Tecnologia da Informação UNIP 3

Prévia do material em texto

112
Unidade III
Unidade III
7 COMPUTAÇÃO EM NUVEM (CLOUD COMPUTING): SAAS, PAAS E IAAS
A computação em nuvem pode trazer diversas vantagens competitivas para as empresas. SaaS, 
PaaS e IaaS são as três principais modalidades dos serviços de cloud computing e cada formato tem 
características e aplicações próprias. As siglas indicam o modelo de serviço prestado na nuvem: software 
como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS). Tal como 
indicado pelas siglas, a principal diferença entre essas três modalidades de computação em nuvem é o 
tipo de serviço oferecido por um fornecedor. Podemos pensar como uma escalada tecnológica, em que 
uma organização vai ampliando os serviços utilizados na nuvem, partindo de ferramentas básicas de 
colaboração em SaaS, passando pela utilização de softwares em PaaS, até chegar à migração completa da 
infraestrutura de TI para a nuvem (IaaS). Assim, as diferenças entre os modelos estão mais relacionadas 
às necessidades e à maturidade digital das organizações.
Na prática, esses serviços atendem necessidades específicas das empresas:
• SaaS (do inglês, software as a service): nesse primeiro padrão de computação em nuvem, você 
tem acesso ao software sem imposição de comprar sua licença, utilizando-o a partir da computação 
em nuvem. Mas há planos de pagamento nos quais é cobrada uma taxa fixa ou um valor que varia 
de acordo com o uso. Muitos CRMs ou ERPs trabalham no sistema SaaS, e até mesmo sites como 
o Facebook e o Twitter ou aplicativos como o Google Docs e o Office 365 funcionam dessa forma. 
Assim, a aquisição desses softwares é feita via internet. Os dados e demais informações podem ser 
acessados de qualquer dispositivo, dando mais mobilidade à equipe. Um dos mais conhecidos é o tipo de 
serviço on-line mais utilizado, por exemplo, por serviços de e-mail, sendo esta uma recomendação para 
pequenas empresas, que não podem gastar uma pequena fortuna com a compra de licenças; trabalhos 
que durem apenas um curto período de tempo; necessidades de acesso remoto aos aplicativos, como 
no caso de softwares de CRM. O SaaS não é aconselhável quando as organizações seguem uma 
legislação que não permite a hospedagem de dados fora da empresa ou os requisitos de segurança e 
o service level agreement (SLA) – ou acordo de nível de serviço – são críticos e não podem ser oferecidos 
pelo provedor dos serviços.
Figura 11 – Facebook, um exemplo de SaaS
113
TECNOLOGIAS DA INFORMAÇÃO
• PaaS (do inglês, platform as a service): esse segundo padrão pode ser entendido como uma 
plataforma que pode criar, hospedar e gerir um aplicativo. Nesse modelo, contrata-se um ambiente 
de desenvolvimento completo, sendo possível criar, modificar e aperfeiçoar softwares e aplicações 
utilizando a infraestrutura na nuvem. O time de desenvolvimento tem uma infraestrutura 
completa à disposição, sem que sejam necessários altíssimos investimentos. No entanto, o PaaS 
não é indicado quando o desempenho do software pede algum hardware ou outros aplicativos 
específicos. Além disso, se, no futuro, sua empresa precisar migrar para outro fornecedor, poderá 
ter dificuldades, devido ao uso de determinadas linguagens. Entre as principais características 
desse padrão de computação nas nuvens temos: o acesso aos dados via web ou aplicativos móveis; 
o gerenciamento centralizado; as aplicações seguindo o modelo “um para muitos”; a possibilidade 
de realizar integrações; e a personalização das ferramentas por meio de application programming 
interfaces (APIs). Entre as vantagens desse modelo, podemos citar o gerenciamento e acesso a um 
grande volume de dados extensos e muitas vezes complexos, bem como a atualização e o acesso 
aos aplicativos hospedados na rede via dispositivos móveis. O melhor é não utilizá-lo quando a 
linguagem proprietária puder dificultar a mudança no futuro para outro fornecedor, ou ainda se 
a organização utilizar linguagens proprietárias ou abordagens que influenciam no processo de 
desenvolvimento. O seu uso é desaconselhável também nos casos de personalização avançada, 
em que o desempenho do aplicativo exige hardwares ou softwares específicos.
Figura 12
• IaaS (do inglês, infrastructure as a service): nesse terceiro padrão dos modelos de nuvem, 
a empresa contrata uma capacidade de hardware que correspondente à sua necessidade de 
armazenamento, processamento etc. Podem entrar nesse pacote de serviços de contratações os 
servidores, roteadores, entre outros. Dependendo da escolha do fornecedor e do modelo, sua 
empresa pode ser tarifada pelo número de servidores utilizados e pela quantidade de dados 
armazenados ou em tráfego. Em geral, tudo é fornecido por meio de um data center com 
servidores virtuais, em que você paga somente por aquilo que usar. Você pode utilizá-lo quando a 
demanda de infraestrutura é variável, como nas lojas virtuais que têm picos de acessos sazonais. 
Com o IaaS, a escalabilidade da nuvem é total e não há serviços ociosos, permitindo que a 
empresa pague apenas por aquilo que consome. Também é aconselhável para empresas que 
crescem rápido e não têm capital para investir em infraestrutura, manutenção ou mão de obra 
especializada. A desvantagem está em que esse modelo exige muito cuidado com a legislação. 
Às vezes, não é permitida a terceirização ou o armazenamento de dados fora da organização. 
114
Unidade III
É ainda desaconselhável quando os níveis de desempenho necessários para as aplicações tiverem 
limites exigidos pelo provedor inferiores às necessidades da organização contratante. O IaaS pode 
ser dividido em outras três subcategorias para adoção nas empresas:
— Nuvem pública: toda a infraestrutura dos servidores da empresa é compartilhada e gerenciada de 
modo seguro pelo provedor de serviços em nuvem. Na nuvem pública, toda a infraestrutura 
de TI, sua manutenção, seus mecanismos de segurança e a atualização são de responsabilidade 
do provedor do serviço.
— Nuvem privada: a infraestrutura em nuvem da empresa é particular e usada apenas pela 
organização. O ambiente físico pode ser de terceiros, mas há maior controle e possibilidade de 
personalização. Assim, a nuvem privada é de propriedade da empresa e fica instalada em sua 
área física, requerendo infraestrutura de hardware, software, segurança e pessoal próprios para 
seu gerenciamento.
— Nuvem híbrida: combina as duas primeiras, utilizando as características da nuvem pública 
e privada conforme a conveniência da empresa. A nuvem híbrida combina o melhor dos dois 
tipos anteriores; com isso, parte dos dados é disponibilizada na nuvem privada – aqueles que 
exigem sigilo – e outra parte fica na nuvem pública – dados não confidenciais.
Figura 13
7.1 Internet das coisas
Em 1999, o termo internet of things (IoT) – internet das coisas (IdC) – foi criado por Kevin Ashton, 
pioneiro tecnológico da Inglaterra que concebeu um sistema de sensores universais conectando o 
mundo físico à internet, enquanto trabalhava em radio frequency identification (RFID) – identificação 
por radiofrequência. Há duas tecnologias importantes que proporcionaram a criação conceitual da IoT. 
São elas a combinação da RFID e o wireless sensor network (WSN).
Esse termo retrata um campo em que muitos objetos do dia a dia estarão conectados à internet 
e se comunicando reciprocamente. São sistemas que, ao conectar coisas animadas ou inanimadas à 
115
TECNOLOGIAS DA INFORMAÇÃO
internet com identificadores exclusivos, oferecem uma situação que proporciona visibilidade à rede, 
aos dispositivos e ao ambiente.
Faça um rápido exercício: tente se lembrar dos objetos que você usa para se conectar à internet. 
Smartphone, tablet, notebook, desktop. Você provavelmente deve utilizar pelo menos um desses 
dispositivos, de acordo? Provavelmente você estará usando um notebook, desktop ou smartphone para 
ver suas aulas na plataforma de EaD.
Figura 14
Há outros equipamentos que se conectam à internet para realizar atividades essenciais. Por exemplo, 
câmerasde segurança on-line, que permitem que uma pessoa observe sua casa à distância. Outro 
exemplo: smart TV. Com ela, pode-se acessar serviços como Netflix ou YouTube de modo direto, sem 
ligá-la ao PC ou smartphone. Pode ser que você tenha um video game de última geração que se conecta 
à internet. Consoles antigos como Super Nintendo ou Mega Drive não tinham toda essa conectividade.
Imagine um cenário em que, além da TV, vários objetos da casa se conectam à internet: geladeira, 
forno de micro-ondas, alarme de incêndio, termostato, sistema de som, lâmpadas, enfim, tudo o que existe 
em sua residência. A conectividade serve para que os objetos possam receber atributos complementares. 
Assim, a geladeira com internet pode avisar quando um alimento está perto de terminar e, ao mesmo 
tempo, pesquisar na web mercados que oferecem os melhores preços para aquele item. Também poderia 
pesquisar e exibir receitas. E, no caminho, seu carro carregou informações sobre promoções do mercado 
mais próximo.
Pense agora em um termostato, que é um dispositivo com a função de impedir que a temperatura 
de determinado sistema varie além de certos limites preestabelecidos. O dispositivo pode verificar na 
internet as condições climáticas do bairro para deixar o ar-condicionado na temperatura adequada. 
O aparelho também pode enviar informações ao seu smartphone por meio de um aplicativo específico 
e exibir relatórios que mostram como o ar-condicionado vem sendo usado.
Com a IoT, também é possível obter dados sobre eventos que já foram invisíveis – por exemplo, a 
correlação de padrões climáticos com a produção industrial. Vejamos algumas aplicações da IoT:
116
Unidade III
• Hospitais e clínicas: pacientes podem utilizar dispositivos conectados que medem batimentos 
cardíacos, por exemplo, e os dados coletados ser enviados em tempo real para o sistema que 
controla os exames; a IoT pode ser usada na criação de sistemas eficazes que mantêm as 
vacinas protegidas, bem como de sensores e monitores que controlam as práticas de higiene 
nesses ambientes ou ainda monitoram o progresso do tratamento de cada paciente.
• Agropecuária: sensores espalhados em plantações podem ajudar a monitorar o campo de cultivo, 
a quantidade de luz, a umidade do ar e do solo, a temperatura etc. e automatizar o sistema de 
irrigação, promovendo o uso mais eficiente da água. De igual forma, sensores conectados aos 
animais conseguem ajudar no bem-estar e na saúde do gado, possibilitando o rastreamento 
do animal e informando seu histórico de vacinas; podem ainda monitorar a gestação das 
vacas, por exemplo.
• Fábricas: a IoT permite conectar informações em geral de dispositivos na internet, podendo ajudar 
a medir a produtividade de máquinas ou indicar setores que precisam de mais equipamentos ou 
suprimentos. Ela permite também apoiar o setor de manutenção, com a digitalização de todos os 
elementos ativos e documentos. Ajuda na supervisão de locais remotos, alimentando informações 
com interconexão de logística, fornecedores e suprimentos, e ainda contribui para a gestão em 
tempo real da produção, inclusive de atividades anteriormente fora do alcance.
• Lojas: prateleiras inteligentes podem informar quando determinado item está começando a faltar, 
qual produto tem menos saída (exigindo medidas de reposicionamento ou criação de promoções) 
ou em quais horários determinados itens vendem mais (ajudando na elaboração de estratégias de 
vendas), melhorando o controle de estoque.
• Transporte público: usuários podem saber pelo smartphone ou em telas instaladas nos pontos a 
localização de determinado ônibus, usando rastreadores GPS. Os sensores também podem ajudar 
a empresa a descobrir se um veículo apresenta defeitos mecânicos, se estão sendo cumpridos os 
horários, o que indica se há necessidade ou não de reforçar a frota; podem responder questões 
das operações, em tempo real, como quais veículos precisam de manutenção, as linhas mais 
lotadas, o número exato de usuários e quanto tempo o ônibus levará para chegar ao próximo ponto.
• Logística: dados de sensores instalados em caminhões, contêineres e até caixas individuais 
combinados com informações do trânsito otimizam a cadeia de produção, garantindo a chegada 
do produto ao destino. Por exemplo, podem ajudar uma empresa de logística, em relação à frota, a 
saber a posição exata dos veículos, as viagens realizadas, as melhores rotas, a escolher caminhões 
mais adequados para determinada área e quais encomendas distribuir entre a frota ativa.
• Serviços públicos: sensores em lixeiras podem ajudar a prefeitura a aperfeiçoar a coleta de lixo; 
já carros podem se conectar a uma central de monitoramento de trânsito para obter a melhor 
rota para aquele momento, assim como para ajudar o departamento de controle de tráfego. A IoT 
potencializa o levantamento de dados sobre questões de zoneamento da cidade, abastecimento 
de água e alimentos, transporte coletivo, serviços sociais, segurança, entre outros.
117
TECNOLOGIAS DA INFORMAÇÃO
7.1.1 IoT como tecnologia
Um conjunto de fatores determina como o conceito da IoT é constituído. Três componentes precisam 
ser combinados para sua aplicação: dispositivos, redes e tecnologias de comunicação e sistemas de controle.
• Dispositivos: vão de itens grandes, como geladeiras e carros, a pequenos, como lâmpadas e 
relógios. É importante que esses dispositivos estejam equipados com os itens para proporcionar a 
comunicação: chips, sensores, antenas, entre outros.
• Redes e tecnologias de comunicação: as redes de comunicação não fogem daquilo que 
você já usa: tecnologias como wi-fi, bluetooth e near field communication (NFC) – perto de 
comunicação de campo, tecnologia que permite a troca de informações entre dispositivos 
sem a necessidade de cabos ou fios, ou seja, wireless – são usadas para IoT. Mas como essas 
redes oferecem alcance limitado, determinadas aplicações dependem de redes móveis como 
3G e 4G/LTE (long term evolution – evolução a longo prazo, nome da tecnologia de quarta 
geração conhecida como 4G). Redes móveis atuais como 2G, 3G (a primeira tecnologia que 
nasceu para levar internet rápida para os celulares) e 4G, e futuramente a rede 5G, são 
direcionadas a dispositivos como smartphones, tablets e laptops. O foco está em aplicações de 
texto, voz, imagem e vídeo. Mas esse aspecto não impede as redes atuais de serem utilizadas 
para IoT. Isso deve vir com a próxima onda de redes móveis, 5G. Em um cenário em que a IoT 
é amplamente difundida, poderá haver sensores, chips e dispositivos relacionados por todos 
os lugares, e cada um desses itens precisará estar interligado. Com o IPv6, criado em 1998 e 
lançado oficialmente em 2012, oferece-se um número extremamente elevado de endereços 
para os dispositivos, e conectá-los não será problema. Segundo o IPv6Test (2019), os cinco 
principais provedores de serviços de internet para IPv6 no Brasil são: Claro, Vivo, Telemar 
Norte Leste, Copel Telecomunicações e Tremnet Fibra. A limitação vem das tecnologias de 
comunicação: as redes 4G não foram projetadas para permitir tantas conexões de dispositivos 
tão diferentes. Daí a perspectiva esperançosa sobre o 5G, que consegue enviar dados à 
velocidade de 1 terabit por segundo (Tbps). A taxa de conexão obtida é 65 mil vezes mais 
rápida do que a média dos downloads em redes 4G. Além de oferecer altíssima velocidade 
para transmissão de dados, as redes 5G permitirão que cada dispositivo baseado em IoT 
utilize apenas os recursos necessários. Isso evitará desperdício de energia, especialmente para 
dispositivos que funcionam com bateria.
• Sistemas de controle: não basta que o dispositivo se conecte à internet ou troque informações 
com outros objetos. Esses dados precisam ser processados, ou seja, devem ser enviados a um 
sistema que os trate, e isso depende da aplicação. Imagine uma casa que tem monitoramento 
de segurança, controle de temperatura ambiente e gerenciamento de iluminação integrada. Os 
dados de câmeras, alarmes contraincêndio, aparelhos de ar-condicionado, lâmpadas e outros 
itens são enviados para um sistema que controla cada função. Esse sistema pode ser um serviço 
nas nuvens, o que garante o acesso a ele a partir de qualquer lugar, assim como livra o dono da 
casa da tarefa de atualizá-lo. Uma empresa, porém, pode contar com um sistema machine to 
machine (M2M), um mecanismo de comunicação de máquina a máquina. Se a unidade industrial 
for imensa, um sistema de big data pode ser usado para aperfeiçoar a produção indicando que 
118
Unidade III
tipo de peça dá mais defeitos, quais máquinas produzem mais, se a matéria-prima de determinado 
fornecedor tem um histórico de problemas mais expressivo, e assim por diante.
 Saiba mais
Conheça outros fatos da IoT no site da Associação Brasileira de Internet 
das Coisas (Abinc):
https://abinc.org.br
7.1.2 Padronização
As tecnologias a serem usadas na IoT variam de acordo com a utilização. Isso não quer dizer que 
estipular um padrão não seja necessário. A indústria já vem se organizando para estabelecer padrões 
tecnológicos que trazem viabilidade, interoperabilidade, segurança, integridade, disponibilidade, 
escalabilidade e desempenho para aplicações de IoT.
Se as cidades tiverem um sistema que monitora os automóveis para melhorar o fluxo dos carros nas 
ruas, o sistema de controle poderá ter dificuldades para operar se cada fabricante de automóvel adotar 
padrões de comunicação que não atestam uma plena integração.
As tentativas de estabelecimento de padrões têm levado à formação de consórcios para lidar com 
esse imenso trabalho, assim como com outras questões relacionadas à IoT.
7.1.3 Possíveis riscos da IoT
Se a IoT representa um cenário em que tudo está conectado, é claro que há grandes riscos 
relacionados. Por isso, as práticas devem levar em consideração vários parâmetros preventivos e 
corretivos, especialmente sobre segurança e privacidade. Imagine os transtornos que uma pessoa 
teria se o sistema de segurança de sua casa fosse desligado inesperadamente por conta de uma falha 
de software.
Os riscos não são apenas individuais. Pode haver problemas de ordem coletiva. Pense em uma 
cidade com todos os semáforos conectados. O sistema de gerenciamento de trânsito controla cada 
um deles de modo inteligente para diminuir congestionamentos, oferecer desvios em vias bloqueadas 
e criar rotas alternativas. Se esse sistema for atacado ou falhar, o trânsito da cidade se tornará um 
caos em questão de minutos.
A indústria precisa definir os critérios que garantirão a disponibilidade dos serviços, incluindo a 
rápida recuperação em caso de falhas ou ataques, a proteção de comunicações, a definição de normas 
para privacidade, a confidencialidade de dados, já que ninguém pode ter acesso a dados sem a devida 
autorização, a integridade, que deve assegurar que os dados não serão modificados, entre outros.
119
TECNOLOGIAS DA INFORMAÇÃO
Considerar todos os aspectos está longe de ser uma tarefa comum. Além dos desafios tecnológicos, 
a indústria precisa tratar cada ponto levando em conta as práticas e a legislação de cada país.
Vários segmentos da indústria já tratam dessas questões, mas este é um trabalho em desenvolvimento. 
É primordial que outro aspecto não seja esquecido: a transparência. Empresas e usuários devem estar 
cientes dos riscos associados às soluções de IoT, assim como receber orientação para mitigá-los.
7.1.4 Um mar de oportunidades
A IoT possibilita inúmeras oportunidades e conexões, muitas delas não conseguimos sequer imaginar 
nem entender completamente seu impacto nos dias de hoje.
Os dispositivos vestíveis, como relógios inteligentes, acessórios com sensores e fones de ouvido para 
monitoramento de exercício, estão recentemente sendo mais adotados e usados pelas pessoas. Esses 
objetos são clássicos exemplos de dispositivos conectados que integram a IoT.
Porém, há outras possibilidades que muitas vezes nem consideramos – por exemplo, estruturas 
de plataformas de extração de petróleo e gás que podem ser conectadas à internet para prevenção de 
acidentes e detecção de problemas em tempo real.
Em geral, se um objeto é eletrônico, ele tem potencial para ser integrado à IoT. Assim, não é difícil 
perceber por que esse assunto é tão comentado atualmente. Certamente, abre portas para muitas 
oportunidades e, ao mesmo tempo, para alguns desafios.
7.1.5 Smart cities
A ideia das chamadas smart cities é direcionar os avanços na tecnologia e armazenamento de dados 
– que fazem da IoT uma realidade – para o ambiente e infraestrutura em que vivemos.
 Observação
Smart cities é uma expressão inglesa que significa cidades inteligentes. 
Elas são planejadas com processos eficientes, para melhoria da qualidade 
de vida de seus moradores.
É possível desenvolver sistemas de transporte, de controle de resíduos líquidos e sólidos, 
principalmente os resíduos perigosos, de energia, que sejam movidos a dados para torná-los mais 
eficientes e melhorar a qualidade de vida nas metrópoles. No Brasil, segundo o Ministério do 
Meio Ambiente, temos a Política Nacional de Resíduos Sólidos, implementada pela Lei n. 12.305, 
de 2 de agosto de 2010, que conta com dois decretos regulamentadores, Decretos n. 7.404 e 7.405, de 
23 de dezembro de 2010.
120
Unidade III
É possível interagir e obter informações desses métodos inteligentes usando smartphones, 
relógios e outros wearables (dispositivos tecnológicos utilizados como peças do vestuário). Mais do 
que isso, os sistemas se comunicam uns com os outros.
Caminhões de coleta de lixo podem ser informados onde o lixo precisa ser recolhido, sensores 
nos carros podem direcionar para vagas em estacionamento, assim como ônibus podem atualizar 
sua localização em tempo real.
Nessa lógica, o mercado de veículos autônomos de passeio e para transporte de carga é um 
grande passo de mobilidade urbana possibilitado pelo avanço da IoT.
7.1.6 Big data
Vários dispositivos conectados à IoT estão o tempo todo emitindo e recebendo dados. 
 Observação
De acordo com Coelho (2016), anualmente, o mundo produz o 
mesmo volume de informações que a humanidade levou 40 mil anos 
para acumular.
Não podemos deixar de olhar para a área de negócios, que será igualmente afetada pela noção 
de IoT. Vale lembrar que a maior empresa de hotéis do mundo, a Airbnb, não é dona de nenhum hotel; 
a maior empresa de varejo, a Alibaba, não é dona de nenhuma loja; e a maior empresa de aluguel de 
carros do mundo, a Uber, não tem nenhum veículo. Essas três, e muitas outras empresas que já navegam 
na onda da informação como estrutura de negócio, são verdadeiramente donas de dados.
Um problema que muitas empresas irão confrontar é a imensa quantidade de informação que todos 
esses dispositivos irão gerar. Elas deverão descobrir meios de armazenar, analisar e fazer uso dessa 
enorme quantidade de dados. E para fazerem sentido todos esses dados, a análise de big data tem papel 
fundamental, já que isso significa que há ainda um grande potencial para extrair dados importantes 
dessas informações. Se já era um assunto crítico para as empresas de todos os portes, a IoT veio abreviar 
esse processo.
7.1.7 Segurança e privacidade
Se tudo é um computador, então segurança da computação é segurança de tudo. O mesmo 
vale para a informação, ainda mais para IoT. A maior preocupação é em relação à segurança e 
privacidade dos sensores usados em IoT e dos dados que eles armazenam. Além disso, a integração 
de dispositivos para transferir todos os dados considerados críticos também apresenta impasses. 
Com bilhões de dispositivos conectados, o que as pessoas podem fazer para garantir que seus 
dados irão permanecer seguros?
121
TECNOLOGIAS DA INFORMAÇÃO
A IoT também poderá aumentar os riscos à segurança da informação, envolvendo ameaças à 
segurança de empresas de todo o mundo. Estaríamos, assim, vivendo a morte da privacidade.
7.1.8 Vamos brincar com a imaginação
Isso tudo pode parecer um pouco longe da nossa realidade, assustar e não serfácil de assimilar. 
Contudo, não só está próximo de nós como os exemplos que demos (Uber, Airbnb e Alibaba) já são parte 
da nossa realidade.
Para ilustrar melhor esse conceito e abrir um pouco nossa mente, vamos usar um exemplo do nosso 
dia a dia, em que é possível perceber que, na verdade, a IoT pode ser uma boa mudança.
Vamos dizer que você tem uma reunião de manhã cedo e seu despertador, interligado com seu 
calendário, o acorda na hora certa. As luzes do quarto se acendem automaticamente. Antes disso, a 
cafeteira já começou a fazer o café, e a torradeira, a esquentar o pão. Ao entrar no carro, sua música 
favorita começa a tocar. O veículo terá acesso a seu calendário e contatos, e saberá a melhor rota para 
o destino. Se estiver um trânsito muito pesado, seu carro enviará uma mensagem às pessoas envolvidas, 
notificando-as de atraso. Durante o trajeto, você poderá ir lendo os relatórios a serem debatidos na 
reunião, pois seu carro faz parte da IoT e é um veículo autônomo, sem motorista – dirige sozinho, de 
forma segura, comunicando-se com outros carros e com a infraestrutura da cidade.
Quando os objetos passam a se antecipar às nossas necessidades, as tarefas rotineiras são otimizadas. 
Sempre existem aqueles com reservas quanto a esse estilo de vida, mas tudo tem suas vantagens. 
Podemos pensar sobre essa questão de outra forma. E se, em vez de perder tempo diariamente com 
pequenas decisões da nossa vida, nosso foco puder ser direcionado para uma coisa mais produtiva e que 
faça a diferença em nossa carreira, nossas relações ou até mesmo nossa realização pessoal?
7.1.9 Inteligência artificial (IA)
A IA, também conhecida pela sigla inglesa AI (artificial intelligence), é um ramo de pesquisa da 
ciência da computação que busca, por meio de símbolos computacionais, construir dispositivos que 
aparentem a capacidade do ser humano de ser inteligente. O desenvolvimento desse ramo da tecnologia 
teve início na Segunda Guerra Mundial.
Os principais idealizadores foram os cientistas Herbert Simon e Allen Newell, que tinham como 
objetivo criar um ser que simulasse a vida do ser humano, ao fundarem o primeiro laboratório de IA na 
Universidade de Carnegie Mellon (Pensilvânia, EUA).
A ambição de construir máquinas capazes de reproduzir a competência humana de pensar e 
agir tem muitos anos. Esse fato pode ser comprovado pela existência das chamadas máquinas 
autônomas. Com a evolução dos computadores, a IA ganhou força. Seu desenvolvimento possibilitou 
um grande avanço na análise computacional, podendo a máquina chegar a fazer análise e síntese 
da voz humana.
122
Unidade III
No início, os estudos sobre IA buscavam apenas uma forma de reproduzir a capacidade humana 
de pensar. Percebendo, no entanto, que esse ramo da ciência tinha muito mais a oferecer, os 
pesquisadores e cientistas se envolveram com a ideia de fazer uma máquina que pudesse reproduzir 
não só a capacidade de um ser humano pensar como também a capacidade de sentir e de ter 
autoaperfeiçoamento, além do uso da linguagem. O progresso nessa área de pesquisa é lento. Porém, 
os estudos têm surtido efeito em várias outras áreas, como planejamento, jogos, programas de 
diagnóstico médico, controle autônomo, robótica, entre outras.
Esse tipo pesquisa apresenta muitos conflitos éticos. Existem os que apoiam as pesquisas e a ideia 
de a máquina ter vida própria, como também existem os que não apoiam essa ideia. Para muitos, a 
existência de máquinas com o poder de pensar, sentir e até ter a capacidade de realizar atividades 
humanas é um fato inaceitável.
7.1.10 História da IA
O termo inteligência artificial foi criado em 1956, mas só se popularizou hoje devido aos crescentes 
volumes de dados disponíveis e melhorias no poder e no armazenamento dos computadores.
Segundo o SAS Institute Inc. (s.d.):
As primeiras pesquisas de IA nos anos 1950 exploraram temas como a 
resolução de problemas e métodos simbólicos. Na década de 1960, o 
Departamento de Defesa dos EUA se interessou por este tipo de tecnologia 
e começou a treinar computadores para imitar o raciocínio humano básico. 
Por exemplo, a Defense Advanced Research Projects Agency (Darpa) 
completou um projeto de mapeamento de ruas nos anos 1970. E a Darpa criou 
assistentes pessoais inteligentes em 2003, muito tempo antes de Siri, Alexa 
ou Cortana serem nomes comuns do nosso cotidiano.
Esses primeiros trabalhos prepararam o caminho para a automação e o 
raciocínio formal que vemos nos computadores de hoje, incluindo sistemas 
de apoio à decisão e sistemas inteligentes de pesquisa que podem ser 
projetados para complementar e expandir as capacidades humanas.
Enquanto os filmes de Hollywood e os romances de ficção científica retratam 
a inteligência artificial como robôs humanoides que dominam o mundo, a 
evolução atual das tecnologias de IA não é tão assustadora – ou tão 
inteligente assim. Em vez disso, a IA evoluiu para fornecer muitos benefícios 
específicos para todas as indústrias.
A IA não apenas automatiza a aprendizagem repetitiva. Ela é diferente da automação robótica, pois, 
em vez de automatizar tarefas manuais, realiza tarefas frequentes, volumosas e computadorizadas, de 
modo confiável e sem apresentar fadiga. Na maioria dos casos, a IA não será vendida como uma aplicação 
individual. Ao contrário, os produtos que você já utiliza serão aprimorados com funcionalidades de IA. 
123
TECNOLOGIAS DA INFORMAÇÃO
Automação, plataformas de conversa e aparelhos inteligentes podem ser combinados com grandes 
quantidades de dados para aprimorar muitas tecnologias para casa e escritório, desde a inteligência em 
segurança à análise de investimentos.
A IA se adapta por meio de algoritmos de aprendizagem progressiva para deixar que os dados façam a 
programação. Ela busca estruturas e regularidades nos dados para que o algoritmo adquira a capacidade 
de se tornar um classificador deles. O algoritmo pode ensinar a si mesmo e se adaptar quando receber 
mais dados. Propagação retroativa é uma técnica de IA que permite que o modelo se ajuste, e com a 
entrada de novos dados, quando a primeira resposta não é considerada a correta.
A IA analisa mais dados e em maior profundidade usando redes neurais com muitas subcamadas. 
Alguns anos atrás, era quase impossível construir um sistema de detecção de fraudes com cinco 
subcamadas. Tudo isso mudou com o impressionante poderio computacional e o big data. Muitos dados 
são necessários para treinar modelos de deep learning, uma vez que eles aprendem diretamente com os 
dados. Quanto mais dados nesses modelos, mais precisos eles se tornam.
 Observação
Deep learning é um tipo de aprendizado de máquina que automatiza 
a construção de modelos analíticos e treina computadores para realizar 
tarefas como seres humanos, o que inclui reconhecimento de fala, 
identificação de imagem e previsões.
A IA atinge uma precisão incrível por meio de redes neurais profundas, o que antes era impossível. Por 
exemplo, as pesquisas do Google e Google Fotos são todas baseadas em deep learning. Elas se tornam 
ainda mais precisas à medida que as utilizamos. Na área médica, técnicas de IA baseadas em deep 
learning na classificação de imagens e reconhecimento de objetos podem ser usadas para encontrar 
cânceres em ressonâncias com a mesma precisão de radiologistas muito bem treinados.
Quando algoritmos aprendem sozinhos, os dados em si podem se tornar propriedade intelectual. 
As respostas estão nos dados e você só precisa aplicar a IA para extraí-las. Uma vez que o papel dos 
dados é mais importante do que nunca, eles podem criar uma vantagem competitiva. Numa indústria 
competitiva, ainda que todos estiverem colocando técnicas semelhantes em prática, ganha quem tiver 
o melhor conjunto de dados.
7.1.11 Desafios da IA
A principal limitação da IA é que ela aprende com os dados. Não há outra maneira de integrar 
conhecimento a ela. Isso significa que a imprecisão nos dados se reflete nos resultados.
Os sistemas de IA são treinados para realizartarefas definidas. Assim, o sistema que joga paciência 
não pode jogar xadrez. O mesmo sistema que detecta fraudes não pode dar conselhos jurídicos. Na 
verdade, um sistema de IA que detecta fraudes no setor de saúde não pode precisamente detectar 
124
Unidade III
fraudes sobre sinistros de garantia, pois é específico, foca em uma única tarefa e está longe de se 
comportar como um ser humano.
As tecnologias de IA mostradas em filmes e na TV ainda são histórias de ficção científica, mas 
computadores que podem examinar dados complexos para aprender e aperfeiçoar tarefas específicas 
estão se democratizando.
 Saiba mais
Recomendamos que você assista aos seguintes filmes sobre IA:
2001: uma odisseia no espaço. Direção: Stanley Kubrick. EUA, 1968. 149 min.
A.I.: inteligência artificial. Direção: Steven Spielberg. EUA, 2001. 146 min.
MATRIX. Direção: Lana Wachowski e Lilly Wachowski. EUA, 1999. 136 min.
7.1.12 Como a IA funciona
A IA combina imensas quantidades de dados com processamento rápido e algoritmos inteligentes, 
permitindo ao software aprender com padrões ou informações nos dados. Segundo o SAS Institute Inc. 
(s.d.), ela é um campo de estudo que engloba os seguintes subcampos:
Machine learning automatiza a construção de modelos analíticos. 
Ela usa métodos de redes neurais, estatística, pesquisas de operações 
e física para encontrar insights escondidos em dados, sem ser 
especificamente programada para olhar um determinado lugar ou chegar 
a uma determinada conclusão.
Uma rede neural é um tipo de machine learning composta de unidades 
interconectadas (como neurônios), que processam informações ao responder 
a entradas externas, retransmitindo-as entre as unidades. O processo requer 
passagens múltiplas nos dados para encontrar conexões e extrair significados 
de dados não definidos.
Deep learning utiliza grandes redes neurais com muitas camadas de 
unidades de processamento, aproveitando-se de avanços no poder 
computacional e em técnicas de treinamento aprimoradas para aprender 
padrões complexos em grandes quantidades de dados. Aplicações comuns 
incluem reconhecimento de imagem e fala.
Computação cognitiva é um subcampo de IA que almeja uma interação 
natural e humana com máquinas. Utilizando IA e computação cognitiva, o 
125
TECNOLOGIAS DA INFORMAÇÃO
objetivo final é que a máquina simule processos humanos através da capacidade 
de interpretar imagens e fala – e, então, falar coerentemente em resposta.
Visão computacional depende do reconhecimento de padrões e de deep 
learning para entender o que há em uma imagem ou vídeo. Quando máquinas 
podem processar, analisar e entender imagens, eles podem capturar imagens 
ou vídeos em tempo real e interpretar o que há ao redor delas.
Processamento de linguagem natural (PLN) é a capacidade que os 
computadores têm de analisar, entender e gerar linguagem humana, 
incluindo fala. O próximo estágio do PLN é a interação de linguagem 
natural, que permite que seres humanos se comuniquem com computadores 
utilizando linguagem normal, de uso diário, para realizar tarefas.
Adicionalmente, diversas tecnologias possibilitam e oferecem suporte à IA:
Unidades de processamento gráfico são essenciais para a IA, porque fornecem 
o poder computacional pesado que é necessário para o processamento contínuo. 
Treinar redes neurais requer big data e poder computacional.
A internet das coisas gera grandes quantidades de dados a partir de 
aparelhos conectados, sendo que a maioria deles não são analisados. 
Automatizar modelos com IA permitirá um maior uso deles.
Algoritmos avançados estão sendo desenvolvidos e combinados em novas 
maneiras para analisar mais dados, mais rapidamente e em múltiplos níveis. 
Esse processamento inteligente é essencial para identificar e prever eventos 
raros, entendendo sistemas complexos e otimizando cenários únicos.
APIs são pacotes portáteis de códigos que possibilitam a adição de 
funcionalidades de IA a produtos existentes e pacotes de software. Eles 
podem adicionar capacidades de reconhecimento de imagens a sistemas 
de segurança doméstica e capacidades de perguntas e respostas que 
descrevem dados, criam legendas e títulos ou chamam atenção para 
padrões interessantes e insights nos dados.
 Lembrete
O objetivo da IA é fornecer softwares que possam raciocinar sobre as 
entradas e explicar as saídas de dados. Ela proporciona interações quase 
humanas com softwares e oferece apoio a decisões para tarefas específicas, 
mas não é uma substituição aos seres humanos, e sim um grande auxílio 
para as pessoas.
126
Unidade III
7.1.13 Blockchain
Apesar de hoje a aplicação do blockchain estar se separando do bitcoin, essa tecnologia começou 
junto com a criptomoeda (moeda virtual utilizada para pagamentos em transações comerciais). 
O conceito de blockchain nasceu com Sakamoto (s.d.), ao tratar de um sistema que elimina o banco de 
dados central do modelo cliente-servidor em que cada usuário mantém seu próprio banco de dados local.
Criado em um cenário de crise econômica mundial, o bitcoin surgiu para prevenir o gasto duplo 
de valores e aumentar a confiança das transações financeiras, e acabou levando-as para a internet. No 
ambiente digital, os dados podem ser copiados, alterados e trocados. O blockchain foi a solução para 
eliminar as duas primeiras características. Por exemplo: uma pessoa não pode gastar 10 bitcoin duas 
vezes ou dizer que enviou 10 bitcoin mas transferir apenas 0,1 bitcoin.
O blockchain é uma rede que funciona com blocos encadeados, bem seguros, que sempre carregam 
um conteúdo junto com uma assinatura digital única. No caso do bitcoin, esse conteúdo é uma transação 
financeira. O bloco posterior vai conter a assinatura digital do bloco anterior mais seu próprio conteúdo 
e, com essas duas informações, gerar sua própria assinatura digital, e assim por diante.
Para tratar de blockchain, é preciso entender como funciona o hash (em TI, é traduzido como 
resumo). Em linhas gerais, o hash é uma função matemática que transforma uma mensagem ou arquivo 
em um código com letras e números que representam os dados inseridos. O hash recebe uma grande 
quantidade de dados e a converte em uma pequena quantidade de informações.
 Observação
Hash é a unidade de medida do poder de processamento da rede bitcoin, 
em que a rede deve fazer operações matemáticas para fins de segurança. Se 
a rede atinge uma taxa de 10 Th/s, significa que ela pode processar 10 trilhões 
de cálculos por segundo.
Essa é a assinatura (ou impressão) digital de um arquivo; no caso do blockchain, de um bloco. Nesse 
sistema de blocos encadeados, essa impressão digital é fundamental.
Conforme Prado (2017): 
O hash vai assinar o conteúdo do bloco; caso qualquer informação seja 
alterada, o hash muda. Quando você gera um novo bloco que também 
contém o hash do anterior, cria uma espécie de selo: é possível verificar e 
sinalizar se algum bloco foi alterado, para então invalidá-lo.
Essas informações de blocos são escritas no ledger, que pode ser traduzido 
para livro-razão; é onde todas as transações, no caso do bitcoin, ficam 
gravadas. Depois de escritas, elas não podem ser apagadas.
127
TECNOLOGIAS DA INFORMAÇÃO
Cada rede de blockchain também tem “nós”, que agrupam participantes que 
têm o mesmo interesse; no bitcoin, é transferir dinheiro. Esses nós podem 
ser tanto transacionais, que escrevem ou geram blocos, quanto mineradores, 
que verificam se o bloco escrito é válido. [...]
Desde o começo, o blockchain é tão seguro por um mecanismo de consenso de 
prova de trabalho (PoW, na sigla em inglês [proof-of-work]), que usa poder 
de processamento para resolver cálculos matemáticos muito complicados 
para assegurar que o hash criptográfico do bloco é válido. Quando alguém 
resolve a operação e consegue validar o bloco, recebe uma recompensa – as 
outras pessoas da rede também conseguem confirmar que o resultado é correto.
Eis a definição técnica de blockchain proposta por André Salém, pesquisador do IBM Blockchain(apud Prado, 2017):
O blockchain é uma rede de negócios segura, na qual os participantes 
transferem itens de valor (ativos), por meio de um ledger (livro-razão) 
comum distribuído, do qual cada participante possui uma cópia, e cujo 
conteúdo está em constante sincronia com os outros.
7.1.14 Vantagens do blockchain
Blockchain e bitcoin eliminam intermediários, mas com algumas diferenças. O primeiro é mais 
prático e assegura a confiança entre as empresas.
Segundo Prado (2017), os quatro conceitos principais de blockchain são:
Ledger distribuído: o livro-razão, sistema de registro das transações e 
blocos, é compartilhado por toda a rede e todos podem ver;
Privacidade: é possível garantir a visibilidade adequada para a rede, já que 
as transações conseguem ser verificáveis. O termo “adequado” é importante; 
no bitcoin, todas as informações da transação são públicas. No blockchain, 
partes sensíveis do ledger podem ser ocultadas (como o endereço de 
alguém), sem prejudicar a verificação do bloco;
Contrato inteligente: um documento que não pode ser alterado depois de 
escrito. É possível firmar contratos e autorizar (ou não) transações de acordo 
com os termos estabelecidos;
Consenso: as transações são verificadas pelos participantes da rede e não 
podem ser fraudadas.
128
Unidade III
As vantagens e aplicações do blockchain são muito grandes. Por exemplo, é um sistema que agiliza 
pagamentos internacionais. Ao eliminar intermediários, as transações acontecem com menos custos e 
sem perda de segurança, já que elas podem ser auditáveis. O risco de fraudes é reduzido por meio de 
contratos inteligentes.
O setor financeiro já se beneficia de uma característica principal dos blocos que evita gastos duplos 
e fraudes na escrita. O dinheiro não pode ser copiado, diferentemente de um arquivo.
O blockchain não serve somente para registrar transações financeiras. Essa tecnologia tem potencial 
para criar contratos inteligentes, que garantem que diversas negociações de determinado produto sejam 
efetivadas conforme acordado entre as partes.
Algumas aplicações em que a IBM vem trabalhando com algumas empresas vão além do sistema 
financeiro. O principal uso do blockchain para a IBM é o de trade finance (financiamento do comércio), 
que abrange toda a parte financeira do processo de importação e exportação. São dois projetos, o 
we.trade e o Batavia.
O we.trade é um consórcio da IBM com oito bancos que gerencia o financiamento para importação e 
exportação de pequenas e médias empresas na Europa. Quando você toma um empréstimo para importar 
uma mercadoria, há todo um fluxo do lado físico, incluindo fabricação, exportação, transporte, importação 
e recepção da mercadoria. Graças ao blockchain, as partes envolvidas têm visibilidade de em qual etapa o 
comércio está e, como é um processo internacional, envolve várias moedas, que são convertidas de forma 
automática. Toda essa implementação promove uma redução tanto de custos quanto de riscos.
Além do sistema bancário, o blockchain traz benefícios para o comércio internacional, ao permitir que 
as concorrências colaborem para tornar o mercado como um todo mais eficiente. Você tem concorrentes 
usando uma tecnologia que permite que eles colaborem para atender aos seus clientes finais de um 
modo acessível, testado e ajustado de maneira ágil, o que com outra tecnologia talvez fosse impossível 
ou muito caro de ser feito.
Consequentemente, ainda que a tecnologia tenha um nome difícil e aspectos técnicos complexos, 
ela já é usada por empresas para agilizar operações financeiras, inclusive no Brasil. Entre os entusiastas, 
muito se fala em uma revolução blockchain. A tecnologia introduzida com o bitcoin tem milhares de 
aplicações práticas em diversas áreas. No momento, são as do sistema bancário e a de comércio exterior 
que se mostram mais promissoras e avançadas.
7.1.15 Qualidade e segurança da informação
Atualmente, a informação é um recurso valioso, importante e fator imprescindível para a integração 
da empresa, a inovação e a tomada de decisões. Para transformar dados primários em informação é 
necessário arranjá-los e organizá-los para se tornarem patrimônio de valor. Para isso, a TI é vital 
e deve ser encarada como um recurso estratégico para a organização. Por meio da organização da 
informação pode-se chegar a conhecimentos primordiais para a tomada de decisões e a continuidade 
e desenvolvimento da empresa.
129
TECNOLOGIAS DA INFORMAÇÃO
Características de uma informação qualificada:
• Precisa: não contém erro.
• Acessível: possui facilidade de acesso.
• Completa: contém o necessário.
• Flexível: pode ser manejada com facilidade.
• Segura: deve ser garantida.
• Verificável: deve ser mensurável.
• Veloz: deve ser rápida.
• Relevante: deve conter o essencial.
• Confiável: deve ser exata.
 Saiba mais
Conheça mais sobre a informatização de empresas com o livro:
O’BRIEN, J. A.; MARAKAS, G. M. Administração de sistemas de informação. 
15. ed. Porto Alegre: AMGH, 2013.
7.1.16 Qual a necessidade de segurança da informação?
Os problemas criados pelo phishing (fraude on-line utilizada por criminosos da informática para 
roubar senhas de banco e demais informações pessoais) para empresas e clientes são algumas razões 
pelas quais as empresas precisam prestar atenção especial à segurança dos sistemas de informação. 
O phishing e o roubo de identidade disseminaram-se porque muitas pessoas e empresas usam a internet 
para transações financeiras e comerciais on-line. Esses crimes têm representado custos de bilhões de 
dólares para os serviços financeiros e muita agonia e preocupação para a vítima das fraudes.
Segundo Convergência Digital (2019), o medo de fraudes faz com que 61% dos compradores on-line 
gastem menos do que gostariam.
Os produtores de sites começaram a usar produtos e serviços antiphishing. Alguns serviços 
eliminaram o junk e-mail (lixo e-mail). Outros tentam extirpar os sites falsos da web. Alguns ainda 
monitoram o serviço on-line de banco para verificar se não há golpes.
130
Unidade III
7.1.17 O que é segurança da informação?
Segurança da informação é um conjunto de práticas e recursos utilizados para proteger sistemas, 
dados e informações contra o acesso indevido, o ataque de criminosos e o uso impróprio, assim como 
para prevenir a perda ou o roubo de dados.
Nenhuma empresa é capaz de alcançar um nível de controle de cem por cento das ameaças à 
segurança da informação, especialmente pelo fato de haver uma dinâmica de inovação constante de 
hardware e software. Mudanças na segurança cibernética vão requerer novos tipos de habilidades 
para combater ameaças, como ataques cibernéticos ou ações praticadas por hackers (pessoa com 
interesse e conhecimento nessa área, capaz de fazer hack – uma modificação – em um sistema) e 
transmissão de vírus que infectam, danificam e roubam informações de computadores e demais 
bancos de dados on-line.
Investimentos em segurança da informação devem ser distribuídos equitativamente entre a 
prevenção e a detecção e resposta, já que não é possível conter todas as ameaças, mas é necessário 
saber como superá-las.
7.1.18 Quais são os princípios da segurança da informação?
Segundo Positivo Tecnologia (2017), para entender o que representa a segurança da informação, 
é necessário conhecer seus princípios básicos:
• Confidencialidade: a informação só pode ser acessada e atualizada por pessoas autorizadas e 
credenciadas. A empresa precisa contar com mecanismos de segurança de TI capazes de impedir 
que pessoas não autorizadas acessem informações confidenciais, principalmente por má-fé.
• Confiabilidade: é o caráter de autenticidade da informação. Deve ser assegurada ao usuário a 
boa qualidade da informação em que ele estará trabalhando.
• Integridade: é a garantia de que a informação sempre estará completa, certa e conservada contra 
alterações indevidas, fraudes ou até mesmo a sua destruição, sendo possível evitar violações da 
informação, de forma acidental ou proposital.• Disponibilidade: é a certeza de que a informação estará acessível e disponível para as pessoas 
autorizadas. Hoje em dia, os mecanismos de acesso remoto tornam possível a disponibilidade da 
informação a qualquer hora e em qualquer lugar. Esse mecanismo viabilizou o gerenciamento 
remoto de TI.
• Autenticidade: é saber, por meio de registro apropriado, quem realizou qualquer tipo de acesso e 
efetuou atualizações e exclusões de informações, de modo que haja confirmação da sua autoria 
e originalidade.
Todos os aspectos da segurança da informação precisam ser tratados com o máximo de critério e 
cuidado para que os gestores e colaboradores da empresa sejam beneficiados, bem como os parceiros 
e clientes que interagem com ela.
131
TECNOLOGIAS DA INFORMAÇÃO
7.1.19 Principais ameaças à segurança da informação
Todo dia surgem novas ameaças à segurança da informação. Elas são bem abrangentes. Podemos destacar:
• Falhas: no desenvolvimento, na implementação ou na configuração de mecanismos de segurança 
em softwares.
• Negação de serviço: bloqueio de acesso por hackers.
• Phishing: captura de dados para realização de fraudes.
• Malwares: roubo ou sequestro de dados por meio de invasões a computadores e bases de dados.
• Vírus: danos a sistemas e aplicativos.
7.1.20 Melhores práticas de segurança da informação
As práticas de segurança vão do básico ao sofisticado e dependem do mecanismo adotado pelo 
gestor de TI. Algumas são tradicionais e conhecidas pela maioria das pessoas, e outras, somente pelos 
especialistas da área. Com base em Positivo Tecnologia (2017), vamos mostrar as melhores práticas de 
segurança da informação, descritas da forma mais simples e objetiva:
• Detecção de vulnerabilidades de hardware e software: os equipamentos de TI (hardwares) e 
os sistemas e aplicativos (softwares) passam por uma evolução tecnológica contínua e precisam 
ser substituídos periodicamente. Sua aquisição tem que levar em conta aspectos técnicos e 
de qualidade, e não apenas o quesito preço. A defasagem tecnológica torna vulnerável toda 
a infraestrutura e a segurança de TI e gera consequências como perda de competitividade, 
ineficiência operacional, insatisfação de funcionários e clientes, morosidade e ineficácia no processo 
de decisão. Os equipamentos estão sujeitos a defeitos de fabricação, instalação ou utilização 
incorreta, quebra ou queima de componentes e má conservação, o que pode comprometer um 
ou mais dos princípios da segurança da informação. Os softwares estão sujeitos a falhas técnicas 
(estas mais ligadas ao hardware, como rede inacessível ou queda de energia) e de configurações 
de segurança, e a uso equivocado de login e senha de acesso. Devem ser adotadas ações de 
segurança específicas para cada elemento da infraestrutura de TI: servidores, computadores, 
rede, softwares e componentes de comunicação, entre outros. As ações de segurança precisam 
do suporte de uma arquitetura estruturada de acordo com o propósito da empresa. É preciso 
providenciar treinamento e atualização de conhecimentos para a equipe de TI e os usuários dos 
recursos tecnológicos. Inabilidade técnica também gera vulnerabilidades de hardware e software. 
É imprescindível detectar de forma rápida as possíveis fragilidades de hardware e software, para 
tomar providências imediatas para sua solução.
• Cópias de segurança (backup): mecanismo indispensável para garantir a disponibilidade da 
informação caso as bases de armazenamento sejam danificadas ou roubadas. O backup pode 
ser armazenado em dispositivos físicos como servidores de backup, CD, pen drive, HD externo 
132
Unidade III
ou em nuvem. O mais importante é que haja pelo menos duas cópias dos dados, em locais 
seguros e distintos da instalação original. Com o backup, é possível recuperar, em pouco tempo, 
informações perdidas acidentalmente ou em consequência de sinistros (enchentes, incêndio 
etc.), sabotagens ou roubos.
• Redundância de sistemas: a disponibilidade das informações é garantida com a redundância de 
sistemas, quando a empresa dispõe de infraestrutura replicada física ou virtual. Se um servidor 
ou outro equipamento de TI falhar, seu substituto entra em operação de imediato, permitindo a 
continuidade dos trabalhos, de forma imperceptível para o usuário.
• Eficácia no controle de acesso: temos mecanismos físicos, lógicos ou uma combinação 
destes para o controle de acesso à informação. Os mecanismos físicos podem ser uma sala de 
infraestrutura de TI com acesso limitado e com sistemas de câmeras de monitoramento.
• Política de segurança da informação: documento que estabelece orientações de comportamento 
para os colaboradores da organização no que tange às regras de uso dos recursos de TI. Essas 
regras devem servir para impedir invasões de criminosos, que podem resultar em fraudes ou 
vazamento de informações, evitar a entrada de vírus na rede ou a captura de dados e garantir a 
confidencialidade, confiabilidade, integridade, autenticidade e disponibilidade das informações.
• Decisão pela estrutura de nuvem pública/privada/híbrida: uma das formas mais 
desenvolvidas para garantir a segurança da informação é a utilização de uma estrutura de 
computação em nuvem. Essa estrutura tem três categorias distintas, conforme mencionamos 
anteriormente: nuvem pública, privada ou híbrida. Sua instalação é rápida e os recursos 
escalonáveis, de acordo com o perfil de demanda da empresa contratante.
• Gestão de riscos: conhecer as principais fontes de risco é o ponto de partida para mapear as 
situações que podem configurar ameaças à segurança da informação e para tornar possível 
o desenvolvimento de boas práticas de gestão de riscos. Os principais riscos à segurança da 
informação estão relacionados a:
— Falta de orientação: não saber operar os recursos de TI coloca em risco a segurança da 
informação. Treinamento em tecnologias novas ou recursos de TI aos usuários comuns e à 
equipe de informática é uma boa prática. Vale a pena desenvolver profissionais C-Level que 
possam ampliar os horizontes tecnológicos da empresa, tornando a área de TI alinhada à 
estratégia da organização. Com a ajuda desses especialistas, os recursos tecnológicos serão 
aplicados para impulsionar a produtividade das equipes e facilitar o alcance das metas, sem 
perder de vista o aprimoramento contínuo da segurança da informação.
 Lembrete
C-Level é o termo utilizado para designar os mais altos executivos de 
uma empresa. Em português, a letra C significa chefe.
133
TECNOLOGIAS DA INFORMAÇÃO
— Erros de procedimentos internos: procedimentos da gestão da segurança da informação 
mal constituídos ou desatualizados podem acarretar fragilidades e perda de dados. Essas 
fragilidades podem se manifestar nos hardwares, nos softwares e mesmo nas pessoas mal 
preparadas para fazer frente às ameaças que se renovam a cada dia.
— Negligência: deixar de cumprir regras da política de segurança da informação ou procedimentos 
internos de TI por mera negligência pode custar muito caro, seja em prejuízos financeiros, de 
imagem ou de materiais. Campanhas de conscientização dos colaboradores para redobrar o 
cuidado com ameaças cibernéticas – especialmente em e-mails, sites e arquivos maliciosos, 
que provocam a propagação de vírus, malwares, trojans, e outros, na rede de informática – 
são fundamentais.
— Malícia: ações mal-intencionadas de funcionários internos e de pessoas externas à empresa 
tornam instável a segurança da informação, especialmente se não houver mecanismos de 
detecção de invasões.
• Cultura da organização: a terceira plataforma de TI combinou tecnologias sociais, computação 
em nuvem, dispositivos móveis (smartphones, tablets) e tecnologias de análise de dados, 
como BI e big data, para promover a conectividade e gerar a informação em tempo real sobre 
o comportamento dos consumidores. Esse movimento fez com que os métodos de gestão da 
segurança da informação ganhassem uma nova dinâmica de readaptação constante, para bloquear 
as novas rotas deataques aos sistemas e às bases de dados das empresas, proporcionadas por novas 
tecnologias. Isso impacta na cultura da empresa, que precisa se adequar a essa transformação 
digital, modernizando processos internos sem descuidar da segurança.
• Regras de negócio bem definidas: as informações críticas devem ser identificadas e as regras 
do negócio referentes a acesso, manutenção (inclusão, alteração, exclusão) de dados e tempo 
de guarda devem ser estabelecidas de forma fundamentada, para garantir total segurança. As 
regras do negócio são indispensáveis para a configuração de permissões de acesso em softwares, 
hardwares e rede de computadores.
• Contratos de confidencialidade: colaboradores internos de uma organização, incluindo 
terceirizados, especialmente vinculados à área de TI, muitas vezes, têm acesso a informações 
sigilosas. A melhor forma de preservar a segurança da informação é fazer um contrato de 
confidencialidade com todas as pessoas que conhecem e acessam essas informações. O contrato 
de confidencialidade deve ser redigido considerando requisitos legais aplicáveis à empresa e 
eventuais acordos com clientes, fornecedores, prestadores de serviços e parceiros de negócio.
• Gestão de continuidade de negócios (GCN): informações do negócio são essenciais para 
garantir sua continuidade. São compostas de dados de clientes, produtos ou serviços, parceiros 
comerciais, transações financeiras e demais assuntos pertinentes ao funcionamento da empresa. 
Sua perda pode tornar impossível o negócio. A GCN visa estabelecer planos de ação de emergência 
a eventos adversos como desastres naturais, explosões, incêndios, fraudes financeiras, atentados, 
sabotagens, falhas nos sistemas informatizados etc. Os planos de ação traçados devem evitar ou 
134
Unidade III
ao menos minimizar os impactos negativos, tais como: paralisações na produção e/ou prestação 
de serviços, perdas financeiras e danos à imagem ou credibilidade do negócio. A GCN é uma 
ferramenta de ação preventiva, mediante a adoção de mudanças em processos, produtos ou 
serviços de TI. Pequenas mudanças podem resultar em grandes saltos na segurança da informação.
• Benchmarking: importante instrumento de gestão que parte do princípio de comparação de 
produtos, serviços, processos e práticas empresariais próprios de uma organização com os de terceiros, 
concorrentes ou não. Dados fantásticos surgem da análise de situações das empresas de ramos 
diferentes de atividade e que podem ser replicadas como casos de sucesso, ou evitadas como 
casos de fracasso, com as devidas adaptações. O benchmarking foca não somente nas situações 
de sucesso do mercado empresarial para gerar conhecimento, mas também nas lições das 
experiências ruins que são divulgadas.
• Mecanismos de segurança eficazes: são uma forma de restrição de acesso – por exemplo, o 
uso de travas especiais nas portas, acionadas por senha. As instalações elétricas e o sistema de 
refrigeração são indispensáveis para assegurar condições ideais de funcionamento da infraestrutura 
de TI, evitando perda de dados por falta ou sobrecarga de energia ou por superaquecimento, que 
danificam os equipamentos de informática. Para garantir o funcionamento contínuo dos recursos 
de TI, alguns equipamentos entram em cena. O nobreak (dispositivo alimentado a bateria, capaz de 
fornecer energia elétrica a um sistema por certo tempo) garante o funcionamento da infraestrutura 
o suficiente para que nenhuma informação seja perdida quando ocorre falta de energia elétrica. Há 
também os mecanismos lógicos para garantir a segurança da informação. Os principais são:
— Firewall: mecanismo de controle do tráfego de dados entre os computadores de uma rede 
interna e com outras redes externas. Ele trabalha segundo protocolos de segurança (TCP/IP, 
IPSec, HTTP etc.) que garantem o correto funcionamento da comunicação entre as duas redes, 
visando impedir invasões. Estas geralmente são praticadas por pessoas mal-intencionadas, 
que desejam acessar dados confidenciais para apropriação indevida de recursos financeiros, 
venda de informações privilegiadas, bloqueio de acesso a dados ou mesmo para demonstrar 
sua inteligência destrutiva.
— Assinatura digital: forma de identificação do usuário que está acessando os recursos de TI, 
dando validade legal aos documentos digitais e assegurando a autenticidade do emitente 
da informação.
— Biometria: o acesso às informações é liberado somente para a pessoa autorizada, levando em 
consideração características físicas (impressão digital, voz ou padrões da íris do olho ou do 
rosto inteiro). 
Outra faceta do controle de acesso é o uso de equipamentos próprios dos colaboradores para 
operação de sistemas e aplicativos empresariais de forma remota, conhecido como bring your own 
device (BYOD) – em português, traga seu próprio dispositivo. Como a empresa não tem controle sobre 
as configurações de segurança e os aplicativos dos dispositivos particulares dos funcionários, ela tem 
que reforçar os mecanismos de validação da autenticidade do usuário e as barreiras contra ataques 
135
TECNOLOGIAS DA INFORMAÇÃO
aos dados, para se proteger da shadow IT (TI nas sombras, prática de utilizar aplicativos, softwares ou 
dispositivos de tecnologia sem a homologação do departamento de TI).
7.1.21 Política de segurança da informação
Conforme Positivo Tecnologia (2017), a política de segurança da informação é um documento que estabelece 
as instruções para os membros da organização no que tange às regras de acesso e uso dos recursos de TI.
O documento que fixa a política de segurança da informação pode ter muitos capítulos, entre eles: 
papéis e responsabilidades; uso do correio eletrônico; acesso à internet e intranet; distribuição, acesso e 
renovação de computadores; backup e política de senhas. É indispensável que a política tenha um texto 
curto e objetivo em cada assunto tratado, para facilitar e estimular a leitura e tornar mais eficazes o 
processo de divulgação e o treinamento das pessoas.
 Observação
A política de senhas deve determinar uma configuração que permita 
induzir a criação de senhas fortes, a fim de dificultar a ação de hackers.
A política de segurança da informação deve definir um mecanismo que obrigue a troca de senhas 
de tempos em tempos pelos usuários, fazendo também o cancelamento de senhas de usuários 
inativos/desligados da organização. Essa é uma das práticas de segurança mais esquecidas.
 Lembrete
As regras contidas na política de segurança da informação servem 
para impedir invasões de criminosos, que podem resultar em fraudes ou 
vazamento de informações, evitar a entrada de vírus na rede ou a captura 
de dados e garantir a confidencialidade, confiabilidade, integridade, 
autenticidade e disponibilidade das informações.
Essa política deve ser desenvolvida de forma participativa entre a equipe de TI e os funcionários dos 
outros departamentos e ser aprovada pela alta direção da organização. De comum acordo, fica mais 
fácil gerir a segurança da informação. Vejamos alguns casos de grande repercussão de invasões na 
internet, conforme Positivo Tecnologia (2017):
eBay
Em maio de 2014 a base de dados de usuários do eBay sofreu a violação 
das senhas de 112 milhões de pessoas, que foram obrigadas a trocá-las, e 
ocasionou a perda de dados pessoais ali armazenados. Foram preservadas 
apenas as informações financeiras.
136
Unidade III
Esse tipo de ocorrência gera transtornos a um contingente enorme de usuários 
e abala seriamente a confiança dos clientes na credibilidade da empresa.
Snapchat
O Snapchat passou por maus momentos em janeiro e outubro de 2014. No 
primeiro evento de ataque cibernético, foram vazados os dados pessoais de 
4,6 milhões de usuários, o que gerou um pedido de desculpas por parte da 
empresa e a promessa de melhorias nos mecanismos de segurança.
Já o segundo evento resultou de falhas de segurança em um parceiro de 
negócios do Snapchat, que estava responsável por armazenar imagens 
compartilhadas pelo app,o que possibilitou a divulgação indevida de 13 GB 
de fotos dos usuários na web.
Kickstarter
A Kickstarter foi vítima da quebra de segurança dos dados pessoais e senhas 
de 6 milhões de usuários cadastrados, também no ano de 2014.
A reação rápida da empresa conseguiu evitar a perda dos dados dos cartões 
dos clientes. Mas os impactos não deixaram de ser imensos.
Nasdaq
Nem mesmo o sistema de segurança da Nasdaq, considerado um dos mais 
robustos do mercado, ficou imune à intrusão, alteração e roubo de 160 milhões de 
registros, no ano de 2013, gerando enormes prejuízos financeiros de alta monta.
Há também o caso da WikiLeaks sobre a Agência Nacional de Segurança dos EUA (NSA). Em 2013, 
um ex-consultor da NSA, Edward Snowden, vazou documentos que demonstraram atos de espionagem 
sobre cidadãos americanos e estrangeiros via internet, por meio de acesso indevido às bases de dados de 
nove empresas: Apple, AOL, Microsoft, Yahoo, Google, Facebook, Skype, YouTube e PalTalk.
Ainda segundo Positivo Tecnologia (2017), eventos como esses ligam o sinal de alerta da equipe de TI para 
a percepção de riscos internos e externos, que podem estremecer o moral dos colaboradores e, principalmente, 
dos clientes da organização, e, em alguns casos, podem sentenciar a falência de uma empresa.
É possível evitar invasão ou roubo de dados, fraudes, alteração ou exclusão imprópria de informações. 
Serão prevenidos a perda de centenas de clientes, com os consequentes prejuízos financeiros e de 
imagem, e o repasse indesejado de estratégias de negócio para os concorrentes.
Ao mesmo tempo que produzem novos recursos para proteção da informação, as atualizações 
tecnológicas também abrem lacunas que podem ser aproveitadas por pessoas mal-intencionadas para 
realizar crimes.
137
TECNOLOGIAS DA INFORMAÇÃO
Inúmeros casos de violação da segurança da informação são divulgados todos os anos. Eles servem 
como estudo de caso e para buscar novas práticas de proteção, tanto no campo das máquinas e 
aplicativos quanto nas ações das pessoas.
Outro ponto de atenção é a adoção de critérios para seleção e monitoramento dos parceiros de 
negócio da área de TI, pois eles são solidários na responsabilidade pelo atendimento aos princípios 
da segurança da informação. É preciso também garantir a segurança jurídica das relações de trabalho e de 
parceria, por meio da aplicação de contratos de confidencialidade.
A segurança da informação tem muitas facetas: tecnológicas, jurídicas, humanas, físicas e virtuais, e 
todas devem ser alvo de medidas que colaborem para melhorá-la.
7.1.22 Segurança dos sistemas de informação
A avaliação de riscos (ou análise de riscos) é provavelmente a parte mais complicada da implementação 
da norma ISO 27001. Ao mesmo tempo, essa avaliação (e tratamento) de riscos é a etapa mais importante 
no início do projeto de segurança da informação, pois define os fundamentos para a segurança da 
informação em sua organização.
De acordo com a norma ISO 27002, a segurança da informação eficaz reduz riscos, protegendo a 
organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.
A questão é: por que ela é tão importante? A resposta é bem simples, embora não compreendida por 
muitas pessoas: a principal filosofia da norma ISO 27001 é identificar incidentes que poderiam ocorrer, 
e avaliar os riscos, e então encontrar formas apropriadas de evitá-los. Deve-se avaliar cada risco e focar 
nos mais importantes.
A família de padrões da information security management system (ISMS) – sistema de gerenciamento 
de segurança da informação (SGSI) – destina-se a auxiliar organizações de todos os tipos e tamanhos a 
implementar e operar um SGSI e, conforme Palma (2014), consiste nas seguintes normas internacionais:
• ISO/IEC 27000: sistemas de gerenciamento de segurança da informação – visão geral 
e vocabulário.
• ISO/IEC 27001: sistemas de gerenciamento de segurança da informação – requisitos.
• ISO/IEC 27002: código de práticas para controles de segurança da informação.
• ISO/IEC 27003: orientação para implementação do sistema de gerenciamento de segurança 
da informação.
• ISO/IEC 27004: gerenciamento de segurança da informação – medição.
• ISO/IEC 27005: gerenciamento de risco de segurança da informação.
138
Unidade III
• ISO/IEC 27006: requisitos para organismos que fornecem auditoria e certificação de sistemas de 
gerenciamento de segurança da informação.
• ISO/IEC 27007: diretrizes para auditoria de sistemas de gerenciamento de segurança da informação.
• ISO/IEC TS 27008: diretrizes para auditores em controles de segurança da informação.
• ISO/IEC 27010: gerenciamento de segurança da informação para comunicações intersetoriais 
e interorganizacionais.
• ISO/IEC 27011: diretrizes de gerenciamento de segurança da informação para organizações de 
telecomunicações baseadas na ISO/IEC 27002.
• ISO/IEC 27013: orientação sobre a implementação integrada da ISO/IEC 27001 e ISO/IEC 20000-1.
• ISO/IEC 27014: governança da segurança da informação.
• ISO/IEC TR 27015: diretrizes de gerenciamento de segurança da informação para serviços financeiros.
• ISO/IEC TR 27016: gerenciamento de segurança da informação – economia organizacional.
Embora a avaliação e o tratamento de riscos, que juntos formam a gestão de riscos, sejam um 
trabalho complexo, estas seis etapas básicas – elaboradas por Kosutic (2015) e dispostas no trecho a 
seguir – jogarão uma luz sobre o que você tem que fazer:
 
1. Metodologia de análise de risco da ISO 27001
Esta é a primeira etapa em sua viagem através da gestão de riscos. Você precisa 
definir regras sobre como você irá realizar a gestão de riscos, porque você quer que toda 
a organização faça isso da mesma forma – o maior problema com a gestão de riscos 
acontece se diferentes partes da organização realizam a gestão de formas diferentes. 
Desta forma, você precisa definir se você quer uma avaliação de riscos qualitativa ou 
quantitativa, quais escalas você irá usar para a avaliação qualitativa, qual será o nível 
aceitável de risco etc.
2. Implementação da avaliação de riscos
Uma vez que você saiba as regras, você pode iniciar identificando quais problemas 
poderiam acontecer a você – você precisa listar todos os seus ativos, depois ameaças e 
vulnerabilidades relacionadas a estes ativos, avaliar o impacto e a probabilidade para cada 
combinação de ativos/ameaças/vulnerabilidades e finalmente calcular o nível de risco.
Em minha experiência, organizações estão conscientes de apenas 30% de seus riscos. 
Assim, você provavelmente descobrirá este exercício como revelador [...].
139
TECNOLOGIAS DA INFORMAÇÃO
3. Implementação do tratamento de riscos
Claro que nem todos os riscos são criados de forma igual – você deve focar nos mais 
importantes, os assim chamados “riscos inaceitáveis”. Existem quatro opções que você pode 
escolher para reduzir cada risco inaceitável:
1. Aplicar controles de segurança do Anexo A [da ISO 27001:2013] para reduzir os 
riscos [...].
2. Transferir o risco para terceiro – e.g., para uma companhia de seguro ao adquirir uma 
apólice de seguro.
3. Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a de 
modo completamente diferente.
4. Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco for maior do que 
o próprio dano.
Aqui é onde você precisa ser criativo – como mitigar os riscos com o mínimo de 
investimento. Seria mais fácil se o seu orçamento fosse ilimitado, mas isso nunca irá 
acontecer. [...] infelizmente sua direção está correta – é possível atingir o mesmo resultado 
com menos dinheiro – você apenas precisa descobrir como.
4. Relatório de avaliação de riscos do SGSI
Diferente das etapas anteriores, esta é bem monótona – você precisa documentar tudo 
que você fez até agora. Não apenas para os auditores, mas você talvez queira checar por 
você mesmo estes resultados dentro de um ano ou dois.
5. Declaração de aplicabilidade
Este documento na verdade mostra o perfilde segurança de sua organização – baseado 
nos resultados do tratamento de riscos, você precisa listar todos os controles que você 
implementou, por que você os implementou e como. Este documento é também muito 
importante porque o auditor de certificação o usará como a principal orientação para 
a auditoria. [...]
6. Plano de tratamento de risco
[...] Este é o propósito do plano de tratamento de risco – definir exatamente quem irá 
implementar cada controle, em que espaço de tempo, com qual orçamento etc. [...]
Uma vez que você tenha escrito este documento, é crucial obter a aprovação de sua 
direção, porque uma quantidade considerável de tempo e esforço (e dinheiro) será dedicada 
140
Unidade III
para implementar todos os controles que você planejou aqui. E sem o comprometimento da 
direção você não terá nada destes recursos.
E é isso – você começou sua jornada partindo de não conhecer nada sobre como definir 
sua segurança da informação até ter uma visão clara do que você precisa para implementá-la. 
O ponto é – a ISO 27001 força você a fazer esta jornada de forma sistemática.
Fonte: Kosutic (2015).
7.1.23 Norma ISO 27000
Conforme Palma (2014), vejamos as principais normas da ISO 27000.
ISO 27000: é a introdução à família ISO 27000. É uma norma interessante sobretudo para 
profissionais de primeira viagem na gestão da segurança da informação. Inclui um glossário de termos 
que ajuda, inclusive, a quem está se preparando para a certificação profissional ISO 27002 Foundation.
ISO 27001: é a principal norma que uma organização deve utilizar para obter a certificação 
empresarial em gestão da segurança da informação. Por isso, é conhecida como a única norma 
internacional auditável que define os requisitos para um SGSI.
ISO 27002: é um código de práticas com um conjunto completo de controles que auxiliam na 
aplicação do SGSI. É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode 
ser também consultada de forma independente com fins de adoção das boas práticas.
ISO 27003: contém um conjunto de diretrizes para a implementação do SGSI. Enquanto a 27001 
disponibiliza apenas requisitos, aqui obtemos uma orientação detalhada.
ISO 27004: define métricas de medição para a gestão da segurança da informação.
ISO 27006: define requisitos para organizações que trabalham com auditoria e certificação de SGSI.
ISO 27007: aborda diretrizes para a auditoria do SGSI. Ela deve ser usada junto com a ISO 27006, 
assim como a ISO 27002 deve ser usada junto com a ISO 27001.
ISO 27008: complementa a ISO 27007, ao concentrar-se na auditoria dos controles em segurança 
da informação (dispostos na ISO 27002), enquanto a 27007 concentra-se na auditoria dos requisitos do 
SGSI (definidos na 27001).
ISO 27009: apoia indústrias específicas que pretendem trabalhar com base nas normas ISO 27000.
ISO 27010: guia para a comunicação em gestão da segurança da informação tanto no escopo da 
organização como fora dela (sobretudo entre empresas do mesmo setor). O objetivo não é delimitar 
controles de segurança para a informação, e sim prover auxílio para quem deseja evoluir com as 
141
TECNOLOGIAS DA INFORMAÇÃO
práticas, por meio de contatos e network entre partes de um mesmo segmento de mercado que buscam 
aprimorar a gestão da segurança da informação.
ISO/IEC 27011: guia de gestão da segurança da informação para empresas de telecomunicações.
ISO 27012: essa norma foi proposta para a gestão da segurança da informação em organizações 
da administração pública, mas foi cancelada. Hoje, no site oficial da ISO, ela não está entre as normas 
publicadas oficialmente.
ISO 27013: guia para implementar a ISO 27001 em uma organização de forma integrada com a 
ISO 20000 (norma que atribui os requisitos para gestão de serviços de TI).
ISO 27014: técnicas para governança da segurança da informação. Esse objetivo é buscado por tal 
norma por meio de uma especificação de como avaliar, dirigir, controlar e comunicar todas as práticas 
internas da empresa relacionadas à segurança da informação, de forma que sejam compreendidas e 
estejam alinhadas com necessidades da área de negócio.
ISO 27015: aborda a gestão da segurança da informação para serviços financeiros. Pode ser 
interpretada como uma norma que fornece controles e diretrizes complementares à ISO 27002 para 
empresas e departamentos desse segmento.
ISO 27016: o mesmo raciocínio da 27015, só que para o setor de economia. A partir da próxima 
norma, o foco muda para tópicos específicos em TI.
ISO/IEC 27017: controles específicos para cloud computing.
ISO/IEC 27018: cobre especificamente a privacidade – personally identifiable information (PII) – 
para serviços em cloud computing. É uma norma que complementa a ISO 27017.
ISO 27019: controles específicos para a indústria de energia.
 Observação
As normas numeradas entre 27020 e 27030 não estão publicadas ou já 
estão publicadas para temas que não dizem respeito à gestão da segurança 
da informação. A ISO 27020, por exemplo, é aplicável a suportes e tubos 
para uso em aparelhos ortodônticos fixos.
ISO 27031: guia de princípios da segurança da informação para TIC no sentido de garantir a 
continuidade dos negócios.
ISO 27032: aborda a cibersegurança, a preservação da confidencialidade, integridade e disponibilidade 
da informação no ciberespaço.
142
Unidade III
ISO 27033-1: trata sobre a introdução e conceitos gerais da segurança em redes. Esta é uma das 
seis partes da norma 27033. O conjunto de normas 27033-1 a 27033-6 é derivado das cinco partes da 
norma de segurança em redes ISO/IEC 18028.
ISO 27033-2: guia para planejamento, desenho, implementação e documentação da segurança 
em redes.
ISO 27033-3: tem o objetivo de definir riscos específicos, técnicas de projetos e controles 
relacionados à segurança em redes.
ISO 27033-4: visão geral e requisitos para identificação e análise de ameaças para a segurança 
da informação relacionadas a gateways de segurança da informação que compõem a arquitetura de 
segurança em redes.
ISO 27033-5: protege a comunicação entre redes usando a virtual private networks (VPNs).
ISO 27033-6: define riscos, técnicas de projeto e desenho e controles específicos para a segurança 
da informação em redes sem fio e rádio.
ISO 27034-1: segurança da informação em aplicações – parte 1. Nessa primeira parte, é abordada 
uma introdução e são definidos conceitos. As partes 2 a 6 encontram-se em desenvolvimento, mas já é 
possível obter informações sobre elas, conforme descrições a seguir.
ISO 27034-2: segurança da informação em aplicações – parte 2. A segunda parte trata sobre a 
organização normativa para a segurança em aplicações.
ISO 27034-3: guia para o processo de gestão da segurança em aplicações.
ISO 27034-4: validação de requisitos de segurança em aplicações.
ISO 27034-5: protocolos e estrutura de dados de controle de segurança de aplicativos.
ISO 27034-6: guia de segurança da informação para aplicações específicas.
ISO 27035: guia detalhado para a gestão de incidentes de segurança da informação, cobrindo 
o processo de mapeamento de eventos, incidentes e vulnerabilidades em segurança. Inclui guias 
para declaração de uma política de gestão de incidentes de segurança, divisão das responsabilidades 
envolvidas, entre outros aspectos relevantes para quem adota as boas práticas de gestão da segurança.
ISO 27036: segurança da informação para o relacionamento com fornecedores. Oferece orientações 
sobre a avaliação e o tratamento de riscos de segurança da informação envolvidos na aquisição de 
informações ou produtos relacionados com a TIC de outras organizações.
ISO 27037: orientações para a identificação, coleta, aquisição e preservação de evidências forenses 
digitais. Essa norma está focada na manutenção da integridade dessas evidências.
143
TECNOLOGIAS DA INFORMAÇÃO
ISO 27038: especificação para redação digital. Trata sobre requisitos para a redação e o 
compartilhamento da informação digital de forma adequada, seja ela publicada