APOSTILA-43

Prévia do material em texto

1 
 
 
ADMINISTRAÇÃO DE SEGURANÇA DA INFORMAÇÃO 
1 
 
 
SUMÁRIO 
 
TECNOLOGIA DIGITAL ............................................................................................. 3 
BANCO DE DADOS ................................................................................................... 4 
EVOLUÇÃO DAS INFORMAÇÕES E DOS DADOS.................................................. 5 
DADO, INFORMAÇÃO E CONHECIMENTO ............................................................. 7 
GESTÃO DA INFORMAÇÃO ..................................................................................... 9 
GESTÃO DO CONHECIMENTO.............................................................................. 11 
DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO ................................................. 13 
SISTEMA GERENCIADOR DE BANCO DE DADOS (SGBD) ................................. 18 
AUDITORIA E SEGURANÇA DE INFORMAÇÃO E DADOS .................................. 19 
SEGURANÇA EM BANCO DE DADOS ................................................................... 23 
APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO E 
DOS DADOS ............................................................................................................ 26 
TIPOS DE SEGURANÇA ......................................................................................... 27 
REFERENCIAS ........................................................................................................ 29 
 
 
 
2 
 
 
NOSSA HISTÓRIA 
 
A NOSSA HISTÓRIA, inicia com a realização do sonho de um grupo de 
empresários, em atender a crescente demanda de alunos para cursos de Graduação 
e Pós-Graduação. Com isso foi criado a INSTITUIÇÃO, como entidade oferecendo 
serviços educacionais em nível superior. 
A INSTITUIÇÃO tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a participação 
no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. 
Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que 
constituem patrimônio da humanidade e comunicar o saber através do ensino, de 
publicação ou outras normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma 
confiável e eficiente para que o aluno tenha oportunidade de construir uma base 
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições 
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, 
excelência no atendimento e valor do serviço oferecido. 
 
 
 
 
 
3 
 
 
TECNOLOGIA DIGITAL 
 
O avanço da Tecnologia da Informação(TI) dentro do ambiente organizacional 
tem colocado em evidência o valor que o bem informação tem em relação aos 
objetivos da empresa. Em contraponto, busca-se proteger e garantir a segurança para 
sua efetiva utilização com a finalidade de atender as necessidades de gestores. 
Segundo Fontes (2006), define-se como segurança da informação o conjunto 
de orientações, normas, procedimentos, políticas e demais ações para que o recurso 
informação esteja protegido. A segurança da informação existe com a finalidade de 
diminuir o risco que um determinado negócio apresenta em relação à dependência 
do seu uso para o funcionamento da organização. 
De acordo com Rorrato e Dias (2014), cuidados devem ser tomados de tal 
forma que se possa verificar a integridade e garantir que os dados estejam protegidos. 
A auditoria constitui-se como uma forma eficiente de manter um ambiente seguro. 
Segundo Lento e Guimarães (2012), em termos gerais a auditoria pode ser 
compreendida como a atribuição responsável pela fiscalização dos processos, tendo 
como função verificar se eles estão sendo executados de forma constante e correta 
e se os mesmos são independentes. Aplicada seguindo métodos preestabelecidos, a 
auditoria verifica e garante que o objeto auditado está de acordo com o estipulado. 
Na área de TI, todos os processos podem e devem ser auditados, desde a 
decisão sobre tecnologias a serem adotadas, desenvolvimento de sistemas, 
integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e 
tecnologias, equipe de desenvolvimento, prioridades, controles organizacionais, 
legalidade jurídica, bem como os resultados. A auditoria no setor TI é imprescindível, 
haja vista que, hoje, muitas organizações param de operar pelo fato de a tecnologia 
de TI adotadas deixar de funcionar. 
Com base no conceito de auditoria em Tecnologia da Informação e tendo em 
vista a sua importância, este artigo constitui-se de uma revisão bibliográfica voltada 
aos principais aspectos de segurança em ambientes web, através da análise de 
vulnerabilidades encontradas e impactos gerados pela inoperabilidade de seus 
4 
 
 
serviços. A partir da revisão, foi elaborada uma pesquisa experimental, através da 
qual se propôs as adequações necessárias para a correção das falhas encontradas. 
 
BANCO DE DADOS 
 
No passado, as empresas armazenavam as informações em arquivos físicos, 
o que causava grande acúmulo de papel e dificultava a organização, atualização e 
acesso a essas informações. Porém, com o surgimento e evolução das tecnologias 
computacionais, as empresas passaram a investir na aquisição de computadores e 
as informações passaram a ser armazenadas em bancos de dados digitais. 
De acordo com Date (2003, p. 10), “um banco de dados é uma coleção de 
dados persistentes, usada pelos sistemas de aplicação de uma determinada 
empresa”. Um banco de dados apresenta algumas propriedades através das quais 
indica que sua abrangência vai muito além de uma mera coleção de dados. A primeira 
propriedade de um banco de dados refere-se a este ser um conjunto lógico e 
ordenado de dados com significado. Não será considerado banco de dados uma 
coleção de dados aleatória, sem uma finalidade ou objetivo (MACHADO, 2008). 
Construído e povoado com dados, o banco de dados possui um determinado 
objetivo e simboliza um minimundo ou universo de discurso onde são consideradas 
as propriedades de objetos que interessam aos usuários para fins de processamento 
computacional (ELMASRI; NAVATHE, 2011). Um banco de dados tem tamanho e 
complexidade distintas. 
O celular é um exemplo de device que pode conter um ou mais banco de dados 
de pequeno porte e baixa complexidade. Como exemplos de grandes bancos de 
dados podem ser considerados os da Amazon.com e Alibaba.com, empresas 
multinacionais com atuação mundializada e que comercializam produtos – livros, 
jogos, eletrônicos, roupas etc. – provenientes de diversos pontos do planeta junto a 
consumidores igualmente distribuídos ao redor do globo terrestre. 
5 
 
 
 
EVOLUÇÃO DAS INFORMAÇÕES E DOS DADOS 
 
Desde o início do século XXI ocorreram mudanças significativas no âmbito das 
Tecnologias da Informação e Comunicação (TIC), neste contexto pode-se citar a 
computação em nuvem, internet das coisas e as redes sociais. O acesso e o uso 
destas tecnologias fizeram com que a quantidade de dados aumentasse de uma 
forma contínua e a uma velocidade sem precedentes (CAI; ZHU, 2015). 
As tecnologias vêm revolucionando a maneira como as pessoas lidam e 
interagem com o mundo a seu redor de forma cada vez mais drástica. Desde o 
surgimento da Internet até sua popularização, o ser humano depende cada vez mais 
das máquinas para realizar suas tarefas diárias. Com a criação dos smartphones 
passa-se a estar conectados à Internet 24 horas por dia, 7 dias por semana. Com a 
Internet das Coisas, muito em breve, vários objetos de nossas casas e trabalho 
estarão, também, inteiramente conectados. 
Todos esses aparatos rastreiam cada passo do que é feito na Web e cada um 
desses passos é um potencial gerador de dados. Como passa-se cada vez mais 
tempo online, gera-se progressivamente mais dados, de forma mais rápida. Qualquertarefa realizada quando se está conectado, desde enviar um e-mail, escrever uma 
mensagem em uma rede social ou até mesmo deixar o GPS do celular ligado 
enquanto se movimenta, deixa rastros imperceptíveis que transformam-se em dados. 
Gera-se atualmente aproximadamente 1 zettabyte de dados por dia mas, até 
então, a imensa maioria desse volume era ignorada. Porém, percebeu-se em 
determinado momento que esses dados podem ser valiosíssimos quando bem 
aproveitados, principalmente para as empresas, que podem obter informações em 
tempo real, geradas diretamente por seus clientes. 
Para o governo, significam informações sobre como a sociedade se comporta 
e formas mais fáceis de monitorar a população. Por outro lado, cria-se uma fina 
barreira entre os benefícios da exploração de dados e a invasão de privacidade. Neste 
mundo globalizado e constantemente conectado, surge então uma nova fonte de 
poder que não pode mais ser ignorada. Os especialistas a chamam de Big Data 
6 
 
 
De acordo com Furlan e Laurindo (2017), o crescimento dos dados gerados 
demandou o desenvolvimento de novas soluções e tecnologias que auxiliassem na 
sua gestão. E diante desta necessidade surge o big data, propondo novas 
abordagens para a geração, seleção e manipulação destes grandes volumes dados. 
O termo big data está relacionado com grandes quantidades de dados, que possuem 
características distintas, são heterogêneos, providos de diferentes fontes, com 
controles distribuídos e descentralizados (MCAFEE; BRYNJOLFSSON2012). 
Dada a importância das informações disponibilizadas, a qualidade dos dados 
que geram estas informações tornou-se um dos grandes desafios para as 
organizações se manterem em um mercado cada vez mais competitivo, sendo que a 
partir da década de 90 iniciaram-se diversos estudos sobre metodologias e 
ferramentas para auxiliar no processo de gestão da qualidade dos dados dentro das 
organizações, e uma dasproposições mais relevantes foi o Total Data Quality 
Management (TDQM), feita por Madnick e Wang em 1992 (ZHUet al., 2012). 
O programa desenvolvido pelo Massachusetts Instituteof Technology - MIT é 
baseado na estrutura de Gerenciamento de Qualidade Total (TQM) para melhoria da 
qualidade no domínio da fabricação, proposto por William Edwards Deming em 1982. 
Suas pesquisas iniciais desenvolveram um modelo que defende a melhoria contínua 
da qualidade dos dados, seguindo ciclos de definição, medição, análise e melhoria. 
A partir do TDQM, várias outras proposições relacionadas as dimensões e 
atributos da qualidade dos dados foram feitas, porém, a definição de quais critérios a 
serem adotados depende do contexto em que os mesmos serão aplicados (BATINIet 
al., 2009). 
Outra questão a se considerar remete à diversidade dos dados disponíveis, 
uma vez que os mesmos são originados a partir de diferentes fontes, causando uma 
sobrecarga de informação para a sociedade, gerando inúmeras oportunidades de 
atuação para os profissionais que atuam na área da gestão da informação (RIBEIRO, 
2014). 
 
 
7 
 
 
DADO, INFORMAÇÃO E CONHECIMENTO 
 
Na Ciência da Informação, a conceituação deste termo está quase sempre 
ligada aos termos Informação e Conhecimento. Por se tratarem de definições com 
significados muito similares, não há consonância entre os autores da área para defini-
los, considerando o aspecto contextual como essencial para distinção, por vezes 
tênue, dos termos discutidos. (RUSSO, 2010). 
Dado é definido por Setzer (2001, não paginado) como “[...] uma sequência de 
símbolos quantificados ou quantificáveis [...] Com essa definição, um dado é 
necessariamente uma entidade matemática e, desta forma, é puramente sintático”. 
Já Angeloni (2003, p.18) afirma que “Os dados são elementos brutos, sem significado, 
desvinculados da realidade.” Davenport (1998, p.18) define dado como uma “Simples 
observação sobre o estado do mundo”. Sendo ele facilmente estruturado e obtido por 
máquinas, além de ser quantificado com frequência. O dado é facilmente transferível. 
Conclui-se à partir das elucidações de Russo (2010, p.15), que “[...] dados são sinais 
que não foram processados, correlacionados, integrados, avaliados ou interpretados 
de qualquer forma, e, por sua vez, representam a matéria prima a ser utilizada na 
produção de informações”. 
A informação, segundo Setzer (2001, não paginado) “[...] é uma abstração 
informal (isto é, não pode ser formalizada através de uma teoria lógica ou 
matemática), que está na mente de alguém, representando algo significativo para 
essa pessoa”. Na definição de Angeloni (2003, p.18) “As informações são dados com 
significado.” A informação é considerada como “[...] dados processados e 
contextualizados”. Davenport (1998, p.18) diz que informação são “Dados dotados de 
relevância e propósito”. A informação requer uma unidade de análise e exige 
consenso com relação ao seu significado e é imprescindível a mediação humana. 
Para Russo (2010, p.15) “[...] informação pode ser entendida como dados 
processados e contextualizados”. 
Conhecimento é definido por Davenport (1998, p.19 apud RUSSO, 2010, p.17) 
como “[...] a informação mais valiosa [...] é valiosa precisamente porque alguém deu 
à informação um contexto, um significado, uma interpretação”. Setzer (2001, não 
8 
 
 
paginado) caracteriza conhecimento como “[...] uma abstração interior, pessoal, de 
algo que foi experimentado, vivenciado, por alguém”. Angeloni (2003, p.18) define: 
O conhecimento pode então ser considerado como a informação processada 
pelos indivíduos. O valor agregado à informação depende dos 
conhecimentos anteriores desses indivíduos. Assim sendo, adquirimos 
conhecimento por meio do uso da informação nas nossas ações. Desta 
forma, o conhecimento não pode ser desvinculado do indivíduo; ele está 
estritamente relacionado com a percepção do mesmo, que codifica, 
decodifica, distorce e usa a informação de acordo com suas características 
pessoais, ou seja, de acordo com seus modelos mentais. (ANGELONI, 2003, 
p.18). 
O conhecimento de acordo com Davenport (1998, p.18) é uma “Informação 
valiosa da mente humana. Inclui reflexão, síntese, contexto”. É de difícil estruturação, 
transferência e captura em máquinas. É frequentemente tácito. O conhecimento tácito 
é capital dos seres humanos, dificilmente transmitido e capturado, dependendo das 
experiências e vivências da pessoa (RUSSO, 2010, p.19). Russo (2010, p.18) 
distingue os termos analisados como apresentado na figura a seguir: 
Figura 1: Dado x Informação X Conhecimento 
 
Fonte: Russo, 2010, pag. 18. 
Analisando as definições acima, percebe-se que o dado, por si só, não possui 
significado claro e precisa portanto, ser capturado e analisado, para que se transforme 
em informação. Uma característica importante a ser analisada sobre os dados é que 
antes do Big Data, os dados coletados pelas empresas provinham de fontes internas 
e eram, majoritariamente, dados estruturados, ou seja, “[...] dados formatados em 
linhas e colunas numéricas organizadas” (DAVENPORT, 2014, p.113). Esse tipo de 
dado já vem sendo explorado há um tempo pelas organizações, estando presente em 
bancos de dados, arquivos sequenciais e com relação de importância. (CIO, 2012 
apud CANARY, 2013). 
9 
 
 
 
GESTÃO DA INFORMAÇÃO 
 
Esta fundamentação conceitual discorre diferentes aspectos sobre a gestão da 
informação com o propósito de serem referenciais para a análise dos dados de 
pesquisa. A literatura reporta variadas formas de gerenciar a informação em uma 
organização. McGee e Prusak (1994, p. 114) formulam um modelo de processo de 
gerenciamento de informação com foco no valor estratégico da informação, definido 
em três tarefas: 
I. Identificação de necessidades e requisitos de informação; 
II. Classificação e armazenamento de informação/tratamento e 
apresentação da informação; e 
III. Desenvolvimento de produtos e serviços deinformação. 
 
Davenport (2000) também relata que o fenômeno da gestão da informação 
ocorre de forma processual, estabelecendo o Modelo Ecológico para o gerenciamento 
da informação. Este modelo está sustentado no modo holístico de pensar e em quatro 
atributos-chave: 
I. Integração dos diversos tipos de informação; 
II. Reconhecimento de mudanças evolutivas; 
III. Ênfase na observação e na descrição; e 
IV. Ênfase no comportamento pessoal e informacional. 
Envolve três ambientes: 
O ambiente informacional que é o centro da abordagem ecológica e abrange 
seis componentes: estratégia da informação, política da informação, cultura e 
comportamento em relação à informação, equipe da informação, processos de 
administração informacional e arquitetura da informação; 
O ambiente organizacional, que abrange todas as atividades 
organizacionais, sendo composto: pela situação dos negócios, investimentos em 
tecnologia e distribuição física; 
10 
 
 
O ambiente externo, que consiste em informações sobre três tópicos 
fundamentais: mercados de negócios, mercados tecnológicos e mercados da 
informação. 
Em harmonia com a ecologia informacional, Davenport (2000, p. 173) define o 
gerenciamento da informação como processos, isto é, “um conjunto estruturado de 
atividades que incluem o modo como as empresas obtêm, distribuem e usam a 
informação e o conhecimento”. Assim, estabelece quatro passos a seguir para a 
realização do processo de gerenciamento da informação. 
Primeiro, determinação das exigências, uma vez que é importante 
compreender o contexto nas quais as atividades gerenciais são realizadas, identificar 
quais as fontes necessárias e as informações para a gerência. Por meio dessa 
compreensão é possível realizar o mapeamento da informação disponível na 
organização, registrar os recursos informacionais existentes, as unidades 
responsáveis e os serviços e sistemas disponíveis. 
Segundo, obtenção de informação, que se constitui em uma atividade 
contínua, a qual acompanha o desenvolvimento organizacional. O fornecimento 
dessa informação precisa proporcionar aos usuários as informações necessárias em 
produtos e serviços informacionais. Essa atividade é composta de diversas tarefas, 
não necessariamente sequenciais, a saber: exploração do ambiente informacional, 
classificação da informação em uma categoria, a formatação e a estruturação da 
informação. 
Terceiro, distribuição, que se refere à disseminação da informação aos 
gerentes e funcionários que delas necessitam. No entanto, é necessário definir as 
estratégias dessa distribuição, podendo-se optar tanto pela divulgação às pessoas 
autorizadas como pela disponibilização a todos. 
E quarto, utilização da informação, que pode ser considerada a etapa mais 
importante desse processo, uma vez que todos os esforços das demais etapas 
convergem e se justificam para proporcionar o uso da informação em seu contexto 
organizacional. 
De acordo com Costa (2003), a informação é concebida como matéria-prima 
para gerar o conhecimento. A literatura sobre gestão do conhecimento coloca o 
11 
 
 
conhecimento tácito e as informações de caráter informal como vitais para a 
sobrevivência em mercados cada vez mais competitivos. Nessa análise, a gestão da 
informação se expande para gestão do conhecimento e os sistemas são requisitados 
para processar tanto as informações informais como os produtos das atividades 
intelectuais. Tais sistemas necessitam abranger informações externas e internas, 
coletadas sistematicamente, analisadas e disseminadas para toda a organização, 
com a missão de transformar informações em conhecimento estratégico. 
 
GESTÃO DO CONHECIMENTO 
 
A gestão do conhecimento trabalha tanto com o conhecimento explícito quanto 
com o conhecimento tático, que é “o acúmulo de saber prático sobre um determinado 
assunto, que agrega convicções, crenças, sentimentos, emoções e outros fatores 
ligados à experiência e à personalidade de quem detém.” (MIRANDA, 1999 apud 
VALENTIM, 2002). O conhecimento tácito é o conhecimento que cada um tem como 
resultado de seu aprendizado prévio, tornando-o difícil de ser repassado. 
“O conceito da gestão do conhecimento surgiu nos anos 90, não somente 
associado ao processo operacional, mas principalmente à estratégia organizacional” 
(SANTOS, 2001; SVEIBY, 1998; apud FELIX, 2003). E vem sendo discutido cada vez 
mais como uma tendência para o mercado econômico no presente e no futuro. 
Principalmente nos tempos atuais em que as organizações “com um considerável 
grau de flexibilidade e de capacidade inovadora, não se preocupam mais em somente 
armazenar dados e informação”. (BERBE, 2005) Ainda de acordo com Berbe, 2005, 
“a competitividade, a informação e a necessidade de diferencial competitivo fizeram 
com que as empresas percebessem a importância do conhecimento e da sua gestão”. 
E apesar da compreensão por parte das empresas da extrema importância na 
gestão do conhecimento nas organizações, ainda encontram grandes dificuldades na 
sua aplicação. Como afirma Wilson, (2006, p. 45), quando diz que “o uso do termo 
gestão de conhecimento é, na maioria dos casos, sinônimo de gestão da informação”, 
corroborando as barreiras encontradas para sua aplicação. 
“A gestão do conhecimento, de forma abrangente, refere-se ao planejamento 
e controle de ações (políticas, mecanismos, ferramentas, estratégias e 
12 
 
 
outros) que governam o fluxo do conhecimento, em sua vertente explicita – 
e para isso englobam práticas da gestão da informação – e sua vertente 
tácita.” (LEITE; COSTA, 2007) 
Deste modo podemos dizer que “a gestão do conhecimento é um processo 
complexo e intimamente relacionado com processo de comunicação nas 
organizações.” (SMOLIAR, 2003; IVES et al., 1998; THEUNISSEN, 2004; apud 
LEITE; COSTA, 2007). Que de acordo com Dawson, (2000, apud BERBE, 2005), 
trata-se “de todos os aspectos relacionados com a forma como as pessoas 
desempenham funções baseadas em conhecimento”. 
 Berbe, (2005), afirma que: 
“empresas mais inovadoras, que se voltam para a Gestão do Conhecimento, 
necessitam de uma abordagem que veja a organização como uma 
comunidade humana, cujo conhecimento coletivo representa um diferencial 
competitivo em relação aos seus mais diretos concorrentes. O conhecimento 
coletivo é valorizado, criando-se redes informais de pessoas que realizam 
trabalhos diversos com pessoas que eventualmente estão dispersas em 
diferentes unidades de negócio.” 
 
Sendo assim, a gestão do conhecimento utiliza ferramentas em busca da 
inovação com o objetivo de fazer as organizações se desenvolverem. É o que explica 
Willian James (1907, apud NONAKA; TAKEUCHI, 1997, p. 31), quando diz que “ideias 
não tem valor exceto quando passam para as ações que rearrumam e reconstroem 
de alguma forma, em menor ou maior medida, o mundo no qual vivemos.” E essas 
ações serão determinadas pela gestão do conhecimento em concordância com as 
necessidades da instituição que atua. 
Wilson, (2003, p. 54), define gestão do conhecimento como habilidades de 
competência informacional, ou seja, aprender a aprender, quando afirma que o gestor 
não tem controle sobre o conhecimento. Partindo do pressuposto que o conhecimento 
tácito “é muito pessoal e difícil de ser codificado, ou seja, expresso por palavras” 
(NONAKA; TAKEUCHI, 1997). Portanto, o gestor só pode auxiliar no uso da 
informação, sua organização e disponibilização, e esperando que o usuário 
compreenda e a partir desse entendimento possa resultar em conhecimento. 
Pelo ponto de vista, Wilson (2003), está correto na sua afirmação, pois o 
conhecimento é intangível. Mas quando aplicamos gestão do conhecimento 
estaremos direcionando-a de acordo com um objetivo. E quando direcionamos as 
13 
 
 
informações para o ponto certo (equipe ou as pessoas certas), pode resultar em 
conhecimento. 
Basta pensarmos no papel dos educadores universitários.Direcionam os 
alunos quando fornecem informações que irão resultar em novo conhecimento e, 
consequentemente, será expresso nos trabalhos acadêmicos de conclusão de curso. 
Portanto, podemos entender a gestão da informação como a identificação e 
organização das informações existentes na instituição e a gestão do conhecimento 
como utilização dessas informações junto à percepção dos usuários. 
 
DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO 
 
A ABNT NBR ISO/IEC 27002 (2005), define segurança da informação como 
sendo a proteção contra vários tipos de ameaças, garantindo a continuidade e 
minimizando o risco do negócio. 
Um banco de dados pode conter informações muito valiosas para a empresa 
ou até mesmo para as pessoas. A divulgação de informações não autorizadas pode 
afetar a empresa de diversas formas, como levar a perda de clientes ou de mercado, 
ou até mesmo a ações judiciais. A segurança da informação, segundo Alves (2006, 
p. 1), “[...] visa proteger a informação de forma a garantir continuidade dos negócios, 
minimizando os danos e maximizando o retorno dos investimentos e as oportunidades 
de negócios”. 
Ainda, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança da 
informação é adquirida a partir da implantação de um conjunto de controles 
apropriados, incluindo políticas, processos, procedimentos, estruturas 
organizacionais e funções de software e hardware. Estes controles precisam ser 
estabelecidos, implantados, monitorados, analisados criticamente e melhorados, 
onde necessário, para garantir que os objetivos do negócio e de segurança da 
organização sejam atingidos. 
Conforme descrito na ABNT NBR ISO/IEC 27002 (2005), muitos sistemas de 
informação não foram projetados para serem seguros. A segurança da informação 
que pode ser obtida por meios técnicos é limitada e deve ser amparada por uma 
14 
 
 
gestão e por procedimentos adequados. A identificação de controles a serem 
implantados requer um planejamento cuidadoso e uma atenção aos detalhes. 
Segurança da informação segundo Beal (2005), é o processo de proteção da 
informação das ameaças a sua integridade, disponibilidade e confidencialidade. 
Sêmola (2003), define segurança da informação como uma área do conhecimento 
dedicada à proteção de ativos da informação contra acessos não autorizados, 
alterações indevidas ou sua indisponibilidade. 
A ABNT NBR ISO/IEC 27002:2005, em sua seção introdutória, define 
segurança da informação como “a proteção da informação de vários tipos de ameaças 
para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o 
retorno sobre os investimentos e as oportunidades de negócio”. Assim, podemos 
definir segurança da informação como a área do conhecimento que visa à proteção 
da informação das ameaças a sua integridade, disponibilidade e confidencialidade e 
autenticidade, a fim de garantir a continuidade do negócio e minimizar os riscos, 
Figura 1. 
Atualmente o conceito de segurança da informação está padronizado pela 
norma ISO/IEC 27002:2005, influenciada pelo padrão inglês (British Standard) BS 
7799. A série de normas ISO/IEC 27000, foram reservadas para tratar de padrões de 
segurança da informação, incluindo a complementação ao trabalho original do padrão 
inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 
17799:2005 para fins históricos. 
Figura 1: Pilares da Segurança da informação 
 
Fonte: ABNT NBR ISSO-IEC 27001:2006 
15 
 
 
Confidencialidade 
Para Beal (2005), a confidencialidade é a garantia de que o acesso à 
informação é restrito aos seus usuários legítimos, ou seja, quando uma informação 
representa uma vantagem de mercado, um diferencial competitivo, diz-se que a 
informação possui um valor de restrição, a ser mantido por meio de preservação de 
sua confidencialidade. 
No âmbito da administração pública federal, o decreto nº 4.553/2002 classifica 
os documentos públicos em 4 categorias sendo um deles de confidencias, que são 
aqueles que, no interesse do Poder Executivo e das partes, devem ser de 
conhecimento restrito, e cuja revelação não autorizada possa frustrar seus objetivos 
ou acarretar dano à segurança da sociedade e do estado. 
Segundo Ferreira (2003), a informação dever ser protegida, independente da 
mídia que a mesma esteja contida, como por exemplo, documentos impressos ou 
mídia digital. Que além de cuidar da informação como uma todo também deve-se 
preocupar com a proteção de partes de informação que podem ser utilizadas para 
interferir sobre o todo. Beal (2005), apresenta um exemplo de classificação da 
informação quanto aos requisitos de confidencialidade mostrado no Figura 2. 
Figura 2: Classificação da confidencialidade da informação 
 
Fonte: Beal, 2005. 
 
 
 
16 
 
 
Integridade 
Garantia da criação legítima e da consistência da informação ao longo do seu 
ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não 
autorizada de dados e informações. A integridade consiste em proteger a informação 
contra modificação sem a permissão explícita do proprietário. “Proprietário da 
informação é o executivo de negócio ou gerente de uma determinada área 
responsável pelos ativos da informação da organização.” (Ferreira, 2003, pg. 25). 
Dados e informações perdem sua integridade em tentativas de fraudes, quanto 
maior for o impacto para a organização da perda de integridade de uma informação, 
maior o investimento a ser feito em controles para prevenir, detectar e corrigir a 
produção errada ou a alteração indevida de informações. (Beal, 2005, pg. 67). 
A integridade pode ser definida como de: alta exigência de integridade, que é 
a criação com erro ou alteração indevida e assim comprometer as operações e 
objetivos da organização, acarretando em descumprimentos de leis, prazos e normas, 
levando a mesma ter prejuízos; de média exigência de integridade, onde a criação 
com erro ou alteração indevida das informações não compromete as operações nem 
traz impactos muitos grandes, apenas pode causar algum tipo de prejuízo; e de baixa 
exigência de integridade é a criação com erro ou indevida, que é facilmente detectada 
e os riscos que oferece são praticamente desprezíveis. 
Autenticidade 
Para Ferreira (2003), o serviço de autenticação em um sistema deve assegurar 
ao usuário que recebe a informação, que a mensagem é realmente procedente da 
origem informada em seu conteúdo. A verificação da autenticidade faz-se necessário 
após todo processo de identificação, seja do sistema para o usuário, do usuário para 
o sistema ou do sistema para outro sistema. 
O objetivo da autenticidade é englobado pelo de integridade, quando se 
assume que este visa garantir não só que as informações permaneçam completas e 
precisas, mais também que a informação capturada do ambiente externo tenha sua 
fidedignidade verificada e que a criada internamente seja produzida apenas por 
pessoas autorizadas e atribuída unicamente ao seu autor legítimo. 
17 
 
 
A implementação para o processo de autenticidade geralmente é 
implementado a partir de mecanismos de senhas e assinaturas digitais. Beal (2005), 
cita que a segmentação dos ativos por característica como: tipo de usuário, tipo de 
aplicação, ambiente de uso etc., permite a criação de estratégias diferenciadas de 
armazenamentos, controle de acesso, controles e recuperação de serviços, assim 
aplica os controles adequados conforme o nível de proteção requerido por cada 
segmentação. 
Disponibilidade 
Garantia de que a informação e os ativos associados estejam disponíveis para 
os usuários legítimos de forma oportuna. Beal (2005), apresenta como objetivo da 
disponibilidade, o controle de acesso que permite identificar os usuários legítimos da 
informação para então liberar o acesso solicitado. 
Quando analisado a disponibilidade é considera-se questões como: “quanto 
custa para produzir”, “quanto custa para recuperar” e quaisconsequências gera para 
a organização se a informação não está mais disponível. Conclui-se que a falta de 
informações pode afetar a organização e o que deve ser considerado é quanto tempo 
levaria para superar esse impacto. 
Desta forma a classificação das informações e a ordem de prioridade de 
recuperação em caso de indisponibilidade são muito importantes e a organização 
deve atribuir a cada categoria as informações conforme o grau de importância do ativo 
para a organização. Essa ordem de importância é expressa por Beal (2005), 
começando pelas mais importantes categoria 1 e menos importantes categoria 6, 
conforme Figura 3. 
 
 
 
 
 
 
18 
 
 
Figura 3: Categorias e tempo para disponibilidade 
 
Fonte: Beal, 2005. 
Considera-se que pode abranger as categorias 1 e 2 informações que exigem 
recuperação em um curto espaço de tempo, as quais mesmo indisponíveis em um 
curto período podem causar prejuízos inaceitáveis. Nas categorias 2, 3 e 4 cabe 
informações com exigência de recuperação em médio espaço de tempo, sendo que 
as indisponibilidades temporárias não afetam o desempenho dos processos críticos, 
porém que ao longo período de tempo pode causar atrasos ou decisões erradas. 
Categoria 5 o tempo de recuperação depende do tipo de informações, é aceitável a 
indisponibilidade variada. E a categoria 6 não possui exigência de tempo para 
recuperação, pois a perda ou indisponibilidade por períodos longos não traz 
consequências negativas consideráveis, seja pela pouca relevância da informação ou 
pela facilidade de recuperação da mesma. 
 
SISTEMA GERENCIADOR DE BANCO DE DADOS (SGBD) 
 
Como desdobramento evolutivo da tecnologia de banco de dados surge o 
sistema gerenciador de banco de dados (SGBD) ou Database Management System 
(DMS). O SGBD é uma composição de softwares responsáveis pelo gerenciamento 
do banco dados. De acordo com Alves (2009, p. 23), “um sistema de gerenciamento 
de banco de dados (SGBD) é uma coleção de ferramentas e programas que permitem 
aos usuários a criação e manutenção do próprio banco de dados”. 
Exemplos de SGBDs mais comuns são: Oracle, MySQL, PostgreSQL e SQL 
Server. Um SGBD facilita o processo de definição, construção, manipulação e 
compartilhamento do banco de dados e aplicações. Um SGBD contém, dentre suas 
19 
 
 
funções significativas, um subsistema de segurança que protege o banco de dados 
contra acessos não autorizados. 
O Administrador do Banco de Dados ou Database Administrator (DBA) utiliza 
esse subsistema para decidir quais usuários podem acessar o banco de dados e os 
tipos de operações que poderão efetuar, por exemplo: ler, atualizar, adicionar e/ou 
apagar (ELMASRI; NAVATHE, 2011). O DBA é responsável pela segurança geral de 
um sistema de banco de dados. 
 Ele é a autoridade máxima e utiliza uma conta conhecida como superusuário 
ou conta do sistema para desempenhar suas funções como, por exemplo, decidir os 
privilégios dos usuários. Segundo Ramakrishnan & Gehrke (2008, p. 18), “o DBA é 
responsável por assegurar que o acesso não autorizado aos dados não seja 
permitido. Em geral, nem todos devem ser capazes de acessar todos os dados”. 
 
AUDITORIA E SEGURANÇA DE INFORMAÇÃO E DADOS 
 
Para Neto e Solonca (2007), a crescente utilização de soluções informatizadas 
nas distintas áreas de serviços exige maior exposição dos valores e das informações, 
além de níveis de segurança adequados. O avanço da tecnologia da informação, 
migrando de um ambiente centralizado para um ambiente distribuído, interligando 
redes internas e externas, adicionada à revolução da Internet, modificou a forma de 
se fazer negócios. Isto fez com que as empresas se preocupassem mais com o 
controle de acesso às suas informações bem como a proteção dos ataques, tanto 
internos quanto externos. 
Ainda para Neto e Solonca (2007), com o advento dos computadores pessoais 
e das redes de computadores que são capazes de conectar o mundo inteiro, os 
aspectos de segurança atingiram tal complexidade que há a necessidade de 
desenvolvimento de equipes cada vez mais especializadas para a sua gerência. 
Paralelamente, os sistemas de informação também adquiriram uma suma 
importância para a sobrevivência da maioria das organizações modernas, uma vez 
que, sem computadores e redes de comunicação, a prestação de serviços de 
informação pode se tornar impraticável. Um exemplo prático da afirmação acima é 
20 
 
 
citado por Neto e Solonca (2007), dizendo que um banco não trabalha exatamente 
com dinheiro, mas com 13 informações financeiras relacionadas com valores seus e 
de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de 
determinação legal ou por se tratar de informações de natureza pessoal, que 
inspecionam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer 
danos, caso elas sejam levadas a público. 
Ainda concluem que, independente do setor da economia em que a empresa 
atue, as informações estão relacionadas com seu processo de produção e de 
negócio, políticas estratégicas, marketing, cadastro de clientes, etc. Não interessa o 
meio físico em que as informações estão armazenadas, elas são de valor incalculável 
não só para a empresa que as gerou, como também para seus concorrentes. Em 
último caso, mesmo que as informações não sejam sigilosas, na maioria das vezes 
elas estão relacionadas às atividades diárias da empresa que, sem elas, poderia ter 
complicações. 
Na visão da ISACA (2010), a auditoria de TI é responsável por fazer uma 
revisão e avaliação dos riscos do ambiente de trabalho dos sistemas de informação 
que suportam os processos de negócio. A atividade da auditoria de TI tem como 
intuito ajudar a organização por meio da identificação e avaliação de exposições ao 
risco que sejam significativas, bem como contribuir para o avanço dos mecanismos 
de gestão de risco e de controle dos sistemas de informação. 
No ponto de vista do IIA (2005), a auditoria de TI tem que aferir a capacidade 
dos controles dos sistemas de informação para resguardar a organização contra as 
ameaças mais relevantes e deve fornecer evidência de que os riscos residuais são 
pouco prováveis de causar danos significativos à organização e às suas partes 
interessadas, os stakeholders. Segundo Neto e Solonca (2007), os tipos de auditoria 
mais comuns são classificados quanto à forma de abordagem, ao órgão fiscalizador 
e à área envolvida. 
 
 
 
21 
 
 
No Figura 4, estão inseridas as classificações dos tipos de auditoria quanto a 
forma de abordagem. 
 
Fonte: Neto e Solonca (2007) 
No Figura 5, estão inseridas as classificações dos tipos de auditoria quanto a 
quanto ao órgão fiscalizador. 
 
Fonte: Neto e Solonca (2007) 
No Figura 6, estão inseridas as classificações dos tipos de auditoria quanto a 
quanto a área envolvida. 
22 
 
 
 
Fonte: Neto e Solonca (2007) 
Neto e Solonca (2007) afirmam que dependendo da área que será averiguada, 
a auditoria pode compreender todo o ambiente de informática ou a organização do 
departamento de informática. Além disso, podem considerar os controles sobre 
23 
 
 
bancos de dados, redes de comunicação e de computadores, além de controles sobre 
aplicativos. 
Desta forma, sob o entendimento dos tipos de controles identificados por Neto 
e Solonca (2007), os autores também afirmam que a auditoria pode ser separada em 
duas grandes áreas: 
 Auditoria de segurança de informações: este tipo de auditoria em 
ambientes informatizados decide a postura ou a situação da empresa em relação à 
segurança das informações. Ela avalia a política de segurança da informação e 
também os controles relacionados a aspectos de segurança e controles que 
influenciam o bom funcionamento dos sistemas da organização. Tais controles estão 
descritos a seguir: 
- Avaliação da política de segurança; 
- Controles de acesso lógico; 
- Controles de acesso físico; 
 -Controles ambientais; 
- Plano de contingência e continuidade de serviços; 
- Controles organizacionais; - Controles de mudanças; 
- Controle de operação dos sistemas; 
- Controles sobre os bancos de dados; 
- Controles sobre computadores; 
- Controles sobre ambiente cliente-servidor. 
 
 Auditoria de aplicativos: este tipo de auditoria está direcionado para a 
segurança e o controle de aplicativos específicos, incluindo aspectos que fazem parte 
da área que o aplicativo atende, como: orçamento, contabilidade, estoque, marketing, 
RH, etc. A auditoria de aplicativos compreende: 
- Controles sobre o desenvolvimento de sistemas e aplicativos; 
- Controles de entrada, processamento e saída de dados; 
- Controles sobre o conteúdo e funcionamento do aplicativo com 
relação à área por ele atendida. 
 
 
SEGURANÇA EM BANCO DE DADOS 
 
Os bancos de dados são utilizados para armazenar diversos tipos de 
informações, desde dados sobre uma conta de e-mail até dados importantes da 
Receita Federal. A segurança do banco de dados herda as mesmas dificuldades que 
24 
 
 
a segurança da informação enfrenta, que é garantir a integridade, a disponibilidade e 
a confidencialidade. Um Sistema gerenciador de banco de dados deve fornecer 
mecanismos que auxiliem nesta tarefa. 
Os bancos de dados SQL implementam mecanismos que restringem ou 
permitem acessos aos dados de acordo com papeis ou roles fornecidos pelo 
administrador. O comando GRANT concede privilégios específicos para um objeto 
(tabela, visão, seqüência, banco de dados, função, linguagem procedural, esquema 
ou espaço de tabelas) para um ou mais usuários ou grupos de usuários. 
A preocupação com a criação e manutenção de ambientes seguros se tornou 
a ocupação principal de administradores de redes, de sistemas operacionais e de 
bancos de dados. Pesquisas mostram que a maioria dos ataques, roubos de 
informações e acessos não- autorizados são feitos por pessoas que pertencentes à 
organização alvo. 
Por esse motivo, esses profissionais se esforçam tanto para criar e usar 
artifícios com a finalidade de eliminar os acessos não-autorizados ou diminuir as 
chances de sucesso das tentativas de invasão (internas ou externas). Os controles 
de acesso em sistemas de informação devem certificar que todos os acessos diretos 
ao sistema ocorramexclusivamente de acordo com as modalidades e as regras pré-
estabelecidas, e observadas por políticas de proteção. 
De modo geral, os mecanismos de segurança referem-se às regras impostas 
pelo subsistema de segurança do SGBD, que verifica todas as solicitações de acesso, 
comparando-as com as restrições de segurança armazenadas no catálogo do 
sistema. Entretanto existem brechas no sistema e ameaças externas que podem 
resultar em um servidor de banco de dados comprometido ou na possibilidade de 
destruição ou no roubo de dados confidenciais. 
As ameaças aos bancos de dados podem resultar na perda ou degradação de 
alguns ou de todos os objetivos de segurança aceitos, são eles: integridade, 
disponibilidade, confidencialidade. A integridade do banco de dados se refere ao 
requisito de que a informação seja protegida contra modificação imprópria. 
A disponibilidade do banco de dados refere-se a tornar os objetos disponíveis 
a um usuário ou a um programa ao qual eles têm um direito legitimo. A 
25 
 
 
confidencialidade do banco de dados se refere à proteção dos dados contra a 
exposição não autorizada. O impacto da exposição não autorizada de informações 
confidenciais pode resultar em perda de confiança pública, constrangimento ou ação 
legal contra a organização. 
Abaixo segue os três (3) princípios da segurança da informação, explicando 
assim seus conceitos correspondentes. 
Controle de redundância 
A redundância é caracterizada por conter uma informação de forma duplicada. 
O controle de redundância por sua vez, não permite inserir dois registros com a 
mesma chave primária ou excluir algum registro que esteja relacionado com outras 
tabelas, para que assim não haja inconsistência de dados. Mas para isso, o SGBD 
(Sistema Gerenciador de Banco de Dados) deve oferecer este recurso. 
Controle de concorrência 
Quando transações SQL são executadas concorrentemente, ou seja, ao 
mesmo tempo, pode se haver uma violação na consistência da base de dados, 
mesmo que cada operação tenha sido feita individualmente correta. 
Hoje, os sistemas desenvolvidos utilizam-se da multiprogramação “que permite 
a execução de transações visando o compartilhamento do processador” (AZEVEDO, 
CASTRO e SERRÃO, s.d., s.p.). Por isso, existe a necessidade de controlar a 
interação dessas transações, através do controle de concorrência, por meio de 
mecanismos especializados. 
Restrições de integridade 
As restrições de integridade servem exatamente para evitar danos acidentais 
em um Banco de Dados, garantindo assim que alterações realizadas por usuários 
autorizados não resultem na inconsistência de dados. Outra utilização é assegurar 
que um valor que está em uma relação de um conjunto de atributos também esteja 
para certo conjunto de atributos em outra relação. 
26 
 
 
 
APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA 
INFORMAÇÃO E DOS DADOS 
 
A gestão de dados é o planejamento, desenvolvimento e execução de políticas 
e procedimentos de segurança para proporcionar a devida autenticação, autorização 
e acesso nos ativos de dados e informações (Seções da ISO IEC 27002). Seu objetivo 
é proteger os ativos de Informação em alinhamento com as regulamentações de 
privacidade e confidencialidade e requisitos do negócio. Em uma organização existem 
muitas fontes de informações que não ficam à disposição da gerência para tomadas 
de decisões, fazendo-se necessário a aplicação dos processos de auditorias da 
Informação, e para ORNA (1990) entre essas fontes estão: 
• Registros de clientes; 
• Informação sobre fornecedores; 
• Informações sobre orçamentos operacionais; 
• Resultados financeiros; 
 Relatórios de operações externas; 
• Informação dos concorrentes: como eles estão fazendo 
financeiramente, o que eles estão produzindo; 
• A informação que a própria empresa produz, para o mundo exterior, e 
para o público interno; 
• Informações sobre seu mercado, seu público-alvo ou de seus clientes; 
• Informações sobre áreas de importância, por exemplo: a produção ou 
indústria de serviço que pertence o sistema de educação, ciência e tecnologia; 
processos, materiais, instalações ou equipamentos; 
• Informações sobre o ambiente em que opera: a economia, 
regulamentos comunitários governamentais, legislação, etc. 
 
E é justamente por existir muitas fontes de informações que a organização 
deve atentar-se para a sua segurança, pois há uma exposição maior quando é 
realizado um processo de auditoria da informação. Para o Guia DAMA-DMBOK 
(2012), gestão de qualidades de dados é sinônimo de qualidade da informação e 
27 
 
 
considera que a falta de qualidade nos dados resulta em informação imprecisa e um 
desempenho fraco de negócio. 
Desta forma faz-se necessário ter qualidade para prover uma solução 
econômica e melhorar a qualidade e integridade dos dados. Para a efetiva realização 
da segurança da informação na organização, são utilizados vários métodos como 
controles, políticas, processos e procedimentos, geralmente definidos por uma 
política de segurança da Informação Baars et al.,(2009). 
Atualmente as organizações entendem que segurança não está mais apenas 
nos limites da tecnologia, mais atinge todo o ambiente corporativo, principalmente o 
fator humano. E as organizações muitas vezes por insegurança em expor as 
informações existentes, dificultam a realização das auditorias, conforme aponta Orna 
no livro “Practical Information Polices” (1990), muitas empresas desnecessariamente 
dificultam seu trabalho, não deixando que informações externas sejam mostradas 
internamente e vice versa. Johnson (2012),em sua pesquisa apresenta as iniciativas 
de segurança da informação presente nas organizações e o nível de maturidade dos 
mesmos, baseado no modelo de maturidade genérico proposto pelo Capability 
Maturity Model Integration (CMMI) e as atividades definidas para cada processo. 
TIPOS DE SEGURANÇA 
 
A segurança em banco de dados refere-se a um assunto bem extenso, que 
envolve algumas questões: 
 Questões legais e éticas referentes ao acesso a certas informações, em 
que são classificadas como privadas, e só podem ser acessadas por 
pessoas autorizadas. 
 Questões do sistema, por exemplo, se as funções de segurança devem 
ser implementadas no nível de hardware, nível de sistema ou no nível 
de SGBD. Onde existem também classificações da importância dos 
dados - altamente secreto, secreto, não secreto. 
Existem ameaças aos bancos de dados que resultam na perda dos seguintes 
itens: integridade, disponibilidade e confiabilidade. No entendimento de Elmasri e 
Navathe (2006) a integridade do banco refere-se à exigência que a informação esteja 
28 
 
 
assegurada de modificações impróprias, incluindo a criação, a inclusão, a alteração 
e a exclusão. Caso ocorra a perda da integridade dos dados e não for corrigida, 
podem causar imprecisão, acarretando em tomadas de decisões equivocadas. 
Já a confiabilidade está ligada à proteção dos dados, algo importantíssimo, já 
que a exposição de certas informações pode ter como consequências o 
constrangimento dos envolvidos, a perda da confiança ou numa ação contra a 
instituição. 
Neste contexto, para proteger o banco de dados contra essas ameaças, o 
SBGD deve oferecer mecanismos que restrinja certos usuários ou grupos de 
acessarem partes específicas de um banco de dados. Tudo isso é de grande 
importância quando se refere a um grande volume de dados acessadospor muitos 
usuários diferentes de uma organização. Atualmente são utilizados dois tipos de 
mecanismos de segurança, são eles: 
 Mecanismos de acesso discricionário: utilizados para conceder 
privilégios a usuários (leitura, inclusão, exclusão e atualização). 
 Mecanismos de acesso obrigatório: implementados para estabelecer 
níveis de acesso classificando os dados e os usuários, baseando-se no 
conceito de papéis e conforme as políticas de segurança da empresa. 
 
 
 
 
 
 
 
 
 
 
29 
 
 
 
REFERENCIAS 
 
ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27002, 
Tecnologia da informação – Técnicas de segurança – Código de prática para a 
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 
 
ABNT, Associação Brasileira De Normas e Técnicas NBR ISO/IEC 17799. 
Tecnologia da informação - Técnicas de segurança - Código de prática para a 
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 
 
ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27005. 
Tecnologia da informação – Técnicas de segurança – Gestão de riscos de 
segurança da informação. Rio de Janeiro: ABNT, 2008. 
 
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 
27002:2005 Tecnologia da informação – código de prática para gestão da 
Segurança da Informação. Rio de Janeiro, 2005. 
 
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 
27001: Tecnologia da informação – Técnicas de segurança — Sistemas de gestão 
de segurança da informação — Requisitos. Rio de Janeiro, 2006. 
 
 
 ALVES, Fernando; PWC. Virando o jogo. novembro de 2015 AMARAL, L. e 
Varajão, J. Planeamento de Sistemas de Informação. 4ª edição; Lisboa: Editora 
FCA, 2007. 
 
ALVES, Gustavo A. Segurança da informação: uma visão inovadora da gestão. 
Rio de Janeiro: Ciência Moderna, 2006. 
 
ALVES, William P. Banco de dados: teoria e desenvolvimento. 1. ed. São Paulo: 
Érica, 2009. 
 
 ANATEL, Agência Nacional de telecomunicações. outubro de 2015. B 
 
ARUQUE, Lúcia Blondet; SANTOS, Luis Claudio dos. Governança em Tecnologia 
da Informação. Rio de Janeiro: Fundação CECIERJ, 2010. 
 
AZEVEDO, Arthur Henrique; CASTRO, Edkarla Andrade de; SERRÃO, Paulo 
Roberto de Lima. Segurança em banco de dados, s.d. Disponível em: acesso em: 
15 abr. 2014. 
 
 AUMATELL, S. I. Cristina. La auditoría de la información, componente clave de 
la gestión estratégica de la información. En: El profesional de la información, 
2003, jul.-agosto, v.12,n.4 pp.261-268. 
 
30 
 
 
BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. The Basis of 
information Security – A Pratical Handbook. Newton Translations, the Netherlands, 
2009. 
 
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para 
a proteção dos ativos de informação nas organizações – São Paulo: Atlas, 
2005. 
 
BOTHA, H.; BOON, J. A. The information audit: principles and guidelines. Libri, 
Pretoria, v. 53, p. 23-38, 2003. 
 
CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2ª edição; Lisboa: 
Editora FCA, 2004. 
 
CEDROM –SNI. The strategic information audit: a powerful tool to prevent 
chaos. 2006. 21 slides, color. Disponível em: . Acesso em: 07 dez. 2012. 
 
CROCKETT, M,; FOSTER,J. Using ISO 15489 as an audit tool. The information 
Management Journal, p. 46-53, 2004. 
 
DANTE, G. P. Gestión de Información em las organizaciones: princípios, 
conceptos y aplicaciones. Santiago. 1998. ESPIRITO SANTO, A. F. S. Segurança 
da Informação. Disponível em: < 
http://www.ice.edu.br/TNX/encontrocomputacao/artigosinternos/aluno_adrielle_ferna
nda_seguranca_da_informacao.pdf>. Acesso em 21/01/2013. 
 
DATE, Christopher J. Introdução a sistemas de banco de dados. 8. ed. Rio de 
Janeiro: Elsevier, 2003. 
 
ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de banco de dados. 6. ed. 
São Paulo: Pearson, 2011. 
 
EDGAR, R. P. D’Andrea; PWC. Virando o jogo. em novembro de 2015 
 
ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de banco de dados. 4 ed. 
São Paulo: Pearson Addison Wesley, 2006. 527p. 
 
FILHO, Clóvis Luiz de Amorim; CAVALCANTI, Paulo Diego de Oliveira Bezerra e 
FILHO, Marcello Benigno de Barros Borges, SQL Injection em ambientes Web. 
Disponível em: < http://www.devmedia.com.br/sql-injection-em-
ambientesweb/9733#ixzz32CidD8Xc > acesso em: 19 maio 2019. 
 
FERREIRA, Fernando N. F. Segurança da informação. Rio de Janeiro: Ciência 
Moderna, 2003. p.161. 
 
FERREIRA, Fernando N. F. ARAUJO, M.T. Política de segurança da informação: 
Guia prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência 
Moderna, 2006. p.177. 
 
31 
 
 
FREITAS, F; ARAUJO, M. POLITICAS DE SEGURANÇA DA INFORMAÇÃO: Guia 
prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna 
LTDA, 2008 
 
HENCZEL, S. The information audit as a first step towards effective knowledge 
management: an opportunity for special librarians. 
 
HOTEK, Mike. SQL Server 2008: passo a passo. Porto Alegre: Bookman, 2010. 
287 p. 
 
INSPEL, Potsdam, v. 34, n.3/4, p.210 -226, 2000. 35 HITCHINGS, J. Deficiencies 
of the traditional approach to information security and the requirements for a 
new methodology. Computers & Security, v. 14, n. 5, p. 377–383, Maio 1995. 
 
IMONIANA, J. O. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005. 
p.197. 
 
IIA - The Institute of Internal Auditors, Global Technology Audit Guide: Information 
Technology Controls. Florida: Inc. 2005. 
 
ISACA, Information Systems Audit and Control Association. ISACA Introduces 
Portuguese Edition of COBIT 4.1 (Portuguese). setembro de 2015. 
 
INTEL, security; MCAFEE. Relatório do McAfee Labs sobre ameaças. Intel 
Security; Mcafee, 2015. 
 
JOHNSON, L. Proposta de uma estrutura de análise de maturidade dos 
processos de Segurança da informação com base na norma ABNT NBR 
ISO/IEC 27002:2005. 55 f. Dissertação (Mestrado em Gestão e Tecnologia da 
Informação) – Setor Ciências Sociais Aplicados, Universidade Federal do Paraná, 
Curitiba, 2012. 
 
JONES, S.; ROSS, S.; RUUSALEPP, R. Data Audit Framework Methodology: 
draft for discussion. Version 1.8. Glasgow, May 2009. Disponível em: Acessoem; 
07 jan, 2013. 
 
LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de informações gerenciais. 7. 
ed., São Paulo: Pearson, 2007. 
 
MACHADO, Felipe N. R. Banco de Dados: projeto e implementação. 2. ed. São 
Paulo: Érica, 2008. 
 
MICROSOFT. O que é malware?. novembro de 2015. 
 
MCFORLAND, Charles. Hackers Contra o Sistema Operacional Humano | 
Resumo Executivo. Intel Security; Mcafee, 2015. 
 
MOSLEY, M.(Org.); BRACKETT, M.(Org.); EARLEY, S.(Org.). Guia da DAMA para 
o corpo de conhecimento em gestão de dados DAMA-DMBOK. Primeira Edição. 
Technics Publications. U.S.A. 2012. 
32 
 
 
 
MACÊDO, Diego. Conceitos sobre Segurança em Banco de Dados, 2011. 
Disponível em: acesso em: 14 abr. 2019. 
 
MEDEIROS, Marcelo. Banco de dados para sistemas de informação. 
Florianópolis: Visual Books, 2006. 116 p. 
 
NETTO, A. da S.; SILVEIRA, M. A. P. Gestão da segurança da informação: 
fatores que influenciam sua adoção em pequenas e médias empresas. Revista de 
Gestão da Tecnologia e Sistemas de Informação. Vol. 4, No. 3, 2007, p. 375-397. 
Controle Interno e Auditoria Governamental: Controladoria-Geral do Estado – CGE. 
Curso Básico de Controle Interno e Auditoria Governamental. Minas Gerais, 2012. 
 
NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de Sistemas Informatizados. 3ª 
edição; Palhoça: Unisul Virtual, 2007. 
 
 
PURPURA, Philip P. Security and Loss Prevention: An Introduction. 5ª edição; 
Boston: Elsevier Butterworth-Heinemann, 2008. 
 
SINGLETON, Tommie W. Como o auditor de TI pode fazer contribuições 
substantivas para uma auditoria financeira. 2011. 
 
RAMAKRISHNAN, Raghu; GEHRKE, Johannes. Sistemas de gerenciamento de 
banco de dados. 3. ed. São Paulo: McGraw-Hill, 2008. 
 
ROHR, Altieres. Como um hacker invade o computador?. Novembro de 2015 
 
RIBEIRO, Leandro, A importância do Backup na administração de sistemas. 
2009. Disponível em: < http://imasters.com.br/artigo/11174/linux/a-importancia-
dobackup-na-administracao-de-sistemas/> acesso em: 16 abr. 2019. 
 
ROCHA, Luciano Roberto, Concessão e revogação de Privilégios. Disponível em: 
acesso em: 15 abr. 2019. 
 
SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida 
digital – Rio de Janeiro: Campus, 2001. 
 
 
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva – 
Rio de Janeiro: Campus, 2003. 
 
TCU, Boas Práticas em Segurança da Informação. 4. ed. Brasília: TCU, 2012. 39 
 
VIEIRA, A. A. Auditoria de Informação: Fluxos de Informação e coleta de 
dados. 49 f. Trabalho de graduação (Bacharel em Gestão da Informação) – Setor 
Ciências Sociais Aplicadas, Universidade Federal do Paraná, Curitiba, 2010. 
 
VITOR, Joaquim & MORAES, Márcio Lucena & COSTA, Rafaello. Visão geral de 
Segurança em Bancos de Dados, s.d. Disponível em: acesso em: 14 abr. 2019. 
33