ISO270~3

Prévia do material em texto

Válida a partir de
 edição
ABNT NBR
ISO/IEC
NORMA
BRASILEIRA
ICS ISBN 978-85-07-
Número de referência 
62 páginas
27032
Primeira
09.06.2015
09.07.2015
Tecnologia da Informação — Técnicas de 
segurança — Diretrizes para segurança 
cibernética
Information technology — Security techniques — Guidelines for cybersecurity
35.040 05629-4
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservadosii
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser 
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por 
escrito da ABNT, único representante da ISO no território brasileiro. 
 
© ABNT 2015 
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser 
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por 
escrito da ABNT. 
 
ABNT 
Av.Treze de Maio, 13 - 28º andar 
20031-901 - Rio de Janeiro - RJ 
Tel.: + 55 21 3974-2300 
Fax: + 55 21 3974-2346 
abnt@abnt.org.br 
www.abnt.org.br
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Prefácio Nacional ..............................................................................................................................vii
Introdução ...........................................................................................................................................ix
1 Escopo ................................................................................................................................1
2 Aplicabilidades ...................................................................................................................1
2.1 Público-alvo ........................................................................................................................1
2.2 Limitações ...........................................................................................................................1
3 Referência normativa .........................................................................................................2
4	 Termos	e	definições ...........................................................................................................2
5 Símbolos e abreviaturas ....................................................................................................9
6 Visão geral ........................................................................................................................10
6.1 Introdução .........................................................................................................................10
6.2 A natureza do Espaço Cibernético .................................................................................12
6.3 A natureza da Segurança Cibernética ............................................................................12
6.4 Modelo geral .....................................................................................................................14
6.4.1 Introdução .........................................................................................................................14
6.4.2 Contexto geral de segurança ..........................................................................................14
6.5 Abordagem .......................................................................................................................15
7 Partes interessadas no Espaço Cibernético .................................................................16
7.1 Visão geral ........................................................................................................................16
7.2 Consumidores ..................................................................................................................16
7.3 Provedores ........................................................................................................................17
8 Ativos no Espaço Cibernético ........................................................................................17
8.1 Visão geral ........................................................................................................................17
8.2 Ativos pessoais ................................................................................................................18
8.3 Ativos organizacionais ....................................................................................................18
9 Ameaças contra a segurança no Espaço Cibernético ..................................................19
9.1 Ameaças ............................................................................................................................19
9.1.1 Visão geral ........................................................................................................................19
9.1.2 Ameaças aos ativos pessoais .........................................................................................19
9.1.3 Ameaças aos ativos organizacionais .............................................................................20
9.2 Agentes de ameaça ..........................................................................................................20
9.3 Vulnerabilidades ...............................................................................................................21
9.4 Mecanismos de ataque ....................................................................................................21
9.4.1 Introdução .........................................................................................................................21
9.4.2 Ataques de dentro da rede privada ................................................................................22
9.4.3 Ataques de fora da rede privada (por exemplo, Internet) .............................................23
10 Papéis das partes interessadas em Segurança Cibernética ........................................23
10.1 Visão geral ........................................................................................................................23
10.2 Papéis dos consumidores ...............................................................................................24
10.2.1 Introdução .........................................................................................................................24
10.2.2 Papéis dos indivíduos .....................................................................................................24
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados iii
ABNT NBR ISO/IEC 27032:2015
Sumário Página
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
10.2.3 Papéis das organizações .................................................................................................25
10.3 Papéis do provedor ..........................................................................................................26
11 Diretrizes para as partes interessadas ...........................................................................26
11.1 Visão geral ........................................................................................................................26
11.2 Avaliação e tratamento de risco .....................................................................................27
11.3 Diretrizes para consumidores .........................................................................................28
11.4 Diretrizes para as organizações e prestadores de serviços ........................................30
11.4.1 Visão Geral ........................................................................................................................30
11.4.2 Gerir riscos de segurança da informação nos negócios .............................................30
11.4.3 Requisitosde segurança para hospedagem na web e outros serviços 
de aplicativos cibernéticos .............................................................................................33
11.4.4 Orientação de segurança para os consumidores .........................................................34
12 Controles de Segurança Cibernética .............................................................................35
12.1 Visão geral ........................................................................................................................35
12.2 Controles de nível de aplicativo .....................................................................................35
12.3 Proteção do servidor .......................................................................................................35
12.4	 Controles	de	usuário	final ...............................................................................................36
12.5 Controles contra ataques de engenharia social ...........................................................38
12.5.1 Visão Geral ........................................................................................................................38
12.5.2 Políticas .............................................................................................................................38
12.5.3 Métodos e processos .......................................................................................................39
12.5.4 Pessoas e organização ....................................................................................................40
12.5.5 Técnico ..............................................................................................................................41
12.6 Prontidão da Segurança Cibernética .............................................................................41
12.7 Outros controles ..............................................................................................................41
13 Quadro de coordenação e compartilhamento da informação .....................................42
13.1 Geral ..................................................................................................................................42
13.2 Políticas .............................................................................................................................42
13.2.1 Organizações provendo informações e organizações recebendo informações .......42
13.2.2	 Classificação	e	categorização	de	informações .............................................................43
13.2.3 Minimização de informações ..........................................................................................43
13.2.4 Público limitado ................................................................................................................43
13.2.5 Protocolo de coordenação ..............................................................................................43
13.3 Métodos e processos .......................................................................................................43
13.3.1 Visão geral ........................................................................................................................43
13.3.2	 Classificação	e	categorização	de	informações .............................................................44
13.3.3 Acordo de não divulgação ..............................................................................................44
13.3.4 Código de conduta ...........................................................................................................44
13.3.5 Testes e exercícios ...........................................................................................................44
13.3.6 Tempo e agendamento de compartilhamento de informações ...................................45
13.4 Pessoas e organizações ..................................................................................................45
13.4.1 Visão geral ........................................................................................................................45
13.4.2 Contatos ............................................................................................................................45
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservadosiv
ABNT NBR ISO/IEC 27032:2015
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
13.4.3 Alianças .............................................................................................................................45
13.4.4 Conscientização e treinamento ......................................................................................46
13.5 Técnico ..............................................................................................................................46
13.5.1 Visão geral ........................................................................................................................46
13.5.2 Padronização de dados para sistemas automatizados ................................................46
13.5.3 A visualização de dados ..................................................................................................47
13.5.4	 Intercâmbio-chave	criptográfico	e	backups de software/hardware ............................47
13.5.5 Compartilhamento seguro de arquivos, mensagens instantâneas, portal web, 
e fórum de discussão ......................................................................................................47
13.5.6 Os sistemas de testes ......................................................................................................47
13.6 Diretrizes de implementação ...........................................................................................48
Anexo A (informativo) Prontidão da Segurança Cibernética ..........................................................49
A.1 Visão geral ........................................................................................................................49
A.2 Monitoramento Darknet ...................................................................................................49
A.2.1 Introdução .........................................................................................................................49
A.2.2 Monitoramento do Buraco Negro ...................................................................................50
A.2.3 Monitoramento de baixa interação .................................................................................50
A.2.4 Monitoramento de alta interação ....................................................................................51
A.3 Operação Sinkhole ...........................................................................................................51
A.4 Traceback ..........................................................................................................................51
Anexo B (informativo) Recursos adicionais .....................................................................................54
B.1 Segurança online e referências anti-spyware ...............................................................54
B.2 Lista de exemplos de contatos de ocorrência de incidentes ......................................56
Anexo C (informativo) Exemplos de documentos relacionados ....................................................57
C.1 Introdução .........................................................................................................................57
C.2 ISO e IEC ...........................................................................................................................57
C.3 ITU-T ..................................................................................................................................60
Bibliografia .........................................................................................................................................62
Figuras
Figura 1 – Relação entre a SegurançaCibernética e outros domínios de segurança................13
Figura 2 – Conceitos e relações de segurança ..............................................................................14
Figura 3 – Visão geral da abordagem ..............................................................................................16
Figura	A.1	−	Exemplo	de	visualização	das	atividades	de	malware por meio de um sistema 
de monitoramento do Buraco Negro ..............................................................................50
Tabelas
Tabela B.1 – Lista de amostras de informações de contato de ocorrência de segurança .........56
Tabela C.1 – Sistemas de gestão de segurança da informação ...................................................57
Tabela C.2 – Gestão de riscos ..........................................................................................................57
Tabela C.3 – Avaliação da segurança de TI .....................................................................................58
Tabela C.4 – Garantia de segurança ................................................................................................58
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados v
ABNT NBR ISO/IEC 27032:2015
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Tabela C.5 – Projeto e implementação ............................................................................................58
Tabela C.6 – Serviços terceirizados .................................................................................................58
Tabela C.7 – Segurança de rede e aplicação ..................................................................................59
Tabela C.8 – Continuidade e gestão de incidentes ........................................................................59
Tabela C.9 – A gestão de identidade ................................................................................................59
Tabela C.10 – Privacidade .................................................................................................................59
Tabela C.11 – Gestão de ativos ........................................................................................................59
Tabela C.12 – Gestão de serviço ......................................................................................................60
Tabela C.13 – Segurança Cibernética ..............................................................................................60
Tabela C.14 – Continuidade e gestão de incidentes ......................................................................60
Tabela C.15 – Software indesejado ..................................................................................................60
Tabela C.16 – Spam ...........................................................................................................................60
Tabela C.17 – Intercâmbio de informações de Segurança cibernética ........................................61
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservadosvi
ABNT NBR ISO/IEC 27032:2015
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas 
Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos 
de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), 
são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto 
da normalização.
Os Documentos Técnicos ABNT são elaborados conforme as regras da Diretiva ABNT, Parte 2.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos 
de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT 
a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos. 
Nestes casos, os Órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras datas 
para exigência dos requisitos desta Norma, independentemente de sua data de entrada em vigor.
A ABNT NBR ISO/IEC 27032 foi elaborada no Comitê Brasileiro de Computadores e Processamento 
de Dados (ABNT/CB-021), pela Comissão de Estudo de Técnicas de Segurança (CE-021:000.027). 
O seu 1° Projeto circulou em Consulta Nacional conforme Edital nº 08, de 30.08.2013 a 30.09.2013, 
com o número de Projeto 021:027.000-030. O seu 2° Projeto circulou em Consulta Nacional conforme 
Edital nº 04, de 27.04.2015 a 26.05.2015, com o número de 2° Projeto 021:027.000-030.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO/IEC 27032:2012, 
que foi elaborada pelo Technical Committee Joint (ISO/IEC/JTC 1), Subcommittee Information 
technology (SC 27), IT Security techniques, conforme ISO/IEC Guide 21-1:2005.
Com a reestruturação das Comissões de Estudo do ABNT/CB-021, a numeração da Comissão de 
Estudo de Técnicas de Segurança passou de CE-021:027.000 para CE-021:000.027. No entanto, a 
numeração deste Projeto foi mantida na estrutura anterior, para manter a rastreabilidade com o 1º 
Projeto.
A Comissão de Estudo decidiu manter em inglês alguns termos deste Projeto, tendo em vista que 
estes são amplamente conhecidos e difundidos pelo setor.
O Escopo desta Norma Brasileira em inglês é o seguinte:
Scope
This Standard provides guidance for improving the state of Cybersecurity, drawing out the unique 
aspects of that activity and its dependencies on other security domains, in particular:
 — information security,
 — network security,
 — Internet security, and
 — critical information infrastructure protection (CIIP).
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados vii
ABNT NBR ISO/IEC 27032:2015
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
It covers the baseline security practices for stakeholders in the Cyberspace. This International Standard 
provides:
 — an overview of Cybersecurity,
 — an explanation of the relationship between Cybersecurity and other types of security,
 — a definition of stakeholders and a description of their roles in Cybersecurity,
 — guidance for addressing common Cybersecurity issues, and
 — a framework to enable stakeholders to collaborate on resolving Cybersecurity issues
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservadosviii
ABNT NBR ISO/IEC 27032:2015
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Introdução
O Espaço Cibernético é um ambiente complexo resultante da interação de pessoas, software 
e serviços na Internet, suportado por instrumentos físicos de tecnologia da informação e comunicação 
(TIC) e redes conectadas e distribuídas pelo mundo inteiro. No entanto, há questões de segurança 
não abrangidas pela atual segurança da informação, segurança de Internet, segurança de redes e as 
melhores práticas recomendadas de segurança de TIC, assim como as lacunas entre esses domínios, 
bem como a falha de comunicação entre as organizações e provedores no Espaço Cibernético. 
Isso ocorre porque os dispositivos e redes conectadas que suportam o espaço cibernético têm vários 
proprietários, cada um com suas próprias preocupações comerciais, operacionais e regulamentares. 
O foco diferente colocado por cada organização e fornecedor no espaço cibernético em domínios 
de segurança relevantes em que pouca ou nenhuma colaboração é buscada em outra organização 
ou provedor, resultou em um estado fragmentário de segurança para o Espaço Cibernético.
Como tal, a primeira área de foco desta Norma é a segurança do espaço cibernético ou as questões 
de segurança cibernética que se concentram em preencher as lacunas nos diferentes domínios 
de segurança do Espaço Cibernético. Em particular, esta Norma oferece diretriz técnica para tratar 
os riscos de Segurança Cibernética comuns, incluindo:
 — ataques de engenharia social;
 — hacking;
 — a proliferação de software mal-intencionados (“malware”);— software espião (“spyware”);
 — outros software potencialmente indesejados.
A diretriz técnica proporciona controles para lidar com estes riscos, incluindo controles para:
 — preparar-se contra ataques, por exemplo, de malware, de meliantes ou de organizações crimi-
nosas na internet;
 — detectar e monitorar ataques, e
 — responder a ataques.
A segunda área de foco desta Norma é a colaboração, assim como uma necessidade de comparti-
lhamento de informações eficiente e eficaz, para coordenação e gestão de incidentes entre as partes 
interessadas (stakeholders) no Espaço Cibernético. Esta colaboração deve ocorrer de maneira segura 
e confiável que também proteja a privacidade dos indivíduos envolvidos. Muitas dessas partes interes-
sadas podem residir em diferentes localidades geográficas e fusos horários e é provável que sejam 
regidos por diferentes regimes regulatórios. São consideradas partes interessadas:
 — consumidores, que podem ser de vários tipos de organizações ou indivíduos; e
 — provedores, que incluem prestadores de serviços.
Esta Norma também fornece uma estrutura para:
 — compartilhamento de informação;
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados ix
ABNT NBR ISO/IEC 27032:2015
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 — coordenação; e
 — gestão de incidentes.
A estrutura inclui:
 — elementos-chave para estabelecimento de confiança;
 — processos necessários para colaboração, intercâmbio e compartilhamento de informações; assim 
como
 — requisitos técnicos para integração de sistemas e interoperabilidade entre diferentes partes 
interessadas.
Dado o escopo desta Norma, os controles previstos são necessariamente de alto nível. Diretrizes 
e padrões detalhados de especificação técnica aplicáveis para cada área são referenciados por esta 
Norma para orientação posterior.
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservadosx
ABNT NBR ISO/IEC 27032:2015
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Tecnologia da Informação — Técnicas de segurança — Diretrizes para 
segurança cibernética
1 Escopo
Esta Norma fornece diretrizes para melhorar o estado de Segurança Cibernética, traçando os aspectos 
típicos desta atividade e suas ramificações em outros domínios de segurança, em especial:
 — segurança de informação;
 — segurança de rede;
 — segurança de Internet; e
 — proteção da infraestrutura crítica de informação (CIIP).
Ela abrange as práticas básicas de segurança para as partes interessadas no Espaço Cibernético. 
Esta Norma fornece:
 — uma visão geral de Segurança Cibernética;
 — uma explicação da relação entre Segurança Cibernética e outros tipos de segurança;
 — uma definição de parte interessada e descrição de seus papéis na Segurança Cibernética;
 — orientação para abordar as questões comuns de Segurança Cibernética; e
 — uma estrutura para capacitar as partes interessadas a colaborar na resolução de questões 
de Segurança Cibernética.
2 Aplicabilidades
2.1 Público-alvo
Esta Norma aplica-se aos prestadores de serviços no Espaço Cibernético. O público-alvo, 
no entanto, inclui os consumidores que utilizam esses serviços. Na medida em que organizações 
prestam serviços no Espaço Cibernético às pessoas, para uso em casa ou em outras organizações, 
elas podem precisar criar, com base nesta Norma, orientações que contenham explicações adicionais 
ou exemplos suficientes para permitir ao leitor compreender e agir conforme estes.
2.2 Limitações
Esta Norma não trata de:
 — Cuidados no Espaço Cibernético;
 — Crime Cibernético;
 — CIIP;
1
NORMA BRASILEIRA ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 — Proteção na internet; e
 — Crimes relacionados com a Internet.
Reconhece-se que há relações entre os domínios mencionados e a Segurança Cibernética. 
No entanto, está fora do escopo desta Norma tratar essas relações e o compartilhamento de controles 
entre estes domínios.
É importante notar que o conceito de Crime Cibernético, embora mencionado, não é abordado. 
Esta Norma não fornece orientação sobre aspectos legais relacionados ao Espaço Cibernético 
ou à Segurança Cibernética.
A orientação desta Norma é limitada à concretização do Espaço Cibernético na internet, incluindo 
os usuários finais. No entanto, a extensão do Espaço Cibernético para outras representações 
espaciais por meio de mídias e plataformas de comunicação não é abordada, nem os aspectos 
de sua segurança física.
EXEMPLO 1 Não é abordada a proteção dos elementos de infraestrutura, como meios de comunicação 
que mantêm o Espaço Cibernético.
EXEMPLO 2 Não é abordada a segurança física de telefones móveis (celulares) que se conectam 
ao Espaço Cibernético para download e/ou manipulação de conteúdo.
EXEMPLO 3 Não são abordadas mensagens de texto e funções de chat de voz fornecidas para telefones 
móveis (celulares).
3 Referência normativa
O documento relacionado a seguir é indispensável para aplicação deste documento. Para referências 
datadas, somente a edição citada se aplica. Para referências não datadas, aplica-se a última edição 
do referido documento (incluindo adições).
ISO/IEC 27000, Information technology – Security techniques – Information security management 
systems – Overview and vocabulary
4 Termos	e	definições
Para os efeitos deste documento, aplicam-se os termos e definições da ISO/IEC 27000 e os seguintes.
4.1 
adware
aplicativo que força publicidade para os usuários e/ou reúne informações sobre o comportamento 
(on line) do usuário
NOTA O aplicativo pode ou não ser instalado com o conhecimento ou consentimento do usuário, ou ser 
forçado para o usuário por meio de termos de licenciamento para outro software.
4.2 
aplicativo
solução de TI, incluindo software de aplicativo, dados de aplicativos e procedimentos, projetada para 
ajudar usuários de uma organização a executar determinadas tarefas ou lidar com determinados tipos 
de problemas de TI por meio da automatização de um processo ou função de negócio
[ISO/IEC 27034-1:2011]
2
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
4.3 
provedor de serviços de aplicativo
provedor que fornece uma solução hospedada de software contendo serviços de aplicativo que 
incluem modelos de distribuição cliente-servidor ou baseados na web
EXEMPLO Provedores de jogos online, fornecedores de aplicativos de escritório e provedores de arma-
zenamento online.
4.4 
serviços de aplicativos
software com funcionalidades sob demanda para os assinantes por meio de um modelo online que 
inclui aplicativos baseados na web ou cliente-servidor
4.5 
software de aplicativo
software projetado para ajudar os usuários a realizar tarefas específicas ou lidar com determinados 
tipos de problemas, como distinto do software que controla o próprio computador
[ISO/IEC 18019]
NOTA BRASILEIRA A ISO/IEC 18019:2004 - Software and system engineering − Guidelines for the design 
and preparation of user documentation for application software foi cancelada em 25 de Janeiro de 2012, 
sem substituição.
4.6 
ativos
tudo o que tem valor para um indivíduo, uma organização ou um governo
NOTA Adaptado de ISO/IEC 27000 para fazer provisão para os indivíduos e a separação entre governos 
e organizações (ver a definição de organização).
4.7 
avatar
representação da pessoa participante no Espaço Cibernético
NOTA 1 Um avatar pode ser referido como um alter ego de uma pessoa.
NOTA 2 Um avatar pode ser visto como um “objeto” que representa a personificação de um usuário.
4.8 
ataque
tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso ou fazer uso não autorizado 
de um ativo
[ISO/IEC 27000:2009]
4.9 
potencial de ataque
potencial percebido para o sucesso de um ataque, possibilidade de um ataque ser executado, 
expressado em termos de experiência, recursos e motivação do atacante
[ISO/IEC15408-1:2005]
3
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
4.10 
vetor de ataque
maneira ou meio pelo qual um atacante pode obter acesso a um computador ou servidor de rede com 
um objetivo mal-intencionado
4.11 
ataque misto
ataque que procura maximizar a gravidade do dano e a velocidade de contágio por meio da combinação 
de vários métodos de ataque
4.12 
bot 
robô
programa de software automatizado usado para realizar tarefas específicas
NOTA 1 A palavra é usada frequentemente para descrever programas, geralmente executados em um 
servidor, que automatizam tarefas como encaminhar ou ordenar e-mail.
NOTA 2 Um bot também é descrito como um programa que funciona como um agente para um usuário 
ou outro programa ou simula uma atividade humana. Na Internet, os bots mais onipresentes são os programas, 
também chamados de spiders ou crawlers, que acessam sites e coletam seu conteúdo para índices 
de mecanismos de buscas.
4.13 
botnet
software de controle remoto, especificamente uma coleção de bots mal-intencionados, que funcionam 
de forma autônoma ou automática em computadores comprometidos
4.14 
cookie
<controle de acesso> capacidade ou identificador em um sistema de controle de acesso
4.15 
cookie
<IPSec> dados trocados pelo ISAKMP para evitar certos ataques de negação de serviço durante 
o estabelecimento de uma relação de segurança
4.16 
cookie
<HTTP>dados trocados entre um servidor HTTP e um navegador para armazenar informações 
de estado sobre o lado do cliente e recuperá-las posteriormente para uso do servidor
NOTA Um navegador da web pode ser um cliente ou um servidor.
4.17 
controle 
contramedida de controle
meio de gerenciamento de riscos, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas 
organizacionais que podem ser de natureza administrativa, técnica, de gestão ou legal
[ISO/IEC 27000:2009]
NOTA O ABNT ISO Guia 73:2009 define o controle como simplesmente a medida que está modificando 
o risco.
4
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
4.18 
Crime Cibernético
atividade criminal em que serviços ou aplicativos no Espaço Cibernético são usados para, ou são alvo 
de, um crime, ou em que o Espaço Cibernético é a fonte, ferramenta, alvo ou local de um crime
4.19 
Proteção Cibernética (Cybersafety)
condição de ser protegido contra os aspectos físicos, sociais, espirituais, financeiros, políticos, 
emocionais, profissionais, psicológicos, educacionais ou outros tipos ou consequências de falhas, 
danos, erros, acidentes, prejuízos ou qualquer outro evento no Espaço Cibernético que poderiam ser 
considerados como indesejáveis
NOTA 1 Esta pode assumir a forma de ser protegida contra evento ou exposição a algo que cause perdas 
econômicas ou de saúde. Ela pode incluir a proteção de pessoas ou de bens.
NOTA 2 Proteção, em geral, também é definida como o estado de estar certo de que os determinados 
efeitos adversos não serão causados por algum agente sob condições definidas.
4.20 
Segurança Cibernética (Cybersecurity) 
segurança no Espaço Cibernético
preservação da confidencialidade, integridade e disponibilidade das informações no Espaço 
Cibernético
NOTA 1 Além disso, outras propriedades como autenticidade, responsabilidade, não repúdio e confiabilidade 
podem também estar envolvidas.
NOTA 2 Adaptada da definição de segurança da informação na ISO/IEC 27000:2009.
4.21 
Espaço Cibernético
ambiente complexo resultante da interação de pessoas, software e serviços na Internet por disposi-
tivos de tecnologia e redes conectadas a ele, ao qual não existe em qualquer forma física
4.22 
serviços de aplicativos no Espaço Cibernético
serviços de aplicativos (4.4) fornecidos no do Espaço Cibernético
4.23 
invasor cibernético
indivíduos ou organizações que registram e mantêm os URL que se assemelham a referências 
ou nomes de outras organizações no mundo real ou no Espaço Cibernético
4.24 
software enganoso
software que executa atividades no computador de um usuário sem primeiro notificar ao usuário do 
que exatamente o software fará no computador ou pedir ao usuário o consentimento para essas ações
EXEMPLO 1 Um programa que sequestra as configurações do usuário.
EXEMPLO 2 Um programa que provoca intermináveis anúncios pop-up que não sejam facilmente 
interrompidos pelo usuário.
EXEMPLO 3 Adware e spyware.
5
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
4.25 
hackear
acessar um sistema de computador sem a autorização do usuário ou do proprietário
4.26 
hactivismo
hackear para um propósito político ou socialmente motivado
4.27 
ativo de informação
conhecimento ou dados que tem valor para o indivíduo ou organização
NOTA Adaptado da ISO/IEC 27000:2009
4.28 
internet 
conjunto de redes
coleção de redes interconectadas
NOTA 1 Adaptado da ISO/IEC 27033-1:2009.
NOTA 2 Neste contexto, a referência seria para “uma internet”. Há uma diferença entre a definição 
de “uma internet” e “a Internet”.
4.29 
a Internet
sistema global de redes interconectadas em domínio público
[ISO/IEC 27003-1:2009]
NOTA Há uma diferença entre a definição de “uma internet” e “a Internet”.
4.30 
crime na Internet
atividade criminal em que serviços ou aplicativos na Internet são utilizados ou são alvo de um crime, 
ou onde a Internet é a fonte, ferramenta, alvo ou local de um crime
4.31 
proteção na Internet
condição de ser protegido contra os aspectos físicos, sociais, espirituais, financeiros, políticos, 
emocionais, profissionais, psicológicos, educacionais de tipos ou consequências de falha, danos, erros, 
acidentes, prejuízos ou qualquer outro evento na Internet que podem ser considerados indesejáveis
4.32 
segurança na Internet
preservação da confidencialidade, integridade e disponibilidade da informação na Internet
4.33 
serviços da Internet
serviços prestados a um usuário para permitir o acesso à Internet por meio de um endereço IP atribuído. 
que tipicamente inclui serviços de autenticação, autorização e nome de domínio
6
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
4.34 
provedor de serviços da Internet
organização que fornece serviços de Internet para um usuário e habilita o acesso de seus clientes 
à Internet
NOTA Também por vezes referido como um provedor de acesso à Internet (ISP).
4.35 
malware 
software malicioso
software criado com más intenções contendo características ou capacidades que podem potencial-
mente causar danos diretos ou indiretos para o usuário e/ou para o sistema de computador do usuário
EXEMPLO Vírus, worms e trojans.
4.36 
conteúdo malicioso
aplicativos, documentos, arquivos, dados ou outros recursos que têm características e recursos mali-
ciosos incorporados, disfarçados ou escondidos neles
4.37 
organização
grupo de pessoas e instalações com combinações de responsabilidades, autoridades e relacionamentos
[ABNT NBR ISO 9000:2005]
NOTA 1 No contexto desta Norma, um indivíduo é distinto de uma organização.
NOTA 2 Em geral, um governo é também uma organização. No contexto desta Norma, os governos podem 
ser considerados separadamente de outras organizações para maior clareza.
4.38 
phishing
processo fraudulento de tentativa de adquirir informações particulares ou confidenciais disfarçando-se 
de entidade confiável em uma comunicação eletrônica
NOTA O phishing pode ser realizado por meio de engenharia social ou fraude técnica.
4.39 
ativo físico
ativo que tenha existência tangível ou material
NOTA Ativos físicos geralmente se referem a dinheiro, equipamentos, inventário e imóveis de propriedade 
de um indivíduo ou organização. Software é considerado um ativo intangível ou um ativo não físico.
4.40 
softwarepotencialmente indesejado
software fraudulento, incluindo o software malicioso ou não, que apresenta as características 
de software fraudulento
4.41 
scam
fraude ou abuso de confiança
7
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
4.42 
spam
abuso de sistemas eletrônicos de mensagens para enviar indiscriminadamente mensagens não soli-
citadas em massa
NOTA Embora a forma mais reconhecida de spam seja o spam de e-mail, o termo é aplicado a abusos 
similares em outros meios de comunicação: spam de mensagens instantâneas, spam de grupos de notícias, 
spam de busca na web, spam em blogs, spam em wiki, spam de mensagem de celular, spam em fórum 
de Internet e transmissões indesejáveis de fax.
4.43 
spyware
software fraudulento que coleta informações particulares ou confidenciais de um usuário de computador
NOTA Informações podem incluir assuntos como websites mais visitados ou informações mais sensíveis 
como senhas.
4.44 
parte interessada
<gestão de risco> pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada 
por uma decisão ou atividade
[ABNT ISO Guia 73:2009]
4.45 
stakeholder
<sistema> indivíduo ou organização que tem um direito, ação, parte ou interesse em um sistema 
ou em sua posse de características que satisfaçam suas necessidades e expectativas
[ABNT NBR ISO/IEC 12207:2009]
4.46 
ameaça
causa potencial de um incidente indesejado, o qual pode resultar em danos em um sistema, indivíduo 
ou organização
NOTA Adaptado da ISO/IEC 27000:2009
4.47 
trojan 
cavalo de troia
malware que parece desempenhar uma função desejável
4.48 
e-mail não solicitado
e-mail que não é bem-vindo, solicitado ou convidado
4.49 
ativos virtuais
representação de um ativo no Espaço Cibernético
NOTA Neste contexto, a moeda pode ser definida como um meio de troca ou uma propriedade que tem 
valor em um ambiente específico, como jogos eletrônicos ou um exercício de simulação de negociação 
financeira.
8
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
4.50 
moeda virtual
bens monetários virtuais
4.51 
mundo virtual
ambiente simulado acessado por vários usuários por meio de uma interface online
NOTA 1 Os ambientes simulados são frequentemente interativos.
NOTA 2 O mundo físico em que as pessoas vivem, e as características relacionadas, será referido como 
o “mundo real” para diferenciá-lo do mundo virtual.
4.52 
vulnerabilidade
fraqueza de um ativo ou controle que pode ser explorada por uma ameaça
[ISO/IEC 27000:2009]
4.53 
zumbi 
computador zumbi 
drone
computador com software oculto que possibilita que o equipamento seja controlado remotamente, 
normalmente para realizar um ataque a outro computador
NOTA Geralmente, a máquina comprometida é somente uma de muitas em um botnet e é usada para 
desempenhar atividades maliciosas sob direção remota.
5 Símbolos e abreviaturas
Os seguintes símbolos e abreviaturas são usados nesta Norma:
AS Autonomous System – Sistema Autônomo
AP Access Point – Ponto de Acesso
CBT Computer Based Training - Treinamento Baseado em Computador
CERT Computer Emergency Response Team – Centro de Estudos, Resposta e Tratamento 
 de Incidentes
CIRT Computer Incident Response Team – Grupo de Resposta a Incidentes
CSIRT Computer Security Incident Response Team – Grupo de Resposta a Incidentes 
 de Segurança
CIIP Critical Information Infrastructure Protection – Proteção de Infraestrutura Crítica 
 de Informação
DoS Denial of Service – Negação de Serviço
DDoS Distributed Denial of Service – Ataque Distribuído de Negação de Serviço
HIDS Host-based Intrusion Detection System – Sistema de Detecção de Intruso 
 Hospedado
9
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
IAP Independent Application Provider – Provedor de Aplicação Independente
ICMP Internet Control Message Protocol – Protocolo de Internet de Controle de Mensagem
ICT Information and Communications Technology – Tecnologia de Comunicação 
 e Informação
IDS Intrusion Detection System – Sistema de Detecção de Intrusão
IP Internet Protocol – Protocolo de Internet
IPO Information Providing Organization – Organização Provendo Informação
IPS Intrusion Prevention System – Sistema de Prevenção de Intrusão
IRO Information Receiving Organization – Organização Recebendo Informação
ISP Internet Service Provider – Provedor de Serviços de Internet
ISV Independent Software Vendor – Vendedor de Software Independente
IT Information Technology – Tecnologia da Informação
MMORPG Massive Multiplater Online Role-Playing Game – Jogo de Interpretação 
 de Personagens Online e em Massa para Múltiplos Jogadores
NDA Non-Disclosure Agreement – Acordo de Não Divulgação
SDLC Software Development Life-cycle – Ciclo de Vida de Desenvolvimento de Software
SSID Service Set Identifier – Identificador do Conjunto de Serviço
TCP Transmission Control Protocol – Protocolo de Controle de Transmissão
UDP User Datagram Protocol – Protocolo de Datagrama de Usuário
URI Uniform Resource Identifier – Identificador Uniforme de Recurso
URL Uniform Resource Locator – Localizador Uniforme de Recurso
6 Visão geral
6.1 Introdução
Segurança na Internet e no Espaço Cibernético tem sido um tema de crescente preocupação. 
As partes interessadas vêm estabelecendo sua presença no Espaço Cibernético por meio de sites 
e agora tentam alavancar ainda mais o mundo virtual proporcionado pelo Espaço CIbernético.
EXEMPLO Um número crescente de indivíduos gasta cada vez mais tempo com seus avatars virtuais 
em MMORPG.
Enquanto alguns indivíduos são cuidadosos na gestão da sua identidade online, a maioria 
das pessoas envia detalhes de seus perfis pessoais para compartilhar com os outros. Perfis em vários 
sites, em particular sites de redes sociais e salas de bate-papo, podem ser baixados e armazenados 
por outras partes. Isso pode levar à criação de um dossiê digital de dados pessoais que podem ser 
mal utilizados, divulgado a terceiros ou utilizados para coleta secundária de dados. Embora a precisão 
10
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
e a integridade dos dados sejam questionáveis, eles criam relações com indivíduos e organizações 
que muitas vezes não podem ser completamente apagadas. Estes desenvolvimentos nos domínios 
da comunicação, entretenimento, transporte, compras, financeiro, de seguros e de saúde criam novos 
riscos para as partes interessadas no Espaço Cibernético. Portanto, riscos podem ser associados 
com a perda de privacidade.
A convergência de tecnologias de informação e comunicação, a facilidade de entrar no Espaço 
Cibernético e o estreitamento do espaço pessoal entre os indivíduos estão ganhando a atenção 
de meliantes e organizações criminosas. Estas entidades estão usando os mecanismos existentes 
como o spam, phishing e spyware, assim como o desenvolvimento de novas técnicas de ataque, 
para explorar qualquer fraqueza que elas possam descobrir no Espaço Cibernético. Nos últimos 
anos, ataques de segurança no Espaço Cibernético evoluíram de hacking para fama pessoal, 
para crime organizado ou Crime Cibernético. Uma infinidade de ferramentas e processos anteriormente 
observados em incidentes isolados de Segurança Cibernética já são usados, em conjunto, em vários 
ataques combinados, muitas vezes com objetivos mal-intencionados mais amplos. Estes objetivos 
variam desde ataques pessoais, roubo de identidade, fraudes ou roubos financeiros a hactivismo 
político. Fóruns especializados para destacar potenciais problemas de segurança também têm servido 
para demonstrar técnicas de ataque e oportunidades criminais.
Os vários modos de transações de negócios que são realizados no Espaço Cibernéticoestão 
se tornando o alvo dos sindicatos do Crime Cibernético. Variando de serviços negócio para negócio, 
negócio para consumidor para consumidor-para-consumidor, os riscos são inerentemente complexos. 
Conceitos como o que constitui uma operação ou um acordo dependem da interpretação da lei 
e como cada parte na relação gerencia sua responsabilidade. Muitas vezes, a questão do uso 
de dados coletados durante uma transação ou relacionamento não é tratada adequadamente. 
Isto pode eventualmente conduzir a problemas de segurança como o vazamento de informação.
Os desafios jurídicos e técnicos colocados por estas questões de Segurança Cibernética são 
de natureza mais ampla e global. Os desafios só podem ser enfrentados pela comunidade técnica 
de segurança da informação, comunidade jurídica, nações e grupo de nações se unindo por meio 
de uma estratégia coerente. Convém que esta estratégia considere o papel de cada parte interessada 
e iniciativas existentes, dentro de um quadro de cooperação internacional.
EXEMPLO Um exemplo de um desafio é o fato de o Espaço Cibernético proporcionar anonimato 
virtual e discrição de ataque, tornando a detecção difícil. Isso torna cada vez mais difícil para os indivíduos 
e organizações estabelecerem confiança e realizarem transações, bem como para as agências de aplicação 
da lei para impor políticas relacionadas. Mesmo que a fonte de ataque possa ser determinada, questões 
transfronteiriças legais, muitas vezes, impedem progressos para qualquer investigação ou repatriação legal.
O progresso atual para enfrentar esses desafios tem sido prejudicado por muitas questões e as ques-
tões de Segurança Cibernética estão aumentando e continuam a evoluir.
Embora não haja falta de ameaças de Segurança Cibernética, assim como há muitas formas de 
combatê-las, ainda que não padronizadas, o foco desta Norma é sobre as seguintes questões-chave:
 — ataques de software malicioso e potencialmente indesejado;
 — ataques de engenharia social; e
 — compartilhamento e coordenação de informações.
Além disso, algumas ferramentas de Segurança Cibernética são discutidas brevemente nesta Norma. 
Estas ferramentas e áreas se relacionam estreitamente com a prevenção, detecção, resposta e inves-
tigação do Crime Cibernético. Mais detalhes podem ser encontrados no Anexo A.
11
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
6.2 A natureza do Espaço Cibernético
O Espaço Cibernético pode ser descrito como um ambiente virtual, o qual não existe em qualquer 
forma física, mas sim, um ambiente ou espaço complexo resultante do surgimento da Internet, somado 
às pessoas, organizações e atividades em todo o tipo de dispositivos de tecnologia e redes que estão 
conectados a ele. A segurança do Espaço Cibernético, ou Segurança Cibernética, é a segurança 
deste mundo virtual.
Muitos mundos virtuais têm uma moeda virtual, como a usada para comprar itens em jogos eletrônicos. 
Há um valor associado no mundo real para a moeda virtual e até mesmo itens em jogos eletrônicos. 
Estes itens virtuais são frequentemente trocados por moeda real em sites de leilões online, e alguns 
jogos até mesmo têm um canal oficial com a publicação das taxas de câmbio virtuais ou reais para 
a monetização de itens virtuais. São muitas vezes esses canais de monetização que tornam esses 
mundos virtuais um alvo para ataque, geralmente por meio de técnicas de phishing ou outros, para 
roubar informações de conta.
6.3 A natureza da Segurança Cibernética
As partes interessadas no Espaço Cibernético têm que desempenhar um papel ativo, além de 
proteger seus próprios bens, para prevalecer a utilidade do Espaço Cibernético. Os aplicativos dentro 
do Espaço Cibernético estão se expandindo para além dos modelos empresas para consumidores 
e consumidores para consumidores, para uma forma de muitos para muitos nas interações e transações. 
Os requisitos estão se expandindo para indivíduos e organizações para que sejam preparados para 
enfrentar os riscos e desafios emergentes de segurança, para efetivamente prevenir e responder 
ao abuso e explorações criminais.
A Segurança Cibernética diz respeito a ações as quais recomenda-se que as partes interessadas 
tomem para estabelecer e manter a segurança no Espaço Cibernético.
A Segurança Cibernética se baseia na segurança da informação, segurança de aplicativos, segurança 
de rede e segurança na Internet, como blocos de construção fundamentais. A Segurança Cibernética 
é uma das atividades necessárias para CIIP e, ao mesmo tempo, a proteção adequada dos serviços 
de infraestrutura contribui para as necessidades básicas de segurança (ou seja, segurança, 
confiabilidade e disponibilidade de infraestrutura crítica) para atingir as metas da Segurança Cibernética.
A Segurança Cibernética não é, contudo, sinônimo de segurança de Internet, segurança de rede, 
segurança de aplicativos, segurança da informação ou CIIP. Ela tem um escopo único que demanda 
que as partes interessadas desempenhem um papel ativo a fim de manter, senão melhorar a utilidade 
e a confiabilidade do Espaço Cibernético. Esta Norma diferencia a Segurança Cibernética de outros 
domínios da segurança, como a seguir:
 — A segurança da informação trata da proteção da confidencialidade, integridade e disponibilidade 
da informação em geral para atender às necessidades do usuário de informações aplicáveis.
 — A segurança de aplicação é um processo realizado para aplicar controles e medições em apli-
cações de uma organização a fim de gerir o risco de usá-las. Controles e medidas podem ser 
aplicados a própria aplicação (seus processos, componentes, software e resultados), para seus 
dados (dados de configuração, dados do usuário, dados da organização) e para toda a tecno-
logia, processos e atores envolvidos no ciclo de vida do aplicativo.
 — A segurança de rede está preocupada com a concepção, implementação e operação de redes 
para alcançar os objetivos de segurança da informação em redes dentro de organizações, entre 
as organizações e entre organizações e usuários.
12
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 — A segurança da Internet está voltada a proteger serviços relacionados à Internet e sistemas 
relacionados a TIC e redes como uma extensão de segurança de rede em organizações e nos lares 
para atingir o objetivo de segurança. A segurança da Internet garante também a disponibilidade 
e confiabilidade de serviços de Internet.
 — O CIIP se ocupa em proteger os sistemas que são fornecidos ou operados por provedores 
de infraestruturas críticas, como energia, telecomunicações e estações de água. O CIIP garante 
que esses sistemas e redes são protegidos e resilientes contra riscos de segurança da informação, 
riscos de segurança de rede, os riscos de segurança da Internet, bem como riscos de Segurança 
Cibernética.
A Figura 1 resume a relação entre Segurança Cibernética e outros domínios de segurança. A relação 
entre esses domínios de segurança e Segurança Cibernética é complexa. Alguns dos serviços 
críticos de infraestrutura, por exemplo, água e transporte, não precisam afetar o estado de Segurança 
Cibernética direta ou significativamente. No entanto, a falta de Segurança Cibernética pode ter 
um impacto negativo sobre a disponibilidade de sistemas críticos de infraestrutura de informação, 
proporcionados pelos provedores de infraestrutura críticas.
Segurança da Informação Crime
Cibernético 
Segurança 
Cibernética 
Segurança de Aplicativo 
Segurança 
de rede 
Segurança 
da Internet
Proteção da Infraestrutura Crítica de 
Informação
Segurança 
Cibernética 
Figura 1 – Relação entre a Segurança Cibernética e outros domínios de segurança
Por outro lado, a disponibilidade e a confiabilidade do Espaço Cibernético, em muitos aspectos, 
dependem da disponibilidade e confiabilidade dos serviços de infraestruturacrítica relacionados, 
como a infraestrutura de rede de telecomunicações. A segurança do Espaço Cibernético também está 
intimamente relacionada com a segurança da Internet, redes de empresas/lares e com a segurança da 
informação em geral. Convém notar que os domínios de segurança identificados na presente Seção 
têm os seus próprios objetivos e escopo de foco. Lidar com questões de Segurança Cibernética, 
portanto, requer comunicações e coordenação substanciais entre as diferentes entidades públicas 
e privadas de diferentes países e organizações. Serviços de infraestrutura crítica são considerados 
por alguns governos como serviços relacionados à segurança nacional e, portanto, podem não ser 
discutidos ou divulgados abertamente. Além disso, o conhecimento das fraquezas de infraestrutura 
crítica, se não for usado adequadamente, pode ter uma implicação direta na segurança nacional. 
Uma estrutura básica para compartilhamento e emissão de informações ou de coordenação 
de incidentes é, portanto, necessária para preencher as lacunas e proporcionar as garantias necessárias 
para as partes interessadas no Espaço Cibernético.
13
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
6.4 Modelo geral
6.4.1 Introdução
Esta Seção apresenta um modelo geral usado ao longo desta Norma. Esta Seção assume alguns 
conhecimentos de segurança e não se propõe a atuar como um tutorial nesta área.
Esta Norma discute a segurança usando um conjunto de conceitos e terminologia de segurança. 
A compreensão desses conceitos e terminologia é um pré-requisito para o uso efetivo desta Norma. 
No entanto, os conceitos em si são bastante gerais e não têm a intenção de se restringirem à classe 
de problemas de segurança de TI para a qual a presente Norma é aplicável.
6.4.2 Contexto geral de segurança
A segurança é atinente à proteção dos ativos contra ameaças, onde ameaças são categorizadas 
como potencial para a violação de bens protegidos. Convém que todas as categorias de ameaças 
sejam consideradas, mas no domínio da segurança, maior atenção é dada a ameaças que estão 
relacionadas com más intenções ou outras atividades humanas. A Figura 2 ilustra estes conceitos 
e relações de alto nível.
NOTA A Figura 2 é adaptada da ISO/IEC 15408-1:2005 – Information technology – Security techniques – 
Evaluation criteria for IT security – Part 1: Introduction and general model
Figura 2 – Conceitos e relações de segurança
14
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Salvaguardar ativos de interesse é a responsabilidade das partes interessadas que valoram estes 
ativos. Agentes de ameaça reais ou presumidos também podem valorar os ativos e buscar violar 
os ativos de forma contrária aos interesses das partes interessadas aplicáveis. As partes interessadas 
irão perceber estas ameaças como potenciais para a deterioração dos ativos, de forma que o valor 
dos ativos para as partes interessadas seria reduzido. A deterioração específica da segurança 
geralmente inclui, mas não está limitada a, divulgação prejudicial do ativo para destinatários não 
autorizados (perda de confidencialidade), danos no ativo por meio da modificação não autorizada 
(perda de integridade) ou privação de acesso não autorizada ao ativo (perda de disponibilidade).
As partes interessadas estimam os riscos tendo em conta as ameaças que se aplicam a seus ativos. 
Esta análise pode auxiliar na seleção de controles contra os riscos e reduzi-los a um nível aceitável.
Controles são impostos para reduzir as vulnerabilidades ou impactos e para atender aos requisitos 
de segurança das partes interessadas (direta ou indiretamente, fornecendo direção a outras partes). 
Vulnerabilidades residuais podem permanecer após a imposição de controles. Essas vulnerabilidades 
podem ser exploradas por agentes de ameaça que representam um nível residual de risco para os 
ativos. As partes interessadas procurarão minimizar esse risco, considerando outras restrições.
É necessário que as partes interessadas estejam confiantes de que os controles são adequados para 
combater as ameaças aos ativos antes de permitirem a exposição de ativos às ameaças especificadas. 
As partes interessadas podem não possuir a capacidade para julgar todos os aspectos dos controles 
e podem, portanto, procurar uma avaliação dos controles usando organizações externas.
6.5 Abordagem
Uma forma eficaz de enfrentar riscos de Segurança Cibernética envolve uma combinação de múltiplas 
estratégias, tendo em vista as várias partes interessadas. Tais estratégias incluem:
 — boas práticas da indústria, com a colaboração de todas as partes interessadas para identificar 
e tratar problemas e riscos de Segurança Cibernética;
 — educação abrangente do consumidor e dos funcionários, oferecendo um recurso confiável para 
saber como identificar e tratar os riscos específicos de Segurança Cibernética dentro da organi-
zação, bem como no Espaço Cibernético; e
 — soluções inovadoras de tecnologia para ajudar a proteger os consumidores de ataques conhe-
cidos à Segurança Cibernética, para se manterem atualizados e estarem preparados contra 
novas explorações.
Esta diretriz se concentra em proporcionar boas práticas na indústria e educação abrangente do consu-
midor e colaboradores para auxiliar as partes interessadas no Espaço Cibernético em desempenhar 
um papel ativo para enfrentar os desafios de Segurança Cibernética. Isto inclui orientações para:
 — funções;
 — políticas;
 — métodos;
 — processos; e
 — controles técnicos aplicáveis.
15
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
A Figura 3 apresenta uma visão geral dos principais pontos na abordagem adotada nesta Norma. 
Esta Norma não se destina a ser usada diretamente para prover educação abrangente ao consumidor. 
Em vez disso, ela se destina a ser utilizada pelos prestadores de serviços no Espaço Cibernético, 
bem como pelas organizações que proveem educação relativa ao Espaço Cibernético aos consumi-
dores, para preparar os materiais para educação abrangente do consumidor.
Figura 3 – Visão geral da abordagem
7 Partes interessadas no Espaço Cibernético
7.1 Visão geral
O Espaço Cibernético não pertence a alguém; todo mundo pode fazer parte e tem uma participação 
nele.
Para os efeitos desta Norma, as partes interessadas no Espaço Cibernético são classificadas nos 
seguintes grupos:
 — consumidores, incluindo
 — indivíduos; e
 — organizações tanto privadas como públicas;
 — provedores, incluindo, mas não limitados a
 — provedores de serviços de Internet, e
 — provedores de serviços de aplicativos.
7.2 Consumidores
Conforme descrito na Figura 3, “consumidores” refere-se aos usuários individuais, bem como às orga-
nizações privadas e públicas. Organizações privadas incluem pequenas e médias empresas (PME), 
assim como as empresas de grande porte. Governo e outros órgãos públicos são referidos coleti-
vamente como organizações públicas. Um indivíduo ou uma organização torna-se um consumidor 
ao acessar o Espaço Cibernético ou quaisquer serviços disponíveis no Espaço Cibernético.
Um consumidor pode também ser um provedor se, por sua vez, fornece um serviço no Espaço Ciber-
nético ou capacita outro consumidor a acessar o Espaço Cibernético. Um consumidor de um serviço 
no mundo virtual pode se tornar um fornecedor ao disponibilizar produtos e serviços virtuais para 
outros consumidores.
16
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
7.3 Provedores
Provedores se referem aos prestadores de serviços no Espaço Cibernético, bem como provedores 
de serviços de Internet que permitem aos consumidores acessar o Espaço Cibernético e os vários 
serviços disponíveis.Provedores também podem ser entendidos como lojistas ou atacadistas em contraposição a distribui-
dores e revendedores de serviços de acesso. Esta distinção é importante a partir das perspectivas 
de segurança e, principalmente, de aplicação da lei porque, no caso de um distribuidor ou varejista 
não ser capaz de fornecer a segurança adequada ou acesso legal, os serviços de apoio, muitas vezes, 
serão retornados ao lojista ou atacadista. Compreender a natureza de um determinado provedor 
de serviços é um elemento útil na gestão de risco no Espaço Cibernético.
Provedores de aplicativos tornam disponíveis os serviços aos consumidores por meio de seu software. 
Estes serviços assumem muitas formas e incluem combinações da seguinte lista não exaustiva:
 — edição, armazenamento e distribuição de documentos;
 — ambientes virtuais online para o entretenimento, comunicação e interação com outros usuários;
 — armazenamento online de mídia digital com serviços de agregação, indexação, busca, ponto 
de venda, lista de compras, catálogo e pagamento; e
 — funções de gestão de recursos da empresa, como recursos humanos, finanças e folha de paga-
mento, gestão da cadeia de suprimentos, relacionamento com o cliente, faturamento.
8 Ativos no Espaço Cibernético
8.1 Visão geral
Um ativo é qualquer coisa que tem valor para um indivíduo ou uma organização. Existem muitos tipos 
de ativos incluindo, mas não limitado a:
 a) informações;
 b) software, como um programa de computador;
 c) físicos, como um computador;
 d) serviços;
 e) pessoas, as suas qualificações, competências e experiência; e
 f) intangíveis, como a reputação e a imagem.
NOTA 1 Muitas vezes, os ativos são vistos de modo simplista, como informação ou recursos.
NOTA 2 A ISO/IEC 15408-1:2005 define um ativo como informações ou recursos a serem protegidos 
por controles de um TOE (target of evaluation - meta de avaliação).
NOTA 3 A ISO/IEC 19770-1 foi desenvolvida para permitir a uma organização provar que está realizando 
Gerenciamento de Ativos de Software (SAM) em um padrão suficiente para satisfazer as exigências 
de governança corporativa e garantir um apoio eficaz para a gestão de serviços de TI em geral. 
A ISO/IEC 19770 destina-se a se alinhar estreitamente e apoiar à ABNT NBR ISO/IEC 20000.
17
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
NOTA 4 A ABNT NBR ISO/IEC 20000-1 promove a adoção de uma abordagem de processo integrada 
em caso de estabelecer, implementar, operar, monitorar, medir, analisar e melhorar um Sistema de Gestão 
de Serviços (SMS) para projetar e fornecer serviços que atendam às necessidades de negócio e requisitos 
do cliente.
Para os efeitos desta Norma, os ativos no Espaço Cibernético são divididos nas seguintes classes:
 — pessoal; e
 — organizacional.
Para ambas as classes, um ativo também pode ser classificado como:
 — um ativo físico, cuja forma existe no mundo real; ou
 — um ativo virtual, que só existe no Espaço Cibernético e não é possível que seja visto ou tocado 
no mundo real.
8.2 Ativos pessoais
Um dos principais ativos virtuais é a identidade online de um consumidor individual e sua informação 
de crédito online. Identidade online é considerada um ativo, uma vez que é o identificador-chave para 
qualquer consumidor individual no Espaço Cibernético.
Outros ativos virtuais de consumidores individuais incluem referências em mundos virtuais. 
Nos mundos virtuais, os membros muitas vezes usam avatars virtuais para representar, identificar-se 
ou para agir em seu interesse. Muitas vezes, uma moeda virtual é usada para transações virtuais. 
Estes avatars e moedas podem ser considerados como ativos pertencentes a um consumidor individual.
EXEMPLO Alguns bancos operam em mundos virtuais e reconhecem o dinheiro do mundo virtual como 
moeda oficial.
Hardware e software de TI, bem como dispositivos digitais ou terminais pessoais que permitem 
que um consumidor se conecte e se comunique no Espaço Cibernético também são considerados 
como ativos no contexto desta Norma.
8.3 Ativos organizacionais
Um aspecto-chave do Espaço Cibernético é a infraestrutura que o torna possível. Esta infraestrutura 
é uma interligação em malha de redes, servidores e aplicativos que pertencem a muitos provedores 
de serviços. No entanto, a confiabilidade e disponibilidade da infraestrutura são cruciais para garantir 
que os serviços e aplicativos do Espaço Cibernético estejam disponíveis para qualquer pessoa. 
Embora qualquer infraestrutura, que permite a qualquer consumidor se conectar ao Espaço Cibernético 
ou permite a qualquer consumidor acessar serviços no Espaço Cibernético, seja considerada um ativo 
físico que deve ser abordado nesta Norma, pode haver sobreposições com as medidas de segurança 
que são propostas em, por exemplo, CIIP, segurança na Internet e segurança da rede. No entanto, 
esta Norma se concentrará em garantir que as questões de segurança que podem afetar estes ativos 
organizacionais sejam abordadas de forma adequada sem enfatizar demasiadamente outras questões 
que não estão dentro do escopo desta Norma.
Além de ativos físicos, ativos virtuais organizacionais estão cada vez mais valiosos. A marca online 
e outras representações da organização no Espaço Cibernético identificam unicamente a organização 
no Espaço Cibernético e são tão importantes quanto o tijolo e argamassa desta organização.
EXEMPLO 1 A URL e informações do website de uma organização são ativos.
18
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
EXEMPLO 2 Países criaram embaixadas em um mundo virtual importante para proteger a sua 
representação.
Outros ativos organizacionais que são expostos por meio de vulnerabilidades no Espaço Cibernético 
incluem propriedade intelectual (fórmulas, processos proprietários, patentes, resultados de pesquisas) 
e planos e estratégias de negócio (lançamento de produtos e táticas de marketing, informações 
competitivas, informações financeiras e dados de relatórios).
9 Ameaças contra a segurança no Espaço Cibernético
9.1 Ameaças
9.1.1 Visão geral
As ameaças que existem no Espaço Cibernético são discutidas em relação aos ativos no Espaço 
Cibernético.
Ameaças ao Espaço Cibernético podem ser divididas em duas áreas principais:
 — ameaças aos ativos pessoais:
 — ameaças aos ativos organizacionais;
9.1.2 Ameaças aos ativos pessoais
Ameaças aos ativos pessoais giram principalmente em torno de questões de identidade, representadas 
pelo vazamento ou roubo de informações pessoais.
EXEMPLO 1 Informações de crédito podem ser vendidas no mercado negro, o que pode facilitar o roubo 
de identidade online.
Se a identidade online de uma pessoa é roubada ou mascarada, essa pessoa pode ser privada 
do acesso aos principais serviços e aplicativos. Em cenários mais graves, as consequências podem 
variar desde incidentes financeiros até aqueles de nível nacional.
Acesso não autorizado a informações financeiras de uma pessoa também abre a possibilidade 
de roubo e de fraude.
Outra ameaça é a possibilidade do terminal ser utilizado como um zumbi ou bot. Dispositivos de compu-
tação pessoal podem ser comprometidos e assim tornar-se parte de uma botnet mais ampla.
Além do exposto acima, outros bens virtuais que estão sendo visados são ativos pessoais em mundos 
virtuais e em jogos online. Ativos em um mundo virtual ou no mundo dos jogos online estão igualmente 
sujeitos a ataque e exploração.
EXEMPLO 2 Detalhes de avatars e moeda virtual que podem em alguns casos ser identificados e recon-
vertidos ao mundo real seriam os principais alvos.
Roubo e furto virtual são alguns dos termos cunhados recentemente para este tipo de ataque. 
A segurança neste caso depende do quanto de informação do mundo real é acessível, assim como 
da estrutura de segurança do mundo virtual em si, como definida e implementada porseu 
administrador.
19
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Como as regras e regulamentos para a proteção de ativos físicos reais relacionados ao Espaço 
Cibernético ainda estão sendo escritos, aqueles referentes a bens virtuais são quase inexistentes. 
Convém que os participantes em potencial tenham cautela e cuidados adicionais para garantir 
a proteção apropriada de seus ativos virtuais.
9.1.3 Ameaças aos ativos organizacionais
Presença e negócios online das organizações são muitas vezes alvo de meliantes cuja intenção 
é mais do que o simples mal.
EXEMPLO 1 Sindicatos de Crime Cibernético organizado muitas vezes ameaçam as organizações de que 
seus sites serão derrubados ou de que será causado constrangimento por meio de ações como desfiguração 
do site.
EXEMPLO 2 Se a URL de uma organização é registrada ou roubada por invasores cibernéticos e vendidas 
para organizações não relacionadas com a organização do mundo real, a confiança online concedida 
à organização vítima pode ser transferida de posse.
Em caso de um ataque bem-sucedido, as informações pessoais de funcionários, clientes, parceiros 
ou fornecedores podem ser divulgadas e isto pode resultar em sanções contra as organizações, 
se sua gestão ou proteção for julgada insuficiente, contribuindo para perdas.
Regulamentações de registros financeiros também podem ser violadas se os resultados organiza-
cionais forem divulgados de forma não autorizada.
Governos mantêm informações sobre segurança nacional, estratégica, militar, questões de inteligência, 
entre muitos outros elementos relacionados com o governo e o Estado, mas também uma vasta gama 
de informações sobre indivíduos, organizações e a sociedade como um todo.
Convém que os governos protejam sua infraestrutura e informações contra acesso indevido e contra 
exploração. Com uma crescente e expansiva tendência de oferta de serviços eletrônicos de governo 
por meio do Espaço Cibernético, este é um novo canal, entre outros, para lançar ataques e acessar 
as informações acima mencionadas e, se bem-sucedidos, podem resultar em sérios riscos a uma 
nação, seu governo e sua sociedade.
Em uma escala maior, a infraestrutura que suporta a Internet e, assim, o Espaço Cibernético, pode ser 
também um alvo. Ainda que isso não afete o funcionamento do Espaço Cibernético permanentemente, 
vai afetar a confiabilidade e a disponibilidade da infraestrutura, o que prejudica a segurança do Espaço 
Cibernético.
Em nível nacional ou internacional, o Espaço Cibernético é uma zona cinzenta em que o terrorismo 
prospera. Um dos motivos é a facilidade de comunicação proporcionada pelo Espaço Cibernético. 
Devido à natureza do Espaço Cibernético, especificamente os desafios em definir os limites e fronteiras, 
é difícil regular e controlar a maneira como ele pode ser usado.
Grupos terroristas podem legitimamente comprar os aplicativos, serviços e recursos que facilitam 
a sua causa ou podem recorrer a meios ilegais para contar com esses recursos para evitar a detecção 
e monitoramento. Isso pode incluir a aquisição de recursos computacionais massivos por meio 
de botnets.
9.2 Agentes de ameaça
Um agente de ameaça é um indivíduo ou grupo de indivíduos que têm algum papel na execução 
ou apoio de um ataque.
20
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
O conhecimento profundo de suas motivações (religiosas, políticas, econômicas etc.), dos recursos 
(financiamento, conhecimento, tamanho etc.) e intenções (divertimento, crime, espionagem etc.) 
é fundamental na avaliação de vulnerabilidades e riscos, bem como no desenvolvimento e implantação 
de controles.
9.3 Vulnerabilidades
A vulnerabilidade é uma fraqueza de um ativo ou controle que pode ser explorada por uma ameaça. 
Dentro do contexto de um sistema de informação, o ISO/IEC TR 19791:2006 também define vulne-
rabilidade como uma falha, fraqueza ou propriedade do projeto ou implementação de um sistema de 
informação (incluindo seus controles de segurança) ou seu ambiente que poderia ser, intencionalmente 
ou não, explorado para afetar negativamente os ativos ou operações de uma organização.
Convém que a avaliação de vulnerabilidade seja uma tarefa contínua. Como os sistemas recebem 
correções, atualizações ou novos elementos são adicionados, novas vulnerabilidades podem ser 
introduzidas. As partes interessadas exigem um profundo conhecimento e compreensão do ativo 
ou controle em questão, bem como as ameaças, os agentes de ameaças e riscos envolvidos, a fim 
de realizar uma avaliação abrangente.
NOTA A ABNT NBR ISO/IEC 27005 fornece orientações sobre a identificação de vulnerabilidades.
Convém que um inventário de vulnerabilidades conhecidas seja mantido com o mais rigoroso protocolo 
e de preferência separado física e logicamente do ativo ou controle a que se aplica. Se houver 
uma violação de acesso e o inventário de vulnerabilidades for comprometido, este inventário seria 
uma das ferramentas mais eficazes no arsenal de um agente de ameaça para perpetrar um ataque.
Convém que soluções para vulnerabilidades sejam buscadas, implementadas e quando uma solução 
não for possível ou viável, que controles sejam colocados em prática. Convém que esta abordagem 
seja aplicada em caráter prioritário sendo que, vulnerabilidades que apresentam um risco mais elevado 
são tratadas primeiramente. Procedimentos de divulgação de vulnerabilidade podem ser definidos 
no âmbito do compartilhamento e coordenação de informação conforme Seção 13 desta Norma.
NOTA A ISO/IEC 29147, proporciona orientações sobre a divulgação de vulnerabilidades.
9.4 Mecanismos de ataque
9.4.1 Introdução
Muitos dos ataques no Espaço Cibernético são realizados utilizando software maliciosos como 
spyware, worms e vírus. A informação é muitas vezes obtida por meio de técnicas de phishing. 
Um ataque pode ocorrer como um vetor de ataque singular ou realizado como um mecanismo misto 
de ataque. Estes ataques podem ser propagados, por exemplo, por meio de sites suspeitos, downloads 
não verificados, e-mails de spam, exploração remota e mídias removíveis infectadas.
Os ataques podem vir de duas principais categorias:
 — ataques de dentro da rede privada; e
 — ataques de fora da rede privada.
Há casos, contudo, em que os ataques são uma combinação de ambos os tipos, dentro e fora 
de uma rede privada. Outros mecanismos, que estão crescendo em uso e sofisticação para a realização 
de ataques, são aqueles baseados em sites de redes sociais e no uso de arquivos corrompidos 
em sites legítimos.
21
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
As pessoas tendem a confiar implicitamente em mensagens e conteúdos recebidos de contatos 
previamente aceitos em seus perfis de sites de redes sociais. Uma vez que um atacante, por meio 
de roubo de identidade, pode se disfarçar como um contato legítimo, ele pode envolver outras 
pessoas e um novo caminho está aberto para o lançamento dos vários tipos de ataques discutidos 
anteriormente.
Sites legítimos também podem ser invadidos e ter alguns dos seus arquivos corrompidos e usados 
como meio para perpetrar ataques. As pessoas tendem a confiar implicitamente em sites comumente 
visitados, muitas vezes marcados em seus navegadores da Internet por um longo tempo e, 
ainda mais, naqueles que usam mecanismos de segurança como o SSL (Secure Sockets Layer). 
Enquanto a autenticação e integridade da informação que está sendo transmitida ou recebida ainda 
estão em vigor, o SSL não faz a diferenciação entre o conteúdo original e o novo conteúdo corrompido, 
plantado por um atacante, expondo, assim, os usuários desse site a ataques.
Apesar da fonte percebida legítima como nos casos apresentados acima, convém ainda que os indi-
víduos tomemas precauções descritas na Seção 11 para melhor se proteger.
9.4.2 Ataques de dentro da rede privada
Estes ataques são normalmente lançados dentro da rede privada de uma organização, tipicamente 
a rede de área local, e podem ser iniciados por funcionários ou alguém que tem acesso a um computador 
ou rede dentro de uma organização ou instalações individuais.
EXEMPLO 1 Um caso possível é que os administradores de sistema poderiam aproveitar os privilégios 
de acesso ao sistema que mantêm, como o acesso à informação de senhas dos usuários, e usar isso 
para iniciar um ataque. Por outro lado, os próprios administradores de sistemas podem se tornar o alvo 
inicial de um ataque, como um meio para o atacante obter informações adicionais (nomes, senha etc.), 
antes de prosseguir para o alvo ou alvos pretendidos originalmente.
O atacante pode usar mecanismos como software interceptador de pacotes para obter senhas ou outras 
informações de identidade. Alternativamente, o atacante pode passar-se por uma entidade autorizada 
e agir como intermediário (man-in-the-middle) para roubar informações de identidade.
EXEMPLO 2 Um exemplo é o uso de pontos de acesso não autorizados (AP) para roubar identidades. 
Neste caso, o atacante poderia se sentar em um café, aeroporto ou outros locais públicos que oferecem 
acesso Wi-Fi gratuito à Internet. Em alguns casos, o atacante pode até mascarar-se como o legítimo 
proprietário do ponto de acesso sem fio no local usando o Service Set IDentifier (SSID) do local. Se um usuário 
acessa esse falso AP, o atacante pode atuar como intermediário (man-in-the-middle) e obter senhas valiosas 
e/ou informações de identidade do usuário, por exemplo, informações de conta bancária e senha, senha da 
conta de e-mail etc.
EXEMPLO 3 Muitas vezes, é suficiente apenas estar perto de uma rede Wi-Fi não protegida, como sentar-se 
em um carro do lado de fora de uma casa, para ser capaz de roubar a informação na rede.
Além de ataques lançados por atacantes humanos, computadores infectados por malware também 
lançam vários ataques a computadores próximos em uma rede privada.
EXEMPLO 4 Malwares muitas vezes enviam pacotes de exploração à rede privada para identificar compu-
tadores próximos e, então, tentar explorar os computadores descobertos.
EXEMPLO 5 Alguns malwares usam o modo promíscuo de uma interface de rede do computador infectado 
a fim de espionar o tráfego fluente pela rede privada.
EXEMPLO 6 Key loggers são aplicativos de hardware ou software que capturam todas as teclas pressio-
nadas no sistema-alvo. Isso pode ser feito em segredo para monitorar as ações de um usuário. Key-loggers 
são frequentemente utilizados para capturar informações de autenticação de páginas de login de aplicativos.
22
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
9.4.3 Ataques de fora da rede privada (por exemplo, Internet)
Há muitos ataques diferentes que podem ser iniciados fora da rede privada, incluindo a Internet.
Enquanto o ataque inicial objetiva sempre um sistema com interface para a rede pública (por exemplo, 
roteador, servidor, firewall, site etc.), os atacantes também podem buscar explorar os ativos que 
residem dentro da rede privada.
Velhos métodos de ataque são melhorados e novos são desenvolvidos de forma contínua. Os atacantes 
estão cada vez mais sofisticados e normalmente combinam técnicas e mecanismos de ataque para 
maximizar o seu sucesso, o que torna a detecção e prevenção de ataques ainda mais difíceis.
Port Scanners são uma das ferramentas mais antigas e ainda muito eficazes utilizadas por atacantes. 
Eles examinam todas as portas disponíveis em um servidor para confirmar quais portas estão “abertas”. 
Isso normalmente é uma das primeiras etapas executadas por um atacante em potencial no sistema 
alvo.
Estes ataques podem manifestar-se em vários ataques de negação de serviço aos servidores 
de aplicativos ou a outros equipamentos de rede, explorando vulnerabilidades no projeto do protocolo 
ou aplicativo.
EXEMPLO Com a ajuda de uma botnet podem ser lançados ataques de negação de serviço em larga 
escala que podem derrubar o acesso de um país ao Espaço Cibernético.
Com a proliferação de aplicativos peer-to-peer, comumente usados para compartilhar arquivos como 
música digital, vídeo, fotos etc., os atacantes estão se tornando cada vez mais sofisticados na forma 
de disfarçar a si e seu código malicioso, usando os arquivos trocados como um Cavalo de Tróia para 
seus ataques.
Estouros de buffer (também conhecidos como buffer overruns ou buffer overflow) são outro método 
popular de comprometer servidores na Internet. Ao explorar vulnerabilidades de codificação e enviar 
sequências de caracteres maiores que o esperado, o servidor é levado a operar fora do seu ambiente 
normal (controlado), facilitando assim a inserção/execução de código malicioso.
Outra técnica é IP Spoofing, pelo qual o atacante manipula o endereço IP associado com mensagens 
em uma tentativa de disfarçar-se como uma fonte conhecida, confiável, ganhando assim acesso não 
autorizado a sistemas.
10 Papéis das partes interessadas em Segurança Cibernética
10.1 Visão geral
Para melhorar a situação da Segurança Cibernética, as partes interessadas no Espaço Cibernético 
precisam desempenhar um papel ativo no seu respectivo uso e desenvolvimento da Internet. 
Esses papéis podem, por vezes, se sobrepor com as suas funções individuais e organizacionais dentro 
de suas redes pessoais ou organizacionais. O termo” rede organizacional” refere-se à combinação 
de redes privadas de uma organização (normalmente uma intranet), extranets e redes publicamente 
visíveis. Para os fins desta Norma, redes publicamente visíveis são aquelas redes expostas 
à Internet, por exemplo, para hospedar um site. Devido a esta sobreposição, essas funções podem 
parecer apresentar benefício insignificante ou indireto para o indivíduo e a organização envolvida. 
São, no entanto, importantes para melhorar a Segurança Cibernética quando todos envolvidos agirem 
adequadamente.
23
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
10.2 Papéis dos consumidores
10.2.1 Introdução
Os consumidores podem ver ou coletar informações, bem como fornecer certas informações específicas 
no espaço de um aplicativo no Espaço Cibernético ou abrir a membros ou grupos limitados dentro 
do espaço do aplicativo, ou ao público em geral. Ações tomadas por consumidores nesses papéis 
podem ser passivas ou ativas e podem contribuir direta e indiretamente para o estado de Segurança 
Cibernética.
10.2.2 Papéis dos indivíduos
Os consumidores do Espaço Cibernético podem assumir papéis diferentes em diferentes contextos 
ou aplicativos.
Papéis de consumidor podem incluir, mas não se limitam a, os seguintes:
 — Usuário do aplicativo do Espaço Cibernético, geral, como usuário de jogos online, usuário 
de mensagens instantâneas ou internauta;
 — Comprador/vendedor, envolvido na disposição de produtos e serviços em leilão online e sites 
de mercado para os compradores interessados e vice-versa;
 — Blogueiro e colaborador de outros conteúdos (por exemplo, um autor de um artigo em um wiki), 
em que a informação em texto e multimídia (por exemplo, clipes de vídeo) está publicada para 
o público em geral ou consumo de audiência limitada;
 — IAP dentro de um contexto de aplicativo (como um jogo onine) ou o Espaço Cibernético em geral;
 — Membro de uma organização (como um empregado de uma empresa ou outra forma de associação 
com uma empresa);
 — Outros papéis. É possível que ao usuário possa ser atribuído um papel involuntariamente ou sem 
o seu consentimento.
EXEMPLO Quando um usuário visita um site que exige uma autorização e sem intenção ganha acesso, 
o usuário pode ser rotulado como um intruso.
Em cada um desses papéis, os indivíduos podem ver ou coletar informações,bem como fornecer 
certas informações específicas dentro de um espaço de aplicativo do Espaço Cibernético, abrir a mem-
bros ou grupos limitados dentro do espaço do aplicativo ou ao público em geral. Ações assumidas por 
indivíduos que desempenham estes papéis podem ser passivas ou ativas e podem contribuir direta 
e indiretamente para o estado de Segurança Cibernética.
EXEMPLO 1 Se um IAP fornece um aplicativo que contém vulnerabilidades de segurança, estas vulnera-
bilidades podem ser usadas por meliantes cibernéticos como um canal para atingir os usuários do aplicativo.
EXEMPLO 2 Blogueiros ou outras formas de contribuintes de conteúdo podem receber uma solicitação 
na forma de perguntas inocentes sobre seu conteúdo. Na sua resposta, eles podem sem querer revelar 
ao público mais informações pessoais ou da empresa do que o desejado.
EXEMPLO 3 Um indivíduo, atuando como um comprador ou vendedor, pode sem saber participar de tran-
sações criminosas de venda de bens roubados ou atividades de lavagem de dinheiro.
24
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Consequentemente, como no mundo real, consumidores precisam ser cautelosos em todo e qualquer 
papel que eles desempenhem no Espaço Cibernético.
10.2.3 Papéis das organizações
Organizações usam muitas vezes o Espaço Cibernético para divulgar a companhia e informações 
respectivas, bem como serviços e produtos ligados ao mercado. Organizações igualmente utilizam 
o Espaço Cibernético como parte de sua rede para enviar e receber mensagens eletrônicas 
(por exemplo, e-mails) e outros documentos (por exemplo, transferência de arquivos).
Em alinhamento com os mesmos princípios de ser um bom cidadão corporativo, convém que estas 
organizações estendam suas responsabilidades corporativas ao Espaço Cibernético, assegurando 
proativamente que suas práticas e ações no Espaço Cibernético não introduzam riscos posteriores 
no Espaço Cibernético. Algumas medidas proativas incluem:
 — gestão apropriada de segurança da informação pela implementação de um sistema de gestão 
da segurança da informação (SGSI);
NOTA 1 A ABNT NBR ISO/IEC 27001 fornece requisitos para sistemas de gestão de segurança da 
informação.
 — resposta e monitoramento de segurança adequados;
 — incorporação da segurança como parte do Ciclo de Vida de Desenvolvimento de Software (SDLC), 
onde o nível de segurança construído nos sistemas precisa ser determinado pela criticidade 
dos dados da organização;
 — educação de segurança regular aos usuários na organização por meio de atualizações contínuas 
da tecnologia e assimilando os desenvolvimentos mais recentes de tecnologia; e
 — entender e utilizar canais apropriados de comunicação com fornecedores e provedores 
de serviços para questões de segurança descobertas durante o uso.
NOTA 2 A ISO/IEC 29147 fornece diretrizes sobre divulgação de vulnerabilidades.
NOTA 3 A ABNT NBR ISO/IEC 27031 fornece diretrizes para a prontidão do ICT para a continuidade 
do negócio.
NOTA 4 ISO/IEC 27035 fornece diretrizes de gestão de incidente de segurança de informação.
NOTA 5 ISO/IEC 27034-1 fornece diretrizes segurança de aplicativo.
O governo, principalmente os reguladores e agências de implementação da lei, pode ter os seguintes 
papéis importantes a desempenhar.
 — relembrar as organizações sobre seus papéis e responsabilidades no Espaço Cibernético;
 — compartilhar informações com outras partes interessadas sobre as mais recentes tendências 
e desenvolvimentos em tecnologia;
 — compartilhar informação com outros investidores sobre riscos de segurança atualmente 
prevalentes;
 — ser um canal para receber qualquer informação, quer fechada ou aberta, com vista aos riscos 
de segurança para o Espaço Cibernético; e
25
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 — ser o coordenador principal para a disseminação da informação e orquestrando quaisquer 
recursos necessários, tanto a nível nacional ou nível corporativo, em tempo de crise provinda 
de um ataque cibernético massivo.
10.3 Papéis do provedor
Serviços atendendo organizações podem incluir duas categorias:
 — provedores de acesso a empregados e parceiros no Espaço Cibernético, e
 — provedores de serviços para consumidores no Espaço Cibernético, seja para uma comunidade 
fechada (por exemplo, usuários registrados), seja para o público em geral, por meio de fornecimento 
de aplicativos do Espaço Cibernético.
EXEMPLO Exemplos de serviço são pontos de intercâmbio online, serviços de plataforma de fórum 
de discussão, serviços de plataforma de blogs e de redes sociais.
Provedores de serviços são também organizações consumidoras. Portanto, espera-se destes prove-
dores atitude para observar os mesmos papéis e responsabilidades como organizações consumi-
doras. Como provedores de serviço, elas têm responsabilidades adicionais em manter ou mesmo 
em melhorar a segurança do Espaço Cibernético:
 — provendo produtos e serviços protegidos e seguros;
 — provendo guia de segurança e cautela para usuários finais; e
 — provendo informações de segurança a outros prestadores e consumidores sobre tendências 
e observações do tráfego em suas redes e serviços.
11 Diretrizes para as partes interessadas
11.1 Visão geral
A orientação nesta Seção foca em três áreas principais:
 — orientação de segurança para consumidores;
 — gestão interna do risco de segurança de informação; e
 — requisitos de segurança, os quais recomenda-se que os provedores especifiquem para consumi-
dores implementarem.
As recomendações são estruturadas como a seguir:
 a) uma introdução para avaliação e tratamento de risco;
 b) diretrizes para consumidores; e
 c) diretrizes para organizações, incluindo prestadores de serviços:
 — gestão de risco da segurança da informação no negócio; e
 — requisitos de segurança para serviços de hospedagem e outros serviços de aplicação.
26
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
11.2 Avaliação e tratamento de risco
A ABNT NBR ISO 31000, Gestão de riscos – Princípios e diretrizes, fornece princípios e diretrizes 
gerais sobre gestão de risco enquanto a ABNT NBR ISO/IEC 27005, Tecnologia de informação – 
Técnicas de segurança – Gestão de risco de informação, fornece diretrizes, princípios e processos 
de gestão de risco de segurança da informação em uma organização, suportando, em particular, 
os requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC 27001. Estas diretrizes e processos 
são considerados suficientes para conduzir a gestão de risco no contexto do Espaço Cibernético.
A ABNT NBR ISO/IEC 27005:2011 não fornece qualquer metodologia específica para gestão de risco 
de segurança de informação. Ela serve para que consumidores e provedores definam sua abordagem 
da gestão de riscos. Uma série de metodologias atuais pode ser usada sob a plataforma descrita na 
ABNT NBR ISO/IEC 27005 para implementar os requisitos de SGSI.
É necessário considerar os seguintes aspectos ao definir uma abordagem para gestão de risco:
 — Identificação de ativos críticos: Conectar-se a ou utilizar o Espaço Cibernético amplia o escopo 
de definição de ativos. Como proteger todos os ativos não é justificável financeiramente, 
é essencial que os ativos críticos sejam identificados para que se tome cuidado específico para 
protegê-los. Convém que a designação seja feita a partir do contexto de negócio, mediante 
a consideração do impacto da perda ou degradação de um ativo sobre o negócio como um todo.
 — Identificação de riscos: Convém que as partes interessadas considerem e administrem apropria-
damente os riscos, ameaças e ataques adicionais que se tornam relevantes quando participam 
do Espaço Cibernético.
 — Responsabilidade: Ao participar do espaço cibernético, convém que uma parteinteressada aceite 
a responsabilidade adicional perante outras partes interessadas. Isto inclui:
 — Admissão: Reconhecer o possível risco que a participação da parte interessada pode introduzir 
no Espaço Cibernético em geral e especialmente em outros sistemas de informação da parte 
interessada.
 — Relatório: Pode ser necessário incluir partes interessadas de fora da organização quando 
se compartilham relatórios relativos a riscos, incidentes e ameaças.
 — Compartilhamento de informação: como no relatório, pode ser necessário compartilhar informações 
relevantes com outras partes interessadas.
 — Avaliação de risco: É necessário determinar a extensão em que ações e presença de partes 
interessadas se tornam ou contribuem ao risco para outra parte interessada.
 — Regulamento/legislativo: Conectando-se ao Espaço Cibernético, as fronteiras legais ou regula- 
mentórias ficam difíceis de distinguir e, além disso, às vezes requisitos contraditórios, 
são aplicáveis.
 — Obsolescência de serviço ou sistema: Uma vez que um sistema ou serviço não é mais neces-
sário, é recomendado que seja aposentado de um modo que seja garantido que os serviços 
ou interfaces relacionados não sejam impactados. Convém que toda informação relativa à segu-
rança seja invalidada para assegurar que os sistemas com os quais têm interface ou aos quais 
são relacionados não sejam comprometidos.
27
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 — Consistência: A abordagem à gestão de riscos se aplica ao longo de todo o Espaço Cibernético. 
Dentro desta abordagem ou metodologia, os provedores e as partes interessadas do Espaço 
Cibernético assumem responsabilidades por atividades específicas, como plano de contingência, 
recuperação de desastre e o desenvolvimento e implementação de programas protetores para 
os sistemas sob sua propriedade e/ou controle. 
Em geral, a metodologia da gestão de riscos da ABNT NBR ISO/IEC 27005 cobre o ciclo de vida 
pleno de um sistema genérico, tornando-o, assim, útil para novos sistemas de segurança, bem como 
para sistemas legados. Como lida com o tratamento de sistemas, é aplicável a todos os modelos 
de negócio. Os processos dentro da plataforma podem abranger as redes de provedores de serviços 
e os serviços como um sistema integrado, consistindo de subsistemas que proporcionam serviços 
públicos e subsistemas privados que sustentam serviços internos ou pode tratar cada um dos serviços 
individuais separadamente (por exemplo, hospedagem de web) e descrever sua condição em termos 
de sistemas de interação separados. Pode ser vantajosa, pela simplicidade, por considerar qualquer 
coisa que seja necessária para sustentar os serviços do provedor como um sistema extenso que pode 
ser decomposto em sistemas menores, cada um deles fornecendo um serviço de mercado ou fazendo 
parte da infraestrutura.
Aspectos importantes para relembrar quando se consideram as metas e objetivos da Segurança 
Cibernética são:
 a) proteger a segurança geral do Espaço Cibernético.
 b) planejar para emergências e crises por meio de participações práticas e planos de resposta 
e de continuidade de operações atualizados;
 c) educar as partes interessadas sobre Segurança Cibernética e práticas de gestão de risco;
 d) assegurar o compartilhamento oportuno, relevante e preciso de informações de ameaça entre 
autoridades, comunidades de inteligência e tomadores de decisões-chave relevantes no Espaço 
Cibernético; e
 e) estabelecer mecanismos efetivos de coordenação entre setores e partes interessadas para 
administrar interdependências críticas, incluindo conscientização situacional do incidente e gestão 
de incidente entre setores e partes interessadas.
As metas e objetivos de a) a c) fluem diretamente aos provedores de serviços que são responsáveis 
pelo equipamento e serviços sob seu controle. Para as metas e objetivos d) e e), os provedores 
de serviço são envolvidos como participantes ativos no compartilhamento de informação e atividades 
de coordenação.
As metas específicas de provedores de serviços sobre quais serviços fornecer decorrem do contexto 
do negócio.
11.3 Diretrizes para consumidores
Esta Norma não é direcionada especificamente a indivíduos do Espaço Cibernético, mas foca em 
organizações que fornecem serviços a consumidores e organizações que exigem de seus empregados 
e usuários finais praticar o uso seguro do Espaço Cibernético para gerir efetivamente os riscos 
do Espaço Cibernético. A orientação sobre os papéis e segurança de usuários no Espaço Cibernético 
e como eles podem influenciar positivamente o estado de Segurança Cibernética busca servir como 
guia para o projeto e desenvolvimento de conteúdos por estas organizações, no contexto de provisão 
de seu serviço e programas de conscientização e treinamento para entrega a seus usuários finais.
28
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Como explicado em 10.2, consumidores podem visar a informação de coleta, bem como prover certa 
informação específica dentro de um espaço de aplicativos do Espaço Cibernético, abrir membros 
ou grupos limitados dentro do espaço de aplicativo ou ao público em geral. Ações assumidas pelos 
consumidores nestes papéis podem ser passivas ou ativas e podem contribuir diretamente para 
o estado de Segurança Cibernética.
Por exemplo, como um IAP, se o aplicativo fornecido contém vulnerabilidades de segurança, 
estas poderiam resultar em exploração pelos delinquentes cibernéticos, que aproveitariam destas 
como canal para atingir usuários inocentes do aplicativo. Como blogueiros ou outras formas de contri-
buintes de conteúdo, eles podem receber um pedido na forma de questões inocentes sobre seus 
conteúdos nos quais eles podem revelar ao público, não intencionalmente, informações pessoais 
ou da empresa, mais que o desejável. Como um comprador ou vendedor, um consumidor pode sem 
querer participar de transações criminosas de venda de bens roubados ou de atividades de lavagem 
de dinheiro. Consequentemente, como no mundo físico, consumidores precisam ter cautela em todo 
e qualquer papel que eles desempenhem no Espaço Cibernético.
Em geral, é recomendado que os consumidores tomem nota das seguintes orientações:
 a) Aprender e entender a política de segurança e privacidade do site e aplicativo envolvidos, 
como publicado pelo provedor do site.
 b) Aprender e entender os riscos de segurança e privacidade envolvidos e determinar controles 
apropriados aplicáveis. Participar de fóruns de discussão online relacionados ou perguntar 
a alguém que conhece sobre o site ou aplicativo antes de proporcionar informação pessoal 
ou da empresa ou participar e fornecer informação para a discussão.
 c) Estabelecer e praticar uma política de privacidade pessoal para proteção de identidade, determi-
nando as categorias de informação pessoal disponível e os princípios para o compartilhamento 
relativos a esta informação.
 d) Gerir a identidade online. Usar diferentes identificadores para diferentes aplicativos de web 
e minimizar o compartilhamento das informações pessoais para aplicativo ou site da web pedindo 
tal informação. Registrar a identidade online em sites populares de rede social mesmo se a conta 
for deixada inativa.
EXEMPLO O acesso automático pessoal (Single Sign On) é uma forma de gerenciamento de identidade 
online.
 e) Relatar eventos ou encontros suspeitos para as autoridades competentes (ver Anexo B como um 
exemplo de uma lista pública de contatos).
 f) Como um comprador ou vendedor, ler e entender a segurança do site de compras online e sua 
política de privacidade e tomar medidas para verificar a autenticidade das partes interessadas 
envolvidas. Não compartilhar dados pessoais, incluindo informação bancária, a não ser que um 
interesse genuíno para vender ou comprar seja estabelecido. Usar um mecanismode pagamento 
de confiança.
 g) Como um IAP, praticar desenvolvimento de software seguro e fornecer o hash do código online 
para que partes recebedoras possam verificar o valor e, se necessário, garantir a integridade 
do código. Fornecer a documentação do código de segurança e as políticas e práticasde priva-
cidade e respeitar a privacidade dos usuários de código.
29
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 h) Como um blogueiro ou outro colaborador de conteúdo (incluindo mantenedores do site), 
certificar-se de que informações sensíveis e privadas aplicáveis das partes interessadas não 
sejam divulgadas por meio dos blogs e publicações online. Rever comentários e mensagens 
recebidas no site e garantir que não contenham qualquer conteúdo enganoso como links para 
sites de phishing ou downloads prejudiciais.
 i) Como um membro de uma organização, convém que um consumidor individual aprenda 
e compreenda a política de segurança da informação corporativa da organização e assegure 
que as informações classificadas e/ou sensíveis não sejam divulgadas intencionalmente ou por 
acidente em qualquer site da web no Espaço Cibernético, salvo se autorização prévia para esta 
divulgação tenha sido formalmente concedida.
 j) Outros papéis. Quando um consumidor visita um site que exige uma autorização e ganha acesso 
involuntariamente, o usuário pode ser rotulado como um intruso. Sair do site imediatamente 
e relatar à autoridade competente, uma vez que o fato de que foi possível ganhar acesso pode 
ser uma indicação de comprometimento.
11.4 Diretrizes para as organizações e prestadores de serviços
11.4.1 Visão Geral
Controles de gestão de riscos de Segurança Cibernética dependem significativamente da maturidade 
dos processos de gestão de segurança dentro das organizações (incluindo provedores de serviços).
Enquanto as diretrizes sugeridas aqui são principalmente discricionárias para as organizações, 
recomenda-se que os provedores de serviços tratem as diretrizes como medidas base obrigatórias.
As diretrizes desta Seção podem ser resumidas como:
 — Gerenciar riscos de segurança da informação na empresa.
 — Atender às exigências de segurança para a hospedagem de serviços web e outros serviços 
no Espaço Cibernético.
 — Fornecer orientações de segurança para os consumidores.
11.4.2 Gerir riscos de segurança da informação nos negócios
11.4.2.1 Sistema de gestão de segurança da informação
Em nível empresarial, convém que as organizações que se conectam ao Espaço Cibernético imple-
mentem um sistema de gestão de segurança da informação (SGSI) para identificar e gerenciar riscos 
de segurança da informação relacionados com o negócio. A série ISO/IEC 27000 sobre sistemas 
de gestão de segurança da informação fornece a orientação e as melhores práticas para implemen-
tação deste sistema.
Uma consideração-chave na implementação de um SGSI é garantir que a organização tenha um 
sistema para identificar, avaliar, tratar e gerir continuamente os riscos de segurança da informação 
relativos ao seu negócio, incluindo a prestação de serviços na Internet, diretamente para os usuários 
finais ou assinantes, caso seja um provedor de serviço.
NOTA 1 A ABNT NBR ISO/IEC 27005, Tecnologia da Informação – Técnicas de segurança – 
Gestão de riscos de segurança da informação, fornece diretrizes para a gestão de riscos de segurança 
da informação em uma organização apoiando, em especial os requisitos de um SGSI de acordo com a 
ABNT NBR ISO/IEC 27001.
30
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
NOTA 2 A ABNT NBR ISO 31000, Gestão de Riscos - Princípios e diretrizes fornece princípios e diretrizes 
genéricas sobre gestão de riscos.
As organizações podem também considerar uma certificação formal da sua conformidade com 
os requisitos do SGSI, como a ABNT NBR ISO/IEC 27001.
Como parte da implementação de um SGSI, convém que uma organização também estabeleça 
um acompanhamento de incidentes de segurança e capacidade de resposta e coordene suas atividades 
de resposta a incidentes com CIRT externo, CERT ou organizações CSIRT no país. Convém que 
as respostas a incidentes e emergências incluam o monitoramento e avaliação do estado de uso 
de serviços da organização por usuários finais e clientes e forneçam orientação para auxiliar as partes 
envolvidas na resposta eficaz a incidentes de segurança
NOTA A ISO/IEC 27035, Information technology − Security techniques − Information security incident 
management, fornece orientação sobre a gestão de incidentes de segurança da informação.
11.4.2.2 Fornecer produtos seguros
Algumas organizações desenvolvem1 e oferecem seus próprios aplicativos de barras de ferramenta 
para navegadores, discadores ou código para fornecer serviços de valor agregado para os usuários 
finais ou facilitam o acesso aos serviços e aplicativos da organização. Em tais casos, é recomendado 
que haja um acordo de usuário final adequado em uma linguagem acessível, incorporando 
as declarações sobre políticas de codificação, política de privacidade da organização e meios pelo quais 
os usuários podem mudar a sua aceitação mais tarde ou escalar quaisquer questões que possam ter 
em relação à política e às práticas da organização. Quando esse acordo for usado, convém que seja 
colocado sob controle de versão e é recomendado que a organização certifique-se que os usuários 
finais possam assina-lo de forma consistente.
Onde há um alto grau de confiança em relação à segurança de produtos de software, convém que 
estes sejam validados de forma independente sob os critérios do Commom Criteria, como descrito na 
ISO/IEC 15408.
Convém que as organizações documentem o comportamento do código e façam uma avaliação para 
saber se o comportamento pode falhar em áreas potenciais de forma que possa ser considerado 
como spyware ou software enganoso. Neste último caso, é recomendado contratar um assessor 
qualificado para avaliar se a falha de código dentro de fornecedores de anti-spyware objetiva que siga 
as melhores práticas para que as ferramentas de software de organização, previstas para usuários finais, 
não sejam rotuladas como spyware ou adware por fornecedores de anti-spyware. Muitos fornecedores 
de anti-spyware publicam os critérios pelos quais eles examinam o software.
Convém que as organizações implementem assinatura digital de código para seus binários para 
que os fornecedores de anti-malware e anti-spyware possam facilmente determinar o proprietário 
de um arquivo e ISV, que consistentemente produzem software que segue as melhores práticas, 
estariam classificados como sendo provavelmente seguros, mesmo antes da análise.
Se uma organização descobrir técnicas de software úteis que podem ajudar a reduzir o problema 
de spyware ou malware, convém que a organização considere a parceria e trabalho com o fornecedor 
para torná-las amplamente disponíveis.
1 Internamente ou por meio de um provedor terceirizado.
31
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
A fim de atender a estes requisitos, a educação de segurança dos desenvolvedores é muito importante. 
É recomendado que um ciclo de vida de desenvolvimento de software seguro seja utilizado onde as 
vulnerabilidades de software podem ser minimizadas, fornecendo assim um produto de software mais 
seguro.
NOTA A ISO/IEC 27034, Information technology − Security techniques − Application security fornece 
diretrizes para definir, desenvolver, implementar, gerenciar, apoiar e aposentar um aplicativo.
11.4.2.3 Monitoramento e resposta de rede
Monitoramento de rede é comumente utilizado pelas organizações para garantir a confiabilidade 
e a qualidade dos seus serviços de rede. Ao mesmo tempo, esta capacidade pode ser aproveitada 
para procurar condiçõesexcepcionais de tráfego de rede e detectar atividades enganosas emergentes 
na rede. Em geral, é recomendado que as organizações façam o seguinte:
 — Compreendam o tráfego na rede - o que é normal, o que não é normal.
 — Usem uma ferramenta de gestão de rede para identificar picos de tráfego, tráfego/portas 
“incomuns” e garantir que existem ferramentas disponíveis para identificar e responder a este 
fato.
 — Testem a capacidade de resposta antes que seja necessária para um evento real. Refinem 
as técnicas de resposta, processos e ferramentas com base no resultado de exercícios regulares.
 — Compreendam os componentes em uma base individual − se alguém que é normalmente 
um usuário inativo, de repente, começa a cobrir 100 por cento da banda disponível, pode ser 
necessário isolar o usuário contraventor até o ponto em que a razão possa ser identificada. 
Isolamento de rede pode impedir a propagação de malware embora possam exigir o consentimento 
do usuário ou atualizações dos Termos de Serviço.
 — Considerem o monitoramento da atividade por pontos de inteligência na rede, como DNS e filtros 
de mensagens, que também podem servir para sinalizar dispositivos que foram comprometidos 
com o malware, mas, por uma variedade de razões, não são detectados pelos antivírus 
ou serviços IDS.
EXEMPLO Devido ao grande volume de informação na rede, ferramentas como IDS e IPS podem ser 
usadas para monitorar por exceções relevantes.
11.4.2.4 Suporte e escalada
Empresas, incluindo provedores de serviços e organizações governamentais, têm normalmente 
um serviço de apoio para responder a consultas de clientes e prestar assistência técnica e apoio 
para resolver os problemas de usuários finais. Com a crescente proliferação de malwares na Internet, 
uma organização de prestação de serviço pode receber relatórios relativos a infecções de malware 
e spyware e outras questões de Segurança Cibernética. Tais informações são importantes e úteis 
para os fornecedores relevantes para avaliar o risco e situação de malware e fornecer atualizações 
a ferramentas necessárias para assegurar que qualquer novo malware ou spyware detectado possa 
ser removido ou desativado de forma eficaz. Neste sentido, convém que uma organização estabeleça 
contato com fornecedores de segurança e apresente relatórios relevantes e amostras de malware 
aos fornecedores para sequenciamento – especialmente se parecer haver um aumento na prevalência. 
A maioria dos fornecedores mantém uma lista de e-mail para receber esses relatórios ou amostras 
para análise e acompanhamento. Por exemplo, consultar a Tabela B.1, no Anexo B.
32
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
11.4.2.5 Mantendo-se atualizado com as últimas novidades
Como parte da implementação do SGSI para gerir o risco de segurança da informação da empresa 
e também garantir que as organizações continuem a acompanhar as melhores práticas da indústria 
e manter-se em guarda contra as mais recentes vulnerabilidades e situação de explorações/ataques, 
convém que as organizações participem de comunidades ou foruns relevantes da indústria para 
compartilhar suas melhores práticas e aprender com outros provedores.
11.4.3 Requisitos de segurança para hospedagem na web e outros serviços de aplicativos 
cibernéticos
A maioria dos provedores de serviços fornecem serviços de hospedagem em sua rede e centro de dados 
como parte de seus serviços de negócios. Estes serviços, que incluem sites e outros aplicativos online, 
são muitas vezes reembalados e revendidos por assinantes de hospedagem a outros consumidores, 
como as pequenas empresas e usuários finais. Se os assinantes de hospedagem tiverem configurado 
um servidor inseguro, hospedado conteúdo enganoso em seus sites ou aplicativos, a segurança 
dos consumidores será severamente prejudicada. Como tal, é importante que os serviços no mínimo 
executem os melhores padrões de práticas, cumprindo a política ou termos de acordos.
Quando são utilizados vários provedores, convém que a interação entre os provedores seja analisada 
e que os respectivos contratos de serviço tratem qualquer interação crítica. Por exemplo, é recomendado 
que atualizações ou downloads para os sistemas de um provedor sejam coordenados com outros 
provedores, caso a atualização resulte em interação negativa.
Convém que os termos dos acordos cubram pelo menos o seguinte:
 a) Avisos claros, descrevendo as práticas de privacidade e segurança, as práticas de coleta 
de dados e o comportamento de qualquer código (por exemplo, o Browser Help Object) 
que o site ou aplicativo online podem distribuir e executar em ambientes de estações de trabalho 
ou de navegador na web de usuários finais.
 b) Consentimento do Usuário, facilitando o acordo ou desacordo do usuário com os termos dos 
serviços descritos nos Avisos. Isso levaria um usuário a usar de discrição e determinar se ele/ela 
pode aceitar os termos de serviços em conformidade.
 c) Controles de Usuário, facilitando os usuários a alterar suas configurações ou de outra maneira 
terminar a sua aceitação a qualquer momento no futuro, após o acordo inicial.
Os termos são importantes para garantir que os usuários finais estejam claros quanto ao comportamento 
e as práticas do site ou aplicativo online em relação à privacidade e segurança dos usuários finais. 
Convém que os termos sejam desenvolvidos com o auxílio de um profissional jurídico para garantir 
que também indenizarão o provedor de serviços diante de potencial ação legal movida por usuários 
finais, como resultado de perdas ou danos específicos incorridos devido a conteúdo enganoso 
ou a políticas e práticas pouco claras no website.
Em adição à proteção de dados e disposições de privacidade pessoal no site ou aplicativo 
online, convém que os provedores de serviços exijam que sites ou aplicativos online hospedados 
em suas redes implementem um conjunto de melhores práticas de controles de segurança no nível 
do aplicativo antes que eles possam ir ao vivo. É recomendado que estes incluam, mas não se limitem a, 
os exemplos indicados em 12.2.
Como parte da infraestrutura de hospedagem de um provedor de serviço, convém que os servidores 
sejam protegidos contra o acesso não autorizado e a capacidade de hospedar conteúdo enganoso. 
Ver 12.3 para exemplos de controles.
33
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Para permitir a execução destes controles de segurança, em particular, os relacionados com a segu-
rança do site ou aplicativo online, é recomendado que os provedores de serviços considerem a incor-
poração destas disposições nos termos de acordos de serviços.
11.4.4 Orientação de segurança para os consumidores
Convém que os provedores de serviços forneçam orientação aos consumidores sobre como se 
manter seguro online. Os provedores de serviços podem criar a orientação diretamente ou direcionar 
os usuários a sites de orientação disponíveis que poderiam fornecer o conteúdo. É fundamental 
educar os usuários finais sobre como eles podem contribuir para uma Internet segura em relação aos 
múltiplos papéis que podem desempenhar no Espaço Cibernético, conforme descrito na Seção 7. 
Além disso, é recomendado que os usuários finais sejam aconselhados a tomar os controles técnicos 
de segurança necessários em que os provedores de serviços poderiam também desempenhar um 
papel ativo, conforme descrito em 11.3. Exemplos de atividades de orientação podem incluir:
 a) Boletins de segurança periódicos (por exemplo, mensais) para aconselhar sobre técnicas 
de segurança específicas (por exemplo, como escolher uma boa senha); atualizações sobre 
tendências de segurança e fornecer avisos de webcasts de segurança, outros vídeos sob 
demanda, radiotransmissões e as informações de segurança que estão disponíveis a partir 
do portal web da organização ou outros provedoresde conteúdo de segurança.
 b) Transmissões diretas de vídeos educativos de segurança ou webcasts sob demanda cobrindo 
uma variedade de tópicos de segurança para melhorar as práticas e conscientização de segurança 
dos usuários finais.
 c) A incorporação de uma coluna sobre segurança ao boletim impresso do provedor de serviços que 
é enviado para os usuários finais em suas residências ou escritórios para destacar os eventos 
e conteúdo de segurança.
 d) Seminários anuais ou periódicos e apresentações sobre segurança para o usuário final, possivel-
mente em parceria com outros agentes do setor, fornecedores e governos.
Convém que os provedores de serviços que usam e-mail como o principal meio de comunicação 
com os usuários finais façam isso de uma forma que ajude os usuários finais a resistir a ataques vindos 
do Espaço Cibernético. Em particular, é recomendado que os usuários finais sejam constantemente 
lembrados que e-mails não solicitados a partir do provedor de serviços jamais solicitem:
 — informações pessoais;
 — nomes de usuário;
 — senhas, e
 — nunca incluam links relacionados à segurança para o leitor clicar.
Quando um provedor de serviços deseja que um usuário visite o seu site para obter informações, 
convém que ele informe ao usuário como se conectar com segurança à URL desejada. Por exemplo, 
eles podem pedir que o usuário digite uma URL escrita em seu navegador e certifique-se de que a URL 
escrita não contenha um link clicável.
Como parte da educação e orientação do usuário sobre segurança contra software enganoso 
e spyware, convém que organizações e provedores de serviços aconselhem os seus usuários finais 
sobre o uso de técnicas adequadas de segurança para proteger os seus sistemas contra explorações 
e ataques conhecidos. Como um guia geral, é recomendado que os consumidores sejam encorajados 
a implementar os controles que constam em 12.4.
34
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
O Anexo B proporciona uma lista de exemplos de referências e recursos online que podem ser usados 
para apoiar a implementação das recomendações acima.
12 Controles de Segurança Cibernética
12.1 Visão geral
Uma vez que os riscos para a Segurança Cibernética são identificados e diretrizes apropriadas 
são elaboradas, controles de Segurança Cibernética que suportam os requisitos de segurança podem 
ser selecionados e implementados. Esta Seção dá uma visão geral dos controles-chave de Segurança 
Cibernética que podem ser implementados para apoiar as diretrizes estabelecidas nesta Norma.
12.2 Controles de nível de aplicativo
Controles de nível de aplicativo incluem o seguinte:
 a) Apresentação de notas breves, que contenham resumos concisos de uma página (usando uma 
linguagem simples) de políticas online essenciais da empresa. Com isso, os usuários são capazes 
de fazer escolhas mais informadas sobre o compartilhamento de suas informações online. 
É recomendado que as notas breves estejam de acordo com todos os requisitos regulamentares 
e forneçam links para declarações legais completas e outras informações relevantes para que 
os clientes que querem mais detalhes possam facilmente clicar para ler a versão mais longa. 
Com uma única nota, os clientes podem ter uma experiência mais consistente em todas 
as propriedades da empresa, com os mesmos padrões de privacidade e expectativas estendidos 
para muitos sites.
 b) Manejo seguro de sessões para aplicativos web, isto pode incluir mecanismos online, 
como cookies.
 c) Validação e manejo seguros de entradas de dados (input) para evitar ataques comuns como Injeção 
SQL. Com base no fato de que websites, que são geralmente considerados como confiáveis, 
são cada vez mais utilizados para distribuição de código malicioso, a validação de entrada e saída 
de dados tem de ser realizada por conteúdo ativo, como também dinâmico.
 d) Escrita segura da página web para evitar ataques comuns, como Cross-site Scripting.
 e) Revisão e teste da segurança de código por entidades qualificadas apropriadamente.
 f) Convém que o serviço da organização, seja este fornecido pela organização ou por uma parte 
que representa a organização, seja fornecido de forma que o consumidor possa autenticar 
o serviço. Isso pode incluir o provedor que usar um subdomínio de um nome de domínio de marca 
da organização e possivelmente o uso de credenciais HTTPS registrados para a organização. 
É recomendado que o serviço evite o uso de métodos enganosos onde o consumidor pode ter 
dificuldade em determinar com quem ele está lidando.
12.3 Proteção do servidor
Os seguintes controles podem ser usados para proteger os servidores contra acesso e hospedagem 
não autorizados de conteúdo enganoso em servidores:
 a) Configurar servidores, incluindo sistemas operacionais que os sustentam de acordo com um 
guia de configuração de segurança. É recomendado que este guia inclua definição adequada 
35
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
dos usuários versus administradores de servidores, implementação de controles de acesso nos 
diretórios e arquivos de sistema e controle e habilitação de trilhas de auditoria, em particular, 
para eventos de segurança e outros eventos de falha no sistema. Além disso, recomenda-se 
instalar um sistema minimalista em servidor, a fim de reduzir o vetor de ataque.
 b) Implementar um sistema para testar e implantar atualizações de segurança e garantir que 
o sistema operacional do servidor e aplicativos sejam mantidos prontos para atualizar-se quando 
novas atualizações de segurança estejam disponíveis.
 c) Monitorar o desempenho de segurança do servidor por meio de revisões regulares das trilhas 
de auditoria.
 d) Revisar a configuração de segurança.
 e) Executar controles de software maliciosos (como antivírus e anti-spyware) no servidor.
 f) Verificar regularmente todos os conteúdos hospedados e baixados utilizando-se de controles 
de softwares maliciosos atualizados. Reconhecer que um arquivo pode, por exemplo, ainda ser 
um spyware ou malware, mesmo se não for detectado pelos controles atuais, devido às restrições 
de informação imperfeita.
 g) Realizar regularmente avaliações de vulnerabilidade e testes de segurança para os sites 
e aplicativos online para garantir que a sua segurança esteja adequadamente mantida.
 h) Verificar regularmente por comprometimentos.
12.4 Controles	de	usuário	final
A seguir, encontra-se uma lista incompleta de controles que os usuários finais podem usar para 
proteger seus sistemas contra explorações e ataques conhecidos:
 a) Uso de sistemas operacionais suportados com os patches de segurança mais atualizados 
instalados. Consumidores organizacionais têm a responsabilidade de estar cientes da e seguir 
a, política organizacional em relação a sistemas operacionais suportados. Convém que os consu-
midores individuais estejam cientes do e considerem o uso de sistemas operacionais recomen-
dados pelo provedor. Em todos os casos, é recomendado que o sistema operacional seja mantido 
atualizado com vistas aos padrões de segurança.
 b) A utilização dos aplicativos de software suportados mais recentes, com os padrões mais 
atualizados instalados. Consumidores organizacionais têm a responsabilidade de estar cientes 
de, e seguir a política organizacional em vista de software de aplicativo suportado. Convém que 
os consumidores individuais estejam cientes de, e usem consideravelmente, o software 
de aplicativo recomendado pelo provedor. Em todos os casos, recomenda-se que o software 
de aplicativo seja mantido atualizado em relação aos padrões de segurança.
 c) Usar ferramentas antivírus e anti-spyware. Se possível, convém que um provedor de serviço, 
como um ISP, considere a parceria com os fornecedores de segurança confiáveis para oferecer 
essas ferramentas aos usuários finais, como parte do pacotede assinatura de serviço para 
que os controles de segurança sejam disponibilizados, sob assinatura ou sob renovação. 
Consumidores organizacionais têm a responsabilidade de estar cientes da política organizacional 
em relação ao uso de ferramentas de software de segurança. Convém que os consumidores 
individuais usem ferramentas de software de segurança. É recomendado que eles visem 
o provedor para qualquer software de segurança recomendado, proporcionado ou descontinuado. 
Em todos os casos, recomenda-se que o software de segurança seja mantido atualizado em vista 
dos padrões de segurança e bancos de dados de assinatura.
36
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 d) Implementar salvaguardas apropriadas de antivírus e anti-spyware. Navegadores e barras 
de ferramentas mais comuns já incorporaram recursos como bloqueadores de pop-up, 
que previnem contra sites mal-intencionados exibindo janelas que contêm spyware ou software 
enganoso que poderiam explorar as fraquezas do sistema ou navegador ou usar engenharia 
social para enganar os usuários a baixar e instalá-los em seus sistemas. É recomendado que 
as organizações estabeleçam uma política para possibilitar o uso destas ferramentas. 
Convém que organizações provedoras de serviços agreguem uma lista de ferramentas 
recomendadas e que o uso desta seja incentivado para os usuários finais, com orientações sobre 
a sua habilitação e concessão de permissão para sites que os usuários gostariam de permitir.
 e) Habilitar bloqueador de script. Ativar bloqueadores de script ou configuração de mais alto nível 
de segurança web para garantir que apenas os scripts de fontes confiáveis sejam executados 
em um computador local.
 f) Usar filtros de phishing. Navegadores web e barras de ferramentas mais comuns muitas vezes 
incorporam essa capacidade, o que pode determinar se um site que um usuário está visitando 
é encontrado dentro de um banco de dados de sites conhecidos de phishing, ou contém padrões 
de escrita que são semelhantes aos típicos sites de phishing. O navegador forneceria alertas, 
normalmente sob a forma de destaques codificados por cores, para avisar os usuários sobre 
o risco potencial. Convém que as organizações estabeleçam uma política para possibilitar o uso 
desta ferramenta.
 g) Utilizar outras características de segurança disponíveis do navegador web. De tempos em tempos, 
com o surgimento de novos riscos para a Segurança Cibernética, provedores de navegadores web 
e barras de ferramentas adicionam novos recursos de segurança para proteger os usuários contra 
os riscos. Recomenda-se que os usuários finais mantenham-se a par destes desenvolvimentos, 
aprendendo sobre essas atualizações que normalmente são fornecidas pelos provedores 
de ferramentas. Convém que organizações e provedores de serviços revejam igualmente estes 
novos recursos e atualizem serviços e políticas respectivas para atender melhor às necessidades 
de suas organizações e clientes e enfrentar os riscos relacionados à Segurança Cibernética.
 h) Habilitar firewall e HIDS pessoal. Firewall pessoal e HIDS são importantes ferramentas para 
controlar serviços de rede para acessar os sistemas do usuário. Uma série de sistemas 
operacionais mais recentes têm incorporado firewall e HIDS pessoal. Enquanto eles são 
ativados por padrão, os usuários ou aplicativos podem desativá-los, resultando em exposições 
indesejáveis de segurança de rede. Convém que as organizações adotem uma política sobre 
o uso de firewall e HIDS pessoal e avaliem as ferramentas ou produtos adequados para a 
implementação de modo que seu uso seja ativado por padrão para todos os funcionários. 
É recomendado que os provedores de serviços incentivem o uso de funções de firewall 
e HIDS pessoal e/ou que sugiram de outros produtos de firewall e HIDS pessoal testados 
e considerados confiáveis, e que eduquem e ajudem os usuários a permitir a segurança básica 
de rede no nível do sistema do usuário.
 i) Ativar atualizações automáticas. Enquanto os controles de segurança técnica acima são capazes 
de lidar com a maioria dos softwares enganosos em seus respectivos níveis de funcionamento, 
eles não são muito eficazes contra a exploração de vulnerabilidades que existem em sistemas 
operacionais e produtos de aplicativos. Para prevenir tais explorações, convém que a função 
de atualização disponível em sistemas operacionais, bem como aquelas prestadas por aplicativos 
confiáveis aos usuários (por exemplo, produtos antivírus e anti-spyware considerados confiáveis 
por terceiros) sejam habilitadas para atualizações automáticas. Isto, então garantiria que 
os sistemas são atualizados com os últimos padrões de segurança sempre que estiverem 
disponíveis, fechando o intervalo de tempo para surgirem explorações.
37
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
12.5 Controles contra ataques de engenharia social
12.5.1 Visão Geral
Os criminosos cibernéticos estão cada vez mais recorrendo a táticas de engenharia psicológicas 
ou sociais a fim de ter sucesso.
EXEMPLO 1 O uso de e-mails que transportam URI direcionando os usuários desavisados a sites 
de phishing.
EXEMPLO 2 E-mails fraudulentos solicitando os usuários a fornecer informações de identificação pessoal 
ou informações relativas à propriedade intelectual corporativa.
A proliferação das redes sociais e sites de comunidades fornece novos veículos que possibilitam 
posteriormente mais golpes e fraudes a serem realizados. Cada vez mais, esses ataques também 
estão transcendendo a tecnologia, além dos sistemas de PC e conectividade de rede tradicional, 
aproveitando telefones celulares, redes sem fio (incluindo Bluetooth), e voz sobre IP (VoIP).
Esta seção fornece uma estrutura de controles aplicável para gerir e minimizar o risco de Segurança 
Cibernética em relação a ataques de engenharia social. A orientação fornecida nesta Seção 
é baseada na noção de que a única forma eficaz para reduzir a ameaça da engenharia social é por meio 
da combinação de:
 — tecnologias de segurança;
 — políticas de segurança que estabelecem regras básicas para o comportamento pessoal, tanto 
como indivíduo quanto como empregado, e
 — educação e treinamento adequados.
O quadro abrange, portanto:
 — políticas;
 — métodos e processos;
 — pessoas e organizações, e
 — controles técnicos aplicáveis.
12.5.2 Políticas
Alinhadas com práticas comuns de gestão de riscos de segurança da informação, convém que 
políticas básicas conduzindo a criação, coleta, armazenamento, transmissão, compartilhamento, 
processamento e uso geral de informações organizacional e pessoal e propriedade intelectual 
na Internet e no Espaço Cibernético sejam determinadas e documentadas. Em particular, isto se 
relaciona com aplicativos como mensagens instantâneas, blogues, compartilhamento de arquivos P2P 
e redes sociais que são, normalmente, fora do âmbito da rede corporativa e da segurança da informação.
Como parte das políticas corporativas, convém que as declarações e as sanções relativas ao uso inde-
vido de aplicativos do Espaço Cibernético também sejam incorporadas para deter contra as práticas 
de abuso indevido por funcionários e terceiros na rede corporativa ou sistemas que acessam o Espaço 
Cibernético.
38
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
É recomendado que sejam desenvolvidas e promulgadas políticas administrativas que promovam 
a conscientização e compreensão dos riscos de Segurança Cibernética e incentivando, senão obrigando, 
a aprendizagem e o desenvolvimento de habilidades contra ataques de Segurança Cibernética, 
em particular, os ataques de engenharia social. Convém que isto inclua requisitos de comparecimento 
assíduo a tais reuniões e treinamentos.
Por meioda divulgação de políticas e conscientizações adequadas sobre os riscos da Segurança 
Cibernética, não é mais possível que os funcionários aleguem desconhecimento destes riscos 
e exigências e, ao mesmo tempo, desenvolve uma compreensão das melhores práticas e políticas 
esperadas de redes sociais externas e outros aplicativos do Espaço Cibernético como, por exemplo, 
o acordo de política de segurança do provedor de serviços.
12.5.3 Métodos e processos
12.5.3.1 Categorização	e	classificação	de	informações
Para apoiar as políticas para promover a conscientização e proteção de informações sensíveis 
pessoais e aquelas classificadas corporativas, incluindo propriedades intelectuais, é recomendado 
que processos de categorização e classificação de informações sejam implementados.
Para cada categoria e classificação das informações envolvidas, convém que controles de segurança 
específicos para proteção contra exposição acidental e acesso não autorizado intencional, sejam desen-
volvidos e documentados.
Usuários em organizações poderiam, então, diferenciar entre as diferentes categorias e classificação 
de informações que eles geram, coletam e manipulam. Usuários podem então ter a cautela necessária 
e controles protetores ao utilizarem o Espaço Cibernético.
Convém que também sejam desenvolvidos e promulgados procedimentos sobre como lidar com 
as propriedades intelectuais da empresa, dados pessoais e outras informações confidenciais.
12.5.3.2 Conscientização e treinamento
Conscientização e treinamento de segurança, incluindo a atualização regular de conhecimento 
e aprendizado relevantes, são um elemento importante para combater ataques da engenharia social 
no Espaço Cibernético.
Como parte do programa de Segurança Cibernética de uma organização, é recomendado que 
os funcionários e contratados terceirizados sejam submetidos a um número mínimo de horas 
de treinamento e conscientização a fim de garantir que eles, como indivíduos que utilizam o Espaço 
Cibernético, estejam conscientes de seus papéis e responsabilidades no Espaço Cibernético 
e dos controles técnicos que recomenda-se que sejam implementados. Além disso, como parte 
do programa para combater ataques de engenharia social no Espaço Cibernético, convém que estes 
treinamentos de conscientização incluam conteúdos como os seguintes:
 a) As ameaças mais recentes e as formas de ataques de engenharia social, por exemplo, 
como phishing evoluiu de sites falsos isolados para uma combinação de Spam, Cross Site 
Scripting e ataques de Injeção de SQL.
 b) Como informações individuais e corporativas podem ser roubadas e manipuladas através 
de ataques de engenharia social, proporcionar a compreensão de como os atacantes podem 
tirar proveito da natureza humana como uma tendência a obedecer aos pedidos que são feitos 
com autoridade (embora possam ser irreais), comportamento amigável, posando como vítima 
e reciprocidade, primeiro dando algo de valor ou ajuda.
39
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 c) Qual informação precisa ser protegida e como protegê-la, de acordo com a política de segurança 
da informação.
 d) Quando relatar ou denunciar um evento suspeito ou aplicativo enganoso para alertar as autoridades 
ou agências de resposta e informações sobre contatos disponíveis. Por exemplo, ver Anexo B.
Convém que organizações que prestam serviços e aplicativos no Espaço Cibernético online forneçam 
materiais de conscientização para os assinantes ou consumidores, cobrindo o conteúdo acima dentro 
do contexto de seus aplicativos ou serviços.
12.5.3.3 Teste
É recomendado que os funcionários assinem um reconhecimento de que aceitam e compreendem 
o conteúdo da política de segurança da organização. Como parte do processo para melhorar 
a conscientização e assegurar a devida atenção a esse risco, convém que a organização considere 
proceder a realização de testes periódicos para determinar o nível de conscientização e de cumprimento 
de políticas e práticas relacionadas. Os funcionários podem realizar um teste escrito ou submeter-se 
a um treinamento CBT para determinar se eles entendem o conteúdo da política de segurança 
da organização. Estes testes podem incluir, mas não estão limitados a, criação de sites de phishing, 
spam e e-mails fraudulentos funcionais, porém controlados usando conteúdo de engenharia social 
crível. Ao realizar estes testes, é importante assegurar que:
 a) os servidores de teste e os conteúdos estejam todos dentro do controle e comando da equipe 
de testes;
 b) profissionais que tenham experiência prévia de funcionamento de tal teste estejam engajados, 
sempre que possível;
 c) os usuários estejam preparados para tais testes, por meio dos programas de conscientização 
e treinamento; e
 d) todos os resultados dos testes sejam apresentados de forma agregada, a fim de proteger 
a privacidade de um indivíduo, pois, por exemplo, o conteúdo apresentado em tais testes pode 
constranger pessoas e causar problemas de privacidade se não for gerido de forma adequada.
NOTA Recomenda-se que cada país leve em consideração a sua ética e a legislação.
12.5.4 Pessoas e organização
Enquanto os indivíduos são os principais alvos dos ataques de engenharia social, uma organização 
também pode ser a vítima pretendida. As pessoas, no entanto, permanecem o ponto de entrada principal 
para ataques de engenharia social no Espaço Cibernético. Como tais, as pessoas precisam estar 
cientes dos riscos relacionados no Espaço Cibernético e convém que as organizações estabeleçam 
políticas relevantes e tomem medidas proativas para patrocinar programas que tendem a assegurar 
a conscientização e competência das pessoas.
Como um guia geral, é recomendado que todas as organizações (incluindo empresas, provedores 
de serviços e governo) incentivem os consumidores no Espaço Cibernético a aprender e compreender 
os riscos da engenharia social no Espaço Cibernético e os passos recomendados a tomar para 
proteger-se contra potenciais ataques.
40
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
12.5.5 Técnico
Além de estabelecer políticas e práticas contra ataques de engenharia social, é recomendado 
que controles técnicos também sejam considerados e sempre que possível adotados para minimizar 
a exposição e o potencial para as explorações dos delinquentes cibernéticos.
No nível pessoal, convém que os usuários do Espaço Cibernético adotem a diretriz constante em 11.3.
Convém que organizações e provedores de serviços tomem medidas pertinentes descritas em 11.4.4 
para facilitar a adoção e uso de controles técnicos de segurança.
É recomendado também que organizações e provedores de serviços adotem as orientações fornecidas 
em 11.4, que são importantes como controles básicos contra ataques de engenharia social no Espaço 
Cibernético.
Além disso, é recomendado que os seguintes controles técnicos que são úteis contra ataques 
específicos de engenharia social sejam considerados:
 a) Quando informações sensíveis pessoais e corporativas estão envolvidas em aplicativos online, 
considerar o fornecimento de soluções fortes de autenticação, ou como parte da autenticação 
de login e/ou quando da execução de transações. A autenticação forte refere-se ao uso de dois 
ou mais fatores adicionais de verificação de identidade, para além do uso de um ID e senha 
do usuário. O segundo e os adicionais fatores podem ser: utilizando smartcard, biometria e outros 
itens manuais de segurança.
 b) Para os serviços baseados em web, convém que as organizações considerem o uso de um 
“Certificado de Alta Garantia” para fornecer segurança adicional para os usuários online. 
A maioria das Autoridades de Certificação comerciais (CA) e navegadores de Internet são capazes 
de suportar o uso de tais certificados, o que reduz a ameaça de ataques de phishing.
 c) Para garantira segurança dos computadores dos usuários que se conectam ao site ou aplicativo 
do provedor de serviço no Espaço Cibernético, recomenda-se considerar controles adicionais 
para garantir um nível mínimo de segurança como a instalação das mais recentes atualizações 
de segurança. Convém que o uso de tais controles seja publicado no Contrato de Serviço 
do Usuário Final e/ou na Política de Segurança e Privacidade do Site, o que for aplicável.
12.6 Prontidão da Segurança Cibernética
O Anexo A descreve controles técnicos adicionais que são aplicáveis para melhorar a prontidão 
da Segurança Cibernética de uma organização na área de detecção de eventos, por meio de Moni-
toramento do Darknet (rede anônima de troca de arquivos), investigação, por meio de Traceback, 
e resposta, através da Operação Sinkhole (direcionamento das conexões de uma botnet).
12.7 Outros controles
Outros controles podem incluir controles relacionados ao alerta e quarentena de dispositivos que estão 
envolvidos em atividade suspeita, como observado por meio da correlação de eventos do provedor 
de serviços e/ou elementos da empresa como servidores DNS, fluxo de rede de roteador, filtragem 
de mensagens de saída e comunicações peer-to-peer.
41
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
13 Quadro de coordenação e compartilhamento da informação
13.1 Geral
Incidentes de Segurança Cibernética muitas vezes ultrapassam as fronteiras geográficas e organiza-
cionais nacionais e a velocidade do fluxo de informações e alterações advindas do desdobramento 
do incidente muitas vezes dá tempo limitado para que os indivíduos e organizações respondam 
e ajam. Um sistema precisa ser estabelecido para compartilhamento e coordenação de informação 
para ajudar a preparar e responder a eventos e incidentes de Segurança Cibernética. Este é um passo 
importante o qual convém que as organizações tomem como parte de seus controles de Segurança 
Cibernética. Recomenda-se que este sistema de compartilhamento e coordenação de informações 
seja seguro, eficaz, confiável e eficiente.
Convém que o sistema seja seguro para garantir que a informação a ser compartilhada, 
incluindo detalhes sobre a coordenação das atividades, esteja protegida contra acesso não autorizado, 
em particular, por parte do autor do incidente envolvido. Segurança de informação relativa a eventos 
da Segurança Cibernética é também necessária para evitar uma interpretação errada e causando 
pânico ou alarmes indevidos para o público. Ao mesmo tempo, a integridade e autenticidade 
da informação são fundamentais para assegurar a sua precisão e confiabilidade independentemente 
de essa informação ser compartilhada dentro de um grupo fechado, ou divulgada publicamente. 
Recomenda-se que o sistema seja eficaz e eficiente de modo que sirva ao seu propósito com o 
mínimo de recursos e dentro do tempo e do espaço necessários.
Esta seção fornece uma estrutura básica para a implementação de um sistema para compartilhamento 
e coordenação de informações. A estrutura inclui quatro áreas de análise, ou seja, políticas, métodos 
e processos, pessoas e elementos técnicos.
NOTA O Grupo de Estudos da ITU-T 17 está realizando um trabalho extenso sobre troca de informações 
de Segurança Cibernética. Consultar a Tabela C.17 − Intercâmbio de informações de Segurança Cibernética 
para obter mais informações.
13.2 Políticas
13.2.1 Organizações provendo informações e organizações recebendo informações
Para efeitos deste quadro, são introduzidos dois tipos de organizações de intercâmbio de informações:
 — OPI, e
 — ORI.
Como OPI, é recomendado que políticas básicas relativas à classificação e categorização da informação, 
à gravidade dos eventos e incidentes e à forma de participação possível, sejam determinadas antes 
da ocorrência de quaisquer incidentes da Segurança Cibernética ou de qualquer compartilhamento 
que ocorra (no caso de um OPI se transformando em um ORI para compartilhar informações recebidas 
com outras entidades autorizadas na cadeia de informações).
No final do recebimento, é recomendado que o ORI concorde em implantar a proteção da segurança 
e procedimentos aplicáveis ao receber informações do OPI em conformidade com o acordo previamente 
alcançado e com base na classificação e categorização das informações envolvidas.
42
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
13.2.2 Classificação	e	categorização	de	informações
Convém que os OPI determinem as diferentes categorias de informações que eles coletam, agregam, 
mantêm seguras e distribuem. Exemplos de categorias de informação podem incluir os eventos de 
segurança, ameaças à segurança, as vulnerabilidades de segurança, perfis em suspeita ou confirmados 
do perpetrador, grupos organizados, informação de vítima e categorias de perfil do sistema ICT.
Convém que cada categoria seja, posteriormente, subdividida em duas ou mais classificações com 
base nos conteúdos da informação envolvida. A classificação mínima pode ser sensível e irrestrita. 
Se a informação contém dados pessoais, classificações de privacidade também podem ser aplicadas.
13.2.3 Minimização de informações
Para cada categoria e classificação, convém que o OPI tenha cuidado para minimizar as informações 
a serem distribuídas. A minimização é necessária para evitar a sobrecarga da informação no final 
do recebimento, para assegurar uma utilização eficiente do sistema de compartilhamento, sem compro-
meter a sua eficácia. Outro objetivo da minimização é omitir informações sigilosas para preservar 
a privacidade das pessoas em OPI e ORI. Sob estes aspectos, é recomendado que OPI e ORI 
determinem o nível desejado de detalhes, sempre que possível, para cada categoria e classificação 
de informação que podem ser identificadas antes do efetivo compartilhamento.
13.2.4 Público limitado
Em consonância com o princípio da minimização, uma política para limitar o público, que pode ser 
pessoa de contato, grupo ou organização, para a distribuição, é necessária quando se compartilham 
informações contendo dados pessoais ou confidenciais. Para informações menos sensíveis, 
convém que uma política seja considerada para evitar a sobrecarga de informações, a menos que 
os benefícios da distribuição máxima (como o compartilhamento de alertas críticos de segurança) 
superem o impacto da sobrecarga de informação para o ORI.
13.2.5 Protocolo de coordenação
Convém que uma política de alto nível para coordenar o pedido e distribuição (seja iniciado pelo 
OPI ou ORI iniciado) seja estabelecida. Esta política formaliza o protocolo envolvido, que fornece 
um meio para o OPI e ORI responderem de forma eficaz e eficiente. Procedimentos de autenticação 
e verificação mútua poderiam, então, ser construídos sob tal protocolo para garantir a autenticidade 
de origem e comprovante de entrega onde desejada, em particular, para informação sensível, pessoal 
e/ou confidencial.
13.3 Métodos e processos
13.3.1 Visão geral
Para efetivar as políticas de compartilhamento de informação, e assegurar a coerência da prática, 
é recomendado que a eficácia, eficiência e confiabilidade da execução, métodos e processos 
relacionados sejam desenvolvidos e implementados. Convém que tais métodos e processos 
sejam baseados em padrões disponíveis. De outra maneira, sob a validação operacional, podem 
ser formalizados para normalização. As seguintes seções fornecem orientações sobre os métodos 
e processos que são comumente utilizados pelas organizações na indústria para atingir importantes 
objetivos e políticas de compartilhamento e coordenação de informação no contexto da Segurança 
Cibernética.
43
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
13.3.2 Classificação	e	categorização	de	informações
Informaçõesa serem compartilhadas virão de ambas as fontes, abertas ou fechadas. Informações 
de fonte aberta são muitas vezes para serem encontradas na Internet ou em outras fontes públicas, 
como jornais. Informações de fonte aberta são geralmente da mais baixa classificação, porque os 
autores da informação podem ser desconhecidos ou múltiplos, a idade da informação pode ser 
indeterminada e a precisão sujeita a ser questionada. Informações de fonte fechada não estão 
disponíveis publicamente, muitas vezes atribuídas a uma fonte e de idade conhecida. Exemplos 
de informações de fonte fechada são a pesquisa e análise proprietárias ou as de inteligência coletadas 
empiricamente.
NOTA A orientação para esta Seção pode ser com base no resultado do Período de Estudo (PS) sobre 
este tema, fazendo referência à norma se o PS procede ao desenvolvimento, ou adotando um resumo 
do texto do PS se ele termina sem posterior desenvolvimento.
13.3.3 Acordo de não divulgação
Um NDA pode ser utilizado para pelo menos duas finalidades no contexto do compartilhamento 
e coordenação da informação para implantar a Segurança Cibernética. Um uso típico de um NDA 
é garantir o tratamento adequado e proteção de informações sensíveis, pessoais e/ou confidenciais 
compartilhadas entre OPI e ORI e preestabelecer a condição de compartilhamento e posterior 
distribuição e uso destas informações.
No contexto da resposta a eventos da Segurança Cibernética, o pré estabelecimento de um NDA 
permite o compartilhamento e distribuição rápida entre as entidades autorizadas a realizarem de forma 
eficiente, mesmo que a classificação da informação não tenha sido claramente definida.
13.3.4 Código de conduta
Um método comumente usado para assegurar um compartilhamento e manejo adequados 
de informações sensíveis é o estabelecimento de um código de conduta que abrange procedimentos, 
responsabilidades e compromissos detalhados de organizações envolvidas (isto é, OPI e ORI) 
para as respostas e ações a serem tomadas pelas respectivas entidades envolvidas para cada 
categoria e classificação de informações.
EXEMPLO A ISO/IEC 29147, Information technology − Security techniques − Vulnerability disclosure.
13.3.5 Testes e exercícios
Para garantir a eficácia e confiabilidade e para alcançar o nível desejado de eficiência, é recomendado 
que métodos e processos sejam desenvolvidos para a realização de procedimentos de quadro 
de testes e exercícios.
Convém que a metodologia-padrão seja usada como referência para testes de segurança, a fim 
de fortalecê-la e ajustá-la com os objetivos e necessidades da organização.
Os testes de segurança podem ser realizados em ativos de alto risco. Isso pode ser assistido por 
meio da nomenclatura própria de classificação de dados da organização.
Convém que avaliações de segurança sejam realizadas, a intervalos regulares, em:
 — Aplicação
 — Sistema Operacional
 — Sistema de Gestão de Banco de Dados
44
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
13.3.6 Tempo e agendamento de compartilhamento de informações
A exigência para compartilhar informações, ou de forma proativa ou durante uma resposta 
a incidentes, varia de entidade para entidade. Algumas organizações têm um requisito para informações 
em tempo real: um alerta ou alarme de momento ocorrem e elas vão querer a inteligência para análise 
posterior. Outras entidades não possuem os recursos necessários para gerir o compartilhamento 
de informações em tempo real. Na verdade, muitas organizações podem não ter a capacidade 
de gerenciar o compartilhamento de informações de programação em qualquer intervalo.
Convém que o tempo e o agendamento do compartilhamento de informações sejam definidos de forma 
clara, com objetivos de nível de serviço específicos definidos para relações voluntárias e acordos 
de nível de serviço para as relações comerciais.
13.4 Pessoas e organizações
13.4.1 Visão geral
Pessoas e organizações são os principais determinantes para o sucesso da Segurança Cibernética. 
Pessoas se referem às pessoas envolvidas na execução dos métodos e processos de compartilhamento 
e coordenação de informação e de coordenação para fazer uma diferença positiva para os resultados 
dos eventos de Segurança Cibernética. Organizações referem-se a grupos de pessoas dentro 
de uma empresa até a empresa inteira envolvida em tais atividades. Para a eficácia e eficiência, 
é recomendado que as necessidades tanto das pessoas quanto das organizações sejam consideradas.
13.4.2 Contatos
Convém que uma lista de contatos seja compilada pelo OPI e ORI e, mutuamente, intercambiada para 
que cada entidade possa identificar a pessoa que solicitou ou enviou informações sobre a comunidade 
de compartilhamento.
Listas de contatos mais granulares também podem ser desenvolvidas e compartilhadas, de acordo 
com um público limitado (13.2.4) e políticas de classificação e categorização da informação (13.2.2).
Não é recomendado que a lista de contatos contenha informações pessoais sensíveis, de acordo 
com a política de minimização da informação (13.2.3). Para fins de privacidade, um apelido também 
pode ser considerado em vez do nome completo. Convém que as informações mínimas para a lista 
de contatos incluam o nome (ou apelido), números de contato (telefone celular, se possível) e endereço 
de e-mail. Um contato pode também ser estabelecido para cada pessoa-chave na lista de contatos.
Em acréscimo a uma lista de contatos para compartilhamento e coordenação de informação, uma lista 
de contatos separada para escalação de incidente também pode ser compilada para facilitar escalação 
rápida. Esta lista inclui, geralmente, os contatos externos que não estão na rede de compartilhamento. 
Por exemplo, ver Anexo B.
No mínimo, é recomendado que a lista de contatos seja protegida contra modificações não autorizadas 
para evitar o corrompimento e manter a integridade. Convém que os controles técnicos (13.5) sejam 
aplicados, se apropriados.
13.4.3 Alianças
Para facilitar o compartilhamento de informação e estabelecer práticas comuns e consistentes regidas 
por um código de conduta e/ou NDA acordados, organizações e grupos de indivíduos podem formar 
alianças com base em suas áreas de interesse que podem ser indústria, tecnologia ou outras áreas 
de interesse especial. Ver Anexo B para uma lista de exemplos de alianças existentes e organizações 
sem fins lucrativos que servem para tal propósito.
45
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
13.4.4 Conscientização e treinamento
Convém que as pessoas nas organizações estejam cientes dos novos riscos de Segurança 
Cibernética emergentes e treinadas para que desenvolvam as habilidades e competências necessárias 
para responder de forma eficaz e eficiente quando se deparam com risco específico envolvido 
ou com informação recebida exigindo suas ações para mitigar ou melhorar uma determinada situação. 
Para atingir estes objetivos:
 — Convém que sejam estabelecidas reuniões regulares sobre o estado de risco da Segurança 
Cibernética e descobertas concernentes à organização e à indústria.
 — Convém que sejam projetadas, organizadas e entregues sessões de treinamento focadas 
na simulação de cenários de ataque cibernético e workshops sobre áreas necessárias específicas 
de ação para recém-chegados ao grupo/organização, com atualizações em base regular.
 — Testes regulares, com orientações para cenários relevantes para garantir a compreensão 
abrangente e capacidade de executar procedimentos e ferramentas específicas.
Essa conscientização, treinamento e testes podem ser realizados por especialistas internos envolvidos, 
consultores externos ou outros especialistas de membros das alianças relacionadas envolvidas 
nos esforços de compartilhamento e coordenação de informação.
O uso de cenários como parte dos processos de treinamentoe teste é altamente recomendável, 
assim como uma abordagem permite aos indivíduos ganhar experiência próxima de situações da vida 
real importantes e aprender e praticar as respostas necessárias. Além disso, os incidentes passados 
podem ser usados como parte dos cenários para maximizar o compartilhamento de lições aprendidas 
e compreensão adquirida com essas situações.
13.5 Técnico
13.5.1 Visão geral
Controles técnicos e de normalização podem ser usados para melhorar a eficiência, reduzir o erro 
humano e aumentar a segurança envolvida nos processos de compartilhamento e coordenação 
de informações. Um número de sistemas técnicos e soluções pode ser concebido, desenvolvido 
e implementado. Esta Norma fornece algumas das abordagens e técnicas comumente usadas que 
foram adotadas por algumas organizações e pode ser adaptada para melhorar o compartilhamento 
e coordenação de informação e processos para lidar com a mudança do ambiente de risco 
da Segurança Cibernética.
13.5.2 Padronização de dados para sistemas automatizados
Como parte da rede de compartilhamento, os sistemas automatizados podem ser desenvolvidos 
e implantados ao longo da coordenação das organizações para coletar dados sobre evolução 
de eventos de Segurança Cibernética para análise e avaliação em tempo real e offline, a fim de 
determinar o estado de segurança mais recente no Espaço Cibernético dentro das fronteiras 
das organizações envolvidas. Tais dados podem incluir dados de tráfego de rede, atualizações 
de segurança para sistemas de software e dispositivos de hardware, dados de vulnerabilidades 
de segurança e dados de malware, spam e spyware, incluindo seus jogos e informações interceptadas. 
Os sistemas automatizados que suportam os primeiros respondedores e escalação de incidentes, 
conforme descrito em 13.4.2, também conteriam dados relativos a organizações e pessoas. 
Em vista da sensibilidade e volume do conteúdo dos dados envolvidos nestes sistemas, convém 
que as organizações (em particular, as alianças de organizações) avaliem os esquemas de dados 
e conteúdos para determinar controles técnicos adequados para melhorar a eficiência, eficácia 
e segurança. Estes podem incluir, mas não estão limitados a, o seguinte:
46
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
a) padronização do esquema de dados para cada categoria e classificação de dados coletados 
cumprindo a minimização da informação e política de privacidade e fornecendo garantia técnica 
a todas as entidades participantes e proprietários de dados de tal prática;
b) padronização do formato de dados para facilitar compartilhamento e melhorar o armazenamento, 
transmissão, manuseio e interoperabilidade entre sistemas. Por exemplo, ver TU-T X.1205; e
c) padronização de funcionalidade básica de processamento de dados e algoritmos usados, 
por exemplo, a função hash e os procedimentos de anonimização de endereço IP e outros 
requisitos de pré-processamento.
13.5.3 A visualização de dados
Considerar o uso de técnicas de visualização de dados para apresentar informações de eventos, 
o que ajuda a melhorar a visibilidade das mudanças e de incidentes de segurança emergentes 
surgindo sem a necessidade detalhes de cada evento, uma vez que emerge. Por exemplo, ver Anexo A 
que apresenta uma representação visual das atividades Darknet, o que facilita uma resposta mais 
eficaz às mudanças.
13.5.4 Intercâmbio-chave	criptográfico	e	backups de software/hardware
Para facilitar o compartilhamento de informação confidencial, convém que um sistema criptográfico, 
incluindo um sistema para mudanças-chave que pode ser rapidamente implantado, seja considerado 
para a implementação. É recomendado que o sistema inclua cópias de segurança adequadas para 
o software e hardware, bem como as chaves usadas na preparação para os fins de compartilhamento 
e as necessidades de recuperação de emergência.
13.5.5 Compartilhamento seguro de arquivos, mensagens instantâneas, portal web, e fórum 
de discussão
Para facilitar a interação online e compartilhamento de informações rápido e seguro, que pode incluir 
o compartilhamento de conteúdos digitais, como arquivos de texto e multimídia, e discussões online 
como offline, convém que as organizações de compartilhamento (OPI e ORI) considerem a adoção 
de ferramentas adequadas de compartilhamento de arquivos, mensagens instantâneas e ferramentas 
de fórum de discussão online que poderiam atender a segurança, eficácia, eficiência e as necessidades 
de confiabilidade.
Convém que provisões de alimentação de informações sobre eventos e estado da Segurança 
Cibernética sejam implementados para os portais web sejam como uma forma de comunicação para 
a comunidade pública e privada interessada e envolvida. Onde tal portal web é usado, é recomendado 
que existam posses e responsabilidades administrativas bem definidas para garantir a sua segurança 
e disponibilidade, e convém que as áreas particulares sejam fornecidas para informação de público 
limitado, quando necessário.
13.5.6 Os sistemas de testes
Embora convenha que cada sistema técnico e seus métodos e processos sejam rigorosamente 
testados para garantir a sua confiabilidade e integridade, convém que um ou mais sistemas técnicos 
dedicados a melhorar a eficiência e eficácia dos testes, em particular, testes por cenários, sejam 
considerados. Este sistema pode ser na forma de um sistema de simulação para simular os ambientes 
operacionais como percebidos por cada organização do Espaço Cibernético e no que tange à situação 
na Segurança Cibernética, fornecendo a capacidade de introduzir uma série de eventos de segurança 
para facilitar o teste a ser realizado.
47
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
13.6 Diretrizes de implementação
A implementação de tal estrutura requer que organizações e indivíduos colaborem para se reunir 
(virtual ou fisicamente) e determinar políticas específicas, controles e as medidas a tomar a fim 
de atingir os seus objetivos de compartilhamento e coordenação de informação segura, eficaz, 
confiável e eficiente em resposta a incidentes emergentes de Segurança Cibernética. As seguintes 
etapas de alto nível são recomendadas como um guia para a implementação:
 a) Identificar e reunir organizações e indivíduos relevantes para formar a comunidade de rede 
de compartilhamento e coordenação de informação, seja formal ou informalmente;
 b) Determinar a (função de cada organização/indivíduo envolvido seja como OPI, ORI ou ambos 
os casos (13.2.1).
 c) Estabelecer o tipo de informação e coordenação necessário que seria benéfico para a comunidade;
 d) Realizar a categorização e classificação de informações para determinar se qualquer informação 
sensível e/ou de privacidade está envolvida (13.2.2);
 e) Estabelecer políticas e princípios que regem a comunidade e as informações envolvidas (13.2);
 f) Determinar os métodos e os processos necessários requeridos para cada categoria e classificação 
de informações envolvidas (13.3);
 g) Determinar os requisitos e critérios de desempenho e estabelecer Código de Boas Práticas 
e assinar o NDA, se necessário (13.3.3 e 13.3.4);
 h) Identificar padrões e sistemas técnicos exigidos e adequados para apoiar a implementação 
e as operações da comunidade (13.5);
 i) Preparar-se para a operação; coletar lista de contatos e realizar workshops de conscientização 
e treinamento para preparar as partes interessadas;
 j) Realizar testes regulares, incluindo cenários de explicação e simulação, conforme necessário 
(13.3.5 e 13.5.6);
 k) Realizar revisões periódicas, pós-teste e pós-incidente para melhorar os sistemas de compartilha-
mento e coordenação, incluindo pessoas, processos e tecnologia envolvidos; ampliar ou reduzir 
o tamanho da comunidade, se necessário.
NOTA A ABNT NBR ISO/IEC 27001, Tecnologia da Informação− Técnicas de segurança − Requisitos 
de sistemas de gestão de segurança da informação, e a ISO/IEC 27003, Tecnologia da Informação − 
Guia de implementação de sistema de gestão de segurança de informação, proporcionam requisitos e guia 
de implementação, respectivamente.
48
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Anexo A 
(informativo) 
 
Prontidão da Segurança Cibernética
A.1 Visão geral
Os controles da Segurança Cibernética descritos na Seção 12 minimizam o risco e a exposição 
das organizações e usuários finais à maioria dos ataques conhecidos à Segurança Cibernética. 
Após o surgimento de incidentes de Segurança Cibernética, a plataforma para o compartilhamento 
e coordenação de informação descrita na Seção 11 provê a criação de um sistema de compartilhamento 
e coordenação de informação em preparação para responder a eventos e incidentes de Segurança 
Cibernética. Esta informação é adequadamente protegida entre o OPI e ORI.
Enquanto esses controles reduzem o risco e melhoram o tratamento e gestão de incidentes, 
os criminosos cibernéticos e outros meliantes continuarão a desenvolver novos ataques ou evoluir 
ataques atuais para superar as proteções existentes. Por isso, é também importante para as orga-
nizações implementarem sistemas e infraestruturas que permitam uma abordagem mais dinâmica 
e rigorosa para detecção, investigação e respostas a um ataque de segurança.
A ABNT NBR ISO/IEC 27031 fornece orientações sobre sistemas de gestão e processos relacionados 
para preparar os sistemas de TIC de uma organização para detectar e responder a eventos de segurança 
emergentes, incluindo eventos de Segurança Cibernética. Essa diretriz destaca abordagens técnicas 
adicionais que são aplicáveis para melhorar a rapidez da Segurança Cibernética de uma organização 
na área de detecção de eventos, por meio de monitoramento Darknet, na investigação, por meio 
de Traceback e na resposta, por meio da Operação Sinkhole.
Convém que organizações, em particular CIIP, pensem em alavancar essas abordagens para melhorar 
a sua preparação para a Segurança Cibernética e, portanto, seu estado.
A.2 Monitoramento Darknet
A.2.1 Introdução
A Darknet é um conjunto de endereços IP que não são utilizados nas organizações. Endereços IP 
na Darknet não são atribuídos a quaisquer sistemas de servidores e de PC. Usando pacotes 
monitorados nos domínios IP Darknet, as organizações poderiam observar ataques emergentes 
à rede, incluindo a verificação de rede iniciada por malware, o comportamento de infecção por malware 
e a retrodispersão DDoS. Uma vez que os endereços IP dos Darknet são públicos, mas não são 
atribuidos aos hosts legítimos, todo o tráfego de entrada ao longo dos domínios de IP Darknet pode 
ser inferido como consequência tanto de atividades enganosas ou de configurações incorretas.
Há, em geral, três métodos comumente utilizados na Darknet para observar tráfegos relacionados 
a atividades enganosas na Internet, ou seja, Monitoramento do Buraco Negro, e Monitoramento 
de Baixa e Alta Interação.
49
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
A.2.2 Monitoramento do Buraco Negro
Monitoramento do Buraco Negro refere-se a sistemas de monitoramento que não respondem contra 
os pacotes de entrada encontrados nos domínios de IP Darknet. Este tipo de sistema de monitoramento 
muitas vezes é usado para observar de modo imperceptível a varredura dos portas de rede por malware, 
o comportamento de infecção por malware (UDP com payload, incluindo shellcode) e retrodispersão 
de DDoS. Varredura de portas de rede é muitas vezes o primeiro passo tomado por atacantes 
para procurar sistemas vulneráveis que podem ser explorados. Os comportamentos de infecção 
de malware são normalmente a sequência de passos tomados pelos atacantes após a identificação 
dos sistemas vulneráveis. Estas ações de infecção são frequentemente observadas para usar UDP 
com payload no monitoramento do buraco negro. Além disso, retrodispersão de DDoS também 
é observada por meio do Monitoramento do Buraco Negro, no caso de endereços IP personificados 
(atacantes) e o alvo de DDoS pode ser reconhecido por este tráfego de retrodispersão. Figura A.1 
mostra uma captura na tela de uma visualização das atividades de malware detectadas por um 
sistema de Monitoramento de Buraco Negro. Um link de vídeo de exemplo pode ser encontrado aqui: 
https://www.youtube.com/watch?v=asemvKgkib4&feature=related.
Figura	A.1	−	Exemplo	de	visualização	das	atividades	de	malware por meio 
de um sistema de monitoramento do Buraco Negro
As “setas” acima no mapa-múndi (Figura A.1) retratam a travessia de pacotes IP a partir de fontes até 
os locais de destino. Os diferentes matizes (cores no vídeo) retratam o tipo de pacote (por exemplo, 
TCP SYN, TCP SYN-ACK, outros tipos de TCP, UDP e ICMP). A altitude de cada seta é proporcional 
ao seu número de portadores.
A.2.3 Monitoramento de baixa interação
Um sistema de monitoramento de baixa interação é um sistema de monitoramento Darknet que 
responde a pacotes IP Darknet detectados pela tentativa de reconectar-se aos sistemas hospedeiros 
suspeitos. A finalidade da tentativa de conexão é a obtenção de mais informações relativas aos ataques 
a sistemas hospedeiros, aos truques usados no ataque à rede e a outras informações relacionadas 
ao ataque, se possível. O sistema de monitoramento é frequentemente configurado para disfarçar-se 
como um sistema com vulnerabilidades não corrigidas para atrair ataques. O sistema de monitoramento 
de baixa interação também é usado para observar posterior reação de comportamento e atividades 
enganosos, como a execução de Shell Script após as varreduras iniciais de portas de rede.
50
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
A.2.4 Monitoramento de alta interação
Um sistema de monitoramento de alta interação (também referido como um honeypot de alta 
interação) é também um sistema de monitoramento Darknet que responde a pacotes IP Darknet pela 
tentativa de reconectar aos sistemas hospedeiros suspeitos e interagir com os sistemas, tanto quanto 
possível. O objetivo da interação é obter informações muito mais profundas incluindo a estratégia 
de exploração de vulnerabilidades, malwares executáveis injetados após exploração e o comportamento 
do malware infectado. O sistema de monitoramento de alta interação pode ser implementado 
em sistemas operacionais reais ou virtuais com vulnerabilidades não corrigidas para que eles chamem 
atenção de atacantes, sejam explorados, e, finalmente, capturem amostras do malware injetado.
A.3 Operação Sinkhole
Uma operação Sinkhole é definida como um método para redirecionar o tráfego IP específico 
para um dispositivo sinkhole (por exemplo, um roteador sinkhole) para fins de análise de tráfego, 
desvio de ataques e detecção de comportamentos anormais de uma rede. Por exemplo, se as operações 
comerciais de um sistema-alvo é interrompida por meio de um ataque DDoS, uma das soluções 
eficazes é iniciar uma operação Sinkhole injetando uma rota alternativa para o alvo, redirecionando 
o tráfego DDoS ao longo da rota em vez de permitir que ele flua a diretamente para o alvo original. 
O dispositivo sinkhole é capaz de absorver, analisar e/ou descartar o tráfego DDoS. A rota redirecionada 
do alvo, que está se dirigindo a um roteador sinkhole, geralmente é liberada por um roteador de borda 
BGP. A operação Sinkhole pelo uso da configuração BGP é descrita na RFC 3882. Uma desvantagem 
deste método é que não é possível que o endereço IP, ao ser atacado, seja usado para comunicação 
com outros usuários da rede até que a rota seja removida.
As operações Sinkhole são frequentemente usadas para a proteção contra ataques DDoS como 
descrito acima.Elas foram também desenvolvidas para proteger contra ataques de botnets, 
redirecionando Comando e Controle (C&C) do botnet para um dispositivo Sinkhole. Uma vez que cada 
bot precisa estabelecer conexões com um servidor C&C, a fim de receber instruções de ataque de um 
controlador de botnet, eles enviam consultas DNS para resolver o URL do servidor C&C. Em seguida, 
os servidores DNS enviam um endereço IP do dispositivo sinkhole para os bots em vez do verdadeiro 
endereço IP do servidor C&C. Por conseguinte, o controlador de bots é privado da conexão com 
os bots, de modo a não enviar instruções de ataque a eles.
A.4 Traceback
A fim de automatizar ou agilizar o rastreamento manual contra ataques enganosos, como ataques 
DoS (negação de serviço), onde o hospedeiro de origem é falsificado, muitas técnicas automatizadas 
de traceback foram estudadas. Técnicas traceback são reconhecidas como técnicas que reconstroem 
o caminho de ataque, e localizam os nós de rede do atacante corrigindo o tráfego, informações 
de roteamento, pacotes marcados ou log de auditoria do tráfego de ataque.
Técnicas de traceback, que podem reconstruir o caminho do ataque através de vários domínios 
de rede, ainda não são empregadas ou praticadas no ambiente operacional de rede real. As dificuldades 
de implantação de técnicas de traceback de interdomínio (por meio de vários domínios de rede) 
são derivadas das seguintes questões operacionais:
 a) Para fins de rastreamento interdomínio, a troca de informações sensíveis, como topologia 
detalhada do backbone, pode causar sérios problemas para os operadores de rede.
51
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 b) Uma vez que a operação de rastreamento pode ser intimamente ligada à segurança da rede 
do backbone do ISP, tentativas arbitrárias de traceback por pessoas não autorizadas não seriam 
aceitáveis para a maioria dos ISP. Portanto, existe o receio do desvio da técnica de rastreamento 
em cada domínio de rede por outros.
 c) Se uma técnica de rastreamento de interdomínio única e específica é aplicada em vários domínios 
de rede, convém que uma única técnica seja implantada por Sistemas Autônomos (SA) ao mesmo 
tempo. Além disso, os atacantes, mais cedo ou mais tarde desenvolvem ataques de evasão. 
Na prática, muitos ISPs utilizam múltiplas ferramentas de detecção e traceback em suas redes.
As questões operacionais acima surgem quando um teste de rastreamento tenta expandir para além 
dos limites da rede. Recomenda-se que técnicas traceback considerem os limites do funcionamento 
da rede e a diferença das políticas operacionais entre os diferentes domínios da rede. Acredita-se 
firmemente que mecanismos de traceback de interdomínio e de mitigação de ataque precisam ser 
implantados onipresentemente em toda a Internet.
No desenvolvimento de técnicas e sistemas traceback de interdomínio em prática, convém que 
a seguinte arquitetura seja considerada:
 a) Para manter os limites de operação de rede, é recomendado que a arquitetura de traceback deixe 
cada SA decidir inserir um pedido de rastreamento por cada política operacional de SA;
 b) Convém que a arquitetura de traceback também deixe a cada SA decidir se investiga ou não 
o interior do seu próprio domínio de rede mais profundamente;
 c) Convém que a arquitetura também permita que cada subdomínio de um SA decida se quer ou não 
inspecionar cada rede de subdomínio por sua política de operação. A operação de traceback vai 
consumir muitos recursos SA nos relacionados e, portanto, convém que a arquitetura de traceback 
não gere ou inunde com requisições sem sentido, se possível; portanto, convém que a arquitetura 
de traceback não enderece mensagens para SA que não tenham relação com o ataque montado;
 d) A fim de reduzir os danos do uso indevido, convém que a mensagem não transmita informação 
tão sensível que possa causar o vazamento de segredos ou confidência de um SA; assim, 
convém que a arquitetura de traceback não revele informações sensíveis de um SA para outros;
 e) Mesmo quando um desvio ou uma ação comprometida tenham ocorrido, a rastreabilidade 
da mensagem irá identificar o infrator, portanto, convém que uma mensagem trocada na arqui-
tetura tenha sua própria rastreabilidade para provar ou confirmar os emitentes;
 f) Se a arquitetura depende de uma técnica de rastreamento específica, os atacantes irão 
desenvolver ataques de evasão e esconder a localização de seus nós. Para superar os ataques 
de evasão, convém que a arquitetura de rastreamento seja independente de técnicas de traceback 
específicas;
 g) Muitos sistemas operacionais vêm para apoiar o dueto IPv4/IPv6 e vários ataques vêm por meio 
de um túnel 6to4 IPv6. Se não for possível que a arquitetura traceback rastreie os ataques IPv6 
na rede ou ataques por meio de alguns tradutores, a maioria dos ataques se deslocará para 
um ataque mais complexo. Portanto, convém que a arquitetura de traceback rastreie um ataque 
a um ambiente de duplo ataque, mesmo quando o ataque utiliza algumas técnicas de tradução 
de endereços;
 h) Para automatizar o processo de mitigação de ataque, convém que a arquitetura seja capaz 
de exportar o resultado de uma tentativa de rastreamento como gatilho para a mitigação de um 
ataque. Portanto, convém que a arquitetura de rastreamento permita que cada SA tenha outras 
ações, juntamente com um resultado de rastreamento, como filtragem ou outro acompanhamento;
52
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 i) Convém que a arquitetura tenha a capacidade de cooperar com os sistemas de detecção 
ou de sistemas de proteção;
 j) Um atacante pode mudar o padrão de tráfego de ataque para evitar o efeito de tais ações 
mitigadoras. Para combater as mudanças de um ataque complexo, convém que o tempo 
gasto para traçar um caminho de ataque seja tão curto quanto possível. Portanto, convém que 
a arquitetura exclua os seres humanos, tanto quanto possível.
53
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Anexo B 
(informativo) 
 
Recursos adicionais
B.1 Segurança online e referências anti-spyware
Há uma série de sites que podem ser referenciados e aproveitados para mais informações relativas à 
segurança da Internet e Segurança Cibernética. O que se segue é uma lista não exaustiva de exemplos:
 — Coalizão Anti-spyware – Anti-spyware Coalition ASC (http://www.antispywarecoalition.org/) 
– Um grupo dedicado a construir um consenso sobre definições e melhores práticas no debate 
em torno do spyware e outras tecnologias potencialmente indesejáveis. Composta por empresas 
anti-spyware, acadêmicos e grupos de consumidores, ASC procura reunir um conjunto diversificado 
de perspectivas sobre o problema do controle do spyware e outras tecnologias potencialmente 
indesejáveis.
 — APWG (http://www.antiphishing.org) – Um site educativo e de conscientização sobre phishing 
que fornece informativos trimestrais atualizados sobre as tendências de ataques, distribuição, 
impactos, e notícias.
 — Be WebAware (http://www.bewebaware.ca) – Programa nacional bilíngue de educação pública 
sobre segurança na Internet projetado para assegurar que os jovens canadenses se beneficiem 
a partir da Internet, enquanto segura e responsável em suas atividades online.
 — Centro de Uso Seguro e Responsável da Internet – Centre for Safe and Responsible Internet 
Use (http://csriu.org) – Organização que presta serviços de facilidade que abordam as questões 
do uso seguro e responsável da Internet.
 — Childnet International (http://www.childnet-int.org) - Organização sem fins lucrativos que trabalha 
em parceria com outros ao redor do mundo para ajudar a tornar a Internet um local excelente 
e seguro para as crianças.
 — ECPAT (http://www.ecpat.net) –Rede de organizações e indivíduos que trabalham juntos para 
eliminar a exploração sexual comercial de crianças.
 — GetNetWise (http://www.getnetwise.org) – O serviço público oferecido por uma coalizão 
de empresas do setor de Internet e organizações de interesse público que desejam que os 
usuários apenas tenham “um clique à frente” dos recursos de que precisam para tomar decisões 
conscientes sobre a sua utilização própria e da sua família da Internet.
 — Aliança de Global de Infraestrutura para a Segurança da Internet – Global Infrastructure 
Alliance for Internet Safety (GIAIS)(http://www.microsoft.com/security/msra/default.mspx) 
– Aliança de alguns prestadores de serviço, que se organizaram para melhorar a segurança 
na Web, gerenciar ameaças de forma consistente em um amplo espectro, e identificar e mitigar 
as vulnerabilidades existentes.
 — INHOPE (http://inhope.org) – Associação internacional que suporta linhas de Internet em seu 
objetivo de responder a denúncias de conteúdos ilegais para tornar a Internet mais segura.
54
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
 — Grupo de Segurança da Internet – Internet Safety Group (www.netsafe.org.nz) - O site NetSafe 
é a casa online do Grupo de Segurança da Internet da Nova Zelândia (ISG) e Hector o Protetor.
 — Interpol (http://www.interpol.int) – Organização policial internacional que facilita a cooperação 
policial transfronteira, e apoia e assiste a todas as organizações, autoridades e serviços, 
cuja missão é prevenir ou combater o crime internacional.
 — iSafe (http://www.isafe.org) – Líder mundial em educação para a segurança da Internet; incorpora 
currículo em sala de aula com a dinâmica de conscientização da comunidade para capacitar 
os alunos, professores, pais, policiais e adultos interessados para tornar a Internet um lugar mais 
seguro.
 — ISECOM (http://www.isecom.org) – Metodologias de Grupo Aberto (FDL) em Teste de Segurança 
Profissional (avaliação de vulnerabilidade, teste de penetração, hacking ético), Riscos de 
Avaliação Técnica (RAVs, etc.). ISECOM segue o OSSTMM (Manual de Metodologias de Teste 
de Segurança de Fonte Aberta), um padrão mundial de fato para a execução de testes 
de segurança de TI /TIC (http://www.osstmm.org).
 — COP (http://www.itu.int/cop/) – Children Online Protection (COP) é um projeto especial realizado 
pela UIT (União Internacional de Telecomunicações) e outras agências/empresas especializadas, 
fornecendo diretrizes de segurança para: crianças, pais, responsáveis e educadores, indústria 
e decisores políticos.
 — Segurança Microsoft Em Casa – Microsoft Security At Home 
(http://www.microsoft.com/protect) – Informação e recursos para ajudar o público a proteger seus 
computadores, eles próprios e suas famílias.
 — Instituto Nacional de Tecnologias de Telecomunicações – National Institute of 
Telecommunications Technologies (INTECO) (http://www.inteco.es, http://cert.inteco.es, 
http://www.osi.es, http://observatorio.inteco.es) – Serviço público gratuito oferecido por uma 
administração pública espanhola para promover a confiança e a segurança na Internet para 
os cidadãos, PMEs, técnicos, crianças etc., por meio de um Computer Emergence Response 
Team (INTECO-CERT), uma helpdesk de segurança para os cidadãos (OSI), e Observatório 
de Segurança da Informação.
 — Net Family News (http://netfamilynews.org) – Serviço público sem fins lucrativos para proporcionar 
um fórum e “notícias kid-tech” para os pais e educadores em mais de 50 países.
 — NetAlert Limited (http://www.netalert.net.au) – Organização comunitária sem fins lucrativos 
criada pelo governo australiano para fornecer aconselhamento e educação independentes 
na gestão de acesso a conteúdos online.
 — NetSmartzKids (http://www.netsmartzkids.org) – NetSmartz é um recurso de segurança interativo, 
educacional, do Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC) e Grupo 
de Meninos & Meninas da América (BGCA) para crianças de 5 a 17 anos, pais, responsáveis, 
educadores e responsáveis pela aplicação da lei que usa atividades adequadas à idade, em 3-D 
para ensinar as crianças a ficar mais seguras na Internet.
 — SaferInternet.be (www.saferInternet.be) – Este site oferece informações úteis sobre os prin-
cipais riscos e conteúdos nocivos com que os menores de idade podem ser confrontados 
online e no domínio das TIC em geral (como também por meio de redes de telefonia móvel etc.), 
ou seja, pornografia infantil, racismo e discriminação, as seitas, as práticas comerciais ilegítimas 
e fraudes, e, finalmente, os riscos técnicos. O site, que também apresenta estratégias para lidar 
55
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
corretamente com esses riscos, é composto por várias seções que se concentram em vários 
grupos-alvo. Ele provê, entre outras coisas, arquivos pedagógicos e técnicos para os educadores 
(pais e professores), jogos para crianças (com idades entre 6 e 12 anos) e um site completamente 
separado (web4me.be) para adolescentes.
 — SafeKids.com (http://www.safekids.com) – Recursos para ajudar as famílias a fazer da Internet 
uma tecnologia divertida, segura e produtiva.
 — StaySafe.org (http://www.staysafe.org) – Instituição educacional destinada a ajudar os consumi-
dores a entender os aspectos positivos da Internet, bem como a forma de gerir uma variedade 
de problemas de segurança que existem online.
 — UNICEF (http://www.unicef.org) – Defensor global para a proteção dos direitos das crianças, 
dedicado à prestação de assistência humanitária e de desenvolvimento de longo prazo para 
as crianças e os pais em países em desenvolvimento.
 — WebSafe Crackerz (http://www.websafecrackerz.com) – Jogos interativos e quebra-cabeças 
destinados a ajudar os adolescentes com estratégias para lidar com diferentes situações online, 
incluindo spam, phishing e scams.
B.2 Lista de exemplos de contatos de ocorrência de incidentes
A Tabela B.1 fornece uma lista não exaustiva de exemplos de contatos de ocorrência de incidentes de 
segurança na Internet:
Tabela B.1 – Lista de amostras de informações de contato de ocorrência de segurança
Organizações Contato
Cisco Systems Inc. e-mail para: safetyandsecurity@cisco.com http://www.cisco.com/security
Microsoft Corporation e-mail para: avsubmit@submit.microsoft.com mailto: secure@microsoft.com
Fórum de Resposta a Incidentes e 
Equipes de Segurança (FIRST) http://www.first.org/about/organization/teams/
Respectivas equipes CERT nacionais (por exemplo)
Instituto Nacional de Tecnologias de 
Telecomunicações, INTECO, Espanha
http://cert.inteco.es
(Inglês: http://cert.inteco.es/cert/INTECOCERT_1/?post
Action=getCertHome)
Telecom-ISAC Japão https://www.telecom-isac.jp/contact/index.html
KrCERT / CC (Coreia Internet Centro 
de Segurança http://www.krcert.or.kr/index.jsp
56
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Anexo C 
(informativo) 
 
Exemplos de documentos relacionados
C.1 Introdução
Este Anexo apresenta uma lista não exaustiva de exemplos de documentos que podem ser 
úteis quando se considera a Segurança Cibernética. Ela não se destina a ser uma lista completa 
das Normas e relatórios técnicos para Segurança Cibernética.
C.2 ISO e IEC
Tabela C.1 – Sistemas de gestão de segurança da informação
Referência Título
ISO/IEC 27000 Information technology – Security techniques – Information security management systems – Overview and vocabulary
ABNT NBR ISO/IEC 27001 Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos
ABNT NBR ISO/IEC 27002 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação
ABNT NBR ISO/IEC 27003 Tecnologia da informação– Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação
ISO/IEC 27010 Information technology – Security techniques – Information security management for inter-sector and inter-organizational communications
Tabela C.2 – Gestão de riscos
Referência Título
ABNT NBR ISO/IEC 27005 Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação
ISO/IEC 16085 Systems and software engineering – Life cycle processes – Risk management
57
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Tabela C.3 – Avaliação da segurança de TI
Referência Título
ISO/IEC 15408 Information technology – Security techniques – Evaluation criteria for IT security
ISO/IEC 18045 Information technology – Security techniques − Methodology for IT security evaluation
ISO/IEC TR 19791 Information technology – Security techniques – Security assessment of operational systems
Tabela C.4 – Garantia de segurança
Referência Título
ISO/IEC TR 15443 Information technology – Security techniques – Security assurance framework
ISO/IEC 15026 Systems and software engineering – Systems and software assurance
Tabela C.5 – Projeto e implementação
Referência Título
ABNT NBR ISO/IEC 12207 Engenharia de sistemas e software – Processos de ciclo de vida de software
ISO/IEC 14764 Software Engineering-Software Life Cycle Processes –Maintenance
ABNT NBR ISO/IEC 15288 Engenharia de sistemas e software − Processos de ciclo de vida de sistema
ISO/IEC 23026
Software Engineering – Recommended Practice for the Internet – 
Web Site Engineering, Web Site Management, and Web Site Life 
Cycle
ISO/IEC/IEEE 42010 Systems and software engineering – Architecture description
Tabela C.6 – Serviços terceirizados
Referência Título
ISO/IEC TR 14516 Information technology – Security techniques – Guidelines for the use and management of Trusted Third Party services
ISO/IEC 15945 Information technology – Security techniques – Specification of TTP services to support the application of digital signatures
58
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Tabela C.7 – Segurança de rede e aplicação
Referência Título
ISO/IEC 18028 Information technology –Security techniques – IT network security
ISO/IEC 18043 Information technology – Security techniques – Selection, deployment and operations of intrusion detection systems
ISO/IEC 27033 Information technology – Security techniques – Network security
ISO/IEC 27034 Information technology – Security techniques – Application security
Tabela C.8 – Continuidade e gestão de incidentes
Referência Título
ISO/IEC TR 18044
Information technology – Security techniques – Information security 
incident management 
NOTA BRASILEIRA O ISO/IEC TR 18044 foi cancelado, sem subs-
tituição, em 18 de Julho de 2011. 
ABNT NBR ISO/IEC 24762
Tecnologia da informação – Técnicas de segurança – Diretrizes 
para os serviços de recuperação após um desastre na tecnologia 
da informação e de comunicação
ABNT NBR ISO/IEC 27031
Tecnologia da informação – Técnicas de segurança – Diretrizes 
para a prontidão para a continuidade dos negócios da tecnologia 
da informação e comunicação
ISO/IEC 27035 Information technology – Security techniques – Information security incident management
Tabela C.9 – A gestão de identidade
Referência Título
ISO/IEC 24760 Information technology – Security techniques – A framework for identity management
Tabela C.10 – Privacidade
Referência Título
ISO/IEC 29100 Information technology – Security techniques – Privacy framework
Tabela C.11 – Gestão de ativos
Referência Título
ISO/IEC 19770 Information technology – Software asset management
59
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Tabela C.12 – Gestão de serviço
Referência Título
ABNT NBR ISO/IEC 20000 Tecnologia da informação – Gerenciamento de serviços
C.3 ITU-T
Tabela C.13 – Segurança Cibernética
Referência Título
ITU-T X.1200 – 
X.1299 Series
Series X: Data Networks, Open System Communications and Security, 
Telecommunication Security – Cyberspace security
ITU-T X.1205 Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Overview of Cybersecurity
Tabela C.14 – Continuidade e gestão de incidentes
Referência Título
ITU-T X.1206
Series X: Data Networks, Open System Communications and Security, 
Telecommunication Security – A vendor-neutral framework for automatic 
notification of security related information and dissemination of updates
Tabela C.15 – Software indesejado
Referência Título
ITU-T X.1207
Series X: Data Networks, Open System Communications and Security, 
Telecommunication Security – Guidelines for Telecommunication Service 
Providers for Addressing the Risk of Spyware and Potentially Unwanted Software
Tabela C.16 – Spam
Referência Título
ITU-T X.1231 Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Technical strategies for countering spam
ITU-T X.1240 Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Technologies involved in countering e-mail spam
ITU-T X.1241 Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Technical framework for countering e-mail spam
ITU-T X.1244
Series X: Data Networks, Open System Communications and Security, 
Telecommunication Security – Overall aspects of countering spam in IP-based 
multimedia applications
60
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Tabela C.17 – Intercâmbio de informações de Segurança cibernética
Referência Título
ITU-T X.1500-X.1598 
Series (CYBEX)
Series X: Data networks, Open System Communications and Security – 
Cybersecurity Information Exchange
NOTA Em setembro de 2011, como o trabalho CYBEX está em andamento no ITU-T, só X.1500, X.1520, 
X.1521 e X.1570 estão disponíveis como recomendações ou rascunhos. Vários outros se seguirão no futuro, 
por isso é recomendado que os usuários verificassem o site de ITU-T para as últimas informações disponíveis.
61
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o
Bibliografia
[1] Uma Arquitetura Autônoma para Treceback Interdomínio através das fronteiras de Operação 
de Rede (iscc06)
[2] IETF RFC 3882, Configurando BGP para bloquear ataques Denial-of-Service
[3] ISO/IEC 15408-1, Information technology – Security techniques – Evaluation criteria for IT 
security – Part 1: Introduction and general model
[4] ISO/IEC 19770-1, Information technology – Software asset management – Part 1: Processes 
and tiered assessment of conformance
[5] ISO/IEC TR 19791, Information technology – Security techniques – Security assessment 
of operational systems
[6] ABNT NBR ISO/IEC 20000-1, Tecnologia da informação – Gestão de serviços – Parte 1: Requisitos 
do sistema de gestão de serviços
[7] ABNT NBR ISO/IEC 27001, Tecnologia da informação – Técnicas de segurança – Sistemas 
de gestão de segurança da informação - Requisitos
[8] ABNT NBR ISO/IEC 27002, Tecnologia da informação – Técnicas de segurança – Código 
de pratica para a gestão da segurança da informação
[9] ABNT NBR ISO/IEC 27005, Tecnologia da informação – Técnicas de segurança – Gestão 
de riscos de segurança da informação
[10] ISO/IEC 27010, Information technology – Security techniques – Information security management 
for inter-sector and inter-organizational communications
[11] ABNT NBR ISO/IEC 27031, Tecnologia da informação – Técnicas de segurança – Diretrizes para 
a prontidão para a continuidade dos negóciosda tecnologia da informação e comunicação
[12] ISO/IEC 27033 (todas as partes), Information technology – Security techniques – Network security
[13] ISO/IEC 27034 (todas as partes), Information technology – Security techniques – Application 
security
[14] ISO/IEC 27035, Information technology – Security techniques – Information security incident 
management
[15] ISO/IEC 29147, Information technology – Security techniques – Vulnerability disclosure
[16] ABNT NBR ISO 31000, Gestão de Riscos – Princípios e diretrizes
[17] ITU-T X.1200 – X.1299, Series X: Data Networks, Open System Communications and Security, 
Telecommunication Security – Cyberspace security
[18] ITU-T X.1500 – X.1598, Series X: Data networks, Open System Communications and Security – 
Cybersecurity Information Exchange
62
ABNT NBR ISO/IEC 27032:2015
© ISO/IEC 2012 - © ABNT 2015 - Todos os direitos reservados
W
e 
PD
F 
W
at
er
m
ar
k R
em
ov
er
 D
em
o