Apostila Curso GestãoSegurançaInformação v1

O Direito Autoral deste material didático E-mail:
está registrado na Biblioteca Nacional sob sponsor.portal@fernandoferreira.com

o número 423606, no Livro 792, Folha
266, em 31/1/2008.
Treinamento
em
Gestão da Segurança da Informação
“Todos os colaboradores devem saber que as informações manuseadas

têm valor e podem causar grandes prejuízos para a organização.”
www.auditsafe.com.br
Fernando Nicolau F. Ferreira Dezembro de 2010 AuditSafe Assessoria Empresarial Ltda.

fernandoferreira@fernandoferreira.com fale.conosco@auditsafe.com.br
Todos os Direitos Reservados – Proibida a Cópia e Reprodução Não Autorizada – AuditSafe Assessoria Empresarial Ltda. – 1
Autor e Instrutor do Curso

Fernando Nicolau F. Ferreira Acumula experiência de mais de 14 anos no planejamento, execução, coordenação e
Sócio-Diretor gerenciamento de diversos projetos:
Formação • Análises de riscos e diagnósticos de segurança;

• Revisão e elaboração de planos de contingência;
• Mestrando em Engenharia da Computação, • Desenvolvimento e implementação de políticas de segurança;
IPT-USP • Conscientização e treinamento;
• Tecnólogo em Processamento de Dados, • Gestão de incidentes;
Universidade Mackenzie • Forense computacional;
• Bacharel em Administração de Empresas, • Testes de ataques e invasão.
UniSant’Anna
Autor dos livros “Política de Segurança da Informação” e “Segurança da
Informação”, Editora Ciência Moderna, 2006/2003, respectivamente. Também foi um
Certificações Internacionais dos autores do livro “Novos Conceitos de Auditoria de Sistemas em Bancos”,
publicado pela FEBRABAN em junho de 2003.
• CISM
• CGEIT Autor e instrutor de cursos de Segurança da Informação nas empresas World Pass e na
• CSSLP Faculdade Impacta de Tecnologia.
• CITP
• CFE É sponsor do portal sobre Segurança da Informação www.fernandoferreira.com. Foi
• CobiT Foundations vencedor dos prêmios SECMASTER 2004 e da Nata dos Profissionais de
• BS7799 Lead Auditor Segurança da Informação 2008.
Idioma
Inglês
Contato
• fernandoferreira@auditsafe.com.br
• (11) 8181-6100
Este material do curso é protegido pela Lei

9.610, de 19.02.1998, de Direitos Autorais,
e não pode ser copiado ou distribuído sem
a autorização expressa do autor. 1
266, em 31/1/2008.
Instrutor
Carlos Gustavo Anchieschi Gomes Profissional com mais de 10 anos de experiência em auditoria de processos
de negócios e sistemas, consultoria em projetos de segurança de
informações e gerenciamento de riscos, atuando em projetos para clientes
de diversos segmentos de mercados.
Formação
Seu foco principal de atuação envolve projetos de auditoria de sistemas e
• Especialização em Telecomunicações e Segurança Digital
segurança de ambientes de TI, revisão de controles em sistemas aplicativos,
• Graduação em Direito– Universidade Paulista
avaliação de riscos, maturidade da gestão dos serviços de TI, política de
segurança de informação, planos de continuidade de negócios e recuperação
de desastres.
Certificações Internacionais
Possui relevante experiência em estruturas de controles e normativas
• CIW Security Professional
internacionalmente aceitas como melhores práticas de mercado: ISO
• Network+ Comptia
27001/27002, ISO 25999, COBIT, PCI e ITIL.
• Security+ Comptia
• Project+ Comptia
• CCSA NGX
Principais clientes atendidos:
• CCSE NGX
• CISCO CCNA
• Atento Brasil;
• CFE
• Banco Santander;
• Sun Security Admin for Solaria 10 OS
• Banco Bradesco;
• ITIL Foundations
• Secretaria da Fazenda do Estado de São Paulo;
• MOFF
• Secretaria de Segurança Pública – Polícia Civil;
• Banco IBI;
Associações de Classe
• Telefônica Empresas.
• CFE (Certified Fraud Examiner)
• COMPTIA
SOLUÇÕES E SERVIÇOS
• Sistemas Aplicativos
• Infra-estrutura de TI
• Controles Internos
• SOX e Compliance • Gestão Empresarial
• Controladoria
• Gestão Financeira
AUDITORIA DE
SISTEMAS E PROCESSSOS ASSESSORIA E
• Sistemas Integrados de • Diagnóstico de
Informação e Controle CONSULTORIA Segurança
• Enterprise Resource Planning EMPRESARIAL • Gestão de Riscos
• Desenvolvimento e FÁBRICA • Política de Segurança
Implementação DE PESSOAS da Informação
SOFTWARE PROCESSOS • Testes de Invasão
SEGURANÇA • Plano de Contingência
TECNOLOGIA
DA • Forense
INFORMAÇÃO Computacional
• Gap Analysis e
implementação da NBR
GOVERNANÇA DE TI CURSOS ISO 27001:2006
E • Conscientização
• Gap Analysis baseado em
TREINAMENTOS • Conformidade Legal
• Alocação e
frameworks de governança e
Terceirização de
gestão de TI
• Segurança da Informação • Forense Computacional Recursos
• Implementação de CobiT, ITIL,
VAL IT • Gestão de Riscos • Gestão da Continuidade
• Conformidade com ISO 20000 • Governança de TI • Metodologias e Melhores Práticas
• Auditoria de Sistemas • Política de Segurança da Informação
• Gerenciamento de Resultados

266, em 31/1/2008.
PRINCIPAIS CLIENTES
Treinamento
em
Gestão da Segurança da Informação
“Todos os colaboradores devem saber que as informações manuseadas

têm valor e podem causar grandes prejuízos para a organização.”
www.auditsafe.com.br
Fernando Nicolau F. Ferreira Dezembro de 2010 AuditSafe Assessoria Empresarial Ltda.

fernandoferreira@fernandoferreira.com fale.conosco@auditsafe.com.br

266, em 31/1/2008.
Informações Administrativas
Início, intervalos e encerramento
Distribuição de material (Copyright)

— O material didático fornecido e utilizado no curso é protegido pela Lei 9.610, de 19.02.1998, de Direitos
Autorais, não podendo ser copiado ou distribuído sem a autorização expressa do autor, uma vez que o
mesmo destina-se exclusivamente ao curso.
— O Direito Autoral deste material didático está registrado na Biblioteca Nacional sob o número 423606, no
Livro 792, Folha 266, em 31/1/2008.
Apresentação dos Participantes
Nome
Experiência em Segurança da Informação
O que espera do treinamento

266, em 31/1/2008.
Objetivos do Curso
Ao final, os participantes serão capazes de responder, pelo menos,
as seguintes perguntas:
O que devo proteger?

Contra o que e de quem?
Quais os riscos mais prováveis?
Quais os controles de segurança que devo utilizar para minimizar
os riscos?
Qual a importância de cada recurso?
Qual o grau de proteção desejado?
Quais as expectativas dos usuários em relação a segurança?
Quais as conseqüências para a organização se os sistemas e
informações forem corrompidos ou roubados?
Agenda
Etapas Temas
Abertura do Curso
1 Cenário Atual e Conceitos Básicos
2 Metodologias e Melhores Práticas em Segurança da Informação
3 Ativos de Informação
4 Gestão de Riscos
5 Política de Segurança da Informação e Conscientização
6 Segurança Física e do Ambiente
7 Segurança Lógica
8 Gestão da Continuidade dos Negócios
9 Auditoria de Sistemas
10 Forense Computacional
Finalização – Quiz e Certificações para Profissionais

266, em 31/1/2008.
Dúvidas?
-- Fim da Abertura --
Etapa 1
Cenário Atual e Conceitos Básicos

266, em 31/1/2008.
1. Cenário Atual e Conceitos Básicos
Objetivos da Etapa 1
Prover aos participantes conhecimentos sobre os principais

incidentes de segurança na atualidade.
Compreender os conceitos básicos de segurança da informação,

suas implicações e conseqüências.
Entender a importância que a informação possui corporativamente

para protegê-la de forma eficaz.
Conhecer os recursos que devem e precisam ser protegidos.
1. Cenário Atual e Conceitos Básicos – (cont.)
Total de incidentes cresce ano a ano
Fonte: Cert.br

266, em 31/1/2008.
EUA acusam três funcionários da Coca-Cola de tentarem vender segredos comerciais à Pepsi
http://oglobo.globo.com/economia/mat/2006/07/06/284765630.asp
Funcionário da Câmara vende depoimento de diretor do Deic ao PCC

http://www.estadao.com.br/ultimas/cidades/noticias/2006/mai/17/149.htm
Roubo de software Cisco acaba em invasão à NASA

http://www.idg.com.br/idgnow/seguranca/2005/05/10/idgnoticia.2006-03-12.1496014276/
F1: segredos da Ferrari podem ter sido entregues para a McLaren

http://icarros.uol.com.br/icarros/noticias/ultnoticiasdetalhe.jsp?id=5171
Sigilo Quebrado - Projetos de novos carros, estudos de mercado e planos estratégicos foram roubados da Ford. Na era
digital, as empresas estão cada vez mais vulneráveis
http://revistaepoca.globo.com/Epoca/0,,EPT984667-3771,00.html




266, em 31/1/2008.







266, em 31/1/2008.
Pirata virtual invade site do SBT e faz "pichação" contra corrupção

Folha online




266, em 31/1/2008.
Adolescente aplica golpe milionário no INSS

jg.globo.com/JGlobo/0,19125,VTJ0-2742-20051129-124632,00.html
PF prende estagiário acusado de fraude ao INSS
http://conjur.estadao.com.br/static/text/39827,1




266, em 31/1/2008.
Notícias e casos reais
Fonte adicional:
Acesse www.fernandoferreira.com para ler mais artigos sobre segurança da informação e auditoria de sistemas.
Tipos de incidentes de segurança mais reportados
Fonte: Forrester Research

266, em 31/1/2008.
Novo cenário de ameaças
Novo cenário de ameaças – (cont.)
Novos Ataques
— Mais Complexos
— Menor Tempo de Ataque
— Maior Poder de “Destruição”
— Usuário considerado o “Elo Mais Fraco”
< Exemplos:
– Phishing Scam, DoS, DDoS, Worms, Engenharia Social, etc.

266, em 31/1/2008.
Lembre-se, Firewall é apenas parte da Solução
Dado ... é:
— conjunto de caracteres
Ou seja,
01182281340
É a garantia de que a informação esteja a
Informação ... é:
salvo de qualquer perigo, assegurada de
— interpretação ou significado dos dados
danos eCPF:riscos
Tel: eventuais.
(011)
011.822.813-40
8228-1340 (??)
Segurança ... é:
— ação ou efeito de tornar seguro

266, em 31/1/2008.
Por que é necessária?
Para minimizar os riscos do negócio em relação à dependência do

uso dos recursos de informação para o funcionamento da
organização.
Sem a informação ou com uma incorreta, o negócio pode ter perdas
que comprometam o seu funcionamento e o retorno sobre o
investimento dos acionistas.
Importância da Segurança da Informação
A gestão da segurança em tecnologia da informação é importante, pois os

ambientes estão sujeitos a:
— Ativos desprotegidos
— Vulnerabilidades
— Ameaças
— Falta de conscientização em segurança
— Administração insegura da informação
— Baixo uso de controles
— Alto índice de riscos

266, em 31/1/2008.
Importância da Segurança da Informação – (cont.)
O objetivo da segurança é proteger as informações, sejam elas em papel

ou armazenadas nos discos rígidos dos computadores.
Conseqüentemente, a segurança também envolve a proteção dos

elementos que manipulam e/ou armazenam tais informações.
Proteger a informação significa garantir:

Três propriedades básicas:
R$ 5.000,00
— Confidencialidade
< Garantia de que somente as pessoas autorizadas tenham acesso à
informação.
— Integridade XX
< Garantia de que a informação está inalterada, íntegra.
— Disponibilidade
< Garantia de que a informação está disponível no momento que precisa ser
acessada.

266, em 31/1/2008.
Proteger a informação significa garantir: - (cont.)
Legalidade: o uso da informação deve estar de acordo com as leis

aplicáveis, regulamentos, licenças e contratos.
Auditabilidade: o acesso e o uso da informação devem ser

registrados, possibilitando a identificação de quem fez o acesso e o
que foi feito com a informação.
Não repúdio: o usuário que gerou ou alterou a informação

(arquivo ou e-mail) não pode negar o fato, pois existem mecanismos
que garantem sua autoria.
E se não houver preocupação?
Risco!
— Probabilidade de algo ruim acontecer...
Probabilidade Explorar
Ameaça Vulnerabilidade
Causando
IMPACTO ($$$)

266, em 31/1/2008.
Pausa para reflexão e troca de experiências!
“No cenário mais recente, a economia mundial evoluiu de um modelo

industrial para um modelo baseado no conhecimento. Desta forma, a
informação, ou seja, o conhecimento das empresas, torna-se um de
seus maiores diferenciais competitivos.”
Pausa para reflexão e troca de experiências! – (cont.)
Existe uma política de segurança na sua organização?

Você conhece esta política?
Você já leu, pela segunda vez, a política?
Como é garantido, em sua organização, que cada usuário tem
acesso somente as informações necessárias para o desenvolvimento
de suas atividades?
Quem solicita o acesso a informação? É formal?
Qual a proteção utilizada para o tráfego de informações, tanto na
rede interna quanto na Internet?

266, em 31/1/2008.
Prejuízos da Ausência do Adequado Nível de Segurança
< Imagem e credibilidade poderão ser afetadas

< Aumento das despesas com prejuízos por paralisação do negócio
< Novas aplicações e negócios são viabilizados sem segurança
< Informações ou programas podem ser acessados, alterados ou excluídos sem
autorização, devido à falta de conhecimento das políticas de segurança
< Impossibilidade de continuar o processamento de dados e de negócios em
caso de desastres
< Divulgação de informações confidenciais
< Ausência de alinhamento dos processos de TI e Segurança com os requisitos
do negócio
Lições aprendidas
Visualizamos as tendências e principais incidentes em segurança da

informação.
Aprendemos os conceitos básicos que caracterizam a segurança.
Entendemos a importância que possui para a organização proteger

adequadamente as informações que possibilitam a realização de
seus negócios.
Identificamos o que deve ser protegido: tecnologia, processos e

pessoas.

266, em 31/1/2008.
Dúvidas?
-- Fim da Etapa 1 --
Etapa 2
Metodologias e Melhores Práticas em

Segurança da Informação

266, em 31/1/2008.
2. Metodologias e Melhores Práticas
Adquirir conhecimentos sobre as metodologias e melhores práticas

em segurança da informação existentes.
Entender os principais conceitos, diferenças e semelhanças entre

elas e identificar suas possíveis aplicações.
Conhecer as certificações de segurança para ambientes

informatizados.
Família das normas ISO
Guidelines for
Auditing ISMS
Overview and
Certification 27007 Vocabulary
Authority
Requirements 27006 27000
Risk
27005 27000 27001 ISMS
Management
Family Requirements
ISMS Code of Practice

Measurements 27004 27002
27003 (antiga 17799)
Implementation
Guide

266, em 31/1/2008.
Família das normas ISO – (cont.)
— O processo de normatização da ABNT
ISO IEC IS International Standard
Aproximadamente, de 3 a 6 anos
ISO IEC FDIS Final Draft Intl Standard
ISO IEC FCD Final Committee Draft
ISO IEC CD Committee Draft
ISO IEC WD Working Draft
ISO IEC NWIP New Work Item Proposal
SP Study Period
2. Metodologias e Melhores Práticas – (cont.)
CobiT
— Control Objectives for Information and Related Technology,
elaborado pelo ISACA
ITIL
— IT Infrastructure Library: provê fundamentos para o processo de
gerenciamento da infra-estrutura de TI
PMBOK
— Project Management Body of Knowledge: melhores práticas para a
gerência de projetos

266, em 31/1/2008.
Outras metodologias e práticas
— SSE-CMM Systems Security Engineering – Capability Maturity Model 3.0

— GAISP version 3.0
— The Standard of Good Practice for Information Security
— ISO/IEC 13335 Information Technology – Guidelines for the Management of IT
Security
— ISO/TR 13569:1997 Banking and Related Financial Services - Information
Security Guidelines
— Security Management
— NIST 800-50 Building an Information Technology Security Awareness and
Training Program
— NIST 800-12 An Introduction to Computer Security
— NIST 800-14 Generally Accepted Principles and Practices for Securing
Information Technology Systems
— NIST 800-18 Guide for Developing Security Plans for Information Technology
Systems
— NIST 800-53 Recommended Security Controls for Federal Information Systems,
Second Public Draft
— OCTAVE® Criteria Version 2.0 Networked Systems Survivability Program
— Guidelines for the Security of Information Systems and Networks and Associated
Implementation Plan
— Manager’s Guide to Information Security
As metodologias gratuitas estão disponíveis para download em www.fernandoferreira.com
A norma NBR ISO/IEC 27002:2005

266, em 31/1/2008.
— Considerada o mais completo padrão para a gestão da

Segurança da Informação
— Contempla os aspectos:
< Confidencialidade
< Integridade
< Disponibilidade
— Conteúdo da Norma
1. Análise, avaliação e tratamento de riscos

2. Política de segurança da informação
3. Organizando a segurança da informação
4. Gestão de ativos
5. Segurança em recursos humanos
6. Segurança física e do ambiente
7. Gerenciamento das operações e comunicações
8. Controle de acessos
9. Aquisição, desenvolvimento e manutenção de sistemas de informação
10.Gestão de incidentes de segurança da informação
11.Gestão da continuidade do negócio
12.Conformidade

266, em 31/1/2008.
Análise, avaliação e tratamento de riscos
Objetivos:
< Identificar, quantificar e priorizar os riscos com base em critérios para sua
aceitação e dos objetivos relevantes para a organização
< Definir alternativas para tratar os riscos
< Identificar ameaças e vulnerabilidades
< Determinar impactos e probabilidades
< Tratar os riscos de segurança
Política de segurança da informação
Seção que trata de orientações e apoio da direção para a Política

Deve ser estabelecida de forma clara com o apoio e comprometimento da
direção
Deve ser emitida e mantida para toda a organização
Documento da Política
Controle: deve ser aprovado pela direção, publicado e comunicado, de forma
adequada, para todos os colaboradores
Diretrizes para implementação
Incluir declaração de comprometimento da direção, apoiando as metas e
princípios de segurança da informação
Definir responsabilidades gerais e específicas na gestão da segurança da
informação

266, em 31/1/2008.
Política de segurança da informação – (cont.)
Análise crítica da Política

Controle: realizar análise crítica e periódica para assegurar a contínua
pertinência, adequação e eficácia
Diretrizes para implementação
Entradas de análises críticas: realimentação de pessoal, ocorrência de
mudanças significativas, ações preventivas ou corretivas, relatos de
incidentes, etc.
Saídas de análises críticas: melhoria dos controles, alocação de recursos,
eficácia da gestão de segurança
Organizando a segurança da informação
Infra-estrutura da segurança da informação

Em uma organização, diz respeito a uma estrutura de gestão que deve ser
definida para controlar a implementação da segurança
Gestão refere-se a:
Aprovação da Política
Atribuição das funções da segurança
Coordenar e analisar criticamente a implementação da segurança
Comprometimento e apoio ativo da direção com a segurança

266, em 31/1/2008.
Organizando a segurança da informação – (cont.)
Infra-estrutura da segurança da informação – (cont.)
Coordenação da segurança
Controle: as atividades devem ser coordenadas e envolvidas por pessoal
de diferentes partes da organização (Comitê de Segurança)
Serão atribuídas as responsabilidades
Definidos os processos de autorização para uso dos recursos de TI
Acordos de confidencialidade
Contato com autoridades (bombeiros, advogado, fiscais e etc.)
Organizando a segurança da informação – (cont.)
Partes externas
Diz respeito em manter a segurança dos recursos de TI e seus ativos, quando
acessados, processados, comunicados ou gerenciados por partes externas
Acesso, processamento, comunicação e gestão de prestadores de serviços
deve ser controlado
Identificação dos riscos relacionados com partes externas
Controle: riscos que envolvam partes externas devem ser identificados e
controlados antes de se conceder o acesso
Identificando a segurança, quando tratando com clientes
Controle: requisitos de segurança devem ser considerados antes de
conceder o acesso
Identificando a segurança da informação nos acordos com terceiros

266, em 31/1/2008.
Revisão 1
< Qual a importância do patrocínio da Alta Administração?

a. Indispensável
b. Essencial
c. Opcional
< De acordo com a norma, quais são os pilares da Segurança da
Informação?
a. Confidencialidade, Importância e Disponibilidade
b. Confidencialidade, Integridade e Relevância
c. Confidencialidade, Integridade e Disponibilidade
< Em que fatores devem ser baseados a seleção de controles para
Segurança?
a. Nas necessidades de negócio da empresa.
b. Nos resultados do processo de Análise de Riscos.
c. Nos desejos da Alta Administração.
Gestão de ativos
Responsabilidade pelos ativos

Deve-se assegurar que os ativos de informação recebem e mantêm um
adequado nível de proteção
Deve-se identificar e inventariar todos os ativos mais importantes, bem como
documentar sua importância e relevância
O inventário dos ativos ajuda a manter uma proteção adequada,
fornecendo níveis de proteção proporcionais ao valor e importância destes
ativos
Proprietários dos principais ativos são responsáveis pela manutenção
apropriada dos controles
Itens tratados pela norma
Inventário de ativos
Proprietário de ativos
Uso aceitável de ativos

266, em 31/1/2008.
Gestão de ativos – (cont.)
Classificação da informação
A informação possui níveis de sensibilidade e criticidade
Diz respeito a assegurar que os ativos de informação recebam um nível
adequado de proteção
A informação deve ser classificada para indicar a importância, a prioridade e o
nível de proteção
A classificação leva em consideração
Identificação e manipulação adequada da informação
Definição de um conjunto apropriado de níveis de proteção, bem como na
determinação de medidas especiais de tratamento
Gestão de ativos – (cont.)
Classificação da informação – (cont.)
Para cada classificação, procedimentos de tratamento devem ser definidos para

acesso, cópia, armazenamento, transmissão, transporte, impressão e destruição
A responsabilidade de classificar um ativo é do proprietário da informação
Itens contemplados:
Recomendações para a classificação
Rótulos e tratamento da informação

266, em 31/1/2008.
Segurança em recursos humanos
Antes da contratação
Objetiva reduzir os riscos de erro humano, roubo, fraude ou uso indevido das
instalações
Responsabilidades de segurança devem ser atribuídas antes da contratação
Trabalhos que lidam com informações críticas e sensíveis exigem pessoal
qualificado
Funcionários, prestadores de serviço e usuários dos recursos de TI devem
assinar:
Termo de confidencialidade e responsabilidade
Termo de condições de emprego e trabalho
Itens contemplados:
Papéis e responsabilidades
Seleção, termos e condições de contratação
Segurança em recursos humanos – (cont.)
Durante a contratação
Objetiva assegurar que usuários estejam cientes das ameaças e preocupações
de segurança
Os usuários devem estar preparados para apoiar a Política de Segurança
durante a execução do trabalho
Os usuários precisam ser conscientizados, educados e treinados nos
procedimentos de segurança e no uso correto das instalações de TI
Realizar a educação e treinamento como forma de minimizar possíveis riscos de
segurança
Itens contemplados:
Responsabilidades da direção
Conscientização, educação e treinamento
Processo disciplinar

266, em 31/1/2008.
Encerramento ou mudança da contratação

Diz respeito a saída ou mudança controlada dos funcionários, fornecedores e
terceiros
Inclui, também, aspectos relacionados com a devolução de todos os
equipamentos e a retirada dos direitos de aceso
Itens contemplados:
Encerramento de atividades
Devolução de ativos
Retirada de direitos de acesso
O Usuário faz a diferença
O ser humano é um fator crítico de sucesso na segurança da

informação, tanto na vida profissional (proteção ao patrimônio da
empresa) quanto pessoal (proteção ao patrimônio individual).
Mesmo que existam equipamentos e softwares que realizem uma

parte da segurança da informação de forma automatizada, o usuário
pode e deve ajudar neste processo.
Para que a proteção da informação seja eficaz, o usuário deve seguir

os conceitos e regulamentos estabelecidos pela organização.

266, em 31/1/2008.
O Usuário faz a diferença – (cont.)
Ex.: Engenharia Social
Método de ataque onde uma pessoa faz uso da persuasão,

muitas vezes abusando da ingenuidade ou confiança do
usuário, para obter informações que podem ser utilizadas para
ter acesso não autorizado a computadores ou informações.
Trecho de filme: “Prenda-me se for capaz!”
Como o usuário pode ajudar?
— Seguindo as orientações, políticas e regulamentos, independente do

nível hierárquico
— Utilizando senhas fáceis de serem lembradas e difíceis de serem
adivinhadas por terceiros
— Não divulgando o usuários e senhas, pois são pessoais e
intransferíveis
— Bloqueando a estação de trabalho sempre que se ausentar da mesa

266, em 31/1/2008.
Como o usuário pode ajudar? – (cont.)
— Ao falar ao telefone ou por e-mail com pessoas externas à

organização, certificando-se que ela é quem diz ser
— Destruindo documentos ou mídias que não serão mais utilizadas
— Nunca abrir mensagens de desconhecidos
— Nunca abrir mensagens com anexos se eles não foram solicitados
Revisão 2
< Qual a importância de se definir o proprietário da informação?

a. Fundamental para o processo de gestão de riscos.
b. Importante para atribuição de responsabilidades.
c. Todas as anteriores.
< Quais os tipos de ativos de informação considerados na norma?
a. Pessoas e capital intelectual.
b. Ar-condicionado, telefone, lista de ramal.
< Quem deve assinar o Termo de Confidencialidade e Responsabilidade?
a. Pessoal da limpeza.
b. Funcionários, prestadores de serviço e usuários dos recursos de TI.
c. Estagiário.

266, em 31/1/2008.
Segurança física e do ambiente
Áreas seguras
Objetiva prevenir o acesso físico não autorizado, danos e interferências às
informações e instalações físicas
Áreas seguras devem ser projetadas para conter informações, recursos e
instalações críticas e/ou sensíveis
A proteção deve ser proporcional aos riscos identificados
Segurança física e do ambiente
Áreas seguras – (cont.)
Itens contemplados:
Perímetro de segurança física
Segurança em escritórios, salas e instalações
Proteção contra ameaças externas e do meio ambiente
Acesso público
Áreas de carga e descarga

266, em 31/1/2008.
Segurança física e do ambiente – (cont.)
Segurança de equipamentos
Objetiva prevenir a perda, dano ou comprometimento dos ativos e a interrupção
das atividades de negócio
Equipamentos devem ser fisicamente protegidos contra ameaças físicas e do
meio ambiente
Itens contemplados:
Instalação e proteção de equipamento
Segurança de cabeamento
Manutenção de equipamentos
Reutilização segura de equipamentos
Remoção de propriedade
NBR ISO/IEC 27002:2005 – (cont.)
Segurança física e do ambiente – (cont.)
Trecho de filme: “Roubo de notebook”

266, em 31/1/2008.
Gerenciamento das operações e comunicações
Procedimentos e responsabilidades operacionais

Relacionado com a operação segura e correta dos recursos de TI
Definição dos procedimentos e responsabilidades pela gestão e operação dos
recursos
Itens contemplados:
Documentação dos procedimentos de operação
Gestão de mudanças operacionais
Segregação de função
Segregação de ambientes
Gerenciamento das operações e comunicações – (cont.)
Gestão de serviços terceirizados

Relacionado com a implementação de um nível apropriado de segurança para
garantir que os serviços entregues atendam os requisitos definidos com
terceiros
Itens contemplados:
Entrega de serviços
Monitoração e análise crítica dos serviços terceirizados (SLAs)
Gestão de mudanças dos serviços terceirizados

266, em 31/1/2008.
Planejamento e aceitação dos sistemas

Objetiva minimizar o risco de falhas nos sistemas
Planejamento e preparação prévias são importantes para a disponibilidade
adequada dos recursos
Projeções de demandas de recursos para minimizar o risco de sobrecarga dos
sistemas
Documentação do processo e testes antes de seu aceite e uso
Itens contemplados:
Gestão da capacidade
Aceitação de sistemas
Proteção contra códigos maliciosos

Adotar controles especiais para prevenir, detectar, controlar e remover códigos
maliciosos e softwares não autorizados
Conscientização dos usuários quanto aos perigos do uso de códigos maliciosos e
softwares não autorizados
Cópias de segurança
Objetiva manter a integridade e disponibilidade da informação e dos recursos
Devem ser definidos os procedimentos de rotina para execução das cópias de
segurança
O objetivo é viabilizar a restauração em tempo hábil, além de registrar
eventos e falhas

266, em 31/1/2008.
Manuseio de mídias
Objetiva prevenir contra divulgação não autorizada, modificação, remoção ou
destruição de ativos
Mídias devem ser controladas e fisicamente protegidas contra roubo, acesso não
autorizado e danos em geral
Itens contemplados:
Gerenciamento de mídias removíveis
Descarte
Procedimentos para tratamento da informação
Gestão da segurança de redes

Visa proteger informações em rede e da infra-estrutura de suporte
Controles adicionais (criptografia) podem ser necessários para proteção de
dados sensíveis que transitam por redes públicas
Itens contemplados:
Controles de rede
Segurança dos serviços de rede

266, em 31/1/2008.
Troca de informações
Objetiva manter a segurança na troca de informações e softwares internamente
na organização e com entidades externas (criptografia)
Deve-se estabelecer procedimentos para proteção das informações e das mídias
em trânsito
Itens contemplados:
Políticas e procedimentos para troca de informações
Mídias em trânsito
Mensagens eletrônicas
Sistemas de informações de negócio
Serviços de comércio eletrônico

Refere-se a segurança em transações on-line e sua utilização de forma segura
Itens contemplados:
Comércio eletrônico
Transações on-line
Informações publicamente disponíveis

266, em 31/1/2008.
Monitoramento
Objetiva (i) detectar atividades não autorizadas, (ii) checar a eficácia dos
controles adotados e (ii) verificar a conformidade com a Política de Segurança
Sistemas e aplicações devem ser monitorados e eventos relacionados a
segurança devem ser registrados
Itens contemplados:
Registros de auditoria
Monitoramento do uso do sistema
Proteção dos registros (logs)
Registros de administrador e operador
Registros de falhas
Sincronização dos relógios
Revisão 3
< Qual o objetivo do perímetro de segurança física?

a. Prevenir o acesso físico não autorizado.
b. Proteger informações, instalações e recursos críticos.
< Qual a melhor forma de se efetuar a gestão dos serviços terceirizados?
a. Utilizando um SLA (Service Level Agreement).
b. Por meio de reuniões periódicas.
c. Nenhuma das anteriores.
< Qual recurso deve ser utilizado para troca de informações de forma
segura?
a. VPN (Virtual Private Network).
b. Criptografia.

266, em 31/1/2008.
Controle de acesso
Requisitos de negócio para controle de acesso

Refere-se em controlar o acesso a informação
Os acessos devem ser controlados baseando-se nos requisitos de negócio e na
atividade a ser desenvolvida
Item contemplado:
Política de controle de acesso
Controle de acesso – (cont.)
Gerenciamento de acesso do usuário

Objetiva prevenir acessos não autorizados
Devem ser definidos e implementados procedimentos formais para controlar a
atribuição de direitos de acesso aos sistemas de informação e serviços
Itens contemplados:
Registro de usuário
Gerenciamento de privilégios
Gerenciamento de senha
Análise crítica de acesso do usuário

266, em 31/1/2008.
Responsabilidades do usuário
Objetiva prevenir o comprometimento ou roubo da informação e recursos
Conscientização dos usuários sobre suas responsabilidades
Itens contemplados:
Uso de senhas
Equipamento de usuário sem monitoração
Política de mesa e tela limpas
Treinamento!!! Sensibilização!!!
Controle de acesso à rede

Objetiva prevenir o acesso não autorizado aos serviços de rede
Controla os acessos internos e externos (clientes, prestadores de serviços, etc.)
Itens contemplados:
Política de uso de serviços de rede
Autenticação para conexão externa
Identificação de equipamentos em redes
Segregação de redes
Controle de conexão e roteamento de redes

266, em 31/1/2008.
Controle de acesso ao sistema operacional

Objetiva prevenir acesso não autorizado aos sistemas operacionais
Itens contemplados:
Procedimentos seguros de entrada no sistema (logon)
Identificação e autenticação do usuário
Gerenciamento de senhas
Time-out
Limitação de horário de conexão
Computação móvel e trabalho remoto

Refere-se a segurança quando são utilizadas a computação móvel e recursos de
trabalho remoto
A proteção deve ser compatível com o nível de risco associado a estas formas
específicas de trabalho
Itens contemplados:
Computação e comunicação móvel (criptografia de disco rígido e na
comunicação)
Trabalho remoto (VPN)

266, em 31/1/2008.
Trecho de filme: “Descarte de informações”
Aquisição, desenvolvimento e manutenção de sistemas de

informação
Requisitos de segurança de sistemas de informação

Refere-se a segurança como parte integrante dos sistemas de informação
Requisitos de segurança devem ser identificados, acordados e documentados
antes do desenvolvimento
Item contemplado:
Análise e especificação dos requisitos de segurança

266, em 31/1/2008.

informação – (cont.)
Processamento correto nas aplicações

Objetiva prevenir o erro, perda, modificação ou uso impróprio de informações
em sistemas de aplicação
Os sistemas devem possuir controles para validação de dados de entrada,
processamento interno e saída
Itens contemplados:
Validação de dados de entrada
Controle de processamento interno
Integridade de mensagens
Validação de dados de saída

Controles criptográficos
Objetiva proteger a confidencialidade, integridade e autenticidade das
informações
Utilização destes controles para proteção das informações críticas
Itens contemplados:
Política para uso de controles criptográficos
Gestão de chaves

266, em 31/1/2008.

Segurança em processos de desenvolvimento e suporte

Ambientes de desenvolvimento, testes e suporte devem ser rigidamente
controlados
Gestores devem analisar criticamente todas as mudanças propostas para
assegurar que não comprometam a segurança do sistema ou do ambiente
Itens contemplados:
Procedimentos para controle de mudanças
Vazamento de informações
Desenvolvimento terceirizado de software

Gestão de vulnerabilidades técnicas

Objetiva reduzir os riscos da exploração de vulnerabilidades técnicas conhecidas
A gestão deve ser implementada de forma sistemática, periódica e com
medições de sua efetividade

266, em 31/1/2008.
Revisão 4
< Em que requisitos os acessos devem ser baseados?

a. Com o que o usuário quiser acessar.
b. Nos requisitos de negócio e na atividade a ser desenvolvida.
c. Nenhuma das anteriores.
< Qual a melhor forma de instruir o usuário a fazer a “coisa” certa?
a. Com provas e respostas de múltipla escolha.
b. Conscientizando sobre suas responsabilidades.
c. Por meio de um programa de conscientização em Segurança da Informação.
< Em que momento a área de Segurança deve ser envolvida no
desenvolvimento de um novo sistema?
a. No planejamento.
b. Na especificação técnica.
c. Após o desenvolvimento.
Gestão de incidentes de segurança da informação
Notificação de fragilidades e eventos de segurança da informação

Objetiva assegurar que fragilidades e eventos de segurança sejam notificados,
permitindo a tomada de ações corretivas em tempo hábil
Devem ser estabelecidos procedimentos formais de registro e classificação,
além de divulgá-los
Itens contemplados:
Notificação de eventos de segurança
Notificando fragilidades de segurança

266, em 31/1/2008.
Gestão de incidentes de segurança da informação – (cont.)
Gestão de incidentes e melhorias no processo

Objetiva assegurar que a gestão consistente e efetiva seja aplicada aos
incidentes
Deve-se definir as responsabilidades e procedimentos para manusear as
fragilidades
Processo de melhoria contínua
Itens contemplados:
Responsabilidades e procedimentos
Aprendendo com os incidentes
Coleta de evidências
Gestão da continuidade do negócio
Aspectos da gestão da continuidade

Objetiva (i) não permitir a interrupção das atividades do negócio, (ii) proteger
os processos críticos contra falhas ou desastres e (iii) assegurar sua
recuperação em tempo hábil
Itens contemplados:
Incluindo a segurança no processo de gestão da continuidade
Análise e avaliação de riscos
Desenvolvimento e implementação de planos de continuidade
Testes, manutenção e reavaliação dos planos

266, em 31/1/2008.
Conformidade
Conformidade com requisitos legais

Objetiva evitar a violação de qualquer lei criminal ou civil, estatutos,
regulamentações ou obrigações contratuais e de quaisquer requisitos de
segurança
Itens contemplados:
Identificação da legislação vigente
Direitos de propriedade intelectual
Proteção de registros organizacionais
Privacidade
Conformidade – (cont.)
Conformidade com normas e políticas de segurança

Objetiva a conformidade dos sistemas com as normas e políticas organizacionais
de segurança
Auditoria de plataformas técnicas e sistemas para verificar a conformidade com
as políticas definidas
Itens contemplados:
Conformidade com as políticas e normas de segurança
Verificação da conformidade técnica

266, em 31/1/2008.
Conformidade – (cont.)
Considerações quanto à auditoria de sistemas

Objetiva maximizar os resultados e a eficácia, bem como diminuir a
interferência no processo de auditoria dos sistemas
Itens contemplados:
Controles de auditoria de sistemas
Proteção de ferramentas de auditoria de sistemas
Dúvidas

266, em 31/1/2008.
— Sistema de Gestão em Segurança da Informação (SGSI)

< Resultado da aplicação de diretrizes, políticas, procedimentos e outras
medidas administrativas que definem como são reduzidos os riscos para
segurança
< Uma empresa que implante a ISO 27001 acaba por construir um SGSI
— Sistema de Gestão em Segurança da Informação (SGSI) – (cont.)

266, em 31/1/2008.
Benefícios da Certificação
— Internamente — Externamente
< Aperfeiçoamento da segurança < Satisfação do cliente
como um todo
< Assegura conformidade com
< Gerenciamento e redução do políticas e requisitos de
impacto dos incidentes de segurança
segurança
< Oferece margem competitiva
< Aumenta a motivação e
participação dos funcionários < Boa imagem e reputação da
organização perante os clientes
< Aumenta a rentabilidade e sociedade
Atividade em grupo
Com base no que foi apresentado até o momento, na sua opinião,

quais seriam as razões e os argumentos para uma empresa adotar a
ISO 27001 / ISO 27002?

266, em 31/1/2008.
CobiT
Control Objectives for Information and Related Technology
CobiT
— O CobiT (Control Objectives for Information and
Related Technology), elaborado pelo ISACA
(Information Systems Audit and Control Association),
é um modelo de estrutura de controles internos
orientado para o entendimento e o gerenciamento
dos riscos associados ao uso da Tecnologia da
Informação.
— Maior ênfase em conformidade com requisitos legais
— Permite o fácil alinhamento e simplifica a
implementação de seu framework
— Não cancela sua versão anterior, 3.0, mas
complementa-a
— Disponível para download para associados da ISACA
em www.isaca.org/cobit

266, em 31/1/2008.
CobiT – (cont.)
— Está dividido em 4 grandes seções:

< Executive Overview
< Framework
< Core Content
< Appendices (mapping and cross-references, additional maturity
model information, reference material, a project description and a
glossary)
— O Core Content está dividido em:

< High-level control objective
< Detailed control objectives
< Management guidelines
< Maturity model
CobiT – (cont.)
— Indicadores
< 5 níveis de maturidade
– 0: Não-existente
– 1: Inicial / Ad-hoc
– 2: Repetido, mas intuitivo
– 3: Processo definido
– 4: Gerenciável e mensurável
– 5: Otimizado
< Fatores críticos de sucesso
< Indicadores chave de objetivos
< Indicadores chave de desempenho

266, em 31/1/2008.
CobiT – (cont.)
— Critérios da informação
< Efetividade (eficácia): Relevância da informação e pertinência aos

processos de negócio de forma correta, precisa, consistente e em formato
adequado para a utilização;
< Eficiência: Refere-se à provisão da informação por meio da melhor (mais
produtiva e econômica) forma de utilização dos recursos;
< Confidencialidade: Refere-se à proteção de informação considerada
privilegiada contra divulgação não autorizada;
< Integridade: Relaciona-se à precisão e à manutenção da integridade da
informação, bem como sua validade de acordo com os padrões
estabelecidos e expectativas de negócio;
< Disponibilidade: Relaciona-se à disponibilidade da informação no
momento em que for requerida pelos processos do negócio, o que inclui
também a salvaguarda dos recursos;
CobiT – (cont.)
— Critérios da informação – (cont.)
< Conformidade: Lida com o atendimento e a conformidade com as leis,

regulamentos e cláusulas contratuais aos quais os processos de negócio
estarão sujeitos (foco no atendimento às regulamentações externas);
< Confiabilidade: Relaciona-se ao fornecimento, por parte dos sistemas, de
informações apropriadas para a tomada de decisões, como relatórios
financeiros precisos e informações adequadas aos órgãos legais sobre o
cumprimento das leis.

266, em 31/1/2008.
CobiT – (cont.)
— Recursos de TI
< Aplicações: São os sistemas automatizados do usuário e procedimentos

manuais que processam a informação;
< Informação: É o dado em todas as suas formas de entrada,
processamento e saída pelos sistemas de informação, seja qual for a
maneira a ser utilizada pelo negócio;
< Infra-estrutura: É a tecnologia (hardware, sistemas operacionais,
sistemas de gerenciamento de bancos de dados, rede, multimídia, etc., e o
ambiente que os suporta) que possibilitam o processamento das
aplicações;
< Pessoas: Necessárias para planejar, organizar, adquirir, implementar,
entregar, suportar, monitorar e avaliar a informação, sistemas e serviços.
Podem ser internos, terceirizados ou contratados sob demanda;
CobiT – (cont.)
— Critérios básicos
Critérios da Informação Recursos de TI
Efetividade Aplicações
Eficiência Informações
Confidencialidade Infra-estrutura
Integridade Pessoas
Disponibilidade
Conformidade
Confiabilidade

266, em 31/1/2008.
CobiT – (cont.)
— Domínios
CobiT – (cont.)
— Domínios – (cont.)
Planejar e Organizar (PO) IT and Business

► Objetivos:
Formular estratégia e tática
Identificar como TI pode contribuir para atingir os objetivos de negócio
Planejar, comunicar e gerenciar as decisões relacionadas com os objetivos de
negócio
Implementar infra-estrutura tecnológica e organizacional
► Responde as seguintes questões:
TI e os objetivos de negócio estão estrategicamente alinhados?
A empresa está utilizando ao máximos seus recursos?
Todos na empresa entendem os objetivos de TI?
Os riscos relacionados com TI são compreendidos e gerenciados?
A qualidade dos sistemas de TI é apropriada para atender os objetivos de negócio?

266, em 31/1/2008.
CobiT – (cont.)
Plan and Organise
PO1 Define a strategic IT plan.

Plan and Acquire and PO2 Define the information architecture.
Organise Implement
PO3 Determine technological direction.
IT Processes PO4 Define the IT processes, organisation
and relationships.
PO5 Manage the IT investment.
PO6 Communicate management aims and
Deliver and Monitor and
Support Evaluate
direction.
PO7 Manage IT human resources.
PO8 Manage quality.
PO9 Assess and manage IT risks.
PO10 Manage projects.
Fonte: ISACA
CobiT – (cont.)
New Projects
? Organisation
Adquirir e Implementar (AI)
► Objetivos:
Identificar, desenvolver ou adquirir, implementar e integrar as soluções de TI
Efetuar mudanças e manutenções nos sistemas existentes
Os novos projetos entregam soluções que atendem as necessidades do negócio?
Os novos projetos são entregues no prazo e dentro do orçamento?
Os novos sistemas funcionam adequadamente após implementados?
As mudanças em sistemas são realizadas sem afetar as operações de negócio?

266, em 31/1/2008.
CobiT – (cont.)
Acquire and Implement
AI1 Identify automated solutions.

Plan and Acquire and AI2 Acquire and maintain application
Organise Implement
software.
IT Processes AI3 Acquire and maintain technology
infrastructure.
AI4 Enable operation and use.
AI5 Procure IT resources.
Deliver and Monitor and AI6 Manage changes.
Support Evaluate
AI7 Install and accredit solutions and
changes.
Fonte: ISACA
CobiT – (cont.)
IT Services Business Priorities

Entrega e Suporte (DS)
► Objetivos:
Pronta entrega de serviços solicitados
Gestão da segurança da informação, da continuidade, dos dados e instalações
operacionais
Suporte aos usuários
Os serviços de TI são entregues em conformidade com as prioridades do negócio?
Os custos de TI são otimizados?
Os usuários conseguem utilizar os sistemas de TI de forma correta e produtiva
A confidencialidade, integridade e disponibilidade são mantidas?

266, em 31/1/2008.
CobiT – (cont.)
Deliver and Support
DS1 Define and manage service levels.

DS2 Manage third-party services.
Acquire and DS3 Manage performance and capacity.
Plan and
Organise Implement DS4 Ensure continuous service.
DS5 Ensure systems security.
IT Processes
DS6 Identify and allocate costs.
DS7 Educate and train users.
DS8 Manage service desk and incidents.
Deliver and Monitor and DS9 Manage the configuration.
Support Evaluate DS10 Manage problems.
DS11 Manage data.
DS12 Manage the physical environment.
DS13 Manage operations.
Fonte: ISACA
CobiT – (cont.)
Monitorar e Avaliar (ME) IT Performance

► Objetivos:
Gerenciamento da performance
Monitoração dos controles internos
Conformidade com requisitos legais
Governança de TI
A performance de TI é medida para que problemas sejam detectados previamente?
A Alta Administração assegura que os controles internos são eficientes e eficazes?
A performance de TI pode ser equiparada e medida juntamente com as metas do
negócio?
Os riscos, controles e a performance são medidos e seus resultados reportados
quando necessário?

266, em 31/1/2008.
CobiT – (cont.)
Monitor and Evaluate Plan and Acquire and

Organise Implement
ME1 Monitor and evaluate IT performance. IT Processes

ME2 Monitor and evaluate internal control.
ME3 Ensure compliance with external
requirements.
ME4 Provide IT governance. Monitor and
Deliver and
Support Evaluate
Fonte: ISACA
Novo CobiT, versão 4.1 – (cont.)
— Demonstração do CobiT...

266, em 31/1/2008.
Novo CobiT, versão 4.1 – (cont.)
Atividade em grupo
Com base no que foi apresentado até o momento, na sua opinião,

quais seriam as razões e os argumentos para uma empresa adotar o
CobiT?
ITIL
IT Infrastructure Library

266, em 31/1/2008.
ITIL - IT Infrastructure Library
— Criado em 1980 pelo CCTA e transferido ao OGC (Office of

Government Commerce) do governo britânico
— Estrutura de padrões e melhores práticas para gerenciar os
serviços e infra-estrutura de TI
— Os processos da ITIL podem ser utilizados como base para alcançar
conformidade com as normas BS 15000 (British Standard for IT
Service Management) e ISO/IEC 20000.
ITIL - IT Infrastructure Library – (cont.)
O que é?
— Conjunto de melhores práticas para operações e gerenciamento de

serviços de TI:
— Gerenciamento da Configuração;
— Central de Serviços;
— Gerenciamento de Problemas e Incidentes;
— Gerenciamento de Mudanças;
— Gerenciamento da Capacidade e Disponibilidade;
— Gerenciamento da Continuidade dos Serviços de TI;
— Gerenciamento Financeiro para Serviços de TI;
— Gerenciamento do Nível de Serviço;
— Gerenciamento da Infra-estrutura;
— Gerenciamento de Aplicações.

266, em 31/1/2008.
ITIL - IT Infrastructure Library – (cont.)
O que é? – (cont.)
— Rastreia problemas em áreas de serviço de TI como help desk,

suporte a aplicações, distribuição de software e suporte a sistemas de
contato com o cliente.
PMBOK
Project Management Body of Knowledge

266, em 31/1/2008.
PMBOK
— PMBOK - Project Management Body of

Knowledge
— Descreve o conhecimento e melhores práticas
da área de gerência de projetos
— Publicado pelo PMI - Project Management
Institute
— É o mais usado em todo o mundo
PMBOK – (cont.)
— Abrangência

266, em 31/1/2008.
Correlações entre ISO 27002 x CobiT x demais práticas
— Apresentação dos materiais da ISACA:
— Security Baseline
— Mapping of ISO 27002 with CobiT
— Mapping of ITIL with CobiT
Dúvidas?

266, em 31/1/2008.
Etapa 3
Ativos de Informação
3. Ativos de Informação
Conhecer os diferentes tipos de ativos na organização para

identificar e protegê-los.
Identificar as vulnerabilidades e ameaças relacionadas a esses

ativos para elaborar sua proteção.
Inventariar e classificar os ativos de informação.

266, em 31/1/2008.
3. Ativos de Informação – (cont.)
O que é?
É tudo aquilo que tem valor para a organização e, devido a esse

aspecto, precisa ser protegido.
Os ativos são elementos que a segurança da informação busca

proteger por conta do seu valor. Este valor pode estar no próprio
ativo, assim como no uso que a organização faz dele (ex.: hardware,
software, dados, pessoas, equipamentos).
Categorias de Ativos
Ativo tangível: consiste de objetos reais (físicos)

— Produto ou bem
— Informação em papel
— Equipamento
— Imóvel
Ativo intangível: consiste em objetos abstratos

— Marca
— Reputação
— Capital intelectual

266, em 31/1/2008.
Agentes envolvidos com os ativos
— Proprietário
— Custodiante
— Usuário Proprietário
ATIVO
Custodiante Usuário
Agentes envolvidos com os ativos – (cont.)
Proprietário de um ativo
• Entidade que detém a propriedade direta de um ativo
• Propriedade pode ser exercida em nome de pessoa física ou jurídica
Proprietário
ATIVO

266, em 31/1/2008.
Custodiante de um ativo
• Entidade que tem a responsabilidade pela guarda (custódia) de um
ativo de propriedade de terceiro
• Geralmente, a área de TI é a custodiante de ativos de informação
• Uma vez recebida do proprietário, a custódia não pode ser
delegada; somente o proprietário pode transferi-la
Proprietário
ATIVO
Custodiante de um ativo – (cont.)
• Entidade geralmente associada a posse do ativo

• O receptor possui a responsabilidade pela integridade dos ativos
custodiados
• O custodiante pode receber o direito de executar operações com os
ativos em nome do proprietário
Proprietário
ATIVO

266, em 31/1/2008.
Custodiante de um ativo – (cont.)
• Controla a atribuição de acesso a um dado ativo

• Este controle é exercido por meio de senhas, listas de controle de
acesso, privilégios, permissões e etc.
• Tipos de acesso
• Leitura, gravação, alteração, exclusão, execução
Proprietário
ATIVO
Usuário de um ativo
• Entidade que efetivamente usufrui (usa) de um determinado ativo
• Os usuários podem ser tanto internos quanto externos
Proprietário
ATIVO

266, em 31/1/2008.
Dúvidas?
Exercício 1 – Identificação de ativos
NOC - Network Operation Center Centro de Processamento de Dados

Figura 1 Figura 2

266, em 31/1/2008.
O que é vulnerabilidade?
É uma fraqueza que pode ser acidentalmente utilizada ou

intencionalmente explorada de um ativo ou grupo de ativos.
Em um dado sistema ou plataforma, vulnerabilidades possibilitam

um ataque específico e uma exposição às ameaças.
O que é ameaça?
É a possibilidade de um invasor ou evento inesperado explorar uma

vulnerabilidade de forma eficaz, podendo causar:
Destruição, divulgação e modificação de dados;
Indisponibilidade de serviços (DoS).

266, em 31/1/2008.
Os ativos, elementos que sustentam a operação do negócio,

sempre terão consigo
vulnerabilidades
que, por sua vez, estarão sujeitos a
ameaças.
Tipos de Ativos e os Riscos de Segurança
Em um dado ambiente, os seguintes tipos de ativos podem ser

encontrados:
Informações
Software
Hardware
Organização
Pessoal

266, em 31/1/2008.
Tipos de Ativos e os Riscos de Segurança – (cont.)
Informações (ou apenas, ativo de informação)
Ativo que inclui qualquer informação registrada ou armazenada em

meio eletrônico ou papel. Exemplos:
— Documentos, planilhas, relatórios, correspondências
— Livros e manuais
— Informações de mercado
— Códigos de programação
— Planos de estratégias e negócios
Informações (ou apenas, ativo de informação) – (cont.)
Os ativos podem estar sujeitos a uma série de ameaças e

vulnerabilidades, como:
— Roubo de documentos
— Controle de acesso mal configurado
— Alteração indevida de informações
— Informações sigilosas não protegidas
— Indisponibilidade
– Corrupção, destruição, degradação, etc.

266, em 31/1/2008.
Informações (ou apenas, ativo de informação) – (cont.)
Exemplo de vulnerabilidades e ameaças:
Ativo: Relatório
Vulnerabilidades: Conteúdo não

sigiloso e controle de acesso indevido
Ameaças: acesso e divulgação não autorizados;
indisponibilidade; perda da informação, etc.
Software
Ativo que inclui programas de computador que automatizam ou

otimizam processos relacionados ao uso e manipulação de
informações. Exemplos:
— Sistemas operacionais
— Programas de correio eletrônico
— Aplicativos comerciais, etc.

266, em 31/1/2008.
Software – (cont.)

— Falhas de segurança
— Indisponibilidade de informações
— Bugs e etc.
Software – (cont.)
Exemplo de vulnerabilidade e ameaças:
Ativo: Servidor Web
Vulnerabilidade: Manipular URLs mal

formadas
Ameaças: acesso não autorizado a informações;
indisponibilidade; perda da informação, etc.

266, em 31/1/2008.
Hardware
Ativo que inclui a infra-estrutura tecnológica que processa,

transmite, transporta ou armazena informações. Exemplos:
— Computadores e servidores
— Mainframes
— Notebooks
— Unidades de discos e meios de armazenamento
— Roteadores e switches
— Placas de redes e etc.
Hardware – (cont.)

— Roubo de equipamentos
— Falhas elétricas
— Configuração física
— Acidentes naturais

266, em 31/1/2008.
Hardware – (cont.)
Ativo: Servidor BD
Vulnerabilidade: Servidor não

localizado em ambiente seguro
Ameaças: acesso físico não autorizado; roubo do
disco rígido; indisponibilidade; etc.
Organização
Ativo que inclui a infra-estrutura organizacional e física (não

tecnológica) que suporta os processos e atividades de uma entidade.
Exemplos:
— Estrutura departamental e funcional
— Fluxos de informação
— Armários
— Sala de servidores
— Fitoteca e etc.

266, em 31/1/2008.
Organização – (cont.)

— Estrutura organizacional que não contemple o papel da segurança
— Armários sem chave contendo dados sigilosos
— Sala de servidores sem controle de acesso
— Falhas de segurança física
— Colocar documentos importantes em locais inseguros e de fácil
acesso; e etc.
Organização – (cont.)
Ativo: Sala de
Servidores
Vulnerabilidade: Sala sem controle de
acesso físico
Ameaças: acesso físico não autorizado; roubo de
máquinas; acesso não autorizado; etc.

266, em 31/1/2008.
Pessoal
Ativo que inclui todo pessoal que lida com a informação e utiliza a
estrutura física, lógica, tecnológica, organizacional e de comunicação
de uma entidade. Exemplos:
— Diretores
— Gerentes
— Funcionários
— Clientes
— Prestadores de serviços e etc.
Pessoal – (cont.)

— Esquecimento de senhas
— Ausência da conscientização em segurança
— Descontentamento
— Suborno ou corrupção
— Falhas humanas e etc.

266, em 31/1/2008.
Pessoal – (cont.)
Ativo: Cliente
Vulnerabilidade: Descuido com senha

(anotada em local visível)
Ameaças: perda financeira; acesso não
autorizado; fraudes; indisponibilidade e etc.
Dúvidas?

266, em 31/1/2008.
Exercício 2 – Identificação de vulnerabilidades e ameaças -

(cont.)
NOC - Network Operation Center Centro de Processamento de Dados

Figura 1 Figura 2
Frases e perguntas para reflexão
“Você sabe quem pode ter acesso a suas informações?”
“É importante que as informações, de sua empresa, sobre os salários

dos colaboradores não sejam alterados acidental ou
propositadamente?”
“A informação para tomada de decisões críticas para o negócio estão

sempre disponíveis quando se precisa delas?”

266, em 31/1/2008.
Frases e perguntas para reflexão – (cont.)
“As informações estão sendo usadas de acordo as leis e

regulamentos em vigor?”
“O acesso e o uso da informação são registrados?”
“Você tem como provar a autenticidade do remetente de um e-mail

recebido?”
Lembre-se dos princípios básicos para a proteção dos ativos

que estão baseados nos critérios:
Confidencialidade
Exercício 3
Integridade
Disponibilidade Seleção e Utilização dos
Controles da Norma
Legalidade
Auditabilidade
Não repúdio

266, em 31/1/2008.
Dúvidas?
Inventário de ativos
Com a intenção de se obter informações relevantes sobre os ativos

importantes e críticos de uma organização, deve-se manter um
inventário de ativos de informação completo e atualizado.
O inventário é essencial para identificação de vulnerabilidades e

ameaças.

266, em 31/1/2008.
Inventário de ativos – (cont.)
Como exemplo, pode-se classificar os ativos em tipos diferentes:

Ativos de software (aplicações comerciais, de segurança,
desenvolvidas internamente, sistemas operacionais, SGBD)
Ativos físicos (CPD, Diretoria, Operação)
Ativos intangíveis (imagem da organização, capacidade de
descobrir e reter talentos, SLAs, qualidade)
Informação (digital, física – em papel)
Pessoas
Serviços (suporte técnico, backup, energia elétrica)
Classificação dos Ativos

Quanto à sua Importância

266, em 31/1/2008.
Classificação da importância dos ativos
Os ativos listados no inventário devem ter sua importância

classificada quanto à Confidencialidade, Integridade e
Disponibilidade.
Para se definir sua importância, faz-se necessária a análise no
contexto que participa. A importância pode ser:
Alta
Média
Baixa
Exemplos a seguir...
Classificação da importância dos ativos – (cont.)
Confidencialidade
O ativo deve ser classificado como Alto quando:
A perda de sua confidencialidade causará prejuízos financeiros.
O cumprimento dos objetivos de negócio ou quaisquer outras
obrigações serão retardados e prejudicados devido a quebra da
confidencialidade.
A perda da confidencialidade causará: danos a imagem e
reputação, perda de competitividade e implicações legais.

266, em 31/1/2008.
Confidencialidade – (cont.)
O ativo deve ser classificado como Médio quando:

A perda de sua confidencialidade poderá causar prejuízos
financeiros.
obrigações poderão ser retardados e prejudicados devido a
quebra da confidencialidade.
A perda da confidencialidade poderá causar: danos a imagem e
Confidencialidade – (cont.)
O ativo deve ser classificado como Baixo quando:

A perda de sua confidencialidade não causará prejuízos
financeiros.
obrigações não serão retardados e prejudicados devido a quebra
da confidencialidade.
A perda da confidencialidade não causará: danos a imagem e

266, em 31/1/2008.
Integridade
A perda de sua integridade causará prejuízos financeiros.
obrigações serão retardados e prejudicados devido a perda da
integridade.
A perda da integridade causará: danos a imagem e reputação,
perda de competitividade e implicações legais.
Integridade – (cont.)

A perda de sua integridade poderá causar prejuízos financeiros.
obrigações poderão ser retardados e prejudicados devido a perda
da integridade.
A perda da integridade poderá causar: danos a imagem e

266, em 31/1/2008.
Integridade – (cont.)

A perda de sua integridade não causará prejuízos financeiros.
obrigações não serão retardados e prejudicados devido a perda da
integridade.
A perda da integridade não causará: danos a imagem e
Disponibilidade
É indispensável para a realização de uma ou mais atividades e
não poderá ficar indisponível.
Sua indisponibilidade causará prejuízos financeiros.
obrigações serão retardados e prejudicados devido à sua
indisponibilidade.
Sua indisponibilidade causará: danos a imagem e reputação,

266, em 31/1/2008.
Disponibilidade – (cont.)

É indispensável para a realização de uma ou mais atividades,
porém poderá ficar indisponível por curto período de tempo, fora
do horário de expediente normal.
Sua indisponibilidade poderá causar prejuízos financeiros.
obrigações poderão ser retardados e prejudicados devido à sua
indisponibilidade.
Sua indisponibilidade poderá causar: danos a imagem e
Disponibilidade – (cont.)

É indispensável para a realização de uma ou mais atividades e
poderá ficar indisponível por curto período de tempo,
independentemente do horário.
Sua indisponibilidade não causará prejuízos financeiros.
Dificilmente impedirá o cumprimento dos objetivos de negócio ou
quaisquer outras obrigações devido à sua indisponibilidade.
Sua indisponibilidade não causará: danos a imagem e reputação,

266, em 31/1/2008.
Classificação dos Ativos

Critérios e Rotulagem
Classificação dos ativos de informação
Já entendemos que a classificação da informação auxilia na:

Identificação e manipulação adequada da informação
Definição de um conjunto apropriado de níveis de proteção, bem
como, na determinação de medidas especiais de tratamento
A informação deve ser classificada de acordo com as diretrizes que

indicam a importância, a prioridade e o nível de proteção adequado.

266, em 31/1/2008.
Classificação dos ativos de informação – (cont.)
A política ou norma deve tratar dos seguintes aspectos:

Critérios de classificação
Responsável pela classificação
Rotulagem
Restrições de manipulação do ativo
Requisitos de segurança necessários (C.I.D.)
Revisão da classificação
Critérios de classificação
A informação pode ser classificada quanto aos requisitos de:

— Confidencialidade, integridade e disponibilidade
Exemplo típico de classificação
— Informação Pública / Não classificada
— Informação Interna
— Informação Confidencial
— Informação Secreta

266, em 31/1/2008.
Critérios de classificação – (cont.)
Classificação Descrição
Pública / Não Informações, que se forem divulgadas fora da organização, não trarão impactos aos negócios.
classificada Exemplos: testes de sistemas ou serviços sem dados confidenciais, brochuras / folders da
organização.
Interna O acesso externo às informações deve ser evitado. Entretanto, se estes dados tornarem-se
públicos, as conseqüências não são críticas. Existe seleção de funcionários para o acesso interno.
Exemplo: agendas de telefones e ramais, grupos de desenvolvimento de sistemas aplicativos onde
os dados utilizados são fictícios.
Confidencial As informações desta classe devem ser confidenciais dentro da organização e protegidos de
acesso externo. Se alguns destes dados forem acessados por pessoas não autorizadas, as
operações da organização podem ser comprometidas, causando perdas financeiras e perda de
competitividade. Exemplos: salários, dados pessoais, dados de clientes, senhas e informações
sobre as vulnerabilidades da organização.
Secreta O acesso interno ou externo não autorizado a estas informações é extremamente crítico para a
organização. O número de pessoas com acesso as informações deve ser muito pequeno, bem
como regras restritas para sua utilização. Exemplos: informações militares ou de uma importante
concorrência e contratos confidenciais.
Importância da classificação correta

— Pode acarretar em proteção não adequada
— Despesas desnecessárias com controles
— Dificuldades de operação dos processos corporativos

266, em 31/1/2008.
Problemas encontrados com a super classificação

— Muitas dúvidas relacionadas aos critérios de classificação
— Tendência de segurança máxima
< Os colaboradores ficam com medo de atribuir um nível menor de
classificação
< Como conseqüência, adotam uma postura mais conservadora quanto à
segurança
Alternativas para auxiliar a classificação correta:

— Elaboração de manual explicando o uso correto da classificação e
diversos exemplos
— Descrição do processo de verificação periódica
— Evitar regras de classificação automática, pois geralmente resultam
em uma classificação maior que a desejada

266, em 31/1/2008.
Recomenda-se que a classificação deve ser de responsabilidade

do proprietário da informação
Ativos criados por entidades externas também devem ser
classificados
A classificação deve ser revisada em bases regulares
Os ativos devem ser identificados por meio de rótulos
Rótulo
Elemento integrante ou associado ao ativo de informação

Possui informações relevantes quanto à classificação e outros
controles dos ativos

266, em 31/1/2008.
Rótulo – (cont.)
Exemplos de informações que podem constar em um rótulo:

Título, Versão, Data
Classificação
Proprietário
Autoria
Restrições de manipulação (ex. restrições de acesso,
armazenamento, cópia, impressão e etc.)
Rótulo – (cont.)
Exemplos de componentes de rotulagem para documentos:

266, em 31/1/2008.
Manipulação dos ativos
O proprietário deve informar as restrições existentes de manipulação

dos ativos. Exemplo:
Acesso
Armazenamento
Transmissão, Transporte
Cópia, Impressão, Destruição
A manipulação depende da classificação aplicada.
O papel das pessoas
Um programa efetivo de classificação depende de regras bem

definidas e responsabilidades atribuídas. Algumas entidades
envolvidas neste processo são:
Proprietário da informação
Custodiante
Security Officer
Usuário final

266, em 31/1/2008.
O papel das pessoas – (cont.)
Exemplos de regras bem definidas para classificação:

Revisão periódica para assegurar que continua em conformidade
com os objetivos de negócio
Verificar o cumprimento da Política
— Quando possível, aplicar a rotulagem
— Definir, revisar e assegurar que restrições de manipulação e
controles de segurança estejam compatíveis e em uso
Relatar os incidentes de segurança
Exercício 1
Avalie e melhore os seguintes níveis de classificação da informação:
PÚBLICA: A informação pode ser de conhecimento dos clientes e do público em

geral.
INTERNA: A informação diz respeito a assuntos da organização relativos aos
processos operacionais. O conhecimento dessa informação por pessoas não
autorizadas não acarreta prejuízo aos negócios da organização.
CONFIDENCIAL: A informação possui valor para o negócio da organização. Seu
conhecimento por pessoas não autorizadas pode acarretar prejuízos (financeiro,
de mercado ou de imagem) para o negócio.

266, em 31/1/2008.
Exercício 2
Classifique e justifique os seguintes documentos:
1.Política de Segurança da Informação

2.Procedimento de reembolso de despesas
3.Serviços prestados e produtos vendidos pela organização
4.Último balanço publicado na imprensa
5.Próximo balanço ainda não publicado na imprensa
6.Relatório de planejamento estratégico da organização
7.Tela de saldo de conta corrente de cliente de organização financeira.
8.Ficha cadastral de funcionário
Dúvidas?

266, em 31/1/2008.
Etapa 4
Gestão de Riscos
- Avaliação e Análise de Riscos
- Tratamento dos Riscos
4. Gestão de Riscos
— Conhecer o conceito de risco e sua implicação na segurança da

informação
— Utilizar metodologia internacional para Análise e Avaliação de Riscos
— Identificar as conseqüências da aplicação, ou não, de medidas de
segurança
— Utilizar metodologia internacional para o Tratamento de Riscos
— Especificar controles e medidas de segurança para eliminar as
vulnerabilidades com o intuito de minimizar a concretização de
potenciais ameaças

266, em 31/1/2008.
4. Gestão de Riscos – (cont.)
Fontes Utilizadas no Curso
— NIST Special Publication 800-30
— AS/NZS 4360:2004
— ISO/IEC 13335 (futura ISO/IEC 27005)
Introdução
— Segundo o NIST 800-30 risco é uma função, exemplificada a

seguir:
Probabilidade de uma
ameaça/vulnerabilidade
Função Nível de
Controle utilizados
de Risco Risco
Impacto da ameaça Impacto: PERDA – magnitude do prejuízo causado

pela ameaça/vulnerabilidade.

266, em 31/1/2008.
Introdução – (cont.)
— Aplicações
< Governança de TI
< Projetos de análise e Gestão de Riscos
< Análise e automação de Compliance
< Inventário de ativos
< Self-assessment
< Apoio para PCN
< Análise de riscos em fornecedores e parceiros
< Análise de aplicações
< Auditorias
— O que é Gestão de Riscos?

< Processo de identificar, avaliar e minimizar o risco
— Qual é o objetivo?
< Possibilitar a organização atingir sua missão com os riscos sendo
controlados
— Vantagens
< Melhoria da segurança de TI (proteção dos ativos)
< Suporte à gerência em decisões de despesas e investimentos
< Suporte à gerência em aprovar a operação de sistemas de TI

266, em 31/1/2008.
— A gestão de riscos procura manter um equilíbrio entre o

operacional e os custos econômicos de medidas
protecionistas, ou seja, despesas.
— Segundo o NIST 800-30, a gestão de riscos possui 2 processos

principais:
< Avaliação e Análise de Riscos
< Tratamento dos Riscos
Gestão de Riscos NIST 800-30
Avaliação e
Tratamento
Análise de
dos Riscos
Riscos

266, em 31/1/2008.
Ciclo da Segurança da Informação
EXPLORAM
AMEAÇAS VULNERABILIDADES
PROTEGEM CONTRA EXPÕEM
CONTROLES RISCOS ATIVOS
SUPRIDAS COM TEM
VALORES E
NECESSIDADES IMPACTO
DE SEGURANÇA POTENCIAL A
ATIVOS
Gestão de Riscos
- Principais Normas, Metodologias e Frameworks

266, em 31/1/2008.
Principais Normas, Metodologias e Frameworks
Norma NBR ISO/IEC Guia 73

Norma NBR ISO 31000
Norma NBR ISO/IEC 27005
NIST Special Publication 800-30
AS/NZS 4360:2004
COSO
CobiT
Principais Normas, Metodologias e Frameworks – (cont.)
Norma NBR ISO/IEC Guia 73
—Norma voltada para a harmonização dos termos que compõem

os documentos de especificação de riscos
—Deu fim à dificuldade no entendimento de termos como
ameaças, vulnerabilidades, controles, probabilidade, impacto,
conseqüências e outros elementos que fazem parte da análise e
gestão de riscos

266, em 31/1/2008.
• Norma NBR ISO 31000

– Provê diretrizes para a
gestão de riscos
– Aplica-se a todos os tipos
de organização, pois é
genérica
— Princípios da NBR ISO 31000

< Cria valor
– À saúde das pessoas, à segurança, à conformidade legal, à aceitação pública,
meio ambiente, à reputação
< Parte integrante dos processos organizacionais
– Faz parte das responsabilidades da administração e é parte integrante de todos
os processos organizacionais, gestão de projetos e de mudanças
< Parte da tomada de decisões
– Auxilia na escolha consciente, na priorização de ações
< Aborda explicitamente a incerteza
– Aborda a natureza da incerteza

266, em 31/1/2008.
— Princípios da NBR ISO 31000 – (cont.)
< Sistemática, estruturada e oportuna

– Contribui para eficiência e para os resultados conscientes, comparáveis e
confiáveis
< Baseada nas melhores informações possíveis
– Fonte confiável de dados históricos, experiências retroalimentação das partes
interessadas
< Feita sob medida
– Alinhada com o contexto interno e externo da organização, bem como o perfil
do risco
< Considera fatores humanos e culturais

– Reconhece capacidades, percepções, e intenções do pessoal interno e externo
< Transparente
– Garante que as partes interessadas possam se expressar e tenham suas
opiniões levadas em consideração
< Dinâmica, interativa e capaz de reagir a mudanças
– Quando acontecem eventos internos e externos, o contexto e conhecimento se
modificam e reagem às mudanças

266, em 31/1/2008.
< Facilita a melhoria contínua

– Assegura o desenvolvimento e implementação de estratégias para melhorar sua
maturidade na gestão de riscos com todos os demais aspectos da organização

266, em 31/1/2008.
—Gestão de riscos para Segurança da Informação

—Tem por objetivo fornecer as diretrizes para o processo de
gestão de riscos de segurança da informação, atendendo aos
requisitos de um Sistema de Gestão de Segurança da
Informação (SGSI), de acordo com a NBR ISO/IEC 27001

266, em 31/1/2008.
NIST Special Publication 800-30

– Possui 2 processos principais:
• Avaliação e Análise de Riscos
• Tratamento dos Riscos
Gestão de Riscos
Avaliação e
Tratamento
Análise de
dos Riscos
Riscos
• AS/NZS 4360
• Provê guia para gestão de riscos

• Aplicável a diversos tipos de
atividades e operações
• Especifica os elementos do
processo de gestão de riscos
• Aplicável a gestão de ganhos e
perdas potenciais
• Utilizada como base para criação
da ISO 31000

266, em 31/1/2008.
COSO
CobiT

266, em 31/1/2008.
Dúvidas?
Próximo assunto: Avaliação e Análise de Riscos
4.1 Avaliação e Análise de Riscos

Visão geral
— Primeiros passos para a gestão de riscos

— Utilizada para determinar o nível de riscos associados com o
ambiente informatizado
— Uso sistemático de informações para identificar fontes de ameaças e
estimar o risco
— Processo de comparar o risco estimado com critérios de risco pré-
definidos para determinar a importância do risco
— Atividades coordenadas para direcionar e controlar uma organização
no que se refere a riscos

266, em 31/1/2008.
4.1 Avaliação e Análise de Riscos – (cont.)
O que é risco?
Medida numérica que quantifica ou qualifica a probabilidade da ocorrência

de um incidente de segurança e seu impacto para os negócios da
organização.
RISCO = PROBABILIDADE x IMPACTO
Probabilidade:
Resultado da análise das ameaças existentes que cercam o ambiente de TI,
bem como das vulnerabilidades potenciais e controles de segurança
implementados e disponíveis.
Impacto:
Resultado de um dano causado por uma ameaça que explorou uma
vulnerabilidade.
Definições e conceitos conhecidos até o momento...
Vulnerabilidade
Ameaça
Probabilidade
Impacto
Risco
Todos são necessários para realização da Análise de Riscos!

266, em 31/1/2008.
Metodologia
— Passo 1 – Caracterização do sistema / ativos de informação

— Passo 2 – Identificação das ameaças
— Passo 3 – Identificação das vulnerabilidades
— Passo 4 – Análise dos controles de segurança
— Passo 5 – Análise da probabilidade
— Passo 6 – Análise de impacto
— Passo 7 – Determinação do risco
— Passo 8 – Recomendações dos controles de segurança
— Passo 9 – Documentação dos resultados
Metodologia – (cont.)

266, em 31/1/2008.
Passo 1
Caracterização do sistema / ativos de informação
Passo 1 – Caracterização do sistema / ativos de informação
— Objetivo
< Definição do escopo da análise e entendimento inicial do sistema / ativos
de informação
— O que fazer?
< Identificar as fronteiras e limites
< Identificar, relacionar e caracterizar os recursos e dados
– Recursos = computadores, equipamentos de comunicação, softwares, equipes,
responsável e etc.

266, em 31/1/2008.
Passo 1 – Caracterização do sistema / ativos de informação –

(cont.)
— O Passo 1 é influenciado por:

< Informações do sistema que servem para caracterizar tanto o sistema
propriamente dito, como também seu ambiente operacional
< Técnicas de coleta que podem ser usadas para solicitar informações
relevantes sobre o ambiente de processamento

(cont.)
— Informações que caracterizam o sistema e seu ambiente

operacional:
< Hardware, software
< Interfaces (internas e externas)
< Usuários e equipes de suporte
< Missão e criticidade (valor dos dados) do sistema
< Requisitos funcionais, arquitetura e topologia
< Controles de armazenamento de informações
< Segurança ambiental (umidade, energia, temperatura e etc.)
< Segurança de pessoal, operações de backup, recuperação, contingência,
manutenção, controle de acesso de usuário, segregação de funções

266, em 31/1/2008.

(cont.)
— No Passo 1, a fonte de coleta de informações depende

também do estágio do ciclo de vida do sistema, por exemplo:
< Em projeto
– Informações derivadas do projeto ou requisitos levantados para o sistema
< Em desenvolvimento
– Informações sobre as regras de segurança e atributos planejados para o
sistema
< Em operação
– Informações coletadas no ambiente de produção, incluindo configuração do
sistema, dados, conectividade, práticas e procedimentos documentados e não
documentados

(cont.)
— Técnicas para obtenção de informações

< Questionários
< Entrevistas on-site
< Leitura da documentação dos sistemas
< Utilização de ferramentas automatizadas (varreduras)

266, em 31/1/2008.

(cont.)
— Resultados do Passo 1
< Caracterização do sistema a ser avaliado
< Visão geral do ambiente do sistema
< Identificação e delineamento da fronteira do sistema

(cont.)
Entradas
Hardware
Passo 1 Resultados
Fronteira do
Software Caracterização do Sistema sistema
Interfaces Funções
Dados e Interações
informações
Criticidade
Pessoas e
usuários
Criticidade
Controle e etc.
Passo 2
Identificação de Ameaças

266, em 31/1/2008.
Passo 2
Identificação das ameaças
Passo 2 – Identificação das ameaças
— Objetivo
< Identificar as fontes de ameaças potenciais
— Fonte de ameaça
< Qualquer circunstância, evento ou método que tenha a potencialidade de
causar dano ao sistema computacional
< As fontes de ameaças mais comuns podem ser:
– Naturais
– Humanas
– Ambientais

266, em 31/1/2008.
Passo 2 – Identificação das ameaças – (cont.)
— A motivação e os recursos disponíveis, que podem levar a

execução de um ataque, fazem das “pessoas” a maior fonte de
ameaça
— As principais ameaças vindas das pessoas são:
< Hacker
< Cracker
< Criminoso de computador
< Terrorista
< Espionagem industrial
< Pessoal interno

266, em 31/1/2008.
— Outras formas que ajudam a identificar as fontes de ameaças

< Histórico de invasões e incidentes
< Relatórios de violações de segurança
< Relatórios de incidentes
< Entrevistas com administradores, pessoal de suporte e toda comunidade
de usuários propriamente dita

266, em 31/1/2008.
— Resultados do Passo 2
< A organização deve manter uma lista de fontes de ameaça que poderiam
explorar as vulnerabilidades de um sistema
< Fontes de informações sobre ameaças conhecidas auxiliam na criação e
manutenção desta lista (ex. centros de resposta a incidentes; meios de
comunicação e etc.)
Entradas
Histórico de
Passo 2 Resultados
ataques Relação contendo
Identificação das Ameaças as fontes de
Fontes de
ameaças ameaças que
podem explorar as
Possíveis vulnerabilidades de
motivações um sistema
Métodos de
ataque
Dados de
inteligência
Passo 3
Identificação das
Vulnerabilidades

266, em 31/1/2008.
Passo 3
Identificação das vulnerabilidades
Passo 3 – Identificação das vulnerabilidades
— Objetivo
< Desenvolver uma lista de vulnerabilidades do sistema (falhas ou
fraquezas) que podem ser exploradas pelas ameaças
— Vulnerabilidade
< Falha, defeito ou fraqueza em um procedimento, projeto, implementação
ou controle interno de um sistema que pode ocorrer (acidental ou
intencionalmente), tendo como resultado uma brecha de segurança

266, em 31/1/2008.
Passo 3 – Identificação das vulnerabilidades – (cont.)
— Fontes de vulnerabilidades documentadas

< Relatórios anteriores de avaliação de riscos
< Relatórios de auditoria
< Relatórios de testes de invasão
< Lista de vulnerabilidades
< Times de respostas à incidentes
< Alertas e comunicados de segurança oriundos de terceiros ou do
fabricante
— Além das fontes especificadas, podem ser utilizados

“Checklists” para verificação de requisitos, que podem ser
aplicados em três áreas distintas:
< Segurança gerencial
< Segurança operacional
< Segurança técnica

266, em 31/1/2008.
— Critérios para análise de vulnerabilidade
— Critérios para análise de vulnerabilidade – (cont.)

266, em 31/1/2008.
— Critérios para análise de vulnerabilidade – (cont.)
— Exemplos de vulnerabilidades, fontes de ameaças e ações

utilizadas como métodos de exploração

266, em 31/1/2008.
— Resultado do Passo 3
< Relação das vulnerabilidades que podem ser exploradas pelas fontes de
ameaças
Passo 3
Entradas Resultados
Relatórios de Identificação das Relação das
auditorias Vulnerabilidades vulnerabilidades
Análises de que podem ser
segurança exploradas pelas
fontes de ameaças
Testes de invasão
e análise de
vulnerabilidades
Alertas e etc.
Passo 4
Levantamento dos
Controles Existentes

266, em 31/1/2008.
Passo 4
Levantamento dos controles de segurança
existentes
Passo 4 – Levantamento dos controles de segurança

existentes
— Objetivo
< Relacionar os controles que estão implementados (ou planejados para
implementação)
— Os controles podem ser classificados em:
< Diretivo
< Preventivo
< Detectivo
< Corretivo
< De recuperação

266, em 31/1/2008.

existentes – (cont.)

< Relação dos controles de segurança utilizados e planejados, para
minimizar a probabilidade de uma vulnerabilidade ser explorada, visando
reduzir o impacto caso ela ocorra

266, em 31/1/2008.

Passo 4 Resultados
Entradas Relação dos
Controles atuais Levantamento dos controles de
segurança
Controles Controles Existentes utilizados e
planejados planejados, para
minimizar a
probabilidade de
uma
vulnerabilidade ser
explorada, visando
reduzir o impacto
caso ela ocorra
Passo 5
Determinação das
Probabilidades
Passo 5
Determinação da probabilidade

266, em 31/1/2008.
Passo 5 – Determinação da probabilidade
— Objetivo
< Determinar a probabilidade de ocorrência das ameaças
— Os seguintes fatores devem ser considerados:

< Motivação da fonte de ameaça
< Natureza da vulnerabilidade
< Existência e eficácia dos controles existentes
Passo 5 – Determinação da probabilidade – (cont.)
— A probabilidade pode ser expressa nos seguintes níveis:

266, em 31/1/2008.
< Identificação do nível de probabilidade aferido para cada par
ameaça/vulnerabilidade, ou seja: Alto, Médio, Baixo
Entradas
Passo 5
Motivações
Resultados
Recursos Determinação das
Identificação do
Capacidade Probabilidades nível de
probabilidade
Natureza da
aferido para cada
vulnerabilidade
par ameaça /
Controles vulnerabilidade, ou
existentes seja: Alto, Médio,
Baixo
Passo 6
Análise de Impacto

266, em 31/1/2008.
Passo 6
Análise de impacto
Passo 6 – Análise de impacto
— Objetivo
< Determinação do impacto resultante de uma ameaça bem sucedida
— Este passo possui como entradas:

< Ameaças
< Missão da corporação e do sistema
< Avaliação crítica dos ativos
< Criticidade dos dados e sistemas
< Perdas

266, em 31/1/2008.
Passo 6 – Análise de impacto – (cont.)
— Quanto à segurança, os seguintes critérios ajudam na

definição do impacto e contribuem para reduzir a
confiabilidade do sistema
< Perda de integridade – impactos possíveis
– Uso de dados corrompidos ou falsos
– Imprecisão dos sistemas
– Fraudes
– Pode ser o passo inicial de um ataque bem sucedido
< Perda de disponibilidade – impactos possíveis
– Destruir ou atrasar o uso e acesso às informações
– Perda de produtividade, impedindo os usuários de desempenharem suas
funções
– Desastres maiores (incêndio, sabotagem e etc.)
< Perda de confidencialidade – impactos possíveis

– Acesso, cópia e divulgação não autorizada
– Observação e monitoração não autorizada de transações
– Perda de competitividade
– Prejuízos de imagem
– Ações legais contra a organização, etc.

266, em 31/1/2008.
— A Análise de Impacto pode ser feita de duas formas:

< Qualitativa
– São atribuídos valores subjetivos (ex. Alto, Médio, Baixo)
< Quantitativa
– São atribuídos valores numéricos objetivos
– Baseia-se em valores quantitativos relacionados aos valores dos ativos ou
valores das perdas
– Dificuldades encontradas:
- No processo de levantamento e definição dos valores
- Na atribuição de valores quantitativos aos ativos intangíveis (marca,
reputação, confiança e etc.)
— Análises qualitativas

266, em 31/1/2008.
— Análises qualitativas – (cont.)
< Vantagens
– Concentra-se diretamente nos riscos
– Identifica imediatamente áreas que necessitam de melhorias para a correção de
vulnerabilidades
< Desvantagens
– Não fornece medidas quantificáveis da magnitude dos impactos
– Cria dificuldades na análise custo-benefício de quaisquer controles
recomendados
— Análises quantitativas
< Vantagens
– Fornece medidas quantificáveis da magnitude dos impactos
– Facilita a análise custo-benefício dos controles recomendados
< Principal Desvantagem

– Complexidade

266, em 31/1/2008.
< Magnitude ou nível de impacto de cada ameaça identificada que poderia
explorar as respectivas vulnerabilidades, ou seja: Alto, Médio, Baixo
Entradas
Ameaça Passo 6 Resultados
Magnitude ou
Impacto na
missão
Análise de Impacto nível de impacto de
cada ameaça
Avaliação de identificada
ativos
Criticidade
Perdas
Passo 7
Determinação dos Riscos

266, em 31/1/2008.
Passo 7
Determinação dos riscos
Passo 7 – Determinação dos riscos
— Objetivo
< Avaliar o nível de risco do sistema para cada par ameaça-vulnerabilidade
— Este passo possui como entradas:

< Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade
< Impacto para a organização resultante da fonte de ameaça explorar uma
vulnerabilidade
< Controles existentes ou planejados para reduzir ou eliminar o risco
FUNÇÃO DE RISCO

266, em 31/1/2008.
Passo 7 – Determinação dos riscos – (cont.)
< Exemplo da matriz de nível de risco

– Escala de risco: Alto (51-100); Médio (11-50); Baixo (1-10)
< Exemplo da matriz de nível de risco

– Escala de risco: Alto (51-100); Médio (11-50); Baixo (1-10)

266, em 31/1/2008.
< Determinação do nível de risco associado para cada par ameaça-
vulnerabilidade

266, em 31/1/2008.
Resultados
Passo 7
Determinação do
Entradas
nível de risco
Probabilidade
Determinação dos Riscos associado para
cada par ameaça-
Impacto vulnerabilidade
Controles
Passo 8
Recomendação dos
Controles de Segurança
Passo 8
Recomendação dos controles de segurança

266, em 31/1/2008.
Passo 8 – Recomendação dos controles de segurança
— Objetivo
< Relacionar os controles possíveis para os níveis de riscos levantados
— Deve ser levado em consideração:

< Efetividade
< Legislação e regulamentações
< Políticas da organização
< Impacto operacional
< Segurança e confiabilidade
Passo 8 – Recomendação dos controles de segurança – (cont.)
Passo 8
Resultados
Recomendação dos Relação dos
Controles de Segurança controles
recomendados
Passo 9
Documentação dos
Resultados

266, em 31/1/2008.
Passo 9
Documentação dos resultados
Passo 9 – Documentação dos resultados
— Objetivo
< Documentar os resultados na forma de um relatório oficial
— Resultado:
< Relatório que descreve as ameaças e vulnerabilidades, as medidas de
risco associadas e fornece recomendações de controles

266, em 31/1/2008.
Passo 9 – Documentação dos resultados – (cont.)
Passo 9
Resultado
Documentação dos Relatório de
Avaliação de Riscos
Resultados
Exemplos de Relatório de Avaliação de Riscos

266, em 31/1/2008.
Exemplos de Relatório de Avaliação de Riscos
Dúvidas?

266, em 31/1/2008.
Exercício em grupo
Com base nos resultados dos exercícios anteriores, realizaremos,

para os ativos identificados, a Avaliação e Análise de Riscos...
Como funciona? Exemplo...
Qual é o IMPACTO para a empresa, se a CONFIDENCIALIDADE das

informações forem comprometidas, devido a INEXISTÊNCIA DE
PROCEDIMENTOS DE CONTINGÊNCIA?
Qual é a PROBABILIDADE de que a CONFIDENCIALIDADE das informações da

empresa seja comprometida, devido a INEXISTÊNCIA DE PROCEDIMENTOS
DE CONTINGÊNCIA?
Dúvidas?
Próximo assunto: Tratamento dos Riscos

266, em 31/1/2008.
4.2 Tratamento dos Riscos

Visão geral
— Segundo passo no processo de Gestão de Riscos

— Minimização dos riscos identificados no processo de
“Avaliação de Riscos” por meio da seleção, avaliação e
implementação de controles
Gestão de Riscos NIST 800-30
Avaliação e
Tratamento
Análise de
dos Riscos
Riscos
4.2 Tratamento dos Riscos – (cont.)
Metodologia (Fontes: NIST 800-30)
— Passo 1 – Priorizar as ações

— Passo 2 – Avaliar as recomendações expostas
— Passo 3 – Realizar análise custo-benefício
— Passo 4 – Selecionar controles
— Passo 5 – Designar e atribuir responsabilidades
— Passo 6 – Desenvolver plano para implementação dos meios
de proteção e controles selecionados
— Passo 7 – Implementar controles selecionados

266, em 31/1/2008.
Passo 1
Priorizar as ações
Passo 1 – Priorizar as ações
< Baseado nos níveis de riscos apresentados no Relatório de Análise de

Riscos, as ações para implementação de controles devem ser priorizadas.
< No momento de alocar os esforços e recursos, deve ser dada prioridade

máxima aos itens que representam maiores riscos à organização:
– Alto
– Médio
– Baixo
< São necessárias ações de correção imediatas.

266, em 31/1/2008.
Passo 1 – Priorizar as ações – (cont.)
Resultados
Passo 1 Lista de ações a
Entradas serem realizadas
Níveis de riscos
Priorizar as Ações em ordem de
prioridade dos
estabelecidos pelo riscos (Alto ->
processo de Baixo)
Avaliação
Passo 2
Avaliar as Recomendações
Expostas
Passo 2
Avaliar as recomendações expostas

266, em 31/1/2008.
Passo 2 – Avaliar as recomendações expostas
< Os controles expostos no Relatório de Análise Riscos podem não ser as

opções mais apropriadas
< Durante esta etapa, a possibilidade de uso (ex. compatibilidade com a

infra-estrutura atual, aceite do usuário, etc.) e a efetividade (ex. grau de
proteção e nível de minimização do risco) das opções de controles
recomendados são analisadas
< O objetivo é selecionar a opção de controle mais apropriada para

minimizar o risco.
Passo 2 – Avaliar as recomendações expostas – (cont.)
Passo 2 Resultados
Entradas Avaliar as Recomendações Controles mais
apropriados para
Avaliação de risco Expostas minimização dos
Viabilidade riscos
Efetividade
Passo 3
Realizar Análise Custo-
Benefício

266, em 31/1/2008.
Passo 3
Realizar análise custo-benefício
Passo 3 – Realizar análise custo-benefício
< Prover assistência à Alta Administração na tomada de decisões para

escolha dos controles
< A análise engloba:
– Identificação do impacto na implementação, ou não, dos novos controles
– Estimativa dos custos para a implementação (ex. hardware e software; redução
de funcionalidades devido a aplicação da segurança; implementação de políticas
e procedimentos adicionais; contratação de pessoal; treinamento; manutenção)

266, em 31/1/2008.
Passo 3 – Realizar análise custo-benefício – (cont.)
Para realização eficaz da análise, deve-se considerar as formas

possíveis de tratamento dos riscos:
a) Evitar o risco;
b) Implementação de controles preventivos;
c) Implementação de controles detectivos;
d) Transferência do risco;
e) Aceitação do risco.

a) Evitar o risco
Se possível, viável e não estiver em desacordo com os objetivos e a missão

da organização, a primeira opção para o tratamento de riscos deve ser
“Evitar o risco”.
Implica em deixar de utilizar a tecnologia à qual o risco é inerente ou deixar
de realizar a atividade relacionada ao risco.
Sempre que for decidido evitar o risco, a organização deve formalizar a
opção e fornecer evidências que não utiliza mais a tecnologia envolvida ou
não realiza mais a atividade relacionada.

266, em 31/1/2008.

b) Implementação de controles preventivos
Caso não seja possível evitar o risco, devem ser implementados “controles
preventivos” para minimizá-los.
Controles preventivos são aqueles que têm a finalidade de impedir que uma
vulnerabilidade seja explorada.
Todas as vulnerabilidades classificadas com nível de risco “muito alto” e que
não puderam ter o risco evitado, devem possuir controles preventivos
efetivos implementados.

c) Implementação de controles detectivos
Devem ser implementados quando não for possível o uso de controles

preventivos ou quando, em vulnerabilidades classificadas como de risco alto,
médio ou baixo, a relação custo benefício for vantajosa e quando a natureza
da vulnerabilidade for propícia apenas à utilização de controles detectivos.
Controles detectivos têm a finalidade de identificar as atividades que
possuem vulnerabilidades após a sua ocorrência, o que permite apenas que
ações corretivas sejam tomadas no caso da identificação de uma exploração
de vulnerabilidade.

266, em 31/1/2008.

d) Transferência do risco
Caso não seja possível, viável ou estrategicamente interessante

implementar controles internamente, a organização pode optar por
transferir riscos de duas maneiras diferentes:
1 – Terceirizando as atividades relacionadas ao risco (métricas de SLA);
2 – Contratando seguros (apenas onde as atividades apresentem riscos
financeiros).

e) Aceitação do risco
As vulnerabilidades que possuem classificação de risco “baixa” podem ser aceitas pela
organização.
Vulnerabilidades que, para serem tratadas apresentem prejuízos financeiros que
tornem o tratamento inviável, ou que para serem tratadas ponham em risco os
objetivos e a missão da organização da companhia, deverão ser substancialmente
justificadas e avaliadas quanto a possibilidade de assumir o risco.
Assumir os riscos significa entender a vulnerabilidade, as conseqüências da sua
exploração e formalmente assumir a responsabilidade pelas conseqüências.

266, em 31/1/2008.
Resultados
Passo 3
Análise
Realizar Análise Custo- custo/benefício que
descreve os custos
Benefício e benefícios de
implementar ou
não os controles
Passo 4
Selecionar Controles

266, em 31/1/2008.
Passo 4
Selecionar controles
Passo 4 – Selecionar controles
< Com base nos resultados obtidos da análise custo-benefício, deve-se

decidir quais controles serão implementados para minimizar os riscos
identificados.
< Os controles selecionados devem combinar os elementos técnicos,

operacionais e gerenciais de forma a prover segurança adequada.

266, em 31/1/2008.
Passo 4 – Selecionar controles – (cont.)
Passo 4
Resultados
Selecionar Controles Controles
selecionados
Passo 5
Designar e Atribuir
Responsabilidades
Passo 5
Designar e atribuir responsabilidades

266, em 31/1/2008.
Passo 5 – Designar e atribuir responsabilidades
< Seleção dos profissionais, que possuem a expertise necessária

(funcionários ou terceiros), para implementação dos controles
selecionados.
< Definição das responsabilidades dos envolvidos.
Passo 5 – Designar e atribuir responsabilidades – (cont.)
Passo 5 Resultados
Designar e Atribuir Lista contendo os

responsáveis pela
Responsabilidades implementação dos
controles
Passo 6
Desenvolvimento do Plano
de Ação

266, em 31/1/2008.
Passo 6
Desenvolvimento do plano de ação
Passo 6 – Desenvolvimento do plano de ação
< Nesta fase, um plano de implementação deve ser desenvolvido e conter:

– Riscos (vulnerabilidades/ameaças)
– Controles recomendados
– Ações e controles priorizados
– Controles planejados selecionados
– Recursos necessários para implementação dos controles
– Lista dos responsáveis
– Data limite para concluir a implementação dos controles

266, em 31/1/2008.
Passo 6 – Desenvolvimento do plano de ação – (cont.)
Passo 6 – Desenvolvimento do plano de ação – (cont.)
Passo 6
Desenvolvimento do Plano Resultado
de Ação Plano de Ação
Passo 7
Implementar Controles
Selecionados

266, em 31/1/2008.
Passo 7
Implementar controles selecionados
Passo 7 – Implementar controles selecionados
< Consiste na implementação dos controles selecionados no “Plano de Ação”

< Conforme cada situação e risco identificado, os controles implementados
minimizam os riscos e não os eliminam.
< Não existe risco 0 (zero), porém os controles os forçam a tenderem a 0
(zero).
< Portanto, deve-se verificar se o “Risco Residual” final é aceitável e se está
no mesmo nível do risco residual esperado

266, em 31/1/2008.
Passo 7 – Implementar controles selecionados – (cont.)
Passo 7
Implementar Controles Resultado
Selecionados Risco Residual

266, em 31/1/2008.
Exercício em grupo
Com base na classificação dos riscos, identificados na fase de

Análise e Avaliação, efetue o tratamento (aplicação de
controles) conforme as instruções recebidas até o momento.
Dúvidas?

266, em 31/1/2008.
Etapa 5
Política de Segurança da Informação
Conscientização e Treinamento
5. Política de Segurança da Informação

— Conhecer a estrutura básica de uma Política

— Compreender as fases do desenvolvimento e implementação de uma
Política
— Identificar as vantagens de sua aplicação no ambiente informatizado
— Definir as diretrizes estratégicas que se desejam apresentar nas
políticas
— Conhecer os riscos que uma organização está exposta, devido a
inexistência ou má utilização da Política
— Estabelecer um programa de treinamento e conscientização

266, em 31/1/2008.
Aspectos Gerais
5. Política de Segurança da Informação – (cont.)
O que é Política
de Segurança da
Informação?

266, em 31/1/2008.
Aspectos Gerais
Definição da Política
— É o conjunto de normas, métodos e procedimentos utilizados

para a manutenção da segurança da informação, devendo ser
formalizada e divulgada a todos os usuários que fazem uso
dos ativos de informação.
— Composta por um conjunto de regras e padrões sobre o que deve ser

feito para assegurar que as informações e serviços importantes para
a organização recebam a proteção conveniente, de modo a garantir a
sua confidencialidade, integridade e disponibilidade.
Aspectos Gerais – (cont.)
Preservação dos pilares básicos:
A informação deve
ser correta,
A informação somente deve ser verdadeira e não A informação deve
ser acessada pelos que estar corrompida. estar acessível para o
necessitam dela. funcionamento da
organização e para o
alcance de seus objetivos.

266, em 31/1/2008.
É importante para:
— Assegurar a adequada implementação de controles

— Disciplinar os usuários sobre as questões de segurança
— Expressar as preocupações da Alta Administração sobre segurança
— Transformar a segurança em um esforço comum
— Fornecer direcionamento para as implementações técnicas
— Garantir o comprometimento da Alta Administração da empresa com
a segurança da informação
— Evitar incidentes de segurança
Prevê proteção para a informação em todos os seus formatos:

266, em 31/1/2008.
Objetivos da Política
Objetivos da Política de Segurança
— Complementando as informações de segurança advindas da norma NBR

ISO/IEC 27002:2005, os principais objetivos de uma Política devem ser:
— Proteger os negócios da organização frente ao impacto de incidentes

— Padronizar a segurança (procedimentos) na organização
— Instruir os colaboradores, prestadores de serviço e terceiros a
respeito de suas obrigações quanto à segurança

266, em 31/1/2008.
Objetivos da Política de Segurança – (cont.)
— Dentro de seus principais objetivos, uma Política define quatro linhas de

atuação:
1. Por meio da adoção de controles de segurança, reduzir a

probabilidade da ocorrência de incidentes e diminuir os riscos
2. Especificação de processos que levem a minimização de danos
provocados por incidentes
3. Rápido restabelecimento do negócio
4. Especificar procedimentos que permitam aperfeiçoar o sistema de
proteção, auxiliar na identificação das causas e dos culpados
Características da Política

266, em 31/1/2008.
Características da Política
1. Especificar um conjunto de regras, efetivas e atuais, destinadas a uma

determinada organização
2. Especificar processo e controles para proporcionar a devida segurança
3. Viabilidade
4. Aplicabilidade
5. Clareza e objetividade
6. Obrigatoriedade
7. Compatibilidade
8. Estratificação
9. Respaldo
10. Conhecimento
Características da Política – (cont.)
1. Especificar um conjunto de regras, efetivas e atuais, destinadas a uma

determinada organização
— Regras efetivas e atuais
— Devem ser efetivas, pois elas necessitam ser tangíveis e aplicáveis à necessidade
da organização
— Devem ser atuais, pois devem abranger todos os elementos relativos às novas
tecnologias
— Público-alvo e seus elementos
— O público-alvo e seus elementos são, em geral, as organizações, associações ou
grupos
— O público-alvo que se envolve com a informação:
— Pessoas
— Equipamentos
— Infra-estrutura
— Aplicativos
— Processos e etc.

266, em 31/1/2008.
2. Especificar processo e controles para proporcionar a devida segurança

— Processos e controles
— Processos são ações ou comportamentos que devem ser executados segundo uma
lógica
— Controles são dispositivos físicos, lógicos e procedimentos que permitem ou
restringem uma determinada ação ou operação
— Níveis de detalhamento
— As regras devem ser organizadas de forma hierárquica
— As de alto nível se aplicam a todos os elementos
— As de níveis mais baixo se aplicam a determinados grupos
— Separação em Diretrizes, Normas e Procedimentos
3. Viabilidade
— O custo de implementação da Política deve ser justificado pelo valor do ativo
a ser protegido
— Basear-se na Avaliação e Análise de Riscos
Incidentes
= Realizar Análise
Vulnerabilidades de Risco
e Ameaças
— A Política deve estar aderente à realidade da organização

— Não deve ser burocrática, mas tem a finalidade de controlar

266, em 31/1/2008.
4. Aplicabilidade
— As diretrizes e normas devem ser efetivamente aplicáveis e possíveis de ser
implementadas
— Regras que não são possíveis de serem aplicadas e praticadas provocam o
descrédito da Política
5. Clareza e objetividade
— A redação utilizada deve ser de fácil leitura e compreensão
— Deve ser clara, objetiva e muito concisa
— Não utilizar termos técnicos
— Textos longos podem causar dúvidas no entendimento, além de provocar
um desestímulo à leitura e compreensão

266, em 31/1/2008.
6. Obrigatoriedade
— O cumprimento da Política deve ser obrigatório e possuir penalidades para
aqueles que não segui-la
— Podem ocorrer situações imprevistas e, para isso, deve-se especificar uma
forma clara do procedimento a ser adotado em casos de impossibilidade de
cumprimento (exceções)
7. Compatibilidade
— A Política deve seguir o conceito de Governança Corporativa e estar alinhada
com os negócios da organização, ferramentas, seus valores e cultura
— Os procedimentos de revisão e atualização devem ser programados e
realizados
— Deve existir uma forma (canal) de sugestões para obter as opiniões dos
usuários envolvidos

266, em 31/1/2008.
8. Estratificação
— As regras, normas e procedimentos devem estar hierarquizadas de acordo
com a abrangência e contexto que se aplicam
— Podem ser divididas em:
— Diretrizes
— Normas
— Procedimentos
8. Estratificação – (cont.)

266, em 31/1/2008.
8. Estratificação – Diretrizes – (cont.)
— Declaram os desejos da Alta Administração quanto à segurança

— Especificam as regras gerais que se aplicam para toda organização
— Devem ser elaboradas independentemente de tecnologias específicas que
podem ficar obsoletas
— Exemplo
— Somente será permitido o uso de recursos homologados e autorizados
pela organização, desde que sejam identificados de forma individual,
inventariados, com documentação atualizada e estando de acordo com
as cláusulas contratuais e a legislação em vigor.
8. Estratificação – Normas – (cont.)
— Elas definem os controles e os processos de segurança

— Podem se aplicar a toda organização ou um determinado segmento
— A aprovação de normas é realizada em nível gerencial
— As normas, geralmente, possuem os seguintes itens:
— Objetivo, meta, público-alvo
— Responsável e autor
— Glossário
— Processo de tratamento de exceção / alteração
— Data de efetivação e validade

266, em 31/1/2008.
8. Estratificação – Procedimentos – (cont.)
— Descrevem detalhadamente as ações operacionais que devem ser tomadas

no cumprimento de uma norma
— Procedimentos especificam exatamente que e o quê deve ser feito
— Procedimentos são elaborados pela equipe operacional
— Exemplo
9. Respaldo
— A Política deve ter total respaldo da Alta Administração
— Esta condição deve se aplicar desde a primeira fase do processo de
desenvolvimento e se perpetuar enquanto a Política estiver em vigor

266, em 31/1/2008.
10. Conhecimento
— Todos os envolvidos na “operação” da Política devem ser treinadas no teor
deste importante documento corporativo
— As pessoas são o principal fator de aprimoramento da Política
— Conclusões:
— Escrever uma política é como escrever uma legislação. Poucas pessoas estão
aptas para desenvolvê-la, mas com orientação adequada, torna-se viável sua
criação
— Deve ser:
< Simples e compreensível (escrita de maneira clara e concisa)
< Homologada e assinada pela Alta Administração
< Alinhada com as estratégias de negócio da organização
< Orientada aos riscos
< Flexível (moldáveis aos novos requerimentos de TI e do negócio)
< Positiva e não apenas concentradas em ações proibitivas ou punitivas
< Protetora dos ativos de informação

266, em 31/1/2008.
— Pontos Críticos de Sucesso

— Deve existir um indivíduo, ou grupo, responsável por verificar se a Política
está sendo respeitada
— A Política deve ser periodicamente atualizada de forma a refletir as mudanças
na organização
— Todos os colaboradores devem tomar conhecimento da Política e manifestar
sua concordância em submeter-se a ela antes de possuir acesso aos recursos
de TI
— A Política deve estar em local de fácil acesso para consulta (Intranet, impressa
no departamento, etc.)
— Pontos Críticos de Fracasso

— A política não deve ser demasiadamente detalhada ou restritiva
— O excesso de detalhes na política pode causar confusão ou dificuldades na sua
implementação
— Não devem ser abertas exceções para indivíduos ou grupos
— A política não deve estar atrelada a softwares e/ou hardwares específicos

266, em 31/1/2008.
— Benefícios
< Após a implantação da política, evidenciam-se os seguintes aspectos:
– Conceito de que as informações são um ativo importante

– Envolvimento da Alta Administração
– Responsabilidade formal dos colaboradores da empresa sobre a proteção dos
recursos de informação
– Estabelecimento de padrões para a manutenção da segurança da informação
– Diminuição dos incidentes
— Benefícios – (cont.)
< Curto prazo

– Prevenção de acessos não autorizados, danos ou interferência no andamento
dos negócios
– Maior segurança nos processos de negócio
< Médio prazo

– Padronização dos procedimentos de segurança incorporados à rotina da
empresa
– Conformidade com padrões de segurança
< Longo prazo

– Retorno sobre o investimento realizado por meio da redução da incidência de
problemas relacionados a segurança
– Consolidação de imagem associada a Segurança da Informação

266, em 31/1/2008.
Apresentação de uma Política de Segurança
Desenvolvimento e
Implementação da Política

266, em 31/1/2008.
Desenvolvimento e Implementação da Política
— Quão complexo é o processo de desenvolvimento e implementação de

uma Política?
— A elaboração da política está baseada na cultura da organização e no
conhecimento em segurança da informação dos profissionais. Portanto,
deve-se considerar:
< Criação do Comitê de Segurança da Informação
< Elaboração do documento
– Objetivo e escopo
– Entrevistas e levantamento de informações
– Análise dos documentos existentes
– Penalidades e processos disciplinares (jurídico)
– Glossário
– Teor básico
– Cronograma sugerido
< Divulgação, treinamento e conscientização
Desenvolvimento e Implementação da Política – (cont.)
— Responsabilidades do Comitê de Segurança da Informação:
< Fomentar o tema “Segurança da Informação” através de ações distribuídas e

integradas, com abrangência humana, tecnológica e física, em todos os processos
de negócio que sustentam os negócios
< Analisar os resultados parciais e finais das ações de Segurança da Informação,
para medir seus efeitos, compará-los com metas e realizar ajustes internos,
adequando a organização às novas realidades geradas pelas mudanças de
variáveis internas e externas
< Interagir, assiduamente, com a Alta Administração, para trocar informações
relacionadas aos indicadores de segurança e mostrar os resultados corporativos
das ações do Comitê de Segurança da Informação
< Deliberar a respeito de sanções e medidas disciplinares aos colaboradores que
desrespeitarem as diretrizes de segurança da informação

266, em 31/1/2008.
— Principais fases para o Desenvolvimento e Implementação:

1. Motivação
2. Desenvolvimento
3. Implementação
4. Uso
5. Manutenção
1. Motivação
— Experiência com um incidente grave
— Alta Administração descobre as vulnerabilidades
— Queda nos resultados
— Alta Administração descobre fraudes
— Observação de outras empresas (concorrentes) e tendências de mercado
— Alta Administração percebe que o mesmo pode ocorrer na organização
— Experiência dos colaboradores internos
— Alta Administração é sensibilizada
— Grandes motivadores
— Medo de incidentes
— Visão dos profissionais

266, em 31/1/2008.
2. Desenvolvimento (A Alta Administração decidiu investir!!!)
— 1ª Etapa – Levantamento de Informações

— O objetivo é obter o entendimento das necessidades e uso dos recursos da
Tecnologia da Informação (sistemas, equipamentos e dados). Serão pesquisadas,
entre outras informações:
Processos de negócios;
Tendências de mercado;
Controles e áreas de risco.
— Com intuito de compreender o ambiente tecnológico serão obtidas, em
complemento, as seguintes informações:
Sistemas e informações críticas para negócios da instituição;
Plataformas e ambientes computacionais;
Métodos de disseminação e manipulação de informações.
2. Desenvolvimento – (cont.)
— 2ª Etapa – Definição da Estrutura e Conteúdo

— Discussão com a organização sobre, pelo menos, os seguintes tópicos para
estruturação do documento:
Atribuição de responsabilidades;
Critérios para classificação das informações;
Diretrizes de segurança da informação;
Engenharia social;
Notificação de incidentes de segurança;
Penalidades e processos disciplinares;
Manutenção e revisão;
Formulários.

266, em 31/1/2008.
2. Desenvolvimento – (cont.)
— 3ª Etapa – Desenvolvimento, Formalização e Aprovação Final

— Será realizado o desenvolvimento do conteúdo da Política de Segurança da
Informação
— O documento será submetido para validação e aprovação final pela Alta
Administração da organização.
3. Implementação
— Foco nas Pessoas!

— As pessoas tem influencia direta no sucesso da Política
— Elaborar um Plano de Treinamento e Conscientização
— Diretores
— Gerentes e coordenadores
— Equipe de produção e administração
— Técnicos de informática e segurança
— Parceiros, cliente, fornecedores
— Porteiros, pessoal da limpeza

266, em 31/1/2008.
4. Uso
— Refere-se ao uso ou prática da Política na organização

— Estabelece uniformização da segurança nas diversas áreas da organização
— Orienta as escolhas das soluções de segurança
— Dentre outros.
5. Manutenção
— A atualização da Política pode ocorrer quando:

— Há iniciativa do Comitê de Segurança
— Existem sugestões dos usuários
— São utilizadas novas tecnologias
— Sempre deve ser realizada a divulgação das atualizações
— Novos colaboradores também devem participar de um treinamento de
integração

266, em 31/1/2008.
Exercício em grupo
De acordo com o que foi explicado até agora, elabore uma Política de
Segurança contendo os principais aspectos, na sua percepção, que devem
ser abordados.
Para o desenvolvimento, leia o texto do exercício para contextualizar o
ambiente.
Treinamento e Conscientização

266, em 31/1/2008.
Treinamento e conscientização em segurança
De acordo com a norma NBR ISO/IEC 27002:2005 – Código de Prática para

a Gestão da Segurança da Informação, “deve-se garantir que os usuários
estão cientes das ameaças e das preocupações de segurança da informação
e estão equipados para apoiar a política de segurança da organização
durante a execução normal do seu trabalho”.
— Fases da campanha de conscientização:

< Definição do escopo, metas e objetivos
< Identificação dos instrutores e do público-alvo
< Planejamento e construção da campanha
< Implementação
< Avaliação dos resultados
Treinamento e conscientização em segurança – (cont.)
— Matriz de treinamento (modelo proposto)
Noções Gestão e Políticas e Planos de Gestão

Área de
Básicas Planejamento: Procedimentos Contingência Gerenciamento
Treinamento
Segurança Segurança da de Segurança de Mudanças
Legenda
Categoria Informação
Conscientização
Executivos
Política
Diretores de
Informática
Auditoria e Security
Officer Implementação
Gerentes de
Desenvolvimento
de Sistemas
Usuários Finais Execução

266, em 31/1/2008.
— Palestras de Conscientização em Segurança
< Etapa I – Desenvolvimento dos materiais
Elaboração dos materiais, que incluem:
Apresentação a ser utilizada nas palestras;

Testes rápidos sobre o conteúdo proferido;
Modelos de cartazes com mensagens específicas sobre Segurança da Informação;
Guia Rápido;
Lista de presença;
Certificado de participação.
— Palestras de Conscientização em Segurança – (cont.)
< Etapa II – Revisão, validação e aprovação dos materiais
Na medida em forem sendo finalizados, todos os materiais elaborados

devem ser encaminhados para revisão, validação e aprovação da
organização, que poderá alterá-los e complementá-los da melhor forma que
desejar.
< Etapa III – Agendamento das datas e turmas

< Etapa IV – Realização das Palestras de Conscientização

266, em 31/1/2008.
Cronograma (modelo proposto)
ATIVIDADES PERÍODO
1 2 3 4
Fase I – Desenvolvimento da Política de Segurança

Etapa I – Levantamento de informações
Etapa II – Definição da estrutura e conteúdo
Etapa III – Desenvolvimento e aprovação final do conteúdo
Fase II – Realização das Palestras de Conscientização

Etapa I – Desenvolvimento dos materiais das palestras
Etapa II – Revisão, validação e aprovação dos materiais
Etapa III – Agendamento das datas e turmas
Etapa IV – Realização das palestras aos usuários
Exercício em grupo
— Com base nas políticas criadas no exercício anterior, crie uma

campanha de conscientização.

266, em 31/1/2008.
“Conte-me, e eu vou Mostre-me, e eu vou Envolva-me, e eu vou

esquecer. lembrar. entender.”
Confúcio
Dúvidas?

266, em 31/1/2008.
Etapa 6
Segurança Física e do Ambiente
6. Segurança Física e do Ambiente

— Conhecer os principais recursos e mecanismos de proteção de

perímetro, ambiente e equipamentos.
— Identificar as formas de se prevenir o acesso físico não autorizado,
danos e interferências nas instalações e informações de uma
organização.
— Identificar as ameaças, vulnerabilidades e contramedidas que podem
ser utilizadas para proteger fisicamente os recursos de uma
organização, incluindo pessoas, dados, equipamentos, sistemas,
mídias e suprimentos.
— Aprender a escolher e modelar um site seguro.

266, em 31/1/2008.
6. Segurança Física e do Ambiente – (cont.)
O que é segurança física?
É toda e qualquer aplicação de medidas ou controles com o

objetivo de proteger sistemas, construções, informações, pessoas
e equipamentos contra ameaças do ambiente físico.
Visão Geral

266, em 31/1/2008.
O que contempla a Segurança Física?
— Cercas
— Grades
— Guardas
— Chaves
— Iluminação
— Chaves e fechaduras
— Crachás / smart cards
— Acompanhamento de visitantes
— Controles patrimoniais
— Sistemas de monitoração e detecção de intrusos
Ameaças a Segurança Física
— Externas
< Ventos, tornados, furacões
< Inundações
< Explosão
< Ausência do abastecimento de energia elétrica
< Terremoto
< Frio e gelo
< Fogo
< Poeira
< Vibrações
< Agentes químicos

266, em 31/1/2008.
Ameaças a Segurança Física – (cont.)
— Internas
< Fogo
< Falhas no ambiente
< Vazamentos de líquidos
< Falha de energia
— Humanas
< Roubo
< Vandalismo
< Sabotagem e espionagem
< Erros
O que contempla a Segurança do Ambiente?
— Proteção de energia
— Proteção de água
— Prevenção, detecção e combate ao fogo
— Pessoas
— Evacuação
— Monitoração e detecção do ambiente

266, em 31/1/2008.
Controles de Segurança Física
Controles de segurança física
Podem ser agrupados em 3 categorias:
— Controles Administrativos
— Controles Técnicos e Físicos
— Controles Ambientais e de Segurança a Vida

266, em 31/1/2008.
Controles de segurança física – (cont.)
Controles Administrativos
— A proteção física inicia-se e baseia-se com a utilização de
procedimentos administrativos
< Procedimentos de contingência, emergência e etc.
— Controles administrativos dependem de:

< Planejamento
< Gestão da segurança
< Controles de pessoal
Controles Administrativos – (cont.)
— Planejamento
< Relacionado ao projeto e escolha de um ambiente seguro, com a
especificação dos requisitos de segurança física na fase de construção
< Contempla a localização ambiental e os controles físicos
– Visibilidade: identificações externas que podem facilmente apontar para o CPD
(é desejada baixa visibilidade)
– Considerações do local: incidência de crimes, vandalismo e etc.

266, em 31/1/2008.
— Planejamento – (cont.)
< Envolve a localização ambiental

– Desastres naturais
– Transporte, ou seja, incidência de congestionamentos, acesso à estradas e etc.
– Serviços externos: proximidade quanto aos serviços emergenciais (polícia,
bombeiros, hospitais e etc.)
– Paredes e tetos com níveis suportáveis de incêndio aceitáveis
– Pisos (de concreto ou suspensos)
– Janelas: não são aceitas em um CPD, porém se existirem, devem ser
resistentes e reforçadas
– Portas do tipo corta-fogo
– Saídas de emergência adequadamente identificadas e monitoradas (com
alarmes) e abertura para o lado externo
— Planejamento – (cont.)
< Envolve a localização ambiental – (cont.)
– Sistemas de prevenção e combate a incêndio

– Ar condicionado: deve existir um circuito elétrico dedicado para este fim
– Requisitos elétricos: necessidade de se possuir fontes de energia elétrica
alternativas e redundantes

266, em 31/1/2008.
1o) Terreno: muro, controle de acesso: guarita, seguranças
2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas
3o) Callcenter: portas de vidro, controle de acesso: crachá, segurança
4o) Datacenter: portas de aço, controle de acesso: crachá + biometria
5o) Racks com chave, câmeras

6o) Sala cofre
— Gestão da segurança
< Trilhas de auditoria e acesso devem registrar
– Data e hora de acesso / tentativa de acesso
– Se o acesso / tentativa de acesso foi bem sucedido ou não
– Onde o acesso / tentativa de acesso foi concedido (qual porta)
– Quem realizou o acesso / tentativa de acesso
– Quem modificou os privilégios de acesso

266, em 31/1/2008.
— Gestão da segurança – (cont.)
< Procedimentos de emergência

– Procedimentos de evacuação
– Procedimentos de desativação de sistemas
– Treinamento de pessoal
– Programas de conscientização
– Simulações e exercícios periódicos
– Devem ser documentados e estar prontamente acessíveis
– Devem ser redundantes
– Devem ser sempre atualizados
— Controle de pessoal
< Processo para admissão e demissão de empregados
< Pode ser realizada:
– Seleção
– Verificações prévias em outras empresas
– Serasa / SPC
– Polícia

266, em 31/1/2008.
Controles Técnicos e Físicos

— Necessários para as seguintes áreas:
< Requisitos de controle à recursos
< Alarmes e detecção de intrusão
< Controles de inventários
< Requisitos de armazenamento de mídias
Controles Técnicos e Físicos – (cont.)
— Requisitos de controle à recursos

< Guardas
– Bom nível de proteção perante riscos de integridade pessoal
– Porém, podem ser corrompidos ou subornados
< Barreiras de segurança
– Cercas, portões, grades, portas giratórias e do tipo eclusa
– São importantes para controlar a entrada e saída de colaboradores
– Contribuem para deter invasores
< Iluminação
– Deve ser contínua e intensa em entradas e determinadas áreas
– Desmotiva delinqüentes e potenciais atacantes

266, em 31/1/2008.
— Requisitos de controle à recursos – (cont.)
< CFTV – circuito fechado de TV

– Dispositivo utilizado para registro de imagens ou vigilância visual
– Prática preventiva e detectiva
< Cadeados
< Cartões de segurança
< Biometria
— Alarmes de detecção e intrusão

< Dispositivos utilizados para detectar violações de perímetro
– Ex. sensores foto-elétricos; de movimento; e etc.
< Existem 4 tipos de alarmes que podem ser utilizados:
– Alarme local
- Emite som audível no ambiente e requer ação no local
– Estação central
- Contempla o uso dos serviços de empresas de segurança privada
– Proprietário
- Similar ao Estação Central, porém o cliente é o responsável pela operação
– Auxiliar
- Sinalizam delegacias de polícia, bombeiros e etc.

266, em 31/1/2008.
— Controle de inventários
< Envolve a proteção de computadores e equipamentos contra roubo físico e
danos
< Exemplos
– Cadeados
– Cabos de segurança
– Controles de portas (ex. roteadores e switches)
– HDD Sheriff
– Senha de BIOS
— Requisitos de armazenamento de mídias

< Os dados das mídias devem ser tratados de forma sigilosa
< Mídias que requerem armazenamento, destruição ou reutilização
– CDs
– DVDs
– Disquetes
– Discos rígidos
– Relatórios e impressões em papel
< Destruição de dados e reutilização
– Informações em mídias eletrônicas devem ser sobrescritas
– Relatórios em papel devem ser picotados

266, em 31/1/2008.
— Requisitos de armazenamento de mídias – (cont.)
< Controles básicos para proteger mídias eletrônicas

– Mantê-las em estojos ou caixas fechadas
– Não dobrar ou curvar
– Manter os níveis apropriados de temperatura de umidade
– Evitar contato com campos magnéticos
— Controles ambientais e de segurança a vida

< São classificados em:
– Energia elétrica
– Supressão e detecção de incêndios
– HVAC (Heating, Ventilation and Air Conditioning)

266, em 31/1/2008.
— Controles ambientais e de segurança a vida – (cont.)
< Energia elétrica

– Deve existir um fornecimento contínuo e estável
– Principais controles que devem ser observados
- Aterramento
- Uso de cabos blindados
- Uso de estabilizadores
- Uso de pisos anti-estáticos
- Nível adequado da umidade do ar
< Supressão e detecção de incêndios
Classe Descrição Forma de Supressão
Combustíveis Água: suprime a temperatura

A
comuns Soda ácida: suprime combustível do fogo
B Líquido CO2; Soda ácida; Halon; FM-200
C Elétrico CO2; Halon; FM-200
Metais
D Pó/polvilho seco
combustíveis

266, em 31/1/2008.
< Supressão e detecção de incêndios – (cont.)
– Detectores de incêndio
- Sensíveis ao calor
- Ativados por chama
- Ativados por fumaça
Trecho de filme: Uso de sprinklers e gás FM-200
— HVAC (Heating, Ventilation and Air Conditioning)

< Fundamentais para o controle de temperatura e umidade
– Temperatura entre 18º e 22º
– Unidade relativa do ar entre 40% e 60%
– Ambientes com alta umidade produzem problemas de condensação e corrosão
em conexões elétricas
– Ambientes com baixa umidade aumentam os riscos de danos causados pro
eletricidades estática

266, em 31/1/2008.
Recomendações para o
Projeto de um Local Seguro
Recomendações para o projeto de um local seguro
— Localização e acesso
< Índice de criminalidade no local
< Visibilidade
< Acessos emergenciais
< Ameaças naturais
< Tráfego aéreo e terrestre
< Estabilidade da rede de energia elétrica / redundância
< Proteção de perímetro, como grades, cercas e portões
< Acesso de veículos e pessoas

266, em 31/1/2008.
Recomendações para o projeto de um local seguro – (cont.)
— Perímetro
< Visitantes devem ser acompanhados e ter sua presença registrada
< Muros altos e cercas para minimizar as tentativas de invasão
< Iluminação nos locais de entrada, estacionamentos e áreas consideradas
críticas
< Sistemas de monitoração de perímetro para alertar os vigilantes com
alarmes
< CFTV – Circuito Fechado de TV
< Segurança Patrimonial (patrulhas e funcionários)
— Instalações físicas
< Paredes sólidas resistentes a fogo
< Portas do tipo corta-fogo monitoradas e com alarme
< Caso existam janelas, elas devem ser fixas (alvenaria) e resistentes a
impactos
< O layout do CPD/sala de computadores deve prever fácil acesso aos
equipamentos pelos profissionais autorizados e dos cabos de
redes/elétricos
< Devem existir circuitos elétricos dedicados com acesso controlado aos
painéis de distribuição, transformadores e cabos de alimentação, assim
como, dispositivos para desligamento de emergência e proteção contra
falhas

266, em 31/1/2008.
— Instalações físicas – (cont.)
< Ainda quanto à energia elétrica, possuir alternativas de alimentação como

UPS (Uninterruptible Power Supply), No-breaks e geradores de energia
< Deve-se definir prioridades para prover energia elétrica alternativa:
– Iluminação
– Sistemas de controle de acesso físico
– Equipamentos (Mainframes, servidores, microcomputadores, estações de
trabalho, roteadores, switches e etc.)
– Equipamentos de comunicação
– Sistemas de telefonia
< O ar condicionado deve ser dedicado, redundante, parametrizável, possuir
dispositivos para desligamento de emergência, ter as entradas de ar
protegidas e ser monitorado
— Requerimentos ambientais
< Devem existir dispositivos que façam a medição da temperatura, da
umidade e da qualidade do ar (poeira)
< Dispositivos de detecção, prevenção e combate de incêndios:
– Laudo do Corpo de Bombeiros
– Detectores de fumaça nos tetos, pisos falsos, em dutos de ar
– Alarmes com ativação automática e manual, com indicação visual e auditiva
– Extintores de incêndio
– Sistemas específicos de sprinkles do tipo ‘dry-pipe’ (dutos vazios)
– Treinamento do pessoal
– Realizar testes programados ou não
< Também deve ser considerado o impacto de um desastre que possa
ocorrer nas proximidades da instalação (não esquecer dos vizinhos)

266, em 31/1/2008.
— Controle de acesso
< Formas de autenticação:
– Algo que alguém sabe (senha)
– Algo que alguém possui (crachá, cartões, chaves)
– Algo que alguém é (biometria)
< Prever fechaduras e trancas (programáveis, automáticas)
< Crachás, cartões de acesso com nome e foto, Smart Cards
< Biometria
— Controle de acesso – (cont.)
< Biometria
– Impressão digital: comparação entre imagem armazenada e capturada

266, em 31/1/2008.
< Biometria – (cont.)
– Geometria das mãos

- Apresenta boa performance e relativa captura e implementação
- Utiliza uma perspectiva tridimensional das mãos e dedos
- Utilizado em aeroportos, usinas nucleares, bancos e empresas
– Leitura de retinas
- Leitura dos vasos sanguíneos
- Imagem única e individual
- Suscetível a doenças que afetam o globo ocular
- Intrusivo, desconfortável e inconveniente
– Leitura de íris
- Menos intrusivo que a leitura de retina
– Reconhecimento facial
- Baseado na medida de ângulos e distâncias entre traços da fisionomia
(olhos, nariz e boca)
- Pode variar de acordo com o movimento do usuário
– Padrões de assinatura
- Características e dinâmica de assinatura
- Velocidade, direção, pressão e tracejado são considerados
- Problemas em padrão de comportamento podem afetar o reconhecimento

266, em 31/1/2008.
– Padrão de voz
- Gravação do modelo que será comparado com o capturado
- Uso de determinadas palavras ou frases
- Problemas com doenças podem modificar as características da voz
- Dificuldade de captura em ambientes de produção (ruídos, barulho)
– O investimento em sistemas biométricos é alto e pode ser justificável em

ambientes que exigem altíssima segurança
– Indivíduos que defendem a privacidade de dados e informações pessoais
questionam alguns controles de acesso biométricos
– A velocidade é fundamental, principalmente nos casos em que muitas
autenticações ocorrem em um curto espaço de tempo (ponto eletrônico)

266, em 31/1/2008.
Investimentos em segurança física e do ambiente
— Primeiro passo: realização de uma análise de riscos e

vulnerabilidades físicas que o ambiente possa estar exposto
< A análise de riscos deverá retratar a real situação da organização
< Os resultados devem ser encarados como uma ferramenta para auxiliar a
organização a melhorar ou manter seu nível de segurança
— Segundo passo: levantamento das necessidades de
componentes e processos de segurança física
< Envolvimento dos responsáveis pela continuidade dos negócios
< Decide-se sobre todos os recursos a serem disponibilizados, como
equipamentos de monitoração, energia, climatização, ambientes de
segurança, políticas e etc.
— Terceiro passo: implementação do plano de segurança física e
do ambiente
Investimentos em segurança física e do ambiente – (cont.)
O investimento está diretamente ligado à importância dos ativos,

observando sempre a relação custo / benefício.
Lembrem-se da Análise de Riscos!

266, em 31/1/2008.
Exemplo de
Política e Diretrizes de Segurança Física
Exemplos de políticas e diretrizes

266, em 31/1/2008.
Dúvidas?
Etapa 7
Segurança Lógica

266, em 31/1/2008.
7. Segurança Lógica
Identificar os principais mecanismos para garantir a segurança

lógica.
Entender quais os requisitos para controle de acesso e as
principais características de sua necessidade.
Assegurar o acesso somente de indivíduos autorizados e prevenir
aqueles não autorizados.
Garantir o uso adequado de senhas.
Compreender os conceitos e utilização de criptografia, assinatura e
certificados digitais.
Conhecer as principais técnicas empregadas por invasores.
7. Segurança Lógica – (cont.)
Visão geral
O controle de acesso lógico deve abranger:
O recurso informatizado que se pretende proteger;

O usuário a quem se pretende dar certos privilégios de acesso.
A norma NBR ISO/IEC 27002:2005, estabelece que as regras para

concessão de acesso devem ser baseadas na premissa:
“Tudo deve ser proibido a menos que expressamente permitido.”

266, em 31/1/2008.
Visão geral – (cont.)
Os controles de acesso lógico visam assegurar que:
< Apenas usuários autorizados tenham acesso aos recursos

< Os usuários tenham acesso apenas aos recursos realmente necessários
para a execução de suas atividades
< O acesso a recursos críticos seja constantemente monitorado e restrito
< Os usuários sejam impedidos de executar transações incompatíveis com
a sua função
Controle de Acesso
Dados, programas, aplicações e redes

266, em 31/1/2008.
Controle de acesso a dados, programas, aplicações e redes
— Processo de logon
< Utilizado para obter acesso aos dados e aplicativos
< Necessário um User ID e senha
< Para dificultar a tarefas de um invasor, limita-se o número de tentativas
incorretas de acesso, bloqueando a conta após 3 tentativas de logon
inválidas
< Recomenda-se restringir a reutilização das últimas 5 senhas
< Pode apresentar data e hora do último logon – auxilia o controle do
usuário que pode reportar tentativas de uso não autorizado
Controle de acesso a dados, programas, aplicações e redes –

(cont.)
— Identificação e autenticação do usuário

< A identificação do usuário, ou User ID, deve ser único pois é possível
controlar as ações praticadas pelos indivíduos por meio dos logs de
acesso e atividade
< Os sistemas mais modernos solicitam:
– Senha (algo que o usuário sabe)
– Cartões inteligentes (algo que o usuário possui)
– Biometria (algo que o usuário é)

266, em 31/1/2008.
Controle de acesso a dados, programas, aplicações e redes –

(cont.)
— Senhas de acesso
< Deve-se evitar a composição de senhas com os seguintes elementos:
– Nome
– Ser igual ao User ID
– Nome de parentes
– Nome de lugares
– Datas
– Números de telefones, cartão de crédito, RG, CPF
– Placas ou marcas de carros
– Times de futebol
– Letras seguidas
– Qualquer senha com menos de 6 caracteres
Procedimentos e Ferramentas
de Segurança Lógica

266, em 31/1/2008.
Procedimentos de segurança aplicados a redes
— Sincronização dos relógios

< Os relógios e todos os sistemas e aplicações da rede (incluindo estações
de trabalho) devem ter exatamente o mesmo horário e data
— Administradores de rede
< Controle de alterações na configuração
< Utilização de User ID privilegiado
— Logs de acesso e atividade
< Os logs registram o funcionamento de redes e sistemas. Muitas vezes são
o único recurso que um administrador possui para descobrir as causas de
um problema
< Deve-se atentar para a (i) Geração de logs, (ii) Armazenamento e (iii)
Monitoração
Ferramentas de segurança lógica
— Firewalls
< São recursos de segurança que tem o objetivo de controlar o acesso às
redes de computadores.
< Para determinar a necessidade deste recurso, as empresas devem
conhecer suas prioridades e realizar um levantamento das informações
críticas atentando, no mínimo, aos seguintes questionamentos:
– Quais são as informações que possuímos?
– Quais são as informações críticas aos negócios?
– Minhas informações são de grande interesse?
– Quais são os recursos de rede mais utilizados?

266, em 31/1/2008.
Ferramentas de segurança lógica – (cont.)
— Virtual Private Networks (VPN’s)

< São túneis virtuais criptografados entre pontos autorizados, criados
através da Internet ou outras redes públicas ou privadas, para
transferência de informações de modo seguro entre redes corporativas ou
usuários remotos.
— Antivírus
< A grande maioria dos problemas relacionados a incidentes de segurança é
causada por programas maliciosos, entre os quais estão os vírus de
computador, os worms, os cavalos de Tróia e até mesmo simples
instruções que, quando executadas no computador, destroem o sistema
ou comprometem o seu funcionamento.
< Não basta ter instalado o software antivírus. Ele deve ter sua lista de vírus
existentes atualizada periodicamente. Se o antivírus não possuir a lista
completa, pode ser que ele vasculhe um arquivo contaminado mas, por
não “conhecer” o vírus, deixe-o ileso.
Ferramentas de segurança lógica – (cont.)
— Sistema de detecção de intrusos (IDS)

< Monitora e analisa eventos de uma rede com o propósito de encontrar e
providenciar alertas em tempo real a acessos não autorizados aos
recursos de rede.
< São utilizados para:
– Alarmar o administrador de rede ou do sistema, em tempo real, sobre uma
possível ameaça
– Ativar automaticamente alarmes e mecanismos de segurança
– Colher informações de intrusos para sua captura
– Diagnosticar e corrigir eventuais falhas de segurança

266, em 31/1/2008.
Dúvidas?
Segurança em e-mail
— Apesar de ser um meio extremamente eficiente de se trocar informações,

existem diversas formas de burlá-lo e torná-lo um meio de propagar vírus,
pragas virtuais e ataques pela Internet.
— O e-mail, em uma organização, deve ser utilizado para propósitos comerciais,

entretanto, é utilizado para propósitos particulares, para fazerem spam e
outros fins que não os de negócios.
— Existem organizações que monitoram o conteúdo dos e-mails enviados pelos

seus funcionários para fins de auditoria e / ou investigação.
— As empresas treinam seus empregados para conseguirem melhores vendas e

resultados, mas esquecem de treiná-los para resguardar o seu mais valioso
produto: a informação.

266, em 31/1/2008.
Segurança em e-mail – (cont.)
— Riscos de segurança
< Vulnerabilidade das mensagens ao acesso não autorizado, modificação ou
negação de serviço
< Vulnerabilidade a erro como, por exemplo, endereçamento e
direcionamento incorretos e em geral, a falta de confiabilidade e
disponibilidade do serviço
< Considerações legais relacionadas com a necessidade potencial de prova
de origem, de envio, de entrega e aceitação
— Definir na Política de Segurança procedimentos para utilização
de correio eletrônico e contramedidas, incluindo:
< Ataques ao correio eletrônico (phishing scam)
< Proteção de anexos
< Responsabilidades dos funcionários
< Utilização de criptografia

266, em 31/1/2008.
Exemplo de Política de Uso de Correio Eletrônico e Internet
Exemplo de Procedimento para Uso de Correio Eletrônico e Internet

266, em 31/1/2008.
Técnicas empregadas por invasores de sistemas
— Existem muitas formas para facilitar uma invasão. Abaixo, as

mais populares:
< Engenharia social
< Exploração de erros e vulnerabilidades
< Ausência da instalação dos patches e hot fixes
< Varredura de portas (port scanners)
< Ataques de negação de serviço (DoS, DDoS)
< Quebra de senhas
< Cavalo de Tróia
< Phishing scam
Criptografia

266, em 31/1/2008.
Criptografia
— kriptós = escondido, oculto; grápho = grafia
É a arte ou ciência de escrever em cifra ou em códigos, de forma a permitir
que somente o destinatário a decifre e compreenda, ou seja, criptografia
transforma textos originais em uma informação transformada ilegível.
— Codificação de mensagens utilizada por Júlio César

alf. puro: a b c d e f g h i j k l m n o p q r s t u v x y w z
alf. César: D E F G H I J K L M N O P Q R S T U V X Y Z A B C D
Computador = Frpsyxdgru
Criptografia – (cont.)
— Princípios básicos
< Reduzir riscos relacionados com:
– Vazamento de informações
– Fraudes
– Uso indevido
– Sabotagens
– Roubo de informações

266, em 31/1/2008.
— Princípios básicos – (cont.)
< Autenticidade
– Assegurar ao receptor que a mensagem é realmente procedente da origem
informada em seu conteúdo
– Implementado a partir de um mecanismo de senhas ou assinatura digital
– Medida de proteção de um serviço ou informação contra personificação por
intrusos
< Confidencialidade
– Proteger informações contra sua revelação para alguém não autorizado: interna
ou externamente
– Proteger informações contra leitura e / ou cópia por pessoas não autorizadas
– No caso da rede, isto significa que os dados, enquanto em trânsito, não serão
vistos, alterados ou extraídos por pessoas não autorizadas
– Proteger informação privada (cidadão, indústrias, governo, militar)

266, em 31/1/2008.
< Integridade
– Proteger informações contra modificação sem autorização explícita do
proprietário daquela informação
– Inclui ações como escrita, alteração de conteúdo, alteração de status, remoção
e criação de informações
– Significa garantir que oi dado não foi corrompido – encontra-se íntegro
Ataques de Força Bruta (Brute Force)
Tamanho Atacante Pequeno Rede Grande Agência de

da Chave Individual Grupo Acadêmica Corporação Inteligência
(bits) Militar
40 Semanas Dias Horas Milisegundos Microsegundos
56 Séculos Décadas Anos Horas Segundos
64 Milênios Séculos Décadas Dias Minutos
80 inviável Inviável Inviável Séculos Séculos
128 Inviável Inviável Inviável Inviável Milênios

266, em 31/1/2008.
— Modelos de criptografia
< Criptografia simétrica ou algoritmo simétrico
– Usa somente uma chave, tanto para criptografar quanto para decriptar
– Esta chave deve ser mantida secreta para garantir a confidencialidade da
mensagem
Criptografia Convencional
A mesma chave é utilizada para encriptar e decriptar
— Modelos de criptografia – (cont.)
< Criptografia assimétrica ou algoritmo assimétrico – (cont.)
Chave Pública Chave Privada
Criptografia Assimétrica
A Chave Pública é utilizada na Encriptação e a Chave Privada na Decriptação

266, em 31/1/2008.
< Relação entre o tamanho das chaves

– Chaves são valores que contém informações a serem utilizadas em algoritmos
criptográficos para produzir ou derivar o texto cifrado. O tamanho das chaves
em geral reflete o poder criptográfico e é medido em bits.
< Passphrase
– Cadeia de caracteres alfanuméricos mais abrangente que a senha
– São compostos de caracteres alfabéticos e numéricos, maiúsculas e minúsculas
e sinais de pontuação
– Deve-se registrar um passphrase sobre algo que seja fácil de lembrar

266, em 31/1/2008.
— Vantagens e desvantagens dos tipos de criptografia
— Assinaturas digitais e certificados digitais – (cont.)
Assinatura Digital
A Chave Privada é utilizada na Encriptação e a Chave Pública na Desencriptação

266, em 31/1/2008.
— Certificados digitais
< É um documento eletrônico que possibilita comprovar a identidade de

uma pessoa, uma empresa ou um site, para assegurar as transações on-
line e a troca eletrônica de documentos, mensagens e dados
< Esta tecnologia permite assinar, digitalmente, qualquer tipo de
documento, conferindo-lhe a mesma validade jurídica dos equivalentes
em papel assinados de próprio punho
— Certificados digitais – (cont.)
< Funcionam como credenciais

< Semelhantes a um cartório na vida real onde atestam a autenticidade das
informações incluídas no certificado
< É constituído de três componentes básicos:
– Chave pública
– Informação de certificado (identificação do usuário, dados pessoais e
profissionais, etc.)
– Uma ou mais assinaturas digitais do cartório digital
< A distribuição de certificados pode ser realizada por:
– Distribuição manual (disquetes, rede, e-mail)
– Distribuição por certificados de certificados
– PKIs (Public Key Infrastructure) – administração de certificados por uma
Autoridade Certificadora (Certification Authority)

266, em 31/1/2008.
< Validade e confiança

– Geralmente, empresas nomeiam uma ou mais Autoridades Certificadoras, cujo
trabalho é checar a validade de todos os certificados
– A Autoridade Certificadora é o elemento em que todos confiam – nenhum
certificado é considerado válido se não for submetido à sua aprovação
< Tipos de certificados
– Certificados de CA: utilizados para validar outros certificados, são auto-
assinados (root certificates) ou assinados por outro CA
– Certificados de servidor: utilizados para identificar servidor “seguro”, contém
nome da organização e nome DNS do servidor
– Certificados pessoais: contém nome do portador e, eventualmente, informações
como endereço eletrônico, endereço postal, etc.
– Certificados de desenvolvedores de software: utilizados para validar assinaturas
associadas a programas
< Além de atenderem os requisitos de Autenticidade, Confidencialidade e

Integridade, os documentos assinados digitalmente asseguram o Não-
repúdio, ou seja, impede as partes de negarem a participação no negócio
eletrônico.

266, em 31/1/2008.
Dúvidas?
Etapa 8
Gestão da Continuidade dos Negócios

(BCM) Business Continuity Management
- Plano de Continuidade dos Negócios

- Plano de Contingência de TI e Recuperação de Desastres

266, em 31/1/2008.
8. Gestão da Continuidade dos Negócios

— Conhecer o conceito e as abordagens existentes

— Utilizar metodologia internacional para construção do
documento e entender suas diferenças
— Aprender os principais passos de desenvolvimento:
< Avaliação de Riscos (Risk Assessment)
< Análise de Impacto nos Negócios (BIA)
< Desenvolvimento das Estratégias de Continuidade e dos Planos
< Implementação
< Testes, Manutenção e Treinamento
8. Gestão da Continuidade dos Negócios – (cont.)
Visão Geral

266, em 31/1/2008.
Abreviações e nomenclaturas utilizadas nesta Etapa
— BCM: Business Continuity Management

— BCP: Business Continuity Plan
— BIA: Business Impact Assessment
— MAO: Maximum Acceptable Outage
— DRP: Disaster Recovery Plan
— SLA: Service Level Agreement
O que é BCM?
Avaliação de
Riscos
Teste e
Business Impact
Manutenção do
Assessment
Plano Sua Empresa
Desenvolvimento Desenvolvimento
do Plano das Estratégias

266, em 31/1/2008.
Qual é o principal objetivo do BCM?
“Restabelecer o mais rapidamente possível todos os recursos

necessários para operar os processos críticos de negócios
(processos de missão crítica) de forma a atender os objetivos
estabelecidos pela Alta Administração.”
Principais diferenças de BCM, BCP e IT Recovery Plan
Business abordagem completa da

Continuity continuidade dos negócios
Management
Business
Continuity foco na continuidade dos
Plan processos de negócio
IT
Recovery
Plan um tipo específico de plano

266, em 31/1/2008.
Na concepção dos alunos, o que é uma crise?
“Qualquer evento inesperado que pode causar, ou causa,

interrupção nas atividades e processos críticos de negócio
por mais tempo que o aceitável.” (MAO)
O que é uma crise?
— Óbvio
< Um furação pode causar paralisação total das atividades
— Não óbvio
< O PABX de uma empresa não está funcionando e um cliente está
tentando a manhã toda contatá-la para efetuar um pedido, porém
sem sucesso. O cliente, então, liga para a empresa concorrente.
As crises são muito relativas!

266, em 31/1/2008.
O que é uma crise? – (cont.)
— O tipo de crise é irrelevante

— A maioria das crises são impossíveis de prever
— Muitos planos falham, pois não são atualizados quando
existem mudanças tecnológicas e nos negócios
Metodologias e Melhores Práticas
— ISO/IEC 13335-1 (futura ISO 27005)

< Norma para gestão de riscos
— BS25999
< Code of Practice for BCM
— NIST sp800-30
< Risk Management Guide for TI
— NIST sp800-34
< Contingency Planning Guide for IT
— DRI
< Metodologia Própria

266, em 31/1/2008.
Metodologias e Melhores Práticas – (cont.)
— Todas, praticamente, abordam os seguintes aspectos:

< Avaliação de Riscos (Risk Assessment)
< Análise de Impacto nos Negócios (BIA)
< Desenvolvimento das Estratégias de Continuidade e dos Planos
< Implementação
< Testes, Manutenção e Treinamento
Metodologias e Melhores Práticas – (cont.)
— Todas, praticamente, abordam os seguintes aspectos – (cont.)

266, em 31/1/2008.
Perguntas aos participantes do curso
— O que seria uma crise na empresa que você trabalha?

— O que seria uma crise para os clientes da empresa?
Terrorismo Explosões
Erro humano Sua Empresa Incêndio
Falta energia elétrica Vírus
Falha de software
Sabotagem
Hackers Falta de água
Funcionário insatisfeito Furacões
Isso é tudo? Está faltando mais alguma coisa?


266, em 31/1/2008.

266, em 31/1/2008.

266, em 31/1/2008.
Competências Necessárias
Core Competencies

266, em 31/1/2008.
Competências necessárias
— Entendimento das necessidades da organização

— Comunicação
— Elaboração das perguntas corretas
— Pensamento criativo
— Diagnóstico perfeito
— Coaching
— Poder de aceite de suas soluções
Competências necessárias – (cont.)
Planejamento
do Projeto
Obtenção de
Informações
Análise
Comunicação
Próximos slides…

266, em 31/1/2008.
Planejamento do projeto
— Verificar a motivação da Alta Administração, e demais
envolvidos, com o projeto de Gestão de Continuidade dos
Negócios
— Detalhar e esclarecer o escopo e o nível de envolvimento da
Alta Administração, e partes interessadas
— Obter informações atualizadas sobre a gestão de riscos
— Conseguir informações sobre as áreas de negócio
— Elaborar o cronograma das atividades (tempo e investimentos
estimados, recursos necessários, produtos finais e etc.)
— Obter aprovação formal da Alta Administração
Obtenção de informações
— Efetuar reuniões, workshops, entrevistas
— Entender as necessidades dos negócios
— Perceber, junto aos gestores de negócio, suas principais
preocupações
— Corroborar e validar as informações obtidas anteriormente
— Observar aspectos não informados que podem ser pertinentes
ao projeto
— Aplicar testes de auditoria de sistemas
— Documentar todos os resultados

266, em 31/1/2008.
Análise
— Separar todas as informações obtidas
— Examinar para verificar como se combinam (entradas e
saídas)
— Produzir um resultado ou relatório com as conclusões obtidas
Comunicação
— Por que é importante?
< Para garantir a exatidão e consistência das informações
< Para atender as expectativas ao final do projeto
— Quem são os envolvidos neste processo?
< Alta Administração
< Gestores das áreas de negócio
< Equipes de suporte técnico e recuperação

266, em 31/1/2008.
Avaliação de Riscos
Risk Assessment
Recapitulando...
— O processo de Gestão de Riscos já foi lecionado em etapa

anterior do curso
— O conceito e sua aplicação são os mesmos

266, em 31/1/2008.
Recapitulando... – (cont.)
Avaliação e Análise de Riscos
— Passo 1 – Identificação dos ativos de informação

— Passo 2 – Identificação das ameaças
— Passo 3 – Identificação das vulnerabilidades
— Passo 4 – Análise dos controles de segurança
— Passo 5 – Análise da probabilidade
— Passo 6 – Análise de impacto
— Passo 7 – Determinação do risco
— Passo 8 – Recomendações dos controles de segurança
— Passo 9 – Documentação dos resultados
Recapitulando... – (cont.)
Tratamento dos Riscos
— Passo 1 – Priorizar as ações

— Passo 2 – Avaliar as recomendações expostas
— Passo 3 – Realizar análise custo-benefício
— Passo 4 – Selecionar controles
— Passo 5 – Designar e atribuir responsabilidades
— Passo 6 – Desenvolver plano para implementação dos meios
de proteção e controles selecionados
— Passo 7 – Implementar controles selecionados

266, em 31/1/2008.
O que a Gestão de Riscos tem a ver com o BCM?
Reduzi Área crítica Reduzi

r Risco r Risco
Minimização dos riscos
Nível de Risco
Aceitável Gestão da
Riscos residuais Continuidade dos
Negócios (BCM)
Níveis de impacto (perda)
Nível Classificação Detalhes (exemplos)
1 Insignificante Sem danos ou prejuízos financeiros.
2 Menor Prejuízos financeiros médios.
3 Moderado Prejuízos financeiros altos.
4 Maior Grandes danos aos negócios e prejuízos financeiros.
5 Catastrófico Fatalidades. Falha total das operações. Imensos

prejuízos.

266, em 31/1/2008.
Níveis de risco (exemplo sugerido)
Probabilidade Impacto
Insignificante Menor Moderado Maior Catastrófico
1 2 3 4 5
Bem provável A A MA MA MA
Provável M A A MA MA
Moderado B M A MA MA
Não provável B B M A MA
Raro B B M A A
MA – Muito Alto
A – Alto
M – Médio
B – Baixo
Escopo sugerido para Gestão de Riscos
i. Aspectos físicos / infra-estrutura / segurança predial

ii. Operações
iii. Sistemas de informação / TI

266, em 31/1/2008.
Escopo sugerido para Gestão de Riscos – (cont.)
i. Aspectos físicos / infra-estrutura / segurança predial

< Abastecimento de energia elétrica, gás e água
< Material de escritório
< Equipamentos de prevenção e combate a incêndio
< Centro de Processamento de Dados (principal / contingência)
< Seres humanos
ii. Operações
< Gestores das áreas de negócio
< Logística
< Funcionários e colaboradores
Escopo sugerido para Gestão de Riscos – (cont.)
iii. Sistemas de informação / TI

< Administração da rede
< Gerenciamento da Segurança da Informação
– Políticas, normas e procedimentos
– Pessoal
– Auditorias internas de segurança
– Detecção de intrusos
– Controles de acesso físicos e lógicos
– Comunicação
– Banco de dados
– Internet
– E-mail
– Firewall

266, em 31/1/2008.
Dúvidas?
Análise de Impactos nos Negócios

BIA – Business Impact Analysis

266, em 31/1/2008.
Por que fazer uma Análise de Impacto nos Negócios?
— Para garantir que o BCM será conduzido sob a ótica dos

negócios
— Para guiar o desenvolvimento do Plano e a auxiliar na
definição das estratégias de continuidade, baseado no
impacto de uma paralisação das atividades
— Para analisar os impactos financeiros e operacionais
— Para determinar o tempo máximo de parada aceitável (MAO,
Maximum Acceptable Outage) dos processos críticos
Os quatro estágios de um BIA
Planejamento
do BIA
Obtenção de
Informações
Análise
Comunicação
Próximos slides…

266, em 31/1/2008.
Atividades a serem desenvolvidas
Planejamento
— Mapear as preocupações da Alta Administração e dos gestores
— Identificar as funções, os processos de negócio, e seus
impactos devido a uma interrupção
— Analisar os impactos: operacional e financeiro
— Determinar o MAO
Perguntas aos participantes do curso...
— O que é um processo crítico de negócio?

< ... o negócio não se realizada sem ele.
— O que é uma situação de crise?

< ... quando o processo crítico de negócio é interrompido por mais
tempo que o aceitável (MAO).

266, em 31/1/2008.
Atividades a serem desenvolvidas – (cont.)
Obtenção de Informações
— Identificar os processos de negócio e seus proprietários
— Determinar a criticidade dos processos
— Documentar como o impacto da indisponibilidade pode afetar
a organização
— Obter e mapear:
< Prioridade de recuperação
< Tempo de recuperação
< Impactos pela não recuperação total
Obtenção de Informações – (cont.)
— Relacionar quais os principais recursos que suportam os

processos de negócio
< Escritórios
< Pessoas / Conhecimentos
< Tecnologia da Informação
< Infra-estrutura
< Telecomunicações
< Registros vitais
< Equipamentos especiais
< Entidades externas
< Exigências legais / contratuais

266, em 31/1/2008.
Obtenção de Informações – (cont.)
— Exemplos adicionais de processos críticos de negócio

< Fluxo de caixa
< Emissão de nota fiscal
< Faturamento de serviços e produtos
< Recebimento de pagamento
< Links de atendimento aos clientes
< Dentre outros
Análise
— Principais perguntas que devem ser respondidas após a
obtenção de informações:
< Quais são as funções dos processos críticos?
< Qual são os custos em função da paralisação?
< Quais são os recursos vitais?
< Qual é o nível mínimo de serviço necessário?
< Qual é o período de tempo que cada processo crítico necessita
para ser restabelecido?

266, em 31/1/2008.
Análise – (cont.)
— Análise do impacto operacional:

< Quais são os maiores impactos de uma interrupção dos serviços
além do programado / esperado?
< Quando cada processo torna-se crítico?
< A partir de qual ponto, as dependências de recursos e outros
processos afetam outros processos críticos?
— Análise do impacto financeiro (direto/indireto):

< Perda de vendas
< Perda de faturamento
< Despesas adicionais (horas-extras com pessoal, recuperação e
etc.)
< Despesas advocatícias
< Perda de clientes
< Dano a imagem e reputação

266, em 31/1/2008.
— Tempo máximo de parada aceitável (MAO – Maximum

Acceptable Outage)
< Após analisar o impacto operacional e financeiro de uma
interrupção:
– Reconsidere as preocupações da Alta Administração e dos
gestores
– Verifique em qual ponto o impacto torna-se inaceitável
– Determine o MAO para cada processo
– Não esqueça das dependências com outros processos /
recursos
Comunicação
— Elaboração e apresentação do relatório do BIA para a Alta
Administração e gestores, contemplando:
< Processos de negócio críticos, os recursos que os suportam e suas
dependências
< Custo e prejuízo estimados devido a uma paralisação vs. o custo
de recuperação
< Os tempos máximos de parada aceitáveis (MAO)
< Recomendações e um plano de ação sugerido

266, em 31/1/2008.
Comunicação – (cont.)
— Seções de um relatório de BIA:

< Sumário executivo (1 página)
< Conclusões e considerações finais (2 a 3 páginas)
< Detalhamento das oportunidades de melhoria para cada processo
de negócio, incluindo o MAO
< Riscos, probabilidades e impactos
< Recomendações e um plano de ação sugerido
Exercício em grupo
— Quais são os principais recursos e processos críticos de

negócio da empresa que você trabalha? Cite alguns exemplos.
— Qual é a prioridade e o tempo de recuperação aproximado
para cada um deles?
— Quais são os impactos pela não recuperação total?
Selecione para o exercício alguns recursos e preencha o(s)

questionário(s)
Exemplos de Questionários de BIA

266, em 31/1/2008.
Estratégias de Desenvolvimento
Por que elaborar estratégias de desenvolvimento?
— Porque permite visualizar diferentes tipos de opções que

podem ser comparadas e orçadas
— Reforça os planos de continuidade com os processos de
negócio
— Auxilia na identificação prévia dos recursos necessários para
implementar as estratégias

266, em 31/1/2008.
Estratégias de recuperação
— Tem como objetivos:

< Identificar alternativas para recuperação dos processos de
negócios dentro do MAO estipulado
< Avaliar alternativas, como:
– Facilidade em atender as necessidades
– Custos
– Nível de facilidade para implementação
– Aspectos para realização da manutenção
< Exemplos:
– Preparação de site alternativo
– Backup de dados (interno e/ou externo)
– Fornecedores de serviços alternativos
– Distribuição do processamento com outras áreas / localidades
Principais aspectos nas estratégias de recuperação
— Os principais aspectos que devem ser contemplados são:
i. Recursos humanos
ii. Operações do negócio e financeiro
iii. Registros vitais
iv. Relacionamento com entidades externas
v. Tecnologia da Informação
Estes aspectos serão comentados nos próximos slides.

266, em 31/1/2008.
Principais aspectos nas estratégias de recuperação – (cont.)
Recursos humanos
— O ser humano é o recurso mais valioso para garantir a
continuidade dos negócios
— Devem estar devidamente treinados e atualizados nos
procedimentos de recuperação
Operações do negócio e financeiro

— Localidade alternativa
— Outsourcing
— Acordos de reciprocidade
— Postergar a recuperação de atividades não críticas
— Criar formas alternativas para:
< Efetuar recebimentos e pagamentos
< Contatar clientes
< Realizar faturamento
< Vender

266, em 31/1/2008.
Registros vitais
— Devem ser armazenados em outra localidade física (endereço)
independentemente da estratégia adotada
— Exemplos:
< Fitas de backup
< Contratos
< Planejamento estratégico de negócios
< Dentre outros
— Deve-se garantir a segurança (confidencialidade, integridade
e disponibilidade), além dos recursos humanos autorizados
saberem de sua existência e localização
Relacionamento com entidades externas

— Em uma situação de crise pode ser inevitável manter uma
relação de confiança com outras organizações e indivíduos
— Pode-se, também, efetuar acordos onde há cooperação mútua
entre as entidades, ficando uma a disposição da outra
— Relações com a imprensa podem trazer mais malefícios do que
benefícios

266, em 31/1/2008.
Tecnologia da Informação
— As estratégias podem depender do tempo máximo de parada
aceitável (MAO) para cada sistema
— Se o tempo máximo de parada aceitável (MAO) não é curto,
pode-se optar apenas pela proteção dos dados
< Se MAO = minutos = altíssima disponibilidade
< Se MAO = horas = alta disponibilidade: hot ou warm site
< Se MAO = dias ou semanas = considerar cold site
< Se MAO = meses = reconstrução total ou aquisição de
equipamentos / infra-estrutura necessárias
Outros fatores a considerar

— Comunicação de dados entre localidades
— Interfaces
— Continuidade do acesso dos usuários às informações

266, em 31/1/2008.
Desenvolvimento do Plano
Por que desenvolver um plano formal?
— Os procedimentos são muito bem documentados de forma que

todos os passos de recuperação são claros para serem
executados
— A documentação assegura que os planos de recuperação estão
atualizados
— O plano garante que o conhecimento estratégico de
recuperação não seja perdido
— Conformidade com requisitos legais (ex. auditorias)

266, em 31/1/2008.
Passos para o desenvolvimento do plano
i. Definir a equipe de recuperação

ii. Desenvolver os planos individuais de cada área
iii. Desenvolver um plano global para coordenar todas as ações
iv. Elaborar as listas de contatos, inventários e outras referências
necessárias
Passos para o desenvolvimento do plano – (cont.)
Definição da equipe de recuperação
— Responsável por:
< Efetuar a gestão da crise
< Avaliar os impactos e os danos
< Realizar os procedimentos técnicos e operacionais necessários
— Duplicidade de profissional da equipe para aqueles
considerados críticos
— Não confiar na pronta disponibilidade dos profissionais

266, em 31/1/2008.
Listas de contato
— Equipe de gestão da crise

— Localidade alternativa
— Serviços emergenciais
— Equipe de recuperação
< Ramal, telefone fixo/residencial/celular, pager, e-mail
Divulgação
— Deve ser devidamente comunicado para as partes envolvidas

— Simples, direto e conciso
— Procedimentos passo-a-passo
— Formato claro
— Responsabilidades claramente alocadas para cada tarefa /
profissional

266, em 31/1/2008.
Plano de gerenciamento de crise
— Declara o desastre e inicia as ações do plano

— Administra a recuperação até que os processos de negócio
sejam restaurados
Preparação
Declaração
Resposta para Restauração
do Desastre
Restauração
Plano de gerenciamento de crise – (cont.)
— Determinar os responsáveis pelas tomadas de decisões

— Detalhamento dos contatos para comunicações, internas e
externas
— Contato com a imprensa
— Detalhamento do local / endereço para onde os profissionais
devem se dirigir
— Previsão do suporte que estes profissionais poderão precisar
— Serviços emergenciais externos (ambulância)
— Controle de acesso físico e lógico
— Apóio jurídico

266, em 31/1/2008.
Estrutura lógica do plano
Ação
— Especificar as responsabilidades de cada
indivíduo para cada ação
— Tempo de execução das ações
— Ações especificadas em ordem de
Responsabilidades
prioridade
— Contemplar, quando necessário, descrição
das interações e dependências com
outras áreas
Tempo de
Execução
Acessibilidade e documentação do plano
— Ter certeza que pode ser facilmente distribuído

— Ter certeza que pode ser facilmente acessado mesmo sem os
sistemas informatizados ou computadores
— Deve ser de fácil leitura e compreensão para ser seguido em
uma situação de desastre
— Deve possuir margens largas / espaços para anotações
— Não deve conter informações desnecessárias (ex.: introdução,
motivação, sumário executivo)

266, em 31/1/2008.
Quality assurance
— Revisões devem ser efetuadas durante o processo de

desenvolvimento do plano
— Testes do plano
— Processo necessário para manter o conteúdo do documento
atualizado e relevante
Perguntas aos participantes do curso...
— Qual é a diferença entre a Gestão de Riscos e o BCM?

< ... a Gestão de Riscos previne paralisações.
< ... o BCM determina e contempla estratégias para administrar as
paralisações e crises.

266, em 31/1/2008.
Testes, Manutenção e Treinamento
Por que testar os planos?
— Um plano bom é um plano testado!

— Confirma se a organização está preparada para responder a
um desastre
— Identifica problemas
— Treina as pessoas
— Verifica se o plano está devidamente atualizado frente as
mudanças nos processos de negócio
— Analisa os registros (logs)
— Efetua melhorias, de forma geral

266, em 31/1/2008.
Exemplos de tipos de testes
— Walkthrough
< Valida a clareza da documentação
< Revela grandes problemas com o plano
< Não identifica problemas técnicos
— Componentes
< Processo de evacuação
< Recolocação e ativação dos serviços
< Centro de controle de emergência
< Teste alternativo de sistemas
< Teste de estratégias alternativas
Exemplos de tipos de testes – (cont.)
— Programado e não-programado
< Testes programados são muitas vezes necessários para garantir a
disponibilidade de alguns dos envolvidos sem que suas atividades
sejam interrompidas, além de não causar pânico
< Testes surpresa / não-programados avaliarão a habilidade dos
envolvidos em responder às situações sem prévio aviso

266, em 31/1/2008.
Exemplos de tipos de testes – (cont.)
— Integração
< Testa diferentes partes do plano juntas para verificar coerência
< Avalia os procedimentos de comunicação
< Pode ser realizado durante o expediente normal
< Identifica inconsistências
— Desastre simulado
< Testa a maior parte do plano
< Considera grande investimento de tempo e recursos
< Não pode ser realizado durante o expediente normal
< Validação dos procedimentos
Dúvidas?

266, em 31/1/2008.
Por que efetuar manutenção do plano?
— Para que o documento permaneça efetivo, o plano necessita

ser atualizado para refletir:
< Mudanças nas atividades de negócio
< Mudanças de ambientes e tecnologias
< Alteração do MAOs
< Mudanças de profissionais / novos
< Mudanças externas
Formas de manutenção
— Integrar a manutenção do plano:

< Nas responsabilidades dos gestores
< No processo de gerenciamento de mudanças
< Nos estudos de viabilidade de projetos
— Revisões programadas

266, em 31/1/2008.
Quando o plano é afetado por uma manutenção...
— O responsável deve ser notificado

— O BIA deve ser revisado em função das mudanças (ex.:
processos, recursos)
— O documento deve ser modificado para refletir as alterações
— O responsável deve agendar um novo teste
Dúvidas sobre a manutenção do plano...

266, em 31/1/2008.
Por que realizar o treinamento e teste do plano?
— Provê auxilio no ajuste do plano à cultura corporativa

— Ensina a todos os envolvidos em como ativá-lo e tratar
situações de emergência
— Quanto menor o MAO para cada processo de negócio, mais
vezes o “ensaio” deverá ser realizado
— Sem treinamento suficiente, o investimento feito na
construção de um plano será perdido
Dúvidas?

266, em 31/1/2008.
Etapa 9
Auditoria de Sistemas
9. Auditoria de Sistemas
Objetivos da etapa 9
— Compreender o conceito, fundamentos e o processo de auditoria

— Entender o que são e para que servem os controles internos
— Identificar e elaborar os tipos de testes de auditoria
— Preparar relatórios
— Compreender as principais técnicas e abrangência das auditorias
— Conhecer as tendências

266, em 31/1/2008.
9. Auditoria de Sistemas
Fundamentos de Auditoria
— Conceito
< Processo sistemático onde uma pessoa independente obtém e avalia de
forma objetiva, evidências relacionadas com a situação financeira de uma
empresa, e de seus sistemas aplicativos relacionados, com propósito de
formar uma opinião e reportar o grau de confiança identificado.
9. Auditoria de Sistemas – (cont.)
O Processo de Auditoria

266, em 31/1/2008.
O Processo de Auditoria
PLANEJAMENTO
Avaliação dos
Controles Internos
Não: Nenhuma
Sim: Executar Testes Confiança nos
Controles
Testes Substantivos
Revisão e Avaliação
Relatório
Comentado nos próximos slides...
O Processo de Auditoria – (cont.)
— Planejamento
< Primeira fase no ciclo da auditoria

< Se realizado corretamente, assegura a eficiência e eficácia de todo o
processo
< As subfases sugeridas que contemplam o Planejamento são:
– Conhecimento do escopo e organização a ser auditada
– Especificação da natureza, extensão e escopo dos procedimentos de auditoria
– Especificação das necessidades (recursos, prazo e etc.)
– Documentação do plano de auditoria

266, em 31/1/2008.
— Avaliação dos Controles Internos
O que são?
< Controles Internos são procedimentos executados e recursos com a

finalidade de:
– Garantir que as políticas, normas e procedimentos sejam adequadamente

cumpridos
– Proteger os ativos, garantir a exatidão e a fidelidade dos dados contábeis
– Promover a eficiência operacional e estimular a aderência às diretrizes
administrativas estabelecidas
— Avaliação dos Controles Internos – (cont.)
Para que servem:
< Assegurar que os registros contábeis, financeiros e os sistemas aplicativos

são precisos e confiáveis
< Formalizar os resultados desejados ou propósitos a serem alcançados
< Podem ser classificados em:
– Preventivos
– Detectivos
– Corretivos

266, em 31/1/2008.
< Controles Preventivos

– Projetados para evitar a ocorrência de erros ou irregularidades
– Ex. Liberação de acesso a rede somente com a apresentação de solicitação
específica, devidamente aprovado (assinada) pelo proprietário da informação
(gerente)
< Controles Detectivos

– Projetados para detectar erros ou irregularidades
– Permitem a adoção de medidas imediatas de correção
– Ex. Alerta sobre a tentativa de acesso indevido a um local específico da rede
(área da Diretoria)
< Controles Corretivos

– Servem para remediar problemas descobertos pelos controles detectivos
– Minimizam o impacto de ameaças

266, em 31/1/2008.
< Considerações importantes:

– Todos os colaboradores de uma organização são responsáveis pelos controles
internos
– Cabe aos auditores (internos ou externos) avaliar e determinar se o sistema de
controles internos é adequado e se está funcionando como previsto
– Os auditores (internos ou externos) podem e devem propor novos controles ou
o aprimoramento daqueles existentes
— Testes de Auditoria
< Existem dois tipos de testes praticados pelos auditores:
– Testes de Conformidade (compliance)

– Testes Substantivos

266, em 31/1/2008.
— Testes de Auditoria – (cont.)
< Testes de Conformidade (compliance)
– Determina se os controles estão aderentes às políticas e procedimentos

estabelecidos pela organização
– Sua função é verificar se os controles existem na prática, além do nível de
confiança que se pode atribuir à eles
– Geralmente, é realizado por meio de técnicas de amostragem para estimar a
taxa de ocorrência de uma dada falha em um controle
< Testes Substantivos
– Testam a integridade do controle e processos em vigor

– Implicam na análise de itens específicos (transações, registros, etc.)
IMPORTANTE: Quanto menor for a confiança depositada nos controles (avaliada

nos testes de conformidade), maior deverá ser a amostra utilizada nos testes
substantivos durante a auditoria.

266, em 31/1/2008.
< Evidências
– É exigido ao auditor que suas conclusões sejam amparadas em evidências

suficientes e completas, caracterizando-se:
- Independência da fonte da evidência;
- Qualificação de quem a forneceu;
- Objetivo da evidência;
- Timing da evidência.
< O que deve ser documentado?
– Plano e programas de auditoria

– Atividades
– Testes
– Evidências dos testes
– Incidentes e vulnerabilidades
– Tudo o que for relevante dentro do escopo auditado

266, em 31/1/2008.
— Relatório de Auditoria
< Fase final do processo de auditoria

< Discussão das oportunidades de melhoria (pontos) identificadas
< Definição do enfoque a ser adotado na apresentação do relatório
< Promove o convencimento em torno dos fatos apurados
< Deve ser:
– Objetivo
– Claro
– Imparcial
– Exato
– Coerente
— Relatório de Auditoria – (cont.)
< O auditor deve observar as seguintes recomendações na elaboração:
– Especificar os objetivos da auditoria

– Evitar comentários desnecessários, inoportunos e depreciativos
– Não conter expressões que causem dúvidas ao leitor (ex. técnicas)
– Evitar justificar erros ou acertos identificados
– Ordenar assuntos por grau de importância
– Relatar apenas informações devidamente fundamentadas (com evidências)
– Declarar se algumas informações foram omitidas (consideradas confidenciais)
– Recolher cópias de documentos para anexar ao relatório, observando, sempre,
as políticas e normas estabelecidas pela organização

266, em 31/1/2008.
< Recomenda-se que o relatório siga a seguinte estrutura:
– Introdução: apresentar uma visão geral dos trabalhos (histórico, objetivos,

escopo, metodologias e melhores práticas utilizadas)
– Detalhamento das oportunidades de melhoria (pontos) identificadas: informar a

situação atual da falha no controle, riscos aos negócios, conclusões e plano de
ação das áreas envolvidas -> ver próximo slide
– Recomendações: apresentar as sugestões da equipe de auditoria sempre

baseados em metodologias e melhores práticas de mercado.
< Exemplo do detalhamento:

– Título da oportunidade de melhoria / ponto
– Descrição detalhada dos resultados dos testes
– Riscos, vulnerabilidades e impactos
– Recomendações
– Plano de ação e responsáveis (opcional)

266, em 31/1/2008.
Técnicas de Auditoria de Sistemas
Técnicas de Auditoria de Sistemas
— Durante a fase de planejamento da auditoria a equipe deve selecionar as

técnicas mais adequadas para obter as conclusões esperadas, como:
< Realização de entrevistas
< Aplicação de questionários
< Verificação ‘in loco’
< Testes de segurança
< Dentre outros

266, em 31/1/2008.
Controles Gerais do Computador
Controles Gerais do Computador
— Visão geral
< Consistem na estrutura, políticas e procedimentos que se aplicam às
operações dos sistemas informatizados de uma organização
< Criam o ambiente em que os sistemas e os controles irão operar
< Durante uma auditoria, por exemplo, em um sistema contábil, é
necessário inicialmente avaliar os controles gerais que atuam sobre ele
< Controles gerais deficientes acarretam na diminuição da confiabilidade a
ser atribuída aos controles das aplicações individuais; por esta razão os
controles gerais são avaliados separadamente

266, em 31/1/2008.
Controles Gerais do Computador – (cont.)
— Categorias
< Existem seis categorias de controles gerais que devem ser consideradas
em auditorias:
i. Controles organizacionais
ii. Programa geral da segurança
iii. Continuidade do serviço
iv. Controles de acesso
v. Controles de softwares de sistema
vi. Controles de desenvolvimento e alteração de softwares aplicativos
Os próximos slides mostrarão a abrangência de cada uma destas categorias
— Categorias – (cont.)
i. Controles organizacionais
– Políticas, procedimentos e estrutura organizacional estabelecidos para
organizar as responsabilidades de todos os envolvidos nas atividades
relacionadas à área da informática
– Os controles organizacionais contemplam:
- Organização da área de TI
- Segregação de funções
- Unidades organizacionais bem definidas
- Atividades controladas por políticas claras
- Políticas de segregação de funções e controle de acesso
- Recursos informatizados gerenciados de forma eficiente e econômica

266, em 31/1/2008.
ii. Programa geral da segurança

– Oferece a estrutura e contemplam:
- Gestão de risco
- Desenvolvimento de políticas de segurança
- Atribuição das responsabilidades de segurança
- Supervisão da adequação dos controles gerais da entidade
- Princípios da gestão da segurança
- Estrutura de segurança
iii. Continuidade do serviço

– Controles que asseguram que, na ocorrência de eventos inesperados, as
operações críticas:
- Não sejam interrompidas
- Sejam imediatamente retomadas
– Garante a proteção dos dados e informações críticas
– A continuidade do serviço contempla:
- Avaliação das vulnerabilidades e identificação dos recursos que as apóiam
- Uso de medidas para prevenir e minimizar danos e interrupções (backup,
controles ambientais, treinamentos)
- Desenvolvimento e documentação de um Plano de Contingência

266, em 31/1/2008.
iv. Controles de acesso

– Limitam ou detectam o acesso a recursos computacionais (dados, programas,
equipamentos e instalações)
– Protege esses recursos contra modificação não autorizada, perda e divulgação
de informações confidenciais
– Os controles de acesso contemplam:
- Classificação das informações
- Gerenciamento de usuários
- Controles lógicos e físicos para prevenção e detecção de acessos não
autorizados
- Utilização de trilhas de auditoria (logs de acesso e atividade)
v. Controles de softwares de sistema

– Limitam e supervisionam o acesso aos programas e arquivos críticos para o
sistema
– Controlam o hardware
– Protegem as aplicações presentes
– Os controles de software de sistema contemplam:
- Limitação a um número limitado de colaboradores a determinados
softwares, sistemas e arquivos
- Definição de responsabilidades para uso
- Controle das alterações de softwares

266, em 31/1/2008.
vi. Controles de desenvolvimento e alteração de softwares aplicativos

– Previnem a implementação ou modificação não autorizada de programas, ou
seja, que novas solicitações, ou de mudanças, não autorizadas pelo responsável
sejam realizadas e transferidas para o ambiente de produção
– Os controles contemplam:
- Metodologia de desenvolvimento de sistemas
- Testes formais com as partes envolvidas (usuários, analistas de sistema,
programadores, auditores, controle de qualidade etc.)
- Bibliotecas de controle de versão
Checklist de Auditoria para

Controles Gerais

266, em 31/1/2008.
Checklist de Auditoria para Controles Gerais
— Controles organizacionais (modelo proposto)
< As atividades dos funcionários são controladas através de procedimentos

de operação e supervisão documentados e políticas claras de seleção,
treinamento e avaliação de desempenho?
< Existe política de segregação de funções e controles de acesso?
< As informações foram classificadas?
Checklist de Auditoria para Controles Gerais – (cont.)
— Programa geral da segurança (modelo proposto)
< O programa estabelece uma estrutura para:
– Avaliação do risco?
– Desenvolvimento e implementação de procedimentos eficazes de segurança?
– Monitoração da eficácia desses procedimentos?

266, em 31/1/2008.
— Continuidade do serviço (modelo proposto)
< São realizadas avaliações de vulnerabilidade das operações

informatizadas e dos recursos / infra-estrutura que as apóiam?
< Medidas são adotadas para prevenir e minimizar danos e interrupções
potenciais?
– Backup, segurança física, treinamento de pessoal, localidade alternativa para
processamento de dados
< Existe um plano de contingência formal?

< São realizados testes periódicos do plano?
— Controle de acesso (modelo proposto)
< Os recursos informatizados estão protegidos adequadamente contra

modificação ou divulgação não autorizada, perda ou dano?
– Arquivos, programas, instalações e equipamentos e etc.
< Existem procedimentos formais para inclusão, exclusão, alteração de
usuários e seus perfis de acesso?
< Existem controles lógicos e físicos adequados para prevenir ou detectar
acesso não autorizado?
< Existem trilhas de auditoria (logs)?

266, em 31/1/2008.
— Controles de software (modelo proposto)
As preocupações são similares às de controle de acesso e de controle de

mudança de software.
< Existem políticas e procedimentos atualizados para a restrição do acesso à
softwares de sistema?
– Ex: sistemas operacionais, bibliotecas de programas, software de manutenção
de arquivos, de segurança, de bancos de dados
< Existem políticas e procedimentos atualizados para identificar, selecionar,

instalar e modificar softwares de sistemas, bem como identificar,
documentar e solucionar problemas?
— Controles sobre o desenvolvimento e alteração de softwares aplicativos

(modelo proposto)
< Os controles sobre a modificação de programas aplicativos ajudam a

garantir que somente programas e modificações autorizadas sejam
implementadas?
< A especificação das modificações são devidamente autorizadas?
< Todos os aplicativos novos ou alterados são testados e aprovados?
< Um grupo, independente de usuários e programadores, controla o
movimento de programas e dados para o ambiente de produção?

266, em 31/1/2008.
— Exemplos de planos de testes de controles gerais
Aqueles participantes do curso que desejarem os exemplos de planos, por favor, pedimos que forneçam e-mail para o envio.
Tendências da Auditoria de Sistemas

266, em 31/1/2008.
Tendências da Auditoria de Sistemas
— Auditoria contínua
< Permite aos auditores independentes prover avaliação formal sobre um
assunto específico utilizando uma série de relatórios de auditoria gerados
em um curto espaço de tempo da ocorrência dos eventos.
< Provê curto período entre a ocorrência do incidente e coleta de evidências
de forma mais simples
< Melhor monitoramento dos assuntos financeiros e tecnológicos
< Previne exposições negativas
Exercício em grupo
— Elabore um plano de trabalho (até 3 itens a serem abordados) e os testes de

controles, sendo que o escopo da auditoria é o Centro de Processamento de
Dados de uma empresa, ou uma das figuras abaixo.
O plano deve especificar:

< Objetivo do teste
< Procedimentos de teste
< Situação encontrada
< Conclusão

266, em 31/1/2008.
Auditoria de Segurança da Informação
Introdução
— A auditoria de segurança, ou metodologia de análise de vulnerabilidades, se

concentra em avaliar os seguintes aspectos:
< Segurança dos dados e sistemas de TI acessíveis via Internet
< Segurança dos dados e sistemas do ambiente de TI interno
< Segurança de aplicações específicas, exemplo, Web

266, em 31/1/2008.
— A auditoria de segurança, ou metodologia de análise de vulnerabilidades, pode

ser conduzida sob a ótica das seguintes abordagens:
< Sem conhecimento da rede ou aplicação (teste cego)
< Com conhecimento da rede ou aplicação
– Neste caso, o auditor possui certas informações, como configuração,
equipamentos, funcionamento) da rede ou aplicação que está sendo avaliada
Auditoria de Segurança e Análise de Vulnerabilidades
— Ambiente Internet
< Contempla:
– Mapeamento da rede e dos serviços
– Análise remota de servidores (serviços e sistemas operacionais)
– Análise do perímetro de defesa
– Tentativas de exploração de vulnerabilidades conhecidas
– DoS e DDoS
– War Dialing
– Dentre outros

266, em 31/1/2008.
— Ambiente Interno
< Contempla:
– Topologia física e lógica
– Acessos físicos e lógicos aos sistemas
– Segurança física
– Segregação de ambientes
– Estrutura de comunicação interna
– Reconhecimento da rede, servidores e sistemas
– Possibilidade de análise local dos servidores
– Seleção e análise de segurança em servidores críticos
– Escalonamento de privilégios
– Verificação de acesso a informações críticas e confidenciais
– Políticas, processos e procedimentos de segurança implementados
– Tentativas de exploração de vulnerabilidades conhecidas
— Aplicações
< Contempla:
– Mapeamento das funcionalidades da aplicação:
- Antes das interações entre cliente e servidor
- Descrição da arquitetura funcional da aplicação
- Levantamentos de interações com o ambiente de backoffice
– Validação dos mecanismos de autenticação
- Controles de autenticação e autorização
- Validação do processo de autenticação
- Análise dos controles existentes
- Mecanismos de criptografia
- Conformidade com a Política de Segurança
- Buffer overflow e injeção de códigos
- Interação e interfaces com outros sistemas

266, em 31/1/2008.
— Aplicações – (cont.)
< Contempla: - (cont.)
– Verificação dos mecanismos de conexão ou sessão

– Análise dos processos criptográficos
- Validação de algoritmos
- Verificação dos mecanismos criptográficos adicionais
– Segurança dos canais de comunicação
– Manipulação e armazenamento de dados sigilosos
- Memória e arquivos temporários
– Verificação de transações contra a possibilidade de fraudes
- Levantamento e validação dos controles contra fraudes
- Exploração de falhas nos controles
Resultados Esperados
— Escrita de um relatório de risco com:

< Domínios, faixas de endereçamento e a descrição do próprio sistema em
análise
< Servidores, serviços e sistemas possivelmente afetados
< Ameaças e vulnerabilidades encontradas
< Nível / grau de riscos
< Probabilidade e impacto
< Recomendações para correção ou minimização do risco
< Tempo e recursos previstos para implementação dos controles

266, em 31/1/2008.
Dúvidas?
Etapa 10
Forense Computacional

266, em 31/1/2008.
10. Forense Computacional

— Apresentar metodologia e as principais ferramentas para investigação

de incidentes de segurança
— Demonstrar os aspectos que compreendem a descoberta,
preservação, restauração e análise de evidências computacionais
— Exibir exemplos de ações para reconstrução de cenários
10. Forense Computacional – (cont.)
Introdução
— Qual é o objetivo da perícia forense computacional?
< É a tarefa de identificar e preservar, com alto rigor técnico, os eventos

ocorridos em um sistema computacional para provar ou não um incidente
ocorrido.
< Significa desvendar e “provar” tecnicamente um incidente ocorrido

266, em 31/1/2008.
— Aspectos da forense computacional

< Verificação de uma quantidade enorme de dados
< Busca por palavras, frases ou termos específicos
< Exame de arquivos, registros ou logs para identificar eventos que
ocorreram
– Tempo, causa, funcionalidade e comportamento
< Correlacionamento de eventos

< Fornecer evidências de que um usuário realizou ou não um determinado
ato
< Adquirir e analisar as evidências sem alterar ou modificar os originais
< Autenticar que uma evidência é recuperada a partir dos dados
originalmente aproveitados
— Mesmo que os crimes não sejam cometidos via Internet, eles podem
deixar rastros a serem utilizados como evidências nos tribunais
— Motivações para a perícia forense computacional
< Incidentes de segurança
< Fraudes financeiras
< Fraudes para fins políticos (ex. painel de votação do senado federal)
< Espionagem
< Uso indevido de recursos
< Violação de direito de propriedade intelectual
< Pornografia infantil

266, em 31/1/2008.
— Motivações para a perícia forense computacional – (cont.)
< Guerras e Terrorismo

< Tráfego de informações confidenciais
< Chantagens, difamações, extorsões
< Corrupção
< Quebra de direitos autorais
< Estelionatos
Caracterização da
Perícia Forense Computacional

266, em 31/1/2008.
Caracterização da Perícia Forense Computacional
— Âmbito da investigação
< Extrajudicial
– Interna à uma organização privada
– Interna à uma organização pública (sindicância)
– Fiscalização (realizada por órgão de fiscalização)
– Policial
< Judicial
— Âmbito da investigação – (cont.)
< Extrajudicial
– Detecção de um incidente
- Sistema de detecção de intrusão (IDS)
- Derivado de um processo de auditoria
- Derivado de análise de logs
- Identificação de eventos anômalos em processos corporativos
- Fraude
- Chantagem e etc.
– Suspeita de um incidente
- Violação de uma norma (legal, corporativa e etc.)
- Espionagem
- Suspeita de fraude e etc.

266, em 31/1/2008.
— Âmbito da investigação – (cont.)
< Extrajudicial – (cont.)
– Equipes internas da organização

- Auditoria ou inspetoria
- Jurídico
- Área de segurança
- Time de respostas a incidentes
- Comissão de sindicância (órgão públicos)
- Ouvidoria
- Recursos humanos e etc.
– Equipes externas
- Empresa especializada em forense computacional
- Profissional especialista (perito)
Características da
Perícia Forense Computacional

266, em 31/1/2008.
Perfil do profissional (perito)
— Categorias de conhecimento
< Personalidade
– Comunicação (saber escutar; oratória; redação de relatórios e cartas)
– Apresentação (falar em público; desenvoltura para falar sobre o processo)
– Diplomacia (não constrangir os envolvidos no processo)
– Políticas e procedimentos (metodologia maleável para analisar cada caso)
– Trabalho em equipe (o processo de investigação é um projeto)
– Integridade (do profissional; evitar o vazamento de informações)
– Conhecer seus limites (buscar auxílio sempre que necessário)
– Administrar o estresse
– Solução de problemas (plena capacidade de solucionar situações críticas)
– Gerenciamento do tempo (evitar atrasos que podem causar insucesso)
Perfil do profissional (perito) – (cont.)
— Categorias de conhecimento – (cont.)
< Conhecimento técnico

– Processo de investigação (conhecimento de métodos e processos de forense
computacional são fundamentais)
– Princípios de Segurança (confidencialidade, integridade e disponibilidade)
– Riscos e vulnerabilidades (entendimento abrangente para investigar
vulnerabilidades)
– Redes (topologias; protocolos; internet; switch e router)
– Sistemas e ferramentas (sistemas operacionais; ferramentas de forense)
– Técnicas de análise (experiência de como realizar análises em logs e sistemas,
otimizando tempo e com resultados mais precisos)

266, em 31/1/2008.
Perfil do profissional (perito) – (cont.)
— Categorias de conhecimento – (cont.)
< Certificações
– CFE: Certified Fraud Examiner
– CIFI: Certified Information Forensics Investigator
– EnCE: Encase Certifier Examiner
– CFCE: Certified Forensic Computer Examiner
Perfil do criminoso
— Estudo realizado pelo FBI sobre as características de um criminoso:

266, em 31/1/2008.
Incidentes de segurança
— Incidente
< É uma atividade ou ação que danifica ou prejudica, em qualquer instância,
a confidencialidade, integridade e disponibilidade de determinado ativo de
informação.
< Incidentes de fácil identificação
– Vírus e Trojan
< Incidentes de difícil investigação
– Invasão de sistemas
– Vazamento e roubo de informações
– Acessos não autorizados
– TCP/IP Spoofing
Incidentes de segurança – (cont.)
— Classificação do incidente
< Baixo
– Perda de senha
– Utilização de recursos para fins pessoais e/ou inadequadamente
< Médio
– Download ilícito
– Divulgação ou roubo de senhas
– Acesso não autorizado
< Alto
– Pedofilia
– Uso de software pirata
– Invasão
– Infecção por código malicioso

266, em 31/1/2008.
Incidentes de segurança – (cont.)
— Resposta a incidentes
< Eficiente (ação rápida, planejada com resultados positivos)
< Centralizada (desde o reporte inicial até o fim dos trabalhos)
< Grupo de resposta (existência de um grupo de pessoas)
< Auditoria e alertas (necessária para identificar incidentes)
< Política de Segurança (bons procedimentos contribuem para o sucesso da
investigação e aplicação de penalidades)
< Treinamento e conscientização (ser humano = o elo mais fraco)
Controles internos e auditoria
— Assuntos discutidos detalhadamente em etapa anterior do curso

— Para minimizar incidentes é necessário que sejam aplicados controles
— Controles são aplicados de acordo com a análise de riscos
— A auditoria também é um controle
— A auditoria é considerada um dos principais processos para a
detecção e investigação de incidentes
— Recapitulando, controles podem ser detectivos e preventivos
— Principais fontes de informação: logs de acesso e atividade

266, em 31/1/2008.
Salvaguarda do ambiente
— Principal tópico quando o assunto é forense computacional

— As evidências digitais são voláteis e necessitam de cuidados para que
não percam a integridade
— Além de salvaguardar o ambiente, é necessário que as evidências
sejam coletadas, reservadas e rotuladas
— São utilizados perímetros de segurança, fotografias, controle de
ativos analisados, luvas de algodão, câmeras digitais, lacres,
envelopes, etiquetas, CD-R, DVD-R etc.
Salvaguarda do ambiente – (cont.)
— Principais aspectos para segurança da cena de um crime:

i. Formular um plano
ii. Abordagem de atuação na cena do crime
iii. Documentação do layout da cena
iv. Buscar, coletar e analisar as evidências

266, em 31/1/2008.
i. Formulação do plano
< Antever o que será encontrado e como agir para cada um dos ativos
< A correta identificação de hard-disks e quaisquer tipos de mídias é
fundamental para a coerência do plano
< Definir os papéis e responsabilidades dos participantes
ii. Abordagem
< Em alguns casos poderá ser necessário que um mandado seja utilizado,
ou a presença de um oficial de justiça
– Ex.: segurança em pessoas, segurança nacional e pornografia infantil (e-mails
de pedofilia, ameaças à pessoas e de bomba)
< Deve-se zelar pela segurança das pessoas presentes

< Remover, se necessário, os suspeitos do ambiente
< Tudo que for observado e analisado deve ser anotado

266, em 31/1/2008.
iii. Documentação
< Pode ser de várias formas
– Gravação / narração dos eventos
– Fotografias do ambiente (layout) e ativos (tire ‘montes’ de fotografias)
– Print de telas dos computadores
– Condições de umidade e temperatura
< Deve-se proteger a integridade das evidências para que, se forem

utilizadas de forma litigiosa, sejam confiáveis aos olhos do júri
< Manter a privacidade das informações é requisito fundamental
iii. Corrente de custódia (chain of custody)

< Seu objetivo é definir um caminho pelo qual a evidência coletada passou,
informando horário, proprietário, quem coletou, como foi armazenada,
como foi protegida, quem tem a posse atual, etc.
< Pode-se utilizar um “Diário de Bordo” que documente, no mínimo:
– Identificação individual das evidências
– Embalagem
– Números dos lacres e etiquetas
– Termos de coletas dos ativos

266, em 31/1/2008.
iv. Busca, coleta e análise de evidências

< Considerar o uso de etiquetas (em computadores, cabos, mídias, etc.)
especificando o nome do perito investigador, número da etiqueta, data e
hora. Estas informações fazem parte da Corrente de Custódia
< Dicas para o manuseio das evidências:
– Usar luvas de algodão
– Evitar manuseio excessivo
– Evitar marcar diretamente o ativo
– Utilizar canetas do tipo pincel
– Usar sacos plásticos para armazenamento
Evidências
— Principais características das evidências:

< Ser admissível (passível de utilização no júri)
< Ser autêntica (relatar o incidente de maneira relevante)
< Ser completa (capaz de comprovar algum fato)
< Ser confiável (não pode ser questionada quanto a autenticidade e
veracidade)
< Ser clara (fácil de compreender aos olhos do júri)

266, em 31/1/2008.
Evidências – (cont.)
— Tipos de evidências
< Arquivos digitais
< Logs de servidor, estações de trabalho, sistemas aplicativos, bancos de
dados
< Cookies
< Histórico e cache do browser
< Fotografias / vídeos
< Favoritos
< E-mail
< Dentre outros...
O Processo de Investigação

266, em 31/1/2008.
Processo de investigação
i. Início
ii. Desenvolvimento
iii. Finalização
Processo de investigação – (cont.)
i. Início
< Deliberar sobre os envolvidos no processo, tomando-se como base o tipo
de processo (litigioso ou não-litigioso): auditoria interna, recursos
humanos, security officer
< Como a investigação é um projeto, deve-se definir e estruturar:
– Recursos humanos
– Obrigações e objetivos
– Hierarquia de reporte
– Cronograma
– Precedentes
– Independência
< Realizar a reunião inicial: crucial no processo de investigação

266, em 31/1/2008.
ii. Desenvolvimento
< Organizar os passos a serem seguidos
< Identificar o incidente
< Salvaguardar o ambiente
< Coletar evidências
< Analisar o incidente
< Analisar os ativos
< Identificar e origem (se externa, buscar informações em ISPs, empresas
de telecom, ADSL, etc.)
iii. Finalização
< Gerar os relatórios e laudos que concluem o processo
< Relacionar as evidências analisadas e seu relacionamento com as
hipóteses
< Relatórios podem ser técnicos ou não
< Especificar o tipo e investigação: litigiosa ou não litigiosa
< Conteúdo do relatório
– Sumário executivo
– Objetivos
– Apresentação das hipóteses e das evidências
– Correlação das hipóteses e das evidências
– Conclusão
– Anexos

266, em 31/1/2008.
Aspectos legais
— A discussão sobre os aspectos legais em tecnologia é vasta

— Atualmente, o assunto mais discutido é a monitoração dos
acessos à Internet e o uso do e-mail corporativos
Aspectos legais – (cont.)
Perguntas aos participantes do curso:
— Sua empresa têm o direito de monitorar estes recursos?

— O funcionário pode utilizar estes recursos para fins pessoais?

266, em 31/1/2008.
— Considerações importantes sobre este assunto:

< O monitoramento deve ser feito de maneira impessoal e moderada
< As rotinas de amostragem devem ser documentadas
< As Políticas devem explicitar o que é considerado uso abusivo
< Não deve-se garantir a privacidade do uso de e-mail e/ou Internet
corporativos
< Utilizar controles coercivos
— Palavras comuns no âmbito jurídico tecnológico

< Patente
< Registro
< Copyright
< Trademark
— Legislação
< PL 84/99
< Lei 9.983 de 14/07/2000
< Lei 10.764 de 12/11/2003

266, em 31/1/2008.
Exemplos de ferramentas utilizadas
— Salvaguarda do ambiente
< MD5 Deep – win / linux (hash)
< CRCMd5
— Listagem de arquivos
< Filelist
— Análise de ativos
< Gravação de horário: Get Time
< Cópias: Symantec Ghost; SafeBack
< Ferramentas de Undelete: Get Free; Recover4All; R-Undelete
Exemplos de ferramentas utilizadas – (cont.)
— Análise de ativos – (cont.)
< Análise de arquivos de texto – registros: Grep; WinGrep

< Scan por Rootkits: chkrootkit; Norton Antivírus
— Ferramentas anti-forensics
< Defilers Toolkit: Necrofile – Inodes; Kilmafile – Arquivos
< Disk scrub
— Outras
< Encase
< FIRE
< FLAG / Coroners - TCT

266, em 31/1/2008.
Exercício
— O caso da empresa INFORMÁTICA LTDA.
Apresentação de caso
— “PDA – Desafios da Investigação Digital”

266, em 31/1/2008.
Dúvidas?
Finalização
Carreira: Certificações para Profissionais

266, em 31/1/2008.
Certificações para Profissionais

A Importância de uma Certificação Profissional
— Conhecimentos detalhados de normas e melhores práticas que são referências

internacionais em Segurança da Informação.
— Segundo pesquisa do Institute Data Corporation (IDC) Brasil, as chances de
um profissional certificado conseguir um emprego aumentam em 53%, em
relação a profissionais que não possuem este título, podendo esse índice ser
ainda mais elevado de acordo com a categoria de certificação possuída.
— Os salários são de 10 a 100% superiores à média que o mercado paga a
profissionais sem certificação que ocupam as mesmas funções.
— Aumento do prestígio e da exigência das certificações pelo mercado de
trabalho.
— A certificação é encarada hoje pelas empresas como uma espécie de selo de
qualidade; atesta que o profissional está capacitado para resolver problemas -
e dos grandes.
— Não são diplomas fáceis de obter. Mas valem cada segundo e centavo
dedicados.
Certificações para Profissionais – (cont.)
Principais Certificações e Entidades Mantenedoras

266, em 31/1/2008.
Programa
Módulo 1 – Processo de Auditoria de Sistemas (10%)

Módulo 2 – Governança de TI (15%)
Módulo 3 – Ciclo de Vida de Sistemas e Infra-estrutura (16%)
Módulo 4 – Entrega e Suporte de Serviços de TI (14%)
Módulo 5 – Proteção dos Ativos de Informação (31%)
Módulo 6 – Recuperação de Desastres e Plano de Continuidade (14%)
Programa
Módulo 1 – Governança de Segurança da Informação (21%)

Módulo 2 – Gestão de Riscos (21%)
Módulo 3 – Gestão do Programa de Segurança (21%)
Módulo 4 – Gestão da Segurança da Informação (24%)
Módulo 5 – Gestão de Respostas a Incidentes (13%)

266, em 31/1/2008.
Programa
Domain 1—IT Governance Framework

Domain 2—Strategic Alignment
Domain 3—Value Delivery
Domain 4—Risk Management
Domain 5—Resource Management
Domain 6—Performance Measurement
Programa
1. Access Control Systems and Methodology

2. Applications and Systems Development Security
3. Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP)
4. Cryptography
5. Law, Investigation and Ethics
6. Operations Security
7. Physical Security
8. Security Architecture and Models
9. Security Management Practices
10. Telecommunications and Network Security

266, em 31/1/2008.
Programa
1. Access Control
2. Administration
3. Audit and Monitoring
4. Cryptography
5. Data Communications
6. Malicious Code / Malware
7. Risk, Response and Recovery
Programa
SECURITY PRINCIPLES & PRACTICES (22.8%)

BUSINESS PRINCIPLES & PRACTICES (10.9%)
PERSONNEL SECURITY (9.9%)
PHYSICAL SECURITY (24.4%)
INFORMATION SECURITY (5.5%)
EMERGENCY PRACTICES (8.5%)
INVESTIGATIONS (12.4%)
LEGAL ASPECTS (5.3%)

266, em 31/1/2008.
A Certificação PSP significa Physical Security Professional, ou Profissional de

Segurança Física.
Fornece ao mercado de segurança condições de classificar os profissionais atuantes
no segmento, principalmente aqueles cujas responsabilidades primárias são a de
conduzir e avaliar levantamentos de segurança física, projetar sistemas integrados de
segurança ou instalá-los, operar ou manter esses sistemas, separando os
profissionais que comprovam, pela certificação, possuir conhecimentos técnicos
atualizados e demonstram ter profunda competência operacional nessas áreas. A
certificação avalia e classifica o conhecimento do profissional em três grandes áreas:
Levantamento e Avaliação de Segurança Física;
Seleção de Medidas Integradas de Segurança Física;
Implementação de Medidas de Segurança Física.
BS 7799 Lead Auditor / ISO27001 Lead Auditor

2. Política de segurança da informação
3. Organização da segurança da informação
4. Gestão de ativos
5. Segurança em recursos humanos
6. Segurança física e do ambiente
7. Gerenciamento das operações e comunicações
8. Controle de acesso
9. Aquisição, desenvolvimento e manutenção de sistemas de informação
10.Gestão de incidentes em segurança da informação
11.Gestão da continuidade do negócio
12.Conformidade

266, em 31/1/2008.
Certified Fraud Examiner

2. Accounting and Auditing
3. Criminology and Sociology
4. Fraud Investigation
5. Loss Prevention
6. Law
Dúvidas?

266, em 31/1/2008.
Fim do Curso
Comentários e Avisos Gerais
Comentários e Avisos Gerais
O que a turma achou do curso?
Sobre a Avaliação do Curso
Sobre o Certificado de Participação
Quiz de Segurança da Informação

266, em 31/1/2008.
Jogo dos 7 Erros (serão somente 7?)

1. Ausência de critérios e recursos adequados para guarda de softwares licenciados.
2. Cabeamento de rede inadequadamente instalado e exposto na área de circulação.
3. Armazenamento inadequado de informações em gavetas abertas quando não estão em uso.
4. Falta de critérios e recursos adequados para armazenar Backups, mantendo-os no mesmo ambiente
de produção.
5. Conduta inadequada de funcionários, por falta de política, treinamento ou conscientização, ao
manterem líquidos próximos de equipamentos.
6. Manuseio inadequado de senhas pessoais e intransferíveis no ambiente de trabalho.
7. Descarte impróprio de informações sensíveis da empresa.
8. Exposição indevida de senhas de acesso a informações sensíveis da empresa.
9. Falha de especificação e implementação da aplicação que exibe a senha do usuário em tempo de
inicialização.
10. Ausência de sinalização e de detectores de fumaça que controlassem o uso de cigarros por parte dos
funcionários.
11. Falta de critérios e mecanismos de controle de acionamento do alarme, que permanece desligado.
12. Ausência de critérios ou de conscientização dos funcionários que permitiu o acesso livre de
visitantes sem acompanhantes.
13. Falha na conscientização dos funcionários e ausência de mecanismos de controle para garantir a
visibilidade dos crachás de identificação.

266, em 31/1/2008.

14. Conduta de risco de funcionários destreinados, somada à ausência de recursos que controlem tentativas de
cópia de softwares licenciados.
15. Armazenamento e manuseio inadequados de mídia magnética contendo informações sensíveis, resultando
na sua exposição.
16. Falha física nos armários que, por não possuírem trancas adequadas, comprometem o armazenamento
físico das informações da empresa.
17. Ausência de controles de software e baixa conscientização dos funcionários que mantém as estações de
trabalho "logadas" mesmo quando não estão em uso.
18. Exposição desnecessária dos discos de instalação de softwares licenciados, comprometendo sua
confidencialidade.
19. Ausência de mecanismos de controle da estação de trabalho possibilitando a instalação inadequada de
softwares não licenciados.
20. Conduta de risco dos funcionários ao compartilharem mídias que manipulam informações da empresa,
expondo-as à contaminação por vírus.
21. Falta de critérios na política de segurança e de mecanismos de software que impeçam a criação e o uso de
senhas consideradas fracas para as atividades da empresa.
22. Ausência de treinamento adequado aos funcionários, evitando que manuseiem informações desvinculadas
às atividades da empresa no ambiente de trabalho.
23. Falha de segurança física pela ausência de extintores e mecanismos de detecção e combate a incêndios.
24. Funcionário destreinado, provocando a proximidade de material inadequado (vaso de planta) de arquivos
onde informações sensíveis da empresa são armazenadas.
Muito Obrigado!
Esperamos vê-los em breve!
Boa Sorte e Sucesso!
Carlos Gustavo A. Gomes Fernando Nicolau Freitas Ferreira

carlos.gomes@auditsafe.com.br fernandoferreira@auditsafe.com.br


Apostila Curso GestãoSegurançaInformação v1

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Curso GestãoSegurançaInformação v1

Enviado por

Direitos autorais:

Formatos disponíveis

O Direito Autoral deste material didático E-mail:

está registrado na Biblioteca Nacional sob sponsor.portal@fernandoferreira.com

“Todos os colaboradores devem saber que as informações manuseadas

Fernando Nicolau F. Ferreira Dezembro de 2010 AuditSafe Assessoria Empresarial Ltda.

Autor e Instrutor do Curso

Formação • Análises de riscos e diagnósticos de segurança;

Este material do curso é protegido pela Lei

Este material do curso é protegido pela Lei

“Todos os colaboradores devem saber que as informações manuseadas

Fernando Nicolau F. Ferreira Dezembro de 2010 AuditSafe Assessoria Empresarial Ltda.

Este material do curso é protegido pela Lei

Início, intervalos e encerramento

Distribuição de material (Copyright)

Apresentação dos Participantes

Este material do curso é protegido pela Lei

O que devo proteger?

1 Cenário Atual e Conceitos Básicos

2 Metodologias e Melhores Práticas em Segurança da Informação

5 Política de Segurança da Informação e Conscientização

6 Segurança Física e do Ambiente

8 Gestão da Continuidade dos Negócios

Finalização – Quiz e Certificações para Profissionais

Este material do curso é protegido pela Lei

Cenário Atual e Conceitos Básicos

Este material do curso é protegido pela Lei

1. Cenário Atual e Conceitos Básicos

Prover aos participantes conhecimentos sobre os principais

Compreender os conceitos básicos de segurança da informação,

Entender a importância que a informação possui corporativamente

Conhecer os recursos que devem e precisam ser protegidos.

1. Cenário Atual e Conceitos Básicos – (cont.)

Total de incidentes cresce ano a ano

Este material do curso é protegido pela Lei

1. Cenário Atual e Conceitos Básicos – (cont.)

Funcionário da Câmara vende depoimento de diretor do Deic ao PCC

Roubo de software Cisco acaba em invasão à NASA

F1: segredos da Ferrari podem ter sido entregues para a McLaren

1. Cenário Atual e Conceitos Básicos – (cont.)

Funcionário da Câmara vende depoimento de diretor do Deic ao PCC

Roubo de software Cisco acaba em invasão à NASA

F1: segredos da Ferrari podem ter sido entregues para a McLaren

Este material do curso é protegido pela Lei

1. Cenário Atual e Conceitos Básicos – (cont.)

Funcionário da Câmara vende depoimento de diretor do Deic ao PCC

Roubo de software Cisco acaba em invasão à NASA

F1: segredos da Ferrari podem ter sido entregues para a McLaren

1. Cenário Atual e Conceitos Básicos – (cont.)

Funcionário da Câmara vende depoimento de diretor do Deic ao PCC

Roubo de software Cisco acaba em invasão à NASA

F1: segredos da Ferrari podem ter sido entregues para a McLaren

Este material do curso é protegido pela Lei

1. Cenário Atual e Conceitos Básicos – (cont.)

Pirata virtual invade site do SBT e faz "pichação" contra corrupção

1. Cenário Atual e Conceitos Básicos – (cont.)

Funcionário da Câmara vende depoimento de diretor do Deic ao PCC

Roubo de software Cisco acaba em invasão à NASA

F1: segredos da Ferrari podem ter sido entregues para a McLaren

Este material do curso é protegido pela Lei

1. Cenário Atual e Conceitos Básicos – (cont.)

Adolescente aplica golpe milionário no INSS

1. Cenário Atual e Conceitos Básicos – (cont.)

Funcionário da Câmara vende depoimento de diretor do Deic ao PCC

Roubo de software Cisco acaba em invasão à NASA

F1: segredos da Ferrari podem ter sido entregues para a McLaren