Gestao Da Seguranca Da Informacao - Final PDF

Gesto da Segurana da Informao
Braslia-DF.
Elaborao
Marne Duarte Boulitreau
Produo
Equipe Tcnica de Avaliao, Reviso Lingustica e Editorao

Sumrio
APRESENTAO.................................................................................................................................. 5
ORGANIZAO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 6
INTRODUO.................................................................................................................................... 8
UNIDADE I
CONHECENDO A SEGURANA DA INFORMAO................................................................................ 10
CAPTULO 1
INTRODUO E CONCEITOS GERAIS DA SEGURANA DA INFORMAO................................ 10
CAPTULO 2
CLASSIFICAO DA INFORMAO........................................................................................ 18
CAPTULO 3
ANLISE DE RISCOS; TIPOS DE INCIDENTE; ATAQUES SEGURANA DA INFORMAO............. 23
UNIDADE II
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO.......................................................... 29
CAPTULO 1
CRIPTOGRAFIA; SEGURANA FSICA E LGICA....................................................................... 29
CAPTULO 2
MECANISMOS LGICOS PARA GARANTIA DE IDENTIDADE........................................................ 35
CAPTULO 3
MECANISMOS DE PROTEO FIREWALS, IDS, IPS E VPN......................................................... 41
UNIDADE III
SEGURANA ORGANIZACIONAL.......................................................................................................... 50
CAPTULO 1
ESTRUTURANDO A POLTICA DE SEGURANA DA INFORMAO............................................... 50
CAPTULO 2
SISTEMA DE GESTO DE SEGURANA DA INFORMAO SGSI............................................... 63
UNIDADE IV
NORMAS E PADRES............................................................................................................................ 73
CAPTULO 1
ISO 27001 E 27002................................................................................................................ 73
CAPTULO 2
DEMAIS NORMAS E PADRES.................................................................................................. 79
CAPTULO 3
TICA NA COMPUTAO........................................................................................................ 85
REFERNCIAS................................................................................................................................... 90
Apresentao
Caro aluno
A proposta editorial deste Caderno de Estudos e Pesquisa rene elementos que se

entendem necessrios para o desenvolvimento do estudo com segurana e qualidade.
Caracteriza-se pela atualidade, dinmica e pertinncia de seu contedo, bem como pela
interatividade e modernidade de sua estrutura formal, adequadas metodologia da
Educao a Distncia EaD.
Pretende-se, com este material, lev-lo reflexo e compreenso da pluralidade

dos conhecimentos a serem oferecidos, possibilitando-lhe ampliar conceitos
especficos da rea e atuar de forma competente e conscienciosa, como convm
ao profissional que busca a formao continuada para vencer os desafios que a
evoluo cientfico-tecnolgica impe ao mundo contemporneo.
Elaborou-se a presente publicao com a inteno de torn-la subsdio valioso, de modo

a facilitar sua caminhada na trajetria a ser percorrida tanto na vida pessoal quanto na
profissional. Utilize-a como instrumento para seu sucesso na carreira.
Conselho Editorial
5
Organizao do Caderno
de Estudos e Pesquisa
Para facilitar seu estudo, os contedos so organizados em unidades, subdivididas em

captulos, de forma didtica, objetiva e coerente. Eles sero abordados por meio de textos
bsicos, com questes para reflexo, entre outros recursos editoriais que visam tornar
sua leitura mais agradvel. Ao final, sero indicadas, tambm, fontes de consulta para
aprofundar seus estudos com leituras e pesquisas complementares.
A seguir, apresentamos uma breve descrio dos cones utilizados na organizao dos
Cadernos de Estudos e Pesquisa.
Provocao
Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou aps algum trecho pertinente para o autor
conteudista.
Para refletir
Questes inseridas no decorrer do estudo a fim de que o aluno faa uma pausa e reflita
sobre o contedo estudado ou temas que o ajudem em seu raciocnio. importante
que ele verifique seus conhecimentos, suas experincias e seus sentimentos. As
reflexes so o ponto de partida para a construo de suas concluses.
Sugesto de estudo complementar
Sugestes de leituras adicionais, filmes e sites para aprofundamento do estudo,

discusses em fruns ou encontros presenciais quando for o caso.
Ateno
Chamadas para alertar detalhes/tpicos importantes que contribuam para a

sntese/concluso do assunto abordado.
6
Saiba mais
Informaes complementares para elucidar a construo das snteses/concluses

sobre o assunto abordado.
Sintetizando
Trecho que busca resumir informaes relevantes do contedo, facilitando o

entendimento pelo aluno sobre trechos mais complexos.
Para (no) finalizar
Texto integrador, ao final do mdulo, que motiva o aluno a continuar a aprendizagem

ou estimula ponderaes complementares sobre o mdulo estudado.
7
Introduo
O objetivo desta apostila introduzi-lo aos principais conceitos e boas prticas da
Gesto de Segurana da Informao atual. Aps a sua leitura, espero que voc consiga
aplic-los em seu ambiente de trabalho de maneira a tornar a sua empresa segura o
suficiente aos padres desejados.
Ela est dividida em quatro unidades:
Na Unidade I, Conhecendo Segurana da Informao, fao uma introduo aos

conceitos gerais da segurana de informao de forma que voc possa entender os
principais termos acadmicos e tcnicos utilizados neste tpico; demostro como pode
ser a classificao da informao, pois com ela podemos dar o devido tratamento que ela
necessita; por fim, demonstro o que uma anlise de riscos, quais os tipos de incidentes
e ilustro ataques segurana da informao.
Na Unidade II, Mecanismos de Garantia de Segurana da Informao, nesta unidade

classifico os principais componentes utilizados na segurana lgica como Firewalls, IDS
e IPS, bem como fao a distino entre segurana fsica e lgica. Distino importante
para identificar incidentes.
Na Unidade III, Segurana Organizacional, descrevo os principais mtodos e

documentos da segurana organizacional. Documentos que servem como elementos
norteadores para desenvolvimento e manuteno da segurana de qualquer empresa.
Por ltmo, na Unidade IV, Normas e Padres, ilustro e comento as principais normas
vigentes que devem ser seguidas por todos os profissionais que pretendem implementar
uma boa gesto de segurana de informao na empresa.
Objetivos
Conhecer os conceitos e as nomenclaturas principais usados na gesto de
segurana da informao.
Conhecer mecanismos utilizados para implementar a segurana fsica,

lgica e organizacional em uma empresa.
Conhecer mtodos e documentos, mnimos, necessrios a segurana

organizacional.
Conhecer as normas vigentes a serem seguidas como bom direcionamento

de uma gesto de segurana da informao.
8
9
CONHECENDO A
SEGURANA DA UNIDADE I
INFORMAO
CAPTULO 1
Introduo e conceitos gerais da
segurana da informao
Proteo da informao
O contexto atual de um grande crescimento na conectividade de empresas e pessoas
principalmente em relao grande rede mundial que a internet. Com este aumento,
as empresas cada vez mais se utilizam da tecnologia para expandir seus negcios, com
isto, podemos verificar uma grande dependncia da informao e novas oportunidades
de negcios e como o e-comerce, e-busnisses, e-sales entre outros.
Smola (2003, p. 2) afirma:
Seja para um supermercadista preocupado com a gesto de seu estoque,

seja para uma instituio bancria em busca da automao de suas
agncias bancrias todos decidem suas aes e seus planos com base
nas informaes.
Campos (2006, p. 4) afirma Entendemos que a informao um elemento essencial

para a gerao do conhecimento, para tomada de decises e representa efetivamente
valor para o negcio, dentro de cada um dos processos..
Este aumento de conectividade, da dependncia e da exposio gera uma necessidade

de se manter os servios ativos o mximo de tempo possvel e, para tanto, necessrio
segurana.
A segurana da informao a rea destinada a proteger a informao propriamente

dita e os ativos que a protegem de forma a manter a sua integridade, disponibilidade,
confidencialidade, legalidade e autenticidade.
10
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I
Conceitos relacionados a este tpico:
Manter a integridade de uma informao garantir que a informao

estar correta quando manipulada pelo usurio.
Manter a disponibilidade significa que, quando o usurio necessitar da

informao, ela estar disposio.
Manter a confidencialidade garantir que a informao que foi

armazenada s ser acessada por pessoas devidamente autorizadas.
Manter a legalidade significa que a informao armazenada est em

total conformidade com as legislaes vigentes, bem como com a
poltica de segurana da empresa.
Manter a autenticidade garantir que as pessoas e ativos envolvidos

com a informao sejam realmente quem indicam ser.
de muita importncia que todos os envolvidos com a segurana da informao da

empresa tenham total conhecimento destes conceitos, pois assim estariam procedendo
de acordo com os padres descritos na atualidade.
Contextualizando, os conceitos descritos temos:
Integridade: um arquivo armazenado em um servidor de arquivos deve

ter a garantia que no ser corrompido por um vrus enquanto estiver no
equipamento.
Disponibilidade: este arquivo descrito deve estar disponvel a qualquer

momento que o usurio ou ativo necessite, pois, caso contrrio, seria
como se ele no estivesse no servidor.
Confidencialidade: o mesmo arquivo s deve ser acessado ser acessado

apenas por quem tem este direito, bem como a tarefa executada por este
seja a que realmente possa efetuar.
Legislao: o arquivo em contexto deve conter informaes em

conformidade com a legislao vigente, ou seja, no poderia ser um
filme de pornografia infantil, por exemplo, bem como no deve conter
informaes que a empresa no autorize que seja armazenada, como os
dados pessoais de clientes ou de projetos confidenciais da empresa.
11
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO
Autenticidade: caso este arquivo seja enviado a um parceiro empresarial,

tem de existir a garantia de que tanto o arquivo chegou como tambm o
parceiro realmente quem se props a ser.
Garantindo que estes conceitos esto sendo aplicados por meio de medidas de segurana
aplicadas, um plano diretor desenvolvido sob medida da empresa e (ou) ativos especficos
traz uma segurana de acordo com os padres normatizados atualmente.
Para contextualizar o contedo, fao uma relao com o mundo real indicando se
o problema apresentado est relacionado com a confidencialidade, integridade ou
disponibilidade. Por exemplo:
1. Funcionrios conversando em voz alta no aeroporto sobre a

nova proposta de contrato: neste caso, os funcionrios esto errando
por no manter a confidencialidade da informao. Ao estarem falando em
voz alta, alguma pessoa desautorizada pode escutar e ter conhecimento de
informaes sigilosas que no poderia ter cincia. Quanto integridade e
a disponibilidade no vejo motivo para ter errado.
2. Fogo nas instalaes prediais: aos ter este incidente, pode acontecer
a perda dos trs princpios da segurana da informao. Principalmente
a integridade e a disponibilidade. A integridade claramente afetada,
pois, aps o incndio, a informao que estava armazenada no prdio no
estaria mais ntegra. Da mesma forma, tambm no estaria disponvel
para manuseio. Quanto confidencialidade, pode-se dizer que no,
necessariamente, foi perdida, mas uma parte importante da informao
pode no ter sido totalmente incinerado e consequentemente pessoas
no autorizadas podem ter cincia dela.
3. Arquivo corrompido no servidor: o arquivo, ao estar corrompido,

normalmente no pode se torna impossvel de ser acessado, alm de no
estar mais ntegro. Quanto confidencialidade, ela no afetada, pois
no apenas as pessoas devidamente autorizadas, mas tambm as no
autorizadas, no tero acesso informao.
4. Uso da Internet sem proteo: o uso da internet pela empresa

uma prtica importante para maioria das empresas atuais. Seja como
atividade fim do negcio, no caso de e-comerce, por exemplo, mas
tambm para apenas acesso de e-mail e informaes. Em ambos os
casos, ao se fazer acesso a internet, voc est abrindo uma porta para
o mundo. Por causa disto, importante ter uma proteo adequada a
12
seu negcio pois, por esta porta aberta um atacante pode se apoderar
de suas informaes (quebrando a confidencialidade), pode alter-las
(quebrando a integridade) e tambm pode remov-la do ligar (quebrando
a disponibilidade).
5. Engenharia Social funcionrio passando dados para

terceiros sem inteno disto: importante entender que a inteno
no influencia na anlise de quebra dos conceitos bsicos de segurana
da informao. Isto significa que, mesmo sem a inteno de quebrar a
confidencialidade, um funcionrio, por meio de um ataque de engenharia
social, estaria fazendo isto. No necessariamente este fato tornaria as
informaes indisponveis. Neste caso, a anlise feita apenas pelo fato
desta ao e no da consequncia dela, ou seja, por exemplo, se um terceiro
clonar um crach de um funcionrio, por esta ao ele poder no futuro
quebrar os trs conceitos, mas no momento apenas a confidencialidade
foi quebrada.
O que aconteceria se sua empresa fosse atingida por uma chuva torrencial e
todo um pavimento dela sofresse uma enchente? Faa uma reflexo de quais
conceitos de segurana da informao seriam quebrados.
Ciclo de vida da informao

Outra caracterstica importante que a informao esteja seguindo estes preceitos
em todas as fases de seu ciclo de vida que podemos descreve como: manuseio,
armazenamento, transporte e descarte. Conforme descrito na figura 1.
13
Figura 1.
Fonte: Smola (2003).
Estas fases do ciclo devem ser tratadas igualmente sem prioridades nem desdenho a
nenhuma delas, pois o nvel de segurana atingido ser sempre de acordo com o menor
conseguido em uma delas. como uma corrente que tem como medida de segurana a
do elo mais fraco.
Finalmente, seguindo estes conceitos descritos nas normas vigentes como a ISO 27002,
bem como citados por autores como Marcos Smola e Emlio Nakamura, a empresa
estaria no caminho certo para manter suas informaes em segurana.
importante perceber que, independente do core businesses da empresa, os conceitos

estabelecidos pelos autores dos textos e descritos nesta apostila devem ser observados
para atingir um bom nvel de segurana.
Segundo Marcos Smola (2009), temos as cinco regras, com as quais concordo:
Por fora do hbito, ainda deixo o que passei a considerar Regras de

Ouro:
1. risco faz parte da natureza, basta aprender a encar-lo conscientemente;
2. incidente certo e a diferena est na preparao para administr-lo;
3. tecnologia apenas o meio e no deve estar no foco dos negcios em
geral;
4. bons processos sobrevivem s variaes e valem o investimento, e
5. pessoas so ativos-chave e podem transformar qualquer organizao.
14
Estas regras nos ajudam a identificar problemas corriqueiros encontrados no mercado

na implementao da segurana da informao em uma empresa. Normalmente, existe
uma valorizao na tica tcnica desta relevando e deixando em segundo plano um elo
muito importante nela: a pessoa. muito importante frisar no existe a segurana da
informao em nvel aceitvel sem a participao de todos os colaboradores que fazem
a empresa.
Os sistemas de informao a cada dia aumentam seu espao nas organizaes brasileiras
e mundiais. Este fenmeno faz com que, cada vez mais, elas dependam da informao
e dos ativos que as gerencia para que o negcio continue com o bom rendimento e at
para que ele no sofra um prejuzo ou possa crescer.
Esta dependncia em crescimento uma preocupao para todos. Tanto para os donos
das empresas quanto para os profissionais da rea de tecnologia. Todos se fazem uma
pergunta: como fazer para manter minha informao segura?
Poltica de segurana
A melhor maneira para manter segura a informao, que to importante para
empresa, que exista um ajuste entre a proteo que ser dada a ela com a necessidade
de mostrar a usurios externos a mesma. Para tanto, importante o conhecimento dos
processos da empresa, dos ativos que os protegem e tambm das metodologias que
sero aplicadas para proteg-las. A proteo na medida certa conseguida por meio da
poltica de segurana que deve ser elaborada sob medida, levando em considerao
todas as peculiaridades da organizao. Mais adiante, nesta apostila, serei mais
especfico na descrio deste importante documento.
Manuteno da poltica de segurana

Para esse fim, pode-se utilizar uma ferramenta de melhoria contnua j consolidada no
mercado. Este ciclo o PDCA. Com ele a poltica de segurana seria sempre reavaliada
no contexto atual e estaria sempre atingindo os objetivos iniciais.
Esta ferramenta considerada uma das primeiras ferramentas da gesto de qualidade

e muito utilizada em diversas situaes. No nosso contexto, ela muito importante
para manter os objetivos da poltica de segurana sempre condizente as necessidades
atuais da empresa.
15
Outros conceitos importantes

Ativos: todo e qualquer dispositivo ou informao que tem um valor para
a instituio ou empresa.
Vulnerabilidade: uma falha de segurana que pode ser utilizada para

um ataque.
Ameaa: os ativos esto sujeitos a muitos tipos de ameaas que exploram

suas vulnerabilidades. As ameaas, segundo a ISO 27001, podem
ser divididas em humanas e no humanas. As humanas se dividem
intencionais, quando a pessoa executa o ataque sabendo e querendo
faz-lo, e no intencional, quando no existe expressamente a vontade
de execut-lo.
Risco: a probabilidade de uma ameaa conseguir se aproveitar de uma

vulnerabilidade e, com isso, ser bem-sucedida.
Incidente: quando de fato o ataque obteve xito e assim a ameaa

conseguiu se utilizar da vulnerabilidade e o executou.
Para contextualizar o assunto, vou classificar, a partir de uma descrio, se ela uma
ameaa, vulnerabilidade e/ou risco. Na realidade, determinadas aes podem ser
isoladamente um dos conceitos ou os trs ao mesmo tempo. Vamos ento analisa-las:
1. Refrigerao insuficiente na sala de servidores: em primeira tica, este

item seria uma vulnerabilidade, pois o fato de a sala servidores no estar
refrigerada adequadamente no necessariamente gerar algum problema
de segurana. Logo, no um incidente, bem como este fato isolado
no se beneficiar de algo para causar um incidente. Porm caso na
documentao de segurana seja descrito que a sala de servidores tem de
ser climatizada e, inclusive, indicando temperatura ideal para ela, o fato
dela no estar seguindo o que est previsto resultaria em um incidente
de segurana pois este problema acrescentou uma vulnerabilidade ao
negcio.
2. Mdias em local inadequado: o armazenamento de mdias em locais

indesejados, ou at exposio delas, uma vulnerabilidade pois estando
em locai inapropriados podem ser pegas por pessoas desautorizadas,
quebrando o conceito de confidencialidade e, inclusive, podendo ser
alteradas e incorrendo tambm na integridade.
16
3. Visitante mal-intencionado: um visitante mal-intencionado claramente

uma ameaa. A partir do momento que a segurana fsica foi quebrada,
seja por uma pessoa autorizada ou no, ela, provavelmente, ter a
oportunidade de causar um incidente.
4. Software malicioso: um software malicioso instalado em uma mquina,

ou at disseminado na rede interna, uma grande ameaa que pode
ocorrer. Este software, ao est localizado internamente, j passou por
barreiras de delimitao de permetro com firewall e ips/ids e assim
mais facilmente podero explorar as vulnerabilidades tcnicas existentes
podendo quebrar todos os conceitos de segurana da informao.
Um usurio que utiliza uma senha fraca como 123456 ou qweasd em

um computador pode ser considerado uma ameaa? E a inexistncia de
documentao de procedimento para entrada de visitantes seria um incidente?
Raciocine e se questione. importante para entender os conceitos de ameaa,
incidente e vulnerabilidade.
Estas anlises feitas no so verdade absoluta. Acredito que se percebe que dependendo
do contexto ou tica que se analisa uma determinada ao ou item pode-se ter um
resultado diferente. Logo, o importante para o aluno se familiarizar com os conceitos de
vulnerabilidade, ameaa e incidente e trabalhar de maneira a reduzir as vulnerabilidades
existentes, para reduzir a possibilidade das ameaas conseguirem causar um incidente
ao negcio.
A partir do momento que se tem a lista de ativos importantes para a empresa, deve-se
relacionar as vulnerabilidades existentes e assim fazer a anlise de riscos.
Anlise de risco a avaliao de que incidente realmente acontea. Esta avaliao pode
ser qualitativa, quando se mensura um conceito ou valor estimado para que o incidente
ocorra (anlise mais usual de ser feita), ou quantitativa, quando calculado exatamente
o valor que seria perdido se ocorresse o incidente (esta anlise muito difcil que seja
possvel de ser feita).
17
CAPTULO 2
Classificao da informao
Conceitos da classificao da informao

A classificao da informao comeou a ser utilizada antes mesmo da informatizao
das instituies. Ela muito importante para avaliao de como manter a informao
segura de acordo com o que ela representa para empresa ou instituio.
Existem vrias formas de classifica-la. A ISO 27002:2005 recomenda que ela seja
classificada, porm no estabelece como isto deve ser feito. Dentre os critrios existentes
posso citar: de acordo com o seu valor para a instituio, requisitos legais a serem
atingidos, sensibilidade aos objetivos, bem como requisitos da instituio e criticidade
da informao para a organizao.
Neste captulo, descrevo estes critrios conceituando-os e, tambm, exemplificando de

acordo com as classificaes j utilizadas por instituies e empresas no mercado.
Figura 2.
Fonte: Prprio autor.
Etapas para gerenciar a classificao da

informao.
Segundo Kosutic, a boa prtica da classificao da informao dividida em 4 (quatro)
etapas:
18
Figura 3.
Fonte: Kosutic (2014).
Inserir a informao no inventrio: em que a informao deve ser inserida

em um inventrio de ativos.
Classificao propriamente dita: na qual deve ser classificada de acordo

com o critrio adotado pela instituio.
Rotulagem da informao: que o ato de marca-la ou etiqueta-la de

maneira que todos ao manuse-la tenham conhecimento do seu tipo.
Manuseio da informao: etapa em que ela pode ser utilizada por pessoas
autorizadas.
importante entender que estas etapas, apesar de no serem mandatrias, no podem

ser desprezadas no processo de classificao da informao.
Inventrio de ativos
Este processo serve para identificar as informaes e o devido responsvel, ou dono,
dela. Tambm neste processo identificado o formato e tipos de mdia dela. Kosutic
(2014) exemplifica assim os formatos possveis:
Documentos eletrnicos.
Sistemas de informao/bases de dados.
19
Documentos em papel.
Mdias de armazenamento (ex.: discos, cartes de memria etc.).
Informao transmitida verbalmente.
E-mail.
Critrios para a classificao da informao
Um dos critrios mais utilizados para a classificao o do grau do sigilo. Segundo

Dantas, o artigo 5o do Decreto Federal no 4.533/2002 classifica a informao conforme
o grau de sigilo para as instituies. Desta forma, ele as classifica em:
Ultrassecretos: aqueles cujo conhecimento no autorizado possa acarretar

dano excepcionalmente grave segurana da sociedade e do Estado.
Secretos: aqueles cujo conhecimento no autorizado possa causar dano

grave segurana da sociedade e do Estado.
Confidenciais: aqueles que, no interesse do poder executivo e das partes,

devam ser de conhecimento restrito e cuja revelao no autorizada possa
frustrar seus objetivos ou acarretar dano segurana da sociedade e do
Estado.
Reservados: aqueles cuja revelao no autorizada possa comprometer

planos, operaes ou objetivos neles previstos ou referidos. Este tipo de
classificao bem utilizado por instituies pblicas por todo o mundo.
Outro critrio utilizado de acordo com a confidencialidade. Neste a informao

dividida em:
Confidencial: cujo vazamento pode causar danos graves a instituio ou

empresa.
Restrita: cujo vazamento pode causar prejuzos s metas a serem atingidas

pela instituio.
Uso interno: apenas colaboradores podem ter acesso.
Pblica: que todos inclusive no colabores podem ter acesso.
20
Por fim, para exemplificar outra tambm utilizada podemos classifica-las de acordo
com o grau de importncia para empresa, caso exista algum problema de integridade
com ela. Neste caso, podem ser divididas em:
Crtica: devem ser mantidas devido a alguma exigncia legal ou a

funcionalidade do negcio, ou seja, caso seja perdida tornaria o negcio
ilegal ou invivel.
Vital: caso ocorra algum incidente, poderia causar grandes prejuzos a

empresa e podem dificultar a continuidade do negcio.
Sensvel: caso seja perdida, ir gerar um retrabalho, porm, nada de

relevante s atividades da empresa ou instituio.
No sensvel: Informao que empresa detm, porm em ocorrncia de

um incidente no geraria maiores transtornos a organizao.
Independente do critrio utilizado para classificao, normalmente quem a faz o dono

dela, pois ele quem tem maior capacidade de mensurar a que tipo ela faz parte.
muito importante frisar que essas formas de classificao nos d uma ideia de como
podemos separar a informao por grupos. Ela pode ser executada de vrias maneiras
e mtodos levando em considerao vrios critrios. No existe uma forma correta de
se fazer. importante que se classifique a informao de acordo com a peculiaridade da
atividade, ou at, do ramo de atuao da sua instituio ou empresa.
Rotulagem da informao
Figura 4.
Fonte: Reis (2016).
21
A rotulagem da informao o terceiro processo vinculado sua classificao. Este

item muito importante para a identificao do grupo que a respectiva informao
faz parte. Desta maneira, o colaborador tem a cincia de que tipo de informao est
manipulando, ou at mesmo se est autorizado, ou no, manipula-la. Este processo
tambm, normalmente, de responsabilidade do dono da informao.
Manuseio de ativos
O manuseio de ativos segundo Kosutic (2014) :
usualmente a parte mais complexa do processo de classificao voc

deveria desenvolver regras sobre como proteger cada tipo de ativo
dependendo do nvel de confidencialidade. Por exemplo, voc poderia
usar uma tabela na qual voc deve definir as regras para cada nvel de
confidencialidade para cada tipo de mdia.
Realmente, devido a variedade de formatos em que a informao pode estar representada,

bem como os tipos em que ela se enquadra, torna este processo o mais complexo dos
quatro. Mas extremamente importante que se tenha o devido cuidado com esta etapa.
22
CAPTULO 3
Anlise de riscos; tipos de incidente;
ataques segurana da informao
Anlise de riscos
A definio de anlise de riscos, segundo a norma ISO 27001, uso sistemtico de
informaes para identificar fontes e estimar o risco.
Esta atividade muito importe como ponto de partida para criao de um Sistema de
Segurana da Informao. Ela executada, conforme a definio, para identificar locais
onde seria necessria a atuao para minimizar, reduzir, transferir ou mitigar os riscos
por meio das medidas de segurana. Ela disposta em 4 (quatro) etapas, segundo a
mesma norma:
1. Avaliar o que aconteceria caso alguma caracterstica da informao

(integridade, disponibilidade, confidencialidade) fosse quebrada.
2. Avaliar a probabilidade disto acontecer.
3. Estimar os nveis de riscos, classificando-os.
4. Determinar se ir aceitar o risco ou se ir atuar para minimiz-lo a um

nvel aceitvel pela organizao.
Quando esta atividade deve ser executada? Quais os erros comuns cometidos?
Esta atividade deve ser executada sempre que houver a necessidade de implantar ou
reciclar um procedimento ou documento de segurana. Exemplos: desenvolvimento de
um novo sistema, Gesto de continuidade de um processo, Reviso de uma atividade ou
aps um incidente de segurana.
Normalmente, ao se elaborar uma anlise de riscos, incorre-se em erros. So eles:
Escopos infinitos: importante se definir qual o real objetivo desta

anlise, bem como em quais processos ou ativos se deseja aplica-la.
23
Foco excessivo em tecnologia: muito comum que o tcnico em TI

abranja apenas processos tecnolgicos em detrimento a segurana fsica
e documental.
Falta de comprometimento da direo: a direo da empresa tem de estar

ciente do processo e tambm fazer parte dele, o apoiando.
Recursos econmicos escassos: algumas anlises requerem auditorias

externas ou ferramentas de alto custo que a empresa no tem recursos
para adquirir ou alugar.
Pouca periodicidade: esta atividade deve ser executada sempre que haja
com mudanas de tecnologia ou de procedimentos executados para
empresa, bem como por um perodo compatvel com o processo.
A anlise de risco pode ser feita de forma qualitativa ou quantitativa conforme descrito
anteriormente. A anlise quantitativa, apesar de ser mais precisa, muitas vezes,
impossvel de ser executada.
Qual seria o valor perdido por uma grande empresa e-comerce (venda pela
internet) se um hacker invadisse seu banco de dados de clientes e o divulgasse?
Imagine seus dados pessoais divulgados na rede por causa disto? Voc compraria
novamente nesta empresa?
Desta forma, comum que seja executada uma anlise qualitativa indicando
conceitualmente o risco. Estimando valores, notas ou at cores a cada provvel
incidente. Por exemplo:
Vermelho (risco alto); amarelo (risco mdio) e verde (risco baixo).
24
Quadro 1.
CONFIDENCIALIDADE
DISPONIBILIDADE
INTERGRIDADE
VULNERABILIDADE
Acesso interno por colaboradores no autorizado.

Cadastro de clientes Erro de digitao.
Perda por crash no servidor.
Doena de famlia.
Consultores Licena mdica.
Pedir demisso.
Crash no servidor.
Relatrio padro Usurio apagar por engano.
O arquivo corromper.
Fonte: Prprio autor.
Incidentes
A norma ISO 27001 descreve incidente como: um simples ou uma srie de eventos
de segurana da informao indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e ameaar a segurana da
informao.
Estes incidentes tm de ser analisados de acordo com a probabilidade de ocorrncia

verificando quais as vulnerabilidades que podem ser utilizadas pelas ameaas para
caus-lo.
Tambm importante que exista um processo especfico que o gerencie. Isto significa
que estes devem ser relacionados cronologicamente identificando causas e efeitos, bem
como os responsveis por solucion-los e que atividades foram utilizadas para tal.
Desta forma, por meio do histrico, possvel que sejam prevenidos e tambm
solucionados de forma mais rpida caso ocorram.
A norma ISO 27001 descreve no item h do tpico 4.2.2 isto: Implementar procedimentos
e outros controles capazes de permitir a pronta deteco de eventos de segurana da
informao e resposta a incidentes de segurana da informao.
25
Como a sua empresa faz a gesto de um incidente de segurana da informao?

Quem informado quando h um incidente? Ele documentado para auxiliar
em futuras medidas corretivas e preventivas?
Ataques segurana da informao

O ataque pode ser executado de vrias maneiras e formas. Eles podem se aproveitar de
vulnerabilidades tcnicas, quando se existe uma falhada de segurana em uma aplicao,
por exemplo, vulnerabilidades fsicas, quando no existe uma forma de controle de
acesso a reas fsicas importantes da empresa, ou at vulnerabilidades das pessoas,
quando um colaborador no foi capacitado corretamente para lidar com situaes de
risco.
Existem vrios tipos de ameaas que podem se utilizar de vulnerabilidades existentes

e assim ter sucesso e causar um incidente de segurana. Dentre eles temos podemos
citar:
Engenharia social: termo utilizado para descrever a atividade que, a

partir de usurios e colaboradores da empresa, o atacante obtm dados
importantes. Nestes casos, inclusive, normal que sejam passados dados
sem que haja a inteno por parte do funcionrio.
Ataque de fora bruta: neste tipo de ataque, o hacker se utiliza de um

software para testar sistematicamente logins e senhas at obter acesso ao
sistema.
Figura 5.
Fonte: <https://3pmjw2b9xdm3frnub1v9dnl13zr-wpengine.netdna-ssl.com/files/2014/10/1.png>. Acesso em: 1/9/2016.
26
Ip spoofing: neste tipo de ataque, o hacker se utiliza de uma conexo j

estabelecida com o alvo para sequestra-la e assim obter acesso a ele.
DOS: neste tipo de ataque, o hacker simplesmente para o servio que est
rodando no alvo e assim impossibilita usurios interessados de utiliz-lo.
O DDOS uma verso mais sofisticada que utiliza o mesmo princpio,
porm para atingir o objetivo usa vrias mquinas ao mesmo tempo
espalhadas pela rede.
Phishing: tcnica em que o atacante se utiliza de uma isca para obter

dados pessoais de diversos tipos como senhas e informaes financeiras.
Figura 6.
Fonte: <http://www.blogwebdesignmicrocamp.com.br/mercado-de-trabalho/phishing-tome-cuidado/>. Acesso em: 1/9/2016.
Malware: termo utilizado para descrever um software malicioso usado

por pessoas mal-intencionadas que desejam obter informaes, causar
danos ou alteraes.
Vrus: software que se instala e dissemina entre os arquivos do sistema.
Spywares: programa desenvolvido para capturar dados pessoais

dos usurios e envi-los a um terceiro sem que o proprietrio tenha
conhecimento ou autorize esta ao.
Keylogger: este tipo de software captura tudo que o usurio est

digitando, como senhas, dados pessoais e envia a um terceiro sem a
devida autorizao.
27
Figura 7.
Fonte: <https://sim-redes.wikispaces.com/Keylogger>. Acesso em: 1/9/2016.
Rootkits: um cdigo malicioso utilizado para permitir que um terceiro

tenha permisso de utilizar o equipamento como se fosse administrador
dele. Independe do tipo de equipamento ou sistema operacional.
Cavalo de Tria: um tipo de malware que abre portas de acesso no sistema

de maneira que o atacante possa utiliza-la para obter acesso a ele.
Worm: software que se dissemina atravs da rede para outros

computadores com finalidades especficas.
Ransomware: software malicioso utilizado para criptografar informaes

do computador de maneira a inviabilizar o uso. Desta maneira, o
sequestrador pede um resgate para decript-las.
Este ltimo tipo de software, por exemplo, uma ferramenta que est sendo utilizada
para ataque de todos os tipos de organizaes, seja ela particular ou privada. Houve at
uma reportagem em programa de televiso de uma emissora bem conceituada alertando
empresas e instituies pblicas a tomarem cuidado com este tipo de software. Em um
caso relatado, uma prefeitura teve todos os dados, em nvel de documentao e banco
de dados, criptografados e assim ficou impossibilitada de exercer suas funes. Pois
sem a senha para decriptar as informaes no poderiam ser manipuladas. Com isso
tiveram que pagar a quantia solicitada pelos sequestradores para poder utiliza-los.
28
MECANISMOS
DE GARANTIA DE UNIDADE II
SEGURANA DA
INFORMAO
CAPTULO 1
Criptografia; segurana fsica e lgica
Criptografia
A palavra criptografia tem como origem morfolgica as palavras krypts, que significa
escondido, e grphein, que em portugus escrita. uma tcnica que foi utilizada
inicialmente por comandantes de maneira que as informaes da guerra pudessem ser
enviadas por mensageiros sem que houvesse perigo de, caso fossem interceptadas,
serem lidas e interpretadas.
A chave de Csar N um exemplo deste incio. Ela consistia em trocar as letras das
palavras pela N vezes da frente seguindo a ordem do alfabeto. Assim, para N=3 teramos
a=d. Com este algoritmo se no texto claro estivesse escrito BOLA o criptografado teria
EROD. Desta maneira o texto perde totalmente o significado inicial.
A criptografia essencial no mundo atual, pois garante a integridade e o sigilo das

informaes que trafegam na rede. Estas informaes podem ser as chaves envolvidas
na autenticao do usurio ou at os prprios dados que esto sendo transportados.
Segundo Nakamura (2007, p. 301), a cincia que tem importncia fundamental para
a segurana da informao, ao servir como base para diversas tecnologias e protocolos.
A criptografia baseada em algoritmos conforme demostrado na figura 8.
29
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO
Figura 8.
Fonte: Castell
Algoritmo de criptografia uma funo matemtica utilizada para cifrar e decifrar um

determinado dado.
Temos que a criptografia esconde um texto legvel (claro) ou informao reconhecvel

em um texto ilegvel ou numa informao que no possa ser reconhecida.
Segundo Alecrim:
Trata-se de um conjunto de bits baseado em um determinado algoritmo

capaz de codificar e de decodificar informaes. Se o receptor da
mensagem usar uma chave incompatvel com a chave do emissor,
no conseguir extrair a informao. E podem ser dividas em chaves
simtricas e assimtricas.
A chave simtrica um tipo de chave mais simples, em que o emissor e o receptor fazem
uso da mesma chave, isto , uma nica chave usada na codificao e na decodificao
da informao.
Do centro de segurana da Microsoft do Brasil temos: A criptografia assimtrica usa

um par de chaves pblica/privada. Os dados criptografados com a chave privada podem
ser decriptografados apenas com a chave pblica correspondente e vice-versa.
Quando a chave conhecida pelo emissor e pelo receptor a mesma, chamada simtrica
e o algoritmo que trabalha desta maneira chamado de simtrico. Quando a chave
diferente nas extremidades, chamada de assimtrica e o algoritmo descrito da
mesma forma.
A encriptao acontece quando o emissor transforma o texto claro em texto criptografado.

Para Nakamura (2007), cifragem o processo de disfarar a mensagem original, em
texto claro, em um texto cifrado. No site Kioskea, o fato de codificar uma mensagem de
maneira a torn-la secreta chama-se codificao. Logo, podemos dizer que o ato de
30
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II
esconder a informao para que pessoas indesejadas no tenham acesso. Apenas quem
tem a chave correta poder entender a informao.
Decriptar o ato de encontrar o texto claro que est escondido em um criptografado.

Para Nakamura (2007), cecifragem faz o inverso da cifragem revelando o texto claro
que est criptografado. No site Kioskea, o mtodo oposto, consistindo em encontrar
a mensagem original, designa-se por descodificao. a ao de tornar pblica a
mensagem, ou seja, torn-la inteligvel.
Como exemplo, destaca-se a forma de criptografia utilizada no meio sem fio que
escolhida no ato em que se seleciona o protocolo de criptografia. O WEP utiliza a
criptografia simtrica e por este motivo mais fcil de ser quebrado. O WPA e o WPA2
utiliza a criptografia assimtrica, dificultando assim, a sua quebra.
Outro exemplo o protocolo SSL muito utilizado em transaes eletrnicas bancrias

atuais. Nele, utilizado o algoritmo RSA como forma de canal seguro e o RC4 para
garantir o sigilo das informaes.
Segurana fsica
A segurana fsica a tcnica ou o processo de restringir o acesso ao ambiente apenas
a pessoas devidamente autorizadas. Desta forma, importante segmentar a rea em
permetros designando qual o pessoal autorizado a cada um deles. Podemos listar
alguns controles utilizados:
Controles de acesso.
Controles de intruso.
CFTV.
Alarmes (incndio, invaso do prdio, entre outros).
Segundo Gil, A segurana fsica refere-se manuteno das condies operacionais e

de integridade dos recursos materiais usados no ambiente de informtica.
Estes recursos incluem: hardware (terminais, impressoras etc.), insumos (disquetes,

fita de impressora etc.) e componentes (cabos de conexo, estabilizadores etc.). As
principais situaes de insegurana fsica em informtica so:
roubo, perda ou extravio de planilhas, formulrios, relatrios e

documentos usados ou gerados no ambiente de informtica.
31
roubo, perda ou danos a disquetes e outros meios de gravao;
agresses fsicas propositais ou acidentais configurao do computado.
Um exemplo a tcnica militar de defesa que ilustrada pela figura 9.
Figura 9.
Fonte: Smola
Nesta figura podemos descrever cada fase:
Desencorajar: avisos de no entrada, cmeras falsas de segurana,

informar prticas de auditoria e treinamentos.
Dificultar: cartes magnticos de entrada, senhas, criptografia.
Discriminar: definir perfis, grupos de acesso.
Detectar: possvel acesso desautorizado, monitoramento e auditar.
Deter: acionamento de barreiras corretivas, mandar um segurana para

barrar usurio no autorizado, punies.
Diagnosticar: no uma barreira propriamente dita e sim uma forma de

demostrar o incio de um novo ciclo.
Apesar de sua clara importncia, muitas vezes a segurana fsica negligenciada,

principalmente, pelos tcnicos de TI. Costumasse lembrar-se da aquisio de firewall,
IPS/IDS, porm esquecem que o ambiente onde os equipamentos esto instalados deve
ter acesso restrito.
32
Qual a melhor maneira de fazer o controle de acesso fsico a empresa? Da forma

tradicional por meio de chaves? Utilizando algo que o colaborador conhece, ou
seja, uma senha previamente cadastrada? Baseado em o que o colaborador tem,
como crachs? Ou baseado em caractersticas fsicas do usurio (biometria),
como a digital, por exemplo?
A forma como o controle de acesso implementado depende muito do nvel de segurana

que voc deseja e tambm do fluxo de pessoas no ponto de acesso principalmente em
horrio de pico. No adianta, por exemplo, por um acesso a biometria em um local com
poucas catracas e um grande fluxo de pessoas, pois isso ir gerar um transtorno muito
grande aos colaboradores. Tambm importante lembrar que portas de acesso no
so formas muito seguras de ser fazer, pois a segurana falharia caso um o usurio se
autenticasse e deixasse outras pessoas passarem. Caso voc opte por esta alternativa,
importante que haja o monitoramento em tempo real para inibir esta prtica.
Segurana lgica
A segurana lgica consiste em garantir proteo a sistema, software, dados, ou seja,
ativos e informaes de maneira que no sejam acessados de forma lgica ou remota.
Neste tipo de segurana, podem ser utilizados muitas tcnicas e dispositivos. Dentre
eles podemos destacar:
Criptografia.
Firewalls.
Sistemas de deteco ou preveno de intruso (IPS/IDS).
Redes privadas virtuais (VPNs).
Listas de controle de acesso.
Arquivos de senhas e de logs.
Esse controle pode ser baseado de dois modos:
1. A partir de recurso computacional: quando se restringe o acesso a um

determinado equipamento a um protocolo ou servio especfico atravs
de um firewall.
33
2. A partir do usurio: quando atravs de login e senha, por exemplo, se

identifica o usurio e restringe o acesso ao que devidamente autorizado
a ele.
Segundo Pinheiro, so elementos bsicos de controle de acesso lgico:
Apenas usurios autorizados devem ter acesso aos recursos

computacionais.
Os usurios devem ter acesso apenas aos recursos realmente necessrios

para a execuo de suas tarefas.
O acesso aos recursos crticos do sistema deve ser monitorado e restrito.
Os usurios no podem executar transaes incompatveis com sua

funo.
34
CAPTULO 2
Mecanismos lgicos para garantia de
identidade
Assinatura digital
Como o prprio nome descreve, este tipo de tcnica serve para garantir a identidade
de uma determinada pessoa e assim que a confidencialidade no foi violada. Ela pode
ser utilizada tanto para garantir a identidade do emissor como tambm do receptor.
Podemos dividir as chaves utilizadas para esta garantia em dois grandes tipos: chave
nica e chave dupla.
Chave nica
A mesma chave utilizada para encriptar e decriptar a mensagem. Tem como

caractersticas:
rpido na execuo;
necessrio distribuio da senha ou a senha compartilhada por

emissor e receptor;
necessidade de enviar a chave para o receptor;
chaves secretas podem ser diferentes para cada usurio;
no permite a assinatura digital.
35
Figura 10.
Fonte: Nakamura (2007).
Chave dupla
Chaves diferentes utilizadas para encriptar ou decriptar a mensagem. Normalmente

divida em chaves pblicas e privadas. Nas chaves pblicas, o usurio a gera e envia a
que interessar, ou seja, uma chave nica que vrias pessoas podem ter para identificar
um usurio. J a chave privada apenas o dono a tem de maneira a garantir a identidade
dele. Tem como caractersticas:
possvel utilizar assinatura e certificao digital;
comunicao feita por meio de 2 pares de chaves diferentes (privada e

pblica);
necessita de maior capacidade de processamento (60 a 70 vezes mais

lento).
Forma de garantir quem foi o autor da mensagem:
emissor codifica mensagem com sua chave privada;
receptor decodifica a mensagem a chave pblica do emissor.
36
Figura 11.
Este processo no garante o sigilo da mensagem.
Uma aplicao comum utilizar as duas tcnicas ao mesmo tempo. Utilizando

algoritmos de chave pblica e privada para autenticao dos usurios e de chave nica
para encriptao e sigilo das mensagens. Desta forma, uma maneira de garantir a
identidade tanto do emissor, como tambm do receptor :
Emissor:
codifica mensagem com sua chave privada;
codifica a mensagem cifrada com a chave pblica do emissor.
Receptor:
decodifica a mensagem com sua chave privada;
decodifica a mensagem a chave pblica do emissor.
Certificado digital
um arquivo ou informao que contm dados de uma pessoa ou instituio. Ele pode
ser armazenado de forma digital por meio de dispositivos como pen drives ou tokens
geradores de cdigos ou at com cartes com lista de senhas. Na prtica, so utilizados
para comprovar sua identidade.
37
Consiste ento em chaves pblicas assinadas digitalmente por uma autoridade

certificadora.
Figura 12.
Fonte: <http://www.viacert.com.br/arquivos/galeria_fotos/g-lg-designer-agencia-digital18-09-2014c900cfA.jpg>. Acesso em:

1/9/2016.
Podemos citar algumas informaes encontradas em um certificado digital:
Dados que identificam o dono (nome, nmero de identificao, estado

etc.).
Nome e endereo da Autoridade Certificadora (AC) que emitiu o

certificado.
O nmero de srie e o perodo de validade do certificado.
Poltica de utilizao.
Este certificado gerado por uma Autoridade Certificadora que a responsvel por
emiti-los e, tambm, autentica-los. Exemplos destas autoridades so: VeriSign, Equifax,
Saphety e a Multicert.
Voc j precisou utilizar o certificado digital? Como foi a experincia? Lembra-se

de qual foi a Autoridade Certificadora? Como sugesto a partir de hoje preste
ateno nestas informaes.
38
Infraestrutura de chave pblica (PKI)

Infraestrutura de segurana na qual os servios so implementados e utilizados, por
meio de conceitos e tcnicas de chaves pblicas, que podem criar, gerenciar, armazenar,
distribuir e revogar certificados digitais, com base na criptografia de chave pblica.
Alm da Autoridade Certificadora, que pode ser interna ou terceirizada, temos a RA,
autoridade dedicada a realizar o registro dos usurios e o Servio de diretrio, que
funciona como repositrio de chaves, certificados etc.
So funes do PKI:
Registro:
processo no qual a entidade se registra em uma autoridade certificadora;
pode ser realizada por meio de um RA.
Inicializao:
processo no qual a entidade obtm os valores necessrios para o incio

das comunicaes com o PKI.
Certificao:
processo pelo qual a CA envia o certificado digital para a entidade que

o solicitou.
Recuperao, gerao e atualizao de chaves:
chaves podem ser geradas pelo usurio ou pelo prprio CA. Atualizaes
devem ser de acordo com a poltica e segurana e quando da ausncia
do usurio na empresa.
Certificao cruzada:
quando 2 CA se autenticam.
Revogao:
Quando o CA revoga por expirao ou mudana.
Distribuio e publicao:
transmisso ao proprietrio e publicao em repositrio.
39
O Processo a seguir descreve a solicitao de certificado:
1. Usurio solicita o certificado digital ao RA.
2. O RA Verifica a identidade do usurio.
3. Caso vlida, solicita o certificado ao CA.
4. Caso invlida, recusa a solicitao do usurio.
5. O CA publica o Certificado no repositrio e o envia ao usurio.
Figura 13.
40
CAPTULO 3
Mecanismos de proteo Firewals,
IDS, IPS e VPN
Firewall
um componente ou um conjunto de componentes que restringem o acesso entre uma
rede protegida e a internet, ou entre redes protegidas e a Internet como um todo, ou at
um termo ingls que em portugus significa literalmente parede de fogo e designa uma
medida de segurana implementada com o objetivo de limitar ou impedir o acesso de
terceiros a uma determinada rede ligada internet.
Para sua aquisio, ou escolha, existem vrios itens a serem levados em considerao.
Fabricante/fornecedor: importante ter referncias de uso destes

equipamentos j que exercem uma funo muito importante na segurana
da organizao.
Suporte tcnico: muitas vezes, esta a caracterstica que deve ser mais
criteriosa. O suporte tcnico pode dar dicas de configurao, soluo de
problemas ou at de recuperao do equipamento.
Tempo para implantao: o tempo que ser necessrio para coloca-lo em

produo indicar como voc poder se capacitar para utiliz-lo.
Anlise de logs: os logs so ferramentas importantssimas para resoluo

de problemas e auditorias internas.
Desempenho: um firewall pode ser interessante para determinada

empresa e no suportar as necessidades de outra. Ento importante ter
cincia da capacidade do firewall a ser adquirido.
Gerenciamento: a forma que se gerencia um firewall importante

principalmente para quem vai configur-lo emant-lo.
Capacitao pessoal: pesquisar se existem cursos e formas de capacitar

o pessoal tcnico tambm uma boa prtica quando se vai adquirir esta
ferramenta.
41
As funcionalidades que podemos encontrar em firewalls do mercado so: filtros de

conexes; filtros de contedos ou proxies; zona desmilitarizada (local onde esto
localizados equipamentos que sero acessados externamente); traduo de ips e
portas (Network address Translation NAT); criao de Rede Privada Virtual (VPN);
autenticao de usurios; e balanceamento de cargas. A figura 14 ilustra uma forma
muito utilizada de localizao de um firewall em uma rede com uma zona desmilitarizada
configurada.
Figura 14.
Fonte: <http://i.stack.imgur.com/aFNLH.jpg>. Acesso em: 1/9/2016.
Um firewall consiste em regras que so adicionadas em formas de lista. Podemos citar

dois grandes tipos:
Bloqueia todo trfego excetuando alguns especficos (mais seguro) que

a forma mais segura de implementao, mas que d mais trabalho ao
administrador.
Libera todo trfego excetuando alguns especficos. Desta maneira, para

ser implementada de forma segura, o administrador deve monitorar
periodicamente o trfego de maneira a bloquear os trfegos indesejados.
IDS/IPS
Tem como objetivo detectar atividades suspeitas, imprprias, incorretas ou anmalas
em uma rede. Ele um elemento importante dentro do arsenal de defesa de uma
organizao. Ao encontrar um destes tipos de atividades, ele pode simplesmente indicar
a ocorrncia (IDS) ou tomar uma ao, como por exemplo, interrompe-la (IPS).
42
So caractersticas importantes destes dispositivos: monitoramento e anlise das

atividades dos usurios e sistemas; avaliao de integridade de arquivos importantes
dos sistemas e arquivos de dados; anlise estatstica do padro de atividade; anlise
baseada em assinaturas de ataques conhecidas; anlise de atividades anormais; anlise
de protocolos; deteco de erros de configurao no sistema; deteco em tempo real;
identificao de destino de ataque; transparncia para no ser detectado; capacidade de
prevenir ataques atuando no kernel do sistema.
A adio destes tipos de equipamentos geram, basicamente, 4 (quatro) tipos de

resultados:
Trfego suspeito detectado: quando realmente ele encontra um trfego

indesejado.
Trafego suspeito no detectado (falso negativo): quando um trfego

indesejado identificado como normal. Isto indica uma vulnerabilidade
do equipamento.
Trfego legtimo analisado como suspeito (falso positivo): quando um

trfego que no est no escopo de indesejado no est na base de dados
do equipamento.
Trfego legtimo analisado como legtimo (normal).
Misuse Detection System uma metodologia utilizada que baseada em algum

conhecimento prvio (parecido com antivrus atuais) e tem taxa de acertos considerada
boa, porm, depende de base de dados atualizada. Ela no consegue detectar ataques
desconhecidos e tem dificuldade para anlise de ataques coordenados.
Outra metodologia a Anomaly Detection System que as intruses so detectadas por

meio de desvios de comportamento, ou seja, o equipamento no incio apenas analisa o
trfego e, depois de um certo tempo, identifica os que no condizem com os analisados
anteriormente. Esta tcnica toma a deciso por meio de estatsticas ou heursticas. Nela
todos os ataques podem ser capturados, inclusive os novos, porm pode gerar muitos
falsos negativos e positivos.
Existem basicamente 3 tipos de sistemas de deteco de intruso segundo Nakamura:
Os IDS/IPS podem ser baseados em host (HIDS/HIPS) que monitora o

sistema com base em arquivos de log ou agentes de auditoria inclusive
podendo ser capaz de monitorar acessos e arquivos que foram alterados.
43
Os NIDS/NIPS que so baseados em redes que monitoram o trfego de

um segmento de rede, geralmente com a interface atuando em modo
promscuo ou at hbridos que utilizam as duas tcnicas.
Honeypot que consistem em uma mquina host adicionada ao sistema

sem conter dados ou aplicaes importantes empresa com o propsito
de se passar por um legtimo computador dela e configurado para
interagir com o a atacante monitorando os passos do ataque deixando
clara o modus operandi do ataque para poder se proteger de futuras aes
em equipamentos reais.
Figura 15.
So vantagens e desvantagens dos baseados em host:
Quadro 2.
Vantagens Desvantagens
Baseado nos logs do sistema. Dificuldade de gerncia em muitos hosts.
Atividades do sistema monitoradas detalhadamente. Diferenciado para os sistemas operacionais.
Detectar Keyboard ataque. No detecta ataques na rede (smurf).
Detecta ataques criptografados. Caso invadido pode perder informaes.
Independente da topologia das redes. Perda de desempenho do host.
Poucos falso-positivos. Necessidade de espao em disco (logs).
44
So vantagens e desvantagens do baseado em rede:
Quadro 3.
VANTAGENS DESVANTAGENS
Dificuldade de deteco para protocolos especficos (portas no
Monitoramento para mltiplas plataformas.
convencionais).
Ataques de rede podem ser detectados. No capaz de monitorar trfego criptografado.
Detectar ataques em tempo real. Dificuldade de utilizao em redes segmentadas.
No causa impacto no desempenho da rede. Alguns so incapazes de tratar fragmentao de pacotes.
Dificuldade de ser detectado pelo hacker. A varredura pausada no detectada.
Detecta atividades suspeitas em servios conhecidos (80, 25, 23, 5900
etc.).
Os IDS, ao detectar tentativas de ataques internos e externos, permitem que o

administrador de segurana tenha acompanhamento do que acontece quanto a ataques
em sua rede. A localizao em que est agindo importante para identificar que tipo
de trfego ser detectando. A figura 16 ilustra algumas possibilidades de localizaes e,
logo aps, descrevo o tipo de trfego localizado e suas caractersticas.
A maneira mais segura para minimizar ataques bem-sucedidos a utilizao de todos

os tipos de IDS, IPS e honeypots juntos, pois assim, caso o atacante consiga passar por
uma barreira, ele estar poder ser detectado por outra.
Figura 16.
45
IDS 1 detecta todas as tentativas de ataque a rede da organizao; rica

fonte de informaes sobre tipos de ataques; deteco simultnea aos
ataques.
IDS 2 funciona no prprio firewall; detecta tentativas de ataque ao

firewall.
IDS 3 detectam tentativas de ataque servidores da DMZ capazes de

passar pelo firewall, prevenindo servios legtimos; deteco de intruses
bem-sucedidas.
IDS 4 detecta ataques contra recursos internos; detecta ataques

provindos da VPN; deteco de intruses bem-sucedidas.
IDS 5 detecta ataque a DMZ 2 que passaram pelo firewall, pela VPN ou
por algum outro servio da DMZ 1; deteco de intruses bem-sucedidas.
IDS 6 detecta tentativas de ataques a rede interna; importante em

ambientes atuais com vrios bolses de segurana; deteco de intruses
bem-sucedidas.
Na empresa que voc trabalha ou j trabalhou existe algum IDS/IPS? Onde ele
est localizado? Qual o tipo dele? Ela j sofreu algum incidente de segurana
que poderia ser prevenido por meio deste equipamento?
Uma cincia multidisciplinar que vem com um mercado crescente atualmente, devido
ao aumento no nmero de pessoas e empresas se utilizando da internet, seja como
atividade fim, ou at para aumento de desempenho, a Forense Computacional. O
objetivo dela o estudo de tcnicas para preveno, aquisio, recuperao e anlise de
dados em sistemas operacionais.
Por este motivo uma boa prtica que sejam armazenados logs de trfego, dos sistemas
utilizados, configuraes aplicadas com suas respectivas datas e tambm monitorar os
endereos lgicos utilizados em redes internas.
VPN
Este acrnimo significa Virtual Private Network, ou seja, rede privada virtual. Ele
identifica uma rede privada construda sobre a infraestrutura de uma rede pblica,
normalmente a internet. Na prtica, uma conexo em que o acesso e a troca de dados
somente permitido a usurios e/ou redes que faam parte de uma mesma comunidade
46
de interesse. Ela importante principalmente no aspecto econmico ao permitirem

a substituio de conexes dedicadas, cada vez mais caras, pelas conexes pblicas.
Porm, muito importante que se tenha o devido cuidado com a segurana neste tipo
de conexo. Este ganho quanto ao custo se deve a popularizao dos links ADSL nos
ltimos anos que reduziram consideravelmente o custo de um acesso internet banda
larga.
Esta tcnica muito utilizada para conectar matriz, filiais, fornecedores, distribuidores,
parceiros de negcios, clientes e usurios mveis. Ao se conectar as redes internas de
empresas como filiais a uma matriz, VPN identificada como SitetoSite, bem como
conectar usurios remotos a rede interna de forma segura identificada como Cliente
VPN.
A Cliente VPN usa uma VPN para um omputador poder acessar a rede da matriz da
empresa por meio da Internet criando um tnel seguro entre o PC do computador a um
roteador da VPN na matriz.
Figura 17.
Fonte: <http://brainwork.com.br/2014/12/02/configurao-de-vpn-remote-access-em-roteadores-cisco/>. Acesso em: 1/9/2016.
Esta tecnologia se utiliza de um tunelamento que inicialmente foi utilizado para

comunicao entre protocolos diferentes e nela o encapsulamento ponto a ponto das
transmisses dentro de pacotes IP, permitindo trfego de diferentes protocolos e de
dados de vrias fontes para diversos destinos em uma mesma infraestrutura. Mendona
a descreve assim:
47
A tcnica de tunelamento consiste no encapsulamento de um protocolo

dentro de outro. Ela permite que um pacote seja enviado com segurana
atravs de uma rede pblica como a Internet. Devido a isso, usada
para a criao de VPNs.
O tunelamento que utilizado nas redes privadas virtuais usa protocolos que
encapsulam os dados do usurio de maneira a deixa-lo protegido tanto para perdade
de confidencialidade como tambem de integridade. Existem muitos protocolos que so
utilizados. Dentre eles podemos citar:
L2TP: tem como base o Layer 2 Forwording (L2F) proprietrio da Cisco

Systems. Ele pode ser transparente para o usurio, ou seja, o usurio
acessa a empresa atravs da VPN mas no sabe que a est utilizando, mas
tambm pode ser utilizado com acesso discado pelo usurio.
PPTP: a abordagem deste protocolo diferente do anterior pois com ele o

usurio quem faz a discagem e com isso mais indicado para utilizao
em dispositivos mveis como notepads e notebooks.
IPSEC: surgiu em 1995 e um padro da Internet Engineering Task

Force (IETF). Pode ser utilizado tanto no IPv4 como no IPv6. Ele pode
ser utilizados tanto em redes siteTosite como em redes cliente VPN. Ele
composto por cabealho de autenticao, cabealho de encapsulamento
de dados do usurio e protocolo de negociao de chaves.
SSL: originalmente desenvolvido para garantir segurana de aplicaes

cliente/servidor este protocolo pode ser utilizado para criao de client
VPN.
O protolo IPSEC pode ser utilizado de dois modos:
Modo transporte: modo nativo que a transmisso direta dos dados

protegidos pelo IPSec entre os hosts.
48
Figura 18.
Fonte: <http://www.gta.ufrj.br/grad/09_1/versao-final/vpn/TunelamentonaCamadadeRede.html>. Acesso em: 1/9/2016.
Modo Tnel: geralmente utilizado pelos gateways IPSec, com o

um elemento do meio, transparente para o host, desta maneira no
necessrio que o host suporte o protocolo. O gateway encapsula o pacote
IP com criptografia IPSec, incluindo o cabealho original. Ele ento
adiciona um cabealho IP no pacote de dados.
Figura 19.
Fonte: <http://www.gta.ufrj.br/grad/09_1/versao-final/vpn/TunelamentonaCamadadeRede.html>. Acesso em: 1/9/2016.
49
SEGURANA UNIDADE III
ORGANIZACIONAL
CAPTULO 1
Estruturando a poltica de segurana
da informao
Introduo
A ISO 27002 a define:
A informao um ativo como qualquer outro ativo importante e

essencial para os negcios de uma organizao e consequentemente
necessita ser adequadamente protegida. Isto especiamente importante
no ambiente de negcios, cada vez mais interconectado.
Por a informao ser to importante, deve existir em uma organizao uma srie de
procedimentos, processos, estruturas organizacionais e polticas de maneira a nortear a
forma como proceder e agir para que seja mantida a sua integridade, confidencialidade e
disponibilidade. Tambm importante tanto medidas fsicas, tcnicas e organizacionais.
Esta informao pode estar disposta de vrias formas em uma empresa como, por
exemplo, impressa ou armazenada eletronicamente em um servidor ou dispositivo
mvel.
A segurana da informao a ao de proteger este importante ativo que a informao

de aes elementos internos e externos minimizando ou at eliminando o risco e
maximizando o retorno financeiro.
As medidas organizacionais so necessrias, pois nem todos os sistemas de informao

so seguros em sua concepo; logo, so necessrias a medidas para minimizar os
incidentes de segurana. Estas medidas norteiam quais medidas fsicas e lgicas devem
ser tomadas para manter um nvel desejado de segurana. Existem inmeros itens que
50
podem ser criados e muitos deles no so necessariamente obrigatrios. Depende da

organizao e do tipo de segurana inerente a ela.
Existem controles considerados pela norma como ponto de partida e prticas manter
uma segurana da informao confivel que se aplicam na maioria das empresas seja
ela pblica ou privada. So eles:
Proteo de dados e privacidade de informaes pessoais: deve ser

aplicada de acordo com as legislaes e regulamentaes existentes e
todos da empresa devem ter cincia deste controle. Normalmente, mais
bem atingida sendo nomeado um responsvel e este deve orientar a todos
sobre as regras e os procedimentos a serem seguidos.
Proteo de registros organizacionais: proteger informaes da empresa

contra perda, destruio e falsificao. Procedimentos como polticas
de uso e de descarte podem ser importantes para que informaes
importantes da empresa no caiam em mo indesejadas.
Direitos de propriedade intelectual: Devem existir procedimentos e

controles de forma a garantir que as propriedades intelectuais tanto de
documentos como de softwares sejam seguidas conforme as legislaes
vigentes. Importante ter uma forma de gerncia e auditoria de softwares
utilizados por colaboradores.
Documentos da poltica de segurana da informao: deve ser aprovado

pelo diretor da empresa e todos os colaboradores e partes externas
relevantes devem ter cincia dos seus procedimentos.
Atribuio de responsabilidades para a segurana da informao: deve ter

conformidade com a poltica de segurana de informao. importante
que as responsabilidades estejam bem definidas e relacionadas.
Conscientizao, educao e treinamento em segurana da informao:

visa a conscientizao de colaboradores e parceiros importantes de
procedimentos e aes desejadas pela organizao. Devem ser feitos
treinamentos regulares como todos e tambm quando da entrada na
organizao.
Processamento correto nas aplicaes: fazer a preveno de perdas e

ocorrncias de erros, perdas e modificao no autorizadas.
51
Gesto de vulnerabilidades tcnicas: deve ser feito auditorias internas e
externas em busca de vulnerabilidades tcnicas de maneira a minimiz-
las a nveis desejados.
Gesto da continuidade do negcio: identificar processos, pessoas e

ativos crticos ao negcio identificando forma de mant-los disponveis
e em ao.
Gesto de incidentes de segurana da informao e melhorias: devem

ser definidos procedimentos e responsabilidades sobre incidentes de
segurana, bem como gesto para facilitar e mapear aes tomadas.
Dentre estes procedimentos, polticas e sistemas podem ressaltar dois muito

importantes: a poltica de segurana da informao e o sistema de gesto de segurana
da informao. Estes so descritos nos captulos seguintes desta apostila.
A importncia da poltica de segurana

Para descrever o assunto de poltica de segurana, temos trechos de livros, artigos
escritos por autores conhecidos e desconhecidos.
Segundo Emlio Nakamura (2007), A poltica de segurana a base para todas as

questes relacionadas proteo da informao, desempenhando um papel importante
em todas as organizaes.
Seu desenvolvimento o primeiro passo da estratgia de segurana das organizaes.

por meio desta poltica que todos os aspectos envolvidos na proteo dos recursos
existentes so definidos e, portanto, grande parte do trabalho dedicado a sua
elaborao e seu planejamento.
Maximilian Immo Orm Gorissen, como CEO da CompuStream Secury, descreveu o

objetivo de uma poltica desta maneira:
o conjunto de diretrizes, normas e procedimentos que devem ser seguidos

e que visam conscientizar e orientar os funcionrios, clientes, parceiros
e fornecedores para o uso seguro do ambiente, tanto fsico quanto o
informatizado, com informaes sobre como gerenciar, distribuir e proteger
seus principais ativos, as informaes.
Na prtica, ela serve como documento norteador para todos os outros relativos
segurana de uma empresa. Logo ela trata dos aspectos humanos, culturais, e
52
SEGURANA ORGANIZACIONAL UNIDADE III
tecnolgicos de uma empresa, seja ela pblica ou privada. Ela um documento nico,
no sentido de no existir uma poltica de segurana que possa ser aplicada em mais
de uma empresa pois cada um tem suas peculiaridades mesmo que sejam do mesmo
ramo de negcio, por exemplo, estas no teriam as mesmas estruturas fsicas, nem
vizinhana, bem como os mesmos colaboradores.
Planejamento
Segundo Nakamura (2007):
O planejamento da poltica de segurana exige uma viso mais

abrangente, de modo que os riscos sejam entendidos para que possam
se enfrentados. Normalmente, a abordagem com relao segurana
reativa, o que pode, invariavelmente, trazer futuros problemas para a
organizao.
de muita importncia que a poltica seja apoiada pelos altos executivos da empresa e
tambm divulgada para todos os colaboradores. Ela tambm deve ter carter proativo
pois existem estatsticas que demonstram que muitas empresas no sabem que foram
atacadas. Inclusive a tica que, se existe uma certeza, esta que um dia sua empresa
sofrer um ataque. O planejamento deve ser feito como carter geral e mais abrangente
possvel.
So alguns dos controles necessrios para uma boa poltica de segurana:
Software de deteco de vrus e cavalos de troia.
Software de controle de acesso lgico.
Mecanismos de controle de acesso fsico.
O mnimo que deve ser considerado na poltica, quanto a definio dos elementos da
Poltica de Segurana, o documento que a compe no deve ser complexo, para facilitar
sua leitura, e, tambm, no deve ser excessivamente tcnico. Mas deve apresentar
regras e procedimentos bem claros e definidos, tais como:
definio dos agentes envolvidos em segurana da informao dentro da

empresa;
classificao de informaes;
poltica de acessos externos e internos;
53
UNIDADE III SEGURANA ORGANIZACIONAL
poltica de uso da intranet e da internet;
eventos mnimos a serem logados nos Sistemas Corporativos;
trilhas de auditoria;
poltica de backup;
poltica de uso de software;
acesso fsico e lgico.
Segundo a norma ISO 27002, aps a elaborao da poltica importante haver uma
anlise crtica da mesma. Esta dividida em duas partes: controle e diretrizes para
implementao:
Controle
Convm que a poltica de segurana da informao seja analisada a intervalos

planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.
Existe poltica de segurana na sua empresa? Est na dvida? Isto correto de

acontecer?
Elementos
Dentre os elementos que a poltica de segurana adequada deve possuir so os essenciais
para o combate a adversidades.
Segundo Hurley, os elementos essenciais para a definio da poltica de segurana e

para sua implementao so:
Vigilncia: consiste em manter todos os colaboradores da empresa seja ele

diretor ou do baixo escalo vigilantes e com entendimento da importncia
da segurana da informao. Isto deve ser feito por meio de palestras
de boas vindas, ou seja, a todos os colaboradores que esto entrando na
empresa, bem como tambm, sistematicamente, em perodos especficos
(trimestralmente, anualmente) para que todos estejam atualizados de
suas possveis alteraes. Tambm inclui monitoramento de sistemas
tcnicos e fsicos.
54
Atitude: consiste que todos os colaboradores alm de saber de que se

trata a poltica de segurana tem de prezar para que ela seja aplicada.
Por exemplo, no adianta todos saberem que as cortinas da empresa tm
de estar fechadas para evitar possveis vazamentos se um funcionrio
que a ver aberta no toma atitude de fech-la. Logo, este item significa a
postura e a conduta quanto segurana.
Estratgia: possuir capacidade a adaptao a mudanas no ambiente.

Deve conter um plano de defesa contra intruses. Tambm de muita
importncia entender que uma poltica de segurana no deve influenciar
negativamente no andamento do negcio. Por exemplo, no posso proibir
a entrada de pessoas estranhas na minha empresa se o meu negcio de
vendas ao cliente, ou seja, como vou vender se o cliente no pode entrar
em minha loja?
Tecnologia: a soluo adotada deve ser flexvel e sobre medida para a

empresa. No adianta adquirir um equipamento subdimensionado
simplesmente porque mais barato, pois isto pode dar um falso
sentimento de segurana aumentando a vulnerabilidade da empresa.
Figura 20.
Segundo Nakamura:
A poltica de segurana no deve conter detalhes tcnicos de mecanismos

a serem utilizados ou procedimentos que devem ser adotados por
indivduos particulares, mas, sim, regras gerais e estruturais que se
aplicam ao contexto de toda a organizao.
55
Diretrizes para implementao

Convm que a poltica de segurana da informao tenha um gestor com responsabilidade
de gesto aprovada para desenvolvimento, anlise crtica e avaliao da poltica
de segurana da informao. Esta anlise deve incluir a avaliao de oportunidades
para a melhoria da poltica de segurana da informao da organizao e tambm
ter um enfoque para gerenciar a segurana da informao em resposta s mudanas
ao ambiente organizacional, s circunstncias do negcio, s condies legais ou ao
ambiente tcnico.
A poltica de segurana uma preocupao constante de empresas e organizaes em

geral atualmente. importante frisar que esta poltica deve ser elaborada sob medida
para cada organizao, pois cada uma tem a sua peculiaridade, seja pela sua estrutura
fsica, por seu quadro pessoal ou pelos ativos que a compe.
Esta poltica deve contemplar todos os setores da empresa, desde o estratgico, passando
pelo ttico e por fim o operacional. Para tanto, deve ser conhecido todos os processos
da organizao para que as diretrizes gerais sejam elaboradas. A partir destas diretrizes
sejam relacionadas s normas que sero seguidas por cada segmento ou grupo da
organizao e, a partir destas, os procedimentos e as instrues que cada colaborador
deve seguir.
Por fim, a tarefa de manter a segurana em um nvel desejado pela poltica no acaba
quando de sua implantao. Esta fase apenas o incio, pois, devido a evoluo do
mercado e da organizao, ela tem de estar em constante adaptao.
Poltica de segurana pode ser definida como um grupo de diretrizes que geram normas
as quais se transformam em procedimentos que norteiam as atividades e os processos
de uma organizao de forma a manter a informao da empresa com risco aceitvel.
Estas Diretrizes devem fazer para das atividades exercidas pelo grupo estratgico da
organizao. J todo o grupo ttico desta deve estar ciente das normas a serem seguidas.
E por fim, o grupo operacional deve ter em mos os procedimentos e as instrues que
tero de adotar para que a segurana seja mantida.
Desta forma, podemos dizer que a poltica, no seu contexto geral, pode ser ilustrada
pela figura 21.
56
Figura 21.
Fonte: Smola (2003).
Esta pirmide refora que todos da empresa tm de participar para que seja atingido
o nvel de segurana desejado. Isto que dizer que desde o diretor da empresa at o
faxineiro tm de estar conscientizado de como proceder para que o objetivo geral seja
atingido.
Para Emilio e Maximilian, em suas definies e descries de objetivos, como benefcios

da adoo de uma poltica de segurana adequada teremos:
Serve como referncia para anlise de desempenho de mecanismos de

segurana.
Ajudam a garantir a consistncia em sistemas de segurana.
Estipulam as consequncias caso falhas ocorram.
Servem como guia para segurana da informao.
Definem utilizao aceitvel.
Permitem que a equipe de segurana seja amparada pelo aval do corpo

diretor da organizao.
Para que estes benefcios sejam atingidos, as polticas devem ser bem debatidas por
todos da organizao por meio de palestras, reunies e brainstorms compostos por
todos que possam contribuir positivamente.
57
Descrio do contedo por diretrizes, normas e

procedimentos
Diretrizes:
Valor da informao e comprometimento da organizao com a segurana.
Sistema de classificao.
Responsabilizao.
Designao Security Officer.
Perodos de reviso.
Normas:
Cada norma deve possuir um dono.
So especficas para determinadas atividades.
No devem depender da tecnologia aplicada.
Procedimentos e instrues:
Devem ser regidos por uma norma.
Aplicam a tecnologia para atender a norma.
A poltica no deve ser excessivamente tecnolgica. Este um erro comum, porm

muito grave. A poltica de segurana deve abranger tanto o aspecto tecnolgico como
tambm o aspecto humano da organizao, pois, este um grande motivo de quebra de
segurana seja por um erro no intencional ou por ataques com a tcnica de engenharia
social.
importante dizer que a poltica de segurana no deve ser esquecida aps a sua
implantao. Como tanto o cenrio interno e tambm o externo das organizaes esto
sempre em constante mudana, ser necessrio que sejam feitos ajustes e mudanas
para que a poltica continue atingindo os seus objetivos.
58
Maiores obstculos
Alm dos obstculos comuns existentes por qualquer documentao norteadora de
segurana, muitos outros podem surgir durante a implantao. Wood (1999) cita as
seguintes:
Desculpe, no existem recursos financeiros suficientes e as prioridades

so outras.
Por que voc continua falando sobre a implementao da poltica?.
Foram feitos todos os esforos para o desenvolvimento da poltica, isso

tudo?.
Temos realmente que fazer tudo isso?.
O que voc quer dizer com existem dependncias.
O que voc quer dizer com ningum sabe o que fazer depois.
Desculpe isso muito complexo.
A poltica de segurana vai fazer com que eu perca meu poder?.
Por que eu tenho de me preocupar com isso? Esse no meu trabalho.
No podemos lidar com isso pois no temos um processo disciplinar.
Estrutura de uma poltica de segurana

Nesta seo eu apresento um modelo de estrutura de segurana da informao que
deve ser mudada de acordo com a organizao. Como j foi salientada em vrios
momentos, a poltica muda de empresa para empresa mesmo que sejam matriz e filial.
Uma atitude que pode ser tomada que os detalhes necessrios sejam inseridos em
normas, procedimentos e polticas especficas para cada caso. Logo segue um exemplo
de estrutura descrito por Nakamura:
1. Introduo
1.1. Poltica de segurana
1.1.1. Informaes gerais
1.1.2. Objetivos
59
1.2. Estrutura de responsabilidade organizacional
1.2.2.1. Servios de informao corporativos
1.2.2.2. Servios de informao de unidades de negcios
1.2.2.3. Organizaes internacionais
1.2.2.4. Encarregados
1.2.1. Padres de segurana
1.2.1.4.1. Confidencialidade
1.2.1.4.2. Integridade
1.2.1.4.3. Autorizao
1.2.1.4.4. Acesso
1.2.1.4.5. Uso apropriado
1.2.1.4.6. Privacidade dos funcionrios
2. Descrio do sistema
2.1. Papel do sistema
2.1.1. Tipo de informao manipulada pelo sistema
2.1.2. Tipos de usurios (administrativos, usurio normal, controlador de

impresso etc.)
2.1.3. Nmeros de usurios
2.1.4. Classificao de dados
2.1.5. Quantidade de dados
2.1.6. Configurao do sistema
2.1.6.1. Nmero de terminais
2.1.6.2. Nmero de consoles de controle
2.1.6.3. Nmero de tipos de terminais (inteligentes, de impresso etc.)
2.1.6.4. Arranjos para carregamento de mdia
2.1.6.5. Software
60
2.1.6.6. Interconexes
3. Requisitos de segurana e medidas
3.1. Ameaas confidencialidade, integridade e disponibilidade dos dados
3.2. Natureza e recursos de possveis atacantes e atratividade dos sistemas e dos

dados como alvo.
3.3. Impacto do comprometimento acidental dos dados
4. Plano de resposta a incidentes de segurana
4.1. Preparao e planejamento da resposta a incidentes
4.2. Notificao de pontos de contato
4.3. Identificao de incidente
4.4. Resposta a um incidente
4.5. Consequncias de um incidente
4.6. Forense computacional e implicaes legais
4.7. Contatos de relaes pblicas
4.8. Passos-chave
4.8.1. Conteno
4.8.2. Erradicao
4.8.3. Recuperao
4.8.4. Acompanhamento
4.9. Responsabilidades
5. Contatos e outros recursos
6. Referncias
Volto a frisar que este serve como um modelo que provavelmente no ser idntico ao
ideal a ser aplicado em sua empresa, mas pode ser um elemento norteador para auxlio
da criao de uma poltica de segurana.
61
A poltica de segurana:
nica.
Deve ser atualizada periodicamente.
No pode ter o contexto excessivamente tcnico.
Deve ter a anuncia da alta direo da empresa.
Deve ser conhecida por todos os colaboradores.
Deve conter informaes de segurana fsica.
62
CAPTULO 2
Sistema de Gesto de Segurana da
Informao SGSI
Introduo
Segundo a ISO 27001:
A organizao deve estabelecer, implementar, operar, monitorar,

analisar criticamente, manter e melhorar um SGSI (Sistema de
Segurana da Informao) documentado dentro do contexto das
atividades de negcio globais da organizao e os riscos que ela
enfrenta.
Segundo a mesma norma, a poltica do Sistema de Gesto de Segurana da Informao

por hierarquia superior a Poltica de Segurana da Informao descrita no captulo
anterior. Isto significa que a primeira um elemento norteador da segunda.
Basicamente, o Sistema de Gesto de Segurana da Informao dividido em quatro

partes para facilitar a sua implantao. Antes de descrever as partes especficas deste
sistema descrevo a seguir o modelo, utilizado pela norma, para estabelec-las. Este o
PDCA.
Este acrnimo (PDCA) descreve as quatro etapas do processo de melhoria contnua e

contextualizando-a em como ela atua nos sistemas de segurana, temos:
Plan (planejar): estabelece a poltica, os objetivos, os processos e os

procedimentos do Sistema de Gesto de Segurana da Informao,
relevantes para a gesto de riscos e a melhoria da segurana da
informao para produzir resultados de acordo com as polticas e os
objetivos globais em que deve ser planejado. Exemplos: Plano Diretor,
Plano de Continuidade de Negcios, Polticas de segurana, Declarao
de aplicabilidade, entre outros.
Do (fazer): implementa e opera os planos, as polticas, os controles e

os procedimentos criados no planejamento. Exemplos: controles de
segurana, treinamento de sensibilizao, entre outros.
63
Check (checar): avalia e, quando aplicvel, mensura o desempenho de

um processo frente a poltica, os objetivos e a experincia prtica do SGSI
e apresenta os resultados para a anlise crtica pela direo. Exemplos:
avaliao de anlise de risco, deteco de intruso, auditorias internas ou
at externas, testes de invaso, entre outros.
Act (agir): executa as aes corretivas e preventivas, com base nos

resultados das auditorias e da anlise crtica pela direo ou outra
informao pertinente, para alcanar a melhoria do sistema como um
todo. Um exemplo a resposta a incidentes.
Figura 22.
Fonte: Bezerra (2014).
O controle (check), etapa descrita por este ciclo, serviria para que as mudanas
internas e externas no aumentassem os riscos. Estes seriam avaliados constantemente
repassando as possveis novas vulnerabilidades para uma adaptao da poltica vigente.
Agora que sabemos o modelo em que foram baseadas as fases do sistema, podemos
descrev-las.
Estabelecer o SGSI
Nesta fase, deve estabelecer o escopo e os limites do SGSI de acordo com as peculiaridades
do negcio.
Aes a serem tomadas:
1. Atender aos requisitos, regulamentao, legalidade do negcio.
64
2. Ter uma definio dos critrios em que os riscos sero avaliados.
3. Identificar os riscos, formas de controle que sero utilizados, avaliar

possveis riscos residuais.
4. Ser aprovada e ter o ciente de possveis resduos de riscos aceitveis pela

direo da empresa.
5. Defina objetivos e controles que estabelea direcionamento global do

sistema.
6. Preparar uma declarao de aplicabilidade do sistema.
Implementar o SGSI
Deve formular um plano de tratamento de riscos, implement-lo e medir a eficcia dos
controles estabelecidos. Este plano o cerne desta fase.
1. Elaborar e implementar o plano de tratamento de riscos.
2. Criar controles de verificao para aes do plano.
3. Criar formas de mensurar e gerenciar se os controles esto atingindo aos

objetivos.
4. Conscientizar colaboradores e terceirizados da importncia dos controles

implementados.
5. Implementar formas de identificar e detectar incidentes de segurana da

informao.
1. Gerenciar os recursos do Sistema de Gesto de segurana da Informao.
Monitorar e analisar criticamente o SGSI

Prontamente detectar erros, tentativas de violaes de segurana, bem-sucedidas ou
no, identificando incidentes. Determinar e relacionar aes tomadas.
65
2. Detectar erros nos controles aplicados na implementao e tentativas de

burla-los.
3. Criar ferramentas de monitoramento para que a direo tenha respaldo

para anlise da eficcia do sistema.
4. Agendar auditorias internas, ou at, externas agendadas.
5. Realizar anlise crticas dos controles aplicados e seus resultados.
6. Atualizar os planos e controles.
Manter e melhorar o SGSI

Implementar melhorias, executar aes preventivas e corretivas e comunica-las a todas
as partes interessadas.
1. Implementar melhorias identificadas no monitoramento e auditorias.
2. Aplicar aes preventivas e corretivas do sistema.
3. Comunicar a todos os interessados as aes de melhorias aplicadas.
Figura 23.
Fonte: <http://s.profissionaisti.com.br/wp-content/uploads/2010/10/PDCA_SGSI.jpg>. Acesso em: 2/9/2016.
Qual a etapa mais difcil de implementao do sistema de gerenciamento de

segurana da informao? Existe um em sua empresa?
66
Plano diretor de segurana da informao

Um dos pontos a serem realizados no planejamento do Sistema de Gesto de segurana
da informao o Plano diretor de segurana da informao.
Para criao dele, devemos seguir os seguintes passos.
Misso e Escopo
Misso: deve exprimir direcionamento. Direcionar a estratgia de

segurana da empresa visando mitigar os riscos inerentes ao negcio
para maximizar os lucros e minimizar prejuzos. Segundo Lira:
o detalhamento da razo de ser de uma empresa. Mostra, ento, o

porqu da sua empresa existir. Tambm deve deixar claro o segmento
em que o negcio est inserido e como a empresa espera ser reconhecida
por seus clientes, fornecedores e parceiros.
Escopo: define o mbito do Plano. Processos internos da organizao.

Segundo Dismore: um processo de descrio detalhada do objetivo do
projeto.
Identificao dos processos
Os processos so as atividades que juntas fazem com que o negcio funcione. A sua
identificao basicamente tem 4 (quatro) fases.
Deve-se fazer o mapeamento de negcios crticos, fazendo a identificao dos gestores

dos processos. Este momento marco do incio da integrao e comprometimento de
gestores, bem como incio do entendimento sobre funcionamento do negcio.
Figura 24.
Fonte: Smola.
A identificao de processos normalmente gera um fluxograma que interliga todas as

atividades do negcio.
67
Mapeamento de relevncia
Sabendo quais so os processos que movem o negcio o momento de enquadra-los de

maneira a encontrar quais os mais crticos da lista, ou seja, identificar quais processos
so imprescindveis para que o negcio tenha continuidade. Este mapeamento tambm
pode ser dividido em 4 (quatro) fases.
Deve-se fazer o mapeamento da relevncia dos processos de negcio com o envolvimento

dos gestores com viso holstica do negcio tendo o cuidado com a percepo dos fatores
importantes e com critrios bem definidos.
A partir do momento que se sabe qual a relevncia de cada processo, entende-se que
se faz necessrio identificar quais conceitos seriam quebrados caso cada processo,
principalmente os mais crticos, parem.
Quadro 4.
Escala Auxlio de interpretao

1 No Considervel Pode provocar impactos irrelevantes.
2 Relevante Pode provocar impactos considerveis.
3 Importante Pode provocar impactos parcialmente significativos.
4 Crtico Envolve a paralizao de Processos de Negcio, podendo provocar impactos significativos.
Envolve o comprometimento do processo de negcio podendo provocar impactos incalculveis na
5 Vital
recuperao e na continuidade do negcio.
Fonte: Smola.
Estudo de impacto CIDAL
A sigla CIDAL um acrnimo com as letras iniciais dos conceitos de segurana.

Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade. A ideia
estimar o quanto o processo importante para a empresa. Isto, na realidade, significa
classificar a sensibilidade CIDAL de cada processo. O envolvimento dos gestores com
viso isolada de processos importante, pois como so donos deles, so as pessoas, mas
capazes de executar esta tarefa.
68
Quadro 5.
Processo de Venda Conceitos Aspectos
Confidencialidade
Disponibilidade
Autencidade
Integridade
Legalidade
Escala
1 No Considervel
2 Relevante
3 Importante
4 Crtico
5 Vital
Fonte: Semola.
O quadro 5 descreve uma tabela na qual pode ser avaliado o processo de venda de uma
empresa.
Estudos de prioridades
O estudo de prioridades consiste em classificar os processos quanto a gravidade,

urgncia e tendncia (GUT).
1. Quanto a gravidade:
Analisar se, caso algum fato atingir qualquer um dos conceitos e aspectos, provocando
a quebra da segurana, o que aconteceria ao negcio.
1. Sem gravidade.
2. Baixa gravidade.
3. Mdia gravidade.
4. Alta gravidade.
5. Altssima gravidade.
69
Quadro 6.
Processo de Vendas
Gravidade
Escala
1 Sem gravidade
2 Baixa gravidade
3 Media gravidade
4 Alta gravidade
5 Altssima gravidade
Fonte: Smola.
Nesta atividade, deve-se considerar a severidade do impacto.
Segundo Smola, a anlise consiste em:
O que seria do processo de aprovao de crdito de uma instituio

financeira, se a base de dados dos clientes fosse corrompida, tendo sua
integridade atingida?
1. Quanto a urgncia:
Caso ocorra algum incidente com o processo para solucionar os efeitos do ocorrido,
quanto celeridade, como reduzir os riscos no processo, a grande finalidade do plano
diretor. Nesta atividade, voc avaliaria qual a real velocidade seria necessria para
solucionar o problema. Sendo assim poderamos classificar em:
1. Sem pressa.
2. Tolerante espera.
3. O mais cedo possvel.
4. Com alguma urgncia.
5. Imediatamente.
70
Quadro 7.
Processo de Vendas
Gravidade
Escala
1 Sem pressa
2 Tolerante a espera
3 O mais cedo possvel
4 Com muita urgncia
5 Imediatamente
Fonte: Smola.
Deve considerar o tempo de durao dos impactos associados segundo Smola: O que
seria do processo de aprovao de crdito de uma a financeira, se a base de dados dos
clientes permanecesse corrompida 2 dias consecutivos?.
1. Quanto a tendncia:
Consiste nos riscos se nenhuma atividade preventiva ou corretiva for aplicada qual
seria a tendncia de acontecer um incidente Neste caso poderamos classificar em um
dos 5 graus abaixo:
1. No vai agravar.
2. Var agravar em longo prazo.

3. Vai agravar em mdio prazo.
4. Vai agravar em curto prazo.
5. Vai agravar imediatamente.
Quadro 8.
Processo de Vendas
Tndncia
Escala
1 No vai gravar
2 Vai agravar em longo prazo
3 Vai agravar em mdio prazo
4 Vai agravar em curto prazo
5 Vai agraver imediatamente
Fonte: Smola.
71
Deve considerar a oscilao da importncia dos impactos associados diretamente.

Segundo Smola, O que seria do processo de aprovao de crdito de uma instituio
financeira, se a base de dados dos clientes fosse corrompida a curto, mdio e longo
prazos, tendo sua integridade atingida?.
Por fim, ento, Smola prope que aps a identificao da pontuao, a partir da
multiplicao entre os fatores e os valores encontrados, chegamos a um resultado que
qualifica a importncia do processo. Pode-se, ento, ilustra-lo por meio de cores, por
exemplo:
1. 1-42 (VERDE).
2. 43 83 (AMARELO).
3. 84 125 (VERMELHO).
Neste caso, a cor verde classifica os processos menos crticos e a vermelha os processos
mais crticos.
Estudo de permetros
O estudo de permetros o momento de unir conceitos. Nele se faz necessrio identificar

em que processos os ativos do negcio iriam influenciar caso deixassem funcionar. Isto
chamado Mapeamento dos ativos. O mapeamento da relao entre ativos e processos
de negcio chamado do estudo de permetros.
Neste estudo, voc vai identificar caso a base de dados de clientes seja corrompida
no ser possvel que o processo de identificar devedores da empresa, por exemplo.
Logo este processo depende diretamente do referido banco de dados o qual muito
importante.
Estudo de atividades
Depois de todas estas atividades, importante que a empresa se preocupe em nomear,

ou at, contratar colaborados para montar os grupos importantes para manter e criar a
segurana. Dentre os possveis grupos podemos citar:
Organizao do Comit Corporativo de Segurana.
Organizao do Security Office.
Organizao de Comits Interdepartamentais de Segurana.
72
NORMAS E UNIDADE IV
PADRES
CAPTULO 1
ISO 27001 e 27002
Introduo
As normas ISO 27001 e 27002 praticamente se completam. Uma define os requisitos
para um bom sistema de segurana da informao e a outra identifica controles para
implementao deste sistema. Elas devem ser utilizadas pela empresa juntas com a
implementao dos controles da 27002 para conceber um SGSI ideal para empresa.
Existem ainda mais normas da Famlia 27000. A 27003 (guia de implementao);

27004 Padronizao de medio do gerenciamento de segurana da informao
sugerindo mtricas para ajuda da implementao. 27005 Padronizao de
Gerenciamento de Risco; 27006 Guia de certificaes e registros dos processos do
SGSI; e 27007 Guia de Auditoria.
Todas elas ajudam as empresas a manter a segurana a nveis desejveis.
73
Figura 25.
Fonte: <http://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-fundamentos/28793>. Acesso em: 2/9/2016.
ISO 27001
Formalmente conhecida como ISO 27001:2005, esta norma relaciona os itens genricos
requisitados para um Sistema de Gesto de Segurana da Informao. Contm neles
requisitos de polticas e procedimentos com abordagem tcnica, fsica e organizacional.
Ela possui uma certificao que pode ser obtida por empresas.
Ela estruturada em 9 (nove) tpicos. So eles:
1. Introduo.
2. Objetivo.
3. Referncia normativa.
4. Termos e definies.
5. Sistema de gesto de segurana da informao.
6. Responsabilidade da direo.
7. Auditorias internas do SGSI.
8. Anlise crtica do SGSI pela direo.
9. Melhoria do SGSI.
A norma usa um modelo de estrutura com o objetivo de minimizar ou at neutralizar os

riscos ao negcio. Esta especificao divide o plano em seis partes:
74
1. Definio da poltica de segurana.
2. Definio do escopo do Sistema de Gesto de Segurana da Informao.
3. Conduta de aceitao do risco.
4. Gerenciamento e identificao de riscos.
5. Seleo de controles e objetivos a serem implementados.
6. Preparao de aceitao e aplicabilidade.
Quanto aos requisitos de documentao, devem ser monitorados e analisados

pela Direo da empresa. Portanto, importante que em todos os documentos seja
acrescentada a comprovao de anuncia da direo que pode ser feita por meio de
assinatura fsica ou digital. Alm disso, devem estar disponveis a ela uma forma de
monitoramento dos controles de maneira a fcil anlise e comprovao que o Sistema
de Gesto de Segurana da Informao esteja sendo cumprido.
Estes documentos devem ser protegidos de acordo com o nvel de sigilo indicado de
maneira que apenas pessoal autorizado tenha acesso.
tambm de importante que seja fornecida pela direo evidncias do seu

comprometimento com todo o processo, como, por exemplo: comprovante de
comparecimento em palestras de conscientizao e assinatura em pareceres tcnicos.
Por fim, por meio de softwares ou visitas programadas, importante que sejam
feitas auditorias, que podem ser internas ou externas, programadas e de surpresa,
supervisionadas pela Direo para comprovao de que todos os colaboradores esto
comprometidos com o Sistema.
Voc acha importante uma empresa obter a certificao ISO 27001? Quais
seriam as vantagens disso? Agora que voc conhece um pouco sobre a norma,
faria diferena se voc soubesse que a empresa que mantm relacionamento
possui esta certificao?
75
UNIDADE IV NORMAS E PADRES
A leitura da norma da norma ISO 27001 completa importante para todos que
pretendem ser profissionais em segurana de TI.
Figura 26.
Fonte: <http://image.slidesharecdn.com/gestodeseguranadainformaoparaconcursos-questescespe01-140701212720-
phpapp01/95/gesto-de-segurana-da-informao-para-concursos-questes-cespe-01-11-638.jpg?cb=1404250115>. Acesso em:
2/9/2016.
ISO 27002
Esta norma contm os controles que devem ser utilizados para implementao dos
conceitos descritos na norma ISO 27001 e deve ser utilizada como conjunto completo
de controles para segurana da informao. Ela possui uma certificao que pode ser
obtida por profissionais. Originalmente nomeada como ISO/IEC 1779, foi publicada em
2000 e atualizada em 2013, quando houve uma alterao no nmero de tpicos de sua
estrutura.
Ela estruturada em 19 (dezenove) tpicos:
1. Introduo.
2. Objetivo.
3. Normas referenciadas.
76
NORMAS E PADRES UNIDADE IV
4. Termos e definies.
5. Estrutura desta norma.
6. Poltica de segurana da Informao.
7. Organizando a segurana da informao.
8. Controles de acesso.
9. Segurana de recursos humanos.
10. Gerenciamento de ativos.
11. Criptografia.
12. Segurana fsica de ambientes.
13. Segurana de operaes.
14. Segurana de comunicaes.
15. Sistema de aquisio, desenvolvimento e manuteno de sistemas de

informao.
16. Relacionamento com fornecedores.
17. Gesto de incidentes de segurana da informao.
18. Aspectos de segurana da informao de gerenciamento de continuidade

do negcio.
19. Conformidade.
A ordem dos tpicos no est de acordo com grau de importncia. Nem significa que
todos eles so obrigatrios. Cabe ao responsvel pela segurana em conjunto com a
Direo da empresa detectar quais os itens mais importantes e quais podem no ser
levados em considerao.
importante ter um objetivo de controle que define o que se deseja alcanar, bem
como um ou mais controles que devem ser aplicados para que estes objetivos sejam
alcanados.
No item de avaliao/anlise de riscos, importante que seja bem criterioso na

identificao dos riscos existentes, bem como que os quantifique de maneira a facilitar
as tarefas de segurana.
77
A figura 27 descreve hierarquicamente o que deve ser cumprido, segundo esta norma.
Figura 27.
Fonte: <https://aghatha.files.wordpress.com/2011/06/piramede.png?w=500>. Acesso em: 2/9/2016.
A leitura da norma da norma ISO 27002 completa importante para todos que
pretendem ser profissionais em segurana de TI.
78
CAPTULO 2
Demais normas e padres
Cobit
O acrnimo COBIT significa, em ingls, Control Objectives for Information and
Related Technology, ou seja, Objetos de Controle para Informao e Tecnologia. Este
modelo utilizado para governana de TI. Ele contm prticas e tcnicas de controle e
gerenciamento de ativos. Estes podem ser categorizados em:
1. Fsicos: seo de patrimnio para manuteno dos ativos com

colaboradores capacitados para tal. importante ter uma forma de
relacionar os ativos, onde esto localizados e quem so os responsveis
por ele.
2. Financeiros: planilhas eletrnicas e estruturas de cdigos de pagamentos

como sistemas SAP podem ajudar na governana deste item.
3. Humanos: como exemplo de mecanismos que podem gerenciar este tipo

de ativo temos: cadastro de funcionrios com formao e dados pessoais.
Por meio deste cadastro, podemos ter a governana dos colaboradores da
empresa.
4. De propriedade intelectual: com catalogados em sistema e listando,

inclusive, os patenteados. Tambm importante uma ferramenta para
auditoria de softwares instalados por dispositivos.
5. Informao de TI: a informao um ativo muito importante para

qualquer empresa, independente do tipo de negcio. Logo, elas devem
ser armazenadas em servidor e deve-se ter o cuidado de executar backups
peridicos de acordo com o nvel de sazonalidade deles. Ou seja, por
exemplo, podem ser semanais, dirios, por hora, ou at, por evento.
6. Relacionamento: um sistema de cadastro de fornecedores e clientes que

pode ser utilizado por qualquer um dos colaboradores responsvel por
ele.
Para que haja um controle de todos os tipos, o diretor deve nomear um responsvel por
cada um deles. Esta responsabilidade requer habilidade pessoal e treinamento para
79
tal. Por exemplo, na parte financeira, a maioria das empresas tem um ordenador de
despesas que gerencia pagamentos e despesas.
O Cobit baseado na premissa que a TI tem de entregar a informao para que

a empresa possa atingir seus objetivos. Logo, o objetivo da Governana de TI e
consequentemente do modelo Cobit um modelo a fim de auxiliar no preparo de
auditorias, acompanhamento/monitoramento, a avaliao de processos de TI e auxiliar
a empresa a atingir as metas desejadas.
Figura 28.
Objetivos do
Negcio
Governana de TI
COBIT
Informao
Controle e Efetividade Planejamento e

Eficincia
Avaliao Confidencialidade
Organizao
Integridade
Disponibilidade
Fidelidade
Confiabilidade
Recursos de TI
Pessoas
Entrega e Sistemas de Aquisio e
Informao
Suporte Tecnologia Implementao
Infraestrutura
Dados
Fonte: <http://www.tecnoponta.com.br/certificacoes-cobit/>. Acesso em: 2/9/2016.
ISO/IEC 15408
Esta norma tem como objetivo definir os processos de desenvolvimento, manuteno e
anlise de sistemas informatizados, contedo funcional de segurana a serem avaliados
em uma avaliao de segurana.
Ela dividida em 17 tpicos:
1. Escopo: componentes de segurana funcional so a base para segurana

de Tecnologia da Informao expressados na proteo de arquivos e de
objetivos.
80
2. Referncias normativas: a referncia de normas essencial e indispensvel

para o sucesso na aplicao desta norma.
3. Termos e definies, smbolos e abreviaes: descreve itens utilizados

pela norma.
4. Resumo: resume os objetivos a serem atingidos por todos os tpicos.
5. Requerimentos de paradigma funcional: itens necessrios a quebra de

paradigma em processos da empresa.
6. Componentes funcionais de segurana: itens necessrios para

implementao correta de segurana.
7. Auditoria de segurana: formas de auditar a segurana da informao.
8. Comunicao: prover duas famlias especficas que identifica as partes

integrantes da troca de dados.
9. Suporte criptogrfico: emprega funcionalidade de criptografia para

ajudar em alto nvel de satisfao de objetivos de segurana.
10. Proteo de dados de usurios: funes de segurana e polticas relativas

a proteo de dados de usurios.
11. Identificao e autenticao: estabelece funes para estabelecimento e

verificao de identificao de usurios.
12. Gerenciamento de segurana: especifica aspectos de gerenciamento de

atributos, dados e funes.
13. Privacidade: contm requerimentos de privacidade que prover a proteo

contra descobrimento e abuso de identidade por outros.
14. Proteo de exportao e Backup: proteo de dados na execuo e

restaurao de backups.
15. Utilizao de recurso: suporte e avaliao de recursos como processamento

e capacidade de armazenamento.
16. Controle de sesso de usurio: especifica requerimentos de controle e

estabelecimento de sesso de usurios.
17. Caminhos e canais confiveis: prover segurana de comunicao confivel

entre usurios e softwares.
81
Como se pode verificar pela abrangncia dos tpicos, esta norma contm tudo sobre
os processos e procedimentos de segurana aplicveis em uma empresa, de forma a
atingir um nvel de segurana aceitvel.
ITIL
O acrnimo ITIL IT Infrastructure Library, ou seja, em traduo livre significa
Biblioteca de Infraestrutura de Tecnologia da Informao, foi desenvolvido pela
Agncia Central de Computadores e Telecomunicaes como um conjunto de cdigos
abrangentes e inter-relacionados de melhores prticas para gerenciamento de servios
de TI.
Atualmente na verso 3, o Framework ITIL composto de cinco livros principais

(Estratgia do Servio, Desenho do servio, Operao do servio, Transio do servio
e Melhoria contnua do servio) e, tambm, livros complementares, que fornecem
orientaes para provedores de servios de TI de maneira a fornece-los com qualidade
abordando processos, funes e demais habilidades necessrias. Estas orientaes
no so especficas e obrigatrias a todas as empresas de TI. Elas devem adaptadas ao
modelo de negcio da empresa de maneira a melhorar consideravelmente a qualidade
do servio prestado.
Figura 29.
Fonte: <http://videos.web-03.net/artigos/Ivania_Ramos/Biblioteca_ITIL/Biblioteca_ITIL3.jpg>. Acesso em: 2/9/2016.
82
Mas qual seria a finalidade de gerenciar

servios de TI?
A maioria das empresas atuais est diretamente dependente da rea de Tecnologia
mesmo que a tenha como sua atividade fim. Isto significa que, por exemplo, uma
construtora no conseguiria entregar uma ponte em tempo hbil se no existisse um
sistema de recursos humanos para gerenciar os profissionais responsveis pela obra;
sem um sistema de gerncia de compras e almoxarifado, ou at um sistema para clculo
de composio de matrias. Logo se TI no est funcionando corretamente, entregando
informaes quando solicitada, no prazo correto e com qualidade compromete o
trabalho como um todo. Com isso a gerncia dos servios de TI tem por finalidade:
Adaptar-se rapidamente s necessidades do negcio.
Justificar o ROI (Retorno sobre o Investimento).
Reduzir custos desnecessrios.
Reduzir a indisponibilidade de recursos de TI a nvel ideal.
Seguir regulamentos e Leis vigentes.
A adoo das boas prticas propostas pela ITIL visa atingir todos os objetivos descritos
acima. Ela descreve prticas que permitem s empresas, seja ela pblica ou privada,
entregar benefcios, retorno ao investimento e sucesso sustentado.
Os benefcios obtidos com sua implementao podem ser categorizados de maneira

diferente dependendo de onde for aplicado:
1. Para o negcio:
Servios estveis de TI.
Tornar os servios de TI adaptveis a mudanas tecnolgicas.
Reduo de riscos operacionais.
Servios de qualidade com custos apropriados.
2. Para a Organizao de TI:
Enfoque profissional orientado em manter e melhorar o valor dos

servios de TI.
Melhorar gerncia e conscientizao da gesto de TI.
83
Aumentar a motivao do pessoal de TI.
3. Para o profissional:
Fortalecimento profissional.
Entendimento do impacto das atividades de TI no negcio.
Conscientizao da necessidade de entrega dos servios nos prazos e

com qualidade.
Abertura de melhores oportunidades dentro na organizao.
Existe uma norma ou framework que seja mais importante para ser seguido?
Caso voc precisasse implementar todas elas em sua empresa voc iniciaria com
qual delas?
84
CAPTULO 3
tica na computao
Introduo
A tica a cincia importante em todos os seguimentos da sociedade. Ela se confunde
com a palavra moral em portugus.
Segundo Meucci:
Definir o que um agir tico, moral, correto ou virtuoso se inscrever

numa disputa social pela definio legtima da boa conduta. Da conduta
verdadeira e necessria. Avaliar a melhor maneira de agir pode ser
visto de pontos de vista totalmente diversos. Marxistas, liberais,
mulumanos, psicanalistas, jornalistas e polticos agem e valoram as
aes de maneira diferente. Porm todos eles lutam pela definio mais
legitima de uma boa ao ou da ao correta.
Ramos, em um artigo descreve assim moral e tica:
tica: Estudo dos juzos de apreciao referentes conduta humana suscetveis

de qualificao do ponto de vista do bem e do mal, seja relativamente a
determinada sociedade, seja de modo absoluto.
Moral: Conjunto de regras de conduta consideradas como vlidas,

quer de modo absoluto para qualquer tempo ou lugar, quer para grupo
ou pessoa determinada.
muito normal que estes dois termos sejam identificado como o mesmo significado,
porm, apesar de se relacionarem, isto no verdade. na realidade um modo de ser,
ou seja, como agir em uma determinada situao da vida. Logo, ela uma postura
pessoal que pressupe a liberdade de escolha. A moral na realidade fruto dos padres
que a sociedade impe, ou seja, regras determinadas pela prpria sociedade.
A moral baseada nos conceitos pessoais, poca e o lugar em que est sendo aplicada,
ou seja, o que moral para uma pessoa pode no ser para outra. Uma coisa moral no
Brasil pode no ser moral nos Estados Unidos, bem como o que o moral hoje poderia
no ser moral no sculo passado.
85
Por fim, Cunha escreveu:
Ningum nasce com tica ou com moral. So construes culturais e simblicas.

As pessoas podem aprender tica na famlia, na escola, na rua, no trabalho.
Esses conceitos so adquiridos ao longo da experincia humana, seja pela
cultura, pelas regras jurdicas, pela educao ou por reflexes pessoais.
J Santos escreveu:
A tica quem define se cada uma das morais valida no ambiente em que
atuam, determina se so boas fontes de aconselhamento na hora de fazer um
escolha do tipo copiar ou no copiar? e verifica se no est havendo alguma
influncia poltica ou social de alguma organizao ou grupo no estabelecimento
destes conceitos. Num futuro prximo, talvez as opinies sejam outras e fatores
tecnolgicos, jurdicos, etc. podem mudar o ponto de vista tico da situao.
Por ser uma questo cultural, importante estudarmos a tica na computao e por
isso que este tpico descrito a seguir.
Figura 30.
TICA MORAL
Princpios ticos Cdigo de conduta
TICA PRINCIPIO MORAL CONDUTA ESPECFICA
TICA PERMANENTE MORAL TEMPORAL
TICA UNIVERSAL MORAL CULTURAL
TICA REGRA MORAL CONDUTA DA REGRA
TICA TEORIA MORAL PRATICA
TICA REFLEXO MORAL AO
TICA TRATA DO BEM/MAL MORAL TRATA DO CERTO/ERRADO
Atico=Ausncia de tica Amoral = Ausncia de Moral
Antitico=Contrrio de tica Imoral=Contrrio de Moral

Fonte: <http://1.bp.blogspot.com/-bNkta7j67cw/Vt74kvcCM5I/AAAAAAAAAAQ/3vSJo3lLdQc/s1600/12833413_108807052458958
8_844367102_n.jpg>. Acesso em: 2/9/2016.
86
tica na computao
Como existe uma grande evoluo na utilizao de tecnologia da informao nos
negcios atuais, mesmo que ela no seja a atividade fim dele, houve um crescimento na
preocupao com a tica neste segmento.
Existe um cdigo de conduta profissional para quem trabalha com tecnologia que
foi desenvolvido pela Association for Computing Machinery, que uma sociedade
composta de pessoas que trabalham e ensinam na rea. O referido cdigo se aplica a
tcnicos usurios e gerentes que trabalham com tecnologias e tambm para os que no
se consideram profissionais.
Segundo Mansur:
O ponto crucial ocorre quando um agente moral um que por definio

possua escolhas decide alterar o estado da informao ou tecnologia da
informao em um sistema humano. Mudanas no hardware, software,
contedo das informaes, fluxo das informaes, empregos baseados em
conhecimento e regras e regulamentos que afetam asinformaes esto entre
as muitas coisas que os agentes fazem e que afetam outros. Ns devemos usar
nossa imaginaomoral para guiar nossas escolhas de modo que possamos
contribuir de forma positiva para construir o mundo tico no qual queiramos
viver e deixar de herana para as geraes futuras. Como podemos fazer
isso? Fundamental a nossa conscincia, auxiliada pela compreenso e o
conhecimento em Tecnologia da Informao. Se suspeitarmos de que o nosso
comportamento possa de alguma forma prejudicar outros, provavelmente
devemos examinar nossas decises com um pouco mais de cuidado e de um
ponto de vista tico. Os fatos de um problema tico podem ser resumidos por
quatro fatores. O primeiro identificar claramente o agente moral. As aes de
quem traro a mudana induzida pela tecnologia. O prximo fator o conjunto
de alternativas disponveis para o agente. Estas so as aes do mundo real
que tero efeito sobre o sistema humano em considerao. Aes possuem
conseqncias, da o terceiro fator ... a delineao dos resultados esperados
se cada ao for executada. Finalmente, essencial identificar os interessados
que sero afetados pelas conseqncias das aes, aqueles que tenham algum
interesse afetado pelo o que o agente faz.
As consideraes ticas pra tecnologia incluem os seguintes itens:
A organizao utiliza os dados para o seu propsito e legitimamente.
87
Os sistemas e servios disponibilizados para colaboradores e fornecedores

externos empresa funcionam conforme especificado e, de maneira
nenhuma, causam danos aos usurios.
OS sistemas da empresa no podem ser culpados de constrangimento a

colaboradores nem a terceiros.
A privacidade a informaes pessoais so sempre garantidas.
A monitorao de colaboradores e terceiros deve ser consentida por eles

e os dados so utilizados para auxiliar e no para puni-los.
Devem ser observados direito de propriedade intelectual inclusive a

softwares.
OS sistemas devem ser seguros e bem contratados.
Como a profissional de TI, atualmente, no tem a profisso regulamentada no pas

como mdico e advogado, por exemplo, no existe um cdigo de conduta a ser seguidos
pelos profissionais e mesmo que existisse no teria como punir um profissional que
no o cumprisse. Organizaes como a Associao Brasileira de Computao e outros
rgos, como a SUCESU, tem se esforado para que exista o mnimo das boas prticas
pelos que profissionais que atuam na rea.
Ramos cita que o instituto de tica na computao criou os dez mandamentos para tica
na informtica. Segue abaixo estes mandamentos:
1. Voc no dever usar o computador para produzir danos a outra pessoa.
2. Voc no deve interferir no trabalho de computao de outra pessoa.
3. Voc no deve interferir nos arquivos de outra pessoa.
4. Voc no deve usar o computador para roubar.
5. Voc no deve usar o computador para dar falso testemunho.
6. Voc no dever usar software pirateado.
7. Voc no dever usar recursos de computadores de outras pessoas.
8. Voc no dever ser apropriar do trabalho intelectual de outra pessoa.
9. Voc dever refletir sobre as consequncias sociais do que escreve.
10. Voc dever usar o computador de maneira que mostre considerao e

respeito ao interlocutor.
88
David descreveu um pequeno cdigo de conduta para a rea de informtica que poderia
ser aplicado com pessoas e setores da sociedade. O transcrevo a seguir:
Para com a sociedade em geral, zelando pelo bem estar de todas as pessoas sem
qualquer discriminao, visando construir ou manter uma sociedade livre,
justa e solidria.
Para com os empregadores, usualmente quando estes no tm conhecimento

na rea e o supervisionamento tcnico do trabalho todo realizado com base
na confiana.
Para com os clientes, se estes forem leigos como no caso dos empregadores,
quando o profissional um prestador de servios ou consultor.
Para com a sociedade de classe, no caso, a comunidade computacional, com

o intuito de proteger os interesses da associao criadora do cdigo e de seus
membros.
Para com os colegas de profisso, que compartilham os mesmos interesses e

colaboram para o bem estar de todos.
Para com a profisso em geral, com o objetivo de no difamar os outros

trabalhadores da rea e evitar que a profisso no seja mal vista pelo restante
da sociedade.
Por fim, importante entender que, em qualquer profisso, ou at ao, se deve ter
tica.
89
Referncias
ALECRIM, Emersom. Criptografia. Disponvel em: <http://www.infowester.com/

criptografia.php>. Acessado em: 31/8/2016.
BEZERRA, Felipe. Ciclo PDCA conceito e aplicao (Guia geral). Disponvel em: em:
<http://www.portal-administracao.com/2014/08/ciclo-pdca-conceito-e-aplicacao.
html>. Acessado em: 22/7/2016.
CASTELL, Thiago; VAZ, Vernica. Tipos de criptografia. Disponvel em: <em:

http://www.gta.ufrj.br/grad/07_1/ass-dig/TiposdeCriptografia.html>. Acessado em:
1/7/2016.
CUNHA, Carolina. tica e moral: qual a diferena? Disponvel em: <em http://
vestibular.uol.com.br/resumo-das-disciplinas/atualidades/etica-e-moral-qual-e-a-
diferenca.htm>. Acessado em: 21/8/2016.
DANTAS, Marcus. Segurana da informao: uma abordagem focada em gesto de

riscos. Olinda: Livro Rpido, 2011.
DAVID, Hailton. tica em informtica. Disponvel em: <http://www.devmedia.com.

br/etica-em-informatica/14636>. Acessado em: 21/8/2016.
DINSMORE, P. C.; CABANIS-BREWIN, J. AMA Manual de Gerenciamento de

Projetos. Rio de Janeiro: Editora Brasport, 2009.
GIL, Antnio de Loureiro. Segurana em informtica. 2. ed. So Paulo: Atlas,1998.
GODOY, Max Bianchi. A segurana da informao e sua importncia para o

sucesso das organizaes. Rio de Janeiro: Ed. Kirios, 2004.
GOLALVES, J. R.. A importncia do bom gerenciamento do escopo para o

sucesso de um projeto. Disponvel em: <http://www.techoje.com.br/site/techoje/
categoria/detalhe_artigo/692>. Acessado em 1/8/2012.
GORISSEN, Maximilian. Disponvel em: <http://www.compustream.com.br/imagens/

down/Artigo%20CompuStream%20Security%20-%20Norma%20ISO%2017799.pdf>.
HURLEY, Jim. Information Security Survival of the Fittest. January, 1999.
90
REFERNCIAS
KIOSKEA.NET. Disponvel em: <http://pt.kioskea.net/contents/crypto/crypto.

php3>. Acessado em: 24/09/2011.
KOSUTIC, Dejan. Classificao da informao de acordo com a ISO 27001.

Disponvel em: <em http://advisera.com/27001academy/pt-br/blog/2014/05/14/
classificacao-da-informacao-de-acordo-com-a-iso-27001/>. Acessado em: 19/7/2016.
LIRA, Adriano. 5 dicas para estabelecer misso, viso e valores na sua empresa.
Disponvel em: <http://revistapegn.globo.com/Primeiro-Ano/noticia/2015/08/5-
dicas-para-estabelecer-missao-visao-e-valores-na-sua-empresa.html>. Acesso em:
30/8/2016.
MANSUR, Ricarco. Governana de TI metodologias, frameworks e melhores

prticas. BRASPORT, 2007.
MENDONA, Gabriel; ROMEIRO, Rafael O.; BAREIRO, Silvia B. Redes provadas

virtuais. Disponvel em: <http://www.gta.ufrj.br/grad/09_1/versao-final/vpn/index.
html>. Acessado em: 21/8/2016.
MEUCCI, Arthur. tica. Disponvel em: <http://meucci.com.br/o-conceito-de-etica/>.

Acessado em: 16/8/2016.
NAKAMURA, Emlio Tissato. Segurana de redes. 1. ed. So Paulo: Novatec, 2007.
PINHEIRO, Jos. Auditoria e anlise de segurana da informao segurana

fsica e lgica. Disponvel em: <http://www.projetoderedes.com.br/aulas/ugb_
auditoria_e_analise/ugb_apoio_auditoria_e_analise_de_seguranca_aula_02.pdf>.
RAMOS, Hudson; COUTINHO, Pedro Henrique M. tica e crimes virtuais. Disponvel

em: <http://www.inf.ufes.br/~fvarejao/cs/eticapeique.htm>. Acessado em: 21/8/2016.
REIS, Bruno. Disponvel em: <http://www.portalgsti.com.br/2014/09/apostila-

classificacao-Informacao.html>. Acessado em: 20/7/2016.
RIBEIRO, Paulo. O que tica? Disponvel em: <http://brasilescola.uol.com.br/

sociologia/o-que-etica.htm>. Acessado em: 18/8/2016.
RUFINO, Nelson Murilo de O. Segurana de redes sem fio. 2. ed. So Paulo:

Novatec, 2007.
91
REFERNCIAS
SANTOS, Daniel. A tica na computao. Disponvel em: <http://www.cin.

ufpe.br/~if679/docs/2003-1/dfs2%20e%20gfa/etica%20na%20computacao.doc>.
SMOLA, Marcos. A firewall subiu no telhado. Artigo 110 Abril de 2009.

Disponvel em: <http://www.semola.com.br/disco/Coluna_IDGNow_110.pdf>.
Acesso em: 30/8/2016.
______. Gesto de segurana da informao. 1. ed. So Paulo: Campus, 2003.
WOOD, Charles Cresson. Infosecurity Magazine. Policies: The path to Less Pain.
More Gain. August 1999.
92

Gestao Da Seguranca Da Informacao - Final PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Gestao Da Seguranca Da Informacao - Final PDF

Загружено:

Авторское право:

Доступные форматы

Gesto da Segurana da Informao

Marne Duarte Boulitreau

Equipe Tcnica de Avaliao, Reviso Lingustica e Editorao

ORGANIZAO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 6

A proposta editorial deste Caderno de Estudos e Pesquisa rene elementos que se

Pretende-se, com este material, lev-lo reflexo e compreenso da pluralidade

Elaborou-se a presente publicao com a inteno de torn-la subsdio valioso, de modo

Para facilitar seu estudo, os contedos so organizados em unidades, subdivididas em

Sugesto de estudo complementar

Sugestes de leituras adicionais, filmes e sites para aprofundamento do estudo,

Chamadas para alertar detalhes/tpicos importantes que contribuam para a

Informaes complementares para elucidar a construo das snteses/concluses

Trecho que busca resumir informaes relevantes do contedo, facilitando o

Para (no) finalizar

Texto integrador, ao final do mdulo, que motiva o aluno a continuar a aprendizagem

Ela est dividida em quatro unidades:

Na Unidade I, Conhecendo Segurana da Informao, fao uma introduo aos

Na Unidade II, Mecanismos de Garantia de Segurana da Informao, nesta unidade

Na Unidade III, Segurana Organizacional, descrevo os principais mtodos e

Conhecer mecanismos utilizados para implementar a segurana fsica,

Conhecer mtodos e documentos, mnimos, necessrios a segurana

Conhecer as normas vigentes a serem seguidas como bom direcionamento

Smola (2003, p. 2) afirma:

Seja para um supermercadista preocupado com a gesto de seu estoque,

Campos (2006, p. 4) afirma Entendemos que a informao um elemento essencial

Este aumento de conectividade, da dependncia e da exposio gera uma necessidade

A segurana da informao a rea destinada a proteger a informao propriamente

Conceitos relacionados a este tpico:

Manter a integridade de uma informao garantir que a informao

Manter a disponibilidade significa que, quando o usurio necessitar da

Manter a confidencialidade garantir que a informao que foi

Manter a legalidade significa que a informao armazenada est em

Manter a autenticidade garantir que as pessoas e ativos envolvidos

de muita importncia que todos os envolvidos com a segurana da informao da

Contextualizando, os conceitos descritos temos:

Integridade: um arquivo armazenado em um servidor de arquivos deve

Disponibilidade: este arquivo descrito deve estar disponvel a qualquer

Confidencialidade: o mesmo arquivo s deve ser acessado ser acessado

Legislao: o arquivo em contexto deve conter informaes em

Autenticidade: caso este arquivo seja enviado a um parceiro empresarial,

1. Funcionrios conversando em voz alta no aeroporto sobre a

3. Arquivo corrompido no servidor: o arquivo, ao estar corrompido,

4. Uso da Internet sem proteo: o uso da internet pela empresa

5. Engenharia Social funcionrio passando dados para

Ciclo de vida da informao

Fonte: Smola (2003).

importante perceber que, independente do core businesses da empresa, os conceitos

Por fora do hbito, ainda deixo o que passei a considerar Regras de

4. bons processos sobrevivem s variaes e valem o investimento, e

5. pessoas so ativos-chave e podem transformar qualquer organizao.

Estas regras nos ajudam a identificar problemas corriqueiros encontrados no mercado

Manuteno da poltica de segurana

Esta ferramenta considerada uma das primeiras ferramentas da gesto de qualidade

Outros conceitos importantes

Vulnerabilidade: uma falha de segurana que pode ser utilizada para

Ameaa: os ativos esto sujeitos a muitos tipos de ameaas que exploram

Risco: a probabilidade de uma ameaa conseguir se aproveitar de uma

Incidente: quando de fato o ataque obteve xito e assim a ameaa

1. Refrigerao insuficiente na sala de servidores: em primeira tica, este

2. Mdias em local inadequado: o armazenamento de mdias em locais

3. Visitante mal-intencionado: um visitante mal-intencionado claramente

4. Software malicioso: um software malicioso instalado em uma mquina,

Um usurio que utiliza uma senha fraca como 123456 ou qweasd em