Administração

de Redes
 Material Teórico
Gestão da Segurança da Informação

Responsável pelo Conteúdo:

Prof. Esp. Antonio Eduardo Marques da Silva

Revisão Textual:
Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro
 Gestão da Segurança da Informação

• Introdução;
• Importância da Informação;
• Sistemas de Informação;
• Classificação da Informação;
• Ciclo de Vida da Informação;
• Conceitos e Definições Importantes;
• Conceitos de Política de Segurança da Informação (PSI);
• O Propósito dos Controles.

OBJETIVOS DE APRENDIZADO
• Compreender e abordar os principais aspectos da gestão da segurança da informação
(GSI) dentro de instituições públicas ou privadas, apresentando conceitos e definições do
clico de vida e importância da informação;
• Definir os propósitos da política de gestão da segurança da informação.
 Orientações de estudo
Para que o conteúdo desta Disciplina seja bem
aproveitado e haja maior aplicabilidade na sua
formação acadêmica e atuação profissional, siga
algumas recomendações básicas:
Conserve seu
material e local de
estudos sempre
organizados.
Aproveite as
Procure manter indicações
contato com seus de Material
colegas e tutores Complementar.
para trocar ideias!
Determine um Isso amplia a
horário fixo aprendizagem.
para estudar.

Mantenha o foco!
Evite se distrair com
as redes sociais.

Seja original!
Nunca plagie
trabalhos.

Não se esqueça
de se alimentar
Assim: e de se manter
Organize seus estudos de maneira que passem a fazer parte hidratado.
da sua rotina. Por exemplo, você poderá determinar um dia e
horário fixos como seu “momento do estudo”;

Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma

alimentação saudável pode proporcionar melhor aproveitamento do estudo;

No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos
e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua
interpretação e auxiliarão no pleno entendimento dos temas abordados;

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de
aprendizagem.
UNIDADE Gestão da Segurança da Informação

Introdução
Com certeza, adquirir os conhecimentos em Gestão da Segurança da Informa-
ção traz ao profissional de Tecnologia da Informação e Comunicações um maior
preparo nas atividades de administração de sistemas e redes de dados, pois tais téc-
nicas previnem problemas em uma infraestrutura tecnológica. Dessa forma, nesta
unidade, vamos tratar dos aspectos fundamentais sobre segurança da informação
e trazer as principais características da Gestão da Segurança da Informação e Polí-
ticas de Segurança, necessários para a proteção de ativos em instituições públicas
ou privadas.

Importância da Informação
A informação tem sido importante por uma grande variedade de razões através
dos séculos para o homem, que foi capaz de transmitir dados valiosos, como a
localização de uma fonte de água mais próxima, ou de um rebanho de animais, ou
a caverna que lhe serviria de abrigo. Eram segredos cuidadosamente guardados e
que só eram passados para aqueles das mesmas tribos e/ou aqueles que tinham
necessidades e que eram considerados confiáveis. O método de transferência e o
armazenamento das informações, com certeza, foram mais primitivos do que os de
hoje, mas os princípios básicos de Segurança da Informação não mudaram muito
desde aqueles primórdios (BRIEN, 2013).

Segurança da Informação, que é mais precisamente chamada de “Information

Assurance”, agora está bem fundamentada em três conceitos principais, que são a
confidencialidade, a integridade e a disponibilidade. O gerenciamento desses con-
ceitos é fundamental e, como tem se tornado cada vez mais uma das moedas mo-
dernas da sociedade e a garantia adequada e eficaz em termos de custos, tornou-se
de grande interesse para empresas de todos os setores, de todos os tamanhos e em
diferentes localizações.

Os mecanismos que usamos para gerenciar informações são as áreas em que vi-
mos mudanças muito significativas, principalmente nas últimas décadas. O advento
de computadores, em particular, alterou a maneira como gerenciamos as informa-
ções extensivamente e também significou que temos muito mais informações para
nos preocuparmos do que imaginamos.

A informação tornou-se a chave para o sucesso em quase qualquer campo e,

assim, a sua segurança, talvez tão mais importante, em valor para uma empresa ou
organização – já que pode ocorrer de o fator financeiro não ser necessariamente o
fator mais importante. Falta de conhecimento de alguma questão, a maneira como
as coisas são feitas, ou conhecimento de informações específicas podem ser tão
mais importantes do que qualquer outro tipo de avaliação (MORAES, 2014).

8
 Um outro fator que alterou significativamente nossa necessidade de garantia
de informação é a da mobilidade. Quando o único local tinha informações de ne-
gócios, com certeza era mais fácil cuidar dessa informação. Para proteger essas
informações, fechávamos e trancávamos simplesmente a porta de um escritório
que as continha. Hoje, esperamos e precisamos ter informações em uma grande
variedade de locais, incluindo dispositivos em movimento, como em carros e trens.
Com escritórios de abrangência global e a crescente mobilidade do ambiente de
escritório, agora, temos uma crítica necessidade de maior segurança, para que
possamos permitir que pessoas autorizadas tenham acesso a nossas informações
de forma mais adequada (BRIEN, 2013).
Explor

ISO 27001: Sistema de Gestão de Segurança da Informação em: https://youtu.be/1t6ZMyJ-n1Q

As ameaças, vulnerabilidades e contramedidas também mudaram a complexi-

dade em algumas áreas, embora ainda seja essencial considerar as contramedidas
mais fáceis e, muitas vezes, mais baratas antes de entrar em grandes e/ou soluções
mais caras. O aumento da capacidade daqueles que pretendem causar danos a em-
presas, organismos públicos e outras organizações fez com que o papel do Gerente
de Segurança da Informação e dos profissionais de Segurança da Informação au-
mentasse a tal ponto que agora é perfeitamente possível ter uma equipe local com
essa atividade específica dentro de uma organização. Outro ponto importante é
em relação à legislação que é introduzida pelos governos para lidar com crescentes
problemas de garantia da informação em todas as suas formas.

Sistemas de Informação
Um sistema de informação pode ser definido tecnicamente como um conjunto
de componentes inter-relacionados que coletam e/ou recuperam, processam, ar-
mazenam e distribuem informações destinadas ao apoio de tomada de decisões
dentro de uma organização. Além de poder dar suporte à tomada de decisões, à
coordenação e ao controle, esses sistemas também podem auxiliar os diretores,
gerentes e profissionais a analisar possíveis problemas, visualizando assuntos com-
plexos e criando novos produtos e serviços.
Explor

Case de Gestão de Segurança da Informação – FIESC em: https://youtu.be/-bMjbo2oUKQ

Os sistemas de informação podem conter informações sobre pessoas, locais e

assuntos significativos para uma instituição. Eles também podem ter o aspecto vol-
tado à área gerencial e à área operacional, que podem produzir as informações de
que as organizações necessitam para tomada de decisões e proteção de seus dados
(BURGESS, 2006).

9
9
UNIDADE Gestão da Segurança da Informação

Informação

pode ser
pode ser
Gerencial
Operacional

que é
que é rotineira
de longo prazo pouco precisa

precisa
curto prazo
gráfica
baixa circulação
detalhada circula muito
sem detalhes

Figura 1 – Sistemas de Informação Gerencial e Operacional

Classificação da Informação
Nem toda informação merece uma atenção especial ou que possa ter sempre
um cuidado especial, no entanto, determinada informação pode ser vital para uma
determinada instituição. Por causa dessas questões, nasceu a necessidade de clas-
sificá-las em níveis de prioridade e respeitando a necessidade de cada corporação,
bem como definindo a importância de sua classe para uma correta manutenção de
suas atividades. Podemos classificar a informação sobre quatro aspectos:
• Confidencial: a informação classificada como confidencial é restrita aos limi-
tes da empresa, cuja divulgação ou perda da mesma pode levar a desequilíbrio
operacional, possivelmente perdas financeiras, ou de confiabilidade perante o
cliente externo, além de poder permitir vantagem expressiva ao concorrente;
• Secreta: a informação classificada como secreta é extremamente crítica para
as atividades da empresa, cuja integridade deve ser preservada a qualquer cus-
to e cujo acesso deve ser restritivo a um número bastante reduzido de cola-
boradores, sendo sua manipulação de vital importância e estratégica para a
companhia. É comum que órgão do governo e sistemas militares possuam em
sua estrutura esse tipo de classificação;
• Interna: a informação classificada como interna permite que o seu conteúdo
seja evitado por entidades externas à instituição, embora as consequências do
uso não autorizado dessa informação não sejam demasiadamente sérias. Sua
integridade é importante, mesmo que não seja vital;
• Pública: a informação classificada como pública, como o nome indica, é uma
informação que pode vir a ser divulgada ao público sem maiores consequências
danosas ao funcionamento de uma corporação e cuja integridade não é vital.

10
Ciclo de Vida da Informação
O Ciclo de Vida da Informação é composto e identificado pelos momentos vivi-
dos pela informação que os possam colocar em risco. Ou seja, os momentos são
vivenciados justamente quando seus ativos físicos, tecnológicos e humanos fazem
uso da informação, sustentando processos que, por sua vez, sejam mantidos na
operação da empresa. Observando que a informação possa ser exposta a possíveis
ameaças que as coloquem em risco, atingindo a sua segurança, temos 4 momentos
desse ciclo de vida que são necessitam de uma melhor atenção.

Manuseio

Autenticidade

Int
ade

eg
lid

rid
cia

ad
en

e
fid

Descarte Informação Armazenamento

Con

Disponibilidade

Legalidade

Transporte

Figura 2 – Ciclo de Vida da Informação

O ciclo de vida da informação é composto por quatro itens principais, são eles:
• Manuseio: é definido pelo momento em que a informação é criada e/ou ma-
nipulada, seja ao acessar um documento impresso, uma apostila ou livro de
papel ou ao digitar um endereço para acesso a um portal da Internet ou ao
utilizar seu login e senha de acesso para autenticação de um serviço;
• Armazenamento: é definido pelo momento em que uma determinada infor-
mação é devidamente armazenada, seja em um arquivo morto que guarda
documentos escritos ou impressos, e um sistema de banco de dados complexo
ou apenas armazenado em um disco óptico, um hard disk externo (HD) ou até
mesmo em um pen drive USB;
• Transporte: é definido pelo momento em que a informação é devidamente
transportada, seja por um profissional do correio que leva a uma pessoa uma
carta registrada, o envio de um correio eletrônico, o envio de uma mensagem
via FAX, ou até mesmo o falar ao telefone uma informação confidencial;

11
11
UNIDADE Gestão da Segurança da Informação

• Descarte: é definido pelo momento em que a informação é devidamente des-

cartada, seja ao depositar na lixeira de um departamento um documento im-
presso, ao eliminar um arquivo eletrônico em seu computador pessoal, ao des-
cartar um CD-ROM usado que apresentou uma falha de leitura, ou até mesmo
ao apagar um e-mail de sua aplicação gerenciadora de correios eletrônicos.

Conceitos e Definições Importantes

A segurança da informação nada mais é do que a proteção dos sistemas de infor-
mação contra a negação de serviço a usuários não autorizados, assim como contra
a intrusão e a modificação não autorizada de dados ou informações armazenadas,
em processamento ou em trânsito, abrangendo a segurança dos recursos humanos
(RH) de uma empresa, documentação e material das áreas e instalações da com-
panhia, das comunicações em rede e dos sistemas computacionais. Nesse âmbito,
tem o intuito de detectar, prevenir, deter e documentar eventuais ameaças à sua
estabilidade. É importante notar que, quando falamos de informação, não estamos
tratando apenas da informação digitalizada e manipulada por sistemas computa-
cionais, mas sim de um todo, ou seja, a informação pode ser manipulada da forma
falada, escrita e/ou digitalizada. A matéria de segurança da informação tem uma
abordagem bastante ampla e não apenas focada (como a maioria pensa) em siste-
mas eletrônicos. Vamos, então, conhecer algumas definições e termos importantes
para o estudo em segurança da informação (BURGESS, 2006).

Segurança da Informação
A base de entendimento da segurança da informação é composta de três fatores
essenciais: a confidencialidade, a integridade e a disponibilidade. Vamos descrever
de forma suscinta cada um desses itens.

Confidencialidade

Segurança da
Informação

Integridade Disponibilidade

Figura 3 – Segurança da Informação

12
• Confidencialidade: é a propriedade de que as informações não são dispo-
nibilizadas ou divulgadas a pessoas, entidades ou processos não autorizados.
As informações geralmente serão aplicáveis apenas a um número limitado de
indivíduos por causa de sua natureza, seu conteúdo, ou porque sua distribuição
mais ampla resultará em efeitos indesejados, incluindo penalidades legais ou
financeiras, ou constrangimento. Restringindo o acesso à informação aos que
têm uma “necessidade de saber”, é uma boa prática e baseia-se no princípio da
confiança (confidencialidade). Os controles para se garantir a confidencialidade
constituem uma parte importante dos aspectos de gerenciamento de seguran-
ça da informação;
• Integridade: é a propriedade de salvaguardar com exatidão e integridade dos
ativos. A informação só é útil se for completar e precisar, e assim permanecer.
A manutenção desses aspectos da informação (sua integridade) é frequente-
mente crítica e pode assegurar que apenas certas pessoas tenham a autoridade
apropriada para alterar, atualizar ou excluir informações;
• Disponibilidade: é a propriedade de ser acessível e utilizável sob demanda por
uma entidade autorizada. A disponibilidade é uma área onde a evolução das
tecnologias aumentou as dificuldades para o profissional de Segurança da In-
formação. No passado, em um mundo ideal, todas as informações importantes
poderiam ser guardadas em um cofre muito seguro e de difícil acesso. Com a
evolução das redes de comunicação e dos sistemas de armazenamento, nem
sempre as informações de uma empresa estão guardadas em um dispositivo
local ou até mesmo em uma sala-cofre. Isso fez com que os profissionais de
segurança da informação tivessem a preocupação de como, onde e quando
essa informação poderia estar disponível aos seus clientes e/ou colaboradores
internos ou externos.

Outros autores podem incluir também os seguintes itens:

• Autenticidade: é a propriedade que garante que a informação ou o usuário
da mesma é devidamente autêntico; atestando com exatidão a origem do dado
ou informação;
• Não repúdio: é a propriedade que define o “não é possível negar” (no sentido
de dizer que não foi dito ou realizado o que pode ser comprovado) uma opera-
ção ou serviço que modificou ou criou uma informação;
• Legalidade: é a propriedade que garante a legalidade (jurídica) da informa-
ção, aderência de um sistema à legislação, característica das informações que
possuem valor legal dentro de um processo de comunicação, em que todos os
ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação
política institucional, nacional ou internacional vigente;
• Privacidade: é a propriedade que foge do aspecto de confidencialidade, pois
uma informação pode ser considerada confidencial, mas não privada. Uma
informação privada deve ser vista/lida/alterada somente pelo seu dono. Pode
garantir, ainda, que a informação não será disponibilizada para outras pessoas.

13
13
UNIDADE Gestão da Segurança da Informação

Definição de Ativos e Tipos de Ativos

• Ativos: qualquer coisa que tenha valor para a organização, seus equipamentos,
suas operações comerciais e sua continuidade nos negócios. Os recursos são
tão importantes quanto os mecanismos para usá-los. Em segurança da infor-
mação, três tipos principais de ativos são considerados, embora as subcatego-
rias que se enquadram em cada um desses tipos principais possam ser nume-
rosas. Os três tipos principais são: (i) informação pura (em qualquer formato),
(ii) ativos, tais como edifícios e sistemas de computador e (iii) software utilizado
para processar ou gerenciar informações. Quando os ativos são considerados
qualquer aspecto da Segurança da Informação, o impacto em todos os três ati-
vos deve ser revisado. O valor de um ativo é geralmente estimado no com base
no custo ou valor de sua perda ou indisponibilidade para o negócio. Possuem,
no entanto, outros aspectos a considerar como, por exemplo, o valor de um
concorrente, o custo de recuperação ou reconstrução da informação, o dano
a outras operações e até mesmo o impacto sobre intangíveis como reputação,
consciência e lealdade do cliente.

Definição de Ameaça, Vulnerabilidade, Risco e Impacto

• Ameaça: uma causa potencial de um incidente que pode resultar em danos
a um sistema ou organização. Uma ameaça é algo que pode acontecer e que
pode causar algumas indesejadas consequências. Ameaças para uma organi-
zação podem ser oportunidades para outra. Tudo depende muito do ponto de
vista, do meio ambiente e da situação em que se está considerando.
• Vulnerabilidade: uma fraqueza de um ativo ou grupo de ativos que podem ser
explorados por uma ou mais ameaças. Uma vulnerabilidade é uma fraqueza,
algo que, se explorada, poderia causar efeito indesejado;
• Risco: o potencial que uma determinada ameaça irá explorar vulnerabilidade
de um ativo ou grupo de ativos e, assim, causar danos à organização. Risco
é então a combinação desses dois itens: Se houver uma ameaça (de chuva) e
vulnerabilidade (de não portar guarda-chuva), existe o risco de que o indiví-
duo envolvido pode se molhar e arruinar suas roupas. Também é importante
reconhecer que às vezes pode haver uma combinação de circunstâncias que
também levam a riscos mais sérios;
• Impacto: o resultado de um incidente de Segurança da Informação, causado
por uma ameaça que afeta os ativos. No que se refere às empresas, o impacto
sobre a organização e suas atividades diárias é geralmente uma consideração
crucial e, muitas vezes, justifica medidas adicionais que possam ser tomadas.

Sistema de Gestão da Segurança da Informação (SGSI)

A norma base, em segurança da informação, é a ISO 27001, e ela adota o
modelo PDCA (Plan-Do-Check-Act) para descrever a estrutura de um Sistema de

14
Gestão da Segurança da Informação (SGSI). A próxima figura descreve cada uma
das etapas desse modelo essencial para uma boa implementação (GALVÃO, 2015).

Planejar

Estabelecer o SGSI

Fazer Agir
Implementar o SGSI Manter o SGSI

Monitorar e
melhorar o SGSI

Checar

Figura 4 – Sistema de Gestão da Segurança da Informação

• Estabelecer o SGSI: é a etapa que dá início a um sistema de gestão da se-
gurança da informação. Suas atividades devem estabelecer políticas, regras,
objetivos, procedimentos e processos para que a gestão de segurança da infor-
mação seja implementada com sucesso. São as ferramentas estrategicamente
fundamentais para que uma organização possa integrar suas atividades e as
atividades de segurança da informação e as políticas de segurança (PSI), bem
como os objetivos globais da instituição;
• Implementar o SGSI: consiste em implementar e operar a política de segu-
rança da informação, seus controles, suas medidas de segurança, seus proces-
sos e procedimentos aplicados em segurança. Também visa ao gerenciamento
e à implementação dos procedimentos capazes de permitir a pronta detecção
de eventos de segurança da informação baseados em respostas a incidentes;
• Monitorar e melhorar o SGSI: como o nome indica, essa atividade pode
reunir práticas necessárias para a avaliação e eficiência do sistema de gestão
de segurança da informação, apresentando os resultados para uma análise
crítica pela alta gestão da organização, que praticamente assina as diretrizes
definidas na política de segurança de informação. Também nessa etapa, são
identificadas a criticidade em relação às análises e avaliações de riscos e aos
níveis aceitáveis de riscos identificados;
• Manter o SGSI: após a implementação do SGSI, é importante a manuten-
ção desses sistemas por parte dos administradores de sistemas. Nesse âmbito,

15
15
UNIDADE Gestão da Segurança da Informação

executar as ações corretivas e preventivas necessárias torna-se quase um pro-

cedimento cíclico do sistema de segurança da informação com base nos resul-
tados de auditoria interna e da análise crítica pela alta direção da organização.
Outra etapa não menos importante é a comunicação das ações e melhorias
dadas aos sistemas e transmitidas às pessoas interessadas.

Conceitos de Política de Segurança

da Informação (PSI)
A Política de Segurança da Informação (PSI) é o conjunto de ações, técnicas e
boas práticas relacionadas ao uso seguro de dados. Ou seja, trata-se de um docu-
mento ou manual que determina as ações mais importantes para garantir a segu-
rança da informação. A PSI funciona da mesma maneira que uma lei ou código
de conduta em uma escola, só que tratando de segurança da informação. Com a
digitalização crescente nas empresas e com o ganho de importância da área de
TIC, ela é fundamental para garantir efeitos adequados. Ela garante que os dados
sejam protegidos, especialmente de concorrentes e outras pessoas não autorizadas.

Portanto, é uma forma de manter elementos estratégicos longe de vazamentos.

Ela ainda promove a homogeneização de atuação, de modo que todos saibam o
que fazer e o que se pode evitar, ela também serve para administrar corretamente
emergências. Com um plano de contingência ou backup, é possível saber como
agir para prevenir danos maiores nos dados (GALVÃO, 2015).
Explor

Gestão de Riscos em Segurança da Informação em: https://youtu.be/uHV4pRpyzT8

O Propósito dos Controles

Controles no sentido de Segurança da Informação são aquelas atividades que
são tomadas para gerir os riscos identificados. Existem quatro tipos principais de
controles, embora a implementação real de cada um desses tipos possa ser muito
variada. São eles:
• Eliminar: evitar o risco. Decisão de não estar envolvido em uma ação que pos-
sa colocar um processo em uma situação de risco. Isso significa tomar um curso
de ação que remove a ameaça de certo risco. Isso poderia implicar a remoção
de um item específico que é inseguro, escolhendo fazer as coisas de uma ma-
neira completamente diferente. Às vezes, essa ação é chamada de “impedir”,
“evitar” ou “terminar”;

16
 • Reduzir: redução de risco. Ação tomada para diminuir a probabilidade, negati-
va de consequências, ou ambas, associadas ao risco. Isso significa tomar uma
ou mais ações que reduzirão o impacto ou a probabilidade de ocorrência de um
risco. Muitas vezes, é necessário usar várias dessas medidas em parceria para
ter o efeito global desejado. Isso pode incluir medidas de contingência em vigor
que mitigam o efeito se o risco não ocorrer. Um plano de backup ou “plano
B”. Essa ação é, por vezes, referida como ‘tratar’;
• Transferir: transferência de risco. Compartilhando com outra parte o ônus
da perda, ou benefício de ganho, para um risco. Isso significa tomar medidas
para transferir a responsabilidade por um risco para outro na organização que
assumirá a responsabilidade pela gestão futura do risco. Na prática, isso pode
significar retirar alguma forma de indenização ou seguro contra o risco, ocor-
rendo ou, talvez, escrevendo contratos de tal forma que o impacto financeiro
de um risco a ocorrer seja suportado por um terceiro (danos liquidados). Essa
ação é, por vezes, referida como “partilhar”;
• Aceitar: aceitação de risco. Decisão de aceitar um risco. Isso significa que a
gerência sênior aceita que não é considerada prática ou sensível a tomar mais
ação do que o risco. Isso poderia ser por uma série de razões que outras ações
são consideradas inadequadas, mas não limitado a: impacto provável de um
risco ser muito pequeno; probabilidade muito pequena de um risco ocorrer;
custo de medidas apropriadas muito alto em comparação ao impacto financei-
ro do risco ocorrendo; risco fora do controle direto da organização. A decisão
também deve estar relacionada ao apetite de risco da organização, que deter-
mina o nível de risco que a organização está preparada para aceitar. Isso, às
vezes, é chamado de ‘tolerar’.

Identidade, Autenticação e Autorização

• Identidade: as propriedades de um indivíduo ou recurso que podem ser usadas
para identificar exclusivamente um indivíduo ou recurso (Autores). Frequen-
temente, é necessário estabelecer quem está acessando as informações e a
identidade dos indivíduos pode ser necessária. Isso pode permitir, por exem-
plo, trilhas de auditoria a serem produzidas para ver quem alterou um item
específico de dados e, portanto, atribuir um nível apropriado de confiança à
mudança. Esse conceito é igualmente aplicável a ativos, como parte específica
de informações que precisam ser identificadas exclusivamente;
• Autenticação: assegurar que a identidade de um assunto ou recurso é a única
reivindicada. Esse processo garante que o indivíduo é o que diz ser e confirma
sua identidade em um nível apropriado de confiança apropriado para a tarefa
em mão. Isso poderia ser simplesmente pedir-lhe, no mais básico, a sua data
de nascimento, até completar uma verificação de identidade complexa usando,
por exemplo, tokens, biometria e verificações detalhadas de dados biográficos;

17
17
UNIDADE Gestão da Segurança da Informação

• Autorização: o processo de verificar a autenticação de um indivíduo ou recur-

so para estabelecer e confirmar seu uso autorizado, ou acesso às informações
ou outros ativos. Para que qualquer um use um sistema de recuperação de in-
formações e gerenciamento, é uma boa prática ter um método de autorização
que torne claros os bens aos quais alguém deve ter acesso e o tipo de acesso.

Contabilidade, Auditoria e Conformidade

• Contabilidade (Prestação de Contas): tem como função a responsabilidade
por ações e processos. Quando qualquer ação é realizada em um sistema de
informação, como parte do Sistema de Gerenciamento de Segurança da Infor-
mação, um indivíduo precisa ser responsável por essa ação;
• Auditoria: verificação de ações, processos, políticas e procedimentos. Esta é
a verificação formal dos registros de um sistema para garantir que se previam
de uma possível ocorrência. Os objetivos de uma auditoria podem incluir a
identificação de falhas no funcionamento do sistema, observando as tendên-
cias ao longo do tempo para ajudar na resolução ou identificação de problemas
ou outros requisitos. Também pode ajudar a identificar o uso indevido de in-
formações ou o uso inadequado de uma autorização, por exemplo, identificar
atividade não autorizada;
• Conformidade: trabalhar de acordo com as ações, processos, políticas e pro-
cedimentos estabelecidos sem necessariamente ter revisões independentes.
Assegurar que um sistema ou processo esteja de acordo com o definido ou es-
perado procedimento operacional é a conformidade. Isso poderia cobrir uma
grande operação, como uma organização inteira que esteja em conformidade
com um padrão para Segurança da Informação, ou poderia ser muito mais
limitado a apenas certos aspectos da operação, ou usuários individuais, de
um sistema específico sendo complacente. Em geral, a conformidade deve ser
auditada de forma independente que possa obter certificação em relação a um
padrão, uma estrutura legal ou regulatória por exemplo.
Explor

Introdução ao Gerenciamento de Redes – parte 3 – IDSs em: https://youtu.be/q2DkfPzXgAA

18
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Livros
Entendendo os Conceitos de Backup
BARROS, E. Entendendo os Conceitos de Backup. Restore e Recuperação de
Desastres. São Paulo: Ciência Moderna, 2007.
Administração de Sistemas da Informação
BRIEN, J. A.; MARAKAS, G. M. Administração de Sistemas da Informação. 15.
ed. Porto Alegre: Bookman, 2013.
Monitoramento de Redes com Zabbix
LIMA, J. R. Monitoramento de Redes com Zabbix. Rio de Janeiro: Brasport, Rio
de Janeiro, 2014.
Manual Completo do Linux Guia do Administrador
NEMETH, E.; SNYDER, G.; HEIN, T. R. Manual Completo do Linux Guia do
Administrador. São Paulo: Pearson, Pretice Hall, 2007.
Administração de Sistemas da Informação
ROSINI, A. M.; PALMISANO, A. Administração de Sistemas da Informação. 2. ed.
São Paulo: Cengage, 2012.

19
19
UNIDADE Gestão da Segurança da Informação

Referências
BURGESS, M. Princípios da Administração de Redes e Sistemas. 2. ed. Rio de
Janeiro: LTC, 2006.

EMC Services. Armazenamento de Gerenciamento de Informações. São Paulo:

Bookman, 2010.

GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo:

Person, 2015.

MORAES, A. F. Administração de Redes Remotas. São Paulo: Érica Saraiva, 2014.

SOUSA, L. B. Administração de Redes Locais. São Paulo: Érica Saraiva, 2014.

20