Conscientização em Segurança da Informação

Prévia do material em texto

Indaial – 2020
ConsCientização 
em segurança da 
informação
Prof.ª Simone Erbs da Costa
1a Edição
Copyright © UNIASSELVI 2020
Elaboração:
Prof.ª Simone Erbs da Costa
Revisão, Diagramação e Produção:
Centro Universitário Leonardo da Vinci – UNIASSELVI
Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri 
UNIASSELVI – Indaial.
Impresso por:
C837c
 Costa, Simone Erbs da
 Conscientização em segurança da informação. / Simone Erbs da 
Costa. – Indaial: UNIASSELVI, 2020.
 306 p.; il.
 ISBN 978-65-5663-076-2
1. Segurança da informação. – Brasil. Centro Universitário Leonardo 
Da Vinci.
CDD 004
apresentação
Caro acadêmico, estamos iniciando o estudo da Conscientização em 
Segurança da Informação. Esta disciplina objetiva conscientizar a importância 
de se ter um plano de segurança da informação e a conscientização de 
colaboradores do comportamento seguro, bem como entender a visão 
executiva na gestão da segurança da informação de dados. 
Este livro conta com diversos recursos didáticos externos. Portanto, 
recomendamos que você realize todos os exemplos e exercícios resolvidos 
para um aproveitamento excepcional da disciplina. 
No contexto apresentado, o livro Conscientização em Segurança da 
Informação está dividido em três unidades: Unidade 1 — Colaboradores 
e comportamento seguro; Unidade 2 — Padrão, normas e plano de 
conscientização em segurança da informação; Unidade 3 — Visão executiva 
na gestão da segurança da informação.
Aproveitamos a oportunidade para destacar a importância de 
desenvolver as autoatividades, lembrando que essas atividades não são 
opcionais. Elas objetivam a fixação dos conceitos apresentados. Em caso de 
dúvida, na realização das atividades, sugerimos que você entre em contato 
com seu tutor externo ou com a tutoria da UNIASSELVI, não prosseguindo 
sem ter sanado todas as dúvidas. 
Bom estudo! Sucesso na sua trajetória acadêmica e profissional! 
Prof.ª Simone Erbs da Costa
Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para 
você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi-
dades em nosso material.
Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é 
o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um 
formato mais prático, que cabe na bolsa e facilita a leitura. 
O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra-
mação no texto, aproveitando ao máximo o espaço da página, o que também contribui 
para diminuir a extração de árvores para produção de folhas de papel, por exemplo.
Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, 
apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilida-
de de estudá-lo com versatilidade nas telas do celular, tablet ou computador. 
 
Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para 
apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun-
to em questão. 
Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas 
institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa 
continuar seus estudos com um material de qualidade.
Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de 
Desempenho de Estudantes – ENADE. 
 
Bons estudos!
NOTA
Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela 
um novo conhecimento. 
Com o objetivo de enriquecer seu conhecimento, construímos, além do livro 
que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você 
terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complemen-
tares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento.
Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo.
Conte conosco, estaremos juntos nesta caminhada!
LEMBRETE
sumário
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO ................................... 1
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E 
 AMEAÇAS ...................................................................................................................... 3
1 INTRODUÇÃO .................................................................................................................................... 3
2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO ............... 4
2.1 ATIVOS DE INFORMAÇÃO ......................................................................................................... 8
2.2 VULNERABILIDADES DA INFORMAÇÃO ............................................................................. 9
2.3 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO ................................................................. 11
2.4 ATAQUE À SEGURANÇA DA INFORMAÇÃO ..................................................................... 15
2.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO ............................................................. 17
2.6 IMPACTO E PROBABILIDADE ................................................................................................. 19
3 CLASSIFICAÇÃO DA INFORMAÇÃO ....................................................................................... 20
3.1 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO/IEC 27002:2013) ........................... 21
RESUMO DO TÓPICO 1..................................................................................................................... 24
AUTOATIVIDADE .............................................................................................................................. 29
TÓPICO 2 — CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL .............................. 31
1 INTRODUÇÃO .................................................................................................................................. 31
2 ENGENHARIA SOCIAL .................................................................................................................. 32
3 DISSEMINAÇÃO DA CONSCIENTIZAÇÃO ............................................................................ 35
RESUMO DO TÓPICO 2..................................................................................................................... 46
AUTOATIVIDADE .............................................................................................................................. 51
TÓPICO 3 — PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM PROGRAMA 
 DE CONSCIENTIZAÇÃO DE SEGURANÇA ................................................................ 53
1 INTRODUÇÃO .................................................................................................................................. 53
2 PRÁTICAS RECOMENDADAS DE CONSCIENTIZAÇÃO SOBRE SEGURANÇA 
 ORGANIZACIONAL ........................................................................................................................ 54
2.1 MONTAR A EQUIPE DE CONSCIENTIZAÇÃO DE SEGURANÇA .................................. 54
2.2 DETERMINAR FUNÇÕES PARA CONSCIENTIZAÇÃO DE SEGURANÇA.................... 54
2.3 CONSCIENTIZAÇÃO DE SEGURANÇA EM TODA ORGANIZAÇÃO ............................ 57
3 CONTEÚDO DO TREINAMENTO DE CONSCIENTIZAÇÃO DE SEGURANÇA 
 DA INFORMAÇÃO .......................................................................................................................... 59
3.1 TODOS DA ORGANIZAÇÃO .................................................................................................... 61
3.2 GERÊNCIA .................................................................................................................................... 63
3.3 FUNÇÕES ESPECIALISTAS ....................................................................................................... 63
3.4 DEFINIR MÉTRICAS PARA AVALIARO TREINAMENTO DE 
CONSCIENTIZAÇÃO ....................................................................................................................... 65
4 LISTA DE VERIFICAÇÃO DO PROGRAMA DE CONSCIENTIZAÇÃO 
 DE SEGURANÇA .............................................................................................................................. 66
LEITURA COMPLEMENTAR ............................................................................................................ 69
RESUMO DO TÓPICO 3..................................................................................................................... 82
AUTOATIVIDADE .............................................................................................................................. 86
UNIDADE 2 — PADRÃO, NORMAS E PLANO DE CONSCIENTIZAÇÃO EM
 SEGURANÇA DA INFORMAÇÃO ..................................................................... 89
TÓPICO 1 — CONTROL OBJECTIVES FOR INFORMATION AND RELATED
 TECHNOLOGY (COBIT) ............................................................................................ 91
1 INTRODUÇÃO .................................................................................................................................. 91
2 FRAMEWORK COBIT ..................................................................................................................... 92
3 COMPORTAMENTO HUMANO E O COBIT .......................................................................... 107
3.1 CULTURA, ÉTICA E COMPORTAMENTO e PESSOAS, HABILIDADES E 
COMPETÊNCIAS ....................................................................................................................... 108
3.2 PROCESSOS REFERENTE À CONSCIENTIZAÇÃO ........................................................... 118
RESUMO DO TÓPICO 1................................................................................................................... 120
AUTOATIVIDADE ............................................................................................................................ 124
TÓPICO 2 — PRINCIPAIS NORMAS EM SEGURANÇA DA INFORMAÇÃO: 
 ABNT NBR ISO/IEC 27001:2013 E ABNT NBR ISO/IEC 27002:2013 ............... 127
1 INTRODUÇÃO ................................................................................................................................ 127
2 ABNT NBR ISO/IEC 27001:2013 .................................................................................................... 128
2.1 ESTRUTURA DA ABNT NBR ISO/IEC 27001:2013 ............................................................... 130
2.2 VISÃO GERAL DO ANEXO A DA ABNT NBR ISO/IEC 27001:2013 ................................. 139
3 ABNT NBR ISO/IEC 27002:2013 .................................................................................................... 141
3.1 ESTRUTURA DA ABNT NBR ISO/IEC 27002:20131 ............................................................. 142
RESUMO DO TÓPICO 2................................................................................................................... 156
AUTOATIVIDADE ............................................................................................................................ 160
TÓPICO 3 — CICLO DE VIDA DO PLANO DO PROGRAMA DE CONSCIENTIZAÇÃO 
 E TREINAMENTO ADAPTADO DA EDIÇÃO ESPECIAL 800-50 DO 
 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) ......... 163
1 INTRODUÇÃO ................................................................................................................................ 163
2 ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO ................................... 164
2.1 ESTRUTURANDO O PROGRAMA ........................................................................................ 165
2.2 AVALIANDO AS NECESSIDADES ......................................................................................... 165
2.3 DESENVOLVENDO A ESTRATÉGIA E O PLANO DE CONSCIENTIZAÇÃO E 
TREINAMENTO ......................................................................................................................... 168
2.4 ESTABELECENDO PRIORIDADES......................................................................................... 169
2.5 ESTABELECENDO O PADRÃO............................................................................................... 170
2.6 FINANCIAMENTO DO PROGRAMA DE CONSCIENTIZAÇÃO E TREINAMENTO
 EM SEGURANÇA ..................................................................................................................... 172
3 ETAPA 2: DESENVOLVIMENTO DE MATERIAIS DE CONSCIENTIZAÇÃO E DE 
 TREINAMENTO .............................................................................................................................. 173
3.1 DESENVOLVENDO MATERIAL DE CONSCIENTIZAÇÃO ............................................ 174
3.2 DESENVOLVENDO MATERIAL DE TREINAMENTO ...................................................... 176
4 ETAPA 3: IMPLEMENTAÇÃO DO PROGRAMA .................................................................... 176
4.1 COMUNICAÇÃO DO PLANO ................................................................................................ 177
4.2 TÉCNICAS PARA CRIAR MATERIAL DE CONSCIENTIZAÇÃO .................................... 177
4.3 TÉCNICAS PARA CRIAR MATERIAL DE TREINAMENTO ............................................. 178
5 ETAPA 4: PÓS-IMPLEMENTAÇÃO ........................................................................................... 179
5.1 MONITORANDO A CONFORMIDADE ................................................................................ 180
5.2 AVALIAÇÃO E FEEDBACK ..................................................................................................... 182
5.3 GERENCIANDO MUDANÇAS ............................................................................................... 184
5.4 MELHORIA CONTÍNUA (ELEVANDO O PADRÃO ESTABELECIDO) .......................... 184
5.5 INDICADORES DE SUCESSO.................................................................................................. 185
LEITURA COMPLEMENTAR .......................................................................................................... 186
RESUMO DO TÓPICO 3................................................................................................................... 193
AUTOATIVIDADE ............................................................................................................................ 198
UNIDADE 3 — VISÃO EXECUTIVA NA GESTÃO DA SEGURANÇA DA 
 INFORMAÇÃO ...................................................................................................... 201
TÓPICO 1 — VISÃO CORPORATIVA E POSICIONAMENTO HIERÁRQUICO ................. 203
1 INTRODUÇÃO ................................................................................................................................ 203
2 VISÃO CORPORATIVA ................................................................................................................ 207
2.1. CONSCIENTIZAÇÃO DO CORPO EXECUTIVO ................................................................ 210
2.2 RETORNO SOBRE O INVESTIMENTO .................................................................................. 218
3 POSICIONAMENTO HIERÁRQUICO ADEQUADO............................................................. 223
RESUMO DO TÓPICO 1................................................................................................................... 228
AUTOATIVIDADE ............................................................................................................................ 232
TÓPICO 2 — MODELO DE GESTÃO CORPORATIVA DE SEGURANÇA DA
 INFORMAÇÃO .......................................................................................................... 235
1 INTRODUÇÃO ................................................................................................................................235
2 MODELOS DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ...................... 239
2.1 COMITÊ CORPORATIVO DE SEGURANÇA DA INFORMAÇÃO ................................... 242
2.2 PAPEL DO SECURITY OFFICER ............................................................................................. 246
2.3 COMO CONDUZIR INTERNAMENTE A NEGOCIAÇÃO ................................................ 249
2.4 SABENDO IDENTIFICAR O PARCEIRO EXTERNO ........................................................... 251
2.5 FERRAMENTAS METODOLÓGICAS .................................................................................... 254
3 AGREGANDO VALOR AO NEGÓCIO ...................................................................................... 261
RESUMO DO TÓPICO 2................................................................................................................... 263
AUTOATIVIDADE ............................................................................................................................ 267
TÓPICO 3 — POLÍTICAS E REGULAMENTOS DE SEGURANÇA DA 
 INFORMAÇÃO .......................................................................................................... 269
1 INTRODUÇÃO ................................................................................................................................ 269
2 EXEMPLOS DE REGULAMENTOS E POLÍTICAS ................................................................. 271
LEITURA COMPLEMENTAR .......................................................................................................... 285
RESUMO DO TÓPICO 3................................................................................................................... 298
AUTOATIVIDADE ............................................................................................................................ 301
REFERÊNCIAS .................................................................................................................................... 303
1
UNIDADE1 — 
COLABORADORES E 
COMPORTAMENTO 
SEGURO
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, você deverá ser capaz de:
• entender a segurança da informação e a sua importância para a 
organização, buscando um comportamento seguro;
• conhecer os princípios básicos da segurança da informação, 
conhecida como a tríade Confidencialidade, Integridade e 
Disponibilidade (CID);
• conhecer outras propriedades da segurança da informação, 
indo além da tríade CID, para compreensão do seu papel e do 
comportamento seguro;
• compreender os conceitos básicos da segurança da informação 
como: ativo da informação, vulnerabilidades, agentes, ameaças, 
ataques, incidentes de segurança; e de probabilidade e impacto;
• entender o que é a engenharia social e identificar os seus possíveis 
ataques;
• compreender a importância da conscientização e o comportamento 
seguro dos colaboradores;
• compreender que a segurança da informação faz parte da 
cultura da organização e é benéfica para todos, colaboradores e 
organização;
• saber quais conteúdos devem ser utilizados na conscientização de 
segurança e compreender que a conscientização deve ser aplicada 
pelas funções exercidas na organização.
2
PLANO DE ESTUDOS
Esta unidade está dividida em três tópicos. No decorrer do texto, você 
encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado.
TÓPICO 1 – ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES 
 E AMEAÇAS
TÓPICO 2 – CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL 
TÓPICO 3 – PRÁTICAS RECOMENDADAS PARA IMPLEMENTAR UM 
 PROGRAMA DE CONSCIENTIZAÇÃO DE SEGURANÇA
Preparado para ampliar seus conhecimentos? Respire e vamos 
em frente! Procure um ambiente que facilite a concentração, assim absorverá 
melhor as informações.
CHAMADA
3
TÓPICO 1 — 
UNIDADE 1
ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E 
AMEAÇAS
1 INTRODUÇÃO
A informação está presente nas organizações nos mais variados formatos. 
Podemos ver a informação armazenada de forma eletrônica ou de forma impressa, 
falada, em vídeo, por imagem, som etc., assim como podemos transmitir uma 
informação por voz ou mesmo pelo correio eletrônico. Independente do meio 
que a informação está armazenada ou tem seu formato ou como é transmita, é 
necessário que ela seja protegida de maneira adequada. 
Desta forma, podemos dizer que todas as informações mantidas e 
processadas por uma organização estão sujeitas a ameaças de ataques, erros 
(intencionais ou não intencionais) e de natureza (como incêndio, enchente e afins) 
e estão sujeitas a vulnerabilidades inerentes ao uso que fazemos da informação, 
pois a informação é um ativo intangível fundamental para a sobrevivência da 
organização e desta forma precisa ser mantida segura. Além disso, é necessário 
disponibilizar as informações de maneira precisa, completa e em tempo hábil 
para as pessoas autorizadas, por ser um catalisador para a eficiência dos negócios. 
Os melhores firewalls do mundo não poderão proteger os ativos da 
informação da organização se o firewall humano estiver fraco. Segundo Pivot 
Point Security (2020), estima-se que até 75% das violações da organização sejam 
atribuídas a falhas humanas na manutenção das políticas, padrões e procedimentos 
de segurança de seu colaborador. Para organizações que exigem conformidade 
com regulamentos governamentais específicos é necessário treinamento formal 
de conscientização de segurança da informação para cada colaborador, de uma a 
duas vezes por ano. 
Assim, toda a organização corre o risco de ser comprometida. Portanto, agora 
que tivemos uma ideia da importância da informação para a organização, precisamos 
compreender os conceitos e princípios básicos de segurança da informação. 
Ativo é tudo que tem valor para uma organização, podendo ser tangível ou 
intangível e de maneira lógica, física ou humana.
NOTA
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
4
2 CONCEITOS E PRINCÍPIOS BÁSICOS DA SEGURANÇA DA 
INFORMAÇÃO
 
Na literatura, encontramos várias definições para o termo segurança 
da informação. Segundo ISO/IEC (2018), o termo segurança da informação 
geralmente é baseado em informações consideradas como um ativo, que possui 
um valor que exige proteção adequada, como contra a perda de disponibilidade, 
confidencialidade e integridade. 
Desta forma, “[...] é de responsabilidade da segurança da informação 
protegê-la de vários tipos de ameaças, para garantir a continuidade do negócio, 
minimizar riscos e maximizar o retorno dos investimentos” (COELHO; ARAÚJO; 
BEZERRA, 2014, p. 2). 
Algumas definições formais de segurança da informação. “Preservação da 
confidencialidade, integridade e disponibilidade da informação; adicionalmente, 
outras propriedades, tais como autenticidade, responsabilidade, não repúdio e 
confiabilidade, podem também estar envolvidas” (ABNT NBR ISO/IEC 27002, 
2005 apud TORRES, 2015, p. 10). 
Sêmola (2003, p. 43) coloca segurança da informação “[...] como uma área 
do conhecimento dedicada à proteção de ativos da informação contra acessos não 
autorizados, alterações indevidas ou sua indisponibilidade”. 
Bastos e Caubit (2009, p. 17) trazem uma definição menos formal de 
segurança da informação, como ser:
[...] caracterizada pela aplicação adequada de dispositivos de proteção 
sobre um ativo ou um conjunto de ativos visando preservar o valor que 
este possui para as organizações. A aplicação destas proteções busca 
preservar a Confidencialidade, a Integridade e a Disponibilidade 
(CID), não estando restritos somente a sistemas ou aplicativos, mas 
também informações armazenadas ou veiculadas em diversos meios 
além do eletrônico ou em papel.
Estas definições de segurança da informação trazem os três pilares ou três 
princípios básicos da segurança da informação, que são a Confidencialidade, a 
Integridade e a Disponibilidade (CID). 
De acordo com Machado Júnior (2018, p. 56), “Este conjunto é conhecido 
como o tripé da segurança dainformação, internacionalmente denominado “CIA-
triad”, em referência aos termos Confidentiality, Integrity e Avalability. 
Ao longo dos anos, a CIA-triad foi consolidada e evolui, servindo como 
pilares de sustentação”. Machado Júnior (2018) demonstra visualmente essa 
evolução da tríade CID por meio da Figura 1. 
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
5
FIGURA 1 - EVOLUÇÃO DAS CARACTERÍSTICAS DE SEGURANÇA DA TRÍADE CID
FONTE: Machado Júnior (2018, p. 61)
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
6
A confidencialidade necessita que exista algum tipo de barreira para 
impedir o acesso direto. Ambientes que são controlados e acessíveis somente por 
algum tipo de chave de acesso como conta de e-mail, uma área específica de uma 
organização, um servidor de banco de dados, um cofre e afins são exemplos de 
confidencialidade. Esse mecanismo de barreira, segundo Machado Júnior (2018), 
pode ser aprimorado por meio de recursos de criptografia. 
O pilar da integridade é referente à ameaça da informação ser modificada 
sem autorização. Para Machado Júnior (2018, p. 62), “A quebra da integridade 
é fator crítico e pode ter consequências catastróficas. São exemplos de uso da 
integridade qualquer ambiente controlado em que o sucesso das operações 
depende da qualidade íntegra dos dados fornecidos”. Por fim, o pilar da 
disponibilidade diz respeito à ameaça de negação não autorizada de utilização. 
Esse pilar tem como objetivo “[...] garantir a propriedade da informação estar 
disponível quando solicitada” (MACHADO JÚNIOR, 2018, p. 62).
Machado Júnior (2018) ainda coloca que o pilar da disponibilidade seria 
a maneira mais eficiente de um ataque ser iniciado. Devido que ao se quebrar 
o pilar da disponibilidade, possivelmente, na sequência se comprometeria a 
integridade por meio de substituição ou de alteração de dados e por último a 
confidencialidade também seria comprometida. Desta forma, ter um plano de 
segurança no qual todos os colaboradores estejam cientes da sua importância é 
fundamental para os três pilares.
Ao longo dos anos, outros modelos sugiram baseados na tríade CID e 
outras propriedades de segurança da informação foram acrescentadas a esses três 
princípios básicos da segurança da informação. Alguns deles estão contidos no 
Quadro 1. Além deles, também iremos ver na Unidade 2, de estudo, os requisitos 
de controle pela versão ativa da ABNT ISO/IEC 27002:2013, que define o objetivo 
da política da segurança da informação.
• Confidencialidade se refere a certificar que somente os usuários autorizados tenham 
acesso à informação, dizendo respeito à ameaça de liberar informação não autorizada. De 
acordo com Machado Júnior (2018, p. 60), “Esse requisito busca garantir o acesso somente 
com autorização, ou seja, para que uma informação seja considerada segura é essencial 
que haja uma forma de garantir esta seja disponibilizada somente mediante autorização”.
• Integridade se refere à informação não ser adulterada. Portanto, a informação precisa 
ser mantida no estado em que ela foi disponibilizada pelo dono da informação (o 
proprietário), objetivando proteger a informação de qualquer tipo de alteração 
(acidental, intencional ou indevida). “Este requisito busca garantir que a informação 
não sofra alterações indevidas” (MACHADO JÚNIOR, 2018, p. 62).
• Disponibilidade se refere à informação estar disponível, independente do seu desígnio. 
Portanto, é necessário certificar de que a informação e os seus ativos se encontrem acessíveis 
para os usuários autorizados (legítimos) de maneira devida (MACHADO JÚNIOR, 2018).
NOTA
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
7
QUADRO 1 – PROPRIEDADES DA INFORMAÇÃO
PROPRIEDADE DESCRIÇÃO
Autenticidade
A autenticidade visa garantir a verdadeira autoria, ou 
seja, visa atestar que a informação é de fato oriunda de 
determinada fonte, garantindo que a informação foi 
criada, expedida, alterada, removida por determinado 
órgão, sistemas ou entidade.
Irretratabilidade ou 
não repúdio
A irretratabilidade visa garantir a autoria da informação 
fornecida, para que uma pessoa ou entidade não 
negue alguma atividade ou ação, como por exemplo: 
assinar ou mesmo criar um documento ou arquivo. 
Segundo Machado Júnior (2018, p. 70), o não repúdio 
é a “[...] capacidade do sistema para provar legalmente 
uma ocorrência/não ocorrência de um evento ou 
participação/não participação [...]” dele.
Responsabilidade
A responsabilidade visa garantir que a pessoa 
responda por seus atos, incluso diante da lei, ou seja, 
esse princípio se refere a ser responsável pelas ações 
realizada no manuseio das informações.
Confiabilidade
A confiabilidade visa garantir que a informação é 
proveniente de uma fonte autêntica, expressando 
uma mensagem fidedigna, ou seja, que a informação é 
confiável. De acordo com Machado Júnior (2018, p. 70), 
“O objetivo da confiabilidade refere-se à necessidade 
de autorização para que determinada informação ou 
dado seja disponibilizado e a privacidade refere-se à 
possibilidade de controle das informações ou dados 
por parte do próprio usuário”.
Auditabilidade
Segundo Machado Júnior (2018, p. 70), “[...] capacidade 
de conduzir monitoramento persistente de todas ações 
realizadas por seres humanos e máquinas no ambiente”.
Privacidade
Para Machado Júnior (2018, p. 70), “[...] um sistema 
deve obedecer à legislação (em termos de privacidade) 
e deve permitir aos indivíduos controlar, sempre que 
possível, as suas informações pessoais”.
FONTE: A autora
De acordo com Dantas (2011, p. 15):
A autenticidade e confiabilidade estão interligadas. A primeira 
diz respeito à idoneidade da fonte, isto é, digna de fé e confiança, 
e a segunda ao seu conteúdo. A avaliação da fonte para a sua 
autenticidade pode ser feita com relação à sua idoneidade, como, por 
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
8
exemplo: completamente idônea, regularmente idônea, inidônea e cuja 
idoneidade não se pode avaliar. E a avaliação da confiabilidade pode 
ser feita com relação ao seu conteúdo, como, por exemplo: confirmação 
por outras fontes, por ser verdadeira, duvidosa ou improvável.
Dessa forma, a autenticidade do emissor é a garantia de que quem se 
apresenta como remetente é realmente quem diz ser. A confiabilidade 
é a garantia de que a informação está completa e igual à sua forma 
original quando do envio pelo remetente, e expressa uma verdade. 
O não repúdio é a garantia de que o emissor ou receptor não tem 
como alegar que a comunicação não ocorreu, e a responsabilidade diz 
respeito aos deveres e proibições entre remetente e destinatário.
Portanto, para conseguirmos alcançar a segurança da informação é 
necessário utilizar um conjunto de práticas e atividades, incluindo: a definição 
e elaboração de processos, procedimentos, conscientização e treinamento de 
colaboradores, uso de ferramentas de monitoramento e controle, Políticas de 
Segurança da Informação (PSI), Plano de Conscientização em Segurança da 
Informação (PCSI) e afins (TORRES, 2015). 
2.1 ATIVOS DE INFORMAÇÃO
A informação é um próprio ativo, sendo encontrada nas documentações 
dos sistemas, em manuais de utilização, nas bases de dados (relacionais e não 
relacionais), contratos e acordos, planos de contingência, de continuidade e assim 
por diante. Torres (2015) também coloca outros ativos, como: pessoas e suas 
qualificações/experiências; os ativos de software, como o caso de ferramentas, 
sistemas, aplicativos etc.; ativos físicos, como o caso de equipamentos de 
comunicação e computacionais, mídias removíveis etc.; serviços de forma geral 
como refrigeração, eletricidade, iluminação etc.; e os ativos intangíveis como a 
reputação da organização. Torres (2015, p. 12) coloca que:
Um dos fatores críticos de sucesso para a garantia da segurança da 
informação é a correta identificação, controle e constante atualização 
dos diferentes tipos de ativos (inventário). Com a finalidade de 
alcançar uma corretaproteção, torna-se importante conhecer o que 
seria a Gestão de Ativos.
Como princípio básico, é recomendado que todo ativo seja identificado 
e documentado pela organização. A cada um deles deve-se estabelecer 
um proprietário responsável cujo qual lidará com a manutenção 
dos controles. Controles estes que podem ser delegados a outros 
profissionais, porém, sempre sob a responsabilidade do proprietário.
O que precisamos proteger? Devemos proteger tudo que tiver algum valor 
para o negócio da organização, ou seja, os ativos da informação.
ATENCAO
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
9
Para que os ativos da informação sejam utilizados com segurança e estejam 
seguros é necessário que os colaboradores estejam cientes da importância de algum 
dos ativos da organização, assim como saberem do impacto causado caso o ativo 
da organização não seja protegido. Desta forma, é necessário que a informação 
seja classificada. Assunto que trataremos no item seguinte deste tópico. 
2.2 VULNERABILIDADES DA INFORMAÇÃO
A vulnerabilidade está diretamente relacionada ao ponto fraco de um 
ativo. Portanto, podemos entender a vulnerabilidade como uma fragilidade. 
“Trata-se de um erro no procedimento (no caso de sistemas), falha de um agente 
ou má configuração dos aplicativos de segurança, de maneira não proposital ou 
proposital, gerando assim, uma informação não confiável” (TORRES, 2015, p. 13). 
Coelho, Araújo e Bezerra (2014, p. 3) ainda colocam que:
[...] qualquer fraqueza que possa ser explorada e comprometer a 
segurança de sistemas ou informações. Fragilidade de um ativo ou 
grupo de ativos que pode ser explorada por uma ou mais ameaças. 
Vulnerabilidades são falhas que permitem o surgimento de deficiências 
na segurança geral do computador ou da rede. Configurações 
incorretas no computador ou na segurança também permitem a 
criação de vulnerabilidades.
A partir dessa falha, as ameaças exploram as vulnerabilidades, que, 
quando concretizadas, resultam em danos para o computador, para a 
organização ou para os dados pessoais.
Assim, caso isso aconteça, os princípios da segurança da informação são 
rompidos. Desta forma, Coelho, Araújo e Bezerra (2014) colocam que é necessário 
identificar as vulnerabilidades existentes, como as apresentadas no QUADRO 2. 
Classificação da Informação é o processo para definir a sensibilidade da 
informação e quem tem acesso a essa informação, permitindo assim definir níveis e critérios 
de acesso que garantam a segurança da informação. Vide ABNT NBR 16167:2013 – Segurança 
da Informação – Diretrizes para classificação, rotulação e tratamento da informação., que 
para proteger corretamente as informações, é necessário que exista uma forma de avaliar a 
importância das informações e de saber quais pessoas podem ter acesso ao seu conteúdo.
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da 
informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa 
– RNP/ESR, 2014
IMPORTANT
E
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
10
QUADRO 2 – EXEMPLOS DE VULNERABILIDADE
VULNERABILIDADE DESCRIÇÃO
Físicas
Instalações prediais fora do padrão; salas de 
departamento de tecnologia mal planejadas; falta de 
extintores, detectores de fumaça e de outros recursos 
para combate a incêndio em sala com armários e 
fichários estratégicos; risco de explosões, vazamento 
ou incêndio (SÊMOLA, 2003).
Naturais
Computadores são suscetíveis a desastres naturais, 
como incêndios, enchentes, terremotos, tempestades, 
e outros, como falta de energia, acúmulo de poeira, 
aumento umidade e de temperatura etc. De acordo 
com Dantas (2011, p. 26), “Organizações situadas 
nessas áreas vulneráveis devem manter um excelente 
gerenciamento de continuidade de negócios, uma vez 
que esses eventos independem de previsibilidade e 
da vontade humana.”.
Hardware
Dantas (2011, p. 27) coloca que “Caracterizam-se como 
vulnerabilidade de hardware os possíveis defeitos de 
fabricação ou configuração dos equipamentos que 
podem permitir o ataque ou a alteração [...]” deles. 
Sêmola (2003) exemplifica com: falha nos recursos 
tecnológicos como desgaste, obsolescência, má 
utilização ou erros durante a instalação.
Software
“As vulnerabilidades de softwares são constituídas 
por todos os aplicativos que possuem pontos fracos 
que permitem acessos indevidos aos sistemas de 
computador, inclusive sem o conhecimento de um 
usuário ou administrador de rede” (DANTAS, 2011, 
p. 27). Para Sêmola (2003), erros na instalação ou na 
configuração podem acarretar acessos indevidos, 
vazamento de informações, perda de dados ou 
indisponibilidade do recurso quando necessário.
Meios de 
armazenamento
“Os meios de armazenamento são todos os suportes 
físicos ou magnéticos utilizados para armazenar 
as informações, tais como: disquetes; CD ROM; 
fita magnética; discos rígidos dos servidores e dos 
bancos de dados; tudo o que está registrado em 
papel” (DANTAS, 2011, 28). Discos, fitas, relatórios 
e impressos podem ser perdidos ou danificados. A 
radiação eletromagnética pode afetar diversos tipos 
de mídias magnéticas. De acordo com Dantas (2011, 
p. 28), “As suas vulnerabilidades advêm de prazo de
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
11
validade e expiração, defeito de fabricação, 
utilização incorreta, local de armazenamento em 
áreas insalubres ou com alto nível de umidade, 
magnetismo ou estática, mofo etc.”
Comunicação
“Nas comunicações, as vulnerabilidades incluem todos 
os pontos fracos que abrangem o tráfego das informações, 
por qualquer meio (cabo, satélite, fibra óptica, ondas 
de rádio, telefone, internet, wap, fax etc.)” (DANTAS, 
2011, p. 29). Os principais aspectos se relacionam com a 
qualidade do ambiente que foi preparado para o tráfego, 
tratamento, armazenamento e leitura das informações. 
Outro ponto se refere à inexistência de sistemas de 
criptografia nas comunicações; a escolha errônea dos 
sistemas de comunicações que são utilizados para 
enviar mensagens; as conexões a redes múltiplas; os 
protocolos de rede não criptografados; os protocolos 
desnecessários permitidos; a falta de filtragem entre os 
segmentos da rede; acessos não autorizados ou perda 
de comunicação (DANTAS, 2011, SÊMOLA, 2003).
Humanas
“As vulnerabilidades humanas constituem a maior 
preocupação dos especialistas, já que o desconhecimento 
de medidas de segurança é a sua maior vulnerabilidade” 
(DANTAS, 2011, p. 28). Falta de treinamento, 
compartilhamento de informações confidenciais, não 
execução de rotinas de segurança, erros ou omissões; 
ameaça de bomba, sabotagens, distúrbios civis, greves, 
vandalismo, roubo, destruição da propriedade ou dados, 
invasões ou guerras são exemplos de vulnerabilidade 
humana. Dantas (2011, p. 28) complementa que “Sua 
origem pode ser: falta de capacitação específica para a 
execução das atividades inerentes às funções de cada um; 
falta de consciência de segurança diante das atividades 
de rotina; erros; omissões; descontentamento; desleixo 
na elaboração e segredo de senhas no ambiente de 
trabalho; não utilização de criptografia na comunicação 
de informações de elevada criticidade, quando 
possuídas na empresa”.
FONTE: A autora
2.3 AMEAÇAS À SEGURANÇA DA INFORMAÇÃO
Primeiramente, entendemos o conceito de segurança da informação e que 
ela está baseada nos pilares da confidencialidade, integridade e disponibilidade, 
bem como em outras propriedades que possibilitam que os ativos da informação 
sejam resguardados conforme a sensibilidade e criticidade para o negócio. Mas, 
contra quem deve ser protegido? Das ameaças! 
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
12
Coelho, Araújo e Bezerra (2014, p. 3) colocam que ameaça é “[...] qualquer 
evento que explore vulnerabilidades. Causa potencial de um incidente indesejado, 
que pode resultar em dano para um sistema ou organização”. Essas ameaças podem 
ser tanto propositais, causadas por uma pessoa,podendo trazer consequências ao 
sistema, ao ambiente ou mesmo no ativo da informação; ou podem ser acidentais 
(COELHO; ARAÚJO; BEZERRA, 2014, DANTAS, 2011, SÊMOLA, 2003).
As ameaças acidentais dizem respeito aos desastres naturais, são falhas 
de hardware, erros de programação etc. Já as ameaças propositais se referem às 
fraudes, roubos, invasões etc., podendo ser do tipo ativa ou passiva. A ameaça 
ativa envolve alterar os dados e a ameaça passiva diz respeito à invasão e/ou 
ao monitoramento, em que os dados não são alterados (COELHO; ARAÚJO; 
BEZERRA, 2014, DANTAS, 2011, SÊMOLA, 2003).
As ameaças ainda podem ser classificadas quanto à intencionalidade, 
podendo ser naturais, que são decorrentes de fenômenos da natureza; involuntária, 
que basicamente ocorrem por não se ter conhecimento, ou seja, uma ameaça 
sem consistência; e as voluntárias, que dizem respeito a ser causada de forma 
proposital ou intencional por algum agente humano, como: espiões, invasores, 
hackers, incendiários, bem como quem cria e dissemina os vírus de computador 
(COELHO; ARAÚJO; BEZERRA, 2014, SÊMOLA, 2003). Dantas (2011) traz as 
seguintes ameaças apresentadas nas pesquisas de segurança da informação:
• Vírus, worm, cavalo de Troia ou também conhecido como trojan horse.
• Phishing, pharming e spyware.
• Adware; spam.
• Roubo de dados confidenciais da organização e de cliente, da propriedade da 
informação e da propriedade intelectual.
• Acesso não autorizado à informação.
• Perda de dados de clientes.
• Roubo de laptop, portáteis e de hardware.
• Má conduta e acesso indevido à rede por colaboradores e gerentes, bem como 
abuso de seus privilégios de acesso e utilização indevida da rede wireless. 
• Ataque de negação de serviço, invasão de sistemas e da rede.
• Acesso e utilização indevida da internet e dos recursos dos sistemas de 
informação.
• Degradação da performance, destruição e/ou rede e Web site mal configurados.
• Software de má qualidade, mal desenvolvido e sem atualização. 
“Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, 
podem provocar danos e perdas” (DANTAS, 2011, p. 30).
ATENCAO
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
13
• Fraude financeira e de telecomunicações.
• Interceptação de telecomunicação, seja de voz ou de dados, e espionagem.
• Sabotagem de dados e da rede.
• Desastres naturais. 
• Cyber-terrorismo.
Destas ameaças, Dantas (2011) observa que é necessário prestarmos atenção 
aos códigos maliciosos, destacando principalmente os vírus, por exemplo: cavalo 
de troia, adware e spyware, backdoors, keyloggers, worms, bots e botnets e rootkits, que 
estão descritos no Quadro 3 para que você possa fixar melhor esses conceitos e 
saber a diferenciá-los.
QUADRO 3 – EXEMPLOS DE CÓDIGOS MALICIOSOS
CÓDIGO 
MALICIOSO DESCRIÇÃO
Vírus
É um programa ou parte de um programa de computador, o 
qual se propaga por meio de cópias de si mesmo, infectando 
outros programas e arquivos de computador. O vírus depende 
da execução do programa ou do hospedeiro para ser ativado.
Cavalo de Troia
É um programa que executa funções maliciosas sem o 
conhecimento do usuário. Normalmente, esse código é 
recebido como um presente. São exemplos de cavalo de 
troia, cartão virtual, prêmios, fotos, protetor de tela etc. O 
seu nome é oriundo da mitologia grega.
Adware
É um tipo de software projetado para apresentar propagandas, 
seja por meio de um navegador, seja com algum outro 
programa instalado em um computador.
Keyloggers São programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador.
Worm
É um programa capaz de se propagar de forma automática por 
meio de redes, enviando cópias de si mesmo de computador 
para computador. Difere do vírus por não embutir cópias de 
si mesmo em outros programas ou arquivos.
Bot
É um programa capaz se propagar de maneira automática, 
explorando vulnerabilidades existentes ou falhas na 
configuração de softwares instalados em um computador. 
Geralmente, o bot se conecta a um servidor de Internet 
Relay Chat (IRC) e entra em um canal determinado, também 
conhecido como uma sala, esperando as instruções do invasor, 
monitorando as mensagens que estão sendo enviadas para
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
14
esse canal. O invasor, ao se conectar ao mesmo servidor de 
IRC e entrar no mesmo canal, envia mensagens compostas 
por sequências especiais de caracteres, que são interpretadas 
pelo bot. Tais sequências de caracteres correspondem a 
instruções que devem ser executadas pelo bot,
Botnets
São as redes formadas por computadores infectados com 
bots. Essas redes podem ser compostas por centenas ou 
milhares de computadores. Um invasor que tenha controle 
sobre uma botnet pode utilizá-la para aumentar a potência 
de seus ataques, por exemplo: para enviar centenas de 
milhares de e-mails de phishing ou spam; para desferir 
ataques de negação de serviço etc.
Roorkits
É um conjunto de programas que utiliza mecanismos para 
esconder e assegurar a presença do invasor no computador 
comprometido.
FONTE: Dantas (2011, p. 37-38). 
Para saber mais sobre os golpes e os ataques na internet faça a leitura 
complementar desta unidade.
O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão 
contra as organizações, geralmente com a intenção de obter informações. 
ESTUDOS FU
TUROS
IMPORTANT
E
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
15
A Figura 2 traz os principais tipos de ataques causadas por estas ameaças 
aqui expostas, referente a uma pesquisa de risco de segurança TI no ano de 2017. 
Pela referida figura é possível perceber que até 49% das organizações em todo o 
mundo relataram ter sido atacadas por vírus e Malware, um aumento de 11% em 
comparação com os resultados do ano anterior desta pesquisa. Das organizações 
que sofreram incidentes com vírus e Malware, pouco mais da metade (53%) 
deles considera os colaborados descuidados/ desinformados e mais de um terço 
(36%), considera que o engenheiro social/phishing contribuiu para a ameaça 
(KASPERSKY LAB, 2020).
FIGURA 2 - VÍRUS E MALWARE
FONTE: KASPERSKY LAB (2020, p. 1)
Você está familiarizado com o termo engenharia social? Abordaremos esse 
tema no Tópico 2 desta unidade de estudo.
ESTUDOS FU
TUROS
2.4 ATAQUE À SEGURANÇA DA INFORMAÇÃO
Ataque é “[...] qualquer ação que comprometa a segurança de uma 
organização” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3). “O ataque é um 
ato deliberado de tentar se desviar dos controles de segurança com o objetivo 
de explorar as vulnerabilidades” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4). 
Segundo Coelho, Araújo e Bezerra (2014, p. 4) existem quatro modelos de ataque 
possíveis, que estão demonstrados no Quadro 4, podendo ser do tipo passivo ou 
do tipo ativo, como exemplificado no Quadro 5. 
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
16
QUADRO 4 – MODELOS DE ATAQUE
MODELO DE 
ATAQUE DESCRIÇÃO
Interrupção
O modelo de ataque de interrupção ocorre “[...] quando um ativo é 
destruído ou torna-se indisponível (ou inutilizável), caracterizando 
um ataque contra a disponibilidade. Por exemplo, a destruição de 
um disco rígido” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).
Interceptação
O modelo de ataque de interceptação ocorre “[...] quando 
um ativo é acessado por uma parte não autorizada (pessoa, 
programa ou computador), caracterizando um ataque contra a 
confidencialidade. Por exemplo, cópia não autorizada de arquivos 
ou programas” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).
Modificação
O modelo de ataque de modificação ocorre “[...] quando um ativo 
é acessado por uma parte não autorizada (pessoa, programa ou 
computador) e ainda alterado, caracterizando um ataque contra 
a integridade. Por exemplo, mudar os valores em um arquivo de 
dados” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).
Fabricação
O modelo de ataque de fabricação ocorre “[...] quando uma 
parte não autorizada (pessoa, programa ou computador) insere 
objetosfalsificados em um ativo, caracterizando um ataque 
contra a autenticidade. Por exemplo, a adição de registros em 
um arquivo” (COELHO; ARAÚJO; BEZERRA, 2014, p. 4).
FONTE: A autora
QUADRO 5 – TIPOS DE ATAQUE
ATAQUE DESCRIÇÃO
Passivo
O ataque passivo é baseado “[...] em escutas e monitoramento 
de transmissões, com o intuito de obter informações que estão 
sendo transmitidas. A escuta de uma conversa telefônica é um 
exemplo dessa categoria. Ataques dessa categoria são difíceis 
de detectar porque não envolvem alterações de dados; todavia, 
são possíveis de prevenir com a utilização de criptografia” 
(COELHO; ARAÚJO; BEZERRA, 2014, p. 4).
Ativo
O ataque ativo envolve “[...] modificação de dados, criação de 
objetos falsificados ou negação de serviço, e possuem propriedades 
opostas às dos ataques passivos. São ataques de difícil prevenção, 
por causa da necessidade de proteção completa de todas as 
facilidades de comunicação e processamento, durante o tempo 
todo. Sendo assim, é possível detectá-los e aplicar uma medida 
para recuperação de prejuízos causados” (COELHO; ARAÚJO; 
BEZERRA, 2014, p. 4).
FONTE: A autora
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
17
A Figura 3 traz os tipos de ataques relatados em pesquisa de risco de 
segurança de TI no ano de 2017 (dados globais), enquanto a Figura 4 demonstra 
que mais de um em cada quatro (27%) negócios sofreu ataques ativos, um aumento 
de 6% quando comparado ao ano anterior da pesquisa. Dessas organizações 
atacadas, mais de um quarto (28%) acredita que a engenharia social/phishing 
contribuiu para o ataque (KASPERSKY LAB, 2020).
FIGURA 3 - TIPOS DE ATAQUES RELATADOS NA PESQUISA DE RISCO DE SEGURANÇA DE TI
FONTE: KASPERSKY LAB (2020, p. 1)
FIGURA 4 - ATAQUES ATIVOS
FONTE: Kaspersky Lab (2020, p. 1)
2.5 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO
Incidente de segurança é um evento simples ou até uma série de eventos 
de segurança da informação que não desejadas ou não apropriados, bem 
como possivelmente comprometem as operações do negócio da organização, 
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
18
ameaçando a segurança da informação. Desta forma, podemos dizer que um 
incidente de segurança é qualquer evento fora do comum referente à segurança; 
“[...] por exemplo, ataques de negação de serviços (Denial of Service – DoS), roubo 
de informações, vazamento e obtenção de acesso não autorizado a informações” 
(COELHO; ARAÚJO; BEZERRA, 2014, p. 2).
A ABNT NBR ISO/IEC 27035:2011 fornece orientações quanto ao 
gerenciamento de incidentes em segurança da informação. Resumidamente, o 
escopo da norma traz as atividades de: (i) detectar, relatar e avaliar os incidentes 
de segurança da informação; (ii) responder e gerenciar incidentes de segurança 
da informação; (iii) melhorar continuamente a segurança da informação e o 
gerenciamento de incidentes. 
Torres (2015, p. 17) ainda coloca que “[...] um incidente pode ou não 
trazer um impacto, sendo este último mensurado pela consequência que esta 
causa ao ativo da organização. Logo, um ativo de considerável valor implica em 
alto impacto e vice-versa”. Portanto, é importante que é a gestão dos incidentes 
de segurança da informação sejam devidamente tratados, pois a sua falta pode 
trazer danos consideráveis para o negócio da organização.
A Figura 5 traz a pesquisa de risco de segurança de TI realizada mundialmente 
no ano de 2017, na qual é possível perceber que colaboradores descuidados ou 
desinformados, por exemplo, são a segunda causa mais provável de uma grave 
violação de segurança, perdendo somente para Malware. Além disso, em 46% dos 
incidentes de segurança cibernética no último ano, colaboradores descuidados/ 
uniformizados contribuíram para o ataque (KASPERSKY LAB, 2020).
FIGURA 5 - PESQUISA DE RISCOS DE SEGURANÇA DE TI
FONTE: Kaspersky Lab (2020, p. 1)
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
19
O erro humano da equipe não é o único ataque realizado, pelo qual as 
organizações estão sendo vítimas. No último ano, a equipe interna também causou 
problemas de segurança por meio de ações maliciosas, com 30% dos eventos de 
segurança nos últimos 12 meses, envolvendo pessoas trabalhando contra seus próprios 
colaboradores. Entre as organizações que enfrentaram incidentes de segurança 
cibernética nos últimos 12 meses, uma em cada dez (11%), os tipos mais graves de 
incidentes envolvem colaboradores descuidados (KASPERSKY LAB, 2020).
2.6 IMPACTO E PROBABILIDADE
Impacto é a “[...] consequência avaliada de um evento em particular” 
(COELHO; ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a possibilidade 
de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade 
encontrada nos ativos” (TORRES, 2015, p. 17). Desta forma, as probabilidades, as 
vulnerabilidades e as ameaças se entrelaçam, ou seja, possuem uma forte ligação.
Resumidamente, podemos dizer que as probabilidades são provavelmente 
as oportunidades de uma vulnerabilidade ser uma ameaça. A Figura 6 traz essas 
relações, exemplificando de uma maneira gráfica as relações e os relacionamentos 
entre os conceitos apresentados de ativos de informação, vulnerabilidades, 
agentes, ameaças, ataques, incidentes de segurança e probabilidade e impacto.
FIGURA 6 - RELACIONAMENTO ENTRE CARACTERÍSTICAS DOS ATIVOS DA INFORMAÇÃO
FONTE: Torres (2015, p. 18)
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
20
3 CLASSIFICAÇÃO DA INFORMAÇÃO
Para que os colaboradores da organização possam ter um comportamento se-
guro e devido da informação, é necessário que haja uma maneira de avaliar a impor-
tância da informação, assim como quem pode ter acesso ao conteúdo dessas infor-
mações. Dessa forma, a informação precisa ser classificada, visto que a classificação 
da informação contribui para a manutenção dos princípios básicos da informação. 
Segundo Dantas (2011, p. 15), ao classificar uma informação deve-se levar 
em conta “[...] o seu valor, requisitos legais, sensibilidade e criticidade para a 
organização”. Schneider (2015, p. 38) complementa que “O Governo Brasileiro 
atribui os níveis Ultrassecreto, Secreto, Confidencial e Reservado, definido pelo 
Decreto nº 60.417, de 11 de março de 1967, já as empresas privadas costumam 
atribuir outras nomenclaturas como por exemplo: Restrita, Confidencial, Interna 
e Pública”. Outra classificação ainda utilizada diz respeito à informação ser 
classificada como confidencial, restrita, interna e pública. 
As classificações são afins pedagógicos, pois cada organização deve 
adaptar o nível de sigilo da informação de acordo com a realidade de seu negócio 
e deve divulgar amplamente, para que seus colaboradores saibam o significado 
de cada nível da informação e como lidar com eles. Segundo Schneider (2015, 
p. 38), “Apesar de não ser obrigatório, o mais encontrado são quatro níveis de 
privacidade aplicados, porém pode ser utilizado mais ou menos níveis conforme a 
necessidade da organização”, como os aqui colocados no Quadro 6 e, em seguida, 
colocamos o roteiro de Schneider (2015) baseado na ABNT NBR ISO/IEC 27002: 
2013, de como realizar a classificação da informação.
QUADRO 6 – CLASSIFICAÇÃO DA INFORMAÇÃO
CLASSIFICAÇÃO DESCRIÇÃO
Confidencial
A informação confidencial diz respeito a ela não ser 
divulgada sem autorização, podendo causar impactos 
de imagem, em âmbitos financeiros e/ou operacional, 
assim como sanções administrativas, criminosas e civis. 
A informação confidencial está restrita a um determinado 
grupo de pessoas. Portanto, é vital que as organizações 
tenham um programa de conscientização em segurança para 
garantir que os colaboradores estejam cientes da importância 
de proteger informações confidenciais, e o que devem fazer 
para lidar com informações com segurança e os riscos de 
manipular informações incorretamente. A compreensão dos 
colaboradores das consequências organizacionais e pessoais 
do manuseio incorreto de informações confidenciais é 
crucial para o sucesso de uma organização.Exemplos de 
possíveis consequências podem incluir multas aplicadas 
à organização, danos à reputação da organização e dos 
colaboradores e impacto no trabalho de um colaborador. É 
importante colocar em perspectiva o dano organizacional 
em potencial para o pessoal, detalhando como esse dano à 
organização pode afetar seus próprios papéis.
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
21
Restrita
A informação é classificada como restrita por ser 
considerada um ativo “[...] para a empresa, ou por se tratar 
de conhecimento exclusivo, ou por normativos externos. 
O acesso a este conteúdo por pessoas ou processos não 
autorizados, pode gerar perdas para a organização. 
Entretanto, são necessárias para algumas pessoas ou 
setores dentro da organização realizarem seu trabalho. As 
informações podem se manter como restritas por longos 
prazos, devido a isso o planejamento do armazenamento 
deve prever todo o período, o acesso, o transporte, e 
o descarte, também não podem ser negligenciados” 
(SCHNEIDER, 2015, p. 38).
Interna
A informação interna é referente à organização não 
ter interesse de divulgar a informação, contudo, ela é 
fundamental para as pessoas internas da organização. Para 
Schneider (2015, p. 16), “As informações internas, não devem 
extrapolar o ambiente da organização, não representa 
ameaça significativa, mas o vazamento deve ser evitado. 
São enquadradas neste nível de sigilo as informações que 
qualquer membro da organização ou que esteja prestando 
um serviço para ela pode ter acesso para realizar suas 
atividades, este é considerado o menor grau de restrição ao 
acesso aos dados, porém ainda são informações que teve 
ter sua consulta identificada e autorizada, além de todos os 
demais ciclos da vida da informação observados”.
Pública
A informação pública possui tanto uma linguagem quanto 
um formato feito à divulgação do público em geral. Essa 
informação tem um caráter informativo, promocional ou 
comercial. “Pública são todas as demais informações que 
no geral já são de conhecimento geral, interno e externo, 
que não apresente nenhum risco para a organização e seus 
intervenientes, estas informações podem ser
divulgadas, sendo que a organização pode ter como 
objetivo a divulgação, e obter o alcance de um grande 
número de pessoas ou processos ciente da informação” 
(SCHNEIDER, 2015, p. 38).
FONTE: A autora
3.1 ROTEIRO PROPOSTO BASEADO NA ABNT NBR ISO/
IEC 27002:2013)
1. Nomear e identificar a informação a ser classificada.
2. Identificar os controles associados a informação.
3. Identificar os proprietários e responsáveis pela informação.
4. Criar um critério que atendam a necessidade da organização.
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
22
• A descrição da classificação deve ser clara, fazendo sentido no 
contexto.
• A forma de classificação deve permitir que todas as pessoas 
envolvidas tenham o mesmo entendimento, aplicando o mesmo 
critério.
• Recomenda classificar conforme sua confidencialidade, integridade, 
disponibilidade e valor.
5. Aplicar a classificação da informação.
6. Formalizar a classificação adotada na organização.
Como nossa contribuição para provocar o processo de classificação, 
sugerimos algumas questões que poderão servir de base para elaboração de um 
questionário ou um quadro com pesos definidos a cada questão, objetivando 
a padronização no enquadramento da informação dentro dos critérios de 
classificação apresentados.
1) Valor
• Qual é o grau de exclusividade?
• Qual é o nível de confiabilidade da fonte?
• Qual é a quantidade de informações acessórias que a acompanham?
• Qual é o grau de interesse de terceiros?
• Qual é a quantidade de terceiros interessados?
• Qual é a importância da informação para a organização?
2) Confidencialidade
• A informação é pública?
• Sua divulgação causa algum dano ou prejuízo?
• A divulgação causa constrangimento ou inconveniência 
operacional?
• Sua divulgação tem impacto significativo nas operações ou objetivos 
táticos?
• Sua divulgação causa alguma sansão ou punição?
• Qual é a validade?
3) Disponibilidade
• Quem ou a que processo pode ter acesso?
• Qual é o prazo máximo para a entrega?
• Qual é o meio para solicitar?
• Qual é o meio para entrega?
• O prazo de disponibilidade está sujeito a regulamentação externa?
• Quais são os riscos de físicos de vazamento?
• Quais são os riscos lógicos de vazamento?
• Quais são os riscos humanos de vazamento?
4) Integridade
• Quais são os dados que compõem a informação?
TÓPICO 1 — ENTENDENDO A INFORMAÇÃO, SUAS VULNERABILIDADES E AMEAÇAS
23
• A fonte da informação é identificada e confirmada?
• Em que mídia é disponibilizada a informação?
• Em que mídia é armazenada a informação?
• Como é feito o transporte?
• Como são identificados os emissores e receptores?
• Como é verificado se o destinatário recebeu?
• Como é verificado se a informação entregue foi exatamente a mesma 
emitida?
• Como é realizado o descarte?
• O é verificado que o descarte foi realizado conforme determinado.
A seriedade adotada atribui mais chances de a organização ser bem-
sucedida na proteção das informações. O processo de segurança da informação 
e de sua proteção deve ser vista por meio de uma abordagem profissional.
FONTE: SCHNEIDER, Carlos Alberto. Capítulo 4 – Classificação dos Ativos da Informação, do 
Livro: Governança da Segurança da Informação. Edição do Autor. Brasília, 2015, p. 37-45.
24
Neste tópico, você aprendeu que:
• A informação está presente nas organizações em diferentes formatos: 
impressa, eletrônica, falada, vídeo, imagem etc., assim como a informação 
pode ser transmitida por voz ou por correio eletrônico.
• A informação precisa ser protegida independente do seu tipo e formato.
• As informações mantidas e processadas por uma organização estão sujeitas 
a ameaças de ataques, de erros, de natureza, assim como elas estão sujeitas a 
vulnerabilidades inerentes ao uso que fazemos da informação.
• Os erros podem ser intencionais ou não intencionais.
• As ameaças de natureza podem ser do tipo de incêndio, enchente e afins.
• A informação é um ativo intangível fundamental para a sobrevivência da 
organização e desta forma precisa ser mantida segura.
• A informação precisa ser disponibilizada de maneira precisa, completa e 
em tempo hábil para as pessoas autorizadas, por ser um catalisador para a 
eficiência dos negócios.
• Ativo é tudo que tem valor para uma organização, podendo ser tangível ou 
intangível e de maneira lógica, física ou humana.
• O termo segurança da informação, geralmente, é baseado em informações 
consideradas como um ativo, que possui um valor que exige proteção adequada, 
como contra a perda de Confidencialidade, Integridade e Disponibilidade (CID).
• A Confidencialidade, Integridade e Disponibilidade (CID) formam os três 
pilares ou três princípios básicos da segurança da informação.
• Os três princípios da segurança da informação também são conhecidos com 
a tríade CID ou CIA-triad, em referência aos termos Confidentiality, Integrity e 
Avalability.
• O princípio da Confidencialidade se refere a certificar que somente os 
usuários autorizados tenham acesso à informação, dizendo respeito à ameaça 
de liberar informação não autorizada.
• O princípio da Confidencialidade tem como objetivo “[...] garantir o acesso 
somente com autorização, ou seja, para que uma informação seja considerada 
segura é essencial que haja uma forma de garantir esta seja disponibilizada 
somente mediante autorização” (MACHADO JÚNIOR, 2018, p. 60).
RESUMO DO TÓPICO 1
25
• O princípio da Integridade se refere à informação não ser adulterada. Portanto, 
a informação precisa ser mantida no estado em que ela foi disponibilizada 
pelo dono da informação (o proprietário), objetivando proteger a informação 
de qualquer tipo de alteração (acidental, intencional ou indevida).
• O princípio da integridade tem como objetivo garantir que a informação não 
sofra alterações indevidas.
• O princípio da Disponibilidadese refere à informação estar disponível, 
independente do seu desígnio. 
• Ao longo dos anos, outros modelos sugiram baseados na tríade CID e outras 
propriedades de segurança da informação foram acrescentadas a esses três 
princípios básicos da segurança da informação.
• A Autenticidade visa garantir a verdadeira autoria, ou seja, visa atestar que 
a informação é de fato oriunda de determinada fonte, garantindo que a 
informação foi criada, expedida, alterada, removida por determinado órgão, 
sistemas ou entidade.
• A Irretratabilidade visa garantir a autoria da informação fornecida, para que 
uma pessoa ou entidade não negue alguma atividade ou ação, como por 
exemplo: assinar ou mesmo criar um documento ou arquivo.
• A Responsabilidade visa garantir que a pessoa responda por seus atos, incluso 
diante da lei.
• A Confiabilidade visa garantir que a informação é proveniente de uma fonte autêntica, 
expressando uma mensagem fidedigna, ou seja, que a informação é confiável.
• A Privacidade se refere ao sistema “[...] obedecer à legislação (em termos de 
privacidade) e deve permitir aos indivíduos controlar, sempre que possível, 
as suas informações pessoais” (MACHADO JÚNIOR, 2018, p. 70).
• A Auditabilidade se refere a, “[...] capacidade de conduzir monitoramento 
persistente de todas ações realizadas por seres humanos e máquinas no 
ambiente” (MACHADO JÚNIOR, 2018, p. 70).
• Devemos proteger tudo que tiver algum valor para o negócio da organização, 
ou seja, os ativos da informação.
• A informação é um próprio ativo, sendo encontrada nas documentações dos 
sistemas, em manuais de utilização, nas bases de dados (relacionais e não relacionais), 
contratos e acordos, planos de contingência, de continuidade e assim por diante.
• A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. 
Portanto, podemos entender a vulnerabilidade como uma fragilidade.
• As vulnerabilidades podem ser físicas, naturais, hardware, software, meios 
de armazenamento, comunicação, humana.
26
• A vulnerabilidade física está relacionada às instalações prediais fora do padrão; 
salas de departamento de tecnologia mal planejadas; falta de extintores, 
detectores de fumaça e de outros recursos para combate a incêndio em sala com 
armários e fichários estratégicos; risco de explosões, vazamento ou incêndio.
• A vulnerabilidade natural se refere a que os computadores são suscetíveis a 
desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, 
como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc.
• A vulnerabilidade de hardware está relacionada aos possíveis defeitos de 
configuração ou de fabricação dos equipamentos, permitindo que eles sejam 
atacados ou alterados.
• A vulnerabilidade de software é referente todo e qualquer aplicativo que 
possui algum ponto fraco, permitindo acessos indevidos.
• A vulnerabilidade de meios de armazenamento é referente a tudo que der 
suporte ao armazenamento da informação. 
• A vulnerabilidade de comunicação inclui “[...] todos os pontos fracos que 
abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra 
óptica, ondas de rádio, telefone, internet, wap, fax etc.)” (DANTAS, 2011, p. 29).
• A vulnerabilidade humana constitui “[...] a maior preocupação dos 
especialistas, já que o desconhecimento de medidas de segurança é a sua 
maior vulnerabilidade” (DANTAS, 2011, p. 28).
• “Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, 
podem provocar danos e perdas” (DANTAS, 2011, p. 30).
• As ameaças podem ser propositais ou acidentais.
• As ameaças propositais são causadas por uma pessoa, podendo trazer 
consequenciais ao sistema, ao ambiente ou mesmo no ativo da informação.
• As ameaças acidentais dizem respeito aos desastres naturais, são falhas de 
hardware, erros de programação etc.
• As ameaças propositais se referem as fraudes, roubos, invasões etc., podendo 
ser do tipo ativa ou passiva.
• A ameaça ativa envolve alterar os dados e a ameaça passiva diz respeito a 
invasão e/ou monitoramento, em que os dados não são alterados.
• Dentre as ameaças existentes é necessário prestarmos atenção sobre os códigos 
maliciosos, destacando principalmente os vírus.
• O vírus é um programa ou parte de um programa de computador, o qual 
se propaga por meio de cópias de si mesmo, infectando outros programas e 
arquivos de computador. 
• O cavalo de troia é um programa que executa funções maliciosas sem o 
conhecimento do usuário.
27
• O Adware é um tipo de software projetado para apresentar propagandas, seja por meio 
de um navegador, seja com algum outro programa instalado em um computador.
• Keyloggers são programas capazes de capturar e armazenar as teclas digitadas 
pelo usuário no teclado de um computador.
• Worm é um programa capaz de se propagar de forma automática por meio de 
redes, enviando cópias de si mesmo de computador para computador.
• Bot é um programa capaz se propagar de maneira automática, explorando 
vulnerabilidades existentes ou falhas na configuração de softwares instalados 
em um computador.
• Botnets são as redes formadas por computadores infectados com bots. 
• Roorkit é um conjunto de programas que utiliza mecanismos para esconder e 
assegurar a presença do invasor no computador comprometido.
• O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão 
contra as organizações, geralmente com a intenção de obter informações.
• Ataque é “[...] qualquer ação que comprometa a segurança de uma 
organização” (COELHO; ARAÚJO; BEZERRA, 2014, p. 3). 
• “O ataque é um ato deliberado de tentar se desviar dos controles de segurança 
com o objetivo de explorar as vulnerabilidades” (COELHO; ARAÚJO; 
BEZERRA, 2014, p. 4).
• O ataque pode ser do tipo ativo ou passivo e que podem existir quatro modelos 
de ataques: interrupção, interceptação, modificação e fabricação.
• Incidente de segurança é um evento simples ou até uma série de eventos 
de segurança da informação que não desejadas ou não apropriados, bem 
como possivelmente comprometem as operações do negócio da organização, 
ameaçando a segurança da informação.
• Impacto é a “[...] consequência avaliada de um evento em particular” 
(COELHO; ARAÚJO; BEZERRA, 2014, p. 3) e a probabilidade “[...] é a 
possibilidade de uma falha de segurança acontecer, observando-se o grau de 
vulnerabilidade encontrada nos ativos” (TORRES, 2015, p. 17).
• As probabilidades são provavelmente as oportunidades de uma 
vulnerabilidade ser uma ameaça.
• A informação precisa ser classificada e essa classificação contribui para a 
manutenção dos princípios básicos da segurança.
• Ao classificar uma informação deve-se levar em conta “[...] o seu valor, requisitos 
legais, sensibilidade e criticidade para a organização” (DANTAS, 2011, p. 15).
28
• As classificações são a fins pedagógicos, pois cada organização deve adaptar 
o nível de sigilo da informação de acordo com a realidade de seu negócio e 
deve divulgar amplamente, para que seus colaboradores saibam o significado 
de cada nível da informação e como lidar com eles.
• A informação pode ser classificada como confidencial, restrita, interna e pública.
• A informação confidencial diz respeito a ela não ser divulgada sem 
autorização, podendo causar impactos de imagem, em âmbitos financeiros e/
ou operacional, assim como sanções administrativas, criminosas e civis.
• A informação é classificada como restrita por ser considerada um ativo “[...] 
para a empresa, ou por se tratar de conhecimento exclusivo, ou por normativos 
externos” (SCHNEIDER, 2015, p. 38).
• O acesso ao conteúdo da informação restrita “[...] por pessoas ou processos não 
autorizados, pode gerar perdas para a organização” (SCHNEIDER, 2015, p. 38). 
• A informação interna é referente a organização não ter interesse de divulgar a 
informação, contudo, ela é fundamental para a pessoas internas da organização.
• A informação pública possui tanto uma linguagem quanto um formatofeito 
à divulgação do público em geral.
• A seriedade adotada ao classificar as informações atribui mais chances de a 
organização ser bem-sucedida na proteção das informações. 
• O processo de segurança da informação e de sua proteção deve ser vista por 
meio de uma abordagem profissional.
29
1 Os três princípios básicos da segurança da informação são: 
Confidencialidade,Integridade e Disponibilidade (CID). Este conjunto 
é conhecido como o tripé da segurança da informação aqui no Brasil e 
internacionalmente conhecido como “CIA-triad”, devido aos termos 
Confidentiality, Integrity e Avalability. 
 No contexto apresentado, analise as sentenças a seguir e indique a afirmativa 
com a ordem CORRETA das definições:
I - Garantir que somente os usuários autorizados tenham acesso à informação.
II - Garantir que a informação não seja adulterada indevidamente. 
III - Garantir que a informação esteja disponível, independente do seu 
desígnio.
a) ( ) Confidencialidade – Integridade – Disponibilidade.
b) ( ) Confidencialidade – Disponibilidade– Integridade.
c) ( ) Integridade – Confidencialidade – Disponibilidade.
d) ( ) Disponibilidade – Confidencialidade – Integridade.
2 A confidencialidade necessita que exista algum tipo de barreira para impedir 
o acesso direto. Ambiente que são controlados e acessíveis somente por 
algum tipo de chave de acesso como conta de e-mail, uma área específica 
de uma organização, um servidor de banco de dados, um cofre e afins 
são exemplos de confidencialidade. Qual recurso pode ser utilizado para 
aprimorar a confidencialidade?
a) ( ) Criptografia.
b) ( ) Malware.
c) ( ) Spam.
d) ( ) Notificação.
3 Ao longo dos anos, outros modelos sugiram baseados na tríade 
Confidencialidade, Integridade e Disponibilidade (CID) e outras 
propriedades de segurança da informação foram acrescentadas a esses três 
princípios básicos da segurança da informação. Com relação às propriedades 
adicionadas, analise as sentenças a seguir, classificando com V as sentenças 
verdadeiras e com F as sentenças falsas: 
( ) A autenticidade visa garantir a verdadeira autoria.
( ) A irretratabilidade visa garantir a autoria da informação fornecida, para 
que uma pessoa ou entidade não negue alguma atividade ou ação.
( ) A responsabilidade visa garantir que a informação é proveniente de uma 
fonte autêntica, expressando uma mensagem fidedigna, ou seja, que a 
informação é confiável.
( ) A confiabilidade visa garantir que a pessoa responda por seus atos, incluso 
diante da lei.
Assinale a alternativa com a sequência CORRETA:
AUTOATIVIDADE
30
a) ( ) V – F – V – F.
b) ( ) V – V – F – F.
c) ( ) F – V – V – F.
d) ( ) F – F – V – V.
4 A informação é um próprio ativo, sendo encontrada nas documentações dos 
sistemas, em manuais de utilização, nas bases de dados (relacionais e não 
relacionais), contratos e acordos, planos de contingência, de continuidade 
e assim por diante. Além desses ativos, existem outros ativos. Com relação 
a esses outros ativos, analise as sentenças a seguir, classificando com V as 
sentenças verdadeiras e com F as falsas:
( ) Os ativos de software são aqueles como ferramentas, sistemas, aplicativos etc.
( ) Os ativos físicos dizem respeito a reputação da organização.
( ) Os ativos intangíveis se referem aos equipamentos de comunicação e 
computacionais, mídias removíveis etc.
( ) Os ativos de serviços de forma geral estão relacionados a refrigeração, 
eletricidade, iluminação etc.
Assinale a alternativa com a sequência CORRETA:
a) ( ) V – V – F – F.
b) ( ) V – F – V – F.
c) ( ) F – V – V – F.
d) ( ) V – F – F – V. 
5 A vulnerabilidade está diretamente relacionada ao ponto fraco de um ativo. 
Portanto, podemos entender a vulnerabilidade como uma fragilidade. 
Precisamos saber identificar nossas vulnerabilidades, devido a elas 
comprometerem os princípios da segurança da informação são rompidos. 
Com relação às possíveis vulnerabilidades, analise as sentenças a seguir, 
classificando com V as sentenças verdadeiras e com F as falsas:
( ) Instalações prediais fora do padrão; salas de departamento de tecnologia mal 
planejadas; falta de extintores, detectores de fumaça e de outros recursos para 
combate a incêndio em sala com armários e fichários estratégicos; risco de ex-
plosões, vazamento ou incêndio são exemplos de vulnerabilidades naturais. 
( ) Falha nos recursos tecnológicos como desgaste, obsolescência, má utilização 
ou erros durante a instalação são exemplos de vulnerabilidade de software.
( ) Discos, fitas, relatórios e impressos podem ser perdidos ou danificados 
são exemplos de vulnerabilidades de meios de armazenamento.
( ) A inexistência de sistemas de criptografia nas comunicações; a escolha er-
rônea dos sistemas de comunicações que são utilizados para enviar men-
sagens são exemplos de vulnerabilidades de comunicação.
Assinale a alternativa com a sequência CORRETA:
a) ( ) V – V – F – F.
b) ( ) F – F – V – V.
c) ( ) F – V – V – F.
d) ( ) V – F – V – F.
31
TÓPICO 2 — 
UNIDADE 1
CONSCIENTIZAÇÃO E CULTURA ORGANIZACIONAL
1 INTRODUÇÃO
Em cibernética, o elemento humano é considerado o elo mais fraco da 
segurança, contudo, há formas significativas de reduzir o risco. De fato, os 
ataques estão presentes no cotidiano das pessoas e das organizações, sendo 
necessário que os colaboradores se tornem firewalls humanos. Os hackers estão 
plenamente conscientes de que o erro humano é o fruto que eles podem explorar 
para obter acesso irrestrito até às mais sofisticadas infraestruturas técnicas. Os 
fatores humanos acabam ficando em segundo plano.
“Um dos principais problemas que a segurança da informação deve 
tratar é a segurança em pessoas. A cooperação dos usuários é essencial para a 
eficácia da segurança” (RABELO JÚNIOR; VIEIRA, 2015, p. 47). O fator humano 
é quem mais exerce impacto referente aos princípios da segurança da informação 
da tríade CID, devido a, “[...] o usuário que não mantiver a confidencialidade 
da senha, não evitar o registro da mesma em papéis que não estão guardados 
em locais seguros, não utilizar senhas de qualidade ou ainda que compartilhe 
senhas individuais, compromete a segurança da informação” (RABELO JÚNIOR; 
VIEIRA, 2015, p. 47). A tecnologia sozinha não pode ser a solução.
Segundo Rabelo Júnior e Vieira (2015, p. 47), “A solução efetiva para 
integrar pessoas requer ações gradativas e constantes visando criar e fortalecer 
a cultura de segurança da informação”. Quando uma organização incorpora 
a cultura da segurança da informação, as ameaças de hoje, e os emergentes de 
amanhã não parecerão mais tão ameaçadores. “Esta cultura não pode ficar restrita 
às organizações, é um trabalho cujo resultado positivo é certo, mas não é imediato 
e requer planejamento” (RABELO JÚNIOR; VIEIRA, 2015, p. 47).
As pessoas geralmente mudam a maneira de se portarem quando estão em 
situações de risco, e suas decisões são fundamentadas em situações que exigem 
confiança. Rabelo Júnior e Viera (2015, p. 47) colocam que “A engenharia social 
se aproveita dessas brechas e da falta de consciência com relação à segurança”. 
A informação é o melhor jeito de enfrentar a engenharia social. Dessa forma, os 
colaboradores de uma organização precisam estar bem informados referente à 
engenharia social. Mas afinal de contas, o que é a engenharia social?
32
UNIDADE1 — COLABORADORES E COMPORTAMENTO SEGURO
2 ENGENHARIA SOCIAL
A associação dos termos engenharia e social contêm um sentido 
diferenciado referente à segurança da informação. Esses termos juntos concebem 
a forma que os engenheiros utilizam de burlar pessoas para obter informações 
sigilosas de maneira fácil e sem que as estas pessoas se deem conta. 
Pode-se dizer que o termo engenharia social é usado para caracterizar 
aquelas intrusões que não forem técnicas, enfatizando a interação humana. Além 
disso, a engenharia social está relacionada a ter habilidade de iludir as pessoas 
com o objetivo que os procedimentos de segurança