RAFAEL DE SOUZA

LUCAS CHANG A.

SEGURANÇA EM AMBIENTES

Trabalho apresentado no
a curso de graduação em a
a Análise e
Desenvolvimento
de Sistemas na a
Universidade de Pinhais.

Pinhais
2024
 SUMÁRIO

1. INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2. DESAFIOS DE SEGURANÇA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. RESPONSABILIDADES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.1 PROVEDORES DE SERVIÇOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.1 CLIENTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
4. MELHORES PRATICAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
4.1 BOAS PRATICAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
4.2 MODELOS DE SEGURANÇA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

5. CONTROLE DE ACESSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.1 CONTROLE DE ACESSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

5.2 AUTENTICAÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

6. PROTEÇÃO DE DADOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
6.1 CONTROLE DE DADOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

6.2 TECNOLOGIA DE SEGURANÇAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

7. GOVERNANÇA DE DADOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
7.1 ELEMENTOS DA GOVERNANÇA DE DADOS . . . . . . . . . . . . . . . . . . . . . 13

7.2 PRÁTICAS DE GOVERNANÇA DE DADOS . . . . . . . . . . . . . . . . . . . . . . . 14

8. POLITICAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
9. REGULAMENTAÇÕES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
7.1 PRINCIPAIS REGULAMENTAÇÕES DE PROTEÇÃO DE DADOS . . . . . . . 16

7.2 PRATICAS PARA CONFORMIDADE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

10. REFERENCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2
 INTRODUÇÃO

O mundo se tornou mais complexo e complicado a cada dia que passa, e, portanto,
a questão da segurança é sempre crítica. A segurança em ambientes não é mera
proteção de elementos tangíveis; trata-se de salvar vidas e assegurar a segurança
do ocupante.

Existem vários tipos de ambientes seguros, primeiro, os ambientes em que o risco é

minimizado mantendo a combinação de medidas preventivas e a capacidade de
resposta efetiva a uma situação de emergência. Ambientes seguros se traduzem em
várias instalações, que vão desde residências a locais de trabalho, escolas ,
hospitais, lugares de culto, parques públicos e muito mais.

Em uma nota mais pessoal, a segurança no ambiente em questão é uma questão

que influencia inúmeras áreas da nossa vida cotidiana. Como indivíduos,
preocupamo-nos com a segurança ao andar na rua e organizamos sistemas de
segurança em casa.

Quando se trata de carreira e trabalho em geral, a segurança no ambiente em

questão seria uma responsabilidade de dois lados. Além de os empregadores
organizarem um ambiente seguro para seus funcionários, o indivíduo também deve
entender e seguir as normas de segurança do seu local de trabalho .

Assim, tanto a conscientização quanto a prática de medidas de segurança são

relevantes tanto no dia a dia quanto no local de trabalho. Seja qual for a situação em
que nos envolvemos, desde andar na rua até o ambiente complexo do trabalho, é
da prevenção de acidentes e da segurança das pessoas que estamos falando.

Em outras palavras, a segurança dos ambientes é um compromisso de todos e de

cada indivíduo e organização. Se todos os participantes tiverem uma abordagem
proativa e colaborativa, os ambientes se tornarão mais seguros, e essa aqueles que
nele vivem e trabalham será proteção suficiente para todo o bem-estar.

3
 DESAFIOS DE SEGURANÇA

No cenário contemporâneo de ambientes digitais, os desafios de segurança se

multiplicam e se alteram rapidamente. A sofisticação dos ataques cibernéticos tem
representado uma ameaça importante a várias organizações em muitos setores,, e
o phishing destaca-se dentre inúmeros modos de sequestro de informações. Os
criminosos têm utilizado diversas formas de phishing, malware, ransomware e
engenharia social para invadir os sistemas e obter acesso a informações
confidenciais. A expansão do número de alvos em razão do aumento do número de
dispositivos conectados ao sistema e ao fenômeno do BYOD tornaram ainda mais
difícil garantir a segurança ativa dos sistemas.

1. Aumento das Ameaças Cibernéticas: A complexidade e a diversidade dos

ataques cibernéticos, incluindo malware, phishing, ransomware e engenharia
social, representam uma ameaça significativa à segurança digital.

2. Fraquezas em Software e Infraestrutura: Vulnerabilidades em sistemas

operacionais, aplicativos e infraestrutura de rede podem ser exploradas por
invasores para obter acesso não autorizado a sistemas e dados sensíveis.

3. Desafios na Identificação de Ameaças: A detecção precoce de atividades

maliciosas e a identificação de ameaças em tempo real são desafios
significativos, especialmente com o aumento do volume e da complexidade
dos dados gerados pelas organizações.

4. Escassez de Recursos e Orçamento Limitado: Muitas organizações

enfrentam restrições de recursos e orçamento ao implementar medidas de
segurança eficazes, o que pode dificultar a implementação de soluções
adequadas para mitigar os riscos de segurança.

5. Segurança em Nuvem: Migrar dados e sistemas para a nuvem introduz

desafios adicionais de segurança, incluindo preocupações com a segurança
dos dados armazenados e transmitidos, conformidade regulatória e
gerenciamento de identidades e acessos.

4
 RESPONSABILIDADES
Responsabilidades compartilhadas entre provedores e clientes

Provedores de Serviços:

1. Implementar Medidas de Segurança: os provedores devem implementar

medidas de segurança apropriadas para o ambiente em questão. Isso pode
incluir sistemas de vigilância, controle de acesso, iluminação adequada e
procedimentos de emergência.

2. Treinamento e Educação: é responsabilidade dos provedores fornecer

treinamento adequado para seus funcionários, para que estejam cientes dos
procedimentos de segurança e saibam como agir em situações de
emergência.

3. Manutenção Regular: garantir que todos os equipamentos de segurança,

como câmeras de vigilância, alarmes e sistemas de incêndio, estejam
funcionando corretamente por meio de manutenção regular.

4. Cumprir Normas e Regulamentos: os provedores devem cumprir todas as

normas de regulamentos de segurança aplicáveis ao seu setor, garantindo
que o ambiente atenda aos padrões de segurança necessários.

5. Comunicação Transparente: manter uma comunicação transparente com

os clientes sobre as medidas de segurança em vigor, para que eles estejam
cientes das preocupações tomadas e saibam como agir em caso de
emergência.

5
Clientes:

1. Seguir as Regras e Procedimentos: os clientes devem seguir as regras e

procedimentos de segurança estabelecidos pelo provedor de serviços. Isso
pode incluir restrições de acesso, procedimentos de evacuação e uso
adequado de equipamentos de segurança.

2. Reportar problemas: se um cliente observar qualquer problema de

segurança, como equipamentos danificados ou comportamentos suspeitos, é
importante relatar imediatamente aos responsáveis pelo local.

3. Participar de treinamento: quando oferecidos, os clientes devem participar

de treinamentos de segurança fornecidos pelo provedor de serviços. Isso os
capacita a agir adequadamente em situações de emergência.

4. Respeitar as Instalações: manter o respeito pelas instalações ajuda e

preservar a segurança de todos. isso inclui não interferir em equipamentos de
segurança, não bloquear saídas de emergência e seguir as orientações de
evacuação.

5. Cooperação em Situações de Emergência: em caso de emergência, os

clientes devem cooperar com os funcionários do local, seguir as instruções
de evacuação e ajudar a manter a calma e a ordem.

6
 MELHORES PRÁTICAS
Melhores práticas e modelos de segurança

Boas práticas:

1. Avaliação de Riscos:
1.1. Realizar avaliações regulares de riscos para identificar ameaças
potenciais.
1.2. Avaliar ameaças físicas, como intrusão, incêndios, desastres naturais,
entre outros.

2. Controle de Acessos:
2.1. Implementar sistemas de controle de acesso, como cartões de
identificação, fechaduras eletrônicas ou biometria.
2.2. Restringir acesso a áreas sensíveis apenas a pessoal autorizado.

3. Iluminação Adequada:
3.1. Garantir que todas as áreas sejam bem iluminadas, especialmente
espaços externos à noite.
3.2. A iluminação adequada pode dissuadir atividades criminosas e melhorar
a vigilância.

4. Monitoramento por Videos:

4.1. Instalar câmeras de vigilância em pontos estratégicos para monitorar
atividades.
4.2. O monitoramento por vídeo pode ser tanto preventivo quanto uti para
investigações posteriores.

5. Treinamento de Funcionários:
5.1. Oferecer treinamento regular em segurança para todos os funcionários.
5.2. Inclui instruções sobre procedimentos de emergência, como evacuação e
primeiros socorros.

6. Segurança Cibernética:
6.1. Implementar protocolos de segurança cibernética para proteger dados e
sistemas
6.2. utilizar firewalls, antivírus e práticas de autenticação forte.

7
 7. Planos de Emergência:
7.1. Desenvolver e praticar planos de emergência detalhados para diferentes
cenários.
7.2. Ter notas de evacuação claras e pontos de encontro designados.

8. Manutenção Regular:
8.1. Realizar manutenção regular em equipamentos de segurança, como
alarmes de incêndio e extintores.
8.2. Certificar-se de que todas as saídas de emergência estejam
desobstruídas e funcionando corretamente.

Modelos de Seguranca:

1. Modelo de “Defesa em Profundidade”:

1.1. Este modelo envolve a implementação de múltiplas camadas de
segurança.
1.2. Cada Camada oferece proteção adicional, de modo que se uma camada
for comprometida, outras ainda estarão em vigor.
1.3. Exemplos incluem controle de acesso, monitoramento por vídeo,
sistemas de alarme e segurança física.

2. Modelo de Segurança Convergente:

2.1. Integra sistemas de segurança física e segurança cibernética.
2.2. Reconhece que a segurança moderna precisa abordar tanto ameaças
físicas, quanto virtuais.
2.3. Combina o monitoramento de redes com monitoramento físico para uma
visão abrangente da Segurança.

3. Modelo de Segurança Baseado em Risco:

3.1. Identifica e prioriza os riscos específicos para um ambiente.
3.2. Aloca recursos de segurança com base nas ameaças mais significativas.
3.3. Permite uma abordagem personalizada e eficiente para a segurança.

4. Modelo de Segurança Comunitária:

4.1. Foca na colaboração entre membros de uma comunidade ou localidade.
4.2. Envolvimento ativo de residentes, empresas e autoridades locais na
vigilância e prevenção de crimes.
4.3. Inclui programas de vizinhança vigilante e parcerias com a polícia local.

8
 CONTROLE DE ACESSO
Controle de acesso e autenticação

Controle de acesso:
1. Cartões de Acesso e Chaves:
1.1. Cartões de acesso eletrônico ou chaves físicas, são usados para
conceder entrada a áreas restritas.
1.2. Cada cartão/chave é associado a um indivíduo e pode ser desativado se
perdido ou roubado.

2. Biometria:
2.1. Impressões digitais, reconhecimento facial, íris ou até mesmo padrões de
voz são usados para autenticar a identidade de uma pessoa.
2.2. Mais seguro do que senhas ou cartões, pois é difícil de replicar ou
falsificar.

3. Portões e Catracas:
3.1. Portões controlados por cartões ou biometria que garantem que apenas
pessoas autorizadas tenham acesso.
3.2. Catracas podem ser usadas para controlar o fluxo de pessoas em áreas
específicas.

4. Sistemas de Intercomunicação e Vídeo Porteiro:

4.1. Antes de conceder acesso, sistemas de intercomunicação permitem a
comunicação com a pessoa que deseja entrar.
4.2. Os videoporteiros fornecem uma visão visual para confirmar a identidade
antes de abrir a porta.

5. Controle Remoto e Centralizado:

5.1. Sistemas centralizados permitem que administradores controlem e
monitorem o acesso de várias localidades.
5.2. O controle remoto permite que a equipe de segurança conceda ou negue
acesso de qualquer lugar.

9
Autenticação:

1. Sistemas Unificados:
1.1 Integração de sistemas de controle de acesso físico e autenticação digital
para uma solução unificada.
1.2. Permite que o mesmo conjunto de credenciais seja usado tanto no
mundo físico quanto digital.

2. Registro de Acesso:
2.1 Manter registros detalhados de quem acessou áreas específicas ou
realizou atividades em sistemas digitais.
2.2. importante para auditorias de segurança e investigações.

3. Atualizações e Revisões Regulares:

3.1. Manter sistemas atualizados com as últimas correções de segurança.
3.2. Revisar regularmente as políticas de acesso e autenticação para garantir
que estejam alinhadas às melhores práticas.

10
 Proteção de dados
Proteção de dados confidenciais

Controle de dados:

1. Classificação e Dados:
1.1. Identificar e classificar os dados com base em seu nível de
sensibilidade.
1.2. Dados confidenciais devem ser claramente marcados e protegidos
adequadamente.

2. Políticas de Acesso:
2.1. Implementar políticas claras de acesso que restrinjam quem pode
acessar os dados confidenciais.
2.2. usar controles de acesso como autenticação multifatorial e
autorização baseada em função.

3. Controle de Distribuição:
3.1. imitar a distribuição de dados confidenciais apenas as pessoas
que precisam deles para realizar seu trabalho.
3.2. Evitar compartilhamento indiscriminado ou não autorizado.

11
Tecnologias de Segurança:

1. Criptografia:
1.1. Criptografar dados confidenciais em repouso.
1.2. isso garante que mesmo que os dados sejam comprometidos,
eles permanecem legíveis sem a chave de descriptografia.

2. Firewalls e Proteção de Rede

2.1. Usar firewalls para monitorar e controlar o tráfego de rede,
protegendo contra acesso não autorizado.
2.2. Implementar sistemas de detecção e prevenção de instruções
para identificar e bloquear atividades.

3. Segurança em Nuvem:
3.1. Armazenar os dados na nuvem, escolher provedores confiáveis
com medidas de segurança robustas.
3.2. Criptografar dados antes de os enviar para a nuvem e usar
autenticação forte para os acessar.

4. Backup e Recuperação de Dados:

4.1. Realizar backups regulares de dados confidenciais e armazenar
os dados de forma segura.
4.2. Ter planos de recuperação de desastres para restaurar dados em
caso de falha ou ataque.

12
 Governança de dados

Elementos da Governança de Dados:

1. Estratégia de Dados:
1.1. Desenvolvimento de uma estratégia clara e alinhada aos objetivos da
organização.
1.2. Define como os dados serão coletados, armazenados, gerenciados,
compartilhados e utilizados.

2. Políticas e procedimentos:
2.1. Elaboração de políticas e procedimentos que definem responsabilidades,
padrões e práticas para o uso dos dados.
2.2. Isso inclui, políticas de privacidade, segurança da informação, retenção
de dados, entre outros.

3. Metadados:
3.1. Definição e gerenciamento de metadados, que são informações que
descrevem os dados, como origem, formato, significado e relacionamentos.
3.2. metadados ajudam na descoberta, interpretação e uso correto dos
dados.

4. Qualidade de dados:
4.1. Implementação de processos para garantir a qualidade dos dados,
incluindo precisão, integridade, consistência e atualização.
4.2. Isso envolve validação, limpeza e padronização de dados.

5. Segurança e Privacidade:
5.1. Implementação de medidas de segurança para proteger dados contra
acesso não autorizado, uso indevido e violações de privacidade.
5.2. Isso inclui controle de acesso, criptografia, anonimização, entre outros.

6. Conformidade Regulatória:
6.1. garantir que a organização esteja em conformidade com as
regulamentações de proteção de dados, como LGPD e outras.
6.2. Isso envolve o cumprimento de requisitos legais, notificações de
violações e proteção dos direitos dos indivíduos.

13
Práticas de Governança de Dados:

1. Comitê de Governança de Dados:

1.1. Estabelecimento de um comitê ou equipe dedicada para liderar e
supervisionar a governança de dados da empresa.
1.2. Este comitê define políticas, prioridades e alocação de recursos para
iniciativas de governança de dados.

2. Gestores de Dados:
2.1. Responsáveis por gerenciar e proteger dados em suas áreas
específicas.
2.2. Eles são os guardiões dos dados e garantem a conformidade com as
políticas de dados estabelecidas.

3. Avaliação de Impacto de Privacidade:

3.1. Realização de Avaliações de Impacto de Privacidade para identificar e
mitigar riscos à privacidade de dados.
3.2. Isso é especialmente importante em iniciativas que envolvem dados
sensíveis ou de alto risco.

4. Gestão de Ciclo de Vida de Dados:

4.1. Definição de políticas e processos para gerenciar o ciclo de vida
completo dos dados, desde a criação até a exclusão.
4.2. Isso inclui retenção, arquivamento e destruição segura de dados quando
não são mais necessários.

5. Monitoramento e Relatórios:
5.1. Implementação de sistemas de monitoramento para acompanhar o uso e
o acesso aos dados.
5.2. Relatórios regulares sobre a conformidade, qualidade e segurança dos
dados.

6. Educação e Conscientização:
6.1. Programas de treinamento e conscientização para funcionários sobre a
importância da governança dos dados.
6.2. inclui a educação sobre políticas, práticas de segurança e ética no uso
dos dados.

14
 POLÍTICAS
Políticas e Procedimentos

1. Políticas de Segurança da Informação: Desenvolvimento e implementação

de políticas claras e abrangentes que definam as diretrizes para o uso seguro
dos sistemas e dados da organização, incluindo políticas de senha, acesso
remoto, uso de dispositivos pessoais, entre outros.

2. Classificação de Dados: Estabelecimento de políticas para classificar os

dados com base em sua sensibilidade e importância para a organização,
facilitando assim a aplicação de medidas de proteção adequadas de acordo
com o nível de risco associado a cada tipo de informação.

3. Auditorias de Segurança: Estabelecimento de procedimentos para realizar

auditorias regulares de segurança, que incluem a revisão e avaliação dos
controles de segurança existentes, identificação de vulnerabilidades e
lacunas de conformidade, e recomendações para melhorias.

4. Políticas de Acesso e Controle de Privacidade: Definição de políticas e

procedimentos para controlar o acesso aos dados pessoais dos usuários,
garantindo que apenas funcionários autorizados tenham acesso a
informações sensíveis e que o uso desses dados esteja em conformidade
com regulamentações de privacidade de dados aplicáveis.

5. Revisão e Atualização Contínua: Revisão regular das políticas e

procedimentos de segurança de dados para garantir que estejam alinhados
com as melhores práticas da indústria e as regulamentações relevantes, e
atualização conforme necessário para enfrentar novos desafios e ameaças
emergentes.

15
 REGULAMENTAÇÕES
Conformidade com regulamentações

Principais Regulamentações de Proteção de Dados:

1. GDPR (GENERAL DATA PROTECTION REGULATION):

1.1. Regulamento da União Europeia que protege os dados pessoais e a
privacidade dos cidadãos da União Europeia.
1.2. Aplica-se a organizações que coletam, processam e armazenam dados
de residentes da UE, independentemente de onde a organização esteja
localizada.

2. LGPD (LEI GERAL DE PROTEÇÃO DE DADOS):

2.1. Regulamentação brasileira que trata da proteção e tratamento de dados
pessoais.
2.2. Semelhante ao GDPR, estabelece requisitos para o uso e proteção de
dados pessoais residentes do Brasil.

3. HIPAA (HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY AC-

USA):
3.1. Regulamentação dos EUA que estabelece normas de privacidade e
segurança para informações médicas e de saúde.
3.2. Aplica-se a organizações de saúde, planos de saúde, prestadores de
serviços de saúde e outros que lidam com informações de saúde protegidas.

4. CCPA (CALIFORNIA CONSUMER PRIVACY ACT - USA):

4.1. Leia da Califórnia que concede aos residentes da Califórnia direitos
sobre seus dados pessoais.
4.2. Aplica - se a empresas que atendem residentes da Califórnia e tem
requisitos semelhantes ao GDPR em termos de transparência e direitos dos
consumidores.

16
Práticas para Conformidade:

1. Conhecimento das Regulamentações:

1.1. As organizações devem estar cientes das regulamentações relevantes
que se aplicam a elas.
1.2. Isso inclui entender os requisitos, direitos dos indivíduos e
consequências por não estar em conformidade.

2. Avaliação de Impacto de Privacidade (PIA):

2.1. Realizar Avaliações de Impacto de Privacidade para identificar e diminuir
os riscos a privacidade de dados.
2.2. Isso ajuda a entender como as práticas de dados de uma organização se
alinham com as regulamentações.

3. Design de Privacidade (PRIVACY BY DESIGN):

3.1. Integrar princípios de privacidade desde a concepção de sistemas e
processos.
3.2. Isso garante que a proteção de dados seja considerada em todas as
etapas de ciclo de vida dos dados.

4. Transparência e Consentimento:
4.1. Obter consentimento explícito dos indivíduos para coletar, processar e
compartilhar seus dados.
4.2. Fornecer informações claras sobre como os dados serem usados e
permitir que os indivíduos acesse e gerencie suas preferências de
privacidade.

5. Segurança de Dados:
5.1. Implementar medidas de segurança robustas para proteger dados
pessoais contra acesso não autorizado, uso indevido e violações.
5.2. Isso inclui criptografia, controle de acesso, monitoramento e gestão de
incidentes.

6. Retenção e Exclusão de Dados:

6.1. Estabelecer políticas de retenção de dados que estejam em
conformidade com as regulamentações.
6.2. Excluir dados quando não forem mais necessários para a finalidade no
qual foram coletados.

7. Auditorias e Revisões:
7.1. Realizar auditorias internas regulares para garantir que os processos e
práticas estejam em conformidade.

17
 7.2. revisar e atualizar políticas e procedimentos conforme o necessário para
manter a conformidade com as regulamentações em constante evolução.
REFERÊNCIAS

1. https://www.blockbit.com/pt/blog/principais-desafios-de-se
guranca-de-redes/
2. https://www.qostecnologia.com.br/principais-desafios-de-s
eguranca-da-informacao/
3. https://ilegra.com/blog/o-que-e-responsabilidade-compartil
hada-na-ciberseguranca/
4. https://www.suprivix.com.br/blog/conheca-10-boas-pratica
s-para-garantir-a-seguranca-das-informacoes/
5. https://medium.com/@celionormando/autentica%C3%A7
%C3%A3o-e-controle-de-acesso-e-an%C3%A1lise-de-vul
nerabilidade-f68726d203c2
6. CHAT GPT - Tivemos ajuda em alguns pontos do chat
GPT para entender alguns conceitos e ajudar na
condecoração dos nossos tópicos.

18