Gestão Da Infra-Estrutura Através Do Itil e Gestão de Segurança para Ti

Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.
Gestão da infra-estrutura
através do ITIL e Gestão de
Segurança para T.I.
Ms. João Caldas Jr.
1
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Sumário
Apresentação................................................................................................4
Capítulo 1 - Fundamentos de Segurança da Informação.............................4
1.1. Dados, Informação e Segurança.................................................................... 4
1.2 Evolução da Informação................................................................................. 6
1.3 Ameaças à Informação .................................................................................7
Capítulo 2 - Políticas de Segurança da Informação.....................................8
2.1. Aspectos básicos da Segurança da Informação............................................... 9
2.2. Itens que precisam ser protegidos................................................................. 9
2.3. Principais Tipos de Incidentes...................................................................... 10
2.4. Tipos de Atacantes e as Formas de Proteção................................................ 11
2.5. Políticas de Segurança: um processo de controle.......................................... 13
2.6. Criação de uma Política de Segurança.......................................................... 14
Capítulo 3 - Gestão de Ativos.....................................................................17
3.1. Classificação e Controle dos Ativos............................................................... 17
3.2. Classificação e Gestão dos Ativos de Informação........................................... 19
Capítulo 4 - Segurança em Recursos Humanos.........................................21
4.1. Garantia da Segurança da Informação para as Pessoas................................. 21
Capítulo 5 - Segurança Física.....................................................................23
5.1. Segurança Física: Proteção de ativos........................................................... 23
3.2. Ameaças à Segurança Física........................................................................ 24
3.3. Proteção contra as ameaças........................................................................ 25
3.4. Instalação e proteção de equipamentos....................................................... 26
Capítulo 6 - Segurança Operacional...........................................................28
6.1. Segurança Operacional: processo contínuo................................................... 28
6.2. Separação de Ambientes: Produção, Desenvolvimento e Testes.................... 29
6.3. Terceirização (outsourcing)....................................................................... 30
6.4. Cópias de Segurança (Backup)................................................................. 30
6.5. Segurança de Dados em Redes.................................................................... 31
2
Capítulo 7 - Controle de Acessos................................................................32
7.1. Controle de acesso...................................................................................... 32
7.2. Gerenciamento de acesso do usuário.......................................................... 33
Capítulo 8 - Conformidade.........................................................................35
8.1 Processos de Conformidade.......................................................................... 35
8.2 Penalidades – Código Civil Brasileiro...................................................37
8.3 Auditoria de Sistemas.................................................................................. 37
Capítulo 9 – ITIL e Segurança da Informação...........................................38
9.1. Segurança da Informação de acordo com a ITIL........................................... 38
9.2. Processo SI do Desenho de Serviços da ITIL: Gestão de Segurança da

Informação ...................................................................................................... 38
Gerente de Fornecedor ............................................................................... 39
Produtos ..................................................................................................... 39
9.3. Práticas de Segurança da Informação de acordo com a ITIL.......................... 40
Considerações Finais..................................................................................42
Bibliografia.................................................................................................42
3
Apresentação Capítulo 1 - Fundamentos de

Segurança da Informação
Caro aluno é um prazer acompanhá-lo dessa disciplina
tão importante para o nosso curso. O objetivo dessa
disciplina é apresentar e discutir conceitos e temas Caro aluno, segurança é um termo que
referentes à gestão de segurança da informação. Esse transmite conforto e tranquilidade a quem
assunto tem tirado o sono de muitos gestores e executivos desfruta de seu estado. Entender e implementar
de empresas no mercado, pois inicialmente não damos este “estado” em um ambiente empresarial exige
a atenção necessária para um dos maiores ativos das conhecimento e práticas especializadas que
organizações: a informação. somente são possíveis com o emprego e uso de
um código de práticas de segurança. Atualmente,
Estudaremos, durante o curso, os fundamentos táticos um dos maiores problemas para as organizações
de segurança da informação com o objetivo de capacitar é definir um processo de controle das suas
você, não apenas a ter uma visão mais estratégica do informações, de forma que esse controle atinja
tema, mas a desenvolver um plano de segurança com uma um nível adequado de gestão dos riscos que
visão muito clara de gestão de riscos. essa organização esta exposta. Neste capítulo
Além disso, abordaremos tópicos de estruturação de entenderemos melhor o papel da informação e
políticas de segurança e relacionaremos os processos a importância em garantir a segurança ao seu
críticos da organização suportados por controles de uso e acesso e manipulação.
manipulação das informações.
A Segurança Operacional que discutiremos nesse curso

é importante para capacitá-lo em controles de processos
relacionados na disciplina “Gestão de Serviços de Suporte
de TI através da ITIL”, ajudando-o a aplicar os processos
1.1. Dados, Informação e
da ITIL com uma visão clara de controle de segurança Segurança
para aumentar o nível de maturidade dos seus processos
e serviços de TI.
E por fim, discutiremos uma questão que vem trazendo

grandes dificuldades às empresas para manterem seus A definição clássica de
controles sob uma gestão mais eficiente e em níveis informação, vinda do dicionário Aurélio diz que “é o
aceitáveis de riscos, que são as leis e regulamentações. conjunto de dados acerca de alguém de ou de algo”.
A observância à legislação traz para as empresas uma Estendendo esse conceito, podemos dizer que a informação
necessidade forte de controles internos e busca no é a interpretação desses dados.
mercado por profissionais que possam apoiar a empresa De nada vale um conjunto de dados sem que se faça
em garantir a conformidade dos seus processos. a interpretação dos mesmos para que se possa extrair
Então, caros alunos, preparem-se para conhecer esse um conhecimento útil. Isso, para as organizações, é
tema com mais profundidade, pois certamente fará a necessariamente uma vantagem competitiva.
diferença no seu perfil profissional e na sua carreira. As organizações necessitam da informação para
tomar decisões objetivando seus fins, como o sucesso de
seus empreendimentos e, muitas vezes, a sua própria
Renato Silva de Lima, PMP, ITIL, CGEIT sobrevivência. Isto mostra o quão estratégica é a
informação. Sem ela não há estratégias a serem traçadas,
4
não há mudanças a serem feitas ou até mesmo não há a um segundo plano as estratégias de negócios. Os altos
empresa a ser gerida. executivos não têm conseguido usar as novas tecnologias
porque não têm acesso às informações que precisam em
As empresas fazem parte do mundo dos negócios que tempo hábil e a elas de forma adequada.
visa o lucro e o retorno dos capitais investidos no menor
tempo possível. Nesse ambiente de alta competitividade, as
informações assumem um papel extremamente importante
para o seu sucesso. Com a enorme quantidade de
informações que são geradas e disponibilizadas todos os dias,
são necessários critérios para sua seleção e organização.
Basta entrar na internet, fazer uma busca rápida por

novidades e centenas de sites com novas informações são
Uma consequência natural da importância da

informação é a extrema vulnerabilidade a que a empresa
se expõe caso haja perda de dados vitais, como plantas
de projetos, planilhas de custos, documentos contábeis,
financeiros, etc. Quanto maior for a organização maior
será sua dependência da informação.
apresentados para nós num piscar de olhos! Mas, no dia

seguinte, muitos destes sites já podem estar fora do ar
também... ou seja, empresas acabam falindo pelo excesso
de concorrentes ou pela sua ineficiência.
Como já falamos, dados e informações são coisas

diferentes. Informações são os dados transformados em
um conteúdo útil. As informações, para terem ou manterem
o seu valor, devem ter o mesmo significado para todos os
membros da organização. Um grande problema encontrado
nas empresas são dados distribuídos por diferentes sistemas.
Por exemplo, caso seja necessária a emissão de um relatório
com informações de um dado departamento, que estão
armazenadas num determinado sistema, cruzando com
os dados de um outro sistema, isso pode se tornar uma
A informação pode estar armazenada de várias formas:
tarefa de semanas. Mas, as decisões estratégicas devem ser
impressa em papel, armazenada em meios magnéticos e
tomadas em pouco tempo, pois o mercado movimenta-se
ópticos (discos, fitas, CDs, DVDs, pendrives, celulares),
rapidamente e é muito dinâmico, e qualquer atraso pode
gravadas em imagens fotográficas e em filmes. Não há
representar grandes prejuízos para uma empresa.
mais novidade em seu utilizarem os meios digitais, sejam
Turban (2009), ao definir a dificuldade e a deficiência eles locais ou “na nuvem”... é um caminho sem volta. Mas
em se obter informações nos ambientes corporativos, a informação pode estar armazenada, também, na mente
afirma que a TI- Tecnologia da Informação tem sido mais
das pessoas... o que é chamado de capital intelectual.
uma produtora de dados do que de informação, relegando
5
1.2 Evolução da Informação

Quando lidamos com segurança
da informação, é necessário pensar Caro aluno, vamos aqui buscar entender um pouco da
em sua confidencialidade, integridade evolução na linha do tempo da história da informação e/ou
e disponibilidade, utilizando todos os dos meios de comunicação. Desde tempos pré-históricos,
recursos disponíveis, e não somente os tecnológicos. cerca de 20000 anos antes de Cristo (AC), o homem já
Devemos tratar a informação como um ativo da
sentia necessidade de transmitir e perpetuar a informação
empresa com a mesma importância de qualquer
e usava pinturas nas pedras para expressar seu cotidiano.
outro bem material. Por isso, deve ser protegida
Em 3500 AC, registrou-se o primeiro sistema de linguagem
contra roubo, problemas ambientais, vandalismo e
escrita na Suméria.
dano acidental ou provocado.
A partir daí, várias civilizações desenvolveram seus
próprios métodos de registro e transmissão da informação,
Quanto mais interconectada for uma empresa, maior dentre eles podemos destacar:
será a complexidade dos sistemas por onde trafegam e
são armazenadas as informações e, consequentemente, • Os hieróglifos e o papiro no antigo Egito, em 3000 AC
maior será a preocupação, critérios e riscos com o • O ábaco dos Babilônios, em 1800 AC
nível de segurança a ser implantado a fim de garantir • Os primitivos livros chineses de bambu ou madeira
a confidencialidade, confiabilidade, disponibilidade e presos por cordas datados de 1300 AC
integridade da informação. • O processo chinês de fabricação de papel em 105 DC
• A fotografia em 1826
A Segurança da Informação trata do conjunto de • O telégrafo eletromagnético de Samuel Morse, em 1837
controles e processos que visam preservar e proteger • As primeiras transmissões de rádio em broadcast em 1917
os dados que trafegam ou são armazenados em • O primeiro computador digital em 1943
qualquer meio. As modernas tecnologias de transporte,
armazenamento e manipulação dos dados, trouxeram
enorme agilidade para as empresas. Mas, ao mesmo tempo, A história é longa e repleta de inventos marcantes e
as evoluções tecnológicas aumentaram exponencialmente revolucionários. Assim, sugerimos que você assista ao
a complexidade dos riscos de controle das informações. filme indicado abaixo.
Interessante navegar na história e ter uma ideia
Assista ao filme “Evolução dos

Meios de Comunicação”
http://youtu.be/JA-LaiIlWFE
Obs: no final do vídeo, a pessoa quis dizer “Enjoy

it” ou “Divirta-se”
Temas comuns nos dias atuais, como ataques de prazerosa de como a informação e os meios de comunicação
crackers, de engenharia social, vírus, worms, negação de evoluíram! Hoje vivemos, sem dúvida, um momento
serviço, espionagem eletrônica, são noticiadas a todo o de grandes mudanças, em que somos constantemente
momento e com isso, são registradas perdas irreparáveis surpreendidos e abarcados por modernas e complexas
para as organizações. tecnologias de transmissão e armazenamento digital de
dados, inimagináveis em anos atrás.
Diante deste cenário, definir e implementar um processo
de Segurança da Informação torna-se imprescindível para Mas o desafio real, desde os primórdios, como nos dias
as organizações, sejam elas do setor público ou privado. de hoje, ainda é conter as diversas ameaças à informação,
algumas das quais já são bastante conhecidas como
6
incêndios, saques, catástrofes naturais e deterioração dos Como resultado de uma abordagem mais estruturada
meios de armazenamento. de controles e com o objetivo de criar um processo padrão
de gestão da informação, surgiram várias propostas e
práticas de segurança em todo o mundo, algumas das
1.3 Ameaças à Informação quais destacaremos dessa disciplina.
À medida que a sociedade evoluiu, a preocupação com Um dos grandes trunfos da grande expansão dos
a Segurança da Informação, aumentou, principalmente no sistemas computacionais é, certamente, a enorme
quesito confidencialidade. Foram criados vários processos facilidade de compartilhamento de recursos e informações.
de cifragem da informação com a função de alterar o Os benefícios que a conectividade em rede, em especial
conteúdo das mensagens antes de seu envio. Ao capturar a internet, proporciona a toda a humanidade, dispensam
uma mensagem, o interceptador obtinha apenas um texto maiores comentários. Porém, essa conectividade pode
cifrado e não a mensagem original. Em tempos de guerra, expor os computadores e as redes como um todo a
este processo permitiu que segredos e estratégias fossem diversas ameaças.
trocados de forma segura entre aliados.
A partir da década de 1990, o boom da internet trouxe,
Citando um exemplo bem antigo ligado à guerra, o também, o boom dos ataques às redes de computadores.
imperador romano César já utilizava cifragem para a troca A segurança de dados deixou de ser apenas uma
de informações entre seus exércitos! Hoje temos tecnologias preocupação com a perda da informação devido a um
que se utilizam de mecanismos semelhantes, mas em um acidente com os meios de armazenamento ou a uma
nível de complexidade muito maior. Mas a história se repete. operação indevida do usuário.
O surgimento dos computadores e de sua interconexão Existe hoje a ameaça real de ataques via rede,
através de redes mundialmente distribuídas permitiu podendo haver roubo das informações, vandalismos que
maior capacidade de processamento e de distribuição das as destruam ou simplesmente técnicas de negação de
informações. Com essa capacidade de comunicação surgiu, serviço impedindo o acesso aos dados.
também, a necessidade da criação de mecanismos que
Outra grande fonte de ameaça é o ataque interno, esse
evitassem o acesso e a alteração indevida das informações.
muitas vezes até mais difícil de ser contido devido ao nível
Atualmente a criptografia e a esteganografia são de acesso e a proximidade que usuário tem à rede e aos
largamente utilizadas em diversas aplicações de seus recursos físicos.
transferência e armazenamento de dados.
Neste caso, como resolver o problema de permitir o
acesso a certas informações aos usuários autorizados e,
Esteganografia (do grego “escrita simultaneamente, como negar o acesso aos usuários não
escondida”) refere-se ao estudo e uso autorizados?
das técnicas para ocultar a existência
de uma mensagem dentro de outra. A
esteganografia é o ramo particular da criptologia
que consiste em fazer com que uma forma escrita
seja camuflada em outra a fim de mascarar o seu
verdadeiro sentido.
É importante ressaltar a diferença entre

criptografia e esteganografia. Enquanto a
criptografia oculta o significado da mensagem, a
esteganografia oculta a existência da mensagem.
Fonte: http://pt.wikipedia.org/wiki/Esteganografia
7
Essa questão remete a outra, o que precisa ser

protegido, contra quem e como? Exercícios do Capítulo 1
Nos tópicos seguintes de nosso estudo trataremos de 1) Nos últimos anos estamos presenciando o
crescimento de uma nova forma de comunicação e
temas importantes de controles e políticas de Segurança
relacionamento da sociedade chamada Redes Sociais.
da Informação para entendermos como reduzir riscos
As empresas vêm ensaiando dia a dia uma forma
diante de ameaças às informações.
eficiente de obter vantagem competitiva do uso das
redes sociais para seus negócios, uma vez que há
O nível de controle que devemos grandes oportunidades que devem ser avaliadas.
implementar deverá ser proporcional ao
valor do que se está protegendo. Ou seja, Como deve ser avaliada a viabilidade de
a implantação do sistema de Segurança da implementar um sistema de segurança da informação
Informação tem que apresentar um custo benefício que em uma empresa?
torne a tentativa de ataque tão cara que desestimule 2) A história da segurança da informação vem
o atacante, ao mesmo tempo em que ela seja mais desde o antigo Egito. A evolução do uso da informação
barata do que o valor da informação protegida. trouxe cada vez mais um grau de complexidade
Quando o valor do ativo que se está protegendo é maior a cada época. Qual o maior desafio desde os
tão alto que o dano causado ao mesmo é difícil de ser primórdios diante desse tema?
calculado, devemos assumir o valor da informação
como altíssimo, imensurável.
Videoaula: Segurança da Informação

Um exemplo a se analisar seria um receituário de - Parte 1 - Conceitos e Princípios
medicamentos para pacientes internados em um hospital.
http://www.youtube.com/watch?v=
Este sistema de informação lida com dados que podem
4smKTkeuxvg&feature=related
colocar em risco a vida humana caso a integridade dos
dados seja corrompida. Neste caso não temos como fazer
uma análise quantitativa do impacto, pois a vida humana é
tida como mais valiosa do que qualquer outro ativo.
Capítulo 2 - Políticas de
Segurança da Informação
Mesmo não se tratando de um valor imensurável, temos
ainda os ativos que são vitais para a empresa e aqueles
Uma política de Segurança da Informação visa
que podem levar a implicações legais. Quando estamos
prover uma orientação e apoio da direção para
lidando com a análise de valor destes bens, consideramos
a Segurança da Informação de acordo com os
que o dano aos mesmos pode resultar em grande perda
requisitos do negócio e com os controles, as leis
de credibilidade da empresa e até mesmo no posterior
e as regulamentações relevantes. Ou seja, ela
encerramento de suas atividades.
propõe uma política que sistematize um processo a
Neste contexto, a Segurança da Informação é a proteção fim de minimizar as preocupações da direção com
da informação em si, dos sistemas, da infraestrutura e dos a segurança de seus ativos. Nessa abordagem,
definir controles é o fator crítico desse processo.
serviços que a suporta contra acidentes, roubos e erros de
Neste capítulo, os aspectos básicos, conceitos
manipulação, minimizando os impactos dos incidentes de
e fundamentos da segurança da informação
segurança.
e os passos para a criação de uma política de
segurança serão apresentados e discutidos.
8
sistema) é quem ele realmente diz

2.1. Aspectos básicos da Segurança da
ser. Em uma rede, este desafio é
Informação ainda maior que em uma máquina
local. Na re de, o sistema deve ser
Antes de iniciar nosso estudo sobre política de
capaz de autenticar um usuário,
segurança, vamos considerar primeiro a tríade tradicional
mas também interceptar e eliminar
da segurança CID: Confidencialidade, Integridade e
ações de pessoas não autorizadas
Disponibilidade e entender melhor estes conceitos.
ou intrusas. Tipicamente, técnicas
de criptografia são utilizadas para
garantir a autenticidade das mensagens trocadas
entre pessoas autorizadas.
• Não repúdio: Se a autenticação prova que uma

entidade é quem ela diz ser, o não repúdio é a
incapacidade de uma entidade de negar a execução
de determinado ato. Ou seja, é a incapacidade de
um invasor alegar que não realizou determinada
ação. O objetivo é assegurar de que os remetentes
não possam negar terem emitido uma informação e
os receptores não possam negar de tê-las recebido.
• Autorização: Uma vez que um usuário tenha

sido autenticado, o sistema deve garantir que ele
• Confidencialidade: Confidencialidade é a não tenha acesso aos dados de outros usuários.
capacidade que um sistema tem de permitir que O sistema deve permitir também que apenas o
apenas a pessoa autorizada possa ter acesso a administrador do sistema possa instalar novos
determinadas informações, como a quantidade de módulos ou fazer manutenção do sistema. Note que
itens vendidos, o nível do estoque ou o número de a autorização é fornecida baseada na autenticação.
clientes, por exemplo. Isso faz com que módulos que implementam tais
• Integridade: Uma informação íntegra é aquela que características sejam comumente denominados de
é correta e verdadeira, não tendo sido corrompida ou módulos de Autenticação e Autorização, sendo esta
alterada de maneira ilegal. A política de segurança uma das partes da área de Controle de Acesso.
deve ser capaz de proteger a integridade das • Legalidade: O sistema deve estar de acordo
informações para evitar que haja uso indevido das com a legislação vigente. Segundo Lyra (2008),
mesmas. legalidade é a característica de um sistema estar
• Disponibilidade: Se as informações necessárias ao aderente a uma determinada lei, norma ou padrão.
andamento dos negócios da empresa não estiverem
disponíveis, certamente a empresa perderá dinheiro.
Assim, as informações devem estar disponíveis na
2.2. Itens que precisam ser protegidos
hora certa para as pessoas certas.
Todos estes mecanismos
Embora Confidencialidade, Integridade e Disponibilidade discutidos até agora precisam
sejam os três pilares da segurança de dados e sistemas, ser implementados na política
outros aspectos devem ser considerados na política de de segurança. Como podemos
segurança. Vamos entendê-los. então garantir que as políticas
irão produzir um sistema seguro?
• Autenticação: Autenticação é a capacidade de
Embora um sistema 100%
verificar que uma entidade (usuário, componente ou
seguro seja impossível de se
9
atingir, os conceitos e métodos que veremos nas próximas O risco que uma empresa corre, portanto, é a
seções e capítulos constituem as peças fundamentais para probabilidade de uma ameaça realmente explorar
a construção de um sistema seguro. uma vulnerabilidade em seu sistema e o impacto
que esta ação teria no negócio. O risco é, portanto,
Mas, o primeiro passo é identificar o que precisa ser
a cola que liga uma ameaça a uma vulnerabilidade
protegido. Como veremos ao longo de nosso estudo,
e a probabilidade de que tal cenário ocorra, além
em alguns casos podemos optar por simplesmente não
de definir o impacto provável decorrente desta
proteger determinada informação ou recurso. Isso ocorre,
ocorrência.
tipicamente, quando o custo de proteger é maior que o
custo da informação em si. • Exposição (Exposure): Para que o risco ocorra, é
necessário que uma vulnerabilidade esteja exposta. Na
Vejamos, então, o que precisa ser protegido.
medida em que se coloca um sistema não configurado
• Ativo (Asset): Segundo a norma ISO/IEC-13335-1 de forma correta em funcionamento, este está sendo
(2004), um ativo é “qualquer coisa que tenha valor exposto a uma vulnerabilidade (fragilidade) de para
para a organização”. Como vimos, hoje em dia, uma ameaça e correndo um risco.
informação é um dos mais importantes ativos de
• Contramedida (Countermeasure): Para evitar
uma empresa, podendo existir de diversas formas,
que um invasor abuse do sistema, são colocados
sendo estas não necessariamente em meio digital.
controles em prática para mitigar uma perda
Para qualquer empresa, todos os seus dados são
potencial. Uma contramedida pode ser uma
ativos valiosíssimos e a perda, comprometimento
configuração de software, um novo hardware ou
ou vazamento destas informações poderá trazer
um procedimento que elimina uma vulnerabilidade
prejuízos difíceis de serem calculados (como a
ou reduz a chance de um invasor explorá-la.
imagem da empresa ser manchada), além de ter
consequências legais. • Controle (Control): Segundo a ABNT NBR ISO/
IEC 27002 (2005), “um controle é uma forma de
• Ameaça (Threat): Usamos geralmente os
gerenciar o risco, incluindo políticas, procedimentos,
termos ameaça, risco e vulnerabilidade como
diretrizes, práticas ou estruturas organizacionais.”
sinônimos, mas na verdade cada um deles tem um
Por exemplo, pode-se implementar controles num
significado próprio e uma relação com os demais.
sistema para alertar quando um cliente realiza um
É importante que você entenda esta relação.
login vindo de um IP fora do Brasil.
Segundo Harris (2010), uma ameaça é qualquer
perigo potencial para uma informação ou sistema.
Uma ameaça é, portanto, quando alguém identifica 2.3. Principais Tipos de Incidentes
uma vulnerabilidade no sistema de e a explora de
alguma forma. Caro aluno, como especialistas na área de segurança,
devemos saber que os principais tipos de incidentes que
• Vulnerabilidade (Vulnerability):Segundo a ABNT uma empresa pode sofrer são:
NBR ISO/IEC 27002 (2005), uma vulnerabilidade
é uma fragilidade de um ativo ou grupo de ativos • Escuta não autorizada (Eavesdropping): A escuta
não autorizada se refere à monitoração indevida de
que pode ser explorada por uma ou mais ameaças.
trocas de mensagens. Normalmente requer que o
• Risco (Risk): Risco é invasor tenha acesso
a probabilidade de uma físico ao ambiente
ameaça explorar uma e empregue uma
vulnerabilidade e o ferramenta capaz de
seu impacto potencial. capturar e duplicar
as informações que
10
circulam pela rede. Esta captura normalmente é

2.4. Tipos de Atacantes e as Formas de
feita com o uso de um software específico, chamado
comumente de sniffer.
Proteção
• Impersonificação (Impersonation): Para realizar Não há um consenso
algumas ações maliciosas, um invasor pode tentar na literatura ou na
passar-se por um usuário autorizado pelo sistema. comunidade de segurança
A impersonificação é a capacidade deste invasor sobre a nomenclatura e
passar-se por alguém para usufruir dos privilégios classificação dos diversos
de acesso de outrem. tipos de atacantes
existentes. A lista abaixo
• Alteração indevida (Unauthorized Modification): apresenta a terminologia mais comumente aceita:
Visando tirar proveito próprio, um invasor pode
tentar alterar alguma informação de forma indevida. • White hat: é o “hacker do bem”, usa seus
É importante notar que o invasor tentará alterar conhecimentos de forma ética e não maliciosa. Tem
a informação quando ela estiver armazenada em autorização prévia para tentar invadir um sistema
algum meio (disco rígido, banco de dados, etc.) ou apenas como forma de aferir sua segurança.
quanto estiver em trânsito pela rede.
• Black hat: é o “hacker do mal”, também
• Invasão (Intrusion) : A invasão acontece se o conhecido como cracker ou phreacker (quando
atacante obtiver acesso não ao sistema, mas envolve telecomunicações). Este tipo de atacante
aos recursos que suportam este sistema, como normalmente invade sistemas para praticar crimes
servidores ou roteadores, por exemplo. Caso este ou vandalismo.
acesso permita ao
• Grey hat: atua ora como black hat e ora como
invasor um acesso
white hat. É comum que profissionais de Segurança
com direitos de
da Informação tenham algum envolvimento com
administração no
comunidades de black hats, buscando assim
recurso invadido ele
atualizar-se com as novidades da área.
poderá fazer o que
bem entender no • Blue hat: é um especialista preocupado em
sistema. divulgar as novidades e avanços da área.
Normalmente realiza palestras e estudos na área
• Negação de Serviço (Denial of Service - DoS):
e, algumas vezes, é responsável por realizar testes
Neste tipo de incidente o invasor não busca
em sistemas antes de seu lançamento.
comprometer os dados ou acesso ao sistema, mas
não permitir que usuários legítimos tenham acesso • Elite hacker: é um especialista reconhecido por
a ele. Embora não comprometa dados, este ataque sua excelência ou habilidade na área. É respeitado
prejudica a empresa, que pode estar deixando e admirado na comunidade em que participa.
de efetuar vendas, já que um usuário pode ficar
• Newbie, n00b ou Neophyte: é o calouro, o
impossibilitado de comprar, por exemplo.
hacker novato na área.
• Roubo de Informações (Information Theft):
• Script kiddie: é o atacante que utiliza ferramentas
Como o próprio nome diz, o roubo de informações
prontas e publicamente disponíveis. Normalmente
ocorre quando o invasor consegue acessar e copiar
não conhece a parte técnica nem entende direito
dados confidenciais do sistema.
qual a ação e as consequências de seus atos.
11
Para detectar, impedir ou mitigar os danos causados pelos mecanismo de segurança. Há duas vantagens
atacantes e invasores, a política de segurança pode usar nessa abordagem. Primeiro, nenhum mecanismo
uma ou mais das metodologias que serão listadas a seguir. fornece defesa contra todos os tipos de ameaças.
Segundo, dessa forma um mecanismo serve de
backup para outro. Por exemplo, exigir de um
• Monitoramento (Monitoring): É o processo
pelo qual o uso que usuários fazem do sistema usuário uma confirmação adicional ao seu login e
é observado, gerando-se registros (logs) dessa senha para confirmar uma compra é uma forma
utilização. Comportamentos considerados como de evitar que um invasor adquira itens em nome
atividades anormais para seus perfis geram deste usuário. Esta confirmação adicional pode ser
alertas e podem ocasionar mudanças na forma ou uma segunda senha, um código recebido por SMS
quantidade de registros gerados para estas ações. no celular cadastrado, o uso de um teclado virtual
Estes logs devem permitir a reconstrução da ação ou a confirmação de dados pessoais, como data de
que gerou o alerta e idealmente devem permitir nascimento ou nome da mãe, por exemplo.
o seu uso como evidências em um processo de
auditoria ou investigação. • Criptografia (Cryptography): É a arte de escrever
em código. A criptografia visa primariamente
• Segregação de Rede (Network Segregation and
impedir que um invasor consiga decifrar o conteúdo
Isolation): Se a empresa colocar todos os dados e
de determinada mensagem trocada entre usuários.
funções do seu sistema em um único servidor, o
A criptografia desempenha um papel fundamental
invasor terá apenas que conseguir acesso a esta
principalmente na transmissão de informações
máquina para obtê-los. Colocar “todos os ovos
entre sistemas. Além da confidencialidade, a
em uma mesma cesta” não é uma boa prática de
segurança. Para aumentar a segurança, devem-se criptografia pode ser utilizada para confirmar a
implementar mecanismos que isolem os dados e autenticidade e integridade de uma informação.
processos de um sistema de maneira a eliminar ou
minimizar a possibilidade de o comprometimento
de um afetar a segurança do outro.
• Detecção de Intrusão (Intrusion Detection): Um

sistema de detecção de intrusão, também chamado
de IDS- Intrusion Detection System, é um software
que realiza uma análise automatizada de eventos em
tempo real buscando detectar tentativas de intrusão.
• Testes de Vulnerabilidades e Invasão

(Vulnerability and Penetration Tests): São testes
realizados por profissionais, simulando o possível
comportamento de um atacante, para verificar • Abstração (Abstraction): Para facilitar seu
a real efetividade dos mecanismos existentes e gerenciamento, podem-se agrupar elementos
eventuais falhas nestes. similares. Assim, regras, restrições e controles
são aplicados ao grupo e não aos seus membros
• Política do Menor Privilégio (Least Privilege
Policy): Significa dar aos usuários do sistema individualmente.
apenas o que cada um necessita para realizar • Ocultamento de Dados (Data Hiding): Como o
plenamente suas atividades. próprio nome diz, a técnica consiste em se prevenir
• Defesa em Profundidade (Defense in Depth a exposição de determinados dados colocando-
ou Layering): Para dificultar as atividades os em um compartimento lógico inacessível ou
maliciosas deve-se usar mais de um mais de um invisível para um invasor.
12
• Ponto de Sufocamento (Choke Point): Esta problemas de memória ou cenários no qual não é
técnica consiste em obrigar todos os sistemas ou possível garantir a segurança do sistema, ele falha
todo o fluxo de rede a passar por um único ponto. de forma controlada, negando acesso a todos. Após
Neste ponto então, podem ser implementados isso, o sistema pode reiniciar, garantindo assim
diversos controles. Este ponto pode ser um firewall que a recuperação também se dê de forma segura
que é posicionado e isola o sistema de outras redes (também conhecido como Trusted Recovery).
(rede interna, Internet, etc.).
• Gerenciamento de Mudança (Change Control/

Management): Outro aspecto importante da
gestão de segurança é o controle das alterações,
mais conhecido como Gerenciamento de Mudança.
• Participação Universal (Universal Participation): A mudança é uma constante em praticamente
Assim como numa corrente, a segurança de um qualquer sistema. Mas, estas alterações podem
sistema é tão forte quanto a segurança de seu elo apresentar lacunas, sobreposições, falta de objetos, e
mais fraco. Participação universal quer dizer que todos mudanças que podem levar a novas vulnerabilidades.
os funcionários da empresa têm responsabilidade na A única maneira de manter a segurança em face da
segurança (e que o administrador tem que delegar mudança é geri-la de forma sistemática. Para isso,
parte destas responsabilidades para pessoas chave antes de realizar qualquer alteração, deve-se planejar
na empresa). Quer dizer ainda que Bob também é bem os passos, testá-los em um ambiente separado
responsável por esta segurança. e registrar as alterações realizadas. Além disso, deve-
• Simplicidade (Simplicity): Quanto mais simples se garantir que as alterações possam ser auditadas
o sistema, mais fácil para a equipe de segurança e que alterações nos controles e mecanismos de
entendê-lo. E quanto mais entendê-lo, mais fácil segurança estejam sendo gerenciadas.
será garantir que ele esteja seguro. Quanto mais Por último, o Gerenciamento de Mudança deve garantir
complexo o sistema, mais locais onde se esconder também que seja possível voltar o sistema a um estado
e mais pontos a explorar terão os invasores. anterior, caso necessário.
• Falhar de Forma Segura (Fail-Safe Stance):
Caso se consiga atacar o sistema e impactá-
2.5. Políticas de Segurança: um processo
lo de tal forma que ele acabe por se tornar
inoperante, o sistema deve falhar negando
de controle
acesso ao atacante. Desta forma, mesmo a Escrever uma política de
disponibilidade tendo sido afetada, a integridade segurança é uma tarefa muitas
e a confidencialidade permanecerão intactas. vezes difícil e deve contar com o
Um exemplo deste cenário é a tela azul do sistema envolvimento de várias pessoas,
operacional Windows. Quando o sistema operacional de vários departamentos. Isso
encontra estruturas de dados inconsistentes, não deve ser desanimador e
13
não se deve postergar o início dos trabalhos, em função 1. Definir o escopo da política
da fragilidade a que o negócio pode estar exposto.
Escreva o esboço do documento da política de segurança
Se necessário, para implementar e manter a política para sua organização. Esse documento deve ser genérico,
definida, pode ser utilizada uma consultoria especializada, possuir apenas suas ideias principais, sem preocupação
com conhecimento nos diversos aspectos da segurança com precisão. Escreva também uma justificativa para sua
dos bens de informação e das tecnologias que os apoiam. implantação, sempre com o foco nos negócios e riscos
a que a organização está sujeita caso não se implante a
Possuir uma política de Segurança da Informação
política de segurança da informação.
na organização é importantíssimo para o sucesso dos
negócios, melhor dizendo, para muitas organizações é 2. Apresentar para as pessoas chaves
fator critico para seu sucesso e sobrevivência.
Apresente seu esboço para a área de negócio, gerentes e
Para a criação de uma política de segurança da diretoria com o objetivo de angariar a confiança da iniciativa
informação deve haver uma área responsável que se e o engajamento da direção, que é fundamental para a
incumbirá de sua criação, implantação, revisão, atualização implantação da política. Uma vez que estas importantes
e designação de funções. Nessa área deve ser escolhido um pessoas estejam convencidas da importância da política,
gestor responsável pela análise e manutenção da política. você terá o próximo desafio que é a implantação. Não se
esqueça que, em algumas situações, somente com o apoio
Para garantir a aplicação eficaz da política, o ideal é
da diretoria será possível aplicar as políticas criadas.
que o alto escalão, como diretoria, gerentes e supervisores
façam parte dessa área, além de usuários, desenvolvedores, 3. Definir um Comitê de Segurança da Informação
auditores, especialistas em questões legais, recursos
Crie um comitê de política de segurança, que deverá ser
humanos, TI e gestão de riscos.
formado por pessoas interessadas na criação da política,
Os passos para a criação da política de segurança são: mas que devem ser de setores distintos na organização.
Com base em seu documento, o comitê deverá assumir as
seguintes atividades e funções:
1. Escrever as regras para a política e definir o

formato do comitê;
2. Definir atribuições, os papéis e responsabilidades;
3. Detalhar os procedimentos e as penalidades para
as violações da política;
4. Aprovar as políticas e processos estipuladas e as
alterações propostas.
2.6. Criação de uma Política de O comitê terá a função legisladora do processo. Porém,
Segurança continua sendo do gestor (no caso, você) a responsabilidade
pela aplicação da política. O comitê deverá se reunir
Caro aluno, os passos apresentados podem ser melhor periodicamente. As reuniões têm o objetivo de avaliar e
detalhados. Vamos descrever, de forma estruturada, aprimorar a política de segurança, os incidentes ocorridos
uma proposta para que você possa criar uma política de e as ações a serem tomadas para correção.
segurança respeitando uma série de etapas importantes
que no dia-a-dia das organizações é esquecido. Estas são O documento criado deverá ter uma linguagem simples
as etapas: a fim de que todos os usuários a entendam e possam

aplicá-la com facilidade. Assim, para que a política de
14
segurança da informação seja eficaz, o documento será 5. Garantir o controle da política

na verdade, um conjunto de políticas inter-relacionadas.
Trate a política e as emendas como regras absolutas com
A partir deste momento, você já terá em mãos um força de lei. Uma vez que a política já é do conhecimento
documento oficial que deverá ser aceito e aprovado pela de todos, não pode haver violações da mesma. Caso isso
direção. ocorra, devem ser previstos procedimentos que vão de
advertências a punições.
4. Divulgar os processo e políticas
As violações devem ser analisadas em suas causas,
Divulgue a política de segurança da informação. A
consequências e circunstâncias, a fim de sejam tomadas
política deve ser de conhecimento de todos e compreensível
as medidas preventivas e corretivas que alterem a política
para todos que interagem com a organização, sejam
para evitar nova situação de vulnerabilidade. Tudo deve ser
usuários internos ou externos. Deve sempre estar nas
documentado. Caso qualquer regra deixe de ser cumprida
mãos de quem vai utilizá-la.
e não houver um processo rígido de controle e punição, a
política perde sua credibilidade e força junto aos demais
colaboradores da organização.
6. Conscientização
Sugestões são sempre bem-vindas. Incentive que os

colaboradores proponham sugestões de melhorias. Todas
devem ser levadas em consideração. As pessoas que
estão na rotina do trabalho, são as que mais estão aptas
a levantar problemas de segurança na sua respectiva
área, ou mesmo provocá-los. Algumas sugestões podem
mostrar, também, que a política possui um rigor exagerado
em determinado item, o que pode tornar seu cumprimento
demasiadamente oneroso. Neste caso devemos analisar as
Porém, de nada vale colocar o documento inteiro nas críticas e estudar uma forma alterá-las ou criar tratamento
mãos de quem vai utilizar apenas uma parte. Por exemplo, de exceções para garantir o cumprimento dos processos.
um funcionário da limpeza precisa saber apenas como limpar Facilite o canal de comunicação para que as sugestões
um determinado equipamento preservando a integridade cheguem ao comitê. As sugestões pertinentes deverão
física do mesmo. Caso alguém veja um fio desencapado, virar emendas à política.
deve saber a quem avisar para solucionar o incidente.
7. Auditar e realizar revisões das políticas
A divulgação eficaz é aquela que atinge a pessoa certa
Realize reuniões periódicas para consolidar a política e
com a informação que ela precisa saber. As pessoas não
as emendas. Deverão participar todo o comitê de política
precisam ler toda a política de segurança, mas a parte
de segurança, a direção e os responsáveis com funções
que lhes interessa. Essa divulgação segmentada é fator
delegadas. O objetivo é realizar uma análise crítica
imprescindível para o sucesso da implantação da política.
da política de segurança vigente, das emendas e dos
É claro que isso não exclui a necessidade de divulgação de
incidentes relatados.
todo o documento caso alguém se interesse em lê-lo.Uma
forma prática de divulgação é a criação de um website na Esta avaliação poderá gerar um documento atualizado
intranet da empresa. Nele todas as informações sobre a que inclua todas as alterações. Neste ponto devemos
política devem ser bem redigidas e separadas em seções, considerar as sugestões levantadas no item 6 e todas as
facilitando o acesso a políticas gerais às quais todos devem alterações do ambiente desde a última reunião, para que
obedecer e a políticas específicas para cada setor. sirvam como base para o processo de revisão.
15
8. Implementar melhorias das revisões
Refaça o processo. O novo documento gerado no passo

7 deverá passar por todo o processo novamente, a fim de
que entre em vigor e seja do conhecimento de todos.
De forma mais estratégica, quando definimos uma

política de segurança estamos, acima de tudo, exercitando
o apetite da organização ao risco. Com isso, definir um
processo de controle através de uma política requer
atenção e alinhamento com a linha executiva da empresa,
os riscos e responsabilidades devem ser compartilhados,
como descrevemos no fluxo abaixo que dá uma visão mais
estratégica para o processo de criação de uma política.
Exercícios do Capítulo 2 autorizado pelo sistema. É a capacidade deste invasor

passar-se por alguém para usufruir dos privilégios de
1) Do que depende a implantação da política de
segurança? acesso de outrem.
E. Refere-se à monitoração indevida de trocas
2) Descreva os quatros primeiros passos para de mensagens. Normalmente requer que o invasor
criação de uma política de segurança.
tenha acesso físico ao ambiente e empregue uma
3) Associe os tipos de incidentes com sua descrição ferramenta capaz de capturar e duplicar as informações
e assinale a resposta correta. que circulam pela rede. Esta captura normalmente é
i- Eavesdropping ii- Impersonation iii- feita com o uso de um software específico, chamado
Unauthorized Modification iv- Intrusion comumente de sniffer.
v- Denial of Service vi- Information Theft F. A invasão acontece se o atacante obtiver
acesso não ao sistema, mas aos recursos que suportam
A. Ocorre quando o invasor consegue acessar e
este sistema, como servidores ou roteadores, por
copiar dados confidenciais do sistema.
exemplo. Caso este acesso permita ao invasor um
B. Um invasor pode tentar alterar alguma
acesso com direitos de administração no recurso
informação de forma indevida. É importante notar
invadido ele poderá fazer o que bem entender no
que o invasor tentará alterar a informação quando
sistema.
ela estiver armazenada em algum meio (disco rígido,
banco de dados, etc.) ou quanto estiver em trânsito
pela rede. a) i-E ii-C iii-A iv-B v-F vi-D
C. Neste tipo de incidente o invasor não busca b) i-F ii-C iii-B iv-E v-D vi-A
comprometer os dados ou acesso ao sistema, mas não
c) i-E ii-D iii-B iv-F v-C vi-A
permitir que usuários legítimos tenham acesso a ele.
D. Para realizar algumas ações maliciosas, d) i-A ii-E iii-F iv-C v-B vi-D
um invasor pode tentar passar-se por um usuário
16
Capítulo 3 - Gestão de Ativos
As informações de uma organização, base

de dados, manuais, software, etc, podem
ser identificadas como um ativo como tantos
outros tradicionais como imóveis, móveis,
equipamentos, etc. Neste capítulo estudaremos
os tipos de ativos de uma empresa, sua
classificação e as ferramentas que ajudam a
realizar o controle e gestão dos ativos.
Existem diversas ferramentas que nos auxiliam no
levantamento e controle dos ativos. A seguir destacamos
3.1. Classificação e Controle dos Ativos
algumas:
Os ativos de uma empresa possuem um valor e devem
• Sistemas de gerenciamento de redes:
ser classificados e valorados. Vamos ver quais são estes
Estes sistemas podem monitorar a existência
tipos de ativos e sua classificação.
e o estado de ativos da rede como servidores,
• Ativos de informação: referem-se à base de switches, roteadores, etc. Existem implementações
dados, contratos e acordos, documentação de proprietárias e um protocolo padrão específico
sistema e infra-estrutura, manuais, material de para realizar esta tarefa chamado SNMP - Simple
treinamento, procedimentos de suporte e operação, Network Manager Protocol ou Protocolo Simples de
planos de continuidade de negócio, etc; Gerenciamento de Rede. Com o SNMP é possível
criar quantos controles forem necessários, além dos
• Ativos de softwares: são os aplicativos, sistemas,
básicos, como uso de CPU, espaço em disco, etc.
ferramentas de desenvolvimento e utilitários;
• Sistemas de inventários de computadores:
• Ativos físicos: reúnem os equipamentos
São sistemas que realizam um levantamento de
computacionais, de comunicação, mídias
todos os computadores conectados à rede e a
removíveis;
relação de software e hardware existentes nestes.
• Serviços: englobam os serviços de computação, Estes sistemas são úteis para se identificar qual
comunicações, refrigeração, iluminação, o parque da empresa e quais ativos (softwares
eletricidade; licenciados ou gratuitos) e passivos (softwares
comerciais sem a devida licença) estão instalados
• Capital Intelectual: são as pessoas e suas nestes computadores. Estes softwares também são
qualificações, habilidades e experiências; úteis para avisar ao administrador quando houver
• Ativos intangíveis: referem-se à reputação e alguma alteração nos dados de inventário.
imagem da organização. • Sistemas operacionais de rede: Os sistemas
Para que os ativos sejam protegidos, é necessário que operacionais de rede possuem DACLs - Discretionary
possua um proprietário que seja uma pessoa ou entidade Access Control Lists (Listas de Controle de Acesso
autorizada a controlar o uso e a segurança dos ativos, Discricional) que através de um banco de dados
tornando-se o responsável pelos mesmos. central de contas de usuários fornece acesso aos
seus recursos (ativos de informação) somente
a quem efetivamente necessita deste acesso.
17
• Ferramentas de gerência de documentos: conhecer e cumprir essa política para uso dos recursos, a
Estas ferramentas servem como uma camada fim de não comprometer a empresa e ao próprio usuário.
adicional de proteção dos documentos limitando as
Exemplos de ativos que necessitam de cuidados
ações que os usuários autorizados podem realizar
especiais para seu uso são:
com os ativos de informação, por exemplo, um
usuário pode ler, mas não imprimir. Além de limitar • Internet: Dentro de uma organização os usuários
o acesso, estas ferramentas podem também manter utilizam um sistema de controle de uso da internet.
um registro das ações realizadas por cada usuário Qualquer ato realizado em qualquer computador
e das tentativas de executar ações não permitidas. dentro da empresa é registrado como proveniente do
endereço IP registrado da empresa. É importante que
• Sistemas de controle de backup: O backup
a empresa especifique e divulgue a todos os usuários
é uma cópia fiel dos ativos de informação mais
quais os tipos de acesso são permitidos ou proibidos,
importantes da organização. Por este motivo
de acordo com a lei e com a política de segurança
é desejável que se controle exatamente o que
corporativa, além de manter o registro adequado de
acontece com cada uma das mídias destinadas
todas as comunicações oriundas da empresa.
a este fim. Existem várias ferramentas capazes
de controlar as mídias, seu uso e as informações • Correio eletrônico: O correio eletrônico é
contidas em cada uma. uma ferramenta de comunicação que identifica
o funcionário e a empresa perante o mundo
• Ferramentas de gestão empresarial: Estas
como um nome e sobrenome separados pelo @
ferramentas controlam toda a gestão da empresa.
(lê-se “at” em inglês, que significa “em”). Esta
Uma boa ferramenta deste tipo é capaz de
ferramenta deve ser utilizada somente para uso
separar os proprietários para cada processo
profissional e nunca, em hipótese alguma, deverá
dentro da empresa. Para que se tenha um
ser utilizada em alguma ação suspeita, que poderá
controle efetivo dos ativos é essencial que cada
comprometer o usuário e a empresa, uma vez que
ativo de informação dentro de uma organização
está é a provedora do recurso que possibilita a
possua uma pessoa responsável: essa pessoa é
ligação com a internet. Existem ferramentas
denominada “proprietário do ativo”. Apesar de a
que monitoram conteúdo impróprio em correio
palavra proprietário expressar posse, o proprietário
eletrônico, mas o melhor e indispensável recurso
é apenas uma pessoa designada pela empresa
para responder pelo ativo e classificá-lo quanto à
sua necessidade de confidencialidade, integridade
e disponibilidade. Por estes motivos muitos
autores preferem chamá-lo de gestor do ativo.
Os proprietários são os responsáveis por cuidar da
manutenção dos ativos, e mesmo que parte deste
processo seja delegada pelo proprietário a um
terceiro, o mesmo continua sendo o responsável
primário pela proteção adequada dos ativos.
Além de ter um proprietário, os ativos da empresa é que todos os usuários conheçam e forneçam
possuem usuários. É importante que sejam criadas regras provas de que conhecem a política da empresa em
que comporão a política da empresa quanto a permissões relação ao uso deste recurso.
de uso de informações e de ativos associados aos recursos
• Estações de trabalho: A estação de trabalho do
de processamento das informações. Cada usuário deve
usuário, assim como sua mesa ou cadeira, pertence
18
exclusivamente à empresa e deve ser tratada como Cada informação dentro da empresa possui a
um recurso precioso, sujeito à política corporativa necessidade de estar disponível para uma pessoa ou
e às normas estabelecidas para seu uso. O mal equipe, ao mesmo tempo em que há a necessidade de um
uso de estações de trabalho podem impactar na controle que garanta que ela estará realmente disponível
produtividade do usuário, na manutenção da para os usuários legítimos.
confidencialidade dos dados por ele manipulados
A classificação deve levar em conta estas premissas
e na adequação da empresa às leis de direitos
e principalmente o impacto nos negócios pela quebra
autorais, dentre outros problemas.
na disponibilidade, integridade ou confidencialidade das
• Notebooks: Os dispositivos móveis circulam mesmas.
livremente para dentro e fora do perímetro da
Para alcançarmos este objetivo de forma eficaz é
empresa. É necessário que a empresa tenha uma
necessário definir categorias de informações que sejam
política bem definida de uso destes equipamentos,
bem objetivas quanto à criticidade de cada uma. Esta
que esta seja bem divulgada e conhecida por todos
classificação deve ser feita pelo proprietário (gestor) da
os usuários de dispositivos móveis. Sempre que
informação em um momento inicial e posteriormente,
possível esta política deve ser reforçada por peças
em prazos pré-definidos, quando a informação pode
de tecnologia uma vez que seu mau uso pode
ser reclassificada de acordo com os requisitos de
trazer ameaças aos dispositivos e a outros ativos
confidencialidade que ainda representa para a organização.
quando este retornar para dentro do perímetro de
proteção da empresa. Alguns ativos de informação
perdem totalmente o valor depois
de um determinado evento.
3.2. Classificação e Gestão dos Ativos de O vencedor de um Oscar, por
Informação exemplo, passa de um dos
segredos mais bem guardados do
Um dos maiores desafios da segurança da informação
mundo para uma informação de
é a necessidade de termos a informação íntegra, correta e
domínio público em questão de
ao mesmo tempo disponível somente para os usuários que
horas. Esta informação já poderia
realmente devem acessá-la. Não haveria muita dificuldade
ser classificada originalmente
em se proteger uma informação se ela não precisasse
como “Confidencial” até a noite
estar disponível somente para os usuários legítimos.
da entrega e “Desclassificada”
Uma vez que garantimos que a informação esteja após esta data.
disponível somente para os usuários autorizados, é
É de responsabilidade do
necessário garantir que eles façam o uso correto destas
proprietário do ativo, definir a
informações. Para alcançar este objetivo é necessário
sua classificação, analisando-o
que um processo eficiente de classificação da informação
conforme critérios estabelecidos.
seja estabelecido, garantindo que os usuários dos ativos
de informação conheçam a sua real importância para a Para que você execute este processo de classificação
corporação. de uma informação, siga os seguintes passos:
Outro aspecto relevante da informação é que ela não • Identifique quem é o proprietário da informação;
mantém o mesmo valor ao longo do tempo. Algumas • Especifique quais critérios serão utilizados para sua
tendem a se tornar públicas ou simplesmente não classificação;
interessar a mais ninguém. • Converse com o proprietário da informação — esta
deve ser enquadrada
• em alguma das categorias estipuladas;
19
• Indique qual o nível de segurança necessário para ser utilizados para classificar seus ativos de informação
proteger cada categoria; quanto à sua confidencialidade, não existindo uma
• Documente as exceções; forma única definida para tal. Uma vez definidos estes
• Crie rótulos para a informação impressa e digital; níveis, deve haver procedimentos para tratamento e
• Defina o método que será utilizado para transferir a manuseio.
custódia da informação;
• Requisitos de Integridade: Uma outra
• Indique um procedimento para a desclassificação da
classificação que se deve fazer dos ativos é quanto
informação;
à sua integridade. As necessidades de integridade
• Treine e conscientize os usuários.
podem ter vários níveis: baixo, médio, alto, crítico,
etc, de acordo com a necessidade da empresa.
• Requisitos de Disponibilidade: Pela ótica da

disponibilidade, a classificação da informação
acontece de acordo com a extensão do impacto que
sua falta ocasionará para a organização. Novamente
não temos categorias pré-definidas, mas podemos
classificar por intervalo de tempo (minutos, horas ou
dias) ou por categorias que correspondam a estes
intervalos (curto, médio, longo).
Leia o artigo de Carlos Santanna,

que é Security Officer, publicado em
No que se segue, vamos ver como faremos a classificação http://internativa.com.br/artigo_

de um ativo de informação segundo os requisitos de seguranca_02.html
confidencialidade, integridade e disponibilidade. “...vamos, através de uma análise de riscos
criteriosa, eleger os ativos de informação mais críticos
• Requisitos de
para sua organização, saber qual destes está mais
Confidencialidade: Conforme vimos
vulnerável no momento, e por consequência, precisa
anteriormente, os proprietários dos ativos são os
ser protegido mais emergencialmente e, finalmente,
responsáveis por atribuir as permissões de acesso aos também determinar onde serão empregados os
ativoserevisá-lasperiodicamenteparaassegurar-sequeo maiores recursos (lembrando sempre que as medidas
controlemaisapropriadosejaaplicadoàquelainformação. necessárias à contenção dos riscos inicialmente
Esta classificação deve garantir que o princípio de “least levantados deverão ser aplicadas seguindo a ordem de
privilege” seja aplicado, ou seja, cada usuário somente criticidade do impacto das perdas deste ativo para os
terá acesso ao que realmente necessita e as permissões negócios da companhia).”
conferidas a este serão somente as necessárias para a
execução de sua tarefa relacionada àquela informação.
A classificação dos ativos deve ser clara e objetiva, Exercícios do Capítulo 3
estando presente em todas as informações,
1) A informação por si só é um ativo para as
independente de seu meio de armazenamento. Os
organizações. No entanto todos os ativos possuem um
documentos eletrônicos confidenciais, por exemplo,
valor que vai além do monetário, mas existe um nível
devem conter dispositivos como mensagens de rodapé
de classificação importante para a organização. Cite
que garantam que a classificação da informação pelo menos três tipos de ativos e sua classificação.
sobreviverá à passagem da informação do meio digital
para o meio físico impresso. Cabe a cada empresa 2) Quais os passos que devemos tomar para
analisar quantos e quais níveis de classificação deverão classificar um Ativo?
20
É necessário que consideremos os usuários (funcionários,

Capítulo 4 - Segurança em
fornecedores e terceiros) em 3 momentos de sua vida
Recursos Humanos profissional na organização: antes da contratação, durante
a execução das suas funções profissionais e quando do
O processo de segurança da informação deve encerramento das suas atividades. Para esta última fase
contemplar a pessoa humana que é o recurso devemos considerar, também, situações de mudança
que faz efetivamente acontecer a proteção. de tipo de atividade que exigirá diferentes acessos à
A implementação de regras, regulamentos, informação.
políticas, normas, bem como o uso de
programas de proteção da informação, são Cada função profissional deve ter suas
ações importantes. Neste capítulo trataremos responsabilidades explicitamente definidas
da pessoa e dos procedimentos de segurança e de conhecimento das pessoas que vão
exercê-la. Antes da contratação o candidato
da informação a ela ligados, relacionando os
deve entender sua função profissional e concordar
cuidados na sua contratação, durante a sua
com o papel que vai desempenhar na organização.
atuação na empresa e no seu desligamento. As responsabilidades do cargo e suas características
devem estar definidas em um documento que descreve
as condições de contratação.
4.1. Garantia da Segurança da
Todo candidato a exercer uma função profissional
Informação para as Pessoas na organização deve ser analisado em relação à sua
capacidade de exercê-la, inclusive considerando:
Contemplar as pessoas na política de segurança da
características pessoais, alinhamento às regras,
informação, no entanto, é uma parte da solução. Essas
exercício da responsabilidade, experiência profissional,
ações conseguem construir apenas metade da ponte que tratamento adequado de informações de diferentes
nos leva à efetiva proteção. A parte restante, crucial, para níveis de confidencialidade e concordância com a
que a ponte cumpra o seu objetivo é construída quando política de segurança da organização.
as pessoas da organização (funcionários, prestadores de
serviço, executivos e acionistas) tornam-se conscientes
desse assunto. Neste processo de segurança, a atitude de 4.2. Cuidados na Contratação de Pessoas
cada pessoa é fundamental. De certa forma, o sucesso da
implantação da segurança depende da pessoa humana.
Quando da seleção da pessoa devem-se considerar

que todas as verificações obedeçam as leis vigentes, as
regulamentações e os princípios éticos. Essas verificações
Podemos ter os melhores esquemas e ferramentas, mas se
devem considerar o respeito à privacidade aos dados
não tivermos cada pessoa comprometida com a segurança
pessoais de quem será contratado.
da informação, a possibilidade de fracasso aumenta.
21
Em relação à análise das informações prestadas pelo Isto é, a pessoa precisa estar conscientizada sobre
candidato, devemos verificar: os processos, procedimentos e regras da segurança da
informação na empresa.
• Se as informações da experiência profissional estão
adequadas ao cargo/função; O processo que acontece quando as pessoas
• Se as informações prestadas são verdadeiras: dados
(funcionários, fornecedores e terceiros) deixam a
acadêmicos, documentos de identificação pessoal;
organização ou mudam o tipo de trabalho, deve acontecer
• A situação de crédito na praça e registros criminais.
de forma ordenada e controlada. As pessoas relacionadas
a esses procedimentos devem estar cientes da suas
responsabilidades.
A seleção deve ser feita por profissionais qualificados,

sejam da própria organização ou sejam prestadores de
serviço. Quando feito por terceiros é importante que exista O usuário que está saindo da organização ou muda o
um contrato para essa prestação de serviço que descreva a seu tipo de trabalho internamente deve conhecer as regras
responsabilidade desse prestador de serviço em relação ao relacionadas à segurança da informação nestas condições.
profissional que ele está selecionando para a organização.
As responsabilidades e ações em relação à segurança Leia o artigo de Maurício Renner

da informação devem estar destacadas na descrição que conta um pouco sobre como
as políticas de segurança na TI
das responsabilidades de cada função profissional. É
não estão sendo cumpridas pelas
importante que a pessoa formalize o conhecimento dessas
pessoas. Ele diz que os motivos que elas alegam
regras assinando um documento.
são diversos (contando até “esquecimento”).
Algumas dessas responsabilidades devem continuar Publicado em 14/12/2011
certo tempo após o término de relação profissional entre a Sete em cada dez profissionais admitiram
organização e a pessoa. violar políticas de TI com frequências variadas,
segundo um levantamento feito pela Cisco com
Durante o exercício das funções profissionais para a
2,8 mil universitários e jovens profissionais em 14
organização, precisamos garantir que a pessoa:
países, incluindo o Brasil. O levantamento Cisco
• Esteja consciente dos controles necessários para a Connected World Technology traz más notícias para
manutenção do nível adequado de segurança; os responsáveis pelas políticas de segurança de TI.
• Saiba quais são suas responsabilidades; Três em cada cinco profissionais (61%) afirmam não
• Apoie a política de segurança e demais regulamentos. serem responsáveis pela proteção de informações e
dispositivos, acreditando que o departamento de TI
e/ou provedores de serviços devem ser responsáveis
por isso. Já no Brasil, 50% dos entrevistados
acreditam ser responsáveis pela segurança de
informações e dispositivos.
22
catástrofes naturais, problemas com energia e

Exercícios do Capítulo 4 abastecimento, acesso indevido às instalações
da empresa, até falhas humanas.
1 ) Quais os cuidados que devemos ter durante
o processo de contratação de profissionais para a
empresa?
5.1. Segurança Física: Proteção de ativos
2) Defina se as afirmações são V-verdadeiras ou
F-falsas e assinale a resposta correta: A Segurança Física prevê proteção ao ambiente onde
estão hospedados os ativos da empresa, utilizando-se de
( ) O usuário que está saindo da organização recursos como trancas, guardas, alarmes, câmeras de
ou muda o seu tipo de trabalho internamente deve vigilância, entre outros.
conhecer as regras relacionadas à segurança da
informação nestas condições. A importância da Segurança Física é que uma vez
que esta esteja subjugada, podem-se contornar vários
( ) Nenhuma responsabilidade tem uma
controles de segurança lógicos, concedendo acesso direto
pessoa após o término da relação profissional entre
ao ativo. Um exemplo disso é que, mesmo com vários
a organização e a pessoa.
controles, como firewalls, antivírus, etc. uma pessoa má
( ) Quando a contratação é feita por intencionada pode, através do uso de disquetes, CDs
terceiros deve existir um contrato que descreva a e pendrives, reiniciar um servidor com outro sistema
responsabilidade desse prestador de serviço em operacional e ter acesso irrestrito aos dados.
relação ao profissional que ele está selecionando
para a organização. A disponibilidade e integridade dos dados são
facilmente destruídas caso se ultrapassem os dispositivos
( ) Todo candidato a exercer uma função
de segurança física.
profissional na organização deve ser analisado em
relação à sua capacidade de exercê-la, inclusive As seguintes ameaças podem comprometer o ambiente
considerando: características raciais e opções físico das organizações e são objetos dos controles de
sexuais, experiência profissional e concordância com
segurança física:
a política de segurança da organização.
• Naturais e do ambiente: Estas ameaças são de
a) V V F F
difícil controle quando ocorrem e não temos como
b) F F V V antecipá-las. Exemplos incluem tempestades,
c) FVFV erupções vulcânicas, furacões, tornados, incêndios
e enchentes. No Brasil não temos muitos efeitos
d) V F V F
naturais como em outros países, mas as chuvas
trazendo enchentes e o calor gerando incêndios em
nossas matas são preocupações para as quais o
profissional de segurança deve estar atento.
Capítulo 5 - Segurança Física
Com a evolução da computação, os ativos
de informação, que na época dos mainframes
estavam centralizados e faziam uso de uma
única sala com poucos acessos, se espalharam
pela empresa. Nos atuais ambientes distribuídos
e de computação móvel, a abrangência e
a demanda de proteção física do ambiente
aumentou significativamente. Neste capítulo
falaremos sobre como os ativos de informação
podem ser protegidos de ameaças físicas desde
23
• Sistemas de suprimento (utilidades): O ambiente de segurança física é disposto de forma

Correspondem aos elementos que fazem a operação a proteger a infraestrutura contra roubo, destruição e
funcionar e são essenciais em toda a infraestrutura acessos não autorizados, através da adoção de medidas e
física. Como exemplo temos energia, comunicação, controles que garantam a proteção dos diversos ambientes
encanamento. É importante que a disposição internos à organização.
desses elementos esteja protegida, pois ex istem
casos conhecidos de tratores que partiram fibras Quando tratamos a proteção de perímetro de segurança
óticas subterrâneas que ligavam prédios, ou um física, podemos estruturar o ambiente em diversas
cano estourar nas instalações que continham camadas, conforme mostramos a seguir:
equipamentos elétricos ou mesmo num datacenter.
A) Áreas exteriores das instalações: São as áreas
A energia elétrica deve ser sempre mensurada para
suportar o ambiente físico e elementos críticos em que se tem menos controle. Normalmente recomenda-
devem ter proteções adicionais. se o uso de cercas, portões de acesso e monitoração de

entrada do local até a área sob domínio da organização.
B) Fronteiras (áreas externas): São as áreas sob

responsabilidade da empresa, mas que não possuem ativos
a serem protegidos. São normalmente estacionamentos,
jardins e o uso de controles de vigilância armada e câmeras
de monitoração são suficientes.
C) Entradas das instalações: Incluem todos os locais

de acesso, como portas, janelas, escadas de incêndios e
outros acessos que podem não ser tão comuns mas que
permitem acesso à organização. Devem ter controles que
• Humanas: As diversas pessoas internas ou externas monitorem o acesso e sejam capazes de impedir o acesso
que tenham acesso direto ou indireto aos ativos indevido a uma destas entradas.
da empresa com o intuito de afetar os mesmos
estão incluídos em ameaças de origem humana. D) Andares e escritórios: São áreas de acesso aos
Como exemplo desses tipos de ameaças, temos: locais onde há dados sensíveis. Todas as pessoas, incluindo
sabotagens, armas ou agentes químicos, ataque funcionários, terceiros e visitantes devem estar identificados,
cracker. Motivações políticas: muitas vezes uma sendo que pelo menos os funcionários e terceiros devem
empresa pode, dependendo de sua posição no possuir foto. Os visitantes só poderão ter acesso às áreas
mercado, sofrer ameaças de terroristas ou competição de processamento e manipulação de dados acompanhados
acirrada. Isso aumenta com a sua presença no de um funcionário ou um
mercado global, com os produtos que fabrica e com terceiro identificado, que
suas posições político-econômicas. Por exemplo, seja responsável pelo
a empresa pode sofrer com ataques a bombas ou visitante. O acesso a
espionagem industrial, entre outros riscos.
estas áreas dependerá
também de uma
3.2. Ameaças à Segurança Física autorização de acesso
para o colaborador e
A melhor forma de identificar o grau de exposição da para seu convidado.
empresa às diversas ameaças à segurança física é através
E) Locais de trabalho e
da realização de uma análise de riscos.
processamento: São áreas onde
o recurso tecnológico propriamente dito reside, incluindo
computadores, fax, sistemas de comunicação, entre outros.
24
Esses ativos devem ser protegidos contra o acesso indevido,

3.3. Proteção contra as ameaças
além de roubo dos mesmos. O uso de travas nos racks dos
servidores, bem como cadeado para desktops, notebooks e Para garantir a proteção devem-se revisar periodica-
impressoras vem crescendo nas organizações. mente as instalações elétricas e hidráulicas, evitar
Conforme vimos anteriormente, todos os acessos devem que material de fácil combustão fique próximo a áreas
ser controlados e protegidos. Como forma de controle de protegidas, e garantir que os equipamentos de proteção
acesso às diversas áreas da organização devemos registrar como mangueiras e extintores de incêndio, estejam em
quem está acessando e o que pode ser acessado. local de fácil acesso e sejam revisados periodicamente.
• O acesso começa com a entrada na empresa.

Funcionários e terceiros devem estar sempre identificados
com o uso de documento com fotos. O acesso de terceiros
a áreas seguras deve ser monitorado.
• Os visitantes devem também ser identificados e
sempre acompanhados por uma pessoa responsável da
empresa, sempre que estiver em uma área não pública
(como recepções e salas de reunião). Uma área pública
pode conter diversas informações sensíveis em papéis de
rascunho, flip charts, etc.
• O acesso a áreas que contenham informações
sensíveis, como o datacenter, deve possuir controles Deve-se dar especial importância ao armazenamento
adicionais, desde autorização justificada, controles de mídias de backup nestes locais. O correto é que as
biométricos, até monitoração e auditoria. mesmas sejam removidas periodicamente para áreas
• Recomenda-se que os acessos sejam revisados distantes geograficamente e igualmente protegidas para
periodicamente para verificar se acessos não mais que sejam resgatadas em caso de perda de parte ou de
utilizados ainda estão presentes, bem como remover todo o banco de dados.
acessos indevidos.
Uma consideração importante a se fazer quanto ao
local de armazenamento das mídias de backup é que elas
Como vimos, várias são as origens das ameaças e possuem o conjunto das informações mais importantes
vários são os meios de ataque aos ativos de informação a para o negócio. Caso sejam interceptadas em seu
serem protegidos. Recomenda-se que seja dada especial transporte ou furtadas em seu local de armazenamento
atenção ao ambiente físico onde as informações estarão representam uma grande quebra de confidencialidade.
armazenadas, de forma a evitar que ele seja afetado por Como vimos, as áreas seguras devem ser protegidas
esses tipos de ameaças. ao máximo. A melhor forma de fazer isso é utilizarmos
o conceito de necessidade de conhecimento (need to
know). Ambientes considerados seguros não devem ser
identificados a fim de dificultar sua localização por quem
não é autorizado para estar lá. Somente aqueles que
precisarem de acesso aos mesmos devem conhecer sua
localização dentro da organização e quais os métodos de
acesso e mecanismos de proteção dos mesmos.
Na estruturação de um datacenter, podemos colocar

a área de operação em local separado dos equipamentos
que estão processando os dados. No caso de uma visita,
essa seria a única área do datacenter a ser apresentada
aos visitantes. Deve-se evitar e até proibir registros de
Fonte: http://www.videocontrolroom.com/home.php imagens (fotos e filmes) destes locais.
25
Manutenções em equipamentos, sistemas elétricos,

sistema de refrigeração ou qualquer outro sistema que
suporte a operação da empresa só poderão ser feitas após
a programação ser aprovada pelo responsável por TI e com
supervisão ininterrupta de algum colaborador da empresa.
Assim como temos vários controles lógicos de segurança

(normalmente chamados hardening ou fortalecimento)
durante a implementa-ção de equipamentos, também
temos que nos preocupar com controles físicos.
3.4. Instalação e proteção de

equipamentos
Quando abordamos as ameaças vimos que muitas delas
afetam as utilidades (facilities). Estas utilidades garantem
a operação dos equipamentos através do fornecimento de
energia e de outros componentes como fornecimento de
água (para refrigeração) e comunicação.
O fornecimento de energia é vital para a operação

dos equipamentos, bem como para o funcionamento de
outras utilidades como ar-condicionado. A interrupção
abrupta pode causar a perda dos dados que estavam
Esses controles começam com a disponibilização do sendo processados no momento da interrupção nos
equipamento. Deve ser evitado que os dados que estão equipamentos de computação.
sendo manipulados sejam facilmente visualizados pelo
público ou por transeuntes (mesmo que funcionários Para garantir o fornecimento de energia deve-se fazer
identificados) e que os dados de armazenamento fiquem uso de sistemas de UPS - Uninterruptible Power Supply
em locais protegidos. (Suprimento Ininterrupto de Energia) por um período
suficiente para continuar a operação até o desligamento
Os controles continuam com a disponibilização normal dos equipamentos. Para equipamentos que
de infraestrutura elétrica, cabeamento, refrigeração, não possam ficar parados, deve-se considerar o uso de
umidificação e todos aqueles que visem manter o ativo em geradores elétricos, que contemplem inclusive o sistema
perfeito funcionamento. de refrigeração do datacenter.
Controles para proteção de áreas seguras devem O fornecimento de água também é importante, pois
estar disponíveis para proteger os equipamentos, como abastece os sistemas de umidificação e refrigeração,
proteções elétricas e hidráulicas. Adicionalmente deve- como o ar-condicionado. O fornecimento de utilidades
se evitar o consumo de alimentos e fumo próximo aos deve ser monitorado continuamente e o não fornecimento
equipamentos a serem protegidos. ou fornecimento inadequado deve ser alertado (pode se
considerar o uso de alarmes).
Este trabalho é feito inicialmente pela política de
segurança e reforçado pela campanha de conscientização. Tanto o fornecimento de energia quanto a comunicação
Para equipamentos que processem dados sensíveis é dos dados (lembremos que hoje existem ambientes de
importante que tenham segurança física reforçada, como TI distribuídos e convergentes) são feitos normalmente
alojá-los em locais de difícil acesso e controlar esses através de cabos ou de comunicação em redes sem fio.
acessos, através de identificação e auditorias.
Todo o cabeamento deve ser, portanto, protegido quanto
à sua interrupção, devendo os cabos passarem por locais
26
protegidos fisicamente e recomenda-se que cheguem ao manutenção de equipamentos e nos casos de substituição,
datacenter pelo subterrâneo, longe do acesso público. devem-se tomar os mesmos passos para o descarte.
Os princípios de cabeamento estruturado exigem

distância entre os cabos lógicos (redes) e elétricos (energia)
para evitar que o campo magnético do cabo elétrico afete
a transmissão dos dados (nos caso dos cabos passarem
por campos elétricos deve-se usar fibra óptica que evita a
interferência elétrica).
Deve-se dar especial atenção aos cabos de comunicação

para evitar que não sejam usados para interceptação
não autorizada dos dados. Para tanto se deve fazer uso
de passagens protegidas por canaletas e/ou conduítes. Toda retirada de equipamento da organização deve
Periodicamente deve-se fazer uma inspeção física para ser feita de forma controlada e protegida, evitando-se
verificar se equipamentos espiões (chamados de traps) que equipamentos que contenham informações sensíveis
foram colocados irregularmente devendo os mesmos ser
sejam retirados da empresa sem a devida autorização.
removidos.
Muitas vezes a entrada e saída de equipamentos dentro
Quando o equipamento fica obsoleto o mesmo
da empresa não são devidamente controladas ou, por se
precisa ser descartado. No entanto esse descarte deve
tratar de pessoa conhecida, a saída do mesmo é permitida.
ser feito com as preocupações devidas com segurança
Para que os equipamentos possam sair da empresa devem
da informação. A principal é a de remoção completa das
informações armazenadas em discos. possuir autorização específica que deverá ser dada por
pessoas claramente identificadas e que essa identificação
Atualmente uma série de técnicas para recuperação seja pública.
de dados, mesmo em discos defeituosos está crescendo
aceleradamente. Isso foi particularmente útil no caso do Como forma adicional de controle, pode-se estabelecer
famoso desastre de 11 de setembro de 2000 em New York, limites para período de saída de equipamentos além do
quando muitas informações foram recuperadas, mas pode registro do mesmo quando da sua saída e de seu retorno.
ser perigoso quando dados são recuperados com o intuito
de usar a informação para fins ilícitos, como espionagem
industrial. Exercícios do Capítulo 5
1) Qual o papel da Segurança Física dentro da

Leia sobre notícias ligadas Segurança da Informação?
à Segurança da Informação da
2) Cite pelo menos três camadas de estruturação
revista Info Exame online:
que a Segurança Física deve proteger dentro do seu
http://info.abril.com.br/noticias/seguranca/11-de- perímetro.
setembro-pode-gerar-golpes-online-09092011-24.shl
3) Defina se as afirmações são V-verdadeiras ou
F-falsas e assinale a resposta correta:
Dependendo do grau de sensibilidade dos dados, os ( ) Toda retirada de equipamento da organização

dispositivos de armazenamento devem ser completamente deve ser feita de forma controlada e protegida,
des-truídos de forma controlada. Outra situa-ção é no caso evitando-se que equipamentos que contenham
de falha de equipamentos. Deve ser avaliado se os mesmos informações sensíveis sejam retirados da empresa
devem ser recuperados ou substituídos. Nos casos de sem a devida autorização, mesmo por funcionários
recuperação devem-se seguir os mesmos passos usados na graduados.
27
( ) Todo o cabeamento deve ser protegido quanto

6.1. Segurança Operacional: processo
à sua interrupção, devendo os cabos passarem por contínuo
locais protegidos fisicamente e recomenda-se que
cheguem ao datacenter pelo subterrâneo, longe do Segurança Operacional é o processo usado para
acesso público. desenvolver controles e políticas sobre hardware, software,
mídias, operações de recursos e definir a auditoria e o
( ) Quando um equipamento fica obsoleto o monitoramento dos processos para garantir proteção e
mesmo precisa ser descartado. O mais indicado é
controles das ameaças e vulnerabilidades mapeadas.
doá-lo a instituições de caridade ou apenas jogá-lo
no lixo.
( ) A tecnologia de cabeamento atual dispensa

a inspeção física para verificar se equipamentos
espiões (traps) foram colocados irregularmente, pois
estão devidamente protegidos deste tipo de ataque.
( ) Atualmente há uma série de técnicas A gestão operacional visa assegurar o sucesso das
para recuperação de dados em discos, isso foi
operações dos recursos de processamento da informação,
particularmente útil no caso do desastre de 11 de
reduzindo os riscos do mau uso ou uso doloso dos
setembro de 2000 em New York, quando muitas
sistemas. Nada mais reconfortante para um ambiente
informações foram recuperadas.
organizacional, do que ter em mãos documentos com
a) V V F F F procedimentos operacionais detalhados de ações a serem
tomadas nas mais diversas situações (como inicializar
b) F F V V V
e desligar computadores, gerar cópias de segurança,
c) VVFFV manutenção de equipamentos, tratamento de mídias,
segurança e gestão do tratamento das correspondências
d) V F V F F
e dos ambientes de computadores). Isso demanda um
trabalho rigoroso de anotação de rotinas para posterior
documentação das mesmas. Também devem ser previstas
Capítulo 6 - Segurança situações não rotineiras, bem como emergenciais.
Operacional
Assista ao filme sobre Segurança
Operacional na Aviação:
Gerenciar recursos de processamento de
informações é um conjunto de tarefas que http://youtu.be/9fA0eg_atMU
demanda critério de manuseio e responsabilidades
Caso ache interessante, leia mais sobre o tema em:
bem definidas. Como não se pode prever tudo,
devemos ao menos prever o óbvio de todas as h tt p : / / w w w 2 . a n a c . g ov. b r / S G S O 2 / O s % 2 0
situações e o improvável em alguns casos. Dessa quatro%20componentes%20do%20SGSO.asp
forma, os riscos poderão ser minimizados a níveis
até melhores do que o tolerável. Neste capítulo
serão apresentadas as diretrizes a serem adotadas Relatar todas as situações possíveis pode parecer um
a fim de estabelecer e documentar procedimentos procedimento enfadonho, e realmente o é. Porém, sua
e responsabilidades pela gestão operacional dos
execução pode ser muito facilitada caso se possa contar
recursos de processamento da informação, bem
com o auxílio de todos os que estão diretamente ligados a
como a importância da separação de funções e
cada atividade.
áreas de responsabilidade.
28
Basta solicitar que cada um descreva suas atividades Outro cuidado importante, é que o acesso a cada
diárias ligadas ao trato com os recursos de processamento ambiente seja feito apenas por pessoas destinadas a
da informação. É importante, também, pedir para trabalhar em cada área. Assim, o ambiente de produção
descreverem as atividades que porventura tenham fugido deverá ser acessado apenas por pessoal de produção,
da rotina, e aquelas as quais nunca ocorreram, mas que enquanto os ambientes de desenvolvimento e teste só
acreditam que um dia poderá ser um fato, ainda que
poderão ser acessados por pessoal das áreas respectivas.
uma única vez. Com esses dados em mãos, comece a
documentar as atividades, tendo em mente que a pessoa
que lerá esse documento, o fará pela primeira vez.
Comece com as atividades rotineiras e crie os

procedimentos detalhados de cada tarefa, já incorporando
na documentação alguma modificação ao modo como são
feitas, caso ache necessário. Em seguida trate as situações
menos óbvias.
O detalhamento de procedimentos de segurança de

operação pode ser visto no quadro:
É importante que todas as pessoas envolvidas

respeitem as políticas de acesso à informação e aos dados
e observem as regras:
• Gestão de Release: Devem ser definidas e

documentadas regras claras para transferência de
softwares da situação de “desenvolvimento” para a de
“produção”. Essa transferência deve ser acompanhada
de processos de gestão de mudanças (notadamente as
práticas propostas pela ITIL – Information Technology
Infrastructure Library), onde são previstos processos de
recuperação em caso de falhas.
6.2. Separação de Ambientes: Produção, • Segregação de Ambientes: A separação de
Desenvolvimento e Testes ambientes deve ser feita através da utilização de um
ambiente de desenvolvimento independente do ambiente
Com o objetivo de reduzir os riscos de acessos ou de produção, porém, com a mesma configuração de
modificações não autorizadas aos sistemas operacionais, é hardware e software. Assim, o software em desenvolvimento
necessário separar os recursos de desenvolvimento, testes terá uma simulação do ambiente de produção, ao mesmo
e produção. Esses três ambientes deverão ter recursos de tempo em que protege os sistemas de produção contra
hardware e software semelhantes. mau funcionamento de sistemas, inclusão de códigos
maliciosos, modificação de arquivos ou sistemas.
• Plano de Testes: Para garantir a separação dos
Os dados reais, necessários para a
ambientes, é imprescindível que os usuários envolvidos
execução dos serviços da organização,
em desenvolvimento e testes, tenham perfis de acesso
armazenados em arquivos e bancos de
diferentes para ambientes de teste e produção, e que
dados, somente existirão no ambiente de produção,
todas as ações sejam registradas.
enquanto dados fictícios existirão nos ambientes de
• Controle de ferramentas de desenvolvimento:
desenvolvimento e teste. Esta precaução evitará que As ferramentas de desenvolvimento, como compiladores e
os dados reais sejam danificados ou apagados em editores, não devem ser acessíveis a partir do ambiente do
processos de desenvolvimento e teste. sistema operacional de produção.
29
• Controle dos ambientes: Os ambientes de teste e manter o nível apropriado de segurança e de entrega de
devem trabalhar com dados que não sejam sensíveis à serviços em consonância com os acordos de entrega de
organização, a fim de garantir a confidencialidade destes. serviços terceirizados.
É importante que os contratos tenham descrição clara

As considerações acima devem ser acompanhadas de cada serviço a ser entregue, seus objetivos e níveis de
de rígido controle, com regras claras que podem ser qualidade de serviço, com critérios de precisão e prazos.
acompanhadas inclusive de punições em caso de violação.
6.3. Terceirização (outsourcing)

6.4. Cópias de Segurança (Backup)
Terceirizar é um processo de gestão pelo qual se
Efetuar cópias de segurança (backup) é uma medida
repassam algumas atividades para terceiros, com os quais
que visa possibilitar a recuperação de informações em
se estabelece uma relação de parceria, ficando a empresa
caso de perda física dos dados originais devido a acidentes,
concentrada apenas em tarefas essencialmente ligadas ao
garantindo assim a disponibilidade dos dados.
negócio em que atua.
A política de backup deve conter os procedimentos e
Esse conceito tem sido aplicado em diversas empresas a infraestrutura necessários à proteção de todo o acervo
para redução dos custos de serviços diversos, inclusive de dados da organização, possibilitando a continuidade de
de tecnologia, como operação, desenvolvimento, suporte suas atividades.
a usuários, ou mesmo na própria área de segurança da
informação. Porém, questões de segurança envolvidas no
processo de contratação de serviços de terceiros, requerem
cuidados para não expor a organização, uma vez que suas
informações estarão acessíveis a uma parte externa.
Contratar um serviço de terceirização ou outsourcing,

requer uma avaliação profunda da empresa a ser
contratada, observando, por exemplo, seu histórico,
o tempo de atuação no mercado, referências de outros
clientes que a contrataram, a qualidade do serviço prestado Devem ser definidos quais dados e sistemas devem
e a qualificação dos profissionais. ser copiados, e com que frequência. Devem ser tomadas
Além disso, mesmo com a terceirização, as organizações várias medidas de como fazer cópias de segurança para
continuam com uma gerência do processo. a eficiência do processo. Dentre elas podemos destacar:
• O acesso físico aos dados copiados deve ser protegido

contra destruição física e contra acessos não autorizados;
• Configurações de sistemas devem ser guardadas
separadamente;
• Execução de cópias de segurança deve ser periódica
e com agendamentos a serem seguidos rigorosamente;
• Todos os backups devem ser identificados quanto ao
seu conteúdo e data de atualização;
• Determinar quem tem os privilégios de execução de
backup e recuperação (restore) dos dados;
As práticas de mercado tratam sobre o gerenciamento • Determinar quem pode enviar ou requisitar cópias de
de serviços terceirizados, com o objetivo de implementar segurança fora do local;
30
• É extremamente recomendável que haja duas cópias c) Devem ser implementados controles para proteção
de segurança: uma no local próximo ao equipamento e da confidencialidade e integridade dos dados trafegando
outra no local físico protegido e diferente do original. Essa sobre redes públicas e sem fio, bem como aos sistemas
medida irá garantir que, caso haja uma catástrofe, ainda e aplicações a elas conectadas. Esse quesito passa pela
será possível conseguir recuperar os dados; implantação de medidas de segurança como criptografia e
• Deve-se testar periodicamente se as cópias de VPNs – Virtual Private Networks ou Redes Virtuais Privadas.
segurança são utilizáveis, ou seja, se não se deterioraram;
d) Além de possuir meios para intimidar possíveis
• Criar procedimentos para recuperação de cópias de
ataques, é imprescindível que a rede também disponha de
segurança no menor tempo possível.
meios para detectar os ataques. Portanto, mecanismos de
registro e monitoração devem ser aplicados para que haja
6.5. Segurança de Dados em Redes a gravação das ações relevantes de segurança.
Uma rede segura deve ser protegida contra códigos e) Devem ser registrados todos os eventos possíveis,
maliciosos e ataques inadvertidos e deve, ao mesmo tempo, permitindo analisar o que aconteceu e compreender o
estar em sintonia com os requerimentos do negócio. Cabe que estava ocorrendo em um determinado momento. Mas
aos gestores de segurança implementar os controles a fim esses registros em si devem ser protegidos dos atacantes,
de garantir a segurança dos dados em rede, bem como a para evitar que sejam alterados e para evitar o acesso aos
proteção dos serviços disponibilizados contra acessos não próprios registros:
autorizados. • os registros devem ser criptografados;
• os registros devem ser armazenados somente para
Para que uma rede possa ter um bom nível de
leitura;
segurança da informação, bem como seus serviços serem
• os registros devem ser armazenados em vários lugares.
protegidos, é essencial a implementação de controles que
evitem acessos não autorizados. Várias medidas podem
ser tomadas para a efetivação desses controles. Devem f) Deve haver uma coordenação entre as atividades
ser considerados os seguintes aspectos: de gerenciamento, a fim de otimizar os serviços e
assegurar que os controles estejam aplicados sobre toda a
a) Para minimizar os riscos de uso acidental ou mau uso infraestrutura de processamento da informação.
deliberado dos sistemas, a responsabilidade operacional
pelas redes deve ser separada da operação dos recursos O controle de acesso aos dados e informações das
redes devem ser implementados. Várias técnicas podem
computacionais.
ser empregadas a fim de se obter segurança de acesso aos
b) Devem ser estabelecidas as responsabilidades e serviços de redes, tais como:
procedimentos sobre o gerenciamento de equipamentos
• Autenticação de usuários: através de senhas
remotos, incluindo equipamentos em áreas de usuários.
específicas os usuários autorizados ganham acesso à rede.
Porém, como hoje as redes estão interconectadas e um
usuário pode se logar remotamente à rede, sua senha
é utilizada diversas vezes. Os riscos inerentes à captura
dessa senha, que é enviada em forma de texto pleno,
através de varreduras de pacotes (packet snnifers), tornam
necessária a utilização de novos meios de autenticação,
como PGP ou dispositivos baseados em tokens, apenas
para citar alguns.
• Confidencialidade: para proteger a informação
contra leituras não autorizadas, é recomen-dável a
utilização de mecanismos como criptografia dos dados,
31
permitindo ao adminis-trador o controle de quem no • Monitoramento do uso do sistema: De posse

sistema poderá acessar e “ver” o conteúdo dos arquivos. dos registros de auditoria, deve-se proceder à
análise dos mesmos. De nada adianta coletar dados
sem analisá-los e emitir conclusões. Um sistema de
monitoramento serve aos propósitos de detecção de
tentativas de ataques. Os registros mostrarão várias
dessas tentativas. O nível de monitoramento dos
recursos deve ser determinado através da analise/
avaliação dos riscos. Para a análise dos registros,
consiste na procura por padrões nos registros. Logo
se chegará à conclusão que o sistema de registros
oferece uma compreensão sobre a rede.
• Autorização: refere-se ao processo de garantir Exercícios do Capítulo 6

privilégios para os processos e usuários. É diferente da
1) Cite pelo menos três procedimentos do
autenticação, pois esta identifica o usuário.
processo de Segurança Operacional deve executar.
• Controle de mídias: Para garantir a continuidade
dos negócios sem interrupções, é imprescindível que os 2) Porque devemos ter os ambientes de Produção,
dados estejam sempre disponíveis a despeito de qualquer Teste e Desenvolvimento segregados do ponto de
imprevisto. Para isso é necessário que as mídias sejam vista lógico e físico?
controladas e protegidas fisicamente. Diversos mecanismos 3) Temos vários procedimentos e técnicas que
e procedimentos podem ser implementados para que cópias podemos utilizar para garantir um nível de segurança
de mídias estejam disponíveis quando necessário. Também adequado para segurança de acesso aos serviços de
deve haver cuidados quanto ao descarte de mídias, pois os redes. Cite pelo menos três técnicas para segurança
dados nela contidos poderão ser acessados se estiverem de serviços de rede.
em bom estado após se desfazer da mídia.
• Registros de auditoria: Os registros de auditoria
contêm as atividades dos usuários, exceções e outros
eventos de segurança de informação. É mais fácil
Capítulo 7 - Controle de Acessos
descobrir ataques e atacantes pela análise de registros do
que detectá-los no momento do ataque. Para se conseguir Os controles de acesso têm o objetivo de
uma boa amostragem de dados capaz de denunciar proteger equipamentos, aplicações, arquivos e
um ataque, deve ser registrado qualquer evento que dados contra perda, modificação ou divulgação
identifique padrões comuns e não tão comuns de ataques. não autorizada. Diferente, porém, de outros tipos
Informações para registros incluem: de recursos, os sistemas computacionais não
• Identificação de usuários; podem ser facilmente controlados por dispositivos
• Datas e horários dos eventos; físicos (alarmes, cadeados, etc...). Neste capítulo
• Identidade do terminal; falaremos sobre os modos de controle de acesso,
• Registros de tentativas de acesso aceitas e definição de privilégios de acesso, tecnologias
rejeitadas; associadas e seu gerenciamento.
• Alteração de configuração de sistema;
• Uso de privilégios;
• Uso de aplicações, utilitários e recursos;
7.1. Controle de acesso
• Arquivos acessados e tipo de acesso;
Os controles de acesso são um conjunto de
• Endereço e protocolos de rede;
• Alarmes disparados pelo sistema de controle de procedimentos e medidas com o objetivo de proteger
acesso; dados, programas e sistemas contra tentativas de acesso
• Ativação e desativação dos sistemas de proteção não autorizadas feitas por pessoas ou outros programas.
(antivírus e sistemas de detecção de intrusos).
32
Também é importante que o responsável pela política

de controle de acesso, realize periodicamente uma análise
O controle de acesso pode ser escolhido a partir do
crítica dos direitos e privilégios dos usuários.
recurso computacional que se quer proteger e a partir do
usuário a quem serão concedidos privilégios e acessos aos
recursos. 7.2. Gerenciamento de acesso do
O controle de acesso aos recursos de informação é usuário
uma das principais tarefas do administrador de uma rede.
O gerenciamento de acesso do usuário visa garantir
Através deste controle é possível determinar quais recursos
o acesso dos usuários onde os gestores da informação
podem ser acessados por determinados usuários e que
definiram, ao mesmo tempo em que se previne o acesso não-
tipo de acesso pode ser realizado. Através de auditoria,
autorizado a recursos onde o usuário não possui privilégios.
também é possível determinar que tipo de acesso foi
realizado a um recurso, por quem e quando. Procedimentos devem ser criados para o controle da
distribuição de direitos de acesso a sistemas de informação,
Para executar essa função com critério, regras de
bem como a acessos de usuários. Estes procedimentos
controle de acesso devem ser criadas baseadas nas
deverão abordar desde a concessão inicial de acesso a um
políticas de autorização e divulgação da informação.
novo usuário, passando por análises periódicas ao longo
A restrição do acesso às informações deve estar em do tempo de permanência do usuário na organização, até
consonância com os requisitos de negócio. Isso requer fechar com o desligamento do usuário, quando todos os
que uma política de controle de acesso seja formalizada, direitos de acesso e privilégios deverão ser revogados.
levando-se em conta:
A identificação e autenticação de um usuário (confirmação
• Os requisitos de segurança das aplicações do negócio; de que o usuário é quem diz ser) são feitas normalmente
• A identificação de todas as informações referentes às através de um identificador de usuário (ID ou login name) e
aplicações; uma senha durante o processo de logon no sistema.
• A consistência entre controle de acesso e políticas de
classificação da informação;
• A legislação aplicável e obrigações contratuais;
• A administração de direitos de acesso e remoção dos
mesmos.
Para a implantação de controles de acesso, devem ser
criadas regras que sejam compatíveis com as políticas de
autorização, lembrando da premissa de que tudo deve ser
proibido a menos que seja expressamente permitido.
33
Com os avanços Os privilégios, ou direitos de acesso a um recurso, são

tecnológicos temos cada armazenados com o próprio recurso formando uma lista
vez mais a presença de controle de acesso. Neste método, o recurso guarda o
de um segundo fator ID do usuário que pode acessá-lo e também a informação
de autenticação neste sobre quais tipos de acesso este usuário pode realizar.
processo, este fator pode A concessão de privilégios é prerrogativa do responsável

ser algo que o usuário pela rede e do responsável pela segurança da informação
possui (token, smart na organização. Ao conceder privilégios é recomendável
card,etc) ou algo que ele é que se utilize um processo formal de autorização, em que
(impressão digital, íris, voz, etc.). deve ser levado em conta que:
A fim de padronizar e facilitar o gerenciamento de acesso • Os privilégios devem ser concedidos apenas se
do usuário deve ser criado um procedimento formal de registro houver necessidade, e desde que não estejam ferindo a
e cancelamento de um usuário (registro e cancelamento de política de segurança;
seu ID e senha) para garantir e revogar acessos a que ele • As listas de controles de acesso devem ser feitas pelo
tem direito em todos os sistemas e serviços. proprietário (gestor) do recurso, o qual determinará o tipo
de proteção adequada a cada recurso e quem terá acesso
Os procedimentos de controle devem incluir: a eles;
• Deve ser criado um processo de autorização e um
• A verificação da autorização do proprietário do
registro de todos os privilégios concedidos.
sistema para o uso do sistema de informação ou serviço;
• Confirmação através de documento escrito de que o
usuário está ciente das condições de acesso; Após a identificação do usuário
• Remoção ou modificação dos direitos de acesso a através de seu ID, o mesmo deve
usuários que mudaram de funções ou se desligaram da ser autenticado a fim de que
organização; o sistema possa conferir se o
• Cuidados para que não haja IDs redundantes. usuário é quem realmente diz ser.
Conforme dito anteriormente,

O fato de o usuário ter sido identificado e autenticado isso é feito através de algo que
significa apenas que ele é reconhecido pelo sistema como só ele saiba, seja ou possua. A
um usuário previamente cadastrado, isso não significa que solicitação de uma senha é o
ele poderá ter acesso a qualquer informação ou recurso meio mais comum de autenticação de um usuário, porém
sem restrições. existem outros métodos baseados nas características
biométricas da pessoa (íris, retina, reconhecimento de
Deve ser implementado controle específico através de
voz, de face ou impressão digital) ou em algo que este
concessão de privilégios que limitem o acesso do usuário,
possua (cartões, crachás e tokens).
apenas ao que realmente lhe é necessário para a condução
de seu trabalho, a fim de que possa desempenhar suas Qualquer que seja o método empregado, esse requer
funções. um gerenciamento formal que controle a concessão das
IDs, considerando os seguintes requisitos:
A concessão de privilégios de acesso pode ser feita com
foco no usuário ou no recurso, dependendo da forma de • Assinatura do usuário em um documento
funcionamento do sistema. comprometendo-se a manter confidencialidade de sua
senha;
Os privilégios de usuário são atributos associados a um
• Fornecer IDs temporários e únicos que obriguem o
usuário, que definem quais recursos ele poderá acessar
usuário a alterá-las quando do primeiro acesso;
e o que ele pode ou não fazer com esses recursos (ler,
• Utilizar meios seguros para informar a senha ao
alterar, etc.).
usuário;
34
• Prover uma forma segura de armazenar senhas no Ao escolher uma senha, o usuário deverá lembrar-se de:
computador;
• Evitar senhas muito curtas ou muito longas (oito
• Alterar senhas padrões de instalação de sistemas ou
dígitos no mínimo é o recomendável).
softwares.
• Evitar senhas óbvias, como sobrenome, datas de
aniversário, nome da namorada, número de telefone,
A análise dos direitos de acesso deve ser executada placa de carro, etc.
periodicamente a fim de se determinar se os direitos • Criar senhas com caracteres e números a fim de
concedidos ainda são válidos para aquele usuário. Esse evitar ataques de dicionário;
• Não repetir caracteres e não usar caracteres seguidos
cuidado visa garantir o controle efetivo dos acessos às
do teclado (QWERT, LKJHGF, QAZWSX).
informações e recursos.
• Criar senhas distintas para sistemas distintos.
Recomenda-se que a periodicidade varie entre três • Alterar a senha a intervalos regulares e não repetir
e seis meses para todas as contas de usuário, devendo senhas antigas.
também ser executada para um usuário específico sempre
que houver mudança de função ou cargo deste, ou o
Exercícios do Capítulo 7
mesmo se desligar da organização.
1) Como deve ser feita a concessão de privilégios
O uso de senhas requer certos cuidados que dependem
de acesso?
do usuário e, portanto, a segurança depende do
conhecimento deste no uso correto de senhas. Os usuários 2) O que deve ser levado em conta na criação da
devem ter pleno conhecimento das políticas de senha e política de acesso?
devem segui-las à risca.
3) O que devemos incluir em um procedimento
de concessão de acesso para um sistema ou em uma
área da rede?
Capítulo 8 - Conformidade
Nos dias atuais, pode-se afirmar que o que
há de mais importante no mundo corporativo
é a informação. Os detentores da informação
obtêm larga vantagem na disputa pelo
Algumas diretrizes devem ser seguidas pelo usuário exigente mercado, porém só isso não basta, é
para manter esse nível de segurança, tais como: imprescindível ainda garantir a disponibilidade e
o acesso à mesma. Para isso devem ser definidos
• Evitar escrever a senha em papel ou armazená-la em processos de conformidade e adequação às
arquivos ou memória de dispositivos móveis, como em regras de acesso e uso da informação, tema que
agenda de celulares. será objeto deste capítulo.
• Procurar memorizar a senha e apagá-la da fonte de
onde a recebeu (papel, e-mail, arquivo, etc).
• Não compartilhar senhas. 8.1 Processos de Conformidade
• Manter a confidencialidade da senha.
Os meios eletrônicos por onde trafegam a informação
• Ao menor indício de comprometimento de uma
senha, alterá-la imediatamente. são expostos constantemente a todo tipo de ameaça,
tais como: espionagem, concorrência desleal, fraudes
35
eletrônicas, sabotagem e até mesmo sequestro de • TAM e Gol que são reguladas pela ANAC
informações essenciais para a organização. • Unilever e Nestle pelo Ministério da Saúde
• Telefonica, TIM, VIVO e Claro pela ANATEL
Desse modo, as questões relacionadas à Segurança • Vale do Rio Doce pelo Ministério das Minas e Energia
da Informação conquistaram lugar de destaque nas
estratégias corporativas em âmbito mundial. Proteger a
informação das inúmeras ameaças tornou-se essencial
para garantir a continuidade do negócio, minimizando
riscos e maximizando o retorno sobre os investimentos.
No entanto, não podemos esquecer que o universo

corporativo está alocado em um Estado de Direito, onde Acima desses órgãos, todos somos regulados pela
o exercício aos direitos sociais e individuais é assegurado, Receita Federal, do Ministério da Fazenda.
como valores supremos da sociedade, através de vasta
legislação. Isso obriga todas as empresas a terem um processo
de controle das informações mais estruturado, visando
Mas em que ponto a Segurança da Informação e o garantir que estejam em conformidade com essas
Estado de Direito convergem? entidades.
A adoção e a implementação do Nesse sentido, torna-se válido relacionar algumas

código de práticas para a gestão da definições conceituais jurídicas, que certamente ajudarão
segurança da informação devem estar você a entender melhor o tema. Vejamos:
obrigatoriamente alinhadas às leis,
estatutos, regulamentações ou obrigações contratuais • Legislação: conjunto de leis decretadas ou
inerentes, sob pena de sofrer sanções legalmente promulgadas em um país, disciplinando matéria em caráter
previstas. As práticas, ainda que restritas ao universo geral ou específico. Exemplos: Constituição Federal, Código
corporativo, em hipótese alguma devem deixar de Civil, Código Penal, Consolidação das Leis do Trabalho, Lei
considerar os aspectos legais envolvidos. do Software, Lei da Propriedade Industrial.
• Estatutos: complexo de regras estabelecidas e
observadas por uma instituição jurídica a serem adotadas
Aqui, caro aluno, estudaremos uma das seções de como lei orgânica, que fixam os princípios institucionais de
maior relevância dessa disciplina, cujo teor essencialmente uma corporação pública ou privada. Exemplos: Estatuto
trata das questões legais e jurídicas inerentes à gestão da Social, Estatuto dos Funcionários Públicos.
Segurança da Informação. • Regulamentos: conjunto de normas ou regras, em
que se fixam o modo de direção ou condução de uma
Como é notório, as questões jurídicas são consideradas
instituição ou associação. Exemplo: Regulamento de
de difícil compreensão para os profissionais não
Segurança da Informação.
especializados na área. Também é difícil para as empresas
• Obrigações Contratuais: obrigações oriundas de
seguirem de forma estruturada e clara as regulamentações acordo de duas ou mais pessoas físicas ou jurídicas para
pertinentes, ainda mais que correm o risco de serem entre si, para constituir, regular ou extinguir uma relação
punidas se não cumprirem as leis e regulamentações dos jurídica. Exemplos: Contrato de Compra e Venda, Contrato
seus setores. de Trabalho, Contrato com Empresas Terceirizadas.
Cada empresa é regulada por um ou mais órgãos que

aplicam Normas, Leis, Estatutos, Regulamentações, etc, Após as definições acima, resta sabermos quais são
com o objetivo de regular um setor do mercado. Como os instrumentos jurídicos que devem ser observados para
exemplos podemos citar empresas como: a implementação da gestão de segurança da informação
36
respeitando as leis e regulamentações locais de cada país, segurança devem ser realizadas pelos gestores, e caso
a fim de evitar a violação dos mesmos. alguma não-conformidade seja detectada, o gestor deve
adotar o seguinte procedimento:
1) Determinar a causa da não conformidade; avaliar

8.2 Penalidades – Código Civil a real necessidade de ação para que a não conformidade
Brasileiro não se repita novamente;
2) Aplicar ação corretiva, e, por fim, registrar e manter

É importante salientar que em nosso ordenamento todo o ocorrido, relatando os resultados para as pessoas
jurídico ninguém pode alegar desconhecimento da lei para competentes, o que vem a ser medida de cautela que
se eximir de seus efeitos. Esses efeitos podem variar de resguarda os direitos do gestor, haja vista a grande
país para país, fato que torna a análise jurídica complexa responsabilidade atribuída ao mesmo.
nesse sentido, evitando demandas judiciais em face das
corporações. Finalizando tal categoria, a gestão de segurança deve
garantir um processo de verificação da conformidade
Tal procedimento resguarda não só a organização, técnica, que sugere como controle a verificação periódica
como também os administradores, os empregados e dos sistemas de informação em conformidade com as
terceiros envolvidos em todas as esferas do Direito. normas de segurança implementadas na organização. Esta
O Código Civil Brasileiro, em seu artigo 186, prevê a verificação técnica deve ser realizada manualmente por
responsabilidade civil para “aquele que viola direito ou engenheiro de sistemas, gerando relatório técnico para
causa dano a outrem, ainda que exclusivamente moral, por interpretação por um técnico especialista.
ação ou omissão voluntária, negligência ou imprudência,

configurando-se ato ilícito, ficando obrigado a repará-lo”.
“Independentemente de culpa, quando a atividade

normalmente desenvolvida pelo autor do dano implicar por
natureza em risco para outrem” (artigo 927,Código Civil ).
Ainda na mesma trilha de entendimento, o Código Civil 8.3 Auditoria de Sistemas

preconiza, através do artigo 1016, a “responsabilidade
solidária dos administradores perante a sociedade e Como prática de mercado, para que um processo de
terceiros prejudicados no desempenho de suas funções”. controle seja efetivo, deve haver um processo estruturado
de auditoria de sistemas de informação, aconselhando
que a auditoria e suas atividades inerentes, quando
envolvida na verificação dos sistemas operacionais, sejam
minuciosamente planejadas e acordadas internamente
a fim de evitar quaisquer riscos de interrupção nos
procedimentos e processos do negócio.
Temos como controle a atribuição de responsabilidade A prática de mercado indica a auditoria como parte
aos gestores, que devem verificar se todos os procedimentos estrutural do processo de controle corporativo.
de segurança dentro da sua área estão sendo executados Os acordos relativos aos requisitos de auditoria devem
adequadamente nos moldes previstos no regulamento de ser acordados com o nível apropriado de administração
segurança da informação adotada pela corporação. (observância de hierarquia). O objetivo da verificação da
auditoria deve ser acordado e controlado, limitando-se a
Análises críticas a intervalos regulares da conformidade
verificação apenas ao acesso para leitura de software e dados.
do processamento da informação com a política de
37
Caso haja necessidade de acessos que ultrapassem

9.1. Segurança da Informação de acordo
os limites da leitura, devem ser permitidos apenas e
tão somente através de cópias dos arquivos do sistema,
com a ITIL
apagando-se os mesmos ao final da auditoria. A ITIL- Information Technology Infrastructure Library,
Eventualmente, caso exista a necessidade de se ao definir todos os fluxos e processos de serviços de
guardar arquivos como documentos de auditoria, que seja TI da organização, também facilita a implementação
realizado com a proteção apropriada, havendo monitoração da segurança, que é parte integrante do processo de
de todo acesso, documentação de todo o procedimento, implementação da própria ITIL. A Segurança da Informação
bem como que os auditores não tenham nenhum vínculo encontra-se na segunda fase de implementação da ITIL,
com as áreas auditadas. a fase de Desenho dos Serviços (Service Design). Nesta
fase deve existir foco na confidencialidade, integridade e
Tais diretrizes certamente têm por finalidade a disponibilidade da informação no contexto dos negócios e
preservação da idoneidade do procedimento de auditoria, processos de negócio.
gerando confiabilidade inequívoca nas conclusões
apresentadas. A OCG – Office of Government Commerce define, nos
próprios livros de implementação da ITIL, que o principal
guia para definir o que deve ser protegido e o nível de
Exercícios do Capítulo 8
proteção tem que estar no próprio negócio. Além disso,
1) As políticas de segurança devem esta para ser eficaz, a segurança deve abordar processos de
alinhadas aos processos de proteção da informação todo o negócio e cobrir tanto o aspecto físico como o aspecto
e principalmente às leis e regulamentações de técnico. Somente dentro do contexto de necessidades de
mercado que envolve cada empresa. Qual o papel da negócio e gestão de riscos podem-se definir os critérios
Segurança da Informação para o tema conformidade? de segurança. A ITIL define, ainda, que um guia de
segurança básica deve conter: política de segurança de
2) Considere uma empresa que não possui um
processo estruturado de gestão de segurança das informação, ISMS – Information Security Management
suas informações e com isso se mantém em não System (Sistema de Gerenciamento da Segurança da
conformidade com as leis e regulamentações que Informação), estratégia de segurança orientada para
estão vigentes para seu setor de atuação. Que tipo os objetivos da organização, estrutura de segurança e
de penalidade essas empresas podem sofrer? controles, gestão de riscos, monitoramento de processos,
estratégias de comunicação e consciencialização da
importância da segurança. [PAULINO, 2010]
Capítulo 9 – ITIL e Segurança da

Informação 9.2. Processo SI do Desenho de Serviços
da ITIL: Gestão de Segurança da
O aumento da complexidade da gestão de
Informação
organizações, levou a que muitas se apoiassem
De acordo com a abordagem realizada na disciplina
nas novas tecnologias para melhor controlar os
processos e os fatores adjacentes aos mesmos. “Gestão de Soluções de Sistemas de Aplicação através
A ITIL – Information Technology Infrastructure da ITIL” de nosso curso, o objetivo deste processo que
Library reúne boas práticas que incluem pertence ao Desenho de Serviços da ITIL, é alinhar a
processos que podem ajudar a implementação segurança de TI à do negócio e garantir que a segurança
de políticas de Segurança de Informação. Neste da infraestrutura seja gerenciada eficazmente em todos os
capítulo vamos abordar como o ITIL pode ajudar
serviços e atividades.
à gestão da segurança da informação.
38
Este processo trata da segurança alinhada à governan de serviço, como por exemplo para cada plataforma de TI,
ça corporativa, além de garantir o CID (Confidencialidade, aplicação e rede.
Integridade e Disponibilidade). Este processo de • Implantar: implanta todas as medidas especificadas
nos planejamentos. Classifica e gerencia os recursos de
Gerenciamento de SI é baseado na norma ISO/IEC 27001,
TI, trata da Segurança de Pessoal e gerencia a segurança
que aponta um ciclo para a gestão de segurança da
como um todo (implantação de responsabilidades e
informação. Na verdade, o ciclo descrito na ITIL usa a tarefas, desenvolve regulamentos e instruções, cobre todo
terminologia CPIAM . o ciclo de vida, tratamento de ambientes, mídias, proteção
contra vírus e ameaças).
• Controlar – é a primeira atividade do gerenciamento
• Avaliar: avalia o desempenho das medidas
de segurança e trata da organização e do gerenciamento
planejadas e atende aos requisitos de clientes e terceiros.
do processo.
Os resultados podem ser usados para atualizar medidas
• Planejar – inclui definir os aspectos de segurança acordadas em consultas com os clientes e para sugerir
do ANS - Acordo de Nível de Serviço em conjunto com mudanças. Pode ser feita de três formas: auto-avaliação,
o Gerenciamento de Nível de Serviço, detalhando no auditorias internas e auditorias externas.
ANO- Acordo de Nível Operacional posteriormente. • Manutenção: mantém a parte do ANS que trata de
Também define as atividades em contratos com terceiros segurança e mantém os planos detalhados de segurança.
relacionadas à segurança. Importante lembrar que os É feita baseada nos resultados da avaliação e na análise de
ANOs são planejamentos para uma unidade do provedor mudanças nos riscos.
A função e os produtos associados ao processo SI são:
Gerente de Fornecedor
Responsável por atender aos objetivos deste processo, cuidar da política de Segurança da Informação como um todo e
garantir que a mesma seja adequada e seguida por todos.
Produtos
Sistema de Gerenciamento da Segurança da Informação e Política do Sistema de Informação.
39
deve ser contemplado desde o início até o fim da prestação

9.3. Práticas de Segurança da Informação
do serviço.
de acordo com a ITIL
O SLA deve incluir, no que diz respeito à segurança de
O framework de segurança da ITIL, denominado ISMS informação, os seguintes pontos:
- Information Security Management System (Sistema de
Gerenciamento de Segurança da Informação) contempla • Métodos de acesso à informação
• Métricas de avaliação da segurança
cinco fases:
• Formação necessária no âmbito da segurança do
• Planejamento serviço
• Implementação • Procedimentos relativos aos acessos à informação
• Avaliação • Procedimentos de incidentes de segurança
• Manutenção • Detalhes do planejamento das auditorias.
• Controle
Estas informações são de extrema importância, visto

A segurança deverá ser coberta por uma política geral, que só pode ser controlado o que foi definido. Todos os
na qual deverão ser definidos os objetivos e o âmbito da documentos de SLA e OLA devem ser apoiados nas políticas
aplicação de segurança de informação, metas e princípios gerais de segurança de informação da organização, nos
de como a gestão deve ser feita e a definição das funções planos de segurança de informação dessas mesmas
e responsabilidades de cada colaborador. Além disto, políticas e nos manuais de apoio operacional de segurança
deverão existir diversas políticas específicas, orientadas de informação.
aos serviços. Assim deverão ser implementadas as
seguintes políticas: Normalmente a principal dificuldade é saber quais os
riscos que a organização enfrenta, mas a implementação
• Política geral de Segurança da Informação
conjunta com a ITIL pode ajudar muito a vencer este
• Política de uso e mal uso dos ativos
empecilho, já que existe uma análise de riscos inicial que
• Política de controle de acesso
pode gerar uma especificação de ameaças à segurança
• Política de e-mail
da informação na organização. São esses requisitos que
• Política de internet
• Política de anti-vírus vão ser contemplados nos acordos com os clientes e
• Política de classificação de informações fornecedores, e até mesmo internamente nos OLAs.
• Política de classificação de documentos
A escolha de como controlar os ativos de informação
• Política de acesso remoto
deve também ser feita com apoio na norma 27002:2005
• Política de alienação de bens
que permite definir uma política e controles para sistemas
de gestão de segurança de informação. Toda esta tarefa
É perante estas políticas que na ITIL os SLAs - Service é facilitada pela simplificação da estrutura da organização
Level Agreements (ou ANS – Acordo de Nível de Serviço) que a ITIL oferece. Existe uma clara definição de papéis e
e os OLAs- Operational Level Agreements (ANO – Acordo privilégios o que permite uma implementação correta de
de Nível Operacional) assumem grande importância. uma política de segurança.
Como já vimos, o SLA é um acordo formal de níveis de Medidas de segurança devem ser criadas em cinco
serviço no qual são definidos todos os fatores inerentes níveis, como vem descrito no guia de implementação ITIL
a um serviço contratado/prestado pelas duas partes, por da OCG, e esses níveis são:
exemplo, o nível de disponibilidade do serviço, as políticas
1. Prevenção: medidas para impedir que um
de segurança existentes que tanto o cliente como o
problema de segurança ocorra. O melhor exemplo de
fornecedor se comprometem a cumprir e as próprias regras
medidas preventivas é a atribuição de direitos de acesso
do serviço. Por outro lado, os OLAs definem os mesmos
a um grupo limitado de pessoas. Os outros requisitos
aspectos que os SLAs mas no nível interno, ou seja, o que
associados a esta medida incluem o controle de direitos de
acesso (concessão, manutenção e retirada de direitos) e a
40
autorização (identificação de quem tem direito ao acesso • A segurança da informação fica alinhada com os
às informações e utilização dos sistemas). processos do negócio, devido à integração que a ITIL permite.
• A segurança fica muito bem definida e estruturada,
2. Redução: medidas que são tomadas com possibilitada pela definição de papéis e responsabilidades
antecedência para minimizar os possíveis danos que que a ITIL preconiza, o que permite a eficiência dos controles
possam ocorrer no futuro. Por exemplo, cópias de segurança escolhidos.
periódicas e desenvolvimento, teste e manutenção de • Nada é mais importante na segurança que a contínua
planos de contingência. auditoria e controle, e a ITIL viabiliza isso devido à otimização
contínua de todos os serviços.
3. Detecção: medidas para detectar problemas • A integração da segurança nas operações, visto que nos
de segurança. Se existe um problema é bom que seja manuais de processos já podem ser incluídas as regras de
identificado rapidamente. Um exemplo claro é o uso segurança.
de anti-vírus que detecta uma ameaça e nos avisa da • A documentação periódica que a ITIL sugere é uma
vulnerabilidade. ótima prática para o controle e alteração das políticas de
segurança.
4. Repressão: medidas que são utilizadas para
neutralizar qualquer continuação ou repetição do incidente
de segurança. Por exemplo, uma conta temporariamente Para finalizarmos, é importante reforçarmos que
bloqueada após várias tentativas fracassadas de logon. aplicar uma política de Segurança de Informação não é
tarefa fácil mesmo utilizando as práticas da ITIL. Como
5. Correção: medidas de reparação de dano. Por
já dissemos, é necessário todo o apoio da alta direção
exemplo, restauração da cópia de segurança, ou retorno a
e a sensibilização de todos para a importância interna e
uma situação estável anterior (roll-back, back-out).
externa dessa segurança.
Podemos concluir, caro aluno, que a aplicação de boas
Fazendo a ligação desta disciplina com as anteriores
práticas em uma organização traz vantagens na definição
que falaram com detalhes da ITIL, definimos aqui uma
e aplicação de uma política de segurança de informação. A
abordagem importante na governança corporativa, que
ITIL vem melhorar e contribuir para este processo, porque
é a definição de um processo, apoiado pela execução e
contempla a gestão da segurança de informação nos
responsabilidades das pessoas com o uso estruturado
serviços. Os benefícios que as organizações podem obter
da tecnologia, o que traz um nível maior de controles e
com a adoção das boas práticas da ITIL são grandes, e
maturidade nos processos de TI.
entre eles destacamos:
41
Considerações Finais Bibliografia
Caro aluno, esperamos que você tenha atingido nossos ALBERTIN, Rosa; ALBERTIN, Albert. Estratégias de
objetivos com os temas discutidos nessa disciplina. Governança de Tecnologia da Informação. Rio de
janeiro: Campus, 2009.
Nosso objetivo foi trazer para você uma abordagem
tática e estratégica desse tema que vem a cada dia sendo ALEXANDER, Philip. Information security: a
cobrado de forma mais enfática nos perfis profissionais Manager’s Guide to Thwarting Data Thieves
que as empresas buscam: a segurança da informação. and Hackers. Connecticut–London: Praeger Security
International Business Security, 2008.
Levamos as discussões em um nível de profundidade
que, acreditamos, capacita você desde já a implementar ANDRADE, Adriana; ROSSETTI, José P. Governança
um plano de gestão de segurança da informação com Corporativa. São Paulo: Atlas, 2007.
fundamentos claros de controle da informação e das ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.
políticas. Você está capacitado a analisar uma empresa NBR ISO/IEC 27002: Tecnologia da informação –
pelo seus processos e relacionar as políticas de segurança Técnicas de segurança – Código de prática para a
que elas necessitam. gestão de segurança da informação. Rio de Janeiro:
Como você aprendeu, a implantação de controles 2005.
mais eficientes e dentro de um ciclo de melhoria BO2K. BO2K - Opensource Remote Administration
contínua, apoiados pelas melhores práticas da ITIL, trará Tool. Cult of the Dead Cow, 2011. Disponível em http://
maturidade à gestão de segurança e, consequentemente, www.bo2k.com/. Acesso em: 11 de dezembro de 2011
um maior nível de maturidade na gestão de riscos para as
organizações. CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO
DE INCIDENTES DE SEGURANÇA NO BRASIL – CERT.Br.
Com base nessa nova visão relativa ao valor das Cartilha de Segurança para Internet. Disponível em:
informações, concluímos que implementar um processo http://cartilha.cert.br/conceitos/sec4.html. Acesso em: 25
gestão de segurança da informação para as organizações, de novembro de 2011.
estruturada dentro de políticas bem definidas, alinhadas
com as diretrizes executivas e com o negócio, é fator crítico COMPUTER EMERGENCY RESPONSE TEAM. CERT
de sucesso para as organizações e, acima de tudo, para Advisory CA-2002-30 Trojan Horse tcpdump and
a sua sobrevivência no mercado. Adicionalmente, devem libpcap Distributions. CERT Coordination Center (CERT/
ser respeitadas as leis e regulamentações, os interesses CC), 2002. Disponível em http://www.cert.org/advisories/
dos acionistas e do ecossistema que estão ligados à CA-2002-30.html. Acesso em: 15 de março de 2011
responsabilidade da empresa com o meio ambiente, a
DIAS, Cláudia. Segurança e Auditoria da Tecnologia
sociedade, o governo, etc.
da Informação. Rio de Janeiro: Axcel Books do Brasil
Parabéns por ter concluído esta disciplina e esperamos Editora, 2000.
que o conhecimento aqui adquirido contribua de forma
FORD, Jeffrey Lee. Manual completo de firewalls
significativa para a sua melhor atuação profissional!
pessoais: tudo o que você precisa saber para
proteger o computador. São Paulo: Pearson, 2002.
Prof. Renato Lima e Profa. Elisamara FOROUZAN, Behrouz A. Comunicação de Dados

e Redes de Computadores. São Paulo: McGraw Hill
Brasil, 2008.
42
FRANCO, D.H. Tecnologias e ferramentas de SAINT. Vulnerability, Management, Assessment,

gestão. Campinas: Alinea, 2009. Penetration Test | SAINT. Disponível em http://www.
saintcorporation.com/. Acesso em: 11 de dezembro de
GREGORY, Peter. Enterprise Information Security:
2011.
Information security for non-technical decision
makers. Financial Times/ Prentice Hall, 2003. SHUKLA, Sudhindra; NAH, Fiona. Web browsing and
spyware intrusion. P. 85-90. Commun. ACM, 2005.
HARRIS, Shon. CISSP All-in-One Exam Guide. Nova
Iorque: McGraw-Hill Osborne Media, 2010. SKOUDIS, E.; ZELTSER, L. Malware: Fighting
Malicious Code. Prentice Hall, 2003.
HOGUND, Greg; MACGRAW, Gary. Como quebrar
códigos: a arte de explorar (e proteger) softwares. SOLOVE, D. J.; ROTENBERG, M. Information Privacy
São Paulo: Pearson, 2006. Law. Nova Iorque: Aspen Publishers, 2003.
ISO/IEC 13335-1. Information technology – SOUZA NETO, Manoel Veras; RAMOS, Anatália S. M.
Security techniques – Management of information Gestão da Tecnologia da Informação. Natal: Editora
and communications technology security – Part UFRN, 2010.
1: Concepts and models for information and
STAMP, Mark. Information security: principles and
communications technology security management.
practices. Massachussetts: San Jose State University,
Genebra: 2004.
2005.
LYRA, Maurício Rocha. Segurança e Auditoria em
STEWART, James Michael; TITTEL, Ed; CHAPPLE, Mike.
Sistemas de Informação. Rio de Janeiro: Editora
CISSP: Certified Information Systems Security
Ciência Moderna, 2008.
Professional – Study Guide. Indianapolis: Wiley
NORTHCUTT, Stephen; NOVAK, Judy. Network Publishing, 2008.
Intrusion Detection. Avenel, New Jersey: Sams
TANENBAUM, Andrew S. Redes de Computadores.
Publishing, 2002.
Rio de Janeiro: Campus, 2003.
O´BRIEN, James A. Sistemas de Informação e as
TENABLE. Tenable Nessus. Disponível em http://
decisões gerenciais na era da Internet. 3.ed. São
tenable.com/products/nessus. Acesso em 30 de novembro
Paulo: Saraiva, 2010.
de 2011.
OLIVEIRA, D. P. R. Sistemas de informações
TURBAN, Efraim; KING, David; ARONSON; Jay E.
gerenciais: estratégias, táticas, operacionais. 12.ed.
Business Intelligence. Porto Alegre: Bookman, 2009.
São Paulo: Atlas, 2008.
WEISS, Aaron. Spyware be gone! Revista networker:
PAULINO, Sergio F. C. ITIL e a Segurança de
Agents of destruction: fending off spyware. Ano 1, Vol. 9.
Informação. 2010. Disponível em: http://sergiopaulino.
P. 18-25. Nova York, ACM Press, 2005.
net84.net/articles/sdi-capsi.pdf. Acesso em 19 dez. 2011.
Indicações na web:
PAYTON, Anne M. A review of spyware campaigns
and strategies to combat them. Anais da Terceira Palestras: Web Security Forum - Décima Oitava Palestra
Conferência Anual em Segurança da Informação - Jefferson D’Addario
(InfoSecCD ’06). P. 136–141, Nova Iorque. ACM Press,
Foco em gestão de segurança da Informação com visão
2006.
geral do tema
RAPPAPORT, Theodore S. Comunicações sem fio:
http://www.youtube.com/watch?v=x3f4MbT5D9c
princípios e prática. São Paulo: Pearson, 2009.
43

Gestão Da Infra-Estrutura Através Do Itil e Gestão de Segurança para Ti

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gestão Da Infra-Estrutura Através Do Itil e Gestão de Segurança para Ti

Enviado por

Direitos autorais:

Formatos disponíveis

Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.

Capítulo 1 - Fundamentos de Segurança da Informação.............................4

1.1. Dados, Informação e Segurança.................................................................... 4

1.2 Evolução da Informação................................................................................. 6

1.3 Ameaças à Informação .................................................................................7

Capítulo 2 - Políticas de Segurança da Informação.....................................8

2.1. Aspectos básicos da Segurança da Informação............................................... 9

2.2. Itens que precisam ser protegidos................................................................. 9

2.3. Principais Tipos de Incidentes...................................................................... 10

2.4. Tipos de Atacantes e as Formas de Proteção................................................ 11

2.5. Políticas de Segurança: um processo de controle.......................................... 13

2.6. Criação de uma Política de Segurança.......................................................... 14

Capítulo 3 - Gestão de Ativos.....................................................................17

3.1. Classificação e Controle dos Ativos............................................................... 17

3.2. Classificação e Gestão dos Ativos de Informação........................................... 19

Capítulo 4 - Segurança em Recursos Humanos.........................................21

4.1. Garantia da Segurança da Informação para as Pessoas................................. 21

Capítulo 5 - Segurança Física.....................................................................23

5.1. Segurança Física: Proteção de ativos........................................................... 23

3.2. Ameaças à Segurança Física........................................................................ 24

3.3. Proteção contra as ameaças........................................................................ 25

3.4. Instalação e proteção de equipamentos....................................................... 26

Capítulo 6 - Segurança Operacional...........................................................28

6.1. Segurança Operacional: processo contínuo................................................... 28

6.2. Separação de Ambientes: Produção, Desenvolvimento e Testes.................... 29

6.3. Terceirização (outsourcing)....................................................................... 30

6.4. Cópias de Segurança (Backup)................................................................. 30

6.5. Segurança de Dados em Redes.................................................................... 31

Capítulo 7 - Controle de Acessos................................................................32

7.1. Controle de acesso...................................................................................... 32

7.2. Gerenciamento de acesso do usuário.......................................................... 33

8.1 Processos de Conformidade.......................................................................... 35

8.2 Penalidades – Código Civil Brasileiro...................................................37

8.3 Auditoria de Sistemas.................................................................................. 37

Capítulo 9 – ITIL e Segurança da Informação...........................................38

9.1. Segurança da Informação de acordo com a ITIL........................................... 38

9.2. Processo SI do Desenho de Serviços da ITIL: Gestão de Segurança da

Gerente de Fornecedor ............................................................................... 39

9.3. Práticas de Segurança da Informação de acordo com a ITIL.......................... 40

Apresentação Capítulo 1 - Fundamentos de

Além disso, abordaremos tópicos de estruturação de entenderemos melhor o papel da informação e

políticas de segurança e relacionaremos os processos a importância em garantir a segurança ao seu

críticos da organização suportados por controles de uso e acesso e manipulação.

manipulação das informações.

A Segurança Operacional que discutiremos nesse curso

E por fim, discutiremos uma questão que vem trazendo

necessidade forte de controles internos e busca no é a interpretação desses dados.

Basta entrar na internet, fazer uma busca rápida por

Uma consequência natural da importância da

apresentados para nós num piscar de olhos! Mas, no dia

Como já falamos, dados e informações são coisas

1.2 Evolução da Informação

Interessante navegar na história e ter uma ideia

Assista ao filme “Evolução dos

Obs: no final do vídeo, a pessoa quis dizer “Enjoy

É importante ressaltar a diferença entre

Essa questão remete a outra, o que precisa ser

Videoaula: Segurança da Informação

sistema) é quem ele realmente diz

• Não repúdio: Se a autenticação prova que uma

• Autorização: Uma vez que um usuário tenha

circulam pela rede. Esta captura normalmente é