Escolar Documentos
Profissional Documentos
Cultura Documentos
Política de Segurança e Inventário e Ativos de Informação
Política de Segurança e Inventário e Ativos de Informação
e Inventário e Ativos
de Informação
Prof.ª Neli Miglioli Sabadin
Indaial – 2020
1a Edição
Copyright © UNIASSELVI 2020
Elaboração:
Prof.ª Neli Miglioli Sabadin
S113p
ISBN 978-65-5663-071-7
CDD 004
Impresso por:
Apresentação
Caro acadêmico, estamos iniciando o estudo da disciplina Política
de Segurança e Inventário e Ativos de Informação. Esta disciplina objetiva
reconhecer os conceitos básicos de segurança da informação, além de
apresentar as políticas para manter as informações íntegras e seguras. Por
fim, conheceremos como se caracterizam os ativos de informação.
Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para
você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi-
dades em nosso material.
O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra-
mação no texto, aproveitando ao máximo o espaço da página, o que também contribui
para diminuir a extração de árvores para produção de folhas de papel, por exemplo.
Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas
institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa
continuar seus estudos com um material de qualidade.
Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo.
REFERÊNCIAS..................................................................................................................................... 169
UNIDADE 1 —
FUNDAMENTOS DE SEGURANÇA
DA INFORMAÇÃO
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer da unidade,
você encontrará autoatividades com o objetivo de reforçar o conteúdo
apresentado.
CHAMADA
1
2
TÓPICO 1 —
UNIDADE 1
1 INTRODUÇÃO
Para que possamos proteger nossas informações, é necessário saber
quais são as ameaças, e o que deve ser protegido. O conhecimento sobre
segurança da informação deve ser responsabilidade de todos em uma empresa.
Independentemente do tipo de empresa, os riscos se assemelham. A partir da
segurança aplicada em nossas casas, onde mantemos as portas fechadas quando
saímos, ou não deixamos pessoas estranhas entrarem, com as informações nas
empresas também devemos seguir alguns procedimentos. São as chamadas
políticas de segurança e, neste livro, também veremos o que deve ser protegido.
3
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
4
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
5
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
FONTE: O autor
3.1 CONFIDENCIALIDADE
Confidencialidade (Condidentiality), para Barreto et al. (2018), é a capacidade
de um sistema de impedir que usuários não autorizados “vejam” determinada
informação que foi delegada somente a usuários autorizados.
Ainda, ela assegura que o nível necessário de sigilo seja aplicado em cada
elemento de processamento de dados, evitando a divulgação não autorizada.
Tudo deve prevalecer enquanto os dados estiverem em sistemas e dispositivos na
rede, e durante a sua transmissão. Esse grau de confidencialidade pode ser obtido
através da criptografia de dados à medida que são armazenados e transmitidos,
monitoramento de redes, estrito controle de acesso, classificação dos dados e
treinamento de pessoal com procedimentos apropriados.
Kim e Solomon (2014) reforçam que não basta enviar dados para outros
computadores usando uma rede. É preciso tomar medidas especiais para impedir
que usuários não autorizados tenham acesso a dados confidenciais. Assim,
é sugerida a criptografia, como prática de ocultar dados e mantê-los longe de
usuários não autorizados, protegendo as informações de ponta a ponta.
7
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
DICAS
8
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
FIGURA 4 – TOKEN
DICAS
3.2 INTEGRIDADE
Integridade (Integrity), segundo Barreto et al. (2018, p. 14), refere-se ao
“atributo de segurança que garante que a informação seja alterada somente de
forma autorizada, sendo mantida, assim, correta e completa”.
Vale ressaltar que dados que não possuem integridade não são precisos,
não são válidos e não têm utilidade. Por isso, alterações não autorizadas podem
acabar com o valor dos dados. Sabotagem e corrupção da integridade dos dados
são sérias ameaças para uma organização, especialmente se os dados forem
críticos para operações de negócios (KIM; SOLOMON, 2014).
9
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
FIGURA 5 – INTEGRIDADE
10
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
A integridade dos dados pode ser garantida, em grande parte, por meio
de técnicas de criptografia, protegendo a informação de acesso ou mudança não
autorizada. Os princípios de política e de gestão para criptografia podem ser
definidos em um documento de políticas separado.
DICAS
11
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
3.3 DISPONIBILIDADE
Barreto et al. (2018) definem disponibilidade (Avaliability) como a
quantidade de vezes que o sistema cumpriu uma tarefa solicitada, sem falhas
internas, para um número de vezes em que foi solicitada essa tarefa.
12
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
FONTE: O autor
13
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
4 HEXADIANO PARKERIANO
O modelo apresentado na tríade CID é um modelo de segurança que
existe há mais de 20 anos. A importância dos dados, na atualidade, aumentou
significativamente, além da complexidade, sem falar na quantidade de dados que
é armazenada eletronicamente.
15
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
16
RESUMO DO TÓPICO 1
• Os ativos de informação não são apenas equipamentos, mas tudo que se refere
à informação.
17
AUTOATIVIDADE
1 INTRODUÇÃO
Talvez, a pergunta sobre a importância da segurança da informação seja
irrelevante, dado o cenário em que vivemos. Grande parte das informações já não
se encontra mais no meio físico, estamos apenas no formato digital e, na maioria
das vezes, armazenada em uma nuvem.
Neste tópico, vamos falar como a empresa pode se precaver, pois, para
muitas empresas, o seu maior capital é a regra de negócio da empresa, a fórmula
de algum produto ou a configuração de um equipamento. Agora, imagine que
uma invasão nos servidores tire seus sistemas do ar e faça com que a empresa pare
de trabalhar por 24 horas. Apesar de ser algo comum, a situação, com certeza, traz
transtornos financeiros, operacionais e, talvez, o mais difícil de recuperar, que é a
confiança dos clientes.
2 ATIVOS DE INFORMAÇÃO
Até o momento, vimos a importância das informações nas empresas. Neste
tópico, conheceremos a importância da física. É importante sabermos que esta
não começa na mesa de trabalho, e não se restringe a uma sala. Sua amplitude é
bem maior.
19
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Uma outra boa definição de ativo é tudo aquilo que tem valor para a
empresa. É preciso que todos os ativos relevantes sejam identificados, além de
inventariados. Existe um pouco de confusão porque costumamos associar a
expressão “inventário de ativos” ao usual inventário de hardware e software.
20
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
3 ACESSO À INFORMAÇÃO
Para garantir a devida segurança das informações e dos ativos de TI,
temos que ter em mente que eles estão armazenados em algum lugar, e que esse
lugar precisa atender alguns requisitos para a garantia da segurança, itens que
podem até passar despercebidos, como paredes e portas.
21
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
DICAS
22
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
Além do RFID, existem outros tipos de controle de acesso que não podem
ser penetrados, e podem complementar a segurança física. Segundo Baars,
Hintzbergen e Hintzbergen (2018):
• No crachá de identificação, colocar uma foto, pois isso torna a cópia um pouco
mais difícil. Também ajuda a equipe de segurança a verificar se a credencial
pertence ao portador. Lembrando que esse crachá/credencial deve ser único,
ou seja, só deve ter um proprietário/usuário, caso contrário, não será possível
determinar quem acessou o edifício/sala.
• Outra prática é não colocar o nome da empresa ou logotipo na credencial, com
utilização em estilo neutro. Em caso de perda, se alguém encontrar a credencial,
seu propósito não deve estar óbvio.
• Deve-se criar a cultura, na empresa, do uso da credencial, e de forma visível.
Isso também deve se aplicar aos visitantes, para que a segurança e os
funcionários possam detectar e abordar qualquer pessoa que não esteja usando
uma credencial.
• Todas essas credenciais também devem exibir uma data de validade legível
para os humanos, ou seja, sem a necessidade de consulta em um sistema.
DICAS
Vale ressaltar que cada espaço de trabalho deve ter sua função específica, e
a proteção necessária para garantia da segurança. Medidas protetivas, para evitar
as ameaças, devem ser tomadas, de acordo com a sensibilidade do ativo a ser
protegido, como a estrutura da sala dos servidores, que deve possuir estrutura
específica de construção e de refrigeração.
Silva (2009) destaca os aspectos que devem ser analisados para a prevenção
do acesso físico não autorizado, ocasionando danos e interferências prejudiciais
aos ativos. A lista das ameaças, que devem ser consideradas na proteção dos
ativos, é:
• Incêndios.
• Água (chuvas, enchentes).
• Atividades sísmicas (terremotos, erupções vulcânicas) e furacões.
• Sabotagens e vandalismos.
• Explosões.
• Materiais tóxicos.
• Quedas no fornecimento de energia, água e refrigeração.
• Desmoronamento de prédios.
• Falhas de equipamentos.
• Perdas pessoais (acidentes, doenças e acesso não autorizado).
Antes de mais nada, é preciso que haja uma convergência entre a segurança
física e a lógica. Nada adianta ter todos os arquivos protegidos em uma sala onde
qualquer um pode entrar, por exemplo.
Izquierdo (2017, s.p.) afirma que a proteção que ocorre na segurança lógica
é a que controla o acesso a aplicativos, “dados, sistemas operacionais, senhas
e arquivos de log por meio de firewalls de hardwares e softwares, criptografia,
antivírus, outras aplicações contra hackers e possíveis invasões às fontes internas
da empresa”.
24
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
DICAS
25
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
DICAS
O objetivo do nosso livro são as políticas de segurança, por isso, para mais
informações sobre a classificação, acesse: https://docs.microsoft.com/pt-br/windows/
security/threat-protection/intelligence/understanding-malware.
26
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
Como vimos até agora, não basta ter várias camadas de segurança se elas
não interagirem entre si, por isso, são os seres humanos que, efetivamente, dão
garantia de sucesso ou fracasso nas seguranças física e lógica.
27
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
DICAS
28
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
29
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Fontes (2006) alerta que toda informação tem um valor para a organização
e, por isso, deve haver cuidado em todas as etapas. Para uma empresa que
presta serviço, o cadastro de clientes tem muito valor e deve ser protegido
adequadamente. Por ingenuidade, talvez, muitas vezes, a organização só se
preocupa com invasões mirabolantes, e acaba pecando com pequenas coisas,
como uma listagem de clientes jogada no lixo ou venda de equipamento/mídia de
armazenamento sem a devida destruição da informação anteriormente gravada.
30
RESUMO DO TÓPICO 2
31
AUTOATIVIDADE
a) ( ) Um prédio.
b) ( ) Um anel intermediário.
c) ( ) Um objeto.
d) ( ) Um anel externo.
32
TÓPICO 3 —
UNIDADE 1
1 INTRODUÇÃO
Santos (2018) afirma que uma empresa só é capaz de resolver, rapidamente
e de maneira assertiva, as ameaças, quando possui conhecimento total sobre seu
negócio, e consegue responder: Que vulnerabilidades possuo? A que ameaças
estou suscetível? Quais agentes estão envolvidos? Quais são os impactos históricos
e possíveis da exploração dessas ameaças?
2 ABORDAGEM
Exemplificando um pouco melhor esses termos, Santos (2018) menciona
que vulnerabilidade também pode ser chamada de falha ou fraqueza, por exemplo,
uma parede rachada; dentro de uma rede, podemos encontrar uma “rachadura”
ou falha; em um design mal planejado; implementação mal realizada; ou até
em controles internos de um sistema mal desenvolvido, levando a rede a abrir
pequenas falhas na política de segurança.
33
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
34
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS
FONTE: O autor
3 VULNERABILIDADES
Começaremos pela vulnerabilidade. Ela está intimamente ligada ao ponto
fraco de um ativo, em outras palavras, pode ser entendida como uma fragilidade.
É um erro no procedimento (no caso de sistemas), falha de um agente ou má
configuração dos aplicativos de segurança. Lembrando que ela pode acontecer
de maneira não proposital ou proposital e, como consequência, gerar uma
informação não confiável. Quando isso ocorre, temos um “rompimento” de um
ou mais princípios da segurança da informação (LYRA, 2015).
35
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
4 AMEAÇAS
No começo do nosso livro, definimos os objetivos da segurança para
garantir a confidencialidade, integridade e disponibilidade, que são os pilares da
segurança da informação. Contudo, para a garantia, devemos estar cientes de que
estamos expostos a ameaças. Como posso garantir a integridade de um dado, por
exemplo, se não sei a quais ameaças ele corre?
36
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS
ameaças propositais, podem ser passivas ou ativas, como podemos observar pela
explicação de Lyra (2015, p. 15): “Ativas: Envolvem alteração de dados. Passivas:
Envolvem invasão e/ou monitoramento, mas sem alteração de informações”.
5 RISCO
Um risco é a possibilidade de um agente ameaçador tirar vantagem em
cima de uma vulnerabilidade, além do correspondente impacto nos negócios. Por
exemplo, se um firewall não é configurado corretamente e tem diversas portas
abertas, existe uma grande probabilidade de um invasor usar uma delas para
acessar a rede de forma não autorizada. Com relação às equipes, os riscos podem
aparecer se os usuários não forem treinados com processos e procedimentos.
Consequentemente, há grande chance de um funcionário cometer um erro,
intencional ou não, que possa destruir dados. Tratando-se das redes, se um
sistema de detecção de intrusão não for implementado, a possibilidade de um
ataque não ser percebido é maior e, quando finalmente acontecer, pode ser que
seja tarde demais.
6 ATAQUE
Um ataque, segundo Lyra (2015), é um evento que ocorre em decorrência
da exploração de uma vulnerabilidade por uma ameaça, em outras palavras, um
ataque representa a concretização de uma ameaça.
37
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Para Lyra (2015), os ataques podem ser divididos em dois grupos: passivos
e ativos. Os ataques passivos são os que não interferem no conteúdo do recurso
que foi atacado, ou seja, o agente teve apenas a observação e o conhecimento de
informações armazenadas nos sistemas institucionais ou análise de tráfego de
uma rede. Já no ataque ativo, os danos são maiores, pois prejudicam diretamente o
conteúdo do recurso atacado, modificando e eliminando informações ou gerando
informações falsas.
38
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS
0. Impacto irrelevante
1. Efeito pouco significativo, sem afetar a maioria dos processos de
negócios da instituição.
2. Sistemas não disponíveis por um determinado período de tempo,
podendo causar perda de credibilidade aos clientes e pequenas perdas
financeiras.
3. Perdas financeiras de maior vulto e perda de clientes para a
concorrência.
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da
instituição.
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição.
39
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
40
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS
LEITURA COMPLEMENTAR
Este artigo discorre sobre a segurança física dos ativos. Para isso, tem
seu foco direcionado para a explicação da norma ISO 27002. Essa norma tem,
como objetivo, auxiliar a implantação, a manutenção e a melhoria contínua dos
controles de segurança da informação, padronizando diretrizes e procedimentos
que auxiliarão a organização na sua gestão.
41
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
42
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS
43
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
1.2.2 Utilidades.
1.2.3 Segurança do cabeamento.
2. Áreas Seguras
44
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS
45
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Essas áreas, onde circulam muitas pessoas, devem ser, sempre que possível,
afastadas das áreas seguras da empresa, evitando o acesso não autorizado de
entregadores, por exemplo. Locais onde são realizados atendimentos públicos
devem ser protegidos para evitar o roubo de ativos ou acesso aos sistemas sem
autorização.
46
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS
9. Segurança de Equipamentos
Neste item é que podem ser encontrados alguns dos principais argumentos
para o investidor em tecnologia atender aos requisitos da Norma ISO27002.
Contudo, vale lembrar que a aquisição de tecnologias e o apoio de processos bem
desenhados e da capacitação de pessoas não proverão os resultados esperados.
11. Utilidades
47
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Por mais trivial que possa parecer, manter esse requisito em plena
conformidade é uma das tarefas mais difíceis, devido à cultura enraizada de
“Disponibilidade a qualquer custo!” Com a crescente expansão dos equipamentos
tecnológicos, a necessidade de disponibilizar pontos de rede e de telefone é
essencial, porém, há pressão em concluir as solicitações da organização, uma
série de extensões das conexões em cascata, mal projetadas, que resultam em
baixa qualidade do sinal, afetando a performance de toda a rede.
48
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS
49
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Para evitar incidentes, todo o equipamento que não for mais utilizado,
e que contenha dados gravados, deve ter suas unidades de armazenamento
destruídas fisicamente, observando os cuidados com a segurança do funcionário.
Para equipamentos que possuam informações sensíveis, e se forem reutilizados
em outros departamentos ou doados para alguma ONG ou instituição, devem ter
seus dados apagados com softwares específicos, evitando apenas o recurso básico
de formatação. Mesmo que seja para doação, deve-se avaliar a importância das
informações gravadas e, se for pertinente, doar o equipamento sem a unidade de
armazenamento.
No decorrer deste artigo, foi possível ver que a Norma ISO 27002 é muito
abrangente, abordando vários aspectos no tratamento da informação. Para o
departamento de TI, existem várias recomendações que devem ser avaliadas
para que a área possa fornecer suporte ao negócio. Quando o departamento de
TI consegue mensurar a importância das suas ações, consegue obter, com mais
facilidade, os recursos necessários para prover os serviços com qualidade a toda
organização.
FONTE: CHANNEL360. Segurança física dos ativos: conhecendo a Norma ISO 27002. 2019.
Disponível em: https://www.channel360.com.br/seguranca-fisica-dos-ativos-conhecendo-a-
-norma-iso-27002/. Acesso em: 4 jun. 2020.
50
RESUMO DO TÓPICO 3
• Precisamos estar cientes de algo: a quais ameaças nossos ativos estão sujeitos?
CHAMADA
51
AUTOATIVIDADE
53
54
UNIDADE 2 —
FUNDAMENTOS DE POLÍTICAS DE
SEGURANÇA DA INFORMAÇÃO
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer da unidade,
você encontrará autoatividades com o objetivo de reforçar o conteúdo
apresentado.
CHAMADA
55
56
TÓPICO 1 —
UNIDADE 2
1 INTRODUÇÃO
Para alguns, a palavra segurança vem associada ao perigo, pois, se for
preciso pensar em segurança, é necessário pensar nos riscos a que estou exposto.
Com o passar dos anos, com o aumento da responsabilidade, seja pessoal ou
profissional, a preocupação com a segurança aumenta.
DICAS
58
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
59
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Como já foi apontado na Unidade 1, cada usuário deve ter acesso somente
ao que é pertinente para a execução da sua atividade profissional. O funcionário
da produção, talvez, não precise ter acesso aos cadastros e folha de pagamento
dos funcionários. Uma solução para o problema é a criação de um controle, a
partir do proprietário da informação. Com o gestor de RH, informar quem pode
ou não acessar a informação (FONTES, 2008)
60
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
61
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Soula (2013) afirma que a segurança da informação deve ser parte integral
de todos os serviços e sistemas, além de ser uma prática diária e que precisa ser
continuamente gerenciada, através de um conjunto de controles de segurança
(preventivos, redutivos, detectivos, repressivos e corretivos), conforme detalhados
individualmente.
62
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
63
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Nesta etapa, a metodologia deve ser definida, assim como os critérios para
a aceitação de riscos e qual o nível aceitável. Independentemente da metodologia
escolhida, ela deve assegurar que as análises/avaliações de riscos produzam
resultados comparáveis e reproduzíveis. Além disso, todo o processo de análise
e avaliação de risco deve estar documentado. A avaliação dos riscos deve incluir
as seguintes identificações:
64
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
FIGURA 5 – DIVULGAÇÃO
Agora que já vimos que uma política precisa ser revisitada com frequência,
observaremos como é importante ter o engajamento de todos os funcionários e
prestadores no processo.
65
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Fontes (2008) afirma que, como são as pessoas que desenvolvem sistemas,
seja esse desenvolvimento interno ou terceirizado, a estrutura de segurança deve
nascer com a criação dos sistemas aplicativos, pois a implementação de requisitos
de segurança fica mais difícil se o sistema de informação não permite os controles
adequados, por exemplo, níveis de acesso. Se o sistema não foi projetado, não há
como implementar na utilização.
Outro fator que Fontes (2008) menciona é que são as pessoas que seguem
as políticas e normas, são elas que cristalizam como a organização deseja que a
proteção aconteça. Assim, é preciso que os usuários leiam, entendam e executem
os regulamentos. Ainda, são elas que não cumprem os regulamentos. Muitas das
falhas acontecem pelo não cumprimentos de normas. Talvez, elas não se sentem
parte integrante, pois, às vezes, simplesmente recebem uma enorme quantidade
de papel contendo regulamentos e outras obrigações, como a assinatura de termo
de compromisso na sua contratação, mas não leem, ou se leem, não entendem.
Fontes (2008, p. 197) cita que “saber realmente como todos se comportam e
consideram as regras se dá através do exemplo do colega, pelas ações da chefia e,
principalmente, pela coerência da direção executiva”.
66
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
usuário, fazendo com que todos se sintam parte e fazendo a diferença. Uma única
pessoa pode colocar tudo a perder, pois ela pode contaminar outra pessoa com
os conceitos de segurança. É de responsabilidade, da área de segurança, orientar,
além de facilitar o conhecimento e a criação de uma boa cultura (FONTES, 2008).
6 ABRANGÊNCIA
Além dos objetivos, princípios e requisitos do documento que está sendo
construído, deve deixar clara a responsabilidade do colaborador, como a imposição
dos limites de uso, além das responsabilizações, no caso da má utilização dos
recursos de TI da empresa. Nesta etapa, podem ser inseridas as regras com
relação à impossibilidade de uso de dispositivos externos em equipamentos
corporativos, informações sobre websites de acesso proibido, recomendações de
preservação do maquinário da empresa etc.
Uma boa PSI deve conter regras e diretrizes que orientem os colaboradores,
clientes e fornecedores (além da própria TI da organização) com relação aos padrões
de comportamento ligados à segurança da informação, condições de instalações
de equipamentos, restrições de acesso, mecanismos de proteção, monitoramento
e controle, além de outros cuidados imprescindíveis aos processos de negócio.
Em muitos casos, é a chamada abrangência, ou seja, quem é afetado pela política.
Vejamos um exemplo:
67
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
7 VIOLAÇÃO DA POLÍTICA
A própria Política de Segurança de Informações (PSI) deve definir quais
são os procedimentos a serem tomados para cada caso de violação, de acordo
com a severidade, a amplitude e o tipo de infrator que a perpetra (BRASIL, 2014).
Vale ressaltar que a punição pode ser desde uma simples advertência
verbal ou escrita até uma ação judicial. Como podemos observar:
68
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
69
RESUMO DO TÓPICO 1
• O ciclo PDCA é uma ferramenta muito útil na aplicação e validação das políticas
de segurança.
70
AUTOATIVIDADE
a) ( ) Certo.
b) ( ) Errado.
71
I- Planejar (Plan) é estabelecer metas e processos para se atingir o objetivo.
Em nível organizacional, contempla determinar a missão, visão e objetivos.
II- Executar (Do) é colocar os processos em execução para se atingir o objetivo,
que sigam as definições da forma como foram desenhados. Somente após o
término da Execução (Do), é acionada a Avaliação (Check) para, por fim, dar
andamento à Ação (Act).
III- Agir (Act) se vale da etapa de Avaliação (Check) do ciclo que gerou
relatórios demonstrando a aderência da execução final dos processos às
métricas e indicadores de qualidade planejados, para que sejam elaborados
planos de ação para serem incluídos no planejamento e serem tratados na
execução do próximo ciclo PDCA.
72
d) ( ) As regras da PSI devem ter força de lei. Uma vez que as regras da
PSI tenham sido amplamente divulgadas, não podem existir violações.
Caso existam, quem viola, deve sofrer as consequências, para que a
PSI não perca credibilidade. A punição pode ser desde uma simples
advertência verbal ou escrita até uma ação judicial.
e) ( ) A área de TI deve realizar reuniões anuais com a alta direção para
fazer uma análise crítica da PSI, considerando os incidentes relatados. No
entanto, a PSI não deve ser alterada fora do período de um ano recomendado
para as reuniões, a fim de que esta não seja comprometida pelo excesso ou
escassez de controles.
73
74
TÓPICO 2 —
UNIDADE 2
1 INTRODUÇÃO
Conseguir a aderência da gestão da organização é o ponto crucial para
o desenvolvimento de políticas, estas que devem ser seguidas e, especialmente,
incorporadas no dia a dia de todos. Feita a adesão do nível mais alto, é necessário
que ela seja comunicada a todos.
Vale ressaltar que a política deve ser criada de acordo com os negócios
e a cultura da empresa, devendo ser dinâmica e viva. Assim, deve estar sempre
sendo revisitada e adequada aos cenários da organização e da tecnologia.
NOTA
75
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
FIGURA 7 – HIERARQUIA
76
TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
77
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
78
TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A política não pode, ou melhor, ela não deve surgir do nada. Para que ela
tenha sentido, e que seja adotada, é necessário que esteja alinhada aos objetivos
da organização. Com base nos objetivos do negócio, são definidos os objetivos
da segurança da informação, que têm, como destaque, possibilitar a realização
do negócio com o uso dos recursos de informação, pois a PSI de uma empresa de
desenvolvimento de software difere de uma organização de ajuda humanitária.
79
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
80
TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Apesar de simples, essas rotinas podem impedir que grande parte das
ameaças digitais consiga invadir sistemas internos de uma empresa, diminuindo
os riscos e tornando todo o ambiente de tecnologia da informação (TI) mais
seguro, uma vez que as políticas de segurança têm um impacto elevado. Assim,
toda a empresa deve contar com uma infraestrutura robusta, com baixo nível de
falhas de segurança e alta performance (NEOWAY, 2019).
5 DIVULGAÇÃO DA POLÍTICA
Após a definição da política, do que quer ser protegido, é necessário que
todos saibam. Assim, a organização pode utilizar diversos canais de comunicação
e atingir o nível de conscientização que espera.
81
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Para estimular o interesse, é possível utilizar essa ferramenta para, por exemplo,
divulgar casos de denúncias de incidentes bem-sucedidos, destacando a pessoa
responsável e emendando com conteúdo de fixação (CABRAL; CAPRINO, 2015).
82
RESUMO DO TÓPICO 2
• Além de existir uma política, é necessário que todos saibam, assim, a divulgação,
de forma correta, é de extrema importância para o engajamento de todos.
83
AUTOATIVIDADE
1 Que toda informação deve ser protegida, isso é fato, mas conseguir a adesão
de todos não é fácil. Muitas organizações, quando começam a se preocupar
com a segurança, sentem dificuldade na elaboração dos documentos.
Sobre o que deve conter no documento que reúne as diretrizes para a
implementação de uma política de segurança da informação, considere as
afirmativas a seguir:
2 Uma organização não é igual a outra, os ativos de uma diferem muito dos
ativos de outra. Por isso, o que cada organização deve proteger depende
muito da sua estrutura. Com base nisso, cada uma deve desenvolver
sua política de segurança. Uma política de segurança é um instrumento
importante para proteger a organização contra ameaças à segurança
da informação. Considerando as necessidades e particularidades da
organização, é correto afirmar que:
85
5 Quando falamos de políticas de segurança da informação, devemos ter
em mente um conjunto de regras, procedimentos, padrões, normas e
diretrizes que deve ser de conhecimento de todos na organização. Além dos
conhecimentos, que devem ser seguidos. Assim, com relação às políticas,
normas e procedimentos de segurança da informação, analise e selecione a
opção correta:
86
TÓPICO 3 —
UNIDADE 2
1 INTRODUÇÃO
Chegou o momento de criarmos as nossas políticas. Já temos o
embasamento do que é necessário ser protegido, como vimos no Tópico 1. Ainda,
como a política dá suporte para mantermos a integridade e a confidencialidade
dos nossos ativos.
87
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
• aprovação;
• publicação;
• divulgação;
• treinamento;
• implementação;
• avaliação e identificação das mudanças necessárias;
• revisão.
3 POLÍTICA DE SEGURANÇA
Começamos apresentando um modelo genérico com os pontos que
devem ser abordados. Conforme a necessidade da organização, podem ser
mais detalhados. A etapa de introdução busca apresentar do que se trata o
documento – Introdução: a segurança é um dos assuntos mais importantes dentre
as preocupações de qualquer empresa. Nesse documento, apresentaremos um
conjunto de instruções e procedimentos para normatizar e melhorar nossa visão
e atuação em segurança (PALMA, 2017, p. 1). Veja o exemplo de uma introdução:
88
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
89
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
90
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
91
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Caso não saiba como fazer, entre em contato com a equipe técnica.
Política Social
92
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
• Reporte atitudes suspeitas, em seu sistema, à equipe técnica, para que possíveis
vírus possam ser identificados no menor espaço de tempo possível.
• Suspeite de softwares que "você clica e não acontece nada".
Continuidade de negócios
QUADRO 1 – CONTATOS
Marques (2017) ressalta que esse controle de acesso à internet deve ser
desenvolvido para dar, ao colaborador, noção de responsabilidade ao utilizar a
rede do trabalho. Ainda, não deve ser cercado por autoritarismo e proibições, pois
estas podem ser facilmente burlados. Hoje, na internet, é fácil encontrar tutoriais
que ensinam como acessar sites bloqueados, assim, é necessária a conscientização
para o bom uso. É importante que a política de uso da internet seja mais uma
ferramenta educativa.
93
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
E
IMPORTANT
O uso da internet, pelos empregados da empresa, é permitido e encorajado desde que seu
uso seja aderente aos objetivos e atividades de negócio. Entretanto, a empresa tem uma
política para o uso da internet desde que os funcionários/colaboradores assegurem que
cada um deles:
Se você tem alguma dúvida ou comentários sobre essa Política de Uso da Internet, por
favor, entre em contato com o seu supervisor.
Monitoramento
A empresa reafirma que o uso da internet é uma ferramenta valiosa para seus negócios.
Entretanto, o mau uso dessa facilidade pode ter impacto negativo na produtividade dos
funcionários e na própria reputação do negócio.
94
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A falha em não seguir a política resultará em sanções que variarão desde procedimentos
disciplinares, com avisos verbais ou escritos, até a demissão.
Declaração
Assinatura:
Data:
Nome extenso:
FONTE: <http://www.smartunion.com.br/download_artigos/Politica_Internet_Smart_
Union_Versao_Simples.htm>. Acesso em: 6 jul. 2020.
6 POLÍTICA DE E-MAIL
Exemplo de política de uso de e-mail corporativo.
95
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
E
IMPORTANT
Todas as mensagens distribuídas pelo sistema da empresa, até e-mails pessoais, são de
propriedade da empresa. Você não deve manter quaisquer expectativas de privacidade
sobre quaisquer mensagens que você crie, armazene, envie ou receba através do sistema
de e-mail.
Seus e-mails podem ser monitorados sem prévia notificação, se a empresa assim achar
necessário. Se existirem quaisquer evidências que você não está aderindo às regras citadas
na política, a empresa se reserva ao direito de tomar medidas disciplinares, incluindo
demissão e/ou ação judicial.
Se você tem alguma dúvida ou comentários sobre essa política, por favor, entre em contato
com o seu supervisor.
É estritamente proibido:
Cuidados necessários
Os usuários devem ter cuidado. Informações confidenciais não devem ser enviadas via
e-mail.
Para evitar fraudes, recomendamos, fortemente, que seja utilizada uma identificação digital
de segurança ou, pelo menos, uma assinatura com padrão de conhecimento prévio por
seus colegas de trabalho, citando seu nome completo e função.
Uso pessoal
Apesar do sistema de e-mail ser para assuntos de negócio, a empresa permite o uso pessoal
se for necessário e se não interferir com o trabalho a ser executado.
96
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Aviso 2: ‘apesar da empresa tomar todas as precauções razoáveis para assegurar que
nenhuma virose esteja presente no e-mail, não poderá aceitar a responsabilidade por
quaisquer perdas ou danos causados por esse e-mail ou por seus anexos’.
Declaração
Assinatura: Data:
____________________________ ____________________________
Nome Extenso:
____________________________
FONTE: <http://www.smartunion.com.br/download_artigos/Politica_Email_Smart_Union_
Versao_Simples.htm>. Acesso em: 6 jul. 2020.
DICAS
97
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Leal (2016) afirma que, uma vez que informações e ativos estejam em
um dos lugares mais vulneráveis (sujeito à divulgação ou uso não autorizado,
como previamente comentado), a aplicação de uma política de mesa limpa e tela
98
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
limpa é uma das principais táticas para diminuir os riscos de segurança. Muitos
procedimentos requerem poucos investimentos e são fáceis de aplicar.
Use áreas com trancas: gavetas com trancas, armários de pastas, cofres e
salas de arquivo deveriam estar disponíveis para armazenar mídias de informação
(documentos em papel, pen drives, cartões de memória etc.) ou dispositivos
facilmente transportáveis (celulares, tablets e notebooks) quando não em uso, ou
quando não houver ninguém tomando conta. Além da proteção contra o acesso
não autorizado, a medida também pode proteger a informação e ativos contra
desastres, como incêndios, terremotos, inundações ou explosões.
99
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
LEITURA COMPLEMENTAR
1 OBJETIVO
2 ABRANGÊNCIA
3 REFERÊNCIAS
• Código de Conduta.
4 CONCEITOS
100
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
5 DIRETRIZES
101
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
6 RESPONSABILIDADES
•
Comunicar imediatamente à Segurança da Informação qualquer
descumprimento ou violação desta política e/ou de suas normas e
procedimentos.
102
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
6.2 GESTORES
1ª versão: 16/02/2009.
Responsável Área
Gerência de Segurança da Informação
Elaboração
103
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO
Registro de alterações:
104
RESUMO DO TÓPICO 3
• Cada organização deve ter consciência dos ativos que quer proteger, além de
deixar isso claro na PSI.
CHAMADA
105
AUTOATIVIDADE
106
3 A divulgação das políticas de segurança da informação pode ser feita via
palestras, panfletos e quadros dispostos em locais de grande circulação,
para conhecimento de todos. Convém que o documento da política de
segurança da informação declare o comprometimento da direção. Ainda,
que estabeleça o enfoque da organização para gerenciar a segurança da
informação. É INCORRETO dizer que o documento da política deva conter:
107
108
UNIDADE 3 —
INVENTÁRIO E ATIVOS DE
INFORMAÇÃO
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer da unidade,
você encontrará autoatividades com o objetivo de reforçar o conteúdo
apresentado.
CHAMADA
109
110
TÓPICO 1 —
UNIDADE 3
1 INTRODUÇÃO
Vimos, na Unidade 2, que é necessária a participação de todos para a
construção de uma política de segurança da informação. É uma forma de difundir
medidas de proteção, e que a política precisa estar sempre sendo atualizada.
2 INVENTÁRIO
Provavelmente, você já deve ter ouvido falar da palavra inventário, ou
participado de algum processo de inventário, mas você sabe o que, efetivamente,
ele significa e qual a sua real necessidade?
111
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
112
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO
113
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
114
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO
4 PROPRIETÁRIO DO ATIVO
Neste momento, você deve estar pensando no contexto de uma
organização. O dono da empresa é o proprietário do ativo. De uma maneira geral
sim, mas estamos falando no contexto do funcionamento da organização, no
contexto da responsabilidade.
115
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
Em casos de ativos similares, que são utilizados por várias pessoas, como
o software da empresa, o proprietário pode ser um membro da diretoria, que
tem a responsabilidade por toda a organização. Ou seja, construir um registro de
ativos pode parecer um trabalho muito burocrático, sem muito uso prático, mas a
verdade é que listar esses ativos ajuda a esclarecer o que é valioso na organização
e quem é responsável por eles. Sem saber o que você tem e quem está no comando,
nem pense que é capaz de proteger a informação (KOSUTIC, 2014a).
116
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO
DICAS
117
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
118
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO
119
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
120
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO
122
RESUMO DO TÓPICO 1
• Ativos de informação não são apenas equipamentos, mas tudo que se refere à
informação.
123
AUTOATIVIDADE
a) ( ) Certo.
a) ( ) Errado.
a) ( ) Certo.
b) ( ) Errado.
124
4 Segundo Baars, Hintzbergen e Hintzbergen (2015, p. 146), “é comum um
documento de políticas ter uma estrutura hierárquica. Vários documentos
de política são desenvolvidos tendo, como base, uma política de segurança
corporativa de alto nível. Eles devem estar sempre em conformidade
com a política corporativa e prover diretrizes mais detalhadas para uma
área específica. Um exemplo é um documento de política sobre o uso de
criptografia”. Com relação à classificação da informação no setor público,
tem, como objetivo, assegurar que a informação receba um nível adequado
de proteção. Sobre a política de classificação da informação no setor público,
é INCORRETO afirmar:
125
126
TÓPICO 2 —
UNIDADE 3
1 INTRODUÇÃO
Nos últimos tempos, temos visto que, para que as empresas se mantenham
ativas, é necessária uma forte organização no setor de tecnologia. Além dos
controles e segurança das informações, é preciso, também, do controle da rede e
dos equipamentos.
127
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
128
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO
3 MATRIZ DE RESPONSABILIDADE
Vimos, até o momento, a importância, para a segurança da informação, de
termos um SGSI. Em conjunto com a diretoria, é preciso definir o que é importante
proteger, pois existem graus distintos de importâncias. Algumas podem ser de
cunho competitivo, como a fórmula de um produto ou o código de um programa,
e existem as de aspecto legal, como contratos e acordos.
129
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
130
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO
Oliveira (2019) pontua seis regras fundamentais para fazer uma matriz de
responsabilidade RACI. Vejamos:
131
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
4 MATRIZ DE RISCO
A importância de termos um inventário bem definido se justifica porque
não podemos gerenciar o que não sabemos. Como podemos nos preparar para
uma situação se nem sabemos que estamos expostos a ela?
132
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO
DICAS
133
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
DICAS
134
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO
QUADRO 7 – CLASSIFICAÇÃO
Outro item proposto por Correia (2016) é o impacto: Impacto – (I) – Perda
ou ganho na ocorrência de uma ameaça. O impacto “pode ser determinado pela
avaliação e pelo processamento de vários resultados da ocorrência de um evento,
pela extrapolação de estudos experimentais ou dados e registos do passado”
(CORREIA, 2016, p. 45).
135
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
QUADRO 8 – IMPACTO
(P x I = Risco)
136
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO
(2 x 1 = 2 ( Risco))
Lembrando que esses são exemplos, e que cada organização deve fazer
sua categorização, de acordo com a sua realidade.
5 ANÁLISE SWOT
Outra ferramenta para auxiliar na identificação dos riscos, com os ativos
da organização expostos, é a análise SWOT Strength, Weakness, Opportunities
and Threats, que também é conhecida pelo acrônimo FOFA (do português, Força,
Oportunidades, Fraqueza e Ameaças). A análise SWOT é uma metodologia útil
para promover mudanças e melhorias contínuas.
137
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
DICAS
138
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA DA INFORMAÇÃO
FIGURA 4 – SWOT
Como define Reis (2014), a Análise SWOT é etapa essencial para qualquer
planejamento estratégico de sucesso, e sua qualidade depende da habilidade
e atenção de quem executa. Com a ajuda da ferramenta, pode-se determinar
a posição atual do negócio ou projeto, além de antecipar o futuro, visando às
oportunidades e precavendo as ameaças. Veja um recorte da Análise SWOT:
139
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
140
RESUMO DO TÓPICO 2
• A matriz de risco pode ser muito útil na classificação dos riscos associados aos
ativos.
141
AUTOATIVIDADE
143
144
TÓPICO 3 —
UNIDADE 3
1 INTRODUÇÃO
Vimos, ao longo do livro didático, que é muito importante saber onde se
está, para poder definir o tipo de proteção. Ainda, antes de verificar qual o modelo
adotar para o inventário de ativos, se um software pronto ou uma planilha, é
preciso haver a necessidade de controle da organização.
Uma prática que começa a ganhar força, nos últimos anos, é a de trabalhar
a distância, conhecida por home office. No cenário em questão, os equipamentos e
informações acabam saindo da organização, entrando equipamentos particulares,
como celulares e notebooks. Por isso, a prática também precisa ser incluída nas
políticas, devem ser definidas as regras para avaliar os riscos, e a definição de
boas práticas para manter a segurança das informações.
145
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
146
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
147
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
• dados técnicos;
• ata de compra;
• número de série;
• local de instalação;
• data da última manutenção ou atualização.
Esses são alguns dos pontos básicos e essenciais que devem ser
demonstrados em um inventário de TI. Essa lista, de acordo com Schultz (2018),
pode ser desenvolvida de forma manual, por meio de planilhas, e realizada por
148
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
149
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
4 MODELOS DE INVENTÁRIOS
A escolha de um software especializado em gestão de ativos é
determinante para que a prática seja implantada com sucesso. Atualmente,
uma empresa consegue optar por diferentes soluções presentes nos mercados
nacional e estrangeiro. Além disso, a ferramenta pode ser instalada localmente
ou disponibilizada na nuvem.
150
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
DICAS
DICAS
Antes, veja alguns passos que devem ser observados, que já foram
apresentados no nosso livro. Servem como ponto fundamental para a criação do
seu inventário, segundo Schultz (2018):
151
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
FIGURA 6 – ROTULAR
Liste seus ativos também. Feita a criação dos rótulos, além do esquema de
nomeação, agora, é possível realizar a listagem de todos os recursos tecnológicos
disponíveis na empresa. Lembrando que a listagem obedece aos rótulos criados,
subtipos e nomeação, criados para a organização. Quando chegar na etapa, pode-
se observar e fazer a gestão dos ativos, com a visualização de vulnerabilidades,
oportunidades de melhoria e o constante monitoramento dos recursos (SCHULTZ,
2018).
FIGURA 7 – ROTULAR
152
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
FIGURA 8 – MANUTENÇÕES
FIGURA 9 – LICENÇAS
FIGURA 10 – GARANTIAS
153
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
FIGURA 11 – CONTROLE
DICAS
Caso a organização decida por uma solução pronta, Freire (2019) pontua
alguns pontos que devem ser observados, requisitos básicos que você procura ao
realizar uma compra. Enfim, algumas funcionalidades são indispensáveis em um
software inteligente de gestão de ativos.
154
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
155
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
LEITURA COMPLEMENTAR
INTRODUÇÃO
156
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
FUNDAMENTAÇÃO TEÓRICA
158
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
Ativo de Rede: Sêmola (2014, p. 43-44) define um ativo como “todo elemento
que compõe os processos que manipulam e processam a informação”. Segundo o
autor, o ativo é um elemento de valor para um indivíduo ou organização e, como
tal, deve ser protegido.
Para Galvão (2015, p. 18), ativo pode ser entendido como “[...] qualquer
parte que componha a estrutura de uma organização [...]”. Um ativo é, portanto,
qualquer elemento que represente valor para a empresa.
159
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
ESTUDO DE CASO
Estrutura Tecnológica
FONTE: O autor
160
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
Inventário da Rede
FONTE: O autor
161
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
FONTE: O autor
162
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
FONTE: O autor
Por meio dessa tela, obtemos um segundo nível de detalhes, que inclui
o nome do usuário, informações de licenciamento do sistema operacional e
última data que essa máquina foi inventariada. Essa tela apresenta uma barra
de ferramentas na qual podemos obter informações das partes que integram o
computador, como o processador, memória e dispositivos de armazenamento.
FONTE: O autor
163
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO
FONTE: O autor
Resultados
a) Os nomes dos computadores não seguem um padrão que possa indicar qual
usuário é o utilizador e a qual departamento pertence. Sugere-se adotar uma
identificação do tipo usuário-departamento para identificar cada computador
na rede. A adoção dessa nomenclatura, segundo o item “c” da ISO27002,
permitiria identificar o responsável pelo ativo.
b) Em termos de processamento e memória, todos os computadores possuem
requisitos mínimos desejados para operar os programas instalados, entretanto,
uma atualização ou substituição dos três computadores com dois gigabytes de
memória pode ser necessária a curto prazo.
164
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA DA INFORMAÇÃO
CONCLUSÕES
165
RESUMO DO TÓPICO 3
CHAMADA
166
AUTOATIVIDADE
168
REFERÊNCIAS
ARMSTRONG, M. et al. Ciclo de vida da informação no suporte ao processo de
inovação: uma proposta de modelo interativo. Revista Gestão e Planejamento,
Salvador, v. 20, n. 1, p. 581-599, 2019.
169
CORREIA, C. M. R. Plano de implementação da Norma ISO/IEC 27001 no
INEM. 2016.
Disponível em: https://run.unl.pt/bitstream/10362/19605/1/TGI0069.pdf. Acesso
em: 18 abr. 2020.
FREIRE, V. Gestão de ativos de TI: tudo o que você precisa saber. 2019.
Disponível em: https://neteye.co/blog/gestao-ativos-ti/. Acesso em: 18 abr. 2020.
170
IZQUIERDO, V. A. Qual a diferença entre segurança física e segurança lógica?
2017. Disponível em: https://blogbrasil.westcon.com/qual-a-diferenca-entre-
seguranca-fisica-e-seguranca-logica. Acesso em: 15 mar. 2020.
LEAL, R. Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
2016. Disponível em: https://advisera.com/27001academy/pt-br/blog/2016/03/17/
politica-de-mesa-limpa-e-tela-limpa-o-que-a-iso-27001-requer/. Acesso em: 21
mar. 2020.
171
OLHAR DIGITAL. Entendendo a autenticação com tokens. 2009. Disponível
em: rhttps://olhardigital.com.br/fique_seguro/noticia/entendendo-a-
autenticacao-com-tokens/10049. Acesso em: 15 mar. 2020.
SANKHYA. Quais são os benefícios que o byod pode trazer para sua empresa?
2016. Disponível em: https://www.sankhya.com.br/blog/quais-sao-os-beneficios-
que-o-byod-pode-trazer-para-sua-empresa/. Acesso em: 18 abr. 2020.
172
SANTOS, A. H. O. Análise de vulnerabilidades: o que é e qual a importância
para a organização? 2018. Disponível em: https://www.uniaogeek.com.br/
analise-de-vulnerabilidades-importancia/. Acesso em: 18 mar. 2020.
SOFTLINE. 7 erros que você não pode cometer com o Bring Your Own Device.
2018. Disponível em: https://brasil.softlinegroup.com/sobre-a-empresa/blog/7-
erros-que-voce-nao-pode-cometer-com-o-bring-your-own-device. Acesso em: 18
abr. 2020.
173
SOUSA, R. H. de. Gestão de ativos – A organização nas mãos da TI. 2013.
Disponível em: https://www.devmedia.com.br/gestao-de-ativos-a-organizacao-
nas-maos-da-ti-revista-infra-magazine-11/27895. Acesso em: 18 abr. 2020.
174