GESTÃO DE

RISCO
Michel Bernardo Fernandes da Silva

E-book 4
Neste E-Book:
INTRODUÇÃO���������������������������������������������� 3
PRINCÍPIOS DA SEGURANÇA DA
INFORMAÇÃO���������������������������������������������� 4
CLASSIFICAÇÃO DAS INFORMAÇÕES10
Benefícios da Classificação de Informação������� 13
Exemplos de Classificação���������������������������������� 14
Rotulação�������������������������������������������������������������� 17

ANÁLISE DAS AMEAÇAS�������������������������19

Hackers����������������������������������������������������������������� 20
Interceptação de tráfego�������������������������������������� 23
Programas para varredura de vulnerabilidade���� 24
Espionagem telefônica (wiretapping)������������������ 25

POLÍTICA DE SEGURANÇA DE
INFORMAÇÃO��������������������������������������������26
CONSIDERAÇÕES FINAIS�����������������������31
SÍNTESE������������������������������������������������������� 32

2
INTRODUÇÃO
Neste módulo discutiremos sobre as características
fundamentais da segurança de informação, como:
Disponibilidade, Confiabilidade e Integridade. Você
também irá aprender sobre a forma de classificação
das informações e seus impactos.

Você irá compreender os tipos de ameaças exis-

tentes e irá verificar a importância da Política de
Segurança da Informação nas empresas.

A norma NBR ISO/IEC 27002:2005, define a seguran-

ça da informação como a “preservação da confiden-
cialidade, da integridade e da disponibilidade da in-
formação; adicionalmente, outras propriedades, tais
como autenticidade, responsabilidade, não repúdio
e confiabilidade, podem também estar envolvidas.”
Um questionamento recorrente na Segurança de
Informação é: “Quais elementos fazem uma infor-
mação ser segura?” Vamos descobrir.

3
PRINCÍPIOS DA
SEGURANÇA DA
INFORMAÇÃO
A integridade é a garantia da exatidão e completeza
da informação e dos métodos de processamento
(NBR ISO/IEC 27002:2005). Ao garantir a integridade,
a informação não pode ser modificada, alterada ou
destruída sem autorização; ela deve ser legítima e
permanecer consistente. Dessa forma, garante-se
que somente os usuários autorizados terão capa-
cidade de alterar a informação.

Ocorre a quebra da integridade quando a informa-

ção é corrompida, falsificada, roubada ou destruída.
Assim, garantir a integridade é manter a informação
na sua condição original. A figura abaixo ilustra o
significado da integridade de dados e aponta se es-
ses dados são utilizáveis.

4
 Dados tem
integridade se:
Firewall
1� Dados não
são alterados
Banco de
dados 2� Dados são
Grande porte Servidores válidos
(Mainframe) de aplicativo
e Web 3� Dados são
precisos

Usuário
Domínio de
sistema/aplicativo

Figura 1: Integridade dos dados Fonte: Kim; Solomon, 2014.

Outro princípio de segurança é a disponibilidade.

Para se obter disponibilidade, a informação deve
estar acessível por usuários autorizados, quando
for solicitada. Trata-se de um termo utilizado na
vida cotidiana. Por exemplo, existe mensuração da
disponibilidade do serviço de energia elétrica na
conta da concessionária de energia, de televisão
por assinatura e de telefonia celular.

Uma medida frequente para a disponibilidade (KIM,

SOLOMON, 2014) é o tempo de utilização, também
conhecido como Uptime, que mede a quantidade de
tempo total que o sistema ou os dados ficam acessíveis
dentro de determinado período de tempo. Outra medida
é o tempo de paralisação, que mensura o tempo em
que o sistema ficou indisponível; também é chamado
de Downtime. O cálculo de disponibilidade é dado por:

5
Quanto mais crítico um componente ou serviço, mais
alto é o nível de disponibilidade exigido. O tempo
médio para falha, ou Mean Time to Failure (MTTF),
representa a quantidade média de tempo entre as
falhas para um determinado sistema. São exemplos
de falhas: quebra de conectores, queima de fonte de
alimentação, desgastes físicos nos componentes,
entre outros.

Outra medida utilizada é o tempo médio para reparo,

ou Mean Time to Repair (MTTR), que representa o
tempo para conserto de um determinado sistema,
sendo que o objetivo é que este entre em operação
o mais rápido possível.

As operadoras de telecomunicações combinam com

seus consumidores acordos de níveis de serviços,
ou Service Level Agreements (SLAs), um tipo de con-
trato que garante disponibilidade mínima mensal
de links de acesso à internet e para rede de longa
distância (WAN).

Já a confidencialidade pode ser entendida como a

preservação de restrições autorizadas ao acesso
e revelação de informações, incluindo meios para
proteger a privacidade pessoal e as informações
proprietárias, tais como propriedade intelectual das
empresas e segurança nacional para países.

6
Atualmente, o comércio eletrônico está bem de-
senvolvido e milhões de pessoas inserem dados
pessoais em sites de e-commerce, como dados
de identificação e números de cartões de crédito.
É fundamental proteger os dados de identificação
pessoal e dados particulares desses consumidores.

A figura abaixo apresenta exemplos de informações

que devem ser protegidas.

• Dados particulares de
indivíduos:
– Nome, endereço, data de
nascimento;
– Número de identidade;
– Nome de banco, número de
conta;
– Número de cartão de
crédito;
– Número de conta de
serviços utilitários;
– Número hipoteca;
– Número de apólice de
seguro;
– Números de conta de
Firewall investimento�

• Propriedade intelecutal
corporativa:
– Segredos comerciais;
Grande porte – Desenvolvimento de
Servidores
produtos;
(Mainframe) de aplicativo – Estratégias de vendas e
e Web marketing;
– Registros financeiros;
– Direitos autorais, patentes
etc�

Domínio de • Transações on-line B2C e

sistema/aplicativo
B2B:
– Operações bancárias
on-line;
– Reivindicações de plano de
saúde e seguro on-line;
– Educação e transcrições
on-line�

• Propriedade intelectual de
governo:
– Segurança nacional;
– Estratégias militares e do
Departamento de Defesa�

Figura 2: Exemplos de informações a serem protegidas Fonte: Fonte:

Kim; Solomon, 2014.

7
Caso ocorra uma perda de confidencialidade, haverá
revelação não autorizada de informações.

Esses três conceitos formam a chamada tríade CID

(Confidencialidade, Integridade e Disponibilidade) ou,
em inglês: Confidentiality, Integrity, Avaliabiliity (CIA).
de

Int
ida

eg
ial

ri
da
nc

de
de
nfi

Dados e
Co

serviços

Disponibilidade

Figura 3: Tríade de requisitos de segurança. Fonte: Stallings, Brown,

2014.

Embora a utilização da tríade CID para definir obje-

tivos de segurança seja bem estabelecida, algumas
pessoas na área da segurança acreditam serem ne-
cessários conceitos adicionais para apresentar um
quadro completo.

Uma outra propriedade da segurança é a

Autenticidade, que pode ser definida como a proprie-

8
dade de ser genuína e de poder ser verificada e confiável.
Trata-se da confiança na validade de uma transmissão,
de uma mensagem ou do originador de uma mensagem.
Com isso, é possível garantir que os usuários são quem
dizem ser e que cada dado que chega ao sistema foi
originado de uma fonte confiável.

Outra característica é a Legalidade, que busca ga-

rantir a aderência do ponto de vista jurídico da in-
formação à legislação local. São definidas as carac-
terísticas das informações que possuem valor legal
dentro de um processo de comunicação.

Já a característica do Não repúdio pode ser defini-

da como a capacidade do sistema comprovar que
um usuário realizou uma determinada ação (LYRA,
2008, p. 4).

9
CLASSIFICAÇÃO DAS
INFORMAÇÕES
Atualmente, as empresas lidam com um ambiente
bastante complexo, no que se relaciona a leis, a re-
gulamentações, a competidores e a parceiros, sendo
que é necessário classificar as informações, prin-
cipalmente para atendimento das regulamentações
específicas que são aplicadas a um tipo de dado.

Classificação é o dever da pessoa que possui os

dados ou de alguém indicado pelo proprietário (KIM,
SOLOMON, 2014, p.151). Essa pessoa é denominada
de proprietário dos dados.

FIQUE ATENTO
O proprietário dos dados não é, necessariamen-
te, o proprietário do sistema. Proprietários do
sistema controlam as mudanças e as configura-
ções do sistema, mas não têm autoridade sobre
a classificação de informações.

Nas empresas, são frequentes as seguintes pergun-

tas sobre classificação:
• Quais os níveis de classificação de segurança dos
ativos de informação impactados?
• Como os eventos impactam ativos de informação
de diversos níveis?

10
Classificar a informação é criar níveis, critérios e
categorias adequados para as informações – que
deem a elas a devida importância, prioridade e o
nível de proteção adequados. Segundo Kovacich,
1998, apesar de não existir uma forma padroniza-
da de classificar a informação de uma organização,
pode-se enumerar três categorias básicas: informa-
ções pessoais, informações de segurança nacional
e informações de negócio, conforme apresentado
na seguinte tabela:

Categoria Tipo de Informação

Informações Dados individuais de empregados,
pessoais clientes e outras pessoas
Informações Informação que necessitam de pro-
de segurança teção para garantir a segurança da
nacional sociedade e do Estado
Informação de Informações utilizadas pelas or-
negócio ganizações para desempenhar as
tarefas.

Tabela 1: Categorias e Tipos de informação. Fonte: Desenvolvido

pelo autor.

O objetivo principal da classificação da informação é

aumentar a segurança das informações no ambiente,
assegurando que os ativos de informação recebam
um nível adequado de proteção.

Podemos mensurar os resultados básicos da clas-

sificação da informação em duas partes:
• Proteção: as organizações manipulam diversos
ativos de informação e esses ativos podem estar
passando por qualquer fase do ciclo de vida. Por

11
essa razão, é necessário avaliar cada ativo para
identificar em que fase ele está e qual o nível de pro-
teção será aplicado. Assim, atinge-se o máximo de
eficácia possível no uso do mecanismo da proteção.
• Economia: Quanto maior a necessidade de pro-
teção para o ativo, maior será o investimento fi-
nanceiro em mecanismos de proteção. Na prática,
isso significa que, quanto maior for a classificação
das informações, isso representará economia para
organização, uma vez, que aplicará seu dinheiro
em mecanismos que protegerão seus ativos mais
importantes.

Adicionalmente, com a classificação das informa-

ções pode-se padronizar a rotulagem de classifi-
cação para toda a empresa, alertar funcionários
e outras pessoas autorizadas sobre requisitos de
proteção, e estar em conformidade com leis de pri-
vacidade e regulamentações pertinentes.

De acordo com Kim & Solomon (2014), são conside-

rados três critérios para classificar uma informação:
Valor, Sensibilidade e Criticidade. Como nem todos
as informações possuem o mesmo valor, existirão
diferentes classificações para representar essas
diferenças. O valor das informações pode ser men-
surando em relação ao valor para a própria orga-
nização, valor para o concorrente, custo de substi-
tuição ou perda, ou ainda o valor para a reputação
da empresa.

12
Criticidade é a medida da importância da informa-
ção para a missão da organização. Por exemplo, o
que aconteceria se segredos industriais da empresa
fossem descobertos pelos concorrentes?

Outro critério utilizado é a sensibilidade, medida do

efeito que uma brecha de integridade ou divulgação
de dados poderia ter para a empresa. A sensibilida-
de pode ser medida por meio de responsabilização,
multas, perda de reputação ou de credibilidade do
mercado.

Benefícios da Classificação de
Informação
As empresas podem usufruir de diversos benefícios
baseados em classificação, tais como proteção de
dados classificados como sensíveis e/ou informa-
ções críticas. As marcações apropriadas possibili-
tam que os funcionários reconheçam a necessidade
de proteção de dados classificados e a empresa irá
aplicar melhor seus custos de segurança, onde são
estritamente necessários.

Adicionalmente, o processo de tomada de decisões

da gestão da segurança de informação é facilita-
da e evita-se desperdícios de recursos de forma
indiscriminada.

13
Exemplos de Classificação
Não existe uma padronização das classificações
adotadas por empresas comerciais, já que elas de-
vem ser adequadas aos negócios e ao ambiente de
cada empresa.

REFLITA
Na sua opinião, ter muitas classificações de in-
formação traz muitos benefícios adicionais para
a empresa?

Um exemplo de aplicação de classificação de infor-

mações no Governo Federal é o DECRETO nº 7.845,
de 14 de novembro de 2012, que regulamenta pro-
cedimentos para credenciamento de segurança e
tratamento de informação classificada em qualquer
grau de sigilo, e dispõe sobre o Núcleo de Segurança
e Credenciamento.

Categoria Tipo de Informações

Ultrassecretos Aqueles cujo conhecimento não autori-
zado pode acarretar dano excepcional-
mente grave à segurança da sociedade e
do Estado.
Secretos Aqueles cujo conhecimento não autori-
zado pode causar dano grave à socieda-
de e ao Estado.
Reservados Aqueles cuja revelação não autorizada
possa comprometer planos, operações
ou objetivos neles previstos ou referidos.

Tabela 2: Categorias e Tipos de informação – decreto nº 7.845/2012.

Fonte: Desenvolvido pelo autor.

14
 SAIBA MAIS
O decreto federal nº 7.845/2012 está disponí-
vel em http://www.planalto.gov.br/ccivil_03/_
Ato2011-2014/2012/Decreto/D7845.htm. Aces-
so em: 17 abr. 2020.

Segundo Lyra (2015), as empresas privadas cos-

tumam atribuir outras nomenclaturas, por exem-
plo: Confidencial, Restrita, Interna e Pública. A in-
formação classificada como Confidencial está no
mais alto patamar de restrição. Somente pessoas
que comprovadamente necessitem da informação
poderão ter acesso a ela, em condições bem defi-
nidas e aceitas. Representam grande valor para a
empresa, e a exclusividade é um fator relevante para
a manutenção de sua importância e valor. Algumas
informações podem se enquadrar nesse nível por
força legal. Por exemplo: a fórmula de um remédio
que ainda não foi registrado e patenteado ou a estra-
tégia de venda de um novo produto. Tal informação
é confidencial até o momento de seu lançamento;
depois, passa a ser pública.

Informações Restritas representam ativos para a

empresa, por se tratar de conhecimento exclusivo ou
por normativos externos. O acesso a esse conteúdo
por pessoas ou processos não autorizados pode
gerar perdas para a organização. Entretanto, são ne-
cessárias para algumas pessoas ou setores dentro
da organização realizarem seu trabalho. Exemplo

15
de uma informação que pode ser classificada como
restrita: o cadastro de cliente.

As informações Internas são aquelas que qualquer

colaborador da organização ou prestador de servi-
ço possa ter acesso para realizar suas atividades.
Apesar do vazamento desse tipo de informação não
representar ameaça significativa, o vazamento deve
ser evitado. Exemplo de uma informação que pode
ser classificada como interna: o processo de mon-
tagem em uma esteira de produção ou etapas para
a realização de uma venda no sistema.

Por sua vez, informações Públicas são as informa-

ções que já são de conhecimento do público em ge-
ral, interno e externo, e não representam nenhum ris-
co para a organização e seus intervenientes. Essas
informações podem ser divulgadas, uma vez que
a empresa pode visar à divulgação e obtenção de
alcance para elevado número de pessoas. Exemplo
de uma informação que pode ser classificada como
pública: os produtos ofertados pela empresa, resul-
tados financeiros passados de uma empresa listada
na bolsa de valores.

Do ponto de vista prático, normalmente existem en-

tre quatro e cinco níveis de informação em grandes
empresas. Com apenas dois ou três níveis não é
possível representar todo o conteúdo da informação.

Antes de implementar uma classificação, é funda-

mental verificar os procedimentos de classificação
e o escopo de classificação. No escopo de classi-
ficação são determinados quais os dados a serem

16
utilizados para classificar a informação e o processo
de classificação determina quais ações serão toma-
das com os dados classificados. Todos os recursos
de informação devem ser rotulados e marcados.

Além de padronizar a quantidade de níveis, o título de

cada nível também deve ser padronizado em toda a
organização. A definição dos tipos de classificação
deve ser compartilhada por todos os funcionários da
empresa, por meio de comunidade ou treinamentos.

A empresa também será submetida à auditoria inter-

na e externa para revisar a situação da classificação
de informação da organização e avaliar o nível de
conformidade com a política e os procedimentos
de classificação.

Rotulação
A rotulação visa a inibir a ação de algum fraudador,
mas, principalmente, salvaguardar juridicamente a
organização, no caso de violação da segurança da
informação naquele nível de classificação. Além dos
documentos impressos, também é aplicável aos
documentos eletrônicos e mensagens de e-mail.

A rotulação de documentos eletrônicos requer

maior atenção e a marca da classificação deverá
ser mostrada dentro do conteúdo do documento,
por exemplo: e-mails devem conter informações de
classificação no corpo da mensagem ou no campo
de assunto. Sistemas e aplicativos, como base de

17
dados de sistemas e aplicativos, devem mostrar
visualmente o nível da classificação de um registro
quando esse é acessado. As mídias podem ser ro-
tuladas visualmente com etiquetas, assim como os
documentos impressos.

Práticas Meio Canais

Rotulação Documentos Papéis
impressos
Documentos Arquivos eletrônicos
eletrônicos
Controle de Físico Tecnologias
Acesso biométricas
Lógico Login de acesso a
sistemas

Tabela 3: Aspectos práticos da classificação da informação. Fonte:

Elaboração própria.

18
ANÁLISE DAS AMEAÇAS
De acordo com as RFCs 2828 e 4949, Glossários
de Segurança na Internet, uma ameaça representa
um potencial para a segurança ser violada, no caso
da ocorrência de um evento, ação ou circunstância,
gerando danos. (RFC 2828)

SAIBA MAIS
As Request for Comments – RFCs (ou pedido por
comentários) são documentos técnicos criados
por organizações que lidam com tecnologia. A
RFC 2828, Internet Security Glossary, está dispo-
nível em https://tools.ietf.org/html/rfc2828.

Acesso em: 19 abr. 2020.

Dessa forma, uma ameaça é um provável perigo

que pode explorar uma vulnerabilidade do usuário.
Uma vulnerabilidade é uma condição que, quando
explorada pelo atacante, pode resultar em uma vio-
lação de segurança.

A Common Vulnerabilities and Exposures (CVE) é

uma iniciativa colaborativa de diversas organizações
de tecnologia e segurança que criam listas de nomes
padronizados para vulnerabilidades e outras exposi-
ções de segurança. O objetivo da CVE é padronizar
as vulnerabilidades e riscos conhecidos, facilitando
a procura, o acesso e o compartilhamento de dados
entre diversos indivíduos e empresas.

19
A CVE possui uma definição própria de vulnerabilida-
de, que é uma fraqueza de uma lógica computacional,
por exemplo, o código encontrado nos componentes
de software e hardware que, quando explorado, pode
resultar em um impacto negativo contra a confiden-
cialidade, integridade ou disponibilidade.

A mitigação de vulnerabilidades envolve alterações

na codificação, mas pode também incluir alterações
de especificações ou até mesmo depreciações nas
especificações, por exemplo, a retirada e protocolos
afetados. (CVE)

Uma exposição é a configuração incorreta do sistema

ou erro no software, que permite acesso a informa-
ções ou capacidade e que pode ser utilizado por um
hacker, como um trampolim para o sistema ou rede.

Podcast 1

Hackers
Os invasores são indivíduos ou grupos que tentam
explorar vulnerabilidades para ganho pessoal ou fi-
nanceiro. Os invasores estão interessados em in-
formações como: números de cartões de crédito,
projetos de produtos, e qualquer coisa com valor.

Um exemplo dessa categoria são os invasores ama-

dores, também chamados de hackers inexperientes.
São invasores com limitada ou nenhuma qualifi-

20
cação profissional e que, frequentemente, utilizam
ferramentas ou instruções encontradas na internet
para lançar ataques. Apesar de utilizarem ferramen-
tas básicas, os resultados dos ataques ainda podem
ser devastadores.

Os hackers mais profissionais entram em computa-

dores ou redes para obter acesso. Dependendo da
intenção da invasão, esses invasores são classifi-
cados como white, grey ou black hat. Os invasores
white hat entram em redes ou sistemas de compu-
tadores para descobrir fraquezas, com o objetivo
de melhorar a segurança. Essas invasões são feitas
com prévia autorização e todos os resultados são
relatados ao proprietário. Por outro lado, os invaso-
res “do mal” (black hat) aproveitam qualquer vulne-
rabilidade para ganho pessoal, financeiro ou ganho
político. Os invasores suspeitos (gray hat) situam-se
entre os invasores “do bem” (white hat) e os “do mal”
(black hat). Os invasores grey hat podem encontrar
uma vulnerabilidade em um sistema e relatar a vul-
nerabilidade aos proprietários do sistema, se essa
ação coincidir com sua agenda. Alguns hackers gray
hat publicam os fatos sobre a vulnerabilidade na in-
ternet para que outros invasores possam explorá-la.

A acepção hacker é um tema controverso. É comum

a imprensa ou o público em geral utilizar o termo
para qualquer acusado de utilizar tecnologia para
fraudes de cartão de crédito, terrorismo, roubo de
identidade, vandalismo, etc. As comunidades de
computação atribuem o termo hacker a um profis-
sional especialista ou programador de vasto conhe-

21
cimento técnico, que tem satisfação em explorar e
aprender sistemas computacionais (KIM, SOLOMON,
2014, p. 68).

Outro grupo são os hackers organizados. Esses in-

cluem empresas de criminosos virtuais, hacktivistas,
terroristas e hackers patrocinados pelo Estado. Os
criminosos virtuais geralmente são grupos de cri-
minosos profissionais, focados em controle, poder
e riqueza. Esses criminosos são altamente sofis-
ticados e organizados e ainda podem fornecer o
crime digital como um serviço a outros criminosos.
Os hacktivistas fazem declarações políticas para
sensibilizar sobre questões que são importantes
para eles. Os invasores patrocinados pelo Estado
reúnem informações ou cometem sabotagem em
nome de seu governo. Eles costumam ser altamente
treinados, bem remunerados e seus ataques são
concentrados em objetivos específicos e benéficos
para o governo.

Outro termo muito frequente é o cracker. O cracker

tem uma intenção hostil, possui habilidade computa-
cionais bastantes sofisticadas e está interessado em
obter ganhos financeiros, diferentemente do hacker.
Esses tipos de atacantes são a maior ameaça a re-
cursos de informação e redes; e estão relacionados
a fraudes, roubos de dados, destruição de dados,
bloqueios de acesso, entre outras atividades com
intenções maliciosas.

A figura abaixo mostra as diferentes classificações

de criminosos virtuais.

22
 Criminosos virtuais

Insiders

Outsiders • Funcionarios e
ex-funcionários;
• Equipe contratada;
• Parceiros confiáveis�

Invasores
organizados Hackers

• Hackitivistas; • Hackers do mal; Amadores

• Terroristas; • Hackers suspeitos;
• Patrocinados • Hackers do bem�
pelo Estado�

Figura 4: Classificação de criminosos virtuais. Fonte: Cisco

Networking Academy, 2020.

Interceptação de tráfego
Na técnica de interceptação de tráfego, ou sniffing,
são inspecionados os dados trafegados em redes
de computadores, por meio de softwares específi-
cos, denominadod sniffers, ou farejadores. Existem
sniffers de pacotes Wi-Fi, redes e IP. Assim, o sniffer
pode ser implementado via hardware, software ou
combinação de ambos.

Nem sempre essa técnica é utilizada de forma mali-

ciosa, pois pode ser adotada por administradores de
redes, visando à detecção de problemas, análise z

Podcast 2

23
Programas para varredura de
vulnerabilidade
Os programas de varredura em redes, ou scanners,
efetuam buscas detalhadas em redes, visando a
identificar os computadores ativos e colher infor-
mações, tais como softwares instalados e serviços
disponibilizados. Com posse dessas informações,
associa-se potenciais vulnerabilidades aos progra-
mas instalados nos computadores identificados e
aos serviços disponíveis.

Com esse tipo de software é possível fazer uma

varredura parcial ou completa de um ou mais com-
putadores conectados à rede, para obter diversas
informações de possíveis vulnerabilidades como:
portas abertas inadvertidamente, programas e/ou
sistema operacional sem as últimas atualizações,
serviços executando indevidamente, dentre outras
falhas.

Em resumo, conforme Ulbrich e Valle (2003), scan é a

técnica utilizada por algum tipo de software projetado
para efetuar varreduras em redes de computadores,
em busca de vulnerabilidades. Os softwares utiliza-
dos nesse processo são chamados de scanners de
rede. A varredura pode ser legítima, quando realizada
por pessoas autorizadas, visando à adoção de me-
didas corretivas ou preventivas; ou maliciosa, quan-
do realizada por potenciais atacantes, que visam a
encontrar vulnerabilidades de serviços e softwares
instalados para executar atividades maliciosas. O
scanner envia mensagens preparadas para escolha

24
dos computadores. A maneira como o computador
responde indica a existência de um ponto fraco que
pode ser explorado. Com base nesse resultado,
os atacantes verificam qual o tipo de ataque a ser
utilizado.

Espionagem telefônica
(wiretapping)
Existem formas diferentes para realizar um grampo
telefônico em linhas de telefonia fixa e linhas de
comunicação de dados. A espionagem telefônica
pode ser classificada como ativa, quando o atacante
realiza modificação no sinal da linha; ou passiva,
quando ele simplesmente tem acesso ao conteúdo,
mas não pode alterá-lo.
Na espionagem ativa, há a espionagem telefônica
com entrada em piggyback, quando a espionagem
telefônica interceptar e modificar a mensagem origi-
nal de forma a interromper a linha de comunicações
para rotear a mensagem para outro computador, que
aturará como hospedeiro.
Tradicionalmente, o termo wiretapping está asso-
ciado a comunicações por voz. Para interceptação
de dados, é mais frequente o termo sniffing, como
estudado anteriormente, que também é aplicado a
interceptações de transmissão sem fio.

25
POLÍTICA DE
SEGURANÇA DE
INFORMAÇÃO
Segundo a NBR ISO/IEC 27002:2005, o objetivo da
Política de Segurança da Informação é prover orien-
tação e apoio da diretoria para a segurança de in-
formação, conforme os requisitos do negócio e as
leis e regulamentações aplicáveis.

É fundamental que a alta direção estabeleça uma

orientação da política alinhada aos objetivos dos
negócios e que apoie e esteja comprometida com a
segurança da informação – por intermédio da publi-
cação de uma política de segurança da informação
para toda a organização –, bem como realize revi-
sões periódicas dessa política.

O documento sobre a política deve conter uma defi-

nição de segurança da informação, suas metas glo-
bais, seus limites e sua importância. Também deve
possuir uma estrutura para estabelecer os objetivos
de controle e os controles, bem como a estrutu-
ra de análise, avaliação e gerenciamento de risco.
Faz-se necessário uma declaração, demonstrando
o comprometimento da direção, de forma a apoiar
as metas e princípios da segurança da informação.
Posteriormente, devem ser explicadas as políticas,
princípios, normas e requisitos de conformidade.
Adicionalmente, há a definição das responsabilida-

26
des gerais e específicas na gestão da segurança da
informação. Por fim, são anexadas referências à do-
cumentação, com o objetivo de sustentar a política.

Dessa forma, por meio de uma Política de Segurança

da Informação (PSI), a empresa formaliza suas es-
tratégias e abordagens para a preservação de seus
ativos. Essa política deve traduzir as expectativas
da empresa, em relação à segurança da informação,
levando em consideração os objetivos do negócio,
estratégias e a cultura da empresa.

A Política de Segurança de Informação objetiva a

elaboração de critérios para o adequado manuseio,
armazenamento, transporte e descarte das informa-
ções. Para elaboração da política, são necessárias
as seguintes atividades básicas:
• Estruturar o Comitê de Segurança;
• Definir objetivos;
• Realizar entrevistas e verificar a documentação
existente;
• Elaborar o glossário da Política de Segurança;
• Estabelecer responsabilidades e penalidades;
• Preparar o documento final da PSI;
• Oficializar a Política da Segurança da Informação;
• Sensibilizar os colaboradores.

São exemplos de questões que a Política de

Segurança da Informação deve responder:
• O que significa Segurança da Informação?

27
• Por que os colaboradores devem se preocupar
com segurança?
• Quais são os objetivos estratégicos de SI?
• Como é realizada a gestão da Segurança da
Informação?
• O que pensa a alta administração?
• Q u a i s s ã o o s principais papéis e
responsabilidades?
• Quais as penalidades previstas?
• Uma política de segurança precisa ser sustentada
por:
• Diretrizes
• Normas
• Procedimentos e Instruções

Diretrizes são conjuntos de regras gerais de nível

estratégico que estão baseadas na visão e na mis-
são da empresa. Essas regras representam as pre-
ocupações da organização sobre a segurança das
informações. As diretrizes correspondem a todos
os valores que devem ser seguidos para que as in-
formações tenham o nível de segurança exigido.

As Normas representam um conjunto de regras ge-

rais de segurança que se aplicam a todos os seg-
mentos envolvidos. Geralmente, são elaboradas com
foco em assuntos mais específicos, como: controle
de acesso, uso da internet, uso do correio eletrônico,

28
acesso físico, instruções sobre senhas e realização
de backups, entre outros. Devem ser elaboradas de
forma mais genérica possível.

Procedimentos e Instruções são um conjun-

to de orientações para realizar atividades e ins-
truções operacionais relacionadas à segurança.
Representam comandos operacionais a serem exe-
cutados no momento da realização de um procedi-
mento de segurança. É importante que exista uma
estrutura de registro de que esses procedimentos
são executados (evidências objetivas).

Para que uma política de segurança da informa-

ção tenha sucesso, é necessário que essa política
seja analisada criticamente a intervalos planeja-
dos, ou quando mudanças significativas ocorre-
rem, para assegurar a sua contínua pertinência,
adequação e eficácia. As bases de sustentação
são o desenvolvimento da Cultura de segurança, a
existência de Recursos adequados e a realização
de Monitoramento.

A implantação da política de segurança depende

de uma boa estratégia de divulgação e treinamen-
to entre os usuários, clientes e fornecedores; e de
uma forma eficiente de análise de desempenho da
política de segurança.

Para que uma política de segurança de informação

seja utilizada com sucesso, ela precisa ser:
• Clara, sendo escrita com uma linguagem formal
e acessível a todos;

29
• Concisa, pois não deve conter informações des-
necessárias ou redundantes;
• Adequada em relação à realidade da empresa;
• Atualizada periodicamente, posto que ocorrem
mudanças nos negócios, novas ameaças, entre
outros.

Dessa forma, para implementar uma Política de

Segurança da Informação, é necessário entender e
definir claramente o processo de desenvolvimento.
Posteriormente, deve-se estabelecer uma forma de
obter dados da organização. A política de segu-
rança deve considerar os negócios, os objetivos da
organização e sua cultura. Com base nela, pode-se
verificar o que já existe na empresa e o que é ne-
cessário desenvolver.

A política também precisa definir responsabilidades

e penalidades adequadas, no caso de haver infra-
ções, e a forma como ocorrerá sua implementação.
Por fim, é fundamental realizar um monitoramento
da política para ela ser tornar efetiva.

30
CONSIDERAÇÕES FINAIS
Apresentamos aqui as principais dimensões
da segurança: Confidencialidade, Integridade e
Disponibilidade da informação. A Disponibilidade
significa que a informação é acessível por usu-
ários autorizados, sempre que for solicitada. A
Confidencialidade é a garantia de que somente usu-
ários autorizados poderão acessar a informação. A
Integridade implica na modificação de informação
somente por usuários autorizados.

Também estudamos a necessidade, os objetivos e

os benefícios da classificação da informação, que se
aplica tanto para instâncias governamentais quanto
para empresas.

Por fim, clarificamos mais detalhadamente a Política

de Segurança de Informação. Espero que esses co-
nhecimentos tenham sido úteis para o enriqueci-
mento de sua carreira profissional.

31
 SÍNTESE

GESTÃO DE
RISCOS
ETAPAS DE AVALIAÇÃO, TRATAMENTO,
ACEITAÇÃO, COMUNICAÇÃO E
MONITORAMENTO DE RISCOS

Diretrizes D1 D2 D3 Dn Estratégico

Normas Tático

Procedimentos Operacional
P1 P2 P4 P5 P6 P7 P8 P9
Instruções
I I I I I I I I

Natureza do Negócio + Cultura Organizacional +

Ativos

A Política de Segurança da Informação busca prover uma

orientação e apoio da diretoria para a segurança de informação,
conforme os requisitos do negócio e as leis e regulamentações
aplicáveis�
Essa política deve ser documentada por meio de diretrizes, normas
e procedimentos�
• Diretrizes são conjuntos de regras gerais de nível estratégico que estão
baseadas na visão e na missão da empresa�
• Normas representam um conjunto de regras gerais de segurança que se
aplicam a todos os segmentos envolvidos�
• Procedimentos e Instruções são um conjunto de orientações para
realizar atividades e instruções operacionais relacionadas à segurança�
Referências Bibliográficas
& Consultadas
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS. NBR ISO/IEC 27002:2005. Boas práti-
cas na Gestão da Segurança de Informação.

BARRETO, J. S. et al. Fundamentos de seguran-

ça da informação. Porto Alegre: SAGAH, 2018.
[Biblioteca Virtual]

CISCO. Cisco Networking Academy. Disponível

em: https://www.cisco.com/c/en/us/training-events.
html. Acesso em: 20 abr. 2020.

COMER, D. E. Redes de computadores e inter-

net. 6. ed. Porto Alegre: Bookman, 2016. [Minha
Biblioteca]

CVE. Common Vulnerabilities and Exposures.

Disponível em: https://cve.mitre.org/about/termino-
logy.html. Acesso em: 20 abr. 2020.

DANTAS, M. L. Segurança da informação: uma

abordagem focada em gestão de riscos. Olinda:
Livro Rápido, 2011.

GOODRICH, M. T. Introdução à segurança de

computadores. Porto Alegre: Bookman, 2013.
[Minha Biblioteca]
KIM, D.; SOLOMON, M. G. Fundamentos de
segurança em sistemas de informação. Rio de
Janeiro: LTC, 2014.

DANTAS, M. L. Segurança da informação: uma

abordagem focada em gestão de riscos. Olinda:
Livro Rápido, 2011.

GOODRICH, M. T. Introdução à segurança de

computadores. Porto Alegre: Bookman, 2013.
[Minha Biblioteca]

KIM, D.; SOLOMON, M. G. Fundamentos de

segurança em sistemas de informação. Rio de
Janeiro: LTC, 2014.

KOLBE JÚNIOR, A. Sistemas de segurança da

informação na era do conhecimento. Curitiba:
InterSaberes, 2017. [Minha Biblioteca]

KOVACICH, G. L. Information systems security

officer’s guide, EUA: HB, 1998.
LYRA, M. R. Governança da segurança da infor-
mação. Brasília: Edição do Autor, 2015.

LYRA, M. R. Segurança e auditoria em Sistemas

de Informação. Rio de Janeiro: Ciência Moderna,
2008.

MACHADO, F. N. R. Segurança da informação:

princípios e controle de ameaças. 1. ed. São
Paulo: Érica, 2014. [Minha Biblioteca]
MANOEL, S. S. Governança de segurança
da informação: como criar oportunidades para
o seu negócio. Rio de Janeiro: Brasport, 2014.
[Biblioteca Virtual]

MCCLURE, S.; SCAMBRAY, J.; KURTZ, G.

Hackers expostos. 7. ed. Porto Alegre: Bookman,
2014. [Minha Biblioteca]

MOLINARO, L. F. R. Gestão de tecnologia da in-

formação: governança de TI: arquitetura e alinha-
mento entre sistemas de informação e o negócio.
Rio de Janeiro: LTC, 2011. [Minha Biblioteca]

STALLINGS, W.; BROWN, L. Segurança de

computadores: princípios e práticas. 2. ed. Rio de
Janeiro: Elsevier, 2014.

ULBRICH, H. C. Hacker: livro de exercícios. 2.

ed. São Paulo: Digerati Books, 2009.

ULBRICH, H. C; VALLE, J. D. Universidade

H4CK3R. São Paulo: Digerati Books, 2003