. 2020.

171
OLHAR DIGITAL. Entendendo a autenticação com tokens. 2009. Disponível
em: rhttps://olhardigital.com.br/fique_seguro/noticia/entendendo-a-
autenticacao-com-tokens/10049. Acesso em: 15 mar. 2020.

OLIVEIRA, P. C. Política de segurança da informação: definição, importância,


elaboração e implementação. 2013. Disponível em: https://www.profissionaisti.
com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-
elaboracao-e-implementacao/. Acesso em: 15 mar. 2020.

OLIVEIRA, W. Entenda o que é matriz RACI e como montar essa matriz


de responsabilidades. 2019. Disponível em: https://www.heflo.com/pt-br/
modelagem-processos/matriz-raci/https://www.heflo.com/pt-br/modelagem-
processos/matriz-raci/. Acesso em: 12 abr. 2020.

PALMA, F. Sistema de gestão de segurança da informação (SGSI). 2017.


Disponível em: https://www.portalgsti.com.br/2016/12/sistema-de-gestao-de-
seguranca-da-informacao-sgsi.html. Acesso em: 15 jun. 2020.

PALMA, F. Exemplo de política de segurança. 2011. Disponível em: https://


pt.slideshare.net/fernando.palma/exemplo-de-poltica-de-segurana acesso.
Acesso em: 15 mar. 2020.

PENDER-BEY, G. The parkerian hexad. 2012. Disponível em: http://cs.lewisu.


edu/mathcs/msisprojects/papers/georgiependerbey.pdf. Acesso em: 15 mar.
2020.

PERALLIS CHANNEL. Riscos, ameaças e vulnerabilidades em segurança da


informação. 2019. Disponível em: https://www.youtube.com/watch?v=zD3M_
EqkVFg. Acesso em: 18 mar. 2020.

PLATAFORMA WINDOWS. Noções básicas sobre malware e outras ameaças.


2020. Disponível em: https://docs.microsoft.com/pt-br/windows/security/threat-
protection/intelligence/understanding-malware. Acesso em: 18 mar. 2020.

REIS, M. O que é Análise SWOT ou Matriz SWOT? 2014. Disponível em:


https://www.profissionaisti.com.br/2014/09/o-que-e-analise-swot-ou-matriz-
swot/. Acesso em: 18 abr. 2020.

REUTERS, A. A. Brasil sofreu 15 bilhões de ataques cibernéticos em 3 meses,


diz estudo. 2019. Disponível em: https://exame.abril.com.br/tecnologia/brasil-
sofreu-15-bilhoes-de-ataques-ciberneticos-em-3-meses-diz-estudo/. Acesso em:
21 mar. 2020.

SANKHYA. Quais são os benefícios que o byod pode trazer para sua empresa?
2016. Disponível em: https://www.sankhya.com.br/blog/quais-sao-os-beneficios-
que-o-byod-pode-trazer-para-sua-empresa/. Acesso em: 18 abr. 2020.

172
SANTOS, A. H. O. Análise de vulnerabilidades: o que é e qual a importância
para a organização? 2018. Disponível em: https://www.uniaogeek.com.br/
analise-de-vulnerabilidades-importancia/. Acesso em: 18 mar. 2020.

SAAVEDRA, E. Segurança da informação. 2013. Disponível em: https://


pt.slideshare.net/efrasaavedra/segurana-da-informao-31917261. Acesso em: 21
mar. 2020.

SCHULTZ, F. Gestão de ativos: saiba quais as vantagens de ter dados


interligados. 2018. Disponível em: https://milvus.com.br/gestao-de-ativos-saiba-
quais-as-vantagens-de-ter-dados-interligados/. Acesso em: 18 abr. 2020.

SENAC. PSI Política de Segurança da Informação. 2013. Disponível em: http://


www.sp.senac.br/normasadministrativas/psi_normas_administrativas.pdf.
Acesso em: 29 mar. 2020.

SIGNIFICADOS. Significado de inventário. 2018. Disponível em: https://www.


significados.com.br/inventario/. Acesso em: 18 abr. 2020.

SILVA, G. K. de P. Segurança física e de ambientes. 2009. Disponível em:


https://siteantigo.portaleducacao.com.br/conteudo/artigos/informatica/
seguranca-fisica-e-de-ambientes/19075. Acesso em: 18 mar. 2020.

SILVA, S.; PINTO, J. Análise da importância da gestão de ativos de TI


no ambiente de micro e pequenas empresas. 2019. Disponível em: http://
periodicos.faex.edu.br/index.php/e-Locucao/article/view/181. Acesso em: 18 abr.
2020.

SILVA NETTO, A. da; SILVEIRA, M. A. P. da. Gestão da segurança da


informação: fatores que influenciam sua adoção em pequenas e médias
empresas. 2007. Disponível em: http://www.scielo.br/scielo.php?script=sci_
arttext&pid=S1807-17752007000300007&lng=en&nrm=iso. Acesso em: 18 mar.
2020.

SOFTLINE. 7 erros que você não pode cometer com o Bring Your Own Device.
2018. Disponível em: https://brasil.softlinegroup.com/sobre-a-empresa/blog/7-
erros-que-voce-nao-pode-cometer-com-o-bring-your-own-device. Acesso em: 18
abr. 2020.

SOLVIMM. Como avaliar um risco de segurança da informação. 2019.


Disponível em: https://solvimm.com/blog/como-avaliar-um-risco-de-seguranca-
da-informacao/. Acesso em: 19 abr. 2020.

SOULA, J. M. F. ISO/IEC 20000 Gerenciamento de Serviços de Tecnologia da


Informação. Rio de Janeiro: Brasport, 2013.

173
SOUSA, R. H. de. Gestão de ativos – A organização nas mãos da TI. 2013.
Disponível em: https://www.devmedia.com.br/gestao-de-ativos-a-organizacao-
nas-maos-da-ti-revista-infra-magazine-11/27895. Acesso em: 18 abr. 2020.

SOUZA, R. H. Gestão de ativos – A organização nas mãos da TI - Revista Infra


Magazine 11. 2014. Disponivel em: https://www.devmedia.com.br/gestao-de-
ativos-a-organizacao-nas-maos-da-ti-revista-infra-magazine-11/27895. Acesso
em: 8 jul. 2020.

TEIXEIRA, R. F. O que é controle de inventário de TI e 5 motivos para


utilizá-lo. 2018. Disponível em: https://blog.deskmanager.com.br/controle-de-
inventario/. Acesso em: 18 abr. 2020.

TEIXEIRA FILHO, S. A. Segurança da informação descomplicada. Brasília:


Clube dos Autores, 2015.

VALUEHOST. Entenda por que o inventário de TI é essencial para o seu


negócio. 2019. Disponível em: https://www.valuehost.com.br/blog/inventario-
de-ti/. Acesso em: 6 abr. 2020.

ZANIQUELLI, T. Convergência segurança física e lógica. 2010. Disponivel em:


https://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760.
Acesso em: 4 jun. 2020.

174

Você também pode gostar