REVISÃO PARA A PROVA

Segurança em Tecnologia
da Informação
UNIDADES 1, 2 E 3
TÓPICO 1: SEGURANÇA NO AMBIENTE
COMPUTACIONAL
ETAPAS DO CICLO DE VIDA DA INFORMAÇÃO
• Identificação das necessidades e dos requisitos
• Obtenção
• Tratamento
• Distribuição / transporte
• Uso
• Armazenamento
• Descarte
ETAPAS DO CICLO DE VIDA DA INFORMAÇÃO

É inquestionável o valor das

informações, tanto para as
empresas quanto para as
pessoas que as utilizam,
sendo a informação, às
vezes, tida como o bem
mais valioso que uma
empresa pode ter.
Identificação das necessidades e dos requisitos
Identificar as necessidades de informação dos grupos e indivíduos que
integram a organização e de seus públicos externos é um passo fundamental
para que possam ser desenvolvidos serviços e produtos informacionais
orientados especificamente para cada grupo e necessidade interna e externa.

Obtenção
Na maioria dos casos, o processo de obtenção da informação não é pontual,
precisando repetir-se ininterruptamente para alimentar os processos
organizacionais (por exemplo, informações sobre o grau de satisfação de
clientes com os produtos ofertados normalmente serão coletados
repetidamente, por meio de pesquisas periódicas).
Tratamento
É comum que a informação precise passar por processos de organização,
formatação, estruturação, classificação, análise, síntese, apresentação e
reprodução, para torná-la mais acessível, organizada e fácil de localizar
pelos usuários.

Distribuição / transporte
A etapa de distribuição da informação permite levar a informação
necessária a quem precisa dela. o transporte “é o momento em que a
informação é transportada, seja ao encaminhar informações por correio
eletrônico (e-mail), ao postar um documento via aparelho de fax, ou, ainda,
ao falar ao telefone uma informação confidencial, por exemplo”.
Uso
Nesta etapa, os objetivos de integridade e disponibilidade devem receber
atenção especial: uma informação deturpada, difícil de localizar ou
indisponível pode prejudicar as decisões e operações da organização.
Como já mencionado, a preocupação com o uso legítimo da informação
pode levar a requisitos de confidencialidade, destinados a restringir o
acesso e o uso de dados e informações às pessoas devidamente
autorizadas.

Armazenamento
Essa etapa de armazenamento é necessária para assegurar a conservação
dos dados e informações, permitindo seu uso e reuso dentro da
organização. O momento em que a informação é armazenada, seja em
banco de dados compartilhado, em anotação de papel posteriormente
postada em um arquivo e guardada em qualquer mídia.
Descarte
O descarte é o momento no qual a informação é descartada, seja ao
depositar um material impresso na lixeira da empresa, ao excluir um
arquivo eletrônico de seu computador, ou ainda, ao descartar uma
mídia usada que apresentou erro na sua leitura. Quando uma
informação se torna obsoleta ou perde a utilidade para a organização,
ela deve ser objeto de processos de descarte que obedeçam a normas
legais, políticas operacionais e exigências internas.
RISCOS ENVOLVENDO INFORMAÇÕES

A constante avaliação de riscos de T.I. e de ativos críticos de informação

na organização irá permitir uma evolução constante e um aprimoramento
em termos de controles mais eficazes, inteligentes, com custos adequados e
alinhados ao apetite de riscos da empresa.

O círculo virtuoso é composto por uma avaliação de riscos, análise de

resultados da avaliação, reporte dos pontos levantados, aplicação de
melhorias e reinício do ciclo. A cada rodada da avaliação de riscos, mais o
processo vai sendo refinado e maior a confiabilidade nos controles e na sua
eficiência e adequação.
ETAPAS DA
GESTÃO DO
RISCO
DIREITO DE ACESSO
Uma política de controle de acesso a recursos deve considerar
algumas regras básicas, de modo que as decisões baseadas na
política de controle de acesso sejam coerentes e consistentes com
as diretrizes da política geral de segurança da empresa. Essas
regras de política devem incluir:
TÓPICO 2: SEGURANÇA LÓGICA, FÍSICA E
AMBIENTAL
SEGURANÇA FÍSICA
Qualquer acesso às dependências da organização, desde as áreas
de trabalho até aquelas consideradas severas (onde ocorre o
processamento das informações críticas e confidenciais) deve ser
controlado sempre fazendo necessária sua formalização. Os
sistemas de segurança devem ser implementados para garantir
que em todos os locais da organização o acesso seja realizado
apenas por profissionais autorizados.

Exemplos de barreiras que podem ajudar a formar um perímetro

de segurança incluem salas-cofre, roletas de controle de acesso
físico e uso de token ou dispositivo biométrico para autenticação
de pessoas antes da liberação da passagem, circuitos internos de
TV, alarmes e sirenes e detectores de incêndio.
SEGURANÇA AMBIENTAL
A área de Tecnologia de Informação mantém sob sua guarda um
considerável parque de equipamentos e sistemas. São equipamentos
de alto valor e sensíveis a maus tratos e alterações ambientais. A
fim de preservar o funcionamento desses equipamentos e a própria
operação da empresa, cabe projetar a instalação adequada para
suportar esse patrimônio.
• A rede elétrica deve ser sempre estabilizada e dimensionada por profissionais
especializados, sendo em seu planejamento, considerada a carga necessária.
• A manutenção deve ser tratada em procedimentos específicos, considerando a
segurança contra incêndios.
• A fiação para o CPD deve ser única e independente para evitar a penetração de
ruídos.
• Para cada ativo considerado crítico, principalmente os de processamento de
dados, deve haver fornecimento de energia de forma alternativa, independente
das concessionárias de energia.
• Para as situações de contingência deve-se fazer o uso de geradores de energia.
UNIDADE 2: PLANOS E POLÍTICA DA
INFORMAÇÃO

TÓPICO 1: PLANO DE CONTINUIDADE OPERACIONAL

TÓPICO 2: PLANO DE CONTINGÊNCIA

TÓPICO 3: POLÍTICA DE SEGURANÇA

PLANO DE CONTINUIDADE OPERACIONAL E PLANO DE CONTINGÊNCIA

O Plano de Continuidade de Negócios deve ser elaborado com o

claro objetivo de contingenciar situações e incidentes de
segurança que não puderem ser evitados. Deve ser eficaz como o
paraquedas reserva o é em momento de falha do principal,
garantindo, apesar do susto, a vida do paraquedista em queda.
POLÍTICA DE SEGURANÇA
A política de segurança da informação visa comunicar e estabelecer essa
responsabilidade de cada um para com a confidencialidade, integridade e
disponibilidade das informações. A política estabelece os objetivos e
expectativas com relação ao tratamento a serem dados por cada integrante
na organização às informações, seus controles e padrões e procedimentos
estabelecidos.

A política de segurança é a base para todas as questões relacionadas à

proteção da informação, desempenhando um papel importante em todas
as organizações. Seu desenvolvimento é o primeiro e principal passo da
estratégia de segurança das organizações.
UNIDADE 3: AUDITORIA DE SISTEMAS
É um exame sistemático das atividades desenvolvidas em uma
empresa ou em um setor específico e tem como objetivo
verificar, validar se essas atividades estão de acordo com as
disposições que foram previamente planejadas ou se foram
implementadas com eficácia e se estão adequadas. Resumindo,
consiste basicamente em se fazer um checklist em cima de um
padrão pré-estabelecido, esse checklist vai acompanhar o
andamento das atividades para verificar se o andamento está
seguindo as normas que foram definidas anteriormente.
 Tipo de auditoria
 Interna – composta pelos próprios funcionários da empresa
que são treinados conforme os objetivos de segurança da
empresa, a vantagem de se usar esse tipo de auditoria é que
ele já conhece a cultura organizacional, como a empresa
trabalha, como as equipes trabalham, conhece os sistemas,
então facilita um pouco o processo de auditoria, mas trás
como desvantagem a pessoa estar nesse ambiente e não ser
imparcial como deve ser.
 Externa – empresa externa contratada especificamente para
realizar a auditoria.