Universidade Aberta ISCED

Faculdade de Economia e Gestão

Curso de Licenciatura Em Contabilidade e Auditoria

Políticas de Segurança de Informação Institucional

Nome: Claudino Ernesto Raisse / 847266432

Pemba, Agosto 2022

 2

Universidade Aberta ISCED

Faculdade de Economia e Gestão

Curso de Licenciatura Em Contabilidade e Auditoria

Políticas de Segurança de Informação Institucional

Trabalho de carácter avaliativo do Curso

de Licenciatura Em Contabilidade e

Auditoria da UnISCED, recomendado

pela Coordenação:

Tutorres: Bemjamim Daniel e Filipe Canhua

Nome: Claudino Ernesto Raisse / 847266432

Pemba, Agosto, 2022

 iii

Índice

1. Introdução ........................................................................................................................... 4

1.1. Objetivos ...................................................................................................................... 4

1.2. Metodologia ................................................................................................................. 4

1.3. Conceituação ................................................................................................................ 5

1.3.1. Sistemas de Informação ........................................................................................ 5

1.4. Segurança da Informação ............................................................................................. 5

1.5. 2.3. Política de Segurança da Informação .................................................................... 6

1.6. Segurança de sistemas operacional e Dados/ informação. .......................................... 9

2. Gestão de riscos ................................................................................................................ 11

2.1. Avaliação de Risco .................................................................................................... 13

2.2. Mitigação de Risco .................................................................................................... 14

2.3. Avaliação e Pesquisa ................................................................................................. 15

3. Conclusão ......................................................................................................................... 16

4. Referencias Bibliográfica ................................................................................................. 17

 4

1. Introdução

O presente trabalho referente ao modulo de Informaatica Aplicada, cujo tema é Politicas de

Seguranca de Informacao Institucional, inporta referir que, o avanço da tecnologico traz
consigo o aumento na velocidade nas atividades cotidianas. Um exemplo é processo de
comunicação, que evoluiu drasticamente nos últimos 20 anos, partindo de cartas que
demoravam dias, às vezes semanas e até meses para serem entregues, até as mensagens
instantâneas que usamos hoje em dia pelo celular. Por trás de toda esta evolução está o fato de
que a informação ganhou um novo tipo de importância, principalmente para as empresas. As
informações precisam chegar no lugar certo, para a pessoa certa e no tempo certo. Velocidade
e qualidade da informação viraram diferencial competitivo nos negócios.

Com tantas informações importantes sendo trocadas, é despertado o interesse de pessoas com
más intenções no uso destes dados. Basta acompanhar as notícias para descobrir uma nova
invasão na rede de um banco ou o roubo de informações de uma grande empresa ao redor do
mundo. Os crackers e outras pessoas especializadas em corromper a segurança de sistemas da
informação também estão avançando em suas estratégias. Por isso, a cada dia se faz mais
importante para as organizações terem profissionais especializados e dedicados em proteger
estas informações.

1.1.Objetivos

Geral

 Analisar sobre a temática: a segurança de sistemas da informação institucional

Específicos

 Falar em torno da a segurança de sistemas operacional e Dado/ informação

 Debruçar sobre segurança cibernética;

 Definir a Gestão de riscos.

1.2.Metodologia

Define-se metodologia como o tipo de processo seguido para a elaboração e um maior

aprofundamento sobre um assunto específico, procurando sempre solucionar o problema
mencionado no assunto de forma clara e objetiva, como também, alcançar os objetivos
estipulados. A metodologia empregada no decorrer da elaboração do trabalho terá como base
as pesquisas bibliográficas realizadas em livros, revistas e artigos científicos, que tenham por
 5

conteúdo a administração de recursos humanos, ciências sociais e relacionamento corporativo.

(Marconi, 2000, p.253.

1.3.Conceituação

1.3.1. Sistemas de Informação

A palavra sistema é definida por Lacombe (2004, p. 286) como sendo um “conjunto integrado
de elementos dinamicamente inter-relacionados, desenvolvendo uma atividade ou função,
para atingir um ou mais objetivos comuns ao conjunto”. Já Chiavenato (2002, p. 571),
discorre sobre informação sugerindo que:

As informações podem provir do ambiente externo (de fora da organização,

como o mercado de trabalho, concorrentes, fornecedores, agências
reguladoras, outras organizações etc.) ou do ambiente interno (de dentro da
organização, como o organograma de cargos e respectivos salários na
organização, pessoas que nela trabalham homens/horas trabalhadas, volume de
produção e de vendas, produtividade alcançada, etc.).
Rezende (2005, p. 34) defende que “os sistemas de informação podem se enquadrar em
diversos modelos e classificações pertinentes”. O autor classifica os sistemas de informação
em três classes:

SIO – Sistemas de Informação Operacionais: controlam todos os dados relacionados às

operações das da empresa, auxiliando na tomada da decisão do corpo técnico da organização.

SIG – Sistemas de Informação Gerenciais: Sintetizam os dados das operações para auxílio
na tomada de decisão do corpo gestor da empresa.

SIE – Sistema de Informação Estratégicos: Trabalham com dados em nível macro, e

propiciam uma visão mais abrangente para presidentes e diretores.

Os sistemas de informação avançam de maneira rápida, pois as empresas também vêm

mudando a maneira de gerir seus negócios. Uma das mudanças que influenciou o
amadurecimento dos sistemas de informação foi a visão sistêmica de todas as áreas da
empresa. De acordo com Rezende (2005, p. 36) “não existe mais separação formal dos
sistemas de informação estratégico, gerencial, tático e operacional”.

1.4.Segurança da Informação

De acordo com Silva et al (2003), as teorias e consequente aplicação do termo segurança dos
sistemas de informação iniciou-se com os próprios técnicos que, após criarem os sistemas,
verificaram a transição para gestores e outros usuários e a crescente utilização dos meios
como computadores e redes, despertando a necessidade de assegurar estas estruturas. Para o
 6

autor, existem alguns princípios que devem ser buscados para satisfazer os critérios mínimos
para SI, sendo eles:

 Relação custo/benefício;
 Concentração;
 Proteção em profundidade;
 Consistência do plano;
 Redundância.

Com relação aos aspectos da SI no que diz respeito à proteção de dados e computadores,
Laudon e Laudon (1999, p. 270) explica que:

Três importantes aspectos da segurança são: garantir a segurança dos dados, proteger os PCS
e redes e desenvolver os planos de recuperação dos desastres que afetam os sistemas de
informação. Todos esses aspectos exigem mais atenção agora do que antes devido à crescente
dependência em relação às redes e à internet.

Para Cabral e Caprino (2015, p.22) “a gestão de risco é o objetivo máximo da segurança da
informação” sendo “risco, algo definido de várias maneiras, nas mais diversas disciplinas,
mas podemos fazê-lo de forma genérica como „a probabilidade e potencial magnitude de uma
perda futura‟”. Os autores defendem que o primeiro passo para uma correta gestão de riscos é
identificá-los. Após, deve ser analisá-los e definir qual passo tomar, entre os quais sugerem:

Mitigar o risco: caso o risco seja considerado muito alto pela empresa, ela pode tomar
precauções para reduzi-lo, geralmente diminuindo suas vulnerabilidades. Este tipo de risco
também requer um controle frequente, para que se acompanhe as probabilidades de causar
algum dano à organização.

Aceitar o risco: é quando o risco não apresenta ameaça direta ou é aceitável pela
organização. Neste passo, a empresa segue em frente sem nenhuma atitude a tomar mediante
ao risco.

Transferir o risco: existem alguns riscos, independentemente do tamanho, que poder ser
terceirizados. Uma alternativa é a contratação de seguros, por exemplo. A SI deve ser pensada
em todas as etapas que a informação percorre, seja na entrada, no processamento ou na saída
das informações, pois ela estará sujeita a falhas e intervenções externas em vários momentos.

1.5.2.3. Política de Segurança da Informação

 7

De acordo com Campos (2006, p. 99) a política de SI em uma organização “deve indicar
como as coisas devem acontecer na organização no que se refere à segurança da informação”.
O autor ainda cita como exemplo de uma política de segurança da informação, a forma como
os e-mails serão disponibilizados aos colaboradores de uma organização. Em algumas
empresas, o uso é livre, em outras há a restrição de que o uso seja apenas para fins
profissionais.

A política de SI tem papel preventivo e é fundamental em qualquer empresa, não passando

apenas pela área de TI, mas devendo abranger toda a estrutura da empresa. Para Fontes (2012,
p.72) “uma segurança da informação efetiva exige o envolvimento dos executivos da
organização para participar da avaliação das novas ameaças e da definição de prioridades”.
Esta participação conjunta é importante, pois oferece uma visão mais ampla de quais os riscos
e as possíveis soluções a serem implementadas pela organização.

Além de estabelecer padrões e propor soluções imediatas para momentos de crise, possuir
uma política de SI também tem outras funções, segundo Fontes (2012):

 Atender à legislação;
 Atender à exigência do mercado e dos próprios clientes;
 Se adequar às melhores práticas;
 Acompanhar o avanço tecnológico;
 Atender às necessidades do próprio negócio;

A empresa que possui uma política bem definida apresenta várias vantagens frente a outras
organizações que não a utilizam. Campos (2006, p. 100) destaca que uma das vantagens “é
que todos passam a conhecer „as regras do jogo‟, ou seja, as pessoas sabem como se
comportar em diversos temas diferentes dentro da organização. Sabem o que podem e o que
não podem fazer”.

Para o estabelecimento de uma política de SI eficaz Geus e Nakamura (2007, p. 194-195)

fazem considerações importantes:

 Conheça seus possíveis inimigos: identifique possíveis ações e perigos antes que
aconteçam.
 Contabilize os valores: uma política de SI eficaz pode requerer a contratação de novos
profissionais ou a compra de novos equipamentos. Todos estes valores devem ser
levantados antecipadamente para evitar alterações no plano.
 8

 Identifique, examine e justifique suas hipóteses: qualquer aspecto que não for
previamente identificado pode ocasionar uma grande mudança no escopo do plano,
atrasando os trabalhos e gerando desconforto.
 Controle os seus segredos: estabeleça quais são as informações totalmente secretas.
 Avalie os serviços estritamente necessários para o andamento dos negócios na
organização: este fator é válido para evitar conflitos com os usuários.
 Considere os fatores humanos: muitas das falhas nos procedimentos de segurança são
causados pelas pessoas. É preciso convencer os usuários de sua responsabilidade em
todos os processos.
 Conheça seus pontos fracos: seja crítico e reconheça suas fraquezas.
 Limite a abrangência do acesso: crie barreiras como uma zona desmilitarizada,
equilibrando a força entre toda a rede.
 Entenda o ambiente: é preciso conhecer o funcionamento regular da rede para
identificar de maneira rápida quando algo está fora do normal.

O local físico onde estão concentradas as informações também deve possuir um plano de SI
que contemple os riscos físicos envolvidos. Tanto nas empresas que centralizam esta
responsabilidade quanto em Data Center, os riscos abrangendo a estrutura física são diversos,
porém passíveis de serem evitados com as medidas corretas. Campos (2006, p. 13) salienta
três importantes riscos relacionados ao ambiente para a segurança, sendo:

 Ausência de mecanismos contra incêndio

 Ausência de mecanismo de prevenção à enchente;
 Ausência de proteção contra poluentes diversos que possam prejudicar mídias e
equipamentos.

Como sistemas de controle físicos de acesso podem ser utilizados crachás e a leitura
biométrica. Este tipo de acesso também deve ser monitorado e atualizado constantemente para
evitar a entrada de ex-colaboradores ou pessoas utilizando cartões perdidos de colaboradores.
Outras ações efetivas são o uso de câmeras, catracas e a própria utilização de seguranças
previamente capacitados para realizar o controle de acesso. O ideal é sempre associar duas ou
mais barreiras para aumentar a efetividade do controle.

Para os riscos envolvendo ação humana, Geus e Nakamura (2007, p. 87) afirmam que o
controle de acesso é o meio mais eficaz:
 9

O acesso direto aos sistemas é uma das facetas dos ataques físicos, os quais podem possuir
dimensões ainda maiores. O controle de acesso físico, por exemplo, é uma delas, e deve ser
utilizado para minimizar possibilidades de ataques físicos diretamente aos sistemas [...] O
controle aos servidores têm de ser o mais restrito possível, com um sistema de identificação
eficiente.

Além dos riscos de invasão e hackeamento, ocasionado por pessoas, outros riscos como
incêndios, alagamentos e outros de forças maiores também precisam estar previstos, para que
as pessoas responsáveis possam ter uma reação rápida e assim evitar perdas maiores. Este
plano deve ser feito em conjunto com a área de segurança da empresa, e incluída no plano de
segurança geral da companhia.

As políticas de SI devem estar em constante atualização, já que conforme Geus e Nakamura

(2007, p. 25) o mundo da segurança “é marcado pela evolução contínua, no qual novos
ataques têm como resposta novas formas de proteção, que levam ao desenvolvimento de
novas técnicas de ataque, de maneira que um ciclo é formado”. Para tentar se antecipar aos
riscos, Geus e Nakamura (2007) sugerem que é necessário prestar atenção em alguns pontos:

 É preciso entender a natureza dos ataques.

 Novas tecnologias significam novas fraquezas.
 Novas formas de ataque sempre surgirão.
 Quanto mais conectado, maior o risco de ataques.
 Existem ataques oportunistas e ataques direcionados.
 Defender é bem mais complicado que atacar.
 Os crimes pela internet vêm aumentando.

Tendo em conta estes aspectos as empresas podem se antecipar aos ataques ou, pelo menos,
criar estratégias de reação mais rápidas para o caso de serem atingidas em algum momento.
Uma das estratégias, por exemplo, pode ser uma política de senhas. De acordo com Geus e
Nakamura (2007, p. 204) “a política de senhas é importante também porque diversos
problemas de segurança das empresas estão relacionados a elas, o que faz com que um dos
grandes desafios seja a fortificação das senhas”.

1.6.Segurança de sistemas operacional e Dados/ informação.

O uso da internet tem suas vantagens baseadas no fortalecimento das relações interpessoais
independente da distância em que elas estejam uma das outras. Por outro lado, favorece as
invasões e o roubo desses dados que são compartilhados diariamente. Um dos fatores que
 10

mais contribuiu para o aumento desses crimes ocorrido em ambiente virtual foi a substituição
dos cabos de redes pela nova tecnologia que torna as redes de internet sem fio, já que os
cuidados e as políticas de segurança de uma rede sem fio (via Wi-Fi) são muito mais
complexos e extensos do que a rede quando passada através de cabos, assim aqueles que
acessam essas redes precisam de muito menos para conseguir captar os dados dos quais
desejam (Mitshashi, 201 1).

Logo, como afirma o autor , as redes sem fio são comprovadamente menos seguras do que as
redes que utilizam cabos, em sua natureza. Por isso, muitas foram as políticas de segurança
desenvolvidas e implantadas nas redes de computadores domésticos e profissionais para que
houvesse a resolução das brechas criadas por essa nova tecnologia. Porém, assim como a
tecnologia avança, os sistemas de invasão estão sempre sendo atualizados e se desenvolvendo
para conseguirem criar brechas, de modo que essas políticas de segurança devem se atualizar
nessa mesma velocidade. Nakamura (2010) enfatiza que o desenvolvimento dos programas
conhecidos como “Antivírus” amenizaram o caos cibernético que havia se instalado no
cenário atual que se encontrava totalmente conectado e era frequentemente invadido e seus
dados eram furtados por tais programas que entravam sorrateiramente em suas redes de
computadores.

Segundo Machado et al. (2019), as principais causas dos vazamentos de dados são a utilização
de logins e senhas fracos além da baixa frequência de troca de senhas. Segundo pesquisa
realizada por Machado et al. (2019), foi constatado que 61% das empresas abordadas possuem
500 credenciais que nunca foram trocadas ou atualizadas, o autor traz também a falha na
implementação de aplicativos, falha humana no uso de servidores e aplicativos, o livre acesso
a todos os colaboradores de documentos restritos, como fontes de vazamento de dados.
Destaca, ainda, a necessidade de investir em tecnologia na segurança de dados e em
capacitação de pessoas para o manuseio correto.

Kossoski et al. (2017) são os responsáveis por um estudo em campo realizado com 10
empresas de variados portes e que atuam em diversos segmentos. Cada uma das empresas
contribuiu com a pesquisa através da autorização e da indicação de um secretário executivo
para responder o questionário elaborado sobre os conhecimentos desses profissionais sobre as
Tecnologias da Informação e Comunicação - TICs - aplicadas à área em que atuam. Segundo
os dados coletados, os conhecimentos mais necessários para o secretário executivo, divididos
em duas categorias, são: uso de softwares e hardwares para otimizar , organizar , analisar e
 11

reduzir as falhas humanas recorrentes na jornada de trabalho, e segurança da informação para

garantir a gestão correta dos dados e informações.

Costa et al. (2018) contribuem para a discussão observando que o profissional de secretariado
sempre precisou lidar com a possibilidade de obstrução da segurança de dados e informações
por agentes humanos e físicos, não sendo uma novidade que foi derivada da tecnologia de
fato. Os aspectos físicos que colocariam em risco a segurança dessas informações seriam
relacionados com a localização desses documentos, sua possível exposição a pessoas não
autorizadas, envio com endereço de entrega errado e outras situações que podem ocorrer .

Montezano et al. (2015) chamam a atenção para o fato de que o mercado de trabalho moderno
exige e precisa de um novo perfil de secretário executivo. Esse novo perfil não é composto
apenas por um profissional que tenha em seu currículo formação acadêmica em uma ou até
mesmo nas duas áreas supracitadas, mas sim que seja capaz de atuar como secretário
executivo fazendo uso de conhecimentos relacionados à Tecnologia da

Informação de forma estratégica, aplicada a sua área primária e que possa viabilizar avanços
significativos para a organização em que atua.

Nesse cenário, aquele profissional que atuar como secretário executivo em tempo de
pandemia, onde na maioria das organizações o processo de transição do presencial para o
remoto foi complexo, intenso e urgente, a ausência de conhecimentos sobre tecnologia pode
colocar em risco a integridade e a segurança dos dados dos quais dispõem devido a sua função
dentro da organização.

2. Gestão de riscos

A Gestão de riscos é um processo de identificação, avaliação de riscos, e de tomada de

medidas para reduzir o risco a um nível aceitável. A Gestão de risco engloba três processos de
avaliação de riscos, mitigação de risco e de avaliação e pesquisa. A gestão de riscos permite
que gerentes de TI equilibrem os custos operacionais e económicos das medidas de protecção
e obtenham ganhos de capacidade de missão, protegendo os sistemas de TI e os dados que
servem de apoio às missões da organização. (Stoneburner,2000)

O principal objectivo da gestão de riscos é permitir que a organização realize suas missões
visando uma melhor segurança dos sistemas de TI que armazenam, processam ou transmitem
informações organizacionais. Evidências do processo de gestão de risco podem ajudar os
gestores a tomar decisões de gestão de riscos bem informadas, justificar os gastos de um
orçamento de TI, e autoriz ar sistemas de TI eficazes. Uma metodologia de gerenciamento de
 12

risco bem estruturada pode ajudar a administração a identificar controles apropriados para
fornecer capacidades de segurança essenciais a uma missão. (Stoneburner,2000)

Bens de informações de uma organização enfrentam diversos riscos no ambiente de negócios

actual. É impossível proteger os bens da organização, se o risco não estiver claramente
identificado. No entanto, é necessário esclarecer que risco significa num contexto particular.
O risco é a possibilidade de ocorrência de um acto ou fato que possa prejudicar ou trazer
prejuízo para a organização e seus bens de informações.

Riscos neste sentido referem-se aos riscos associados a um evento potencialmente danoso que
ocorre na ausência de controles específicos, que, de outra forma, impediriam o dano. O risco é
o impacto negativo de uma ameaça, pois pode explorar as vulnerabilidades dos bens de uma
organização e causar perda ou dano a esses bens. Geralmente, o risco é expresso por uma
fórmula matemática:

Risco = ameaças x vulnerabilidades x valor dos bens.

De acordo com essa fórmula, o risco é uma função da probabilidade de uma determinada
ameaça explorar uma vulnerabilidade particular potencial, e o impacto resultante desse evento
adverso sobre os bens da organização. Existem quatro tipos de riscos empresariais, que são
definidos como:

Risco financeiro. A maioria dos sistemas de informação potencialmente possuem algum

efeito sobre o desempenho financeiro da organização, e danos a estes, teriam um efeito
financeiro negativo, assim, o nível e potencial impacto de tais danos precisam ser
considerados.

Risco estratégico. Sistemas de informação podem ter efeito estratégico directo sobre a
organização.

Risco operacional. O risco operacional é mais comum do que qualquer um dos outros fatores
de risco de negócios, pois a maioria dos sistemas de informação são projectados para afectar a
forma e a eficácia da organização, uma vez que conduz sua actividade diária.

Conformidade jurídica. Sistemas de informação podem ter um efeito directo sobre a forma
como a organização está em conformidade com as obrigações estatutárias.

Uma ameaça é o potencial para uma determinada fonte de ameaça explorar com sucesso a
vulnerabilidade particular. Uma fonte de ameaça pode explorar a vulnerabilidade
intencionalmente ou pode acionar acidentalmente a vulnerabilidade. A vulnerabilidade é uma
 13

falha ou fraqueza que pode ser acionada acidentalmente ou explorada intencionalmente, para
resultar em uma violação de segurança ou uma violação da política de segurança. Uma fonte
de ameaça não apresenta um risco, a menos que a vulnerabilidade seja exercida. Para
determinar a probabilidade de uma ameaça, deve -se considerar fontes de ameaça, a
vulnerabilidade potencial e controles existentes.

Pelo mapeamento da vulnerabilidade a ameaças, e identificando o potencial impacto das

ameaças sobre os bens, a interacção entre os diferentes factores torna-se clara; esta interacção
é um dos conceitos fundamentais da avaliação de risco. Pode ser observado que diferentes
graus de vulnerabilidade permitem ameaças a ocorrer com uma maior ou menor frequência ou
impacto. Quanto maior a vulnerabilidade, maior o risco de perda como resultado de uma
ameaça.

2.1.Avaliação de Risco

O termo gestão de riscos caracteriza um processo global que é contínuo e de complexidade

crescente. A primeira fase é a avaliação de risco. Esta fase inclui a identificação de riscos,
medidas para redução de riscos e o impacto orçamental da implementação de decisões
relacionadas à aceitação, anulação ou transferência do risco. A segunda fase da gestão de
risco inclui o processo de atribuição de prioridade, orçamentos, implementação e manutenção
de medidas de redução de risco adequadas.

Na era da informação, a segurança da informação torna-se efectivamente uma tarefa infinita

de catch-up conforme a tecnologia de armazenamento de informação, processamento,
transferência e acesso continua a desenvolver-se rapidamente. É essencial que o processo de
análise e avaliação de risco sejam bem compreendidos por todas as partes e executados em
tempo hábil. Os riscos potencialmente associados à informação e tecnologia da informação
devem ser identificados e geridos de uma forma rentável.

A análise de risco é o processo de análise de um ambiente alvo e identificação das relações

entre seus atributos relacionados a riscos. A análise deve identificar ameaças e
vulnerabilidades, incluindo a vulnerabilidade dos bens relacionados e associados. Ela deve
identificar o potencial e a natureza de um efeito ou resultado indesejável, e identificar e
avaliar contramedidas de redução de risco.

A análise de risco continua a ser a espinha dorsal da boa gestão de segurança, pois os gerentes
precisam de um meio para compreender a segurança e os riscos a que suas organizações estão
 14

expostas. A análise de riscos fornece a justificativa para o meio de comunicação e pode agir
como tal, dentro da organização.

O termo avaliação de risco refere-se à atribuição de um valor aos bens, à frequência de

ameaças, às consequências de um evento potencialmente prejudicial, e para quaisquer outros
elementos casuais. Os resultados da análise de risco podem ser usados em uma avaliação ou
medição de risco. Assim, o termo avaliação dos riscos é usado para caracterizar o processo e o
resultado da análise e avaliação do risco.

A avaliação de risco é, portanto, uma consideração sistemática de:

Probabilidade de dano ao negócio que resulta de uma falha de segurança, levando em

consideração as potenciais consequências de uma perda de confidencialidade, integridade, ou
disponibilidade de informações e outros bens.

A probabilidade realista de uma falha que ocorre mediante ameaças e vulnerabilidades

prevalecentes, e os controles actualmente implementados.

O resultado desta avaliação pode ser usado para orientar e determinar a gestão adequada da
acção e prioridades para o gerenciamento de riscos de segurança de informações para
implementação de controles que tenham sido seleccionados para protecção de tais riscos.

2.2.Mitigação de Risco

Mitigação de riscos é o segundo processo da gestão de riscos. Trata-se de priorizar, avaliar e

implementar controles de redução de risco apropriados, recomendados a partir do processo de
avaliação de risco.

Geralmente para um negócio, controlar o risco a um nível administrável é a opção mais

rentável. A gestão do risco é o caminho actualmente favorecido pela maioria das
organizações, pois a eliminação de todos os riscos é geralmente impraticável ou quase
impossível. A responsabilidade da gestão é usar a abordagem mais eficaz e implementar os
controles mais adequados para diminuir o risco a um nível aceitável, com um impacto
negativo mínimo sobre os recursos da organização e missão.

Mitigação de risco é uma metodologia sistemática utilizada pela alta administração para
reduzir o risco da missão. Ela pode ser alcançada através de qualquer uma das seguintes
opções:

 Aceitação de riscos. Aceitar o risco potencial e continuar a operar o sistema de

informação, ou a implementação de controles para reduzir o risco a um nível aceitável.
 15

 Prevenção de riscos. Evitar o risco, eliminando o caso de risco e/ou consequência (por
exemplo, abrir mão de certas funções do sistema ou desligar o sistema quando os riscos
são identificados).
 Limitação de riscos. Limitar o risco através da implementação de controles que
minimizem o impacto negativo da vulnerabilidade que exerça uma ameaça (por exemplo,
utilização de apoio, controles de prevenção, investigação).
 Planeamento de riscos. Gerenciar o risco através do desenvolvimento de um plano de
mitigação de risco, que priorize, implemente e mantenha controles.
 Pesquisa e reconhecimento. Reduzir o risco de perda, reconhecendo a vulnerabilidade,
ou falha, e pesquisar controles para corrigir a vulnerabilidade.
 Transferência de Risco. Transferir o risco usando outras opções para compensar a perda
(por exemplo, seguro de compra). Os gerentes têm um forte interesse na identificação e
aplicação de protecções que podem ser esperados

para mitigar a vulnerabilidade. Consequentemente, deve ser dada prioridade para

identificação de pares de ameaça e vulnerabilidade que têm o potencial de causar impacto
significativo ou dano na missão. É importante seleccionar garantias apropriadas para cada
vulnerabilidade alvo. Em seguida, mapear ou confirmar o mapeamento de pares de
protecção/vulnerabilidade de todas as ameaças relacionadas , e, finalmente, determinar a
extensão da redução do risco a ctivo a ser alcançada através da aplicação de protecções para
cada ameaça.

Controles técnicos de segurança podem ser configurados para protecção contra certos tipos de
ameaças no interesse de mitigação de risco. Esses controles, quando usados adequadamente,
podem evitar, limitar ou impedir a ameaça de danos à missão de uma organização. Esses
controles técnicos podem incluir apoio, detecção, prevenção e controle de recuperação. Todos
esses controles devem trabalhar juntos para proteger dados críticos e sensíveis, informações e
funções de sistemas de TI.

2.3.Avaliação e Pesquisa

O processo de gestão de riscos é um processo contínuo e em constante evolução. Isto se deve

ao fato de que a rede está em contínua expansão e actualização. Suas alterações de
componentes e suas aplicações de software são substituídas ou actualizadas com versões mais
recentes. Além disso, mudanças de equipe ocorrerão, e políticas de segurança podem ser
alteradas ao longo do tempo. Estas alterações podem trazer à tona novos riscos e os que foram
previamente mitigados podem se tornar uma preocupação novamente.
 16

Portanto, um programa de gestão de risco precisa ser revisto e praticado periodicamente. Deve
haver uma programação específica para avaliar e mitigar riscos de missão. Processos
realizados apenas periodicamente também devem ser revistos e flexíveis o suficiente para
permitir alterações sempre que justificáveis.

Um programa de gestão de risco bem-sucedido conta com o compromisso da alta

administração e todo o apoio e participação da equipe de TI. Ele também irá contar com a
competência da equipe de avaliação de risco. Essa equipe deve ter a experiência necessária
para aplicar a metodologia de a valiação de risco em um local e sistema específico, identificar
os riscos da missão, e fornecer o custo-efectivo das protecções que atendam às necessidades
da organização. Além disso, a sensibilização e a cooperação de membros da comunidade de
usuários que será importante, assim como uma avaliação contínua e dos riscos da missão
relacionados a TI.

Um programa de gestão de risco bem administrado e integrado pode ajudar os gestores a

melhorar de forma significativa o desempenho de custo-benefício do ambiente de tecnologia
da informação, e garantir baixo custo de conformidade com os requisitos regulamentares
aplicáveis. A capacidade de uma agência do governo identificar os riscos e prevenir
incidentes ou exposições, é um benefício significativo para garantir a viabilidade do negócio e
crescimento contínuo, mesmo em meio a crescentes ameaças e pressões

3. Conclusão

De forma resumida, a sociedade atual vivencia as consequências trazidas pelo avanço das
tecnologias digitais, inaugurando um novo paradigma e era da Sociedade da Informação.
Essa, por sua vez, caracteriza pela valorização e concentração de ativos chave, tais como
informação. A informação tem se tornado um recurso essencial que quando bem utilizada
tem o potencial de geração, inovação e progresso em variados campos desde o social,
político, organizacional e científico.
 17

Atualmente a informação é tratada como bem e recurso valioso para instituições, para
pessoas e seus governos. Esse paradigma iniciado com a evolução da tecnologia no século
passado reflete nas relações interpessoais, no mercado e principalmente na confiabilidade de
organizações perante seus clientes e colaboradores.

A partir disso, a preocupação com a resguardo informacional e a destinação final desse

recurso precisa ser preocupação de todos. Garantir a confidencialidade, integridade e

disponibilidade da informação é mais que necessário para a continuação do atendimento dos
objetivos organizacionais, bem como é fundamental ao pensar na gestão dos recursos
informacionais de uma organização levar em consideração as pessoas, os processos e as
tecnologias utilizadas.

É de suma importância a utilização de tecnologias capazes de colaborar para seguridade da

informação, mas que o elo mais fraco de SI são as pessoas, pois o recurso pessoal de uma
empresa por mais que seja treinado, não será uniforme. As pessoas são diferentes, possuem
perspectivas e experiências diferentes, assim, o alinhamento com os colaboradores sobre
boas práticas nesse tipo de segurança deve ser muito bem trabalhado, desde o momento que
o colaborador vai ser contratado até o momento do seu desligamento da empresa.

O corpo de recursos humanos deve ser treinado para identificar possíveis riscos no fazer
profissional, e deve se comprometer a resguardar as informações utilizadas no fazer
profissional. No processo de contratação de pessoas é fundamental que seja apresentado a
esse grupo as políticas de SI implementadas naquela instituição, essas políticas são
norteadoras no processo de resguardo e segurança do ativo informacional, reunindo boas
práticas, técnicas e procedimentos que devem ser seguidas na empresa em questão.

4. Referencias Bibliográfica
ARAN, Edson. O livro das conspirações. São Paulo: Suma de Letras, 2016.

ASSUNÇÃO, Marcos Flávio Araújo. Guia do Hacker Brasileiro. Florianópolis: Visual

Books, 2002.

BARBOSA, Pedro. The end of Facebook. Portugal: Editorial AS, 2013.

CABRAL, Carlos; CAPRINO, William. Trilhas em Segurança da Informação: Caminhos e

ideias para a proteção de dados. Rio de Janeiro: Brasport, 2015.
 18

CAMPOS, Andre L. N. Sistema de Segurança da Informação: Controlando os Riscos.

Florianópolis: Visual Books, 2006.

CERT.BR. Centro de estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.

Cartilha oficial de segurança de redes da Cert.br

CHIAVENATO, Idalberto. Recursos Humanos: edição compacta. 7. ed. São Paulo: Atlas,
2002.

DOMSCHEIT-BERG, Daniel. Nos bastidores da Wikileaks. Portugal: Leya, 2011.

FACHIN, Odília. Fundamentos de Metodologia. 5.ed. São Paulo: Saraiva, 2006.

FONTES, Edison. Políticas e Normas para a Segurança da Informação. Rio de Janeiro:

Brasport, 2012.

G. Stoneburner, A. Goguen, e A. Feringa; „Handbook of Information Security Management‟

por M. Krause e H. Tipton; e „Business Continuity Management: Good Practice 800 -30).

GEUS, Paulo Lício de; NAKAMURA, Emilio Tissato. Segurança de Redes em ambientes
corporativos. São Paulo: Novatec, 2007.

GOODRICH, Michael T.; TAMASSIA, Roberto. Introdução à Segurança de Computadores.

Porto Alegre: Bookman, 2013.

JÚNIOR, Elias Daher. A culpa é da Informática: os desafios e caminhos para o gestor de TI.
Ebook. Clube de Autores: 2005.

KNIGHT, Peter T. A internet no Brasil: origens, estratégia, desenvolvimento e governança.

Minnesota: Author House, 2014.

LACOMBE, Francisco. Dicionário de Administração. São Paulo: Saraiva, 2004.

LAUDON, Kenneth C.; LAUDON, Jane Price. Sistemas de Informação com Internet. Rio de
Janeiro: LTC, 1999.

MALHOTRA, Naresh. Pesquisa de Marketing: uma orientação aplicada. Porto Alegre:

Bookman, 2006.

MORAES, Paulo. Mente Anti-hacker - Proteja-se! Rio de Janeiro: Brasport, 2011.

OLIVEIRA, Fátima Bayma de. Tecnologia da Informação e Comunicação: Articulando

OLIVEIRA, Wilson. Técnicas para hackers: Soluções para Segurança. Portugal: Centro
Atlântico, 2013.
 19

PEIXOTO, Mario Cesar Pintaudi. Engenharia Social e Segurança da Informação na Gestão

Corporativa. Rio de Janeiro: Brasport, 2006.

PRETTO, Nelson de Luca; SILVEIRA, Sérgio Amadeu da. Além das Redes de Colaboração:
Internet, Diversidade Cultural e Tecnologias do Poder. Salvador: EDUFBA, 2008.

REZENDE, Denis Alcides. Engenharia de Software e Sistemas de Informação. 3ª ed. Rio de

Janeiro: Brasport, 2005.

RUFINO, Nelson Murilo de Oliveira. Segurança Nacional. São Paulo: Novatec Editora,
2002.

SILVA, Antônio Everardo Nunes da. Segurança da Informação. Rio de Janeiro: Ciência
Moderna, 2012.

SILVA, Pedro Tavares; CARVALHO, Hugo. TORRES, Catarina Botelho. Segurança dos
Sistemas de Informação: Gestão Estratégica da Segurança Empresarial. Portugal: Centro
Atlântico, 2003.

TAKAHASHI, Tadao. Sociedade da informação no Brasil: livro verde. Brasília: Ministério da

Ciência e Tecnologia, 2000.