sine o DeepL Pro para poder editar esta apresentação.

Visite www.DeepL.com/Pro para mais informações.

Material Básico de Treinamento
202010
Copyright © EXIN Holding B.V. 2020. Todos os direitos reservados.
EXIN® é uma marca registrada.

Nenhuma parte desta publicação pode ser reproduzida, armazenada, utilizada ou

transmitida de qualquer forma ou por qualquer meio, eletrônico, mecânico ou outro,
sem a permissão prévia por escrito do EXIN.
Bem-vindo ao Material Básico de Treinamento (BTM)

• Estes slides contêm material básico de apresentação para preparar os estudantes para o EXIN Information
Security Foundation com base no exame ISO/IEC 27001. Eles podem ser usados como base para um
treinamento credenciado.
• O BTM se refere a todas as especificações de exame e conceitos básicos deste módulo.
• Algumas notas do instrutor podem ser incluídas.
• Um bom treinamento requer exemplos de experiência prática, aprofundamento das especificações dos
exames e conceitos básicos, exercícios, elaboração de assuntos de especial interesse para o público.
• No caso de uma duração mínima de treinamento, os candidatos devem estudar a literatura (comparar a
duração do treinamento com a carga de estudo no Guia de Preparação)
• A ordem na qual os assuntos são apresentados, segue a ordem das especificações do exame.
• Este BTM não é um conjunto completo de material didático. Para ser credenciado, você precisará aprimorar e
enriquecer este material.
• Ao utilizar este BTM, sua organização ainda precisará passar pelo procedimento normal de credenciamento
no EXIN. Você pode encontrar os requisitos de credenciamento no Manual de Credenciamento.
• Este BTM é um serviço para prestadores de treinamento, dele não podem ser derivados direitos.
Visão geral do programa
Cronograma de treinamento

• Informação e Segurança
• Ameaças e riscos
• Abordagem e Organização
• Medidas
• Legislação e Regulamentos
Objetivos do Curso

A EXIN Information Security Foundation baseada na ISO/IEC 27001 é uma certificação que
valida o conhecimento de um profissional sobre:
• Informação e segurança: o conceito, o valor, a importância e a confiabilidade da
informação,
• Ameaças e riscos: os conceitos de ameaça e risco e a relação com a confiabilidade das
informações,
• Abordagem e organização: a política de segurança e organização de segurança, incluindo
os componentes da organização de segurança e gestão de incidentes (de segurança),
• Medidas: a importância das medidas de segurança, incluindo medidas físicas, técnicas e
organizacionais,
• Legislação e regulamentos: a importância e o impacto da legislação e dos regulamentos.
Grupo alvo

A Fundação de Segurança da Informação EXIN baseada na certificação

ISO/IEC 27001 é destinada a todos os membros da organização que estão
processando informações. O módulo também é adequado para empresários de
pequenas empresas independentes para os quais é necessário algum
conhecimento básico de segurança da informação.

Este módulo é um bom começo para novos profissionais de segurança da

informação.
Requisitos para certificação

Conclusão bem sucedida do EXIN Information Security Foundation com base

no exame ISO/IEC 27001.
Conceitos básicos

• A lista de Conceitos Básicos nas notas dos alunos abaixo será considerada
compreendida para o exame.
• O estudante é aconselhado a pesquisar e compreender os conceitos.
Formato do exame

Tipo de exame: Perguntas de múltipla escolha

Número de perguntas: 40
Marca do passe: 65% (26/40 perguntas)
Livro aberto: Não
Notas: Não
Permitidos equipamentos/ajudas Não
eletrônicas:
Duração do exame: 60 minutos
As Regras e Regulamentos para os exames do EXIN se aplicam a este exame.
Literatura de exame

Hintzbergen, J., Hintzbergen, K., Smulders, A. e Baars, H.

Fundamentos da Segurança da Informação - Baseado nas normas ISO 27001
e ISO 27002
Van Haren Publishing: 3ª edição revisada, 2017
ISBN: 978 94 018 0012 9
eBook: 978 94 018 0541 4
1 INFORMAÇÃO E SEGURANÇA
1.1 O CONCEITO DE INFORMAÇÃO
1.1.1 Explicar a diferença entre dados e informações

• Os dados podem ser processados pela tecnologia da informação, mas se

tornam informação uma vez que tenham adquirido um certo significado
• As informações podem tomar a forma de texto, mas também da palavra
falada e das imagens de vídeo
• Exemplos de mídias de armazenamento de dados:
– Papel
– Microficha
– Magnético (por exemplo, fitas)
– Óptico (por exemplo, CDs)
1.1.1 Explicar a diferença entre dados e informações

Sabedoria
Por quê?

Conhecimento
Como?
Contexto

Informações
Quem, o quê, quando,
onde?

Dados

Compreensão
1.1.1 Explicar a diferença entre dados e informações

• A informação é a compreensão das relações entre os pedaços de dados

• As informações respondem a seis perguntas:

Quem? O quê? Quando? Onde? Por quê? Como?

1.1.2 Explicar o que é gerenciamento de informações

• A gestão da informação define e orienta a política relativa ao fornecimento

de informações de uma organização
• Dentro deste sistema, um gerente de informação pode fazer uso da
arquitetura da informação e de uma análise da informação
• A gestão da informação envolve muito mais do que o Pessoas

processamento automatizado de informações realizado por um

organização
• Em muitos casos, a comunicação externa e Gestão da
comunicação com a mídia fazem parte do informação

estratégia de gestão da informação

Tecnologia Processo
1.1.2 Explicar o que é gerenciamento de informações

• A análise das informações fornece uma imagem clara de como uma

organização lida com informações - como as informações 'fluem' através da
organização. Por exemplo, a análise de informação:
– Um hóspede se registra em um hotel através do site
– Esta informação é transmitida ao departamento administrativo, que então aloca uma
sala
– A recepção sabe que o convidado chegará hoje
– O departamento de manutenção da casa sabe que o quarto deve estar limpo para a
chegada do hóspede
• Em todas estas etapas, é importante que as informações sejam confiáveis
• Os resultados de uma análise de informação podem ser usados para projetar
um sistema de informação
1.1.2 Explicar o que é gerenciamento de informações

• A segurança da informação está intimamente relacionada à arquitetura da

informação
• A arquitetura da informação está focada na configuração do fornecimento de
informação dentro de uma organização
• A segurança da informação pode ajudar a garantir que os requisitos de
fornecimento de informações estabelecidos sejam cumpridos na arquitetura da
informação
• A arquitetura da informação está focada principalmente na realização da
necessidade de informação de uma organização e na forma como ela pode ser
organizada
• A segurança da informação pode apoiar a arquitetura da informação, assegurando
a confidencialidade, integridade e disponibilidade da informação
1.2 VALOR DAS INFORMAÇÕES
1.2.1 Descrever o valor dos dados e informações para as
organizações
O valor das informações é determinado pelo valor que o destinatário atribui a elas
– 0.1 Antecedentes e contexto: O valor da informação vai além das palavras, números e imagens escritas:
conhecimento, conceitos, idéias e marcas são exemplos de formas intangíveis de informação. Em um mundo
interligado, informações e processos relacionados, sistemas, redes e pessoal envolvido em sua operação,
manuseio e proteção são ativos que, como outros importantes ativos comerciais, são valiosos para os
negócios de uma organização e, conseqüentemente, merecem ou requerem proteção contra vários perigos.
– 0,5 Considerações sobre o ciclo de vida: O valor e os riscos dos ativos podem variar durante sua vida útil... a
segurança da informação permanece importante até certo ponto em todos os estágios
– 6.2.1 A identificação dos riscos relacionados ao acesso de terceiros deve levar em conta as seguintes
questões: o valor e a sensibilidade das informações envolvidas, e sua criticidade para as operações
comerciais
– 7.2.1 As informações devem ser classificadas em termos de seu valor, requisitos legais, sensibilidade e
criticidade para a organização
– 12.1.1 Os requisitos e controles de segurança devem refletir o valor comercial dos ativos de informação
envolvidos (ver também 7.2) e os danos comerciais potenciais, que podem resultar de uma falha ou ausência
de segurança
– 8.2.1 Classificação das informações: As informações devem ser classificadas em termos de exigências
legais, valor, criticidade e sensibilidade à divulgação ou modificação não autorizada.
1.2.1 Descrever o valor dos dados e informações para as
organizações
• A segurança da informação oferece garantia dos processos de negócios
através da aplicação de controles de segurança apropriados em todas as
áreas de TI e do gerenciamento de riscos de TI de acordo com os processos
e diretrizes de gerenciamento de riscos comerciais e corporativos
1.2.2 Descrever como o valor dos dados e informações pode
influenciar as organizações
• Os fatores típicos de produção de uma empresa ou organização são:
– Capital
– (Manual) de trabalho e
– Matérias-primas
• Na tecnologia da informação, é comum considerar também a informação como
um fator de produção:
– Os negócios não podem existir sem informação
– Um armazém que perde seu cliente e informações de estoque normalmente
não seria capaz de operar sem ele
– Algumas empresas, como o escritório de um contador, bancos, seguradoras,
têm até informações como seu único produto ou serviço
1.3 ASPECTOS DE CONFIABILIDADE
1.3.1 Diga os aspectos de confiabilidade das informações

A confiabilidade das informações é determinada por três aspectos:

– Confidencialidade
– Integridade
– Disponibilidade Integridade

Confidencialidade

Disponibilidade
1.3.2 Descrever os aspectos de confiabilidade das
informações
A confidencialidade é o grau de restrição ao acesso às informações
a um grupo definido, autorizado a ter esse acesso. Isto também inclui
medidas para proteger a privacidade
Integridade

Confidencialidade

Disponibilidade
1.3.2 Descrever os aspectos de confiabilidade das
informações
Confidencialidade
• O acesso às informações é concedido com base na necessidade de conhecimento. Não é necessário, por
exemplo, que um empregador financeiro possa ver relatórios de discussões com o cliente.
• Os funcionários tomam medidas para garantir que a informação não encontre seu caminho para aquelas
pessoas que não precisam dela. Eles asseguram, por exemplo, que nenhum documento confidencial esteja
deitado em sua mesa enquanto estiverem ausentes (política de mesa clara).
• O gerenciamento de acesso lógico garante que pessoas ou processos não autorizados não tenham acesso a
sistemas, bancos de dados e programas automatizados. Um usuário, por exemplo, não tem o direito de alterar
as configurações do PC
• É criada uma segregação de funções entre a organização de desenvolvimento do sistema, a organização de
processamento e a organização do usuário. Um desenvolvedor de sistema não pode, por exemplo, fazer
nenhuma alteração nos salários.
• Estritas segregações são criadas entre o ambiente de desenvolvimento, o ambiente de teste e aceitação e o
ambiente de produção
• No processamento e utilização dos dados, são tomadas medidas para garantir a privacidade do pessoal e de
terceiros. O departamento de Recursos Humanos (RH) tem, por exemplo, sua própria unidade de rede que não é
acessível a outros departamentos
• O uso de computadores pelos usuários finais é cercado por medidas para que a confidencialidade das
informações seja garantida. Um exemplo é uma senha que dá acesso ao computador e à rede
1.3.2 Descrever os aspectos de confiabilidade das
informações
• Integridade é o grau em que as informações estão atualizadas e sem erros
• As características de integridade são:
– A exatidão das informações
– A completude das informações Integridade

Confidencialidade

Disponibilidade
1.3.2 Descrever os aspectos de confiabilidade das
informações
Integridade
• As mudanças nos sistemas e dados são autorizadas. Por exemplo, um membro do pessoal entra com
um novo preço para um artigo no site, e outro verifica a correção desse preço antes de ser publicado.
• Sempre que possível, são construídos mecanismos que forçam as pessoas a usar o termo correto.
Por exemplo, um cliente é sempre chamado de 'cliente', o termo 'cliente' não pode ser inserido no
banco de dados.
• As ações dos usuários são registradas (logadas) para que se possa determinar quem fez uma
mudança nas informações
• Ações vitais do sistema, por exemplo, a instalação de novo software, não podem ser realizadas por
apenas uma pessoa. Separando deveres, cargos e autoridades, pelo menos duas pessoas serão
necessárias para realizar uma mudança que tenha grandes conseqüências
• A integridade dos dados pode ser assegurada em grande medida através de técnicas de criptografia,
o que protege as informações contra acesso não autorizado ou alterações. A política e os princípios
de gerenciamento para a criptografia podem ser definidos em um documento de política separado
1.3.2 Descrever os aspectos de confiabilidade das
informações
• A disponibilidade é o grau de disponibilidade da informação para o usuário e
para o sistema de informação que está em operação no momento em que a
organização a requer
• As características de disponibilidade são:
Integridade
 Cronogramas: os sistemas de informação são
disponível quando necessário
 Continuidade: o pessoal pode continuar a trabalhar
no caso de um fracasso;
Confidencialidade
 Robustez: há capacidade suficiente para Disponibilidade
permitir que todo o pessoal do sistema funcione
1.3.2 Descrever os aspectos de confiabilidade das
informações
Disponibilidade
• O gerenciamento e armazenamento de dados é tal que a chance de perda
de informações é mínima. Os dados são, por exemplo, armazenados em um
disco de rede, não no disco rígido do PC.
• Os procedimentos de backup são estabelecidos. São levados em conta os
requisitos regulamentares de quanto tempo os dados devem ser
armazenados. A localização do backup é separada fisicamente do negócio a
fim de garantir a disponibilidade em casos de emergência.
• Procedimentos de emergência são estabelecidos para garantir que as
atividades possam ser retomadas o mais rápido possível após uma
interrupção em larga escala
2 AMEAÇAS E RISCOS
2.1 AMEAÇAS E RISCOS
2.1.1 Explicar os conceitos de ameaça, risco e análise de risco

• Ameaça: uma causa potencial de um Incidente indesejado, que pode resultar

em danos a um Sistema ou Organização
• Análise de risco: um processo para compreender a natureza do risco e para
determinar o nível de risco. Ela fornece a base para avaliação de risco e
decisões sobre o tratamento de risco
2.1.1 Explicar os conceitos de ameaça, risco e análise de risco

Ameaças e medidas de segurança da informação

• No processo de segurança da informação, os efeitos indesejados (ameaças)
são mapeados da melhor forma possível
• Na segurança da informação, é determinado se algo deve ser feito para
evitar estes efeitos
• A segurança da informação determina quais medidas de segurança devem
ser tomadas para evitar esses efeitos
2.1.1 Explicar os conceitos de ameaça, risco e análise de risco

• Risco: Uma combinação da probabilidade de um evento e suas

conseqüências
• Definição ISO/IEC 27000:2018:
O risco é o efeito da incerteza sobre os objetivos e é freqüentemente caracterizado
pela referência a eventos e conseqüências potenciais, ou uma combinação destes.
O risco de segurança da informação está associado ao potencial que
ameaças explorarão as vulnerabilidades de um ativo de informação ou
grupo de ativos de informação e assim causar danos a um
organização
2.1.2 Explicar a relação entre uma ameaça e um risco

• Um risco é a probabilidade de um agente de ameaça tirar vantagem de uma

vulnerabilidade em um ativo e o impacto comercial correspondente

Tópico

Ativo Risco Vulnerabilidade

2.1.2 Explicar a relação entre uma ameaça e um risco
Materialise by

Ameaças Ataques

comprometidos por explorar

Ativos Vulnerabilidades

proteger Ciclo de expor a

risco
Contra-medidas Riscos
2.1.3 Explicar vários tipos de ameaças
Uma ameaça poderia ser:
• um intruso acessando a rede através de uma porta no firewall
• um processo de acesso aos dados de uma forma que viola a política de
segurança, um tornado que destrói uma instalação
• um funcionário que cometa um erro que possa expor informações
confidenciais ou destruir a integridade de um arquivo

• Dois tipos de ameaças

– Ameaças humanas
• Intencional (Hacking, danificação de propriedade, destruição de e-mails após ser demitido)
• Não intencional (Eliminação de dados e confirmação descuidada com OK)
• Engenharia Social (enganar pessoas para que forneçam voluntariamente informações sensíveis: phishing)
– Ameaças não-humanas
• Raios, incêndios, inundações, furacões, tornados, etc.
2.1.4 Descrever vários tipos de danos

Tipos de danos:
• Danos diretos
– Roubo
– Água
• Danos indiretos
– Incapacidade de prestar um serviço porque o
A infra-estrutura de TI está em baixo
– Danos financeiros devidos a perda de cliente
contrato
2.1.5 Descrever várias estratégias de risco

• Risco (aceitação)
– Os riscos são aceitos, nenhuma ação é tomada (por exemplo, devido a um baixo impacto ou probabilidade
esperada)
• As medidas de segurança são muito caras
• As medidas de segurança excedem os possíveis danos
• As medidas de segurança que são tomadas são por natureza repressivas
• Neutro ao risco (tratar)
– São tomadas medidas para evitar riscos ou minimizar danos (por exemplo, segurança física, sistemas de
proteção contra incêndios)
• A ameaça não ocorre mais
• O dano resultante é minimizado
• As medidas de segurança tomadas são uma combinação de medidas preventivas, detetive e
Medidas repressivas
• Evitar riscos
– São tomadas medidas para garantir que o risco
não acontece
– As medidas de segurança que são tomadas são preventivas por
natureza
– Por exemplo, correção de software
3 ABORDAGEM E ORGANIZAÇÃO
3.1 POLÍTICA DE SEGURANÇA E
ORGANIZAÇÃO DA SEGURANÇA
3.1.1 Esboçar os objetivos e o conteúdo de uma política de
segurança
• Objetivo: fornecer direção e suporte gerencial para a segurança da informação de
acordo com as exigências comerciais e as leis e regulamentos relevantes
• Conteúdo:
– Regulamentos: um regulamento é mais detalhado do que um documento de
política
– Procedimentos: descrever em detalhes como medidas particulares devem ser
realizadas e podem, às vezes, incluir as instruções de trabalho
– Diretrizes: fornecer orientação
• Descrever quais aspectos devem ser examinados com aspectos particulares de segurança
• As diretrizes não são obrigatórias, mas são de natureza consultiva
– Normas
• Por exemplo: a criação padrão de plataformas específicas
3.1.1 Esboçar os objetivos e o conteúdo de uma política de
segurança
• Esta política deve ser redigida de acordo com as exigências comerciais, bem
como com a legislação e os regulamentos pertinentes
• A política de segurança da informação deve ser aprovada pelo conselho de
administração e publicada para todo o pessoal e todas as partes externas
relevantes, tais como clientes e fornecedores
• Publicando a política
– Criar uma versão resumida da política, delineando os pontos principais
– Isto pode ser na forma de um folheto emitido para todo o pessoal e incluído como parte
da introdução de novo pessoal
– A versão completa pode ser publicada na intranet da empresa ou em
Política de segurança
algum outro local de fácil acesso para todo o pessoal
3.1.1 Esboçar os objetivos e o conteúdo de uma política de
segurança
• O objetivo geral da segurança de TI é "segurança equilibrada em
profundidade", com controles justificáveis implementados para garantir que
a política de segurança da informação seja aplicada e que os serviços
contínuos de TI dentro de parâmetros seguros (ou seja, confidencialidade,
integridade e disponibilidade) continuem a operar
• Para muitas organizações, a abordagem adotada para a segurança de TI é
coberta por uma política de segurança da informação de propriedade e
mantida pela gerência de segurança da informação
• Na execução da política de segurança, a gestão de disponibilidade
desempenha um papel importante em sua operação para novos serviços de
TI
3.1.2 Esboçar os objetivos e o conteúdo de uma organização
de segurança
• Sem uma segurança efetiva da informação, não é possível para uma organização
sobreviver
• Todos na organização devem aceitar isto e o conselho de administração e a
gerência têm que agir como exemplos
• Somente quando a administração apóia sua própria política, os funcionários levam a
segurança da informação a sério e assim trabalham para cumprir com as medidas
• A segurança da informação é um processo em que
muitas pessoas estão envolvidas
• O processo precisa ser controlado de forma eficaz
• Se não houver responsabilidade ou gestão, então a segurança da informação não
será efetiva
3.1.2 Esboçar os objetivos e o conteúdo de uma organização
de segurança
• A forma como a segurança da informação é gerenciada depende do
tamanho e da natureza da organização
• Em pequenas organizações, a segurança da informação pode ser apenas
uma das responsabilidades de várias pessoas
• Um trabalhador autônomo sem nenhum funcionário é responsável por todos
os aspectos da TI, incluindo a segurança
• Em contraste, em grandes organizações, haverá pessoal cuja única
responsabilidade é um aspecto particular da segurança da informação
• No processo de segurança da informação, é necessário realizar consultas
periódicas entre todos aqueles com responsabilidade primária
3.1.2 Esboçar os objetivos e o conteúdo de uma organização
de segurança
• Além dos oficiais de segurança da informação (ISO), estes também podem
ser o pessoal responsável pela implementação de certas medidas
• São de preferência pessoas que trabalham nos departamentos de Recursos
Humanos (RH), Informação, Finanças, Contabilidade ou Acomodação.
3.2 COMPONENTES
3.2.1 Explicar a importância de um código de conduta

• A organização deve ter um código de conduta e as sanções que são impostas em caso de
não cumprimento e se surgirem incidentes de segurança como resultado

Clientes Responsabilidade

Coaching
Trabalho em equipe
Inovação

Ética

Confiança
Objetivos
3.2.1 Explicar a importância de um código de conduta

•O código de conduta pode afirmar, que:

– Os e-mails pessoais não são permitidos
– Os registros dos funcionários podem conter informações como o perfil do emprego, o
contrato de trabalho e vários acordos assinados
– Para uso de e-mail, declara-se compreender e ter a intenção de observar a legislação (por
exemplo, na área de proteção de dados e crimes informáticos), bem como aderir ao Acordo
de Não Divulgação
– Uma campanha de conscientização conscientizará os funcionários sobre ameaças à
segurança, tais como malware, phishing e spam. Terceiros atenderão aos requisitos de
segurança da informação
– É permitido o uso do telefone, e-mail e internet para fins pessoais, desde que o trabalho
não sofra como consequência; o download de música, filmes e software e a visita a sites
de orientação sexual são explicitamente proibidos
3.2.2 Explicar a importância da propriedade

• Os ativos são necessários para que uma organização possa fazer negócios. Os ativos podem
incluir:
– Documentos, bancos de dados
– Hardware e software
– Instalações, tais como edifícios
– Mídias, como pendrives, discos rígidos removíveis
– Pessoas
• O proprietário do ativo é responsável pelos processos e atividades que utilizam o ativo, inclusive:
– Segurança
– Administração
– Produção
– Desenvolvimento
3.2.2 Explicar a importância da propriedade

Gerenciamento e manuseio de ativos

• A gestão de ativos trata de três objetivos principais:
– Como lidar com os bens
– Como lidar com mudanças nos ativos
– Quem pode iniciar e implementar mudanças nos ativos
• Estruturas de gerenciamento de serviços como VeriSM™, ITIL, ISO/IEC 20000 e COBIT
fornecem orientações sobre estes objetivos
• Na prática:
– A mídia deve ser removida ou apagada de forma segura se não for mais necessária
– A documentação e os manuais do sistema devem ser mantidos em um local seguro e
atualizados regularmente
– O transporte da mídia, que é naturalmente bem embalada, deve ser realizado por um
empresa de courier reconhecida que fornece as condições físicas corretas (umidade,
temperatura, proteção eletromagnética)
3.2.3 Cite as funções mais importantes na organização da
segurança
As funções de segurança da informação podem variar no título que lhes é
dado, mas se resumem ao seguinte:
–O Diretor de Segurança da Informação (CISO) está no mais alto nível gerencial da
organização e desenvolve a estratégia geral para toda a empresa
–O Information Security Officer (ISO) desenvolve a política de uma unidade de negócios
com base na política da empresa e garante que ela seja observada
–O Gerente de Segurança da Informação (ISM) desenvolve a Política de Segurança da
Informação dentro
a organização de TI e assegura que isso seja observado
–Além dessas funções especificamente voltadas para a segurança da informação, uma
organização pode ter um responsável pela política de segurança da informação ou um
responsável pela proteção de dados.
3.2.3 Cite as funções mais importantes na organização da
segurança
O Gerente de Segurança é responsável por garantir que os objetivos da Segurança da Informação
A administração é atendida, por exemplo:
• Desenvolver e manter a política de segurança da informação
• Comunicar e divulgar a política de segurança da informação
• Garantir que a política de segurança da informação seja aplicada e cumprida
• Identificação e classificação dos ativos de TI e informação e o nível de controle e proteção necessários
• Auxiliar nas análises de impacto nos negócios
• Execução de análise de risco de segurança e gerenciamento de risco
• Projetando controles de segurança e desenvolvendo planos de segurança
• Monitoramento e gerenciamento de todas as violações de segurança e tratamento de incidentes de segurança
• Relatar, analisar e reduzir o impacto e os volumes de todos os incidentes de segurança
• Promover a educação e a conscientização da segurança
• Realização de testes de segurança
• Participar em quaisquer revisões de segurança decorrentes de violações de segurança e instigar ações corretivas
• Assegurar que a confidencialidade, integridade e disponibilidade dos serviços sejam mantidas nos níveis acordados nos SLAs e que
estejam em conformidade com todos os requisitos estatutários relevantes
• Assegurar que todo acesso a serviços por parceiros e fornecedores externos esteja sujeito a acordos e responsabilidades contratuais
3.3 GESTÃO DE INCIDENTES
3.3.1 Resumir como os incidentes de segurança são relatados
e quais informações são necessárias
• Um formulário de relatório de incidentes deve, no mínimo, permitir a digitação
das seguintes informações:
– Data e hora
– Nome da pessoa que reporta
– Localização (onde está o incidente?)
– Qual é o problema? (descrição do incidente)
– Qual é o efeito do incidente?
– Como foi descoberto?
• E, se possível, as seguintes áreas:
– Tipo de sistema (desktop, impressora, servidor, servidor de correio, etc.)
– Número do sistema / nome do sistema (se presente)
– Quem mais foi informado?
3.3.2 Dar exemplos de incidentes de segurança

• Controle de segurança ineficaz

• Violação das expectativas de integridade, confidencialidade ou
disponibilidade das informações
• Erros humanos
• Não-conformidades com políticas ou diretrizes
• Quebras de segurança física
• Mudanças descontroladas no sistema
• Avarias de software ou hardware
• Violações de acesso
3.3.3 Explicar as conseqüências de não comunicar incidentes
de segurança
• Funcionários, pessoal temporário e usuários externos devem ser
conscientizados dos procedimentos para relatar os vários tipos de Incidentes
e fraquezas que podem ter influência sobre a confiabilidade das informações
e a segurança dos bens comerciais
• Devem ser obrigados a relatar todos os incidentes e fraquezas o mais rápido
possível ao balcão de serviço ou a uma pessoa de contato
• Dois assuntos são de grande importância e têm de ser esclarecidos pela
gerência:
o A comunicação de incidentes de segurança é principalmente uma forma de aprender com
eles para evitar que incidentes semelhantes se repitam.
o A denúncia de um incidente não pretende ser uma forma de punir o perpetrador desse
incidente.
3.3.3 Explicar as conseqüências de não comunicar incidentes
de segurança
• No entanto, se um funcionário sabotar intencionalmente um sistema de
informação, vazar informações ou causar danos, ele ou ela pode ter que ser
denunciado à polícia
• É importante que as pessoas não tenham medo de relatar um incidente por
medo da resposta da gerência ou por não quererem ser vistas como um
indicador.
• O processo também deve assegurar que a pessoa que comunica um
incidente de segurança da informação seja informada dos resultados após
ter sido tratado
3.3.4 Explicar o que uma escalada implica (funcional e
hierarquicamente)
• Escalada hierárquica: a um nível superior na organização (por exemplo,
gerência)
• Escalada funcional: para pessoas com mais experiência
3.3.5 Descrever os efeitos da escalada dentro da organização

• A escalada dentro da organização enquanto se resolve um incidente tem

benefícios:
– Maior atenção gerencial, para que mais recursos possam ser
disponibilizados
– Melhor coordenação e comunicação, tanto internamente como com os
clientes
– Resolução mais rápida do incidente, usando mais
perícia
• ...mas também pode ter inconvenientes:
– Pressão de gestão indesejada, levando ao stress
– Exposição de questões na organização ou com seus serviços e processos
3.3.6 Explicar o ciclo de incidentes

Tipo de medida:
Redução Ameaça

Prevenção

Detecção Incidente

Repressão

Danos

Correção

Recuperação
Avaliação
4 MEDIDAS
4.1 IMPORTÂNCIA DAS MEDIDAS
4.1.1 Descreva as diversas formas pelas quais as medidas de
segurança podem ser estruturadas ou organizadas
a
e aç
Am

Re
du
çã
Ri
Prevenção

o
sc
o
Incidente

Detecção Seguros Aceitação

Repressão

Recuperação
4.1.1 Descreva as diversas formas pelas quais as medidas de
segurança podem ser estruturadas ou organizadas

Medidas preventivas • Com o objetivo de prevenir incidentes de segurança

Medidas de detecção • Destinado a detectar incidentes de segurança

Medidas repressivas • Com o objetivo de deter as conseqüências dos incidentes de segurança

Medidas corretivas • Visando a recuperação dos danos causados por incidentes de segurança

• Destinado a comprar seguro contra certos incidentes de segurança porque a

Comprar seguro implementação das medidas de segurança pode ser muito cara
4.1.2 Dar exemplos para cada tipo de medida de segurança

Medidas preventivas
– Com o objetivo de prevenir incidentes de segurança
– Exemplos:
• Quebrando a conexão com a Internet
• Fazendo uma porta de cockpit à prova de balas
• Colocação de informações sensíveis em um cofre
4.1.2 Dar exemplos para cada tipo de medida de segurança

Medidas de detecção
– Destinado a detectar incidentes de segurança
– Exemplos:
• Vigilância por vídeo com adesivos nas janelas, informando as pessoas
que estão sendo monitoradas
• Informar as pessoas que o uso da Internet está sendo monitorado
dissuadirá muitos funcionários de atividades impróprias de navegação
na Internet
4.1.2 Dar exemplos para cada tipo de medida de segurança

Medidas repressivas
– Com o objetivo de deter as conseqüências dos incidentes de segurança
– Exemplos:
• Apagando uma pequena fogueira
• Fazendo um backup
• Um acordo de stand-by
4.1.2 Dar exemplos para cada tipo de medida de segurança

Medidas corretivas
– Visando a recuperação dos danos causados por incidentes de segurança
– Exemplos:
• Ao criar um novo banco de dados, um banco de dados existente foi
sobregravado; a idade do backup deste banco de dados determinará o
esforço de recuperação que será necessário fazer
4.1.2 Dar exemplos para cada tipo de medida de segurança

Comprar seguro
– Comprar um seguro contra certos incidentes de segurança porque a
implementação das medidas de segurança pode ser muito cara
– Exemplos:
• Seguro contra incêndio
• Colocação de cópias de informações importantes em um local
diferente
4.1.3 Explicar a relação entre riscos e medidas de segurança

Gerenciamento de risco
O processo de:
Ameaças

Para: Riscos

Para: Medidas de segurança

Análise de risco
Uma metodologia para esclarecer quais ameaças são relevantes para os processos operacionais e para identificar os Riscos
associados. O nível de segurança apropriado, juntamente com as medidas de segurança associadas, pode então ser determinado
4.1.4 Explicar o objetivo da classificação das informações

Objetivo: Assegurar que as informações recebam um nível de proteção

adequado de acordo com sua importância para a organização
8.2.1 A classificação das informações deve ser classificada em termos de
exigências legais, valor, criticidade e sensibilidade à divulgação ou modificação
não autorizada.

8.2.2 Rotulagem de informações Um conjunto apropriado de procedimentos

para a rotulagem de informações deve ser desenvolvido e implementado de
acordo com o esquema de classificação de informações adotado pela
organização.

8.2.3 Manuseio de ativos Os procedimentos para o manuseio de ativos devem

ser desenvolvidos e implementados de acordo com o esquema de classificação
de informações adotado pela organização.
4.1.5 Descrever o efeito da classificação

• A classificação dada às informações é uma forma rápida de determinar como

essas informações devem ser tratadas e protegidas
• Para cada nível de classificação, devem ser definidos procedimentos de
manuseio incluindo o processamento seguro, armazenamento, transmissão,
desclassificação e destruição. Isto também deve incluir os procedimentos para
a cadeia de custódia e registro de qualquer evento relevante para a segurança.
• A rotulagem e o manuseio seguro de informações classificadas é um requisito
fundamental para acordos de compartilhamento de informações
• As etiquetas físicas são uma forma comum de etiquetagem
• No entanto, documentos eletrônicos exigem um meio eletrônico de
etiquetagem a ser utilizado; por exemplo, uma mensagem de notificação na tela
4.1.5 Exemplos de níveis de classificação de informações

Público Somente interno Confidencial Restrito

Dados que podem ser livremente Dados internos não destinados a Dados sensíveis que se Empresa altamente sensível
divulgado ao público divulgação pública comprometida poderia ser negativamente dados que, se comprometidos
afetam as operações poderia colocar a organização
risco financeiro ou legal

Materiais de marketing Battlecards Contratos com fornecedores IP

Informações de contato Livros de vendas Revisões dos funcionários Informações sobre o cartão de crédito
Listas de preços Organigramas etc Números da previdência social
etc etc PHI
4.2 MEDIDAS FÍSICAS
4.2.1 Dar exemplos de medidas de segurança física

Áreas seguras
Objetivo: Prevenir o acesso físico não autorizado, danos e interferências nas
informações da organização e nas instalações de processamento de
informações

Equipamento
Objetivo: Evitar a perda, dano, roubo ou comprometimento de bens e
interrupção das operações da organização
4.2.1 Dar exemplos de medidas de segurança física

Exemplos
• A proteção do equipamento através do controle climático (ar
condicionado, umidade)
• Os cabos devem ser colocados de tal forma que nenhuma interferência
possa ocorrer. A interferência é quando os cabos de rede captam o ruído e
a estática dos cabos de energia que correm paralelamente a eles.
• A exclusão de informações confidenciais na mídia de armazenamento
quando uma pessoa deixa a organização
4.2.1 Dar exemplos de medidas de segurança física

Principais categorias:
– Anéis de proteção
• A área ao redor do edifício
• O edifício
• O espaço de trabalho
• Os objetos
– Alarmes
• Sensores
• Monitoramento
– Proteção contra incêndios
– Planejamento de emergência
• Relacionado à gestão da continuidade dos negócios
4.2.1 Dar exemplos de medidas de segurança física

• A segurança física implica uma combinação de medidas organizacionais,

estruturais e eletrônicas
• As medidas de segurança física precisam ser planejadas e coordenadas de
forma coerente
4.2.2 Descrever os riscos envolvidos com medidas de
segurança física insuficientes
• Uma segurança física insuficiente pode levar a:
– Perda de equipamento devido a incêndio, queda de energia ou inundação
– Intrusos que entram no site
– Desastres naturais que derrubam um local
– Falhas no servidor devido à falta de manutenção
– Roubo de bens
• A segurança física deve ser sempre implementada juntamente com medidas
técnicas e organizacionais, por exemplo
– Criptografia de dados em servidores
– Políticas que orientam a gestão de acesso
objetivos
4.3 MEDIDAS TÉCNICAS DE SEGURANÇA
4.3.1 Dar exemplos de medidas técnicas de segurança

As medidas técnicas estão relacionadas:

• A gestão dos ativos comerciais, a segurança da infra-estrutura de TI e a
proteção dos dados contra acesso indesejado através de controle de acesso
e aplicações criptográficas
• O uso correto de uma aplicação e o correto processamento de informações
4.3.1 Dar exemplos de medidas técnicas de segurança

• Gestão de acesso lógico

– Conceder acesso às informações digitais e serviços de informação às
pessoas autorizadas, bem como impedir que pessoas não autorizadas
tenham acesso a essas informações ou serviços digitais.
• Requisitos de segurança para sistemas de informação
– Exigências relativas à compra e desenvolvimento de sistemas de informação
• Criptografia
– Um meio de manter as informações em segredo: a criptografia de dados
• Segurança dos arquivos do sistema
• Prevenção de vazamentos de informação
4.3.2 Descrever os riscos envolvidos com medidas técnicas
de segurança insuficientes
• A falta de medidas técnicas pode levar a:
– Qualquer pessoa que possa ver o conteúdo de informações confidenciais
devido à falta de controle lógico de acesso
– Surtos de vírus devido à falta de software de varredura de vírus
– Informação sendo vazada para pessoas não autorizadas devido à falta de
criptografia
– Implementação insegura do sistema devido à falta de implementação de
normas de endurecimento da segurança
4.3.3 Entenda os conceitos de criptografia, assinatura digital e
certificado
Política de criptografia
– Para que a organização usa a criptografia?
– Que tipos de criptografia a organização utiliza, e em que
aplicações?
– Controle e gerenciamento de chaves
– Cópia de segurança
4.3.3 Entenda os conceitos de criptografia, assinatura digital e
certificado
• As chaves criptográficas devem ser protegidas contra alteração, perda e
destruição
• As chaves secretas e pessoais devem ser protegidas contra revelação não
autorizada
• Equipamentos utilizados para geração, armazenamento e arquivamento de
chaves devem ser fisicamente protegidos
• O registro dos pares de chaves: Que pares foram emitidos para quem e
quando?
• Quando uma chave expira?
• O que deve ser feito quando uma chave foi comprometida?
• Evite usar a mesma chave em sistemas diferentes (por exemplo, laptops)
4.3.3 Entenda os conceitos de criptografia, assinatura digital e
certificado
• Criptografia simétrica

A B

cleartext ciphertext cleartext

f1() f2()

ciphertext = f1(cleartext, s)

cleartext = f2(ciphertext, s)
Chave Chave

Nota:
f1() e f2() são funções matemáticas complexas de um sentido, fáceis de calcular de um sentido, mas impossíveis de
calcular do outro modo. Um exemplo; é fácil multiplicar dois grandes números. Mas a inclusão do número em seus fatores
é muito difícil se o número for grande.
 4.3.3 Entenda os conceitos de criptografia, assinatura digital e
certificado
• Criptografia assimétrica
Autoridade Certificadora (CA)
sAb, sBb, sCb, ...

sAa : chave privada A

A B sAb : chave pública A

sBa : chave privada B

sBbb : chave pública B

cleartext ciphertext cleartext

f1() f2()

ciphertext = f1(cleartext, sAa, sBb)

cleartext = f2(ciphertext, sBa, sAb)

Chaves chaves
sAa, sBbb sBa, sAb
4.3.3 Entenda os conceitos de criptografia, assinatura digital e
certificado
• Assinaturas digitais são criadas usando criptografia
assimétrica
• Uma assinatura digital é um método para confirmar se a
informação digital foi produzida ou enviada por quem ela
afirma ser. É comparável à assinatura de documentos em
papel com uma assinatura escrita
• Uma assinatura digital geralmente consiste de dois
algoritmos:
– uma para confirmar que as informações não foram
alteradas por terceiros
– a outra para confirmar a identidade da pessoa que
"assinou" as informações
• Em certos países (por exemplo, a UE), uma assinatura digital
é agora considerada igual a uma assinatura "em papel". Na
maioria dos casos, deve ser possível verificar esta
assinatura digital usando um certificado atestado que deve
ser feito por meios seguros (por exemplo, um smartcard).
4.3.4 Nomear vários tipos de malware, phishing e spam

• O phishing é uma forma de fraude na internet

• Uma fraude é definida como a realização de uma transação não autorizada
• Normalmente a vítima receberá um e-mail pedindo para verificar ou
confirmar uma conta em um banco ou provedor de serviços, números de
conta, códigos PIN ou detalhes de cartão de crédito, por exemplo
• Às vezes é utilizado o envio de mensagens instantâneas
• Até o contato telefônico foi tentado
4.3.4 Nomear vários tipos de malware, phishing e spam

• Spam é um nome coletivo para mensagens indesejadas

• O termo é normalmente usado para e-mail indesejado, mas mensagens
publicitárias indesejadas em websites também são consideradas como spam.
• Um filtro de spam pode aliviar um pouco o fardo disso
• Há algumas coisas que os usuários de computador podem fazer para
combater o spam. Algumas delas são:
– Nunca responda uma mensagem de spam - mesmo "opt out" ou "cancelar"
causa mais spam, pois você está confirmando para o spammer que ele
tem um e-mail funcional para você e seu spam irá aumentar
– Não encaminhar mensagens de spam e não distribuir endereços de e-mail
(use a funcionalidade BCC)
4.3.4 Nomear vários tipos de malware, phishing e spam

• Malware é uma combinação da palavra

malicioso e software
• Refere-se a softwares indesejáveis
como vírus, worms, trojans e spyware.
• Uma medida padrão contra malware é o
uso de scanners antivírus e um firewall
• Um verificador de vírus por si só não é
suficiente para deter o malware devido a
ações humanas, como abrir quaisquer e-
mails suspeitos ou e-mails de
remetentes desconhecidos
4.3.4 Nomear vários tipos de malware, phishing e spam

Definição:
• Um vírus é um pequeno programa de computador que se replica propositadamente, às vezes de forma alterada.
• As versões replicadas do vírus original são, em virtude desta definição, também vírus. Para que o vírus se
propague, ele depende de portadores que contenham código executável.

Explicação:
• Assim que o portador é ativado, o vírus procura por novos portadores adequados e tenta infectá-los. O vírus só
pode se espalhar fora do alcance do sistema infectado se um usuário transferir arquivos do sistema infectado
para um novo sistema.
• Os transportadores eram tradicionalmente apenas programas, mas hoje em dia os documentos podem atuar
como hospedeiro de um vírus, pois cada vez mais contêm códigos executáveis, tais como macros, VBScript ou
ActiveX.
Na grande maioria dos casos, os vírus são equipados com uma carga útil que abriga todas as tarefas além
daquelas que são necessárias para a replicação. Esta carga útil é geralmente, mas não necessariamente
sempre, de natureza destrutiva.
4.3.4 Nomear vários tipos de malware, phishing e spam

Exemplos de vírus:
• Cérebro
• Chernobyl

Medidas:
• Garantir que haja um verificador de vírus no servidor de correio e nos
computadores individuais no local de trabalho
• Garantir que o tema dos vírus seja incluído em uma campanha de
conscientização de segurança
• Assegurar que este assunto seja incluído na política de segurança da
informação da organização
4.3.4 Nomear vários tipos de malware, phishing e spam

Definição:
• Uma minhoca é um pequeno programa de computador que se reproduz propositalmente. Os
resultados da replicação são cópias da propagação original para outros sistemas, fazendo
uso das instalações de rede de seu host

Explicação:
• As diferenças entre vírus e minhocas estão se tornando cada vez mais difusas
• Um vírus pode atacar seu hospedeiro através de diferentes portadoras e infectar novas
portadoras, transferindo o código ativo nessas novas portadoras
• Um verme, ao contrário, não depende de um usuário para se espalhar: assim que um verme é
ativado, ele pode se espalhar automaticamente. É isto que permite que os vermes infectem
grandes áreas em um curto período de tempo.
• As duas semelhanças mais importantes são a dependência de um código executável no
portador e o uso de uma carga útil para realizar tarefas secundárias, geralmente destrutivas
4.3.4 Nomear vários tipos de malware, phishing e spam

Exemplos:
• Melissa
• Eu te amo
• Feliz99
• Demolidor
• Tempestade

Medidas:
• Garantir que haja um verificador (vírus) no servidor de correio e nos computadores individuais no local de trabalho
• Como os vermes podem ser descobertos na rede, assegure-se de utilizar uma ferramenta de monitoramento de
rede
• Garantir que o tema dos vírus seja incluído em uma campanha de conscientização de segurança
• Assegurar que este assunto seja incluído na política de segurança da informação da organização
• Garantir que haja meios eficazes de comunicar incidentes e que haja bons procedimentos de acompanhamento
4.3.4 Nomear vários tipos de malware, phishing e spam

Definição:
• Um Trojan é um programa que, além da função que parece desempenhar, conduz de propósito
atividades secundárias, despercebidas pelo usuário do computador, que podem prejudicar a integridade
do sistema infectado

Explicação:
• Assim como com o verdadeiro cavalo de Tróia, um cavalo de Tróia se apresenta como algo útil, mas
quando ativado pelo usuário, ele conduz todo tipo de atividades indesejáveis em segundo plano.
• A carga útil de um troiano instala frequentemente uma "porta traseira", através da qual pessoas
desconhecidas podem obter acesso não autorizado ao sistema infectado
• Outra atividade freqüente dos troianos é o envio de informações confidenciais do sistema infectado para
outro local, onde podem ser coletadas e analisadas.
• A diferença mais perceptível com vírus e vermes é que os troianos não podem se auto-replicar. Como
resultado, os Trojans geralmente são capazes de continuar fazendo seu trabalho sem serem notados por
um período de tempo mais longo.
4.3.4 Nomear vários tipos de malware, phishing e spam

Exemplos:
• BackOrifice
• Netbus

Medidas:
• Garantir que haja um verificador de Trojan e/ou vírus no servidor de correio e nos computadores
individuais no local de trabalho
• Garantir que o assunto dos Trojans seja incluído em uma campanha de conscientização de
segurança; por exemplo, o pessoal deve estar ciente dos perigos de abrir anexos de e-mails
suspeitos
• Assegurar que este assunto seja incluído na política de segurança da informação da organização
• As consequências de Trojans (comunicação) também podem ser descobertas na rede por
gerentes de rede; ferramentas de monitoramento de rede estão disponíveis para isso
4.3.4 Nomear vários tipos de malware, phishing e spam

Definição:
• Um embuste é uma mensagem que tenta convencer o leitor de sua veracidade e depois persuadi-lo a realizar uma
determinada ação
• A difusão de um embuste depende do envio deliberado da mensagem a outras vítimas potenciais, que podem então
também fazer o mesmo

Explicação:
• A carga útil de um embuste não é de natureza técnica, mas psicológica.
• Ao jogar com as emoções das pessoas, o embuste tenta
persuadir o leitor a enviar o embuste a outros (uma forma de
engenharia social)
• Este é quase sempre o propósito de um embuste, mas um embuste pode
ocasião tentar convencer uma pessoa a depositar dinheiro, fornecer
informações pessoais (phishing) ou similares
• As cartas em cadeia são a forma mais significativa e bem sucedida de
embustes
4.3.4 Nomear vários tipos de malware, phishing e spam

Exemplos:
• Bons tempos
• Pal Pal Pal

Medidas:
• Garantir que haja um verificador de vírus no local de trabalho e uma solução anti-spam para o
servidor de correio. Um hoax freqüentemente contém textos que podem ser reconhecidos por tais
scanners
• Garantir que o tema das fraudes seja incluído em uma campanha de conscientização de segurança; o
pessoal deve estar atento a perguntas estranhas em e-mails, particularmente aquelas que tentam
convencer o leitor a realizar certas ações como encaminhar o embuste a outros
• Assegurar que este assunto seja incluído na política de segurança da informação da organização
• Garantir que haja meios eficazes de comunicar incidentes e que haja bons procedimentos de
acompanhamento
4.3.4 Nomear vários tipos de malware, phishing e spam

Definição:
• Uma bomba lógica é um pedaço de código que está embutido em um sistema de software
• Este código executará então uma função quando condições específicas forem cumpridas
• Isto nem sempre é usado para fins maliciosos. Um programador de computador, por
exemplo, pode construir em um código que destrói arquivos (sensíveis) uma vez que eles
saem da rede da empresa
• Vírus e vermes geralmente contêm bombas lógicas, que geralmente têm um atraso
incorporado para a execução do vírus ou a propagação do verme

Medidas:
• Para software escrito pelo pessoal da empresa ou sob contrato com terceiros, garantir que
uma revisão de código seja conduzida por outra parte
4.3.4 Nomear vários tipos de malware, phishing e spam

Definição:
• Spyware é um programa de computador que coleta informações sobre o usuário do computador e
envia essas informações para outra parte. O objetivo disto é ganhar dinheiro
• O spyware não tenta propositalmente danificar o PC e/ou o software instalado, mas sim violar a
privacidade
• Os spywares podem ser reconhecidos de várias maneiras, por exemplo:
• O computador é mais lento que o normal
• Os programas estão sendo executados no computador que você mesmo não iniciou ou que
você tem
nunca visto antes
• As configurações do computador foram modificadas e pode haver uma barra de ferramentas
em seu
navegador de internet que não estava lá antes e não pode ser removido
• Todos os tipos de pop-ups aparecem sem aviso ou ao abrir páginas da web
4.3.4 Nomear vários tipos de malware, phishing e spam

Medidas:
• Existem scanners que verificam o registro do Windows em busca de chaves de
registro suspeitas e verificam o software instalado em busca de spyware
• Às vezes os programas anti-vírus também podem detectar spyware
• Use um firewall pessoal para detectar o tráfego na rede, especialmente o tráfego que
sai de seu computador sem motivo
• Garantir que o tema do spyware seja incluído em uma campanha de conscientização
de segurança
• Assegurar que este assunto seja incluído na política de segurança da informação da
organização
• Garantir que haja meios eficazes de comunicar incidentes e que haja bons
procedimentos de acompanhamento
4.3.4 Nomear vários tipos de malware, phishing e spam

Explicação:
• O BotNet/Storm Worm é considerado por muitos como o futuro do malware
• É paciente e, portanto, difícil de detectar e analisar
• Funciona como uma colônia de formigas, onde não há um servidor central de
comando e controle, mas sim uma conexão de rede entre milhares de PCs infectados
• Como resultado, as máquinas infectadas não afetam o botnet
• A tempestade Worm Worm não causa qualquer dano ou carga ao hospedeiro, de
modo que os hospedeiros não saibam que estão infectados
• A razão do sucesso do Storm Worm é que os servidores que difundem o Storm
Worm, recodificam a mensagem do vírus a cada trinta minutos, mudando a
assinatura do vírus e dificultando a detecção pelos programas anti-vírus tradicionais
4.3.4 Nomear vários tipos de malware, phishing e spam

• Um rootkit é um conjunto de ferramentas de software que são frequentemente

utilizadas por terceiros (geralmente um hacker) após ter obtido acesso a um sistema
(de computador)
• O rootkit se esconde profundamente no sistema operacional, possivelmente
resultando em um sistema operacional instável
• Um rootkit é quase impossível de remover sem danificar o sistema operacional
• Rootkits podem funcionar em dois níveis: nível de kernel e nível de usuário
• Rootkits com estratégias de kernel podem, portanto, fazer quase tudo o que quiserem
na memória de trabalho. O objetivo destas ferramentas é ler, alterar ou influenciar os
processos em execução, dados do sistema ou arquivos
• Um rootkit ajuda o intruso a ter acesso ao sistema, sem que o usuário perceba nada
• Existem rootkits para quase todos os sistemas operacionais
4.3.5 Descrever as medidas que podem ser usadas contra
malware, phishing e spam
• Aplicar patches de segurança assim que forem liberados pelo fornecedor
• Realizar treinamento de conscientização para que o pessoal não caia na
engenharia social e em outras ameaças à segurança
• Implementar filtros de spam, scanners de vírus e scanners de malware
• Implementar um processo de gerenciamento de incidentes de segurança
que funcione bem para receber alertas de ataques o mais rápido possível
• Incluir a proteção contra essas ameaças na política de segurança da
informação
4.4 MEDIDAS ORGANIZACIONAIS
4.4.1 Dar exemplos de medidas de segurança organizacional

Características das medidas organizacionais

• As medidas técnicas estão estreitamente relacionadas às medidas
organizacionais; as medidas técnicas executam ou fazem cumprir as
medidas organizacionais
• O ciclo PDCA é uma forma de implementar a segurança da informação na
organização
• Como comercializar a segurança da informação na organização
• Como lidar com desastres e como se preparar para eles
• O aspecto da comunicação da segurança da informação
• Os aspectos operacionais, os procedimentos de teste e a gestão da
segurança da informação
4.4.1 Dar exemplos de medidas de segurança organizacional

Política de segurança da • Organizando a segurança da informação

informação • Criação de um Sistema de Gestão de Segurança da Informação (ISMS)

• Rastreamento e não-divulgação
• Registros de funcionários
Pessoas • Conscientização de segurança
• Gerenciamento de acesso

Gestão da continuidade dos • Planejamento da continuidade dos negócios

negócios • Planejamento de recuperação em caso de desastre

• Procedimentos operacionais
Gerenciando a comunicação e • Gerenciamento de mudanças
os processos de perfuração • Segregação de funções
4.4.2 Descrever os riscos envolvidos com medidas de
segurança organizacionais insuficientes
• Os riscos de medidas de segurança organizacional insuficientes incluem:
– Indisponibilidade de um datacenter devido à falta de um local de
recuperação de desastres
– Acesso aos dados por pessoas não autorizadas, devido à falta de
processo de gerenciamento de acesso
– Fraude devido à falta de segregação de funções
– Hacking de contas devido à falta de senhas fortes
4.4.3 Descreva as medidas de segurança de acesso, como a
segregação de deveres e o uso de senhas
Objetivo
• Para controlar o acesso à informação
Seções
• Requisitos comerciais para o controle de acesso
– Política de controle de acesso
• Gerenciamento do acesso do usuário
– Registro de usuário
– Gestão de privilégios
– Gerenciamento da senha do usuário
– Revisão dos direitos de acesso dos usuários
• Responsabilidades do usuário
– Uso de senha
– Equipamento de usuário desacompanhado
– Limpar mesa e limpar a política de tela
4.4.3 Descreva as medidas de segurança de acesso, como a
segregação de deveres e o uso de senhas
Seções (cont.)
• Controle de acesso à rede
– Política de uso de serviços de rede
– Autenticação do usuário para conexões externas
– Identificação de equipamentos em redes
– Diagnóstico remoto e proteção da porta de configuração
– Segregação em redes
– Controle da conexão de rede
– Controle de roteamento de rede
• Controle de acesso ao sistema operacional
– Procedimentos de logon seguros
– Identificação e autenticação do usuário
– Sistema de gerenciamento de senhas
– Uso de utilitários de sistema
– Tempo limite da sessão
– Limitação do tempo de conexão
4.4.3 Descreva as medidas de segurança de acesso, como a
segregação de deveres e o uso de senhas
Seções (cont.)
• Aplicação e controle de acesso à informação
– Restrição de acesso à informação
– Isolamento do sistema sensível
• Computação móvel e teletrabalho
– Computação e comunicações móveis
– Teletrabalho
4.4.4 Descrever os princípios da gestão de acesso

Na concessão do acesso, é feita uma distinção entre:

– Identificação
– Autenticação
– Autorização
4.4.5 Descrever os conceitos de identificação, autenticação e
autorização
Na concessão do acesso, é feita uma distinção
entre:
– Identificação
– Autenticação
– Autorização
1. A identificação é o primeiro passo no processo
de concessão de acesso. Na identificação a
pessoa ou sistema apresenta um token, por
exemplo, uma chave, nome de usuário ou
senha.
2. O sistema determina então se a ficha é
autêntica e a que recursos o acesso pode ser
concedido
3. Assim que isso for determinado, as
autorizações podem ser atribuídas
4.4.5 Descrever os conceitos de identificação, autenticação e
autorização
Autenticação
• Para salas especiais, como salas de informática, podem ser usadas medidas
de autenticação vigorosas
• Além dos passes de acesso, são tomadas medidas de segurança adicionais.
Como por exemplo:
Algo que você sabe, por exemplo, um código PIN
Algo que você tem, por exemplo, um passe
Algo que faz parte de você, portanto biometria, como uma impressão digital ou uma íris
scan
4.4.5 Descrever os conceitos de identificação, autenticação e
autorização
Autorização
A concessão de direitos específicos, como o acesso seletivo a uma
pessoa, por exemplo
– Conceder acesso de leitura/escrita a um arquivo de banco de dados a um DBA
– Conceder acesso a um prédio a uma pessoa "de plantão" durante o fim de
semana
– Conceder a outra pessoa acesso de leitura a
uma de suas pastas/diretórios pessoais
– Concedendo acesso à área de embarque de
um aeroporto após o controle de segurança
(autenticação) foi concluída com sucesso
4.4.5 Descrever os conceitos de identificação, autenticação e
autorização
Segregação de funções
• As tarefas e responsabilidades devem ser separadas a fim de evitar a possibilidade
de mudanças não autorizadas ou não intencionais ou o uso indevido dos ativos da
organização
• Na segregação de funções, é feita uma revisão sobre se uma pessoa realiza tarefas
de tomada de decisão, executivas ou de controle
• É determinado se a pessoa precisa de acesso à informação
• O acesso desnecessário aumenta o risco de que as informações sejam usadas,
alteradas ou destruídas intencionalmente ou não intencionalmente. A isto se chama
o princípio da "necessidade de saber
• Uma vez determinada a função do pessoal e as necessidades de acesso, as tarefas
podem ser divididas a fim de reduzir os riscos para a organização
4.4.5 Descrever os conceitos de identificação, autenticação e
autorização
Um sistema de gerenciamento de senhas deve:
a. Forçar o uso de IDs e senhas de usuários individuais para manter a responsabilidade
b. Permitir aos usuários selecionar e alterar suas próprias senhas e incluir um procedimento
de confirmação para permitir erros de entrada
c. Forçar uma escolha de senhas de qualidade
d. Impor mudanças de senha
e. Forçar os usuários a mudar as senhas temporárias no primeiro logon
f. Manter um registro das senhas de usuários anteriores e impedir a reutilização
g. Não exibir senhas na tela ao ser inserido
h. Armazenar arquivos de senhas separadamente dos dados do sistema de aplicação
i. Armazenar e transmitir senhas em formato protegido (por exemplo, criptografado ou
hashed)
4.4.6 Explicar a importância para uma organização de uma
gestão de continuidade de negócios bem estabelecida
Por que a gestão da continuidade dos negócios é necessária:
• Proteção dos processos comerciais
• Continuação do serviço
• Sobrevivência da empresa
• Lucro ou prejuízo
• Publicidade negativa
4.4.6 Explicar a importância para uma organização de uma
gestão de continuidade de negócios bem estabelecida
• Planejamento de recuperação em caso de desastre (DRP)
• Para minimizar as conseqüências de um desastre e tomar as medidas necessárias para
assegurar que o pessoal, os ativos e os processos comerciais estejam novamente
disponíveis dentro de um tempo aceitável
• Tem como objetivo a recuperação imediatamente após um desastre
• Planejamento da continuidade dos negócios (BCP)
• Organizar métodos e procedimentos para falhas que durem um período de tempo mais
longo
• Arranjar um local alternativo onde o trabalho possa ser realizado enquanto o local
original é reconstruído
• Tudo está focado em manter a empresa em funcionamento, mesmo que apenas
parcialmente, desde o momento em que o desastre ocorre até quando a empresa se
recuperou totalmente.
4.4.7 Deixar clara a importância da realização de exercícios

• Testes regulares são necessários para conscientizar o pessoal de como agir

em caso de desastre
• Toda mudança que é feita nos processos comerciais deve ser incluída no
plano. Um plano desatualizado não ajudará a organização a se tornar
operacional novamente.
• Essencial em todos os testes é que os procedimentos sejam testados em
uma simulação de uma situação da vida real, a fim de ver se essas medidas
são corretas e eficazes
• Auditorias
5 LEGISLAÇÃO E REGULAMENTOS
5.1 LEGISLAÇÃO E REGULAMENTOS
5.1.1 Explicar por que a legislação e os regulamentos são
importantes para a confiabilidade das informações
• Para observar as normas estatutárias
• Para observar o cumprimento
• Para cobrir os Direitos de Propriedade Intelectual (PI)
• Para proteger os documentos comerciais
• Para proteger os dados e a confidencialidade dos dados pessoais
Por exemplo: Lei de Proteção de Dados Pessoais: a proteção de dados pessoais e
privacidade
• Para evitar o abuso das instalações de TI
• Observar a política de segurança e as normas de segurança
• Para monitorar as medidas
• Para conduzir auditorias de sistemas de informação
• Para proteger os meios utilizados para auditar os sistemas de informação
5.1.2 Dar exemplos de legislação relacionada com a
segurança da informação
Exemplos
• Legislação envolvendo privacidade, impostos e finanças e legislação para
bancos e empresas
• Legislações locais, estaduais e nacionais
• A política de uma empresa em relação à legislação interna
• A legislação de uma nação estrangeira ao fazer negócios internacionais
• Legislação envolvendo privacidade
• Os governos estão sujeitos à legislação de registros públicos. Esta legislação
trata da criação de arquivos, gestão, destruição, transferência para o arquivo
central, transferência entre governos e acesso aos arquivos.
• Legislação destinada a crimes realizados com o uso de computadores
5.1.3 Dar exemplos de regulamentos relacionados com a
segurança da informação
• A Lei dos Registros Públicos
– Regulamenta o armazenamento e a destruição de documentos de arquivo
• Lei de Proteção de Dados Pessoais
– Regulamenta o direito à inspeção de dados pessoais
• A Lei de Criminalidade Informática
– Esta lei é uma mudança no Código Penal e no Código de Processo Penal para facilitar o
tratamento de delitos perpetrados através de tecnologia de informação avançada. Um
exemplo de um novo delito é o hacking de computador.
• A Lei de Acesso Público à Informação Governamental
– Regulamenta a inspeção de documentos governamentais escritos. Os dados pessoais
não são um documento governamental
5.1.3 Dar exemplos de regulamentos relacionados com a
segurança da informação
Exemplos
• Regulamentos envolvendo Privacidade, Impostos e Finanças e
Regulamentos para bancos e empresas (por exemplo, Sarbanes Oxley)
• Regulamentos locais, estaduais e nacionais
• Política própria de uma empresa em relação aos regulamentos internos
• Os regulamentos de uma nação estrangeira ao fazer negócios internacionais
• Regulamentos que envolvem Privacidade (por exemplo, GDPR, CCPA)
• Regulamentos para proteger os dados
• Regulamentos sobre o uso correto das licenças
5.1.4 Indicar possíveis medidas que podem ser tomadas
para cumprir as exigências da legislação e regulamentos
Exemplos
• Medidas para proteger os Direitos de Propriedade Intelectual (PI)
– Acordos de direitos autorais
– Contratos de licença
• Medidas envolvendo os registros organizacionais de proteção
– Arquivos criptografados
– Salas com temperatura controlada para armazenamento de registros de papel
– Uma política de eliminação de registros
• Medidas que envolvem a proteção de informações pessoais
– Direitos de acesso adequados
• Prevenção do mau uso das instalações de processamento de informações
– Monitoramento através de uma rede de câmeras de segurança
• Conformidade com políticas e normas de segurança
– Revisão e ações corretivas realizadas pela gerência
• Verificação de conformidade técnica
– Avaliação de vulnerabilidades