Fundamentos de Segurança da Informação

Prévia do material em texto

FUNDAMENTOS DE 
SEGURANÇA DA 
INFORMAÇÃO
Aline Zanin
Conceitos básicos de 
segurança da informação
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Identificar a importância da utilização da segurança da informação 
no contexto organizacional.
  Diferenciar as categorias de ativos existentes em uma empresa.
  Conceituar vulnerabilidade e ameaças dos ativos.
Introdução
A segurança da informação assume papel fundamental nas empresas, 
especialmente naquelas cujas informações representam diferenciais 
competitivos e, portanto, possuem valor próprio. A segurança da in-
formação é responsável por garantir a confidencialidade, a integridade 
e a disponibilidade dos ativos de informação da empresa, afastando 
os riscos de ataques. As empresas devem sempre estar atentas às suas 
vulnerabilidades e ter conhecimento das ameaças existentes. 
Neste capítulo, você vai verificar a importância da segurança da in-
formação no contexto organizacional, analisando motivos que levam 
as empresas a implementarem esse tipo de proteção. Você também vai 
estudar as diferentes categorias de ativos das empresas e vai analisar as 
vulnerabilidades e ameaças presentes no contexto das organizações.
Segurança da informação no contexto 
organizacional
O armazenamento de informações surgiu da necessidade de registrar hábitos, 
costumes e intenções nos mais diversos meios, de forma que esses registros 
possam ser utilizados e compreendidos futuramente pelo autor da informação 
e por outras pessoas. São exemplos de registros pré-históricos de informação 
os petróglifos, ou gravuras rupestres, que eram feitos nas pedras pelos nossos 
antepassados do período neolítico.
Atualmente, as informações se constituem como objetos de valor para as 
empresas. Quando se fala em informação e, especialmente, em armazenamento 
e transporte de informações, o pensamento é remetido naturalmente para a 
tecnologia da informação e todas as facilidades que esta proporciona. No 
contexto organizacional, a informação pode estar relacionada, por exemplo, 
com os dados armazenados em software e o uso eficiente destes. Segundo 
Correa Junior (2011), estratégias de extração de dados podem ser utilizadas, 
por exemplo, para identificar um perfil de consumidor e, com isso, persona-
lizar o negócio de uma empresa, estabelecendo um diferencial competitivo 
em relação à concorrência.
Dessa forma, o conhecimento e a informação são pontos-chave nas or-
ganizações, sendo necessário atentar para mecanismos que garantam a sua 
segurança. A segurança da informação tem como propósito proteger os ativos 
de informação. De acordo com Correa Junior (2011), um ativo de informação 
é qualquer objeto que retém partes da informação da empresa, nas suas mais 
diversas formas de representação e armazenamento: impressas em papel, 
armazenadas em discos rígidos de computadores, armazenadas na nuvem ou, 
até mesmo, retidas em pessoas.
Segundo Correa Junior (2011) e a ABNT (2005), a segurança da informação 
tem como base os seguintes aspectos, denominados pilares da segurança da 
informação (Figura 1):
  Confidencialidade (confidentiality): capacidade de um sistema de im-
pedir que usuários não autorizados “vejam” determinada informação 
que foi delegada somente a usuários autorizados a vê-la.
  Integridade (integrity): atributo de segurança que garante que a in-
formação seja alterada somente de forma autorizada, sendo mantida, 
assim, correta e completa.
  Disponibilidade (availability): indica a quantidade de vezes que o sistema 
cumpriu uma tarefa solicitada sem falhas internas, para um número de 
vezes em que foi solicitado a fazer a tarefa.
Conceitos básicos de segurança da informação2
Figura 1. Pilares da segurança da informação.
Fonte: Adaptada de Dodt (2011).
Con�dencialidade
Segurança
da
Informação
Integridade Disponibilidade
Por que se preocupar com a segurança da informação?
Existem diversos motivos para que as empresas se atentem à segurança de 
suas informações. Vamos falar sobre alguns deles.
Roubo de dados e informações: para muitas empresas, o seu maior capital 
é a regra de negócios da empresa, isto é, o conhecimento retido por ela quanto 
ao “fazer negócio”. Por exemplo: imagine uma empresa que fábrica molhos de 
tomate e que tem um faturamento anual bem acima dos concorrentes, devido 
ao sabor diferenciado do molho. Em um dado momento, a receita do molho é 
descoberta pelos seus concorrentes, que começam a fabricar o mesmo molho. 
Dessa forma, essa empresa perde seu principal diferencial competitivo, apenas 
por ter perdido uma informação importante para a empresa.
Impacto na operacionalização da empresa: muitas empresas dependem 
de seus sistemas computadorizados para o seu funcionamento. Imagine que 
uma invasão nos servidores de uma empresa tire seus sistemas do ar e faça 
com que a empresa pare de trabalhar por 24 horas. Tal fato certamente causará 
transtornos financeiros, operacionais e de confiança dos clientes.
Sequestro de dados: nos casos em que os dados dos servidores de uma 
empresa são vitais para o seu funcionamento, é preocupante o risco de sequestro 
de dados, em que um invasor captura as informações da base de dados da 
empresa e cobra valores significativamente altos pelo seu resgate.
3Conceitos básicos de segurança da informação
Vazamento de dados confidenciais de clientes: quando uma empresa 
armazena dados pessoais de clientes, por exemplo, documentação e dados 
financeiros, ela assume com o cliente um compromisso de responsabilidade 
com esses dados. Deixar o sistema vulnerável viola esse compromisso de 
responsabilidade, uma vez que os dados podem ser capturados direto do 
servidor se houver uma falha de segurança.
Danos à imagem da empresa: todos os problemas citados acima causam 
uma quebra de confiança entre a empresa e seus clientes, o que pode causar 
perda de clientes e graves danos financeiros para a empresa.
Mantenha sempre os softwares que utiliza nos computadores de sua casa ou empresa 
atualizados, inclusive o sistema operacional. É comum os fabricantes de software 
identificarem falhas de segurança e disponibilizarem aos seus clientes novas versões 
com as falhas corrigidas.
Ativos de uma empresa
Utiliza-se a palavra ativos para denominar tudo aquilo que possui valor para 
uma empresa e, por isso, precisa ser protegido (ABNT, 2005). Os ativos são 
elementos fundamentais da segurança da informação e a razão da existência 
dessa preocupação. O valor de um ativo pode estar no próprio ativo, como um 
servidor, ou no uso que se faz dele, como em um banco de dados, conforme 
leciona Correa Junior (2011).
Os ativos de informação podem ser divididos nas seguintes categorias:
  Informações: toda e qualquer informação que a empresa possui, digi-
talizada ou não.
  Software: esse grupo de ativos contém todos os programas de compu-
tador utilizados nos processos de acesso, leitura, transmissão e arma-
zenamento das informações de uma empresa.
  Hardware: todos os elementos físicos que apresentam valor importante 
para uma empresa no que diz respeito à informação; por exemplo, 
computadores e servidores.
Conceitos básicos de segurança da informação4
  Organização: nesse grupo, estão incluídos os aspectos que compõem 
a estrutura física e organizacional das empresas.
  Usuários: engloba os indivíduos que lidam com as informações no seu 
dia a dia de trabalho.
De acordo com a norma ABNT NBR ISO/IEC 27002:2005:
A segurança da informação é obtida a partir da implementação de 
um conjunto de controles adequados, incluindo políticas, processos, 
procedimentos, estruturas organizacionais e funções de software e 
hardware. Estes controles precisam ser estabelecidos, implementados, 
monitorados, analisados criticamente e melhorados, onde necessário, 
para garantir que os objetivos do negócio e de segurança da organização 
sejam atendidos. Convém que isto seja feito em conjunto com outros 
processos de gestão do negócio (ASSOCIAÇÃO BRASILEIRADE 
NORMAS TÉCNICAS, 2005, documento on-line).
Vulnerabilidade e ameaças a ativos
O termo vulnerabilidade diz respeito à condição que torna um ativo um 
alvo mais predisposto a sofrer ameaças e invasões. Fazendo uma analogia, 
ao deixar a porta de sua casa aberta, você está deixando sua casa vulnerável 
a furtos e roubos. Isso não quer dizer que, obrigatoriamente, quando a porta 
estiver aberta, os ativos de sua casa serão furtados; contudo, indica que, com 
a porta aberta, o roubo ou furto é facilitado. O mesmo acontece em empresas 
com relação aos ativos de informação: ao não tomar os devidos cuidados com 
hardware ou software, os sistemas se tornam mais vulneráveis a ataques.
Alguns exemplos de vulnerabilidades são listados a seguir, com base em 
Dantas (2011):
  Área física e do ambiente: diz respeito à vulnerabilidade na estrutura 
física da empresa; por exemplo, portas ou janelas desprotegidas, ins-
tabilidade da energia, localização em área susceptível à inundação.
5Conceitos básicos de segurança da informação
  Hardware: susceptibilidade a problemas que podem danificar os equi-
pamentos; por exemplo, variação de voltagem, de temperatura, poeira, 
umidade, radiação eletromagnética, falta de controle de mudança de 
configuração.
  Software: diz respeito às falhas em um software que facilitam a invasão 
ou a danificação do software e dos dados; por exemplo, falta de meca-
nismo de identificação e autenticação, tabelas de senhas desprotegidas, 
alocação errada de direitos de acesso, falta de documentação, falta de 
backup.
  Comunicações: linhas de comunicações desprotegidas, falta de iden-
tificação e autenticação de emissor e receptor, gestão inadequada da 
network, conexões de rede pública desprotegidas.
  Documentação: arquivo desprotegido, falta de controle para cópias, 
falta de cuidado na disponibilização da documentação.
  Pessoal: falta de pessoal, treinamento de segurança insuficiente, ausên-
cia de conhecimento de segurança, utilização incorreta de software e 
hardware, falta de mecanismo de monitoramento, ausência de políticas 
para a utilização correta de mídia e de mensagens, procedimento ina-
dequado para seleção.
Os sistemas, em geral, precisam ser protegidos dessas vulnerabilidades, 
porque, quando elas são exploradas, podem causar diversos problemas para 
as empresas. Uma vulnerabilidade é geralmente explorada por uma ameaça. 
Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, 
podem provocar danos e perdas. 
Ameaças podem ser naturais, involuntárias ou intencionais, conforme le-
ciona Dantas (2011). Uma ameaça natural é aquela que se origina de fenômenos 
da natureza, como terremotos, furacões, enchentes, maremotos, tsunamis, etc. 
Uma ameaça involuntária é aquela que resulta de ações não intencionais, 
mas que causam algum dano; geralmente são causadas por acidentes, erros, 
ou pela ação inconsciente de usuários, como é o caso de vírus eletrônicos que 
são ativados pela execução de arquivos anexados às mensagens de e-mail. Já 
uma ameaça intencional é aquela que tem por objetivo causar danos, como 
ataques de hackers, fraudes, vandalismos, sabotagens, espionagens, invasões 
e furtos de informações, dentre outras.
Dantas (2011) aponta as principais ameaças a ativos apresentadas em pes-
quisas sobre segurança da informação: 
Conceitos básicos de segurança da informação6
  vírus, worm, cavalo de tróia (trojan horse);
  phishing, pharming e spyware;
  adware, spam;
  roubo de dados confidenciais da empresa e de clientes, da propriedade 
da informação e da propriedade intelectual;
  acesso não autorizado à informação;
  perda de dados de clientes;
  roubo de laptop, dispositivo portátil e hardware;
  má conduta e acesso indevido à network por funcionários e gerentes, 
bem como abuso de seus privilégios de acesso e utilização indevida 
da rede wireless;
  ataque de negação de serviço, invasão de sistemas e da network;
  acesso e utilização indevida da internet e dos recursos dos sistemas 
de informação;
  degradação da performance, destruição e/ou desfiguramento da network 
e do website;
  software de má qualidade, mal desenvolvido e sem atualização;
  fraude financeira e de telecomunicações;
  interceptação de telecomunicação (voz ou dados) e espionagem;
  sabotagem de dados e da network;
  desastres naturais;
  ciberterrorismo.
É importante que as empresas conheçam as principais ameaças à segurança 
da informação, bem como as vulnerabilidades a elas associadas, para que seja 
possível evitar os transtornos causados pela concretização de uma ameaça. 
Nesse processo de análise, adentra-se no estudo do risco, que envolve entender 
como as ameaças ocorrem, verificar as vulnerabilidades a que a empresa está 
sujeita e analisar a probabilidade de concretização de ataques. Dessa forma, é 
possível efetuar um tratamento mais adequado aos riscos, de acordo com as 
reais condições da organização, conforme leciona Dantas (2011).
7Conceitos básicos de segurança da informação
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 27002. Tecnologia da 
informação: técnicas de segurança: código de prática para a gestão da segurança da 
informação. Rio de Janeiro, 2005. Disponível em: <http://www.fieb.org.br/download/
senai/NBR_ISO_27002.pdf>. Acesso em: 20 ago. 2018.
CORREA JUNIOR, H. E. Segurança de sistemas: conceitos básicos: material adaptado da 
Academia Latino-Americana de Segurança - Microsoft. 2011. Disponível em: <https://
pt.scribd.com/document/84971695/aula1>. Acesso em: 20 ago. 2018.
DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. 
Olinda, PE: Livro Rapido, 2011.
DODT, C. Transformando sua política de segurança da informação em um ativo estratégico. 
2011. Disponível em: <https://claudiododt.wordpress.com/2011/06/29/transformando-
-sua-politica-de-seguranca-da-informacao-em-um-ativo-estrategico/>. Acesso em:
20 ago. 2018.
FEDERAÇÃO DO COMÉRCIO DE BENS E DE SERVIÇOS DO ESTADO DE SÃO PAULO 
(FECOMÉRCIO-SP). Segurança da informação para empresas: soluções simples – grandes 
resultados. São Paulo: Fischer2, 2014. Disponível em: <http://www.coaliza.org.br/wp-
-content/uploads/2014/05/Cartilha-Seguran%C3%A7a-da-Informa%C3%A7%C3%A3o-
-para-pequenas-empresas.pdf>. Acesso em: 20 ago. 2018.
Conceitos básicos de segurança da informação8
Conteúdo:
FUNDAMENTOS DE 
SEGURANÇA DA 
INFORMAÇÃO
Aline Zanin
Conceito e valor 
da informação
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Identificar a importância e o valor da informação no contexto 
organizacional.
  Identificar as fases do ciclo de vida da informação.
  Descrever a classificação das informações (pública, interna, confiden-
cial, secreta).
Introdução
As informações têm importância significativa para as empresas, estando 
relacionadas a aspectos estratégicos, de fidelização e atração de clientes 
e de organização interna. Devido a essa relevância, as informações estão 
sujeitas a ameaças como perda ou roubo, que podem gerar grandes 
transtornos para as empresas. Assim, torna-se importante compreender 
em quais momentos as informações estão sob maior risco e quais os tipos 
de informação que exigem maiores esforços de segurança da informação.
Neste capítulo, você vai estudar os conceitos fundamentais de segurança 
da informação, sendo eles o valor da informação para as organizações, o 
ciclo de vida da informação e a classificação da informação.
A informação no contexto organizacional
Para defi nirmos a importância da informação para as organizações, primeira-
mente é necessário entender o seu conceito. Primeiramente, vamos distinguir 
dados e informação: dados são fatos brutos que não receberam tratamento; 
já informações são o resultado dos dados já tratados e organizados de uma 
forma lógica, conforme lecionam Laudon e Laudon (2007). A Figura 1 traz 
um esquema desses conceitos.
Figura 1. Conceitos de conhecimento, informação e dados.
Fonte: Adaptadade Oliveira (2018).
Informação
Dados analisados, valor agregado
Dados
Públicos, de diferentes fontes
Conhecimento
Compreensão da informação
Em uma empresa, a informação é uma ferramenta-chave que está di-
retamente associada ao seu sucesso ou insucesso. Uma informação ou um 
conjunto de informações pode representar uma parte ou o todo do negócio de 
uma empresa. Por exemplo: uma determinada marca de refrigerantes tem um 
grande faturamento e uma grande quantidade de vendas e tem como diferencial 
a fórmula utilizada para a produção do refrigerante da marca. Nesse contexto, 
a fórmula de produção da bebida é a informação principal da empresa, e a 
perda ou a divulgação dessa informação para a concorrência pode representar 
o fracasso da organização.
As empresas também se utilizam da informação para conquistar novos 
clientes e fidelizar clientes antigos, uma vez que, por meio da análise de 
dados e informações, é possível construir o perfil consumidor e habitual dos 
clientes. Assim, um empresa pode, por exemplo, posicionar produtos em um 
supermercado de acordo com as possibilidades de compra do público que 
frequenta o local. Outro exemplo similar é a oferta de produtos em lojas vir-
tuais ou o anúncio de produtos em sites em geral: ao analisar as informações 
de pesquisas recentes e acessos a páginas web feitos pelo cliente, é possível 
ofertar anúncios que sejam atraentes para ele. 
Assim, existem diversos aspectos que tornam a informação de grande 
importância para as empresas. Dentre eles, podemos citar:
  o impacto no negócio da empresa;
  a fidelização de clientes;
  a conquista de novos clientes;
  a organização dos processos internos; e
  o estabelecimento de uma cultura organizacional.
Conceito e valor da informação2
Com o crescimento da oferta de tecnologia da informação e a consequente 
necessidade das empresas de se reinventarem e de inovarem em seus proces-
sos e produtos para se manterem competitivas, as informações empresariais 
passaram a ser armazenadas e manipuladas, em sua maioria, por meio de 
softwares e bancos de dados. O uso das informações diminui as incertezas na 
tomada de decisões e garante a competitividade dos negócios. Atualmente, em 
muitas empresas, a informação é tratada como ativo de informação e, como 
todo ativo, faz parte do patrimônio da empresa; como tal, tem valor próprio, 
conforme leciona Cunha (2012).
O valor da informação para as organizações está descrito nas chamadas 
sete leis da informação, organizadas por Moody e Walsh e abordadas por 
Beal (2004, p. 21–24):
1º Lei – A informação é infinitamente compartilhável: diferentemente de ativos 
comuns, como equipamentos, móveis, etc., a informação pode ser compar-
tilhada infinitamente e simultaneamente por inúmeras pessoas, aumentado 
cada vez mais o seu valor, à medida que mais pessoas forem usando. Assim 
como o compartilhamento aumenta o valor, a replicação da informação, 
através da reinserção de dados não agrega valor algum, só tende a aumentar 
os custos da organização. 
2º Lei – O valor da informação aumenta com o uso: diferente dos ativos comuns 
da organização que quanto mais usam mais perdem valor, a informação quanto 
mais usada, maior o valor a ela associado. Mas para ser bem utilizada, para 
que seu uso seja efetivo todos da organização devem saber que ela existe, saber 
onde ela está organizada, ter acesso a ela e saber como utilizá-la. Além disso 
essas informações devem estar adequadas às necessidades de seus usuários.
3º Lei – A informação é perecível: a informação perde parte do seu valor à 
medida que o tempo for passando. Ela deve ser utilizada na hora correta, pois 
corre o risco de perder o valor da descoberta. 
4º Lei – O valor da informação aumenta com a precisão: quanto mais precisa 
for à informação, mais valor ela terá. O contrário, ou seja, a utilização da in-
formação imprecisa, inexatas, pode levar a tomadas de decisões equivocadas 
ou provocar graves erros prejudicando seu usuário. 
5º Lei – O valor da informação aumenta quando há combinação de informações: 
a integração das informações permite uma visão sistêmica da organização em 
substituição à visão setorial, fragmentada. Quando mais integrada estiver, 
maior potencial de valor.
6º Lei – Mais informação não é necessariamente melhor: Assim como a insu-
ficiência de informação, a sobrecarga dela também é prejudicial. Muitas vezes 
o excesso de informação, ultrapassa a capacidade humana de processamento. 
Para ser útil, a informação precisa ser filtrada, usando critérios de relevância, 
quantidade e qualidade de seu conteúdo. 
3Conceito e valor da informação
7º Lei – A informação se multiplica: a informação é autogenerativa, pois ela 
possui a capacidade de se multiplicar através de novas operações de síntese, 
análise e combinações, podendo ser reciclada e reutilizada. 
Conforme leciona Gurgel (2006), citando os ensinamentos de Drott (2001), “o fato de 
informações poderem ser estruturadas não quer dizer que o seu valor possa ser medido. 
As tomadas de decisões em uma organização são realizadas com base no conhecimento 
pessoal de seus colaboradores, bem como das informações corporativas existentes”.
Ciclo de vida da informação
O ciclo de vida da informação representa todo o “histórico” dessa infor-
mação, desde o momento de sua criação. O ciclo de vida descreve, inclusive, 
as mudanças na criticidade da informação, isto é, as variações quanto à 
relevância da informação para a empresa: uma informação que, em um dado 
período, era extremamente importante para uma empresa, pode hoje não ter 
mais valor de negócio, ou vice-versa. Por exemplo: há cinco anos, uma marca 
criou um smartphone com uma funcionalidade inovadora; até o lançamento 
deste, o processo de fabricação e a ideia de negócio eram informações de alta 
criticidade. Após o lançamento, essas informações passaram a ser insignifi -
cantes para o negócio da empresa.
O ciclo de vida da informação se divide nas seguintes fases, segundo 
Sêmola (2003):
  Manuseio: trata-se do momento da criação e da manipulação da infor-
mação, seja esta física ou virtual.
  Armazenamento: trata-se do armazenamento da informação, seja ele em 
arquivos físicos ou em bancos de dados de sistemas computadorizados.
  Transporte: momento em que a informação é transportada, seja ao 
encaminhar informações por e-mail, via correspondência ou via tele-
fone, por exemplo.
  Descarte: ato de descartar a informação, quando esta deixa de ser rele-
vante; por exemplo: apagar informações de computadores ou depositar 
documentos na lixeira.
Conceito e valor da informação4
As etapas do ciclo de vida da informação representam os momentos em que a infor-
mação pode estar sob ameaça e, por isso, sua segurança demanda maior atenção. 
Segundo Sêmola (2003), na etapa de manuseio, a informação está sob ameaça, por 
exemplo, ao se fazer anotações em uma reunião e não zelar pelo sigilo das anotações.
Classificação das informações
Conforme destacado anteriormente, a informação tem um valor fundamental 
em todas ou, pelo menos, na maioria das empresas. Ela pode ser representada 
de diversas maneiras, por exemplo, digitalizada, em banco de dados, ou física, 
em arquivos de papel. Além da forma de representação, as informações 
também se diferenciam pelas suas restrições de acesso, isto é, as defi nições 
de quem pode acessar e do nível de segurança demandado.
Uma vez que uma política de classificação é elaborada pela empresa, 
torna-se possível tomar decisões adequadas para a avaliação e o tratamento 
de riscos. Com isso, segundo Palma (2018), podem ser adotadas medidas 
preventivas, visando, por exemplo, a:
  reduzir o risco de que informações classificadas como sensíveis sejam 
acessadas por pessoas não autorizadas;
  garantir a divulgação adequada para informações públicas;
  reduzir o risco de perda de integridade das informações que criam 
maior valor para o negócio; entre outras.
Nesse contexto, é pertinente que as empresas categorizem as informações 
conformesuas necessidades e prioridades, classificando-as como informações 
públicas, internas, confidenciais e secretas, conforme leciona Laureano 
(2005 apud CUNHA, 2012).
1. Pública: é o tipo de informação que demanda menos trabalho de segu-
rança; isso porque uma informação pública é aquela cuja integridade 
não é vital e que pode ser de senso comum, dentro e fora da empresa, 
sem prejudicar o negócio.
5Conceito e valor da informação
2. Interna: é o segundo tipo de informação que exige menos trabalho de 
segurança. Para informações internas, o sigilo deve ser mantido, e devem 
ser impostas restrições de acesso; contudo, os danos causados por um 
acesso não autorizado não são demasiadamente sérios. A integridade 
da informação interna é importante, mesmo que não seja vital.
3. Confidencial: esse tipo de informação deve ser mantido nos limites da 
empresa; por isso, devem ser investidos esforços de segurança nessas 
informações. O acesso não autorizado, o dano ou a perda desse tipo de 
informação pode trazer prejuízos e levar ao desequilíbrio operacional. 
Além disso, pode ocorrer uma quebra de confiabilidade perante o cliente, 
além de permitir vantagem expressiva ao concorrente.
4. Secreta: essas informações são críticas para a empresa; elas devem ser 
preservadas, e deve ser investido nelas o maior esforço possível para a 
sua segurança. O acesso a esse tipo de informações deve ser restrito, 
e sua manipulação deve ser extremamente cuidadosa.
De acordo com a ISO 27001, essa classificação deve ser feita em um contexto 
organizacional, e não setorial. Ou seja, ao classificar uma informação, devem 
ser levados em conta todos os setores da empresa, e não apenas o setor ao qual, 
a princípio, essa informação pertence. No entanto, muito frequentemente, uma 
organização pode ter dois esquemas de classificação diferentes, no caso de 
trabalhar tanto com o setor governamental quanto com o privado.
A norma ISO 27001 fala sobre a gestão da segurança da in-
formação. Nessa norma estão descritos conceitos, práticas e 
informações sobre segurança da informação e, inclusive, sobre 
a classificação da informação. Saiba mais sobre a ISO 27001 
acessando o link ou código a seguir:
https://goo.gl/2qnTiB
Conceito e valor da informação6
BEAL, A. Gestão estratégica da informação. São Paulo: Atlas, 2004. 
CUNHA, A. L.; PEISCHL, R. B. O valor das informações para as empresas e a importância da 
segurança da informação. Revista Anhanguera Educacional, Valinhos, São Paulo, p. 1–22, 
jan. 2012. Disponível em: <https://pt.slideshare.net/acunha_sp/o-valor-das-informaes-
-para-as-empresas-e-a-importancia-da-seguranca-da-informacao?from_action=save>. 
Acesso em: 3 ago. 2018.
DROTT, M. C. Individual Knowledge – Personal Knowledge, Corporate Information: The 
Challenges for competitive intelligence. Business Horizons, Março-Abril de 2001, pp 31–37. 
GURGEL, G. M. M. O valor estratégico da informação para a gestão das organizações. XIII 
SIMPEP, Bauru, SP, p. 1–10, nov. 2006. Disponível em: <http://agildoc.com/wp-content/
uploads/2017/06/O-valor-estrat%C3%A9gico-da-informa%C3%A7%C3%A3o-para-a-
-gest%C3%A3o-das-organiza%C3%A7%C3%B5es.pdf>. Acesso em: 4 ago. 2018.
LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. Prentice Hall; São 
Paulo, 2007.
OLIVEIRA, J. P. M. de. Dados, Informação e Conhecimento. 2018. Disponível em: <https://
www.palazzo.pro.br/Wordpress/?p=156>. Acesso em: 3 ago. 2018. 
PALMA, F. Política de classificação da informação: exemplo. 2018. Disponível em: <https://
www.portalgsti.com.br/2014/09/politica-de-classificacao-da-informacao-exemplo.
html>. Acesso em: 3 ago. 2018
7Conceito e valor da informação
Conteúdo:
FUNDAMENTOS DE 
SEGURANÇA DA 
INFORMAÇÃO
Jeanine dos Santos 
Barreto
 
Modelo de segurança em 
ambientes cooperativos 
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Definir um modelo de segurança cooperativo.
  Reconhecer as regras para canais de conexão.
  Identificar a arquitetura de um firewall cooperativo.
Introdução
O mundo globalizado e o avanço tecnológico oferecem novas oportunidades 
de negócio. Há grande incentivo a fusões e parcerias entre as organizações, 
o que resulta em maiores desafios para a área da segurança da informação.
As partes envolvidas nesse ambiente cooperativo, entre elas clientes, 
fornecedores e governo, passaram a compartilhar suas infraestruturas 
de rede e a cooperar entre si, visando atingir seus objetivos de maneira 
rápida e eficiente. Porém, isso gerou um aumento na vulnerabilidade e 
na possibilidade de ataques bem-sucedidos.
Neste capítulo, você vai estudar o modelo de segurança cooperativo 
e as regras para os canais de conexão, além de analisar a arquitetura de 
um firewall cooperativo.
O modelo de segurança cooperativo
O aumento dos investimentos das empresas na área de tecnologia da informa-
ção transformou a tecnologia em um meio de expansão de negócios. Estamos 
vivendo um momento de grandes transformações tecnológicas, econômicas 
e de mercado, em que fusões entre organizações e parcerias estratégicas 
implicam também na fusão da infraestrutura de rede.
Segundo Nakamura e Geus (2007), essas mudanças no cenário corporativo, 
promovidas pela dependência cada vez maior da informática e das telecomuni-
cações para o sucesso das organizações, resultam no surgimento de um novo 
ambiente, muito importante, chamado ambiente cooperativo.
Nesse ambiente, várias organizações trocam informações por meio da 
integração entre as suas redes. Por conta disso, muitos desafios passaram a 
fazer parte do dia a dia de todos os envolvidos no ambiente cooperativo, prin-
cipalmente quando o assunto é a segurança das informações e dos recursos, 
já que uma falha em qualquer componente de tecnologia pode afetar de forma 
negativa os negócios da organização.
As partes de um ambiente cooperativo cooperam entre si na tentativa 
de atingir objetivos em comum — a velocidade e a eficiência nos processos 
e na realização dos negócios —, que são cruciais para que qualquer tipo de 
organização obtenha sucesso na sua atividade. Conforme Nakamura e Geus 
(2007), as partes envolvidas em um ambiente cooperativo (Figura 1) são:
  a matriz;
  as filiais;
  os clientes;
  os fornecedores;
  os parceiros comerciais;
  os usuários móveis da empresa.
Figura 1. O ambiente cooperativo: diversidade de conexões.
Fonte: Nakamura, Geus (2007, p. 23).
Parceiros
Parceiros
Usuários
móveis
Filial
Acesso remoto
Modelo de segurança em ambientes cooperativos2
São muitas as possibilidades de conexões entre as partes envolvidas em 
um ambiente cooperativo: uma filial pode ter acesso à intranet, aos bancos 
de dados e ao serviço de e-mail da matriz; um fornecedor pode ter acesso ao 
sistema de controle de estoque e ao serviço de FTP da empresa; um cliente 
pode ter acesso ao sistema de controle de estoque e de preços para verificar 
se existe um produto que ele deseja.
Dessa forma, a proteção das informações nos ambientes cooperativos 
se torna ainda mais importante, já que neles ocorre a troca de informações 
estratégicas e muitas vezes sigilosas; além disso, a infraestrutura de rede é 
muito complexa e os sistemas são compartilhados entre as organizações, o que 
as deixa vulneráveis a ataques e roubos de dados. Os tipos de partes envolvidas 
e a complexidade exigida para a segurança desse ambiente cooperativo são 
analisados a partir de um modelo de segurança específico, que tem como 
objetivo estabelecer um nível de segurança satisfatório. É importante salientar 
a necessidade de se gerenciar a segurança como um todo, visualizando-a sob 
diferentes aspectos.
Segundo Martini (2008), a preocupação com a segurança é fundamental 
por alguns motivos. Entre eles está o fato de que novas tecnologias sempre 
trazem novas possibilidades de vulnerabilidade; a tecnologia existente é frágil, 
e novas formas de ataques são criadas à medida que a inovação se apresenta. 
Por isso, entender a naturezados ataques se torna essencial. Outro motivo, 
que envolve principalmente os ambientes cooperativos, é que quanto maior 
a conectividade existente, maior será a possibilidade de um ataque acon-
tecer. Isso se deve ao aumento das oportunidades de ataque ocasionado pela 
quantidade de partes envolvidas na troca de informações e pela interação 
entre os diferentes ambientes, o que resulta num aumento considerável dos 
pontos de vulnerabilidade. Por isso, conforme Tanenbaum e Wetherall (2011), 
defender-se acaba sendo uma tarefa muito mais difícil do que a própria invasão 
ou a sua tentativa.
Além desses motivos para a preocupação com a segurança das informações, 
existe o fato de não existir uma classificação de informações que explique o seu 
real valor e, por isso, raramente são definidas boas estratégias de segurança. 
Deve-se considerar que a internet é um ambiente desconhecido, que deve 
ser visto como hostil e não confiável. Assim, quanto maior o cuidado com a 
segurança, maior a chance de a integridade das informações ser assegurada. 
A Figura 2 apresenta os elementos envolvidos na segurança da informação 
de um ambiente cooperativo.
3Modelo de segurança em ambientes cooperativos
Figura 2. Elementos envolvidos na segurança da informação de um ambiente cooperativo.
Tecnologia
Negócio
Legislação Processos
Partes
envolvidas
Segurança
da
informação
A área de segurança da informação das organizações deve ser capaz 
de ajustar os níveis de segurança, sem que isso comprometa a produtividade 
dos usuários que utilizam os recursos informatizados. É importante lembrar 
que, frequentemente, quanto maiores as funcionalidades disponíveis para os 
usuários, maior o nível de vulnerabilidade a que os dados ficam expostos e 
maior a possibilidade de ataques bem-sucedidos.
A busca pelo estabelecimento de uma rede totalmente segura e pelo ofe-
recimento de um nível extremo de segurança, sem falhas, não é conveniente, 
já que é impossível atingir tais parâmetros. Em vez disso, as organizações 
devem buscar a definição de um nível de segurança condizente com as suas 
necessidades e com as necessidades de cada usuário, conscientizando a todos 
sobre o bom uso, mas já assumindo os riscos de vulnerabilidades e possíveis 
ataques.
Regras para canais de conexão
Uma funcionalidade indispensável quando o assunto é segurança da informa-
ção, principalmente em ambientes cooperativos, é a fi ltragem, ou as regras 
Modelo de segurança em ambientes cooperativos4
para os canais de conexão. Conforme Tanenbaum e Wetherall (2011), elas 
serão necessárias para proteger tanto as máquinas públicas da organização 
como também os locais que separam a organização do mundo exterior.
Em um ambiente cooperativo, as regras de conexão podem ser extrema-
mente complexas, devido ao alto grau de diversidade dos ambientes envolvidos 
e das outras redes, que também precisam ter privilégios específicos. Por isso, 
segundo Nakamura e Geus (2007), é necessário ter conhecimento de todos os 
aspectos de rede que envolvem o ambiente cooperativo.
Tipicamente, toda organização precisa conectar seus recursos internamente, 
por meio de uma rede interna, pois isso vai facilitar a execução das tarefas 
básicas e diárias de todos os envolvidos com a empresa. Quando uma rede 
é interna, significa que ela ainda não está conectada a uma rede pública, ou 
seja, ela não acessa dados externos e permite somente o acesso interno dos 
seus usuários.
No ambiente da rede interna, a possibilidade de ataques externos é prati-
camente inexistente, pois ela está fisicamente isolada. As possibilidades de 
ataque se resumem à engenharia social ou a um invasor estar presencialmente 
dentro da organização.
A engenharia social consiste em um método de ataque à segurança da informação 
em que o invasor utiliza a persuasão, abusando da ingenuidade, da confiança e da 
falta de habilidade do usuário para obter informações que podem ser utilizadas para 
efetivar acessos não autorizados a dados ou computadores.
Atualmente, é muito comum que as empresas precisem se comunicar 
constantemente com as suas filiais. Considerando-se que a comunicação entre 
a matriz e as filiais seja privada e dedicada, e que não existam outros tipos de 
comunicação, ainda será necessário pensar na segurança interna. Poucos são os 
riscos de ataque nesse tipo de rede. Além da engenharia social, a organização 
deve tomar cuidado com funcionários insatisfeitos ou insiders, e também com 
funcionários terceirizados, pois são indivíduos que podem acessar recursos e 
dados e utilizá-los ou distribuí-los de forma indevida.
5Modelo de segurança em ambientes cooperativos
Os insiders são pessoas de dentro da própria organização que configuram ameaças 
maliciosas, podendo ser funcionários insatisfeitos, ex-funcionários, terceirizados ou 
parceiros de negócios.
O acesso remoto à rede das organizações é uma ferramenta que se popu-
larizou rapidamente, facilitando as atividades quando o funcionário está em 
um cliente ou trabalha remotamente, da sua casa, ou ainda quando está em 
viagem a serviço. O acesso remoto é útil ainda quando a área de tecnologia 
da empresa precisa prestar suporte técnico, evitando o deslocamento e as 
despesas com o transporte dos técnicos.
Certamente o acesso remoto gera um aumento da produtividade, mas 
ele passa a ser uma porta de entrada para ataques que podem trazer danos e 
prejuízos para a organização. Nesse sentido, o acesso remoto oferecido pela 
organização precisa envolver um método de autenticação eficiente, que utilize 
cartões inteligentes ou tokens de identificação, que podem ser enviados por 
SMS para o celular do usuário, por exemplo.
Deve haver um registro das tentativas de conexão feitas na rede e de todas 
as ações realizadas durante as conexões bem-sucedidas, para tornar possível a 
auditoria das atividades na rede. Uma política de segurança bem difundida 
e implementada também é importante, para que os usuários se conscientizem 
da importância de colaborar para a proteção das informações privadas e 
corporativas.
No entanto, o problema da segurança da informação teve início de fato com 
o advento da internet, pois da mesma maneira que a rede da organização pode 
acessar o mundo externo, o inverso também acontece. Qualquer pessoa que 
esteja navegando na internet poderia, em tese, acessar a rede da organização. 
É nesse momento que um firewall se torna imprescindível.
Quando a internet é usada somente para que os usuários internos da em-
presa acessem informações externas, o firewall serve para isolar a rede da 
organização das tentativas de acesso externo. Ele permite somente o acesso 
dos usuários internos à internet; o inverso não acontece.
Nesse sentido, as regras de conexão do firewall deverão ser mais sim-
ples, servindo apenas para bloquear tudo o que venha de fora e permitindo 
Modelo de segurança em ambientes cooperativos6
as conexões cuja origem seja a rede interna ou os serviços autorizados pela 
política de segurança estabelecida pelo setor de segurança de informação.
Uma forma de aumentar a segurança do ambiente é utilizar um firewall 
formado de proxies para os serviços de HTTP e FTP. Esses proxies podem 
ocultar o endereço IP dos usuários, realizar filtragens no nível da aplicação, 
bloqueando o acesso a páginas desautorizadas, e exigir uma autenticação do 
usuário sempre que ele precisar acessar algum serviço, conforme explicam 
Nakamura e Geus (2007). Além disso, os registros armazenados para uma 
possível auditoria, nesse caso, contam com um detalhamento maior. Caso a 
internet seja utilizada na organização para fornecer serviços para o mundo ex-
terno, será preciso que as regras de filtragem do firewall sejam mais complexas.
HTTP, ou Hypertext Transfer Protocol, é o protocolo de transferência de páginas mais 
comum na internet. Ele é utilizado quando uma requisição é enviada para um servidor, 
e o servidor responde com as páginas e o conteúdo solicitado. É usado também para 
fazer upload e trocas de arquivos, somentede um sentido para outro, ou seja, da 
máquina usuária para o servidor, e vice-versa.
Já o FTP (sigla em inglês para File Transfer Protocol) é utilizado para permitir acesso 
a pastas; ou seja, quando é feita uma requisição para um servidor, ele devolve a lista 
liberada de pastas e arquivos. Esse protocolo permite fazer o download e o upload de 
arquivos com facilidade.
Caso a organização tenha a necessidade de fornecer informações mais 
específicas ou confidenciais para o mundo exterior, como preços, estoque, entre 
outros, surgirá a necessidade de controles de acesso e medidas de segurança 
mais efetivas para que os bancos de dados sejam compartilhados. 
Deverão ser levados em conta a localização do banco de dados e a escolha 
do método de autenticação para que o acesso seja liberado, e os registros de 
tentativa de acesso e transações realizadas com sucesso deverão ser detalhados 
e precisos, para fundamentar futuras auditorias ou investigações.
A utilização de links dedicados para trafegar informações na internet 
acaba sendo algo muito caro para as organizações, principalmente quando 
inúmeros pontos devem estar interligados. Por isso, uma boa solução pode 
ser a utilização da VPN, em que um túnel ou caminho seguro é criado entre 
o gateway da matriz e o gateway da filial, por exemplo. Esse tipo de rede é 
7Modelo de segurança em ambientes cooperativos
conhecido como VPN gateway-to-gateway. Para que uma VPN possa ser 
utilizada, necessariamente precisa existir uma conexão com a internet, pois 
será essa a infraestrutura usada para a criação do túnel.
A VPN (sigla em inglês para Virtual Private Network) é uma rede privada construída 
utilizando a infraestrutura de uma rede pública, como a internet. Em vez de realizar 
a conexão entre as máquinas utilizando links dedicados, utiliza-se a infraestrutura da 
internet para fazer a ligação entre redes ou dispositivos distantes.
A complexidade da arquitetura de segurança e das regras de conexão 
aumentam à medida que novas conexões são necessárias para a organização. 
Quando um agente totalmente externo à empresa, como um fornecedor, precisa 
acessar informações internas, como controle de estoques, torna-se necessário 
realizar a conexão por meio de uma aplicação específica, e também que as 
mensagens trafeguem criptografadas pela rede.
É preciso também garantir a integridade das informações, para que 
eventuais alterações no conteúdo não tragam prejuízos ou impactos negativos. 
Por conta disso, é fundamental garantir que somente usuários autorizados a 
efetivar uma conexão conseguirão ter acesso aos serviços e informações, com 
a possibilidade de fazer alterações conforme o seu perfil permitir.
Segundo Martini (2008), ao passo que a quantidade de conexões entre as 
partes envolvidas no ambiente cooperativo aumenta, a necessidade de autenticar 
os usuários de maneira confiável também aumenta, tornando fundamental a 
utilização de um certificado digital, que é considerado uma solução ideal 
para esse tipo de ambiente.
O certificado digital é um documento eletrônico que é assinado digital-
mente por uma autoridade certificadora pertencente à ICP-Brasil. Ele contém 
informações do emissor, do seu titular, da chave pública e da sua validade, 
que para usuários finais varia de um a três anos. Normalmente os certificados 
digitais são armazenados em forma de arquivo e são extremamente confiáveis 
para a efetivação de transações e troca de mensagens.
Modelo de segurança em ambientes cooperativos8
A ICP é um conjunto de recursos, serviços e políticas que fornecem apoio à utilização 
de criptografia de chave pública para fazer a autenticação das partes envolvidas em 
uma transação. Ela serve para gerenciar os certificados digitais por meio de uma 
cadeia hierárquica de confiança que viabiliza a sua emissão, visando à identificação 
virtual de alguém.
O firewall cooperativo
À medida que as necessidades de segurança aumentam, aumenta também a 
necessidade de proteger os recursos da organização, por isso a importância de 
um fi rewall cooperativo. O fi rewall cooperativo tem como fundamento básico 
apresentar uma arquitetura que envolva diversas tecnologias de segurança, 
importantes também no ambiente cooperativo.
A integração de tecnologias como o firewall, a VPN, a DMZ, a criptografia 
de mensagens e tantas outras disponíveis no mercado não é uma tarefa das 
mais fáceis. Conforme Nakamura e Geus (2007), ela exige um planejamento 
criterioso e está ligada diretamente às necessidades da organização e dos 
usuários e, principalmente, aos recursos financeiros disponíveis.
É preciso que os profissionais envolvidos compreendam os conceitos, 
as técnicas e as arquiteturas de cada uma dessas tecnologias de segurança, 
pois a utilização adequada de cada componente da segurança planejada vai 
influenciar no seu resultado.
A necessidade de conexão e comunicação entre uma empresa e o mundo 
externo cresce à medida que o tamanho da organização e do negócio cres-
cem, partindo de uma rede interna até chegar à arquitetura de um firewall 
cooperativo.
O objetivo de um firewall cooperativo é facilitar a administração da segu-
rança da informação do ambiente cooperativo, posicionando-a corretamente e 
integrando tecnologias específicas para que o ambiente e os usuários fiquem 
protegidos.
Existe uma grande dificuldade na inserção de todas as tecnologias disponí-
veis e adequadas dentro do contexto do ambiente cooperativo, mas o firewall 
cooperativo serve para auxiliar nisso. Em compensação, por mais que o firewall 
9Modelo de segurança em ambientes cooperativos
cooperativo ajude a definir as estratégias de defesa da organização, não se pode 
conceber que os administradores e os profissionais da área de segurança da 
informação ignorem a importância das funções de cada elemento envolvido. 
A Figura 3 mostra os elementos da arquitetura de um firewall cooperativo.
Figura 3. Arquitetura de um firewall cooperativo.
Fonte: Nakamura, Geus (2007, p. 424).
VPN
Firewall
DMZ 2DMZ 1
Internet
E-Mail
FTP
Banco de
dados
Web
CA
Rede interna
da organização
Na arquitetura demonstrada para o firewall cooperativo, a VPN deve fun-
cionar junto com a autoridade certificadora (CA), para garantir a autenticação 
de usuários que precisam acessar os recursos da rede interna, assegurando 
que a troca de informações aconteça de forma sigilosa frente às demais partes 
do ambiente cooperativo.
Além disso, essa arquitetura do firewall cooperativo demonstra que o acesso 
à internet deve ser disponibilizado pela DMZ1 e pela DMZ2. A DMZ2 será 
requisitada quando os recursos precisarem de um nível maior de segurança e 
para não terem acesso direto pelos usuários da internet.
Modelo de segurança em ambientes cooperativos10
A DMZ (sigla em inglês para Demilitarized Zone) é chamada, em português, de rede de 
perímetro ou zona desmilitarizada. Ela é uma rede física ou lógica que expõe serviços 
de uma organização para uma rede maior e não confiável, como a internet.
O firewall cooperativo deve ser capaz de monitorar constantemente os 
recursos localizados na rede interna da organização. Essa atividade deve 
evitar ataques maliciosos, tanto de usuários que estejam acessando os recursos 
pela VPN quanto de usuários que se encontram fisicamente na rede interna 
da organização.
Conforme Nakamura e Geus (2007), o firewall cooperativo integra diversas 
tecnologias de segurança, dividindo a localização dos recursos em três:
  DMZ1: recursos públicos que são disponibilizados para acesso por 
meio da internet.
  DMZ2: recursos privados que são disponibilizados para acesso por 
meio da internet.
  Rede interna: recursos internos, que são acessados por meio da VPN.
A proteção a que se refere cada tipo de recurso, bem como todo o esquema 
de segurança da informação, podem ser entendidos de maneira mais fácil 
quando se dividem os níveis de defesa em uma hierarquia organizada. Essa 
divisão facilita o desenvolvimento, a implementação e o controle da segurança 
de todas asconexões existentes em um ambiente cooperativo, possibilitando a 
definição dos tipos de proteção necessários a cada um dos recursos envolvidos 
(públicos, privados e internos).
Os elementos de defesa que participam do ambiente cooperativo podem 
ser divididos em cinco níveis hierárquicos de defesa. O firewall cooperativo 
torna-se uma arquitetura de segurança que trabalha em conjunto com essa 
hierarquia, definindo e implementando todas as medidas de segurança neces-
sárias. Por meio dessa hierarquização, fica possível entender em que ordem 
devem ser definidas e implementadas cada uma das regras de filtragem e 
conexão necessárias (Figura 4).
11Modelo de segurança em ambientes cooperativos
Figura 4. Níveis hierárquicos de defesa.
Fonte: Nakamura, Geus (2007, p. 427).
1º nível
Filtragem TCP/IP
2º nível
5º nível
3º nível
4º nível
Autenticação dos
usuários (DMZ)
Filtragem dos acessos
aos recursos internos
Autenticação na
rede interna
Firewall interno
Regras de �ltragem
A definição dos níveis de hierarquia envolve as regras de filtragem ou 
conexão, e ainda toda e qualquer autenticação que deve ser realizada para que 
os recursos da organização possam ser acessados. A intenção desses níveis de 
hierarquia é formar uma barreira gradual, em que o nível hierárquico inferior 
sempre consiste em uma barreira que trabalha contra os ataques mais genéricos 
e menos específicos.
Os recursos externos, aqueles que são considerados públicos, são acessados 
no nível 2 da hierarquia de defesa. Em outras palavras, pode-se dizer que o 
acesso público vai passar por esse nível de hierarquia depois de passar pelo 
nível 1 da hierarquia, característico de todos os tipos de conexões e requisições 
de acesso. Nesse sentido, entende-se que o acesso aos recursos internos preci-
sará passar, necessariamente, pelos níveis 1, 3, 4 e 5 da hierarquia da defesa.
De acordo com Nakamura e Geus (2007), os recursos definidos como pú-
blicos, privados e internos são protegidos pelos seguintes níveis de hierarquia 
de defesa: o nível 1 protege os recursos públicos; os níveis 1 e 2 protegem 
Modelo de segurança em ambientes cooperativos12
os recursos privados; e os níveis 1, 3, 4 e 5 protegem os recursos internos da 
organização.
Por meio da divisão dos elementos de defesa em níveis hierárquicos, e 
inserindo cada recurso que deve ser protegido em um nível da hierarquia, fica 
mais fácil entender, planejar e controlar as medidas de segurança e as regras 
de filtragem e conexão.
MARTINI, R. S. Tecnologia e cidadania digital: tecnologia, sociedade e segurança. Rio 
de Janeiro: Brasport, 2008.
NAKAMURA, E. T.; GEUS, P. L. Segurança de redes em ambientes cooperativos. São Paulo: 
Novatec, 2007.
TANENBAUM, A. S.; WETHERALL, D. J. Redes de computadores. São Paulo: Pearson, 2011.
13Modelo de segurança em ambientes cooperativos
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
 
FUNDAMENTOS DE 
SEGURANÇA DA 
INFORMAÇÃO
Jeanine dos Santos 
Barreto
 
Normas de segurança em TI 
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Identificar as principais normas associadas à segurança em TI.
  Reconhecer os procedimentos recomendáveis na gestão de risco 
em TI.
  Avaliar o planejamento para evitar riscos de incidentes em TI.
Introdução
Seguir as diretrizes estabelecidas por uma norma ISO, ou mesmo conseguir 
uma certificação ISO, é algo que traz destaque para uma organização, 
melhorando sua imagem perante seus púbicos interno e externo.
As normas ISO tratam de assuntos de diferentes áreas, estabelecendo 
diretrizes que devem ser adotadas pelas empresas para fazer uma ges-
tão de riscos eficiente e, por consequência, trabalhar de forma efetiva 
a segurança dos seus dados e de suas informações. As normas que se 
iniciam pela ISO 27000 consistem em uma família de normas que visa à 
criação, à manutenção, à melhoria, à revisão, ao funcionamento e à análise 
de um Sistema de Gestão de Segurança da Informação; a ISO 27005, 
por exemplo, trata da gestão de riscos desse sistema. Elas oferecem a 
certificação de empresas e profissionais. As normas que se iniciam pela 
ISO 31000 também formam uma família e tratam da gestão de riscos, 
podendo ser aplicadas a empresas de qualquer tamanho e apresentando 
um guia para sua aplicação. Já a norma ISO 22301 abrange os requisitos 
para planejamento, estabelecimento, implementação, operação, monito-
ramento, revisão, manutenção e melhoria contínua do sistema de gestão 
de continuidade de negócios, com o objetivo de proteger a empresa e 
evitar riscos de incidentes disruptivos.
Neste capítulo, você vai estudar em detalhes essas normas e seu 
contexto de aplicação, tendo como base o Sistema de Gestão de Se-
gurança da Informação e seus princípios básicos – confidencialidade, 
autenticidade, disponibilidade e integridade.
Normas de segurança: ISO 27000 e 27005
Quando o assunto é ISO 27000, deve-se ter a compreensão de que ela compõe 
uma família de normas ISO, que trata sobre o Sistema de Gestão de Segurança 
da Informação (SGSI). Essas normas se relacionam com a segurança de dados 
digitais e de sistemas de armazenamento eletrônico de dados. 
As normas ISO foram criadas pela Organização Internacional de Padronização (ISO), 
visando a melhorar a qualidade de produtos e serviços. Essas normas internacionais se 
aplicam a várias áreas de interesse econômico e técnico. Elas fazem a certificação de 
produtos e serviços em várias organizações no mundo todo, oferecendo documentação 
com modelos padronizados para a implantação da gestão da qualidade.
No Brasil, essas normas são compostas pela sigla NBR, sendo criadas e gerenciadas 
pela Associação Brasileira de Normas Técnicas (ABNT).
São as empresas que escolhem seguir ou não as normas ISO, mas, uma vez que 
optem por segui-las, deverão estipular metas para que os requisitos das normas sejam 
cumpridos e a certificação seja obtida. É importante ressaltar que nem todas as normas 
resultam em uma certificação e que as empresas podem utilizar o modelo da norma 
para trabalhar seguindo as melhores práticas existentes no mercado.
Fernandes (2014) aponta que o conceito de segurança da informação 
é algo muito mais amplo do que simplesmente a garantia da integridade de 
dados e informações de maneira tecnológica. O SGSI trata da segurança de 
todos os tipos de dados e informações, trazendo como princípios básicos a 
confidencialidade, a autenticidade, a disponibilidade e a integridade.
  Confidencialidade é quando a informação só é divulgada para aqueles indivíduos, 
processos e máquinas que têm autorização para acessá-la.
  Autenticidade é quando se tem a certeza de que a informação está vindo do reme-
tente informado e não sofreu alterações por outras pessoas no meio do caminho.
  Disponibilidade é quando a informação é disponibilizada pelo máximo de tempo 
possível, de maneira resistente a falhas de equipamento e a falhas de energia. 
  Integridade é quando a informação chega ao destinatário da maneira como 
o remetente queria, de forma sigilosa e somente com as alterações permitidas.
Normas de segurança em TI2
Cada norma da família ISO 27000 tem uma função específica, mas todas 
visam à criação, à manutenção, à melhoria, à revisão, ao funcionamento e à 
análise de um SGSI. Essas normas podem ser adotadas pelas organizações, 
seja qual for o seu tamanho ou tipo, pois suas diretrizes visam a garantir 
que tanto os sistemas quanto as organizações estejam seguros, por meio de 
estratégias e orientações que fazem com que o SGSI se adapte à empresa que 
deseja fazer a sua implementação (INTENATIONAL ORGANIZATION FOR 
STANDARDIZATION, 2018).
As diretrizes traçadas pelas ISO 27000 estabelecem o que deve ser feito 
durante todo o processo de implementação de um SGSI e tratam também de 
assuntos mais específicos, como requisitos e orientações que servirão paraas 
empresas que vão prestar serviços de certificação ou de auditoria em empresas 
que desejem implementar um SGSI.
A família de normas ISO 27000 oferece certificação para empresas e para 
profissionais. Quando uma empresa é certificada pela norma ISO 27000, ela 
tem o reconhecimento de uma organização de padrão internacional, sendo que 
somente essa ideia já traz confiabilidade e boa imagem para todas as partes 
interessadas, sejam clientes, fornecedores, colaboradores, parceiros, etc.
Outro grande benefício da implementação das ISO 27000 é que o processo 
auxilia a empresa a localizar seus pontos fracos e corrigir de maneira mais 
rápida e fácil as falhas no SGSI, fazendo suas revisões e atualizações com 
mais facilidade, o que trará também maior conscientização e envolvimento 
para o público interno da organização.
A família de normas ISO 27000 é grande e possui diversas normas que se 
relacionam com um SGSI. Vejamos algumas delas abaixo: 
  ISO 27000: traz informações básicas sobre as normas da família 
ISO 27000 e também um glossário sobre o assunto “segurança da 
informação”.
  ISO 27001: traz os fundamentos para a implementação de um SGSI 
em uma organização.
  ISO 27002: trata sobre a certificação do profissional, estabelecendo 
códigos de boas práticas para profissionais.
  ISO 27003: traz diretrizes específicas para a implementação do SGSI.
  ISO 27004: traz normas sobre as métricas e os relatórios do SGSI.
  ISO 27005: traz a norma sobre a gestão de riscos do SGSI.
  ISO 27006: traz a norma sobre requisitos para a acreditação de organi-
zações que oferecem serviços de certificação de SGSIs.
  ISO 27007: traz diretrizes para fazer a auditoria de SGSIs.
3Normas de segurança em TI
Em uma organização, as ameaças podem se relacionar tanto com a utiliza-
ção de sistemas informatizados quanto com aspectos físicos e ambientais. As 
ameaças podem trazer, como consequência, impactos negativos nos negócios, 
perdas financeiras, paralisação de atividades essenciais, queda na imagem 
perante os clientes, entre outras.
Segundo Bezerra (2013), no âmbito da norma ISO 27005, que trata sobre 
a gestão de riscos da área de segurança da informação, um risco é a possi-
bilidade de uma ameaça específica explorar vulnerabilidades existentes em 
um ativo ou conjunto de ativos, de maneira que possa prejudicar ou trazer 
impactos negativos para a organização. Já uma medida de risco é o resultado 
da combinação entre a probabilidade de um evento indesejável acontecer e a 
consequência que ele trará.
A descrição dos riscos de forma qualitativa e quantitativa permite aos 
gestores das organizações a priorização dos riscos, de acordo com a sua 
severidade ou com os critérios estabelecidos pela própria organização, com 
base em suas características e prioridades. A ISO 27005 estabelece diretrizes 
para o gerenciamento dos riscos de segurança de informação que vão auxiliar 
na implementação e na certificação dos sistemas de gestão.
A gestão de riscos é um dos aspectos do processo de segurança da infor-
mação de uma organização. Ela colabora para que o processo de segurança da 
informação aconteça de forma eficiente, eficaz e contínua, ao longo do tempo. 
A norma ISO 27005 é o desdobramento de um requisito para a segurança e 
traz o seguinte procedimento para a implementação da gestão de riscos e da 
segurança da informação, de acordo com Bezerra (2013):
  Contextualizar os riscos: nessa fase é preciso que se definam os deta-
lhes para a gestão de riscos na organização e também a área que ficará 
responsável pelo processo de gerenciamento de riscos e segurança da 
informação.
  Analisar os riscos: essa fase envolve a identificação dos eventos que 
podem trazer perdas para a organização, ou seja, as ameaças. Depois 
disso, devem ser identificados os controles existentes, se houverem, e a 
eficácia de cada um desses controles ao evitar que uma ameaça explore 
efetivamente uma vulnerabilidade da empresa. É a partir da informação 
sobre as ameaças e da efetividade dos controles que é possível identificar 
o nível dos riscos. Conhecendo o seu nível de riscos, a organização 
pode decidir entre reduzir o risco, criando novos controles, aceitar os 
riscos, evitar ou até mesmo transferir a responsabilidade pelos riscos.
Normas de segurança em TI4
  Avaliar os riscos: essa fase envolve a priorização dos riscos por critérios 
estabelecidos pela própria organização. Essa avaliação deve considerar 
impactos ambientais, operacionais, financeiros, oportunidades de ne-
gócio, cumprimento de requisitos legais, entre outros aspectos. 
Gestão de riscos: ISO 31000
As organizações, sejam elas privadas ou públicas, de todos os tipos e tama-
nhos, estão frequentemente expostas a todos os tipos de riscos, desde danos 
à sua imagem ou marca, até crimes cibernéticos ou terroristas, como afi rma 
Fernandes (2014). 
A ISO 31000 também constitui uma família, formada por normas que 
iniciam com essa numeração. As normas da família ISO 31000 tratam do 
assunto da gestão de risco. Elas não são normas que visam a certificar as 
organizações que as utilizarem, e podem ser implementadas em qualquer 
empresa, independentemente da sua área ou setor de atuação, do seu tamanho, 
ou da quantidade de funcionários que possui. A família ISO 31000 é formada 
pelas seguintes normas correspondentes e conexas:
  ISO 31000: traz informações básicas, princípios e diretrizes ou melhores 
práticas para a implementação da gestão de riscos.
  ISO 31010: traz técnicas de avaliação e gestão de riscos.
  ISO Guia 73: traz um vocabulário com expressões relacionadas à gestão 
de riscos.
A gestão de riscos é o processo de organização e planejamento de recursos humanos 
e materiais de uma organização, que visa a reduzir ao mínimo possível os impactos 
dos riscos, utilizando um conjunto de técnicas e ferramentas que ajudam a minimizar 
os efeitos dos danos e tratando os riscos que possam afetar as pessoas, os projetos, 
os processos, o ambiente interno da empresa e a sua imagem perante a sociedade.
A família de normas ISO 31000 serve de guia, trazendo informações e 
recomendações que ajudam aquelas organizações que optaram por implementá-
5Normas de segurança em TI
-la, e fornece informações básicas que auxiliam em todos os tipos de gestão 
de riscos, inclusive na tomada de decisão em todos os níveis organizacionais.
As normas ISO 31000 têm como principal objetivo fazer com que as or-
ganizações tenham a devida compreensão do que é a gestão de risco. Elas 
auxiliam a prever possíveis crises e a tornar o prejuízo o menor possível, caso 
uma crise se concretize, servindo como normas mais genéricas e oferecendo 
diretrizes para que a empresa saiba que rumo tomar e como se comportar 
para se prevenir de riscos (ASSOCIAÇÃO BRASILEIRA DE NORMAS 
TÉCNICAS, 2009). 
Como essas normas não têm como propósito fazer a certificação das or-
ganizações, as ISO 31000 procuram fazer com que cada organização elabore 
a sua própria maneira de fazer a gestão de riscos, de acordo com as suas 
necessidades e características particulares, fazendo funcionar o processo de 
forma eficiente.
Um risco é um evento ou uma situação incerta que, caso ocorra, pode provocar um 
impacto positivo ou negativo em algum projeto, área ou processo de uma organização.
Quando os eventos podem acarretar em um impacto positivo, eles representam 
as oportunidades, algo que pode influenciar de forma favorável no atingimento de 
algum objetivo, preservar valor agregado, ou ainda agregar valor a algo.
Quando os eventos podem acarretar em impactos negativos, eles representam 
as ameaças, algo que pode influenciar de maneira desfavorável nos negócios da 
empresa, podendo trazer prejuízos de diversos tipos, inclusive financeiros e de imagem.
As normas ISO foram criadas, então, para indicar o caminho correto, 
isto é, as melhores práticas na gestão de riscos. Por conta disso, elas oferecem 
diretrizes e orientações que as empresas podem seguir para desenvolver a 
sua própriagestão de riscos. As diretrizes e melhores práticas estabelecidas 
pelas ISO 31000 tratam sobre (ASSOCIAÇÃO BRASILEIRA DE NORMAS 
TÉCNICAS, 2009):
  a noção sobre os riscos e as oportunidades em uma empresa;
  a remoção das fontes de risco;
  a alteração das consequências e das probabilidades;
  a atualização constante das informações sobre os riscos.
Normas de segurança em TI6
A Figura 1 apresenta um processo de gestão de riscos.
Figura 1. Processo de gestão de riscos.
Fonte: Adaptada de ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (2009, p. 14).
Monitoramento e
análise crítica
Comunicação e
consulta
Identi�cação de riscos
Análise de riscos
Avaliação de riscos
Tratamento de riscos
Processo de avaliação de riscos
Estabelecimento do contexto
Para uma gestão de riscos de sucesso, é preciso que a organização cumpra 
os seguintes requisitos, de acordo com a norma ISO 31000 (ASSOCIAÇÃO 
BRASILEIRA DE NORMAS TÉCNICAS, 2009): 
  Comunicação e consulta: consiste na consulta das partes interessa-
das, que deve ocorrer em todas as fases seguintes. Um bom plano de 
comunicação entre as partes interessadas e a organização a respeito 
dos riscos deve ser planejado e definido ainda nas etapas iniciais da 
gestão de riscos.
  Estabelecimento do contexto: definição dos critérios para a gestão 
de riscos e o escopo da gestão, isto é, as áreas e os setores envolvidos. 
Deve envolver questões a respeito de estrutura organizacional, respon-
sabilidades, processos, sistemas a serem utilizados, legislação, política, 
finanças, tecnologia disponível, entre outras.
  Identificação de riscos: identificação de um conjunto de riscos, com o 
objetivo de gerar uma lista de riscos que possam afetar a realização dos 
7Normas de segurança em TI
objetivos da organização, tanto de maneira positiva quanto negativa. É 
importante lembrar que um risco não identificado nessa fase não será 
tratado nas demais.
  Análise de riscos: envolve a compreensão sobre os riscos da orga-
nização, suas causas, fontes, consequências positivas e negativas, e 
ainda a probabilidade de ocorrerem. Essa análise pode ser feita em 
diversos graus de detalhamento, a critério da empresa, e ainda pode 
ser quantitativa ou qualitativa.
  Avaliação de riscos: envolve identificar quais riscos precisam ser 
tratados e a prioridade na implementação do seu tratamento.
  Tratamento de riscos: envolve a seleção de uma ou mais opções para 
modificar os riscos, e a implementação dessas opções. Nessa fase 
pode ser decidido se um risco deve ser reduzido, evitado, removido, 
aumentado (caso seja uma oportunidade), compartilhado com terceiros, 
ou, ainda, retido.
  Monitoramento e análise crítica: deve ser feito de forma contínua, mo-
dificando aspectos da gestão de riscos que sejam julgados necessários.
A implementação das normas ISO 31000 na organização permitirá uma 
gestão de riscos efetiva, que trará vantagens como (ASSOCIAÇÃO BRASI-
LEIRA DE NORMAS TÉCNICAS, 2009):
  aumento na probabilidade de atingir objetivos;
  atenção para a necessidade de identificação e tratamento de riscos ao 
longo dos processos de toda a organização;
  melhoria na identificação de oportunidades e ameaças;
  melhoria na governança e na gestão da empresa;
  aumento da confiança das partes interessadas;
  utilização eficaz dos recursos para o tratamento dos riscos;
  aumento da aprendizagem e da resiliência organizacional;
  minimização das perdas e prejuízos causados pela efetivação dos riscos.
Para uma organização, as partes interessadas correspondem a todos os elementos 
que afetam ou são afetados pela organização, pelas suas atividades e pelas decisões 
tomadas por ela. Entre as partes interessadas estão os funcionários, os clientes, as 
empresas parceiras, os fornecedores, o governo, entre outras.
Normas de segurança em TI8
Planejamento contra incidentes: norma ISO 
22301
Todas as organizações, independentemente da sua área de atuação ou do seu 
porte, estarão eventualmente sujeitas a sofrer interrupções nos seus processos 
ou passar por alguma situação adversa que possa difi cultar ou impedir suas 
operações e sua produção.
Segundo Fernandes (2014), esse tipo de evento ou de interrupção nos servi-
ços, apesar de se apresentar raramente, pode acontecer a qualquer momento, de 
maneira inesperada, e pode ser causado por diversos tipos de ameaças. Essas 
ameaças podem vir do ambiente interno da empresa, por meio de fraudes 
financeiras e falhas nos processos ou nos sistemas informatizados, ou ainda 
do ambiente externo da empresa, por meio de desastres naturais, incêndios, 
queda da economia, entre outros motivos.
Em vista disso, as empresas precisam tomar precauções e estar preparadas 
para que possam garantir a continuidade de seu negócio, independentemente 
do tipo de desafios que se apresentem a elas. Por isso, a implementação de um 
plano ou sistema de gestão de continuidade de negócios, e também de um plano 
de recuperação de incidentes, torna as empresas capazes de lidar com qualquer 
tipo de situação indesejada e de manter o pleno funcionamento dos serviços 
essenciais da organização, até que a situação se normalize por completo.
Um plano de gestão de continuidade de negócios eficiente contém os 
principais elementos necessários para a gestão de risco e para a análise de 
impacto para os negócios. A etapa da identificação dos riscos e dos impactos 
relacionados a eles é seguida pelo planejamento das políticas, dos objetivos, 
dos planos e das responsabilidades que proporcionarão as características de 
resiliência e adaptação para a organização, essenciais para a recuperação 
em situações adversas.
O processo de continuidade de negócios auxilia no entendimento de como 
a empresa trabalha e onde podem ocorrer falhas, tornando possível aprimo-
rar os processos de negócio. A continuidade do negócio é um compromisso 
para todas as organizações, pois é estabelecida por requisitos legislativos, de 
regulamentação, setoriais, de produtos e de serviços.
O plano de gestão de continuidade de negócios deve ser idealizado e im-
plementado de maneiras diferentes para cada empresa, sempre levando em 
conta as características e necessidades próprias do negócio. Por isso, é preciso 
que os profissionais responsáveis pela gestão da continuidade do negócio 
levem em consideração três elementos essenciais na definição desse plano 
(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013):
9Normas de segurança em TI
  analisar os riscos, identificando tudo o que pode vir a acontecer de 
aspecto negativo para os processos da organização, ou seja, quais são 
as principais ameaças ao negócio da empresa;
  analisar os impactos, identificando de que forma as ameaças poderão 
impactar nos negócios da organização;
  elaborar o planejamento estratégico, que vai estabelecer quais são as 
atitudes a serem tomadas e as ações que se farão necessárias caso 
uma ameaça se apresente, visando à retomada normal das operações 
da organização.
Normalmente, um plano de gestão de continuidade de negócios é composto 
por quatro planos, que são interligados e vinculados entre si:
  Plano de contingência ou emergência: esse é o plano que deve ser 
utilizado quando as ações de prevenção de incidentes tiverem falhado, 
e o incidente disruptivo tiver acontecido de fato. Ele é utilizado para 
definir as ações mais imediatas a serem tomadas.
  Plano de administração ou gerenciamento de crises: nesse plano são 
definidas as funções e as responsabilidades de cada equipe envolvida 
no acionamento das ações de contingência, que vão acontecer antes, 
durante e após a ocorrência do incidente.
  Plano de recuperação de desastres: é o plano que determina o plane-
jamento que será utilizado, uma vez que o incidente esteja controlado 
e a crise tenha passado, para que a organização retome os seus níveis 
originais de operação e produção.
  Plano de continuidade operacional: o objetivo desse plano é o de 
restabelecer o funcionamento dos principais processos que suportam 
a operaçãoda empresa, a fim de reduzir o tempo de paralisação e os 
impactos provocados pelo incidente.
A norma ISO 22301 traz a especificação dos requisitos para o planejamento, 
o estabelecimento, a implementação, a operação, o monitoramento, a revisão, 
a manutenção e a melhoria contínua do sistema de gestão de continuidade de 
negócios, com o objetivo de proteger a empresa, reduzindo a probabilidade de 
ocorrência e o tempo necessário para a resposta e a recuperação da empresa, 
em casos de incidentes que provoquem a paralisação temporária de processos, 
os chamados incidentes disruptivos.
Normas de segurança em TI10
Um evento disruptivo significativo, que cause a paralisação não programada 
em processos de negócio, pode trazer impactos negativos severos e importantes 
para uma organização, entre eles:
  prejuízos financeiros e fiscais;
  interrupção da produção;
  exposição da imagem da empresa, prejudicando-a perante clientes e 
demais partes interessadas;
  perda da confiança e da credibilidade perante os públicos interno e 
externo à organização.
A resposta adequada a um evento desse tipo necessita da mobilização de 
toda a organização, de forma estruturada, rápida, coerente e assertiva, para 
que possa diminuir ou evitar os impactos negativos. Por isso, a gestão da con-
tinuidade de negócios planeja, implanta e mantém atualizados e disponíveis, 
para todos os envolvidos, os planos e procedimentos fundamentais para uma 
recuperação efetiva depois de a empresa ter enfrentado o evento.
Dessa forma, a norma ISO 22301 oferece a melhor estrutura possível para 
a gestão da continuidade de negócios em uma organização, uma vez que uma 
organização pode obter a certificação por meio de uma entidade reconhecida 
e, assim, comprovar essa conformidade aos seus clientes e demais partes 
interessadas (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013). 
Essa norma faz com que a organização entenda e priorize as ameaças ao 
seu negócio e especifique os requisitos para que o sistema de gestão proteja o 
negócio contra incidentes e reduza a possibilidade de eles ocorrerem, garantindo 
que a empresa se recupere caso eles se efetivem.
Quando a gestão da continuidade de negócios é implementada de maneira 
correta, ela possibilita a redução da probabilidade de incidentes que provocam 
a interrupção ou ameaçam o seguimento normal dos processos da organização. 
Caso algum evento desse tipo ocorra, a organização estará pronta para tratá-lo 
e respondê-lo de forma adequada, reduzindo de forma drástica os possíveis 
danos gerados.
Qualquer organização, independentemente de ser grande ou pequena, 
privada ou pública, que tenha ou não fins lucrativos, pode implementar o 
padrão da norma ISO 22301. Esse padrão foi idealizado de uma forma que 
possa ser aplicado em organizações de qualquer tipo ou tamanho.
A certificação com a norma ISO 22301 ajuda a melhorar a forma como a 
organização, como um todo, administra as suas eventualidades. Essa norma 
11Normas de segurança em TI
garante um sistema de gerenciamento de continuidade de negócios planejado e 
efetivo, que permite responder de modo eficaz a qualquer perturbação que surja. 
O plano de continuidade de negócios tem como objetivo principal a criação 
de padrões de procedimentos que devem ser adotados em situações adversas, 
para que a organização possa se recuperar, retomar seus processos e dar 
prosseguimento às atividades mais importantes para o negócio, evitando que 
ocorram danos mais profundos, que possam provocar prejuízos financeiros 
e de imagem.
O programa geral de um gerenciamento de continuidade de negócios deve 
envolver o planejamento de atividades como treinamentos, exercícios e re-
visões regulares. Mesmo que a organização nunca tenha passado por um 
incidente grave, implantar um gerenciamento de continuidade de negócios 
fundamentado na norma ISO 22301 pode ajudar a definir os processos que 
serão fundamentais para tratar esse tipo de evento, caso ocorra, e seus possíveis 
impactos na organização.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT/CEE/ISO 22301: segurança da 
sociedade: sistema de gestão de continuidade de negócios: requisitos. 2013. Dispo-
nível em: <https://pt.scribd.com/document/356801706/ISO-22301-Portugues-pdf>. 
Acesso em: 26 maio 2018. 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR/ISO 31000: gestão de ris-
cos: princípios e diretrizes. 2009. Disponível em: <https://gestravp.files.wordpress.
com/2013/06/ iso31000-gestc3a3o-de-riscos.pdf>. Acesso em: 8 jun. 2018. 
BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013.
FERNANDES. A. A. Implantando a governança de TI: da estratégia à gestão de processos 
e serviços. Rio de Janeiro: Brasport, 2014.
INTENATIONAL ORGANIZATION FOR STANDARDIZATION – ISO. ISO/IEC 27000: infor-
mation technology: security techniques: information security management systems: 
overview and vocabulary. 2018. Disponível em: <https://www.sis.se/api/document/
preview/ 80001198/>. Acesso em: 8 jun. 2018.
Normas de segurança em TI12
https://pt.scribd.com/document/356801706/ISO-22301-Portugues-pdf
https://gestravp.files.wordpress/
https://www.sis.se/api/document/
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
FUNDAMENTOS DE 
SEGURANÇA DA 
INFORMAÇÃO
Jeanine dos Santos 
Barreto
 
Aplicação de normas, 
padrões internacionais 
e certificações
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Compreender o uso das normas e padrões internacionais de segurança 
da informação.
  Reconhecer as principais normas e padrões internacionais de segu-
rança da informação.
  Identificar as principais certificações para quem trabalha com segu-
rança da informação.
Introdução
A segurança da informação é um assunto que vem se expandindo ao 
longo dos últimos anos e se tornando uma preocupação constante para 
organizações de todos os segmentos e portes. Isso se deve, em grande 
parte, ao aumento do número de incidentes relacionados à segurança, 
que ocorrem com cada vez mais frequência mundialmente. Os danos 
trazidos podem ser variados, não somente envolvendo a perda, o roubo, o 
extravio e as alterações indevidas das informações, mas também atingindo 
a imagem da empresa perante seus clientes e parceiros. 
Em vista disso, muitas são as normas e os padrões internacionais 
elaborados com o intuito de divulgar boas práticas e diretrizes sobre a 
segurança da informação, servindo de fundamento para as atividades 
relacionadas à essa área nas organizações.
Neste capítulo, você vai estudar o uso das principais normas e pa-
drões internacionais de segurança da informação e também as principais 
certificações para os profissionais da área.
O uso das normas e padrões internacionais de 
segurança da informação
A área da segurança da informação se relaciona com a proteção de conjuntos 
de dados ou informações, a fi m de preservar o valor que possuem para um 
indivíduo ou uma organização; ou seja, objetiva preservar informações pessoais 
ou corporativas. A informação pode estar armazenada para uso restrito ou 
pode ser pública, para que todos a acessem sem restrição.
Os dados não possuem um significado relevante de maneira isolada e representam 
algo que, a princípio, não possui um sentido, não serve para fundamentar conclusões 
nem para respaldar decisões. A informação é a ordenação ou a organização de dados 
de tal forma que eles transmitam um significado e possam ser compreendidos, desde 
que analisados dentro de um contexto.
A segurança da informação não se restringe somente à informação eletrô-
nica, que tramita em sistemas informatizados com armazenamento eletrônico, e 
sim a todos os aspectos que envolvem a proteção dos dados e das informações.
Os atributos básicos da segurança da informação dizem respeito à forma 
como a informação é tratada; são eles: disponibilidade, confidencialidade, 
autenticidade e integridade.