Ebook_Segurança_Informacao

Prévia do material em texto

SEGURANÇA DA INFORMAÇÃO
Mateus Buogo
SUMÁRIO
Esta é uma obra coletiva organizada por iniciativa e direção do CENTRO SU-
PERIOR DE TECNOLOGIA TECBRASIL LTDA – Faculdades Ftec que, na for-
ma do art. 5º, VIII, h, da Lei nº 9.610/98, a publica sob sua marca e detém os 
direitos de exploração comercial e todos os demais previstos em contrato. É 
proibida a reprodução parcial ou integral sem autorização expressa e escrita.
CENTRO UNIVERSITÁRIO UNIFTEC
Rua Gustavo Ramos Sehbe n.º 107. Caxias do Sul/ RS 
REITOR
Claudino José Meneguzzi Júnior
PRÓ-REITORA ACADÊMICA
Débora Frizzo
PRÓ-REITOR ADMINISTRATIVO
Altair Ruzzarin
DIRETORA DE EDUCAÇÃO A DISTÂNCIA (EAD)
Rafael Giovanella
Desenvolvido pela equipe de Criações para o ensino a distância (CREAD)
Coordenadora e Designer Instrucional 
Sabrina Maciel
Diagramação, Ilustração e Alteração de Imagem
Igor Zattera, Júlia Oliveira, Thais Munhoz
Revisora
Luana dos Reis
SEGURANÇA DA INFORMAÇÃO 4
INFORMAÇÃO 5
SEGURANÇA DA INFORMAÇÃO 6
FACES DA SEGURANÇA DA INFORMAÇÃO 7
PILARES DA SEGURANÇA DA INFORMAÇÃO 8
ANÁLISE DE RISCOS 12
ACEITAÇÃO DE RISCO E RISCO RESIDUAL 14
VULNERABILIDADES 15
AMEAÇAS 16
RISCO 17
MATRIZ DE RISCOS 18
PLANO DE CONTINGÊNCIA 25
ISO 27001 32
SGSI – SISTEMA DE GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO 34
ANEXO A - ISO27002 36
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 40
SEGURANÇA FÍSICA E DO AMBIENTE 47
ANÉIS DE PROTEÇÃO 49
PROTEÇÃO DE EQUIPAMENTOS 51
GESTÃO DE OPERAÇÕES E COMUNICAÇÃO 55
GESTÃO DE MUDANÇAS 56
GESTÃO DA CAPACIDADE 58
BACKUP 60
CONTROLES ESPECÍFICOS 60
OUTROS CONTROLES 63
RECURSOS HUMANOS 64
AQUISIÇÃO E DESENVOLVIMENTO DE SISTEMAS 65
GESTÃO DE ATIVOS 67
DECLARAÇÃO DE APLICABILIDADE 70
ENGENHARIA SOCIAL 79
SEGURANÇA OFENSIVA 86
RECONHECIMENTO 91
VARREDURA 93
GANHO DE ACESSO 94
MANTENDO O ACESSO 96
OUTROS TIPOS DE ATAQUES 97
CRIPTOGRAFIA E FERRAMENTAS DE PROTEÇÃO 101
CRIPTOGRAFIA SIMÉTRICA 103
CRIPTOGRAFIA ASSIMÉTRICA 104
HASH 105
CERTIFICADO DIGITAL 106
FIREWALL 107
WAF 108
IPS 108
CASB 108
PAM 109
ANTIVÍRUS E ANTISPAM 110
3ADMINISTRAÇÃO FINANCEIRA II
APRESENTAÇÃO
Olá! Seja bem-vindo à disciplina de Segurança da informação.
Diariamente, estamos ouvindo notícias sobre invasão de dispositivos e sites, juntamente com vazamento de informações. A 
informação deixou de ser apenas “informação”, ela representa a inteligência competitiva das empresas, sendo o ativo mais im-
portante!
Nos deparamos com uma situação crítica. Temos um ativo muito importante para as empresas e que está sob constante ame-
aça, gerando uma lacuna enorme de técnicas de proteção da informação. É nessa lacuna que os profissionais de segurança da in-
formação atuam.
O principal objetivo da Segurança da Informação, em linhas gerais, é proteger a informação contra todas as ameaças que pos-
sam comprometer ela. Vocês podem se perguntar: “Como podemos proteger um ativo tão importante?”. A resposta não é simples. 
Vamos mergulhar nesse oceano que é a Segurança da Informação e desvendar todos os seus segredos, ou pelo menos quase 
todos! Sejam bem-vindos!
4
SEGURANÇA DA 
INFORMAÇÃO
Você sabe o que é Segurança da informação? 
Vamos embarcar nesse oceano de infinitas possibilidades ?!
valde
Realce
5SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Na minha primeira aula 
ministrada de segurança da 
informação eu me fiz uma 
pergunta importante: “o que 
é segurança da informação?". 
Confesso que não consegui 
uma resposta clara, naque-
le momento, do que era se-
gurança da informação. Per-
cebi que demoraria alguns 
encontros com os alunos até 
conseguir expressar tudo o 
que esse termo significa. Se-
gurança da informação é algo 
muito abrangente, se utili-
zássemos uma definição pa-
drão, deixaríamos algo a ser 
descoberto. Vamos montar 
uma linha de raciocínio para 
construir um conceito de se-
gurança da informação?
Antes, vamos 
entender o que é 
INFORMAÇÃO.
INFORMAÇÃO 
Primeiro termo que temos que deixar claro em nossas mentes é o 
significado de informação. Em uma pesquisa rápida no Google, achei a 
seguinte definição: “Informação é a resultante do processamento, mani-
pulação e organização de dados, de tal forma que represente uma modifi-
cação (quantitativa ou qualitativa) no conhecimento do sistema (huma-
no, animal ou máquina) que a recebe”.
Essa definição é totalmente técnica, correta e faz sentido, porém, 
isso me deixa um pouco insatisfeito. Será que esse é o único significado 
de informação?
Seguindo os estudos, trago uma citação de Sêmola (2003), onde o 
autor defende que a informação representa a inteligência competitiva dos 
negócios das organizações. Percebam que o conceito de informação des-
te caso é muito mais robusto e de maior importância. Podemos ponderar 
que a informação é vital à alavancagem dos negócios das empresas, uma 
vez que ela fomenta a inteligência de negócio.
Em 1995, outros autores, Freitas e Kladis, já advogavam que a im-
portância da informação aumenta a todo instante nas organizações. Essa 
citação é muito antiga, foi feita no ano de 1995 e podemos perceber que 
ela ainda está atualizada. A informação é um pilar importante nas empre-
sas.
A informação fundamental para o desenvolvimento das estratégicas 
empresárias, conforme Brito, Antonialli e Santo, que em 1997 afirmaram 
que a informação contribui ativamente para a construção do planejamen-
to estratégico das empresas. Novamente, temos uma citação antiga e que 
ainda pode ser utilizada.
Em suma, a informação é um ativo intangível e de valor único nas 
empresas. Por ser um ativo intangível, ela faz parte dos 75% de valor que 
uma organização possui. A informação é de valor inestimável e serve como 
pilar da manutenção da cadeia de valor das empresas.
Quando pensamos em informação, temos que levar em considera-
ção toda sua importância na manutenção dos processos das organizações 
e seu valor incalculável. Vamos usar, como exemplo, a Coca-cola. A maior 
riqueza dela não são as suas fábricas. A maior riqueza da Coca-cola é a in-
formação e o conhecimento de sua fórmula, utilizada na preparação dos 
refrigerantes. Entenderam o que é, realmente, informação?
valde
Sublinhado
valde
Sublinhado
valde
Sublinhado
valde
Realce
6SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
SEGURANÇA DA INFORMAÇÃO
Agora que já temos um conceito formado sobre o que é informação, precisamos avançar 
no conceito de Segurança da informação. Assim como todo ativo, a informação está suscetível 
a riscos. Esses riscos podem comprometer a informação de alguma forma. Quando estamos 
falando em comprometer a informação, estamos, na realidade, falando em comprometer o 
negócio de uma empresa!
Creio que já está claro que informação é a sustentação do negócio, portanto, caso a infor-
mação sofra inferência de algum risco, comprometeremos o negócio da empresa. A segurança 
da informação surgiu para proteger o negócio das empresas. Essa correlação é algo importan-
te para nossa linha de estudos. Como falei, a segurança da informação é muito abrangente e 
pode ter várias vertentes de estudos e abordagem.
Nesta matéria, estudaremos a Segurança da informação como aliada do negócio das em-
presas, a fim de proteger o ativo mais importante, chamado de sociedade da informação.
O que é Segurança da informação? Após anos de estudos, lendo o conceito de vários au-
tores, posso concluir que a palavra que melhor define segurança da informação é “Proteção”. 
Praticamente, todos os autores que pesquisei, podendo citar Dias (2004), ISO27001 (2013), 
Ministério da Defesa(2007), definiram a segurança da informação como a proteção das infor-
mações.
Vocês podem estar se perguntando: “Mateus, esse conceito é muito abrangente tam-
bém, não é algo muito definido?”. Vou trazer um conceito um pouco mais técnico, para tentar 
elucidar essa temática:
“Segurança da informação tem o objetivo de salvaguardar as informações para que não 
sejam manipuladas de forma indevida, mitigando ao máximo os riscos que podem compro-
meter as informações”. 
Eu seique é um conceito muito abrangente, mas ao longo dessa matéria vamos desven-
dar as técnicas utilizadas para que haja segurança da informação nas empresas. Nosso foco 
será em processos e como podemos melhorá-los para que a segurança seja um organismo 
vivo nas organizações.
A segurança da informação possuiu, pelo menos, 2 linhas de pesquisas macros, no meu 
ponto de vista. Temos a segurança da informação processual, onde abordamos melhorias de 
processos, normais, políticas e controles. E outra linha de pesquisa mais técnica, onde temos 
os pentestes e a forense computacional. Vamos nos aprofundar muito na segurança proces-
sual e teremos uma ideia básica da segurança mais técnica.
O sucesso da implementação de segurança da informação, em um ambiente, está cor-
relacionado com o comprometimento dos stakeholders e da alta-administração. A segurança 
sempre deve ser em uma abordagem TOP-DOWN e nunca BUTTON-UP, ou seja, a diretoria 
valde
Realce
valde
Realce
valde
Sublinhado
valde
Sublinhado
valde
Realce
valde
Sublinhado
valde
Sublinhado
valde
Realce
7SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
deve comprar essa ideia, pois somente eles possuem poder político para sancionar 
normais internas e impor o cumprimento das políticas criadas.
Eu sei que são muitas informações soltas neste momento, mas ao longo do 
nosso curso, revisitaremos cada um dos conceitos. Agora, precisamos abrir nossa 
mente para muitos conceitos novos e para uma visão sistêmica de segurança.
FACES DA SEGURANÇA DA INFORMAÇÃO
Uma abordagem muito interessante é dividir a segurança em 3 faces, ou em 3 tópicos distintos. 
Temos a segurança operacional, física e lógica. Muito importante aprendermos essa divisão, pois são 
os 3 grandes grupos onde a segurança da informação se inclui. 
A segurança operacional é atrelada a processos. O nome já é autoexplicativo. Quando tratamos 
de operação, estamos falando em processos padrões das empresas. A segurança deve permear todos os 
processos e atuar na melhoria deles, a fim de encontrar brechas que precisam ser corrigidas para que 
não haja perda ou vazamento de informações. Para aplicar segurança na parte operacional, nós traba-
lhamos com normas dentro de uma política corporativa de segurança da informação.
O segundo ponto é a segurança física. O foco da segurança física é a proteção dos meios físicos 
onde a informação está localizada. Podemos elencar aqui desde a portaria de acesso à empresa até o 
controle de temperatura de um data center. Para conseguirmos garantir segurança física, nós trabalha-
mos com controles, que monitoram esses ambientes.
Por fim, temos a segurança lógica. Nesta linha de estudo, temos todas as ferramentas de seguran-
ça como firewalls, antivírus e até mesmo pentest e análise de vulnerabilidades. Tão importantes quanto 
as outras duas abordagens, a lógica representa 50% de toda proteção da informação em uma empresa.
Focaremos, profundamente, nas face operacional e física, como objeto de estudo, pois a face ló-
gica demanda um estudo muito aprofundado e deve ser abordado com foco individual. 
valde
Realce
valde
Realce
valde
Realce
valde
Realce
8SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
PILARES DA SEGURANÇA DA INFORMAÇÃO
A segurança da informação é um tema complexo, como já podemos perceber. Dentro 
dessa complexibilidade, é necessário que haja algumas diretrizes para que possamos ter uma 
direção de como garantir a segurança. Neste cenário, surgem os 3 pilares de segurança da in-
formação: integridade; confidencialidade; disponibilidade. Alguns autores defendem outros 
pilares, mas todos concordam nesses 3.
O Pilar de Integridade tem como objetivo garantir que as informações estejam 
íntegras quando forem utilizadas, ou seja, elas necessitam estar legíveis e também com suas 
caracte-rísticas originais mantidas, sem alterações de conteúdo.
A confidencialidade soma-se à integridade quando garante que somente pessoas au-
torizadas acessem a informação. O pilar de confidencialidade limita o acesso à informação 
de pessoas que não são autorizadas a manipulá-la. Pilar muito importante para proteção de 
acesso a dados sensíveis e confidenciais.
Fechando essa tríade, temos a disponibilidade. O foco desse pilar é manter a informação 
o maior tempo disponível, garantindo que, quando a informação for requisitada pelo indiví-
duo, ela esteja pronta e disponível para ser utilizada.
Todas as atividades referentes à segurança da informação devem ser focadas em aten-
der um ou mais desses pilares. Eles são a base do conceito de segurança e nos auxiliam no 
processo de implementação dos controles e políticas.
Vamos utilizar alguns exemplos de forma mais prática, para entender cada um dos pila-
res. Iniciando pelo pilar de integridade. Para garantir a integridade da informação, podemos 
utilizar algumas técnicas que nos garantem que ela esteja íntegra. Por exemplo, em um banco 
de dados. Um SGDB (Sistema de Gerenciamento de Banco de Dados), possui mecanismos de 
controle para gravar as informações, para que não estejam corrompidas quando gravadas nas 
tabelas.
Outro exemplo de integridade, são as funções de HASH, que estudaremos no decorrer 
do ebook. Elas garantem que a informação não tenha alterações de estrutura durante um pro-
cesso de manipulação ou envio. Um hash alterado no destino, diferente do hash de origem, 
caracteriza uma perda de integridade da informação. Qualquer técnica que garanta a integri-
dade para o arquivo, estará atrelada a esse pilar.
Para a confidencialidade, temos o exemplo dos controles de acesso aos sistemas e in-
formações que procuram validar quem está requerendo acesso a informações. O acesso a sua 
conta bancária é um ótimo exemplo. O aplicativo do banco exige um cadastro de usuário e se-
nha, juntamente com um segundo fator de autenticação, para validar se quem está acessando 
a sua conta é você mesmo. 
valde
Realce
valde
Sublinhado
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
9SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Dentro de um sistema empresarial, temos também os perfis de acesso que concedem ou 
bloqueiam acesso a determinadas informações. Esses são exemplos atrativos do pilar de con-
fidencialidade. Em suma, toda técnica que permite uma validação de quem está acessando, 
pode ser considerada uma ação focada em confidencialidade.
Fechando essa pirâmide, temos a disponibilidade. Considero esse pilar focado forte-
mente com questões de ambiente e infraestrutura. As informações ficam abrigadas, quando 
em formato digital, por exemplo, em servidores. Quando utilizamos técnicas para garantir 
que os servidores permaneçam em operação o maior tempo possível, estamos focados no pi-
lar de disponibilidade. Neste contexto, falaremos muito sobre planos de contingência e aná-
lise de riscos, onde faremos um link com esse assunto. 
É importante mantermos o foco nos investimentos dos pilares. Às vezes, dedicaremos 
maiores esforços e investimentos para atender uma demanda que fortalecerá muito mais um 
pilar do que outro, isso é normal, porém, temos um ponto de atenção. Investir somente em 
um dos pilares e deixar os outros descobertos não adianta! Tudo deve ser balanceado. 
A balança de investimento deve ser bastante equilibrada. Não adianta termos um am-
biente com um alto índice de disponibilidade, se a informação é entregue e corrompida, ou 
sem um controle de acesso que valide se realmente o indivíduo pode ter acesso àquela infor-
mação. Da mesma forma, um investimento deliberado e demasiado em confidencialidade, 
poderá comprometer todos os processos diários de acesso às informações. Como se utiliza 
senha biométrica e reconhecimento facial com segundo fator de autenticação. Temos que ter 
em mente que a segurança da informação não pode impactar negativamente nos processos, 
mas sim auxiliar o negócio a crescer, protegendo os dados sensíveis e as informações estra-
tégicas.
Durante as aulas, nós realizaremos ligações sobre oque estamos aprendendo, junta-
mente com os 3 pilares de segurança da informação, pois basicamente todos os esforços rea-
lizados são para a manutenção desses pilares de segurança.
valde
Sublinhado
valde
Sublinhado
10GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre os conceitos de segurança da informação e qual a importância da segurança para o negócio das 
empresas. Vimos a tríade dos pilares de segurança que sustentam todas as ações voltadas para esse tema.
11GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. Quais os 3 pilares de segurança da informação?
2. Quais as 3 faces da segurança da informação?
3. O que acontece se investirmos de forma demasiada em somente um pilar?
4. A face de segurança física está focada em quais ativos de segurança?
5. A face de segurança operacional é focada em quê?
12
ANÁLISE DE RISCOS
Você já fez sua análise de riscos hoje? Vamos entender um pouco mais sobre 
esse assunto tão importante para segurança da informação!
valde
Realce
13SEGURANÇA DA INFORMAÇÃO
 SUMÁRIOUma das principais atividades 
em um processo de implementação 
de segurança da informação é uma 
análise de riscos bem elaborada. Sa-
bemos que a informação é um ativo 
intangível e de valor inestimável e, 
portanto, deve ser protegida dentro 
das organizações e da sociedade. 
Implicamos em um grande desafio 
de mapear os principais riscos aos 
quais esse ativo está exposto.
Uma premissa básica na aná-
lise de risco é que o risco jamais é 
eliminado totalmente. Vou até afir-
mar novamente: nenhum risco é 
totalmente eliminado. Mitiga-se o 
risco ao máximo que é possível para 
evitar que ele aconteça e compro-
meta a segurança da informação. 
Mateus, como assim? Até quando 
temos que mitigar um risco? Quan-
do paramos de investir esforços na 
mitigação dos riscos?
Pois bem, eu costumo falar que o risco deve ser mitigado até o ponto que o valor do sinistro seja menor do que o valor dispensado para mi-
tigá-lo, ou se não fizer sentido algum colocar mais controles. Primeiramente, responda essa pergunta para você mesmo: “você atravessa a rua 
sem olhar para os 2 lados?”. Normalmente, olhamos para os 2 lados da rua para ver se algum automóvel está vindo em nossa direção. Caso algum 
automóvel esteja vindo, nós esperamos ele passar, para depois atravessar a rua ou utilizados uma passarela ou faixa de pedestres para cruzar a 
rua em segurança.
Quando paramos diante da rua, nosso inconsciente já sabe que temos que olhar se algum automóvel está se deslocando em nossa direção. 
Rapidamente, nós pensamos: “se eu atravessar a rua com o carro vindo em minha direção, a probabilidade de eu sofrer um acidente e me machu-
car é maior do que se eu esperar o carro passar.” Isso é um exemplo de análise de riscos. Você avalia o que pode acontecer e toma uma ação para 
mitigar o risco, que, neste caso, é esperar o automóvel passar.
Neste mesmo exemplo, agora com uma visão mais ampla. Como podemos diminuir ainda mais o risco de acidentes na via? Mesmo olhando 
para os 2 lados antes de atravessar, algum automóvel pode vir em grande velocidade e causar um acidente, antes que você perceba. Neste caso, 
pode-se instalar uma passarela sobre a via, para que, independentemente do fluxo de carros, as travessias sejam seguras para todos os pedestres.
Com a passarela, o risco de acidentes com pedestres diminui, pois agora todos podem cruzar a via pela passarela, mas não podemos contro-
lar se todos os pedestres a utilizarão, ou seja, ainda assim temos o risco que algum pedestre sofra um acidente. Como controlar se todos passarão 
pela passarela? Instalar grades por toda via impedindo que pedestres acessem ela? Acho que não seria uma solução viável.
Neste caso, apenas aceita-se o risco que alguns pedestres não respeitarão as sinalizações e nem terão um comportamento seguro por causa 
de sua negligência. Não há algo viável a ser feito e temos que aceitar o risco. Em poucos parágrafos, tivemos uma abordagem muito ampla de aná-
lise de riscos, que explodiremos em pedaços menores e mais funcionais!
14SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
ACEITAÇÃO DE RISCO E RISCO RESIDUAL
Todos os dias realizamos de forma intrínseca uma análise de riscos em nossas vidas e 
sempre temos que decidir sobre aceitar os riscos decorrentes de nossas decisões. Quando an-
damos acima do limite de velocidade, estamos aceitando o risco de tomar uma multa por re-
alizar uma infração de trânsito e assumimos o risco de causar um acidente grave em caso de 
colisão.
Às vezes, é necessário aceitar os riscos e conviver com o risco residual, que é o risco re-
manescente após a mitigação do risco. Voltando ao exemplo anterior. Nós olhamos para os 2 
lados da rua (mitigação do risco), para garantir que nenhum automóvel está vindo em nossa 
direção. Se optarmos por atravessar a via sem usar a passarela, estamos aceitando o risco que, 
mesmo sem nenhum automóvel, esteja vindo em nossa direção naquele momento, podemos 
tropeçar no meio da via, cair no chão e não conseguir desviar de um automóvel que entre na 
via após iniciarmos a travessia. Temos o risco residual de tropeçar e cair na via, que resolve-
mos aceitar no momento em que não quisermos utilizar a passarela para realizar a travessia 
da via.
Trazendo para um ambiente mais prático de nosso dia a dia, vamos supor que a empre-
sa em que você trabalha contratou um link de acesso à internet. Existe um risco desse link de 
acesso à internet apresentar problemas e a empresa ficar sem conectividade. Como tratamos 
esse risco? Contrata-se um segundo link de acesso à internet, pois caso o primeiro apresente 
problema, o segundo segurará o ambiente.
Mas ainda temos um risco, pode ser que os 2 links de acesso à internet apresentem pro-
blemas. Para mitigar esse risco, pode-se contratar um terceiro link de acesso à internet via 
rádio, para que possa sustentar o ambiente caso os outros 2 links apresentem problemas. Te-
mos ainda outro risco: “E se os 3 links de acesso derem problemas?”. Qual solução podemos 
ter para mitigar esse risco? Vamos contratar mais um link de acesso à internet? Claro que não! 
O risco sempre existirá! Entenderam até onde temos que tratar o risco?
Cada empresa é diferente, cada situação é única. Pode ser que para uma padaria, apenas 
2 links de acesso à internet já estaria de bom tamanho para mitigar os riscos de conexão, pois, 
mesmo sem internet, ela conseguirá seguir o seu trabalho normalmente. Mas e se for uma 
operadora de cartão de crédito? Será que não é interessante ter mais do que 5, 10 ou 15 links 
de conexão?
Percebam que a análise de risco é única para cada situação e para cada empresa, não se 
pode seguir um modelo único e padrão, tudo deve ser analisado com muita calma, focando na 
cadeia de valor de cada empresa. Portanto, o risco residual sempre existirá e deverá ser aceito 
em determinado estágio de mitigação. Entramos em outro ponto: o que é um risco aceitável? 
Quem aceita o risco?
De forma bem simples e clara, a obrigação dos profissionais de segurança é de mapear 
os riscos aos quais um ativo está exposto, classificá-los de acordo com a necessidade do ne-
gócio e apresentá-los para os stakeholders e para a diretoria/administração. O profissional 
de segurança não toma decisão alguma. Vou repetir, o profissional de segurança não toma 
valde
Realce
valde
Sublinhado
valde
Realce
valde
Sublinhado
15SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
decisão alguma. Toda decisão é tomada pelos gestores da empresa, orientados pelo setor de 
Segurança da informação.
Quem determina se aceitará o risco ou não é a direção! Quem decidirá se os riscos serão 
tratados é a direção! Novamente, cabe ao profissional de segurança apresentar os riscos ma-
peados à direção e cabe a ela decidir o que será feito, como será feito e quando será feito, pois 
envolve dispende de recursos humanos e financeiros para cada atividade.
Enfim, de posse desses conceitos rapidamente explorados, nósabordaremos com mais 
ênfase conceitos de vulnerabilidade, ameaça e riscos, depois construiremos um exemplo de 
Matriz de Risco que será utilizado para auxiliar na análise de riscos.
VULNERABILIDADES
Focaremos nos ativos da informação. Os ativos de informação podem ser todos aque-
les que de forma direta ou indireta são utilizados para manipular ou armazenar informações. 
Pode ser um banco de dados, servidor, switch, celular, firewall, computador, pessoas, entre 
tantos outros.
Todos os ativos possuem vulnerabilidades. De acordo com a ISO27001, as vulnerabilida-
des são as fragilidades de um ativo ou grupo de ativos que podem ser exploradas por uma ou 
mais ameaças, ou seja, são os pontos fracos e as brechas de segurança que um ativo possui. 
As vulnerabilidades podem ser físicas, naturais, hardware, software, mídias, humanas, entre 
tantas outras.
As vulnerabilidades físicas estão atreladas, por exemplo, a salas de data center mal pla-
nejadas com estruturas físicas fora dos padrões exigidos. Com um data center mal planejado, 
temos brechas de segurança de acesso à sala, no controle de temperatura, no cabeamento, no 
dimensionamento de nobreak, entre tantas outras. 
Algumas vulnerabilidades são naturais e do ambiente, às vezes fogem do nosso contro-
le. Podemos elencar a umidade do ar, que é uma brecha que danifica os equipamentos, a falta 
de energia também é uma vulnerabilidade natural, que por sua vez pode ser contornada.
valde
Sublinhado
valde
Realce
valde
Sublinhado
valde
Sublinhado
16SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Como exemplo de vulnerabilidade de Hardware, podemos elencar o desgaste dos equi-
pamentos e a sua obsolescência, pois são os pontos fracos de todos equipamentos. Conforme 
passa o tempo, a vida útil do equipamento diminui e isso é um ponto fraco dele.
As vulnerabilidades de softwares são muitas e variadas. Por si só, todo software possui 
vulnerabilidades, sejam elas de instalação, funcionamento ou desenvolvimento. Atualmente, 
os softwares são um dos principais vetores de ataques que existem por possuir muitas bre-
chas de segurança que podem ser exploradas.
As mídias de armazenamento também devem ser tratadas com muita importância. Toda 
mídia que armazena dados possui seus pontos fracos que devem ser analisados. A mídia pode 
perder dados, sofrer danos, ser sensível a determinado ambiente, como por exemplo, das fi-
tas de backup magnéticas, que podem ser desmagnetizadas, perdendo os dados.
Chegamos no fator mais crucial para segurança da informação, as vulnerabilidades hu-
manas. O vetor de ataque mais vulnerável que temos no contexto de segurança da informa-
ção é o humano. As pessoas possuem inúmeras vulnerabilidades que podem ser exploradas. É 
mais fácil pedir que alguém lhe entregue a senha, do que tentar quebrar a tela.
Portanto, pode-se concluir que as vulnerabilidades são os pontos fracos dos ativos e de-
vemos estar atentos a elas, pois é a partir delas que os incidentes de segurança acontecerão.
AMEAÇAS
Utilizando a definição abordada pela ISO27001, uma ameaça é a causa potencial de um 
incidente indesejado, que pode resultar em dano para um sistema ou organização. As ameaças 
são agentes internos ou externos que exploram as vulnerabilidades dos ativos, gerando um 
incidente que incorrerá em perdas. Podemos dividir as ameaças em naturais, involuntárias e 
voluntárias. 
As ameaças naturais podem ser exemplificadas por fenômenos da natureza, como ter-
remotos, tornados, enchentes, entre outros. Exemplificando, vamos supor que um data cen-
ter seja construído perto de um rio. Ele tem uma vulnerabilidade física. Seu ponto fraco é sua 
localização perto do rio, pois a ameaça de uma enchente pode inundar o data center e fazer 
com que haja perda de todos os equipamentos.
Ameaças involuntárias são aquelas decorrentes de acidentes, erros ou desconhecimento 
de normas e padrões. Normalmente, acontece “sem querer”, quando a ação e um indivíduo 
podem explorar uma vulnerabilidade, mas sem a intenção de causar um grande mal. Vou 
exemplificar com um fato que aconteceu em uma empresa que trabalhei. 
Todos os dias, às 15:00 horas, toda a rede de um setor parava de funcionar, a equipe de 
infraestrutura corria até o setor, mas quando chegava lá tudo estava funcionando normal-
mente. Isso aconteceu por vários dias, até que, em uma ocasião, o analista foi até o local, às 
valde
Sublinhado
valde
Sublinhado
valde
Realce
valde
Sublinhado
17SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
14:45, para ficar esperando a rede cair e ver o que acontecia. Às 15:00 horas ,o pessoal da lim-
peza chegou para limpar o andar e precisavam de uma tomada para ligar um equipamento. O 
rack de comunicação não era protegido de forma segura e a tomada de energia ficava exposta. 
O pessoal da limpeza desligava o rack de comunicação da tomada para ligar o equipamento 
deles, derrubando toda rede. Quando o analista chegava para ver o problema, eles já haviam 
saído e os equipamentos já estavam novamente ligados.
Neste cenário, tinha-se a vulnerabilidade da tomada do rack exposta para qualquer um 
desligar, e uma ameaça por parte dos colaboradores em desligar o rack. Eles não tinham in-
tenção de impactar negativamente na rede de dados, eles apenas queriam realizar o seu tra-
balho. Isso é um risco involuntário, que pode também ser exemplificado por erros de confi-
gurações ou desconhecimento técnico por parte da TI.
Por final, temos as ameaças voluntárias, que são aquelas propositalmente causadas. O 
que caracteriza esse tipo de ameaça é que são realizadas conscientemente, com a intenção 
de prejudicar o ambiente e causar danos à informação. O melhor exemplo para explanar esse 
tipo de ameaça são os funcionários descontentes de uma empresa. Um colaborador que esteja 
empenhado em vazar uma informação ou comprometer a integridade dela, irá fazê-lo, pois 
ele já possui um acesso privilegiado aos ambientes e às informações. O fator humano sempre 
será o ponto mais fraco no que tange segurança. Outro exemplo são as ameaças de ataques de 
crackers, que são direcionados às suas vítimas e procuram explorar todas as vulnerabilidades, 
tanto lógicas, físicas e humanas.
RISCO
Finalmente chegamos aos riscos. Um risco é a consequência de uma ameaça ao explorar 
uma vulnerabilidade de um ativo, que cause impacto negativo. O risco está presente em várias 
áreas e não é exclusivo da TI. Perceba que, em quase todos os exemplos até o momento, utili-
zei situações do dia a dia ou exemplos mais práticos, sem vínculo com a TI.
Existe uma frase que uso muito para definir o conceito de risco no contexto de ameaças 
e vulnerabilidades. As AMEAÇAS exploram as VULNERABILIDADES, expondo os ativos a RIS-
COS. Risco é tudo que causa algum impacto.
Trazendo exemplos mais práticos da TI, temos o risco de vazamento de informações 
confidenciais de uma empresa. Esse risco existe, pois um servidor está com a vulnerabilidade 
de estar desatualizado e uma ameaça de um cracker poder explorar esse ponto falho e tomar 
controle do servidor, fazendo com que os dados sejam vazados. O foco sempre é mitigar o 
risco e evitar o risco. Deve-se pensar em ações para evitar o risco, com um plano de ação de 
execução. Vamos estudar matriz de riscos e todos os conceitos ficarão muito claros.
Uma dica legal neste ponto de riscos é a transferência dos riscos. O que seria transferir 
os riscos? Um exemplo muito interessante é o seguro do carro. Ao fazer o seguro do carro, 
você está transferindo o risco de sinistros à seguradora. Caso você sofra algum sinistro, é a 
seguradora que arcará com os custos e todo processo jurídico inerente ao acidente. As empre-
valde
Sublinhado
valde
Realce
valde
Sublinhado
18SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
sas também fazem isso, transferem os riscos para outras empresas. Claro que sempre haverá 
coparticipação, mas você terá de quem cobrar.
Outro exemplo é a terceirização de links de comunicação entre matriz e filial. Emvez da 
empresa passar sua própria fibra ótica, tendo que assumir os riscos inerentes à fibra (rompi-
mento, roubo, atenuação, etc.), ela contratará uma empresa terceirizada e pagará uma men-
salidade para o uso da fibra, deixando todo processo de manutenção em contrato e com clau-
sulas de tempo de resposta em caso de sinistros, dessa forma, transfere-se o risco para um 
terceiro.
São muitos termos e definições que abordaremos de forma mais prática na matriz de 
riscos.
MATRIZ DE RISCOS
Para realizar uma análise de riscos, precisamos de algumas ferramentas que não auxi-
liam. Gosto de chamar de ferramentas, pois elas nos ajudam a alcançar nossos objetivos. Nes-
te contexto, temos a matriz de riscos. Ela é uma ferramenta utilizada para mapear os riscos, 
classificá-los e demonstrar qual plano de ação será tomado e qual dos riscos serão tratados. 
Costumo dizer que não existe um padrão para uma matriz de riscos, mas vou utilizar um pa-
drão muito útil e que trará boa visibilidade.
A matriz de risco é um organismo vivo! Ela não pode ser feita uma única vez e depois 
ficar jogada em um canto. Periodicamente, ela deve ser revisitada e atualizada. Cada empresa 
define o tempo necessário para essa conferência, porém, o recomendado é que, no mínimo, 
seja revisada 1 vez por ano, ou quando houver necessidade, antes desse tempo. O importante 
é que não podemos criar uma matriz somente para ter uma matriz, pois o objetivo dela tam-
bém é garantir que seja operacionalizado os controles que forem pontuados. Ela por si só não 
resolve os problemas. O que resolve é implementar os controles!
Um ponto muito importante quando falamos de riscos é IMPACTO e PROBABILIDADE. 
Coloquei em caixa alta para reforçarmos esses pontos. Quando se realiza uma análise de ris-
cos, esses 2 pontos são cruciais para tomar a decisão de um risco será ou não tratada. Pode-
mos tratar o impacto de forma segregada em segurança. Podemos tratar o impacto em cada 
um dos 3 pilares de segurança da informação ou tratar de forma mais global.
valde
Realce
valde
Sublinhado
19SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Pode-se ter o modelo de matriz de riscos mais simples, como este abaixo:
Modelo de Matriz de Risco que será trabalhado:
Agora fica uma pergunta: “como avaliar a probabilidade e o impacto?”. Essa resposta não é simples. É necessário definir uma legen-
da para nos ajudar nesse quesito. Será elaborada de forma empírica, ou seja, de acordo com o conhecimento e feeling das pessoas que estão 
envolvidas no desenvolvimento. Para cada empresa e situação, tem-se uma forma mais precisa de gerar essa legenda. Para fins de estudos, 
vamos classificar de 0 a 3, onde 0 seria o menor valor e 3 o maior valor, tanto para probabilidade como para impacto.
Neste modelo de matriz de risco, vamos somar a probabilidade com o impacto, gerando um número que representa cada risco. O resul-
tado servirá para embasar as decisões a serem tomadas para a tratativa dos riscos ou a sua aceitação. Lembrando que cada situação exigirá 
uma análise mais apurada de como construir essa legenda.
Vamos a um exemplo para que possamos exercitar essa matriz de riscos. Um exemplo clássico utilizado é o risco de “Perca de conec-
tividade com a internet”. O risco é não conseguir mais navegar na internet. O ativo, neste caso, será o link de comunicação. A ameaça será o 
rompimento da fibra realizada por qualquer agente externo ou falha humana. A vulnerabilidade será o fato de ter apenas 1 link de comunica-
ção. Temos as 4 primeiras colunas definidas.
Risco Ativo Ameaça Vulnerabilidade Probabilidade Impacto Total Ações
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
20SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Agora fica uma pergunta: “como avaliar a probabilidade e o impacto?”. Essa resposta não é simples. É necessário definir uma legenda para nos aju-
dar nesse quesito. Será elaborada de forma empírica, ou seja, de acordo com o conhecimento e feeling das pessoas que estão envolvidas no desenvolvi-
mento. Para cada empresa e situação, tem-se uma forma mais precisa de gerar essa legenda. Para fins de estudos, vamos classificar de 0 a 3, onde 0 seria 
o menor valor e 3 o maior valor, tanto para probabilidade como para impacto.
Neste modelo de matriz de risco, vamos somar a probabilidade com o impacto, gerando um número que representa cada risco. O resultado servirá 
para embasar as decisões a serem tomadas para a tratativa dos riscos ou a sua aceitação. Lembrando que cada situação exigirá uma análise mais apurada 
de como construir essa legenda.
Vamos a um exemplo para que possamos exercitar essa matriz de riscos. Um exemplo clássico utilizado é o risco de “Perca de conectividade com a 
internet”. O risco é não conseguir mais navegar na internet. O ativo, neste caso, será o link de comunicação. A ameaça será o rompimento da fibra realizada 
por qualquer agente externo ou falha humana. A vulnerabilidade será o fato de ter apenas 1 link de comunicação. Temos as 4 primeiras colunas definidas.
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
Agora é necessário definir um score para a probabilidade de isso acontecer. Vem a pergunta: “Com que frequência a fibra pode ser rompida, ocor-
rendo perca de conectividade?”. Rompimento de fibra não é algo recorrente, sendo ocasional. Podemos definir uma probabilidade 1 na escala de 0 a 3. 
Onde 0 é quando existe uma possibilidade remota de acontecer e 3 quando existe uma recorrência muito próxima de acontecimentos.
Após, iniciamos a análise do impacto de acordo com os pilares de segurança. Uma fibra rompida impacta diretamente na confidencialidade? Não, 
pois se o link de comunicação não estiver funcionando, as informações ainda estarão confidenciais. O score será de 0, onde 0 é um impacto nulo e 3 um 
impacto alto.
21SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Uma fibra rompida, impacta em integridade da informação? Sim, de certa forma sim. Se no instante que a fibra rompeu, um dado estava sendo tra-
fegado, ocorrerá perda de pacotes, logo, teremos o dado corrompido, ele não estará integro. Podemos elencar um score de 1, pois mesmo se corromper, 
será algo muito pontual.
A fibra rompida, impacta na disponibilidade? Claro que sim! Este é o pilar de maior impacto. Uma vez que não se tem a fibra, não há conectividade 
e a informação não estará disponível. O score desse impacto pode ser 3, pois impacta de forma negativa neste processo. 
Definindo os scores para cada sessão, deve-se somar os resultados para que tenhamos um total do risco. Temos mais informações em nossa matriz:
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
1 0 1 3 5
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
1 0 1 3 5
Contratar 
mais um 
link de 
comunicação.
Legal! Nossa matriz de riscos está cada vez mais desenhada. Por último e muito importante, temos que definir uma ação para mitigar esse risco. Neste 
caso, o que podemos elencar como uma possível solução? Pode-se sugerir a contratação de mais um link de comunicação, para que a empresa possua links 
de contingência. Nossa matriz...
22SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Um detalhe muito importante na matriz, é que um mesmo ativo pode ter inúmeros riscos e pode se repetir na matriz, pois cada risco é tratado sepa-
radamente. Vamos a outro exemplo. O risco de um acesso indevido à sala de servidores. Neste caso, o ativo será a Sala de servidores. A ameaça será uma 
pessoa má intencionada e a vulnerabilidade é de não tercontrole de acesso à sala.
No que tange a probabilidade, pode-se elencar uma probabilidade baixa de valor 1, pois para algum indivíduo invadir o data center, ele terá que ter 
invadido outros setores da empresa antes e poderá ser descoberto antes de chegar ao data center.
No pilar de confidencialidade teremos perda, pois ao acessar o data center, o indivíduo estará exposto a informações sigilosas. A integridade tam-
bém será afetada, pois ao acessar o data center, ele poderá comprometer algum equipamento, logo, compromete a integridade da informação armaze-
nada. Por fim, o impacto na disponibilidade acontecerá, pois algum equipamento pode ser roubado ou danificado, deixando a informação indisponível. 
Para mitigar esse risco, pode-se sugerir que, na porta de entrada do data center seja implantado um leitor de biometria para que somente pessoas 
autorizadas tenham acesso. Vamos ver como está ficando nossa matriz:
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
1 0 1 3 5
Contratar 
mais um 
link de 
comunicação.
Acesso 
indevido ao 
data center.
Data center.
Invasão por 
pessoa não 
autorizada.
Não possuir 
controle de 
acesso.
1 2 2 2 7
Instalação 
de leitor 
biométrico.
23SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Seguindo com nossos exemplos, vamos pensar em um risco de acesso indevido a sistemas corporativos. Existe o risco de pessoas não autorizadas 
acessarem os sistemas da empresa, como ERP, CRM, entre outros. O ativo será o sistema de ERP. A ameaça será um hacker tentando um ataque de força 
bruta para descobrir uma senha. A vulnerabilidade será a falta de uma política de senhas. Dessa forma, os usuários podem colocar como senha, sequência 
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
1 0 1 3 5
Contratar 
mais um 
link de 
comunicação.
Acesso 
indevido ao 
data center.
Data center.
Invasão por 
pessoa não 
autorizada.
Não possuir 
controle de 
acesso.
1 2 2 2 7
Instalação 
de leitor 
biométrico.
Acesso não 
autorizador 
aos sistemas.
Sistema de 
ERP.
Hacker 
efetuando 
um brute 
force
Não possuir 
políticas de 
senhas.
3 3 1 1 8
Criar uma 
política de 
senhas.
numéricas como 123456, que são fáceis de serem descobertas. Vamos direto para nossa matriz:
Dessa forma, a matriz de riscos é construída de acordo com cada risco identificado. Neste simplório exemplo, tivemos 3 riscos com score final di-
ferente. Analisando somente com os dados que temos dispostos nela, podemos concluir que quaisquer dos riscos devem ser o primeiro a ser mitigado? 
O risco das senhas, pois o score dele é maior do que os outros. Fique atento para um detalhe: nem sempre o risco de maior score será o risco prioritário 
para ser tratado.
24SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Vamos a um exemplo: supondo que essa matriz de risco seja de um açougue. A matriz de risco é 
portável para qualquer tipo de negócio. Para o negócio de um açougue, pode ser que o risco mais 
pertinente para ser tratado é o das senhas, e seguiremos a ideia de tratar o risco de maior score 
primeiro.
Agora, pense no mesmo cenário, só que em uma empresa de e-commerce. Para o e-commerce, 
a conectividade é algo preponderante para o negócio! Por mais que o score dele esteja inferior 
aos outros, esse será o risco que será tratado primeiro, pois ele impacta diretamente no negócio 
da empresa! Percebam que não existe uma resposta padrão ou uma matriz de risco totalmente 
inflexível. Para cada negócio existe uma forma de analisar a matriz e decidir quais serão as ações a 
serem tomadas de forma prioritária.
25SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
PLANO DE CONTINGÊNCIA
Um dos pontos mais importantes que temos após a criação de uma matriz de risco é criar 
um plano de contingência. Basicamente, é descrito todo processo para se colocar o ambien-
te novamente em operação. Quando falamos em plano de contingência, estamos focando em 
continuidade de negócio.
A matriz de riscos nos apresenta os riscos que podem ocorrer e nela tratamos como 
mitigá-los, porém, deve haver uma documentação de como colocar os processos de negócio 
novamente em operação, caso o risco se concretize. A partir da análise dos riscos, define-se 
um procedimento detalhado de como recuperar sistemas de TI, em caso de desastres de dife-
rentes tipos.
O plano de contingência é utilizado em caso de desastres ou situações que impactam 
muito negativamente no negócio. Por isso, o foco dele é manter a continuidade do negócio, 
como se fosse um “plano B”, caso ocorra uma falha grave. Nele é descrito o que fazer passo 
a passo para reestabelecer paliativamente a operação. O plano de contingência é algo impor-
tante na gestão de riscos.
A estratégia para criação do plano de contingência precisa levar algumas coisas em con-
sideração:
• RPO: Recovery Point Objective (RPO), representa a perda de dados que a empresa pode 
ter sem que comprometa sua operação. Por exemplo, a empresa pode perder 1 dia in-
teiro de dados e movimentação sem impacto na continuidade de negócio, o RTO é de 1 
dia. Pense em um ambiente mais crítico, como um hospital. Para um hospital perder 15 
minutos de dados médicos em um prontuário de um paciente, já pode ser considerado 
crítico! Cada situação deve ser avaliada.
• RTO: Recovery Time Objective (RTO), representa o tempo em que a operação precisa 
estar em operação novamente sem que haja impacto na continuidade de negócio da em-
presa. Quanto mais rápida for, será necessário o reestabelecimento dos sistemas, mais 
complexa e cara é a estratégia de RTO. Por exemplo, para um hospital, um desastre nos 
links de acesso à internet pode ter um RTO de 1 dia sem grandes problemas, mas para um 
comércio eletrônico, ter um RTO de 15 minutos já é demorado! Novamente, cada situa-
ção deve ser analisada.
• Recursos financeiros: para um plano de contingência, é necessário saber quanto de re-
curso financeiro a empresa está disposta a dispender. Estratégia de RTO e RPO estão 
atreladas ao custo. Quanto mais investimento, menos a perda de dados e menor o tempo 
de recuperação.
valde
Realce
valde
Sublinhado
valde
Sublinhado
26SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
De posse dessas informações, pode-se iniciar um plano de contingência e focar em tec-
nologias e topologias que podem ser utilizadas para alcançar os objetivos propostos. Podemos 
dividir o plano de contingência em vários tópicos, assim como a matriz de riscos, não existe 
um modelo padrão, mas tópicos que são interessantes. É muito importante que ocorram tes-
tes periódicos do plano de contingência, pois se nunca forem validados, quando acontecer 
algum desastre, pode ser que ele não funcione e a operação não volte, deixando o ambiente 
indisponível.
O plano de contingência é importante, pois ele ajuda a minimizar as perdas para o negó-
cio. Apesar de um imprevisto acontecer e causar algum dano à empresa, se o plano de contin-
gência estiver bem desenvolvido, fará com que as perdas sejam menores. A falta dele poderá 
fazer com que uma empresa sucumba após acontecer algum desastre.
Normalmente, o que acontece quando algo de ruim incide? Todos se desesperam e não 
sabem o que fazer, isso é natural do ser humano. O plano de contingência ajuda neste sentido, 
pois nele estão descritas todas as orientações necessárias em caso de sinistros. Ele orienta o 
comportamento de toda equipe e processo, em momento que não cabe pensar, apenas agir de 
forma organizada, focando em manter o ambiente em operação.
O plano de contingência não é feito a partir de uma receita. Cada empresa tem que de-
senvolver o seu próprio plano que pode ser ou não utilizado em outras empresas. Assim como 
a matriz de riscos, ele é adaptávele variável.
O primeiro passo é identificar quais as necessidades e problemas que podem afetar a 
operação da empresa, neste caso, da TI, pois estamos focando no plano de contingência do 
setor de tecnologia. Deve-se levar em consideração adversidades naturais, técnicas e huma-
nas. Essas informações podem vir da análise de riscos, pois ali já está mapeado os principais 
riscos.
O segundo ponto importante é avaliar o impacto que cada risco tem ao negócio, para 
decidir a melhor forma de contorná-lo, caso aconteça algum desastre. Uma falha do plano 
de contingência é preocupar-se com situações corriqueiras que “incham” ele, tirando o foco 
realmente do seu objetivo, que é retornar à operação o mais rápido possível. No plano de con-
tingência, pense apenas em situações de desastres e não corriqueiras.
A terceira etapa é uma das mais importantes, temos que definir prioridades! Qual sis-
tema vamos colocar em operação primeiro? Qual servidor será priorizado para ser colocado 
em operação? Essas são perguntas fundamentais, pois na hora do desastre, uma sequência de 
prioridades deve ser elencada para que processos prioritários sejam colocados em operação, 
primeiramente.
A quarta etapa, que muitas das vezes é negligenciada, mas é de fundamental impor-
tância, testar o plano de contingência! De nada adianta ele existir no ambiente, se nunca foi 
testado e homologado. É muito provável que ele não funcione na hora de um desastre se ele 
nunca foi testado. Planos de testes devem ser realizados pelo menos de 1 a 2 vezes no ano para 
testar se realmente o que está escrito, reflete realmente na operação no caso de desastres.
27SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Um plano de contingência é algo vivo na empresa, ou seja, deve ser revisado com frequência! Essa é 
a quinta etapa, revisar periodicamente os processos do plano para que esteja aderente à realidade da em-
presa. O ambiente se transforma todos os dias e o plano deve estar alinhado a isso, caso contrário, não será 
efetivo no dia do desastre.
Vou trazer um modelo de plano de contingência simples, mas funcional. Lembrando que não existe 
um modelo padrão, cada empresa pode gerar um plano de contingência que melhor se adeque a sua reali-
dade. Esse modelo é apenas uma tabela dividida em níveis de gerenciamento, onde o nível maior é o mais 
prioritário, tendo em vista a retomada da operação em caso de um desastre.
• Nível de gerenciamento 1: microinformática
• Nível de gerenciamento 2: rede, comunicação e serviços de rede
• Nível de gerenciamento 3: bancos de dados e virtualização
• Nível de gerenciamento 4: infraestrutura física
Para cada um dos níveis teremos a divisão: equipamento; local; abrangência; falhas; capacidade de 
contingência; procedimento; tempo de parada; responsável.
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Esses exemplos são 
apenas algo simbólico 
para ilustrar como criar 
seu plano de contingência.
28SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Microcomputador Cidade
Toda 
empresa
Queima de 
hardware
10 máquinas 
de backup
Trocar por um 
computador 
de backup.
2 horas
Técnicos de 
suporte
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Core de rede
Data 
center
Toda 
empresa
Queima de 
hardware
1 Switch de 
backup
Trocar por 
um switch de 
backup e abrir 
chamado com 
o fornecedor 
pelo telefone 
xxxxxxx.
1 hora
Analista de 
suporte
NÍVEL 1
NÍVEL 2
Esses exemplos são 
apenas algo simbólico 
para ilustrar como criar 
seu plano de contingência.
29SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Storage
Data 
center
Toda 
empresa
Queima de 
hardware
Equipamentos 
em H.A.
Abrir 
chamado com 
o fornecedor 
pelo telefone 
xxxxxxx.
Sem parada. 
Equipamentos 
em H.A.
SLA de 6 
horas com 
fornecedor 
para troca de 
equipamentos 
danificado.
Adminsitrador 
de ambientes
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Data center
Data 
center
Toda 
empresa
Incêndio
Subir todos os 
sistemas no 
site Backup.
Subir sistemas 
no site backup 
nesta ordem:
1 – virtualização;
2 – rede de 
dados;
3 – ad;
4 – erp;
5 – e-mail;
6 – crm;
7 – demais 
sistemas.
6 horas
Analistas de 
suporte, DBA, 
administradores 
de ambiente.
NÍVEL 3
NÍVEL 4
Esses exemplos são 
apenas algo simbólico 
para ilustrar como criar 
seu plano de contingência.
30GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre os conceitos vulnerabilidades, ameaças e riscos. Vimos como uma análise de riscos é desenvol-
vida e como construir uma matriz de riscos, para nos auxiliar na mitigação de riscos.
31GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. O que é vulnerabilidade?
2. O que é ameaça?
3. O que é risco?
4. A análise de riscos garante que todos os riscos serão eliminados?
5. A matriz de risco é padrão e não pode ser adaptável nos ambientes?
6. Para que serve um plano de contingência?
32
ISO 27001 
A ISO27001 normatiza todo processo de Segurança da informação. Vamos 
desvendar toda sua estrutura! Keep Learning!
valde
Realce
33SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
A segurança da informação é totalmente focada em estabelecer processos seguro nas 
empresas. Para cada tipo de necessidade, existem frameworks reconhecidos mundialmente, 
que auxiliam na construção e desenho de processos, ou servindo como manuais de boas prá-
ticas. Por exemplo, para gestão de serviços de TI, existe a ITIL que organiza e sustenta todo 
ciclo de vida de serviços de TI e pode-se utilizar ela como base para estruturar os processos da 
TI e padronizar o atendimento de demandas e necessidades dos negócios.
Para organizar a TI e deixar ela alinhada aos processos de negócio das empresas, po-
de-se utilizar o COBIT. Esse framework auxilia a TI a estar alinhada ao negócio da empresa e 
estar inserida na governança corporativa e no planejamento estratégico e dessa forma fazer 
com que a TI agregue valor ao negócio das corporações.
Para segurança não é diferente. Em Segurança da informação, utiliza-se a ISO27001 e 
toda sua família de normas (27002,27005, etc.). A ISO27001 é um padrão reconhecido mun-
dialmente e totalmente adaptável a todo tipo de negócio, pois ela é genérica e foca na melhoria 
de processos corporativos para que agreguem segurança no seu dia a dia. A ISO27001 derivou 
de uma norma britânica, a BS7799, do ano de 1999. Sim pessoal, as normas de segurança são 
bem antigas!
Junto com a ISO27001, temos a ISO27002. Ela é uma norma que não pode ser auditada e 
é utilizada como documento de referência à implementação da ISO27001. Nela, temos todos 
os controles e clausulas de controle detalhados. As ISOs de segurança, focam na segurança 
física, técnica, procedimental e em pessoas.
A norma trata todo esse sistema de gestão proposto através do nome SGSI (Sistema de 
Gestão de Segurança da Informação), ou seja, não é apenas um manual de boas práticas, a 
ISO27001 cria um sistema de gestão vivo de segurança com foco em melhoria continuada dos 
processos. Uma empresa que consegue a certificação na ISO27001, consegue estabelecer um 
sistema que se perpetua ao longo do tempo, garantindo a continuidade da segurança no am-
biente. A ISO27001 consta, atualmente, com 14 sessões e 114 controles que abordaremos du-
rante nosso curso.
Uma empresa pode ser certificada na ISO27001, se cumprir todos os requisitos impostos 
pela norma através de uma auditoria oficial de uma empresa especializada e credenciada para 
realizar uma auditoria. Após ganhar a certificação da ISO27001, novas auditorias externas são 
realizadaspara manter a certificação e garantir que o SGSI esteja sempre alimentando e vivo 
na corporação de forma continuada.
valde
Realce
valde
Realce
valde
Sublinhado
valde
Realce
34SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
SGSI – SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Como vimos, a ISO27001 é sustentada por um SGSI que faz com que a segurança seja 
orgânica e viva no ambiente! Como todo sistema de gestão, o SGSI apega-se na metodologia 
PDCA, do inglês, PLAN, DO, CHECK, ACTION. O que seria o PDCA? O PDCA é uma metodologia 
de gestão que visa controlar os processos e melhorá-los continuamente.
A fase do PLAN é a mais importante em qualquer processo de gestão. Na fase de plane-
jamento, define-se os objetivos e as metas projetadas para implantação do SGSI. É nessa fase 
que é definido o escopo, quais processos serão impactados primeiramente, quais setores da 
empresa serão submetidos a melhorias, e assim por diante. É a fase mais demorada, pois é 
nele que tudo é detalhado.
Na fase do DO, é quando implementamos o que foi planejado, ou seja, “colocamos a mão 
na massa”. Neste momento, tudo o que foi planejado irá para produção.
O CHECK, representa uma fase importante de pós-implementação. Nesta fase, pode-
mos observar se o que foi planejado realmente foi executado e se os resultados esperados fo-
ram atingidos. As falhas identificadas devem ser documentadas e as dificuldades enfrentadas 
pontuadas.
Por último, na fase do ACTION, será realizada uma análise dos pontos positivos e ne-
gativos da implementação. Identifica-se os pontos de melhoria e onde pode melhorar o pro-
cesso. Após isso, volta-se à fase de PLAN, para planejar as mudanças nos pontos de melhoria 
identificados e todo ciclo se retroalimenta. O PDCA é um ciclo sem fim, por isso ele garante a 
melhoria continuada dos processos. Entendendo um pouco do PDCA, podemos prosseguir nas 
etapas de estabelecimento de um SGSI.
valde
Realce
35SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Primeira atividade que deve ser realizada para estabelecer um SGSI é definir um escopo e os 
limites do sistema de gestão. Isso é muito importante, pois o SGSI impacta em vários processos. 
Uma empresa pode definir que aplicará um sistema de gestão somente na TI e deixar os demais 
setores de fora e dessa forma amadurecer os processos antes de levar para toda empresa. Tudo 
é uma questão de definição de escopo, para saber qual será o alvo e quanto recurso financeiro e 
humano terá para implementar o SGSI.
Outro ponto crucial é estabelecer uma política de SGSI na empresa, onde todos terão que 
estar abaixo dela e respeitar as normas impostas. Nela, contém toda hierarquia e estrutura do 
SGSI e deve estar alinhado ao contexto estratégico da empresa. Mais adiante, abordaremos a Po-
lítica de Segurança da Informação Corporativa, que nos ajudará a compreender as normativas.
A análise de riscos aparece como requisito obrigatório para um SGSI. Ela está inserida den-
tro do processo de gestão e precisa ser atualizada regularmente, estando alinhada com os objeti-
vos da empresa, focando na continuidade do negócio. Define-se uma metodologia de análise de 
riscos e desenvolve-se critérios para aceitação dos riscos, gerando, dessa forma, um padrão para 
as análises, documentando todo processo.
O SGSI exige que exista um comprometimento visceral da diretoria e da alta administração 
em todo processo. A análise de riscos, juntamente com os riscos residuais e a aceitação dos ris-
cos, devem ser homologados e aceitos pela diretoria. Todo processo deve ser aprovado pela alta 
administração, de modo que ela esteja ciente de como o ambiente está e quais ações necessitam 
ser tomadas para mitigar os riscos e que mesmo após a mitigação, existem riscos residuais que 
vêm ser aprovados e aceitos por eles. A alta administração ainda precisa chancelar a operação do 
SGSI e autorizar que seja implementado na empresa, com respaldo de toda diretoria.
Outros pontos são relevantes dentro do SGSI e devem ser observados com muita atenção:
• implementar programas de conscientização e treinamento;
• gerenciar as operações do SGSI;
• gerenciar recursos para o SGSI;
• implementar controles para identificar eventos de segurança.
Deve ser reiterado o fato do comprometimento da direção com o SGSI. A ISO27001 traz 
um capítulo exclusivo para abordar esse tema. A direção precisa estar totalmente comprome-
tida com o SGSI, inclusive na auditoria de certificação é um dos pontos observados. A direção 
tem como responsabilidade:
• estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar 
o SGSI;
• garantir que os procedimentos de segurança apoiem o negócio;
• identificar e tratar requisitos legais;
• realizar análises críticas do SGSI;
• melhorar a eficácia do SGSI.
Essa é a estrutura básico do SGSI, mas abordaremos de forma mais minuciosa cada um 
dos assuntos daqui para frente.
valde
Sublinhado
valde
Sublinhado
valde
Sublinhado
valde
Sublinhado
valde
Sublinhado
36SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
ANEXO A - ISO27002
Após a criação de um SGSI, a norma ISO27001 exige o cumprimento da implantação de 
114 controles para que uma empresa seja certificada. Cada um dos 114 controles está descrito 
de forma detalhada no Anexo A da norma. O Anexo A é a ISO27002, portanto, a ISO27002 é o 
detalhamento dos 114 controles divididos em 14 sessões. As sessões são numeradas de 5 até 18 
e cada uma delas abrange uma temática dentro da norma. 
A primeira sessão é a 5 - Política de Segurança da Informação. Nesta sessão, está deta-
lhada como a política de segurança deve ser conduzida dentro da empresa. Inclui o tempo de 
revisão e os limites de aplicação dela. Muitas dicas de como construir uma política estão des-
critas neste tópico.
A segunda sessão é a 6 - Organização da Segurança da Informação. Nesta sessão, des-
creve-se os controles sobre as responsabilidades de cada um dentro do SGSI, também des-
crevem como as atividades remotas devem ser realizadas e padroniza políticas para uso de 
dispositivos móveis.
A sessão 7 - Segurança em Recursos Humanos, possui foco nas pessoas e na capacitação 
dos colaboradores. Controles são estabelecidos nas fases de contratação, sendo aplicados an-
tes, durante e pós ser realizada. O fator humano é o maior desafio do sistema de gestão.
Na sessão 8 - Gestão de Ativos, foca-se nos inventários de ativos e políticas de uso acei-
tável. Nesta etapa, também será abordada a classificação da informação e o manuseio de mí-
dias. O inventário é o controle principal nesta etapa, e a norma detalha como realizar ele com 
sucesso.
A sessão 9 – Controle de Acesso, tem seu foco na liberação de acesso aos sistemas cor-
porativos, elencando itens pra controlar o acesso e também explicitar a responsabilidade de 
todos no manuseio das informações.
A sessão 10 – Criptografia, está focada no controle das chaves criptográficas que a em-
presa possuiu, pois a salvaguarda das chaves é de extrema importância, uma vez que de posse 
da chave, consegue-se abrir os arquivos que estão criptografados, expondo as informações.
Na sessão 11 - Segurança Física e do Ambiente, os controles possuem foco na defini-
ção de áreas seguras e no controle de entrada no perímetro da empresa. Ainda nesta sessão, 
é abordada a importância de se ter uma política de mesa limpa e o descarte seguro de mídias 
físicas.
A sessão que mais impacta na infra de TI é a sessão 12 - Segurança nas Operações. Nes-
ta fase, existem vários controles relacionados à produção de TI e ao bom funcionamento da 
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
37SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
infraestrutura. Dentro desses controles, estão inclusas a gestão de mudanças e a gestão de 
capacidade do ambiente juntamente com gestão de backup e monitoramento.
Na sessão 13 - Segurança nas Comunicações, é abordado o controle de rede de dados que 
precisam serimplementados, como a segmentação da rede de segurança nos serviços de re-
des, que estarão providos no ambiente da empresa.
Para desenvolvimento e aquisição de sistemas, existe a sessão 14 - Aquisição, desenvol-
vimento e manutenção de sistemas. Muitos vetores de ataques estão em sistemas mal desen-
volvidos. Nesta sessão, a norma exige algumas parametrizações e mudanças de processo de 
desenvolvimento, que melhoram muito a segurança dos dados nas aplicações.
A sessão 15 - Relacionamento na Cadeia de Suprimentos, define controles que incluem 
acordos de confidencialidade e monitoramento de fornecedores. A sessão 16 - Gestão de Inci-
dentes de Segurança da Informação, estabelece controles de como os incidentes serão repor-
tados e tratados.
Na sessão 17 - Aspectos da segurança da informação, na gestão da continuidade do ne-
gócio, estão descritos controles focados na continuidade de negócios da empresa e na redun-
dância da TI. 
Na última sessão, 18, – Conformidade, conduz os controles para estar em compliance 
com normas e legislações vigentes.
Percebam que a ISO27001, dentro desses 114 controles, aborda todas as faces da segu-
rança da informação e auxiliam na construção de um SGSI robusto e que se perpetue no am-
biente, garantindo a melhora dos processos com foco em segurança.
valde
Realce
valde
Realce
38GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre a ISO27001 e a construção de um SGSI. Estudamos o Anexo A da norma e vimos cada uma das 
14 sessões de forma resumida. Aprendemos um pouco sobre o PDCA e como manter um sistema de gestão ativo.
39GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. O que é o Anexo A da norma ISO27001?
a. No Anexo A estão descritos os 114 controle estabelecidos pela norma 27001, ele serve de apoio durante a implantação do sistema 
na organização.
2. Para que serve o PDCA?
a. O ciclo PDCA é uma metodologia que auxília o profissional a monitorar seus projetos e seus planos de ação, pois proporciona 
uma revisita constante em suas ações e resultados.
3. É necessário haver uma análise de riscos no SGSI?
a. Sim, é de suma importância que haja uma análise de riscos no Sistema de Gestão de Segurança da Informação, pois os riscos 
devem ser classificados, tendo os de maior pontuação, ações já definidas e postas em prática.
4. É importante o comprometimento da diretoria? Por quê?
a. Sim, é muito importante o comprometimento da direção na implantação de qualquer sistema de gestão, pois além de fornecerem 
suporte financeiro, a implantação de qualquer sistema de gestão, deve estar alinhado estrategicamente com os objetivos da 
organização.
5. A ISO27002 possui quantos controles?
a. Ela possui 114 controle.
40
POLÍTICA DE 
SEGURANÇA DA 
INFORMAÇÃO 
Como podemos organizar e normatizar todas as regras de segurança em 
uma empresa? A resposta é a Política de Segurança da Informação. Vamos 
lá!
41SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
A construção de uma política de segurança nunca é algo fácil e gera muitas dúvidas. Não 
existe uma receita-padrão de como elaborar uma política, ou um passo a passo. Cada empre-
sa constrói sua política de acordo com o que acha mais pertinente e da forma que melhor de 
adaptar ao negócio. Os exemplos e as construções que faremos neste capítulo, serão apenas 
uma ideia de como conduzir o processo da criação da política.
A Política de Segurança da Informação deve ser criada e aprovada pela direção da em-
presa, e divulgada para todos os funcionários. Uma política deve conter a definição de segu-
rança da informação na visão da empresa; quem será responsável pelos controles e gestão de 
risco da informação; uma explicação dos princípios e normas que regem a política da empre-
sa; a definição clara de responsabilidades; fazer referências a outros documentos e normas 
que apoiem a política da empresa.
Outro ponto importante da Política de Segurança da Informação (PSI), que a norma exi-
ge, é a revisão sistemática e periódica do documento, para que ele sempre esteja aderente à 
realidade da empresa (lembram do PDCA?), a fim de mitigar os riscos ao negócio.
Um dos pontos básicos da PSI, é a sua divulgação para todos os funcionários da empre-
sa. Todos devem saber que a política existe e devem estar cientes do seu conteúdo, seguindo 
a conduta estabelecida nela, podendo até sofrer sanções administrativas em caso de descum-
primento das normas.
Para construção da PSI, podemos seguir a seguinte estrutura:
• introdução;
• objetivos;
• conceitos e definições;
• comprometimento da diretoria;
• responsabilidades;
• continuidade de negócio;
• diretrizes;
• sanções.
Com essa estrutura, pode-se construir uma política simples e ao mesmo tempo efetiva 
em seu propósito. Lembre-se que é apenas uma ideia de como construir a política, que deve 
ser feita de acordo com cada situação.
Na introdução, é necessário descrever um pouco sobre a importância da segurança da 
informação e os motivos que levaram a construção da política, demonstrar a importância da 
temática, juntamente com uma explanação do que será tratado no documento:
42SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
“A Segurança da Informação é um assunto preponderante para a sustentação do negócio das 
corporações. Com o advento de leis como a LGPD e a GDPR, a proteção de dados está cada vez mais 
em voga e faz-se necessário sob essa temática. A Política de Segurança da Informação é o principal 
documento que rege as diretrizes de segurança de uma organização.
A política está alinhada à estratégia da empresa e atende os requisitos legais e de negócio para 
manutenção da cadeia de valor e compliance do ambiente. Na política, serão descritas todas as di-
retrizes de segurança, bem como o comprometimento da diretoria e a responsabilidade de todos os 
envolvidos”.
Nos objetivos, é necessário elencar o objetivo geral e os específicos, que direcionarão a 
construção do SGSI. Objetivos sempre são verbos no infinitivo.
“O objetivo geral da Política de Segurança da Informação: estabelecer diretrizes de segurança 
para que haja a melhoria continuada dos processos internos e diminuir o risco ao negócio.
Para alcançar o objetivo geral, foram elencados os objetivos específicos:
• criar uma matriz de riscos;
• definir as responsabilidades;
• evidenciar o comprometimento da diretoria;
• homologar a continuidade de negócio;
• definir diretrizes de segurança aderente ao negócio;
• criar sanções para punir o desrespeito às normas.
Em conceitos e definições, será explanado sobre a segurança da informação, pilares, a 
visão da empresa sobre a temática.
“O terno Segurança da Informação refere-se à [...]
Os pilares de segurança da informação são [...]
A análise de riscos é [..]
[..] “
Na parte de comprometimento da diretoria, evidencia-se o grau de comprometimento 
da diretoria com o assunto e explicita-se o apoio dela para implementação das políticas.
“A diretoria está comprometida com o SGSI quando está disposta à:
• investir recursos financeiros;
• participar da análise de riscos;
• sancionar a política de segurança.
Em responsabilidades, elencamos as responsabilidades de indivíduo dentro do SGSI, 
bem como as responsabilidades dos setores da empresa, como TI, RH e Diretoria.
43SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
“O SGSI necessita que as seguintes áreas de empresa estejam comprometidas com o sistema e 
cumpram as suas responsabilidades:
• Diretoria: Responsável por sancionar a Política de Segurança e garantir sua aplicação do am-
biente, dando respaldo na implementação juntos aos diretores, acionistas, colaboradores e 
terceiros.
• TI: responsável por revisar periodicamente a PSI, ou quando cabível, e apoiar a efetivação dos 
controles de segurança de forma automatizada no ambiente e apoiar os treinamentos e capa-
citação dos colaboradores sobre o tema.
• Recursos humanos: responsável por coletar as assinaturas nos termos de responsabilidades e 
organizar treinamentos de capacitação sobre o temacom o apoio do setor de TI.
No capítulo de continuidade de negócio, elenca-se o plano de contingência e a frequên-
cia de validação dele.
“Anualmente, o plano de contingência deve ser homologado e testado. Os testes devem ser do-
cumentados e apresentados à diretoria.”.
Perto do final, chegamos na parte chata, em que os usuários criam uma antipatia com a 
TI. Nas diretrizes são evidenciadas as políticas, e será elencado “o que é” e o “que não é per-
mitido” na empresa. É o capítulo mais longo, e cada empresa possui suas políticas específicas:
1. proibido acesso à pornografia; 
2. proibido efetuar download de programas não autorizados pela TI;
3. proibido armazenar conteúdo de áudio/vídeo que possuam direitos autorais;
4. proibido efetuar pirataria de qualquer tipo;
5. não enviar e-mail de correntes;
6. não compartilhar conteúdos duvidosos;
7. entrar em contato com a TI em caso de infecção por malwares;
8. não clicar em links suspeitos no e-mail;
9. proibido compartilhar arquivos confidenciais em qualquer tipo de mídia digital ou portais de 
compartilhamento;
[...]
No final, o capítulo de sanções oficializa que se alguém descumprir as políticas descritas 
na norma, poderão sofrer sanções administrativas e/ou legais cabíveis.
44SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
“A Política de Segurança da Informação é aplicável a toda diretoria, acionistas, gerentes, co-
ordenadores, colaboradores, terceiros e a qualquer indivíduo que esteja dentro das dependências da 
empresa. O não cumprimento das normas pode gerar sanções administrativas e/ou legais, depen-
dendo da gravidade da infração”.
A política é um tema complexo e, talvez, algumas coisas não façam sentido neste mo-
mento, mas ao longo do curso, vamos entender melhor. Essa estrutura é apenas uma ideia de 
como construir uma política. Na internet, existem muitos exemplos que podem ser utilizados 
para criar seu próprio padrão de política que mais estiver aderido à empresa e ao negócio.
É importante que, ao final, a diretoria assine o documento da política, seja fisicamen-
te ou virtualmente. Outro ponto interessante que a política nos mostra é que a Segurança da 
Informação não é de responsabilidade da TI, mas sim de todos que estão na empresa! A TI é 
um facilitador para que a segurança esteja permeando todos os setores, pois ela administra os 
ativos por onde a informação trafega, porém, temos que lembrar que a Segurança da Infor-
mação é de responsabilidade de todos.
Ao longo dos estudos, vamos aprendendo o que mais pode entrar na política, pois ela é 
a força motriz das diretrizes de segurança da informação na empresa. Um ponto crucial é a 
revisão periódica dessa política. Aconselha-se que, pelo menos, uma revisão seja realizada a 
cada 12 meses, ou seja, uma vez por ano, no mínimo, a política deve ser atualizada e divulgada 
para todas as partes interessadas. Caso necessário, poderá haver mais de uma revisão por ano.
Na ISO27002, esses são os controles específicos da sessão Política de Segurança da In-
formação:
5.Políticas de Segurança da Informação
5.1.Orientação da Direção para Segurança da Informação
5.1.1.Políticas para Segurança da Informação
5.1.2.Análise crítica das Políticas de Segurança da Informação
45GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre a sessão de Política de Segurança da Informação. Vimos a importância da elaboração de uma 
política aderente ao negócio da empresa e os desafios e responsabilidade de todos que estão na empresa.
46GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. A Política de Segurança da Informação, deve ser respeitada por todos?
2. Qual a responsabilidade da diretoria?
3. Qual o período de revisão máximo da política?
4. Quem deve seguir as políticas impostas na PSI?
5. A SI é somente responsabilidade da TI?
47
SEGURANÇA FÍSICA E 
DO AMBIENTE
A segurança começa de fora para dentro da empresa através da proteção 
dos perímetros! Vamos aprender mais sobre a Segurança Física e do 
Ambiente! Let’s go!
48SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Vocês já viram, em filmes medievais, que o castelo onde o rei morava sempre estava bem 
protegido? Alguns até utilizavam pontes levadiças com poço ao redor, cheio de crocodilos 
para que ninguém conseguisse chegar até o rei? A ponte e o poço, ao redor, eram para garantir 
a segurança física do castelo, para que as pessoas não autorizadas entrassem nele e pudessem 
colocar a vida do rei em perigo.
De uma forma bem simples, quando falamos em segurança física e do ambiente, esta-
mos falando em construir ao redor da empresa um grande poço com crocodilos! Está certo, 
não é bem isso que é feito, mas o sentido é o mesmo. Nesta etapa, a preocupação é garantir a 
segurança de acesso e a proteção dos ambientes críticos, nos quais a informação tramita.
Para garantir essa segurança, existe uma combinação de medidas eletrônicas e estrutu-
rais, por isso, as medidas físicas devem ser planejadas e bem desenvolvidas para que tenham 
sucesso em sua implementação. Desde câmeras de vigilância até sensores de presença e alar-
me de movimentação em áreas críticas. Nesta fase, realiza-se uma análise de riscos focada 
nos riscos físicos e nas ameaças que podem explorar as vulnerabilidades. Por exemplo, ava-
lia-se se a empresa, se possui portões de entrada fechados com controle de acesso, para que 
ninguém entre em locais proibidos.
Outro ponto interessante é a definição de perímetros de segurança. A empresa possui 
vários ambientes e alguns deles podem ser acessados por todos e outros necessitam de au-
torização para o acesso, como em um hospital. A recepção pode ser acessada por todas as 
pessoas, porém, o setor de UTI só pode ser acessado pelos funcionários e por familiares em 
determinado período do dia, sendo o acesso restrito a pessoas e horários.
Setores por onde trafegam informações sigilosas ou sensíveis também devem estar nes-
sa análise de riscos físicos. Locais como o Data Center, que armazenam informações, precisam 
ter atenção redobrada para o controle de acesso e integridade física do ambiente, focando nos 
riscos estruturais que a construção pode ter e que comprometa a segurança da informação.
49SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Uma definição interessante é mapear e destacar quais são as áreas seguras da empre-
sa, locais onde as informações mais sigilosas são manipuladas. Nessas áreas, a segurança de 
acesso deve ser diferenciada e mais rígida, por exemplo, o acesso ao setor de Tecnologia da 
Informação deve ser restrito apenas para profissionais da TI, pois ali está toda inteligência 
tecnológica da empresa, por onde as informações passam ou ficam armazenadas.
Alguns exemplos de falhas físicas:
• efeitos da natureza;
• falhas em sistemas de suprimentos;
• ameaças humanas;
• terrorismo;
• espionagem industrial, etc.
ANÉIS DE PROTEÇÃO
Uma abordagem muito interessante é dividir as áreas da empresa em anéis de proteção, 
que nos ajudarão a visualizar onde as informações mais sensíveis se encontram para mitigar-
mos de forma mais assertiva os riscos, e ter uma abordagem mais holística do ambiente.
50SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
No espaço mais externo à empresa, temos as informações públicas, que não necessi-
tam de muita proteção, afinal, elas são públicas. Tudo o que não comprometa a segurança da 
empresa não exige uma grande proteção. Outro ponto interessante é que temos que manter 
o foco nos esforços e investimentos, em locais que trafegam informações sigilosas ou de im-
pacto ao negócio.
Já dentro da empresa, temos a segurança física do prédio, da construção. Podemos elen-
car o pátio da empresa ou um hall de entrada. Locais já dentro dos portões da empresa, mas 
que não abrigam informações muito sigilosas. Nesses locais, podem haver colados cartazes 
com informações de missão e valor da empresa ou até mesmo um mapa da empresa, mas, 
normalmente, não necessitam de um grande controle de acesso.
O próximo estágio já é de precaução.Da recepção para dentro da empresa, os controles 
devem ser muito mais rigorosos. Ninguém pode acessar os setores da empresa, pois é ali que 
as informações sensíveis se encontram. Deve-se investir em controle de acesso aos setores. 
Todos devem ser identificados e possuir acesso somente se autorizados a terem o acesso. Por-
tas com controles de biometria ou acesso com crachá devem ser implementadas, principal-
mente em setores como TI, financeiro, diretoria, etc.
Por último, temos o âmbito mais interno, que é onde o ativo está ou o próprio ativo. A 
preocupação com a segurança da informação deve ser muito superior nesses locais, pois re-
almente é ali que a informação sensível se encontra. Usando a analogia do hospital. Temos o 
estacionando, que é a área externa. Depois, temos ao acesso ao prédio, que seria a recepção. O 
acesso ao setor é o acesso à UTI, onde já existe um controle de quem pode ou não pode aces-
sar e, o acesso mais restrito ainda, que é ao quarto do paciente dentro da UTI, onde somente 
familiares podem acessar, ou seja, o acesso mais interno ao ativo é rigorosamente protegido 
contra acesso indevidos, pois é ali que o ativo está mais vulnerável e exposto.
Como boa prática de controle de entrada física, utilizam-se as seguintes técnicas:
• funcionários e terceiros devem sempre estar identificados através de crachá com foto;
• visitantes devem ser sempre identificados e acompanhados por um responsável, nunca 
andar sozinhos pela empresa;
• revisar periodicamente o controle de acesso e verificar sua efetividade e aplicação, de-
ve-se ser rigoroso no que tange controlar o acesso à empresa.
Outra preocupação é com os locais de trabalho, os setores. As informações estão em telas 
de computadores, nas mesas de trabalho e em anotações espalhadas. Os funcionários devem 
ser conscientizados a não deixarem os computadores desbloqueados ou anotações espalha-
das na mesa, pois um terceiro em visitação pode ter acesso a essas informações ou até mesmo 
roubá-las.
Algo a ser ponderado nos locais dispostos dos anéis de proteção, são as condições da in-
fraestrutura do prédio, isso em todos os locais. Uma revisão periódica nas instalações elétricas 
51SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
e hidráulicas é necessária para que não haja imprevistos estruturais que possam comprome-
ter a integridade da informação, como curtos circuitos e rompimentos de canos, que podem 
danificar equipamentos e documentos importantes. Materiais de fácil combustão, como pa-
pelão e inflamáveis devem ser evitados nesses locais.
Normalmente, em todos os locais, existem equipamentos instalados, como switches e 
computadores. É necessário que esses equipamentos estejam armazenados em locais segu-
ros, mesmo nos setores. Por exemplo, um switch de comunicação deve estar em um rack fe-
chado, de forma que ninguém consiga acesso, pois um indivíduo mal-intencionado, pode ter 
acesso à rede da empresa, ligando seu notebook na rede, direto no rack de comunicação, ou 
computadores podem ser furtados, contendo informações da empresa.
PROTEÇÃO DE EQUIPAMENTOS
Proteger os equipamentos é algo de extrema importância, pois são neles que a infor-
mação trafega ou é armazenada. Verificação das instalações elétricas e a segurança do cabea-
mento são essenciais. 
As normas de cabeamentos indicam que os cabos externos sejam subterrâneos para evi-
tar furto e rompimento deles, bem como estarem afastados de interferências eletromagné-
ticas que possam comprometer a qualidade do tráfego de informações e corromper os dados. 
Muitas vezes, utiliza-se fibra ótica, que traz maior confiabilidade de entrega e menos interfe-
rência sob a informação. As inspeções físicas do cabeamento são importantes para que sem-
pre esteja no melhor estado possível.
Outro ponto interessante é a documentação das conexões. Muitas instalações não são 
documentadas, o que dificulta a manutenção dela, podendo deixar um ambiente indisponível 
por muito tempo, em caso de falhas ou problemas físicos no ambiente.
Para manter o bom funcionamento dos equipamentos e evitar paradas que causem in-
disponibilidade das informações e impacto nos processos de negócio, recomenda-se realizar 
manutenção preventiva em todos os equipamentos envolvidos na disponibilização da infor-
mação, como computadores, servidores, nobreaks e geradores. Deve haver manutenções peri-
ódicas realizadas por profissionais autorizados, seguindo as recomendações dos fabricantes.
52SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Por segurança, nenhum equipamento deveria sair da organização, ainda mais portáteis 
como notebooks e tablets, porém, nem sempre isso é possível, e medidas de controle são ado-
tadas para autorizar quem pode sair da empresa de posse deles. Normalmente, a autorização 
deve vir da diretoria ou de um responsável, e alguns cuidados devem ser tomados:
• proteção contra exposição eletromagnética que possam comprometer os dados. Ex.: HD;
• transportar de maneira disfarçada para evitar roubo;
• todo acesso remoto deve ser realizado com proteção criptográfica;
• os equipamentos que saírem da empresa devem ser criptografados.
Além de controlar os equipamentos que saem da empresa, devem controlar o descarte 
dos equipamentos, como computadores, celulares, pendrivers, fitas de backup, HD’s, entre 
outros, devem ser destruídos para que não seja possível resgatar nenhuma informação conti-
da neles. A destruição física é a melhor opção.
Um exemplo interessante que podemos utilizar neste contexto de proteção física e do 
ambiente é a construção de um Data Center. O Data Center deve ser construído com as boas 
práticas e normais pertinentes para que seja seguro, a fim de proteger os equipamentos que 
ficam armazenados nele. O controle de acesso deve ser muito restrito e a vigilância por câ-
meras deve ser realizada. No combate a incêndios, ainda recomenda-se utilizar tecnologias 
como o gás FM-200, utilizado para combate de incêndios.
Os controles da ISO27002, no que tange Segurança Física e do Ambientes, são esses:
11.Segurança Física e do Ambiente
11.1.Áreas seguras
11.1.1.Perímetro de segurança física
11.1.2.Controles de entrada física
11.1.3.Segurança em escritórios, salas e instalações
11.1.4.Proteção contra ameaças externas e do meio ambiente
11.1.5.Trabalhando em áreas seguras
11.1.6.Áreas de entrega e de carregamento
11.2.Equipamento
11.2.1.Localização e proteção do equipamento
11.2.2.Utilidades
11.2.3.Segurança da cabeamento
11.2.4.Manutenção dos equipamentos
11.2.5.Remoção de ativos
11.2.6.Segurança de equipamentos e ativos fora das dependências da organização
11.2.7.Reutilização ou descarte seguro de equipamentos
11.2.8.Equipamento de usuários sem monitoração
11.2.9.Política de mesa limpa e tela limpa
53GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre a sessão de Segurança Física e do Ambiente. Vimos a importância de proteger o perímetro das 
empresas e controlar o acesso aos locais onde existam informações sensíveis.
54GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. Quais são os anéis de proteção?
2. Quais os cuidados que temos que ter para controle do acesso as áreas de trabalho?
3. O que essa sessão diz sobre proteção de equipamentos?
4. O que é recomendado de ser feito para o bom funcionamento dos equipamentos?
5. Qual cuidados temos que ter na construção de data centers?
55
GESTÃO DE 
OPERAÇÕES E 
COMUNICAÇÃO
A TI controla a maior parte da comunicação de dados da empresa. Será que 
você está realizando bem o seu trabalho? Vamos meditar!
56SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
O principal objetivo da Gestão de Operações e Comunicação é garantir uma operação se-
gura e correta dos recursos de processamento da informação. A norma diz que convém que os 
procedimentos e responsabilidades pela operação de todos os recursos sejam definidos e cada 
um tenha um responsável, ou seja, cada processo na operação está sob responsabilidade de 
alguém que mantém e melhoraa execução das atividades e processos.
Entra também, neste prisma, a gestão de empresas terceiras que prestam serviços. Em-
presas terceirizadas tendem a não ter o mesmo grau de comprometimento do que funcioná-
rios contratados, por isso, é importante que haja controle sob eles e sejam estabelecidas nor-
mativas que devem ser cumpridas.
Um dos principais tópicos abordados neste contexto é a documentação. Muitas vezes, a 
documentação fica em segundo plano e não é realizada. A norma aborda esse tópico de forma 
muita clara e exige que haja uma documentação detalhada de todos procedimentos de opera-
ção do ambiente.
Algumas dicas de procedimentos de documentação que podem ser realizadas são:
• inicialização e desligamento de servidores;
• geração de backup;
• manutenção de equipamentos;
• tratamento de mídias;
• instruções para tratamentos de erros;
• recuperação em caso de falhas;
• gestão de auditorias;
• etc.
Perceba que estamos falando em documentação! Documentação de backup, documen-
tação dos processos de start e stop dos servidores, entre outros. Para auxiliar no processo de 
documentação, podemos invocar a ITIL no que tange Catálogo de Serviços. Eles são um bom 
exemplo de como realizar a documentação de todos os procedimentos da TI e deixar de forma 
organizada com revisão periódica.
GESTÃO DE MUDANÇAS
Ainda utilizando as boas práticas da ITIL, podemos ponderar a Gestão de Mudanças. 
Toda mudança gera um grande problema que é a própria mudança. Normalmente, elas acon-
tecem em um ambiente que já está em operação e, por isso, pode comprometer o bom funcio-
namento dos processos diários da empresa e danificar a disponibilidade das informações. A 
gestão de operação vai ao encontro do objetivo de deixar a informação o maior tempo possível 
disponível!
Utilizar gestão de mudança garante a diminuição do tempo de downtime dos sistemas e 
impacta menos na operação da empresa. Podemos seguir o seguinte fluxo para gestão de mu-
danças:
57SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Para entender melhor o fluxo de mudanças sem muita enrolação, vamos pensar em um 
cenário. Você é o administrador de rede de uma empresa e precisa trocar um switch. Neste 
equipamento, serão criadas Vlans de acesso e uma nova forma de roteamento.
Requisição de mudança: nesta etapa, abre-se uma requisição para realizar essa mudan-
ça, normalmente, em um software de gestão de demandas. Registra-se essa necessidade e 
documenta-se o que será realizado.
Escolha um responsável: para toda mudança, é necessário elencar-se um responsável, 
que a realizará e documentará o processo. O responsável é necessário para que alguém seja 
responsabilizado caso aconteça algum problema e sirva como ponto de referência. Isso mes-
mo que você está pensando, temos que achar um culpado caso as coisas derem errado. Isso 
faz com que o grau de comprometimento seja maior em realizar um trabalho elaborado e co-
erente.
Identificação e registro das mudanças: nesta etapa, apenas registram-se as informa-
ções anteriormente mostradas.
Avaliação de impactos: é realizada uma análise de riscos da mudança! O que pode dar de 
errado ao trocar um switch? O que pode acontecer com a rede após a troca? Quais os riscos, 
ameaças e vulnerabilidades? Como elas impactam nos pilares de segurança? É uma fase de 
muitas perguntas para que a mudança seja a melhor planejada possível.
Planejamento das mudanças: é a fase de maior tempo! “Perca” o tempo necessário para 
cada etapa. Planeja com calma! Pense como realizar a mudança gerando o menor impacto. 
Lembre-se de quem você deve avisar das mudanças. Faça a análise, quais setores serão im-
pactados? Quais processos de negócio serão afetados? Pense passo a passo como será a troca 
do switch. Faça um desenho das interconexões, anote onde cada cabo de rede estará ligado e 
para que serve cada uma das portas. Enfim, planeje, planeje e planeje!
58SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Testes da mudança: sabe quando realizamos uma mudança sem testar? Apenas em ca-
sos críticos e emergenciais, onde não há tempo para testes, fora isso, toda mudança deve ser 
testada. Crie um ambiente de homologação para realizar o teste. Teste uma, duas, três vezes. 
Faça todos os testes possíveis para que, quando entrar em produção não haja impacto nos 
processos do negócio. Ligue o switch em uma rede separada. Teste as rotas, as entregas de IP 
nas novas Vlans, teste toda comunicação.
Procedimentos de recuperação: e se algo der errado?! Saiba o que fazer se algo der er-
rado. Pense em um plano de contingência para saber como fazer o rolback e reestabelecer os 
processos. Nunca faça uma mudança sem saber como desfazê-la e retornar ao estado origi-
nal, caso contrário, pode haver impacto nos processos do negócio ou na perda de informação.
Aprovação da mudança: toda mudança deve ser aprovada! E quem aprova é um Comitê 
de Gestão de Mudança, que permitirá ou não que ela seja realizada, ou sugerirá uma nova data 
para ser realizada.
Comunicação: sabe o que é pior do que parar um ambiente para realizar uma mudança? 
É não avisar que o ambiente parará. Um usuário não ficará brabo se você avisar que a rede pa-
rará por 1 hora para troca do equipamento, pois ele se programará para ficar 1 hora sem acesso 
às informações. Mas ele ficará muito brabo se a rede cair sem ele ser avisado. O aviso deve ser 
feito pelo menos com 1 semana de antecedência para que os setores tenham tempo para se 
organizar e criar um plano de contingência. Comunicar é de extrema importância!
Implantação: essa é a etapa mais simples, implementar. Afinal, se tudo está planejado, 
se os testes foram realizados, se os setores foram avisados, tudo está certo e a implementação 
é apenas uma fase rápida no contexto da gestão de mudanças.
Documentação: ao final, basta realizar a documentação de toda mudança, de como o 
ambiente ficou e quais as lições aprendidas. Documentar é de extrema importância.
O processo de Gestão de Mudança contribui muito para que a indisponibilidade da in-
formação seja a menor possível, seguindo esse fluxograma, com toda certeza, as mudanças 
serão menos traumáticas e mais precisas.
Um artifício muito importante também para o sucesso de uma mudança é trabalhar com 
ambientes de desenvolvimento, teste e produção. É boa prática, ainda mais para sistemas, 
manter ambientes para homologação antes de entrar em produção e mitigar os riscos que as 
falhas que novos patches dos programas possam gerar nos processos da empresa e na mani-
pulação das informações.
GESTÃO DA CAPACIDADE
Você já se perguntou quanto tempo ainda a capacidade de armazenamento do banco de 
dados da sua empresa aguentará sem que seja necessário aumento de disco? O grande pro-
blema é que muitos não sabem nem a porcentagem de crescimento média da base de dados 
59SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
que administra. Gerir capacidade é buscar o equilíbrio entre o comportamento da demanda e 
o dimensionamento da infraestrutura.
O administrador de infraestrutura precisa estar atento à capacidade do ambiente, para 
manter a saúde do mesmo e saber qual o limite que pode chegar. Às vezes, as demandas do 
negócio exigem maior poder computacional e, em muitos casos, a infra não tem capacidade 
para absorver tudo que é demandado.
Para gerir a capacidade, é necessário conseguir informações de todos os ativos de infra-
estrutura, sejam servidores ou equipamentos de redes. Pense comigo, se o link de comunica-
ção da empresa está com 80% de uso e a organização resolve migrar todos seus serviços para 
a nuvem, isso dará certo? Claro que não! Pois o link de comunicação não tem mais capacidade 
de absorver um tráfego enorme para a nuvem, pois os usuários acessarão todos os recursos de 
sistemas na internet.
Existem muitas ferramentas gratuitas que podem ser utilizadas neste contexto, para 
monitoração do ambiente do ambiente, a fim de garantir informações fidedignas que serão 
utilizadas para tomadas de decisão e comoevidência da capacidade vigente da infraestrutura 
para sustentar os processos de negócio.
60SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
BACKUP
Outro ponto muito importante são as cópias de segurança, ou backups. A intenção de se 
manter cópias de segurança é para em caso de desastre, seja possível restaurar a operação da 
empresa do mais rápido possível. Os backups podem ser Full, Incrementais ou Diferenciais.
Full: backup realizado copiando todos os arquivos.
Incremental: são copiados somente arquivos novos ou modificados desde a última exe-
cução do backup.
Diferencial: os arquivos copiados são somente os novos ou modificados desde o último 
backup completo.
Muito importante no processo de backup, haver a documentação de como ele está es-
truturado e quais os tempos de retenção de cada um deles. Necessário catalogar servidores e 
aplicações que estão nas rotinas de backup. Normalmente, nas estratégias de backup, realiza-
-se um backup Full por semana e nos demais dias backups incrementais ou diferenciais.
A documentação do processo de recovery é de suma importância, pois de nada adianta 
termos o backup realizado se não soubermos como restaurar o ambiente à sua operação nor-
mal.
CONTROLES ESPECÍFICOS
Existem muitos controles específicos, detalhados na ISO27002. Seguem todos os con-
troles do que tange Segurança das Operações e Comunicação.
12.Segurança nas Operações e Comunicação
12.1.Responsabilidades e procedimentos operacionais
12.1.1.Documentos dos procedimentos de operação
12.1.2.Gestão de mudanças
12.1.3.Gestão da capacidade
12.1.4.Separação dos ambientes de desenvolvimento, teste e produção
12.2.Proteção contra malware
12.2.1.Controles contra malware
12.3.Cópias de segurança
12.3.1.Cópias de segurança das informações
12.4.Registros e monitoramentos
12.4.1.Registros de eventos
12.4.2.Proteção das informações dos registros de eventos (logs)
12.4.3.Registros de eventos (log) de administrador e operador
12.4.4.Sincronização de relógios
12.5.Controle de software operacional
12.5.1.Instalação de software nos sistemas operacionais
12.6.Gestão de vulnerabilidades técnicas
12.6.1.Gestão de vulnerabilidade técnicas
12.6.2.Restrição quanto à instalação de software
12.7.Considerações quanto à auditoria de sistemas de informação
12.7.1.Controles de auditorias de sistemas de informação
61GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre a sessão de operações e comunicação. Vimos como é importante melhorar os processos de TI 
para que possam agregar em segurança, mantendo o ambiente, o maior tempo, disponível, sem interrupções de serviços.
62GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. O que é RTO?
2. O que é RPO?
3. O que é um backup diferencial?
4. Qual a importância da gestão de mudanças?
5. Qual a importância da gestão de capacidade?
63
OUTROS CONTROLES
Existem outros controles de suma importância. Acompanhe!
64SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
RECURSOS HUMANOS
A função dos Recursos Humanos, no que tange segurança, é algo importantíssimo. O 
objetivo é assegurar que todos (funcionários, terceiros, prestadores, etc.) entendam as suas 
responsabilidades e fiquem em conformidade com as suas obrigações dentro do SGSI.
O trabalho do RH começa ainda no processo de seleção das pessoas. Convém que o his-
tórico dos candidatos seja ponderado. Para cada candidato, uma pessoa de referência deve ser 
elencada, de preferência uma profissional e uma pessoal, além de uma verificação da veraci-
dade das informações do curriculum vitae.
Uma atividade importante é verificar a autenticação da documentação do candidato, 
como RG, CPF, Passaporte, a fim de homologar a autenticidade dos documentos. Verificar a 
autenticidade dos diplomas acadêmicos também é uma boa prática.
Outro ponto importante é a elaboração de um termo de confidencialidade e obrigações 
que o funcionário deverá assinar quando é contratado, reiterando seu compromisso com os 
controles de segurança e aceitando as normas impostas pela organização, assumindo o com-
promisso em cumprir cada uma delas.
Durante a vida laboral do funcionário, o setor de RH também pode auxiliar na organiza-
ção de treinamentos de conscientização dos funcionários, a fim de disseminar as políticas de 
segurança e capacitas para um para estar alinhados com as diretrizes da empresa.
Seguem todos os controles referente aos recursos humanos:
7.Segurança da Recursos Humanos
7.1.Antes da contratação
7.1.1.Seleção
7.1.2.Termos e condições de contratação
7.2.Durante a contratação
7.2.1.Responsabilidade da direção
7.2.2.Conscientização, educação e treinamento em segurança da informação
7.2.3.Processo disciplinas
7.3.Encerramento e mudança da contratação
7.3.1.Responsabilidades pelo encerramento ou mudança da contratação
65SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
AQUISIÇÃO E DESENVOLVIMENTO DE SISTEMAS
Um dos pontos mais importantes para segurança é o desenvolvimento dos sistemas. A 
maioria das falhas de segurança está no desenvolvimento dos sistemas de informação. Infe-
lizmente, não há uma preocupação verdadeira com o desenvolvimento seguro. Desenvolver 
é algo que acarreta muito trabalho e os desenvolvedores preferem não “perder” esse tempo, 
entregando códigos cheios de vulnerabilidades.
O objetivo deste tópico é garantir que a segurança da informação seja parte integrante de 
todo processo do ciclo de vida dos sistemas. Repare nisso: “parte integrante de todo processo 
do ciclo de vida dos sistemas”. Desenvolvimento seguro acontece durante todo processo de 
desenvolvimento e não somente em algumas fases. Todo ciclo de vida do sistema precisa estar 
preocupado com segurança.
É necessário a criação de uma Política de Segurança para Desenvolvimento Seguro. A 
política faz com que haja um processo padrão para todo o desenvolvimento e exige a utiliza-
ção de boas práticas.
Na política, pode conter os aspectos de troca de informações através da rede pública (in-
ternet). Convém que as informações enviadas pela internet estejam criptografadas e protegi-
das contra acessos indevidos. A maioria dos controles, deste tipo, são feitos com criptografia 
e funções de hash que protegem arquivos, senha e informações.
Outro ponto importante é na comunicação entre os sistemas e outras aplicações e servi-
ços. Toda troca de informação entre sistemas precisa ser protegida por criptografia e chaves 
de acesso. A utilização de assinaturas digitais também é importante para verificar a autenti-
cidade de quem está enviando e recebendo a informação.
66SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
 Dentro da política, pode-se definir a gestão de mudanças para sistemas, a fim mitigar 
problemas quando houver atualização ou manutenção dos mesmos. É de boa prática que to-
das as mudanças sejam documentadas e testadas antes de entrar em produção, protegendo a 
cadeia de valor da empresa.
Pode-se definir, na política, a obrigatoriedade de utilização de um repositório seguro 
para os códigos fontes dos sistemas, bem como a padronização de linguagens de programa-
ção. Os repositórios devem auditar as alterações dos códigos e armazenar o versionamento 
dos sistemas. O controle de versão é outro ponto crucial para poder haver segurança no de-
senvolvimento. Versões de teste não podem estar misturadas com versões de produção.
Convém que na política, haja menção a testes de segurança nos sistemas. Periodica-
mente, os sistemas devem ser submetidos a testes de segurança para garantir que não exis-
tam vulnerabilidades aparentes e que possam ser exploradas por pessoas mal-intencionadas.
Outra prática muito importante é manter 2 ambientes na empresa. Um ambiente de Pro-
dução e um ambiente de Desenvolvimento/Teste, para que os sistemas possam ser testados 
antes de entrarem em produção, protegendo, dessa forma, a operação da empresa sem expor 
dados sensíveis ou parando os sistemas.
Existem muitos controles específicos detalhados na ISO27002. Seguem todos os con-
troles do que tangeAquisição e Desenvolvimento de Sistemas.
14.Aquisição, desenvolvimento e manutenção de sistemas de informação
14.1.Requisitos de segurança de Sistemas de Informação
14.1.1.Análise e especificação dos requisitos de segurança da informação
14.1.2.Serviços de aplicação seguros em redes públicas
14.1.3.Protegendo as transações nos aplicativos de serviço
14.2.Segurança em processo de desenvolvimento de suporte
14.2.1.Política de desenvolvimento seguro
14.2.2.Procedimentos para controle de mudanças em sistemas
14.2.3.Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
14.2.4.Restrições sobre mudanças em pacotes de software
14.2.5.Princípios para proteger sistemas seguros
14.2.6.Ambiente seguro para desenvolvimento
14.2.7.Desenvolvimento terceirizado
14.2.8.Teste de segurança do sistema
14.2.9.Teste para aceitação de sistemas
14.3.Dados para teste
14.3.1.Dados para teste
67SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
GESTÃO DE ATIVOS
Os ativos são os bens de maior valor nas organizações e, por causa disso, a ISO27002 
traz controles específicos para a gestão de ativos. O objetivo da gestão de ativos é identificar 
os ativos da organização e definir as devidas responsabilidades pela proteção deles. O pri-
meiro passo é o inventário dos ativos, sejam elas de hardware, sistemas ou pessoas. Todos os 
ativos devem ser inventariados.
Ao executar o inventário dos ativos, um responsável deve ser elencado para cada um. 
Esse responsável responderá por tudo o que acontecer com ele e terá como obrigação manter 
a documentação atualizada, bem como planos de manutenção e histórico do que aconteceu 
com ele, para que, dessa forma, todos os ativos estejam sempre em pleno funcionamento e 
seguros.
Outro ponto interessante na gestão de ativos é a classificação da informação. Convém 
assegurar que as informações recebam um nível adequado de proteção, de acordo com sua 
importância para a organização. A classificação pode seguir 3 ou 4 níveis, geralmente. Por 
exemplo:
• pública: quando sua divulgação não causa qualquer dano;
• privada: quando a divulgação gera uma pequena inconveniência operacional;
• sensível: quando a divulgação gera um impacto negativo nas operações;
• confidencial: quando sua divulgação gera um sério impacto sobre a operação.
Outro ponto importante é o descarte de mídias como HD’s, CD’s e Pendrive’s. Essas mí-
dias devem ser destruídas para que não seja possível recuperar nenhuma informação contida 
nelas.
Seguem todos os controles do que tange Gestão de Ativos.
8.Gestão de Ativos
8.1.Responsabildiades pelos ativos
8.1.1.Invetário dos ativos
8.1.2.Proprietário dos ativos
8.1.3.Uso aceitável dos ativos
8.1.4.Devolução de ativos
8.2.Classificação da informação
8.2.1.Classificação da Informação
8.2.2.Rótulos e tratamento da informação
8.2.3.Tratamento dos ativos
8.3.Tratamento de mídias
8.3.1.Gerenciamento de mídias removíveis
8.3.2.Descarte de mídias
8.3.3.Transferencia física de mídias
68GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre as sessões de Recursos Humanos, Aquisição de Sistemas e Gestão de Ativos. Cada uma delas 
possue uma importância grande para a aplicação do SGSI, aumentando o grau de maturidade de um ambiente no que tange Segurança da Infor-
mação.
69GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. Qual o papel do setor de recursos humanos no que tange SI?
2. Qual o grande problema no desenvolvimento de sistemas no que tange SI?
3. Quais informações são importantes de serem validadas na hora da contratação?
4. Qual a recomendação para proteger os sistemas que trocam informações com a internet?
5. Qual a importância de um inventário?
70
DECLARAÇÃO DE 
APLICABILIDADE
Para certificar que uma empresa faz parte da ISO27001, é necessário 
cumprir os 114 controles contidos no ANEXO A. Acompanhe comigo! Keep 
Learning!
71SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
A Delação de aplicabilidade é um passo importante para a certificação na ISO27001. Nela, 
todos os controles são descritos e a empresa deve cumpri-los impreterivelmente. Em alguns 
casos, controles que não se aplicam para a realidade da empresa podem ser desconsiderados, 
mas devem ser muito bem justificados.
Seguem todos os 114 controles da ISO27001 presentes no ANEXO A da norma:
5.Políticas de Segurança da Informação
5.1.Orientação da Direção para Segurança da Informação
5.1.1.Políticas para Segurança da Informação
5.1.2.Análise crítica das Políticas de Segurança da Informação
6.Organização da Segurança da Informação
6.1.Organização interna
6.1.1.Responsabilidades e papéis pela segurança interna
6.1.2.Segregação de funções
6.1.3.Contato com autoridades
6.1.4.Contato com grupos especiais
6.2.Dispositivos móveis e trabalho remoto
6.2.1.Política para uso de dispositivo móvel
6.2.2.Trabalho remoto
7.Segurança da Recursos Humanos
7.1.Antes da contratação
7.1.1.Seleção
7.1.2.Termos e condições de contratação
7.2.Durante a contratação
7.2.1.Responsabilidade da direção
7.2.2.Conscientização, educação e treinamento em segurança da informação
7.2.3.Processo disciplinas
7.3.Encerramento e mudança da contratação
7.3.1.Responsabilidades pelo encerramento ou mudança da contratação
8.Gestão de Ativos
8.1.Responsabildiades pelos ativos
8.1.1.Invetário dos ativos
8.1.2.Proprietário dos ativos
8.1.3.Uso aceitável dos ativos
8.1.4.Devolução de ativos
8.2.Classificação da informação
8.2.1.Classificação da Informação
8.2.2.Rótulos e tratamento da informação
8.2.3.Tratamento dos ativos
8.3.Tratamento de mídias
8.3.1.Gerenciamento de mídias removíveis
8.3.2.Descarte de mídias
8.3.3.Transferencia física de mídias
72SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
9.Controle de Acesso
9.1.Requisitos do negócio para controle de acesso
9.1.1.Política de controle de acesso
9.1.2.Acesso à rede e aos serviços de rede
9.2.Gerenciamento de acesso do usuário
9.2.1.Registro e cancelamento de usuário
9.2.2.Provisionamento para acesso de usuário
9.2.3.Gerenciamento de direitos de acesso privilegiados
9.2.4.Gerenciamento da informação de autenticação secreta de usuários
9.2.5.Análise crítica dos direitos de acesso de usuário
9.2.6.Retirado ou ajuste dos direitos de acesso
9.3.Responsabilidade dos usuários
9.3.1.Uso da informação de autenticação secreta
9.4.Controle de acesso ao sistema e à aplicação
9.4.1.Restrição de acesso à informação
9.4.2.Procedimento seguros de entrada no sistema (log-on)
9.4.3.Sistema de gerenciamento de senha
9.4.4.Uso de programas utilitários privilegiados
9.4.5.Controle de acesso ao código fonte de programas
11.Segurança Física e do Ambiente
11.1.Áreas seguras
11.1.1.Perímetro de segurança física
11.1.2.Controles de entrada física
11.1.3.Segurança em escritórios, salas e instalações
11.1.4.Proteção contra ameaças externas e do meio ambiente
11.1.5.Trabalhando em áreas seguras
11.1.6.Áreas de entrega e de carregamento
11.2.Equipamento
11.2.1.Localização e proteção do equipamento
11.2.2.Utilidades
11.2.3.Segurança do cabeamento
11.2.4.Manutenção dos equipamentos
11.2.5.Remoção de ativos
11.2.6.Segurança de equipamentos e ativos fora das dependências da organização
11.2.7.Reutilização ou descarte seguro de equipamentos
11.2.8.Equipamento de usuários sem monitoração
11.2.9.Política de mesa limpa e tela limpa
10.Criptografia
10.1.Controles criptográficos
10.1.1.Política para uso de controles criptográficos
10.1.2.Gerenciamento de chaves
73SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
12.Segurança nas Operações
12.1.Responsabilidades e procedimentos operacionais
12.1.1.Documentos dos procedimentos de operação
12.1.2.Gestão de mudanças
12.1.3.Gestão da capacidade
12.1.4.Separação dos ambientes de desenvolvimento, teste e produção
12.2.Proteção contra malware
12.2.1.Controles contra malware
12.3.Cópias de segurança
12.3.1.Cópias de segurança das informações
12.4.Registros e monitoramentos
12.4.1.Registros de eventos
12.4.2.Proteção das informações dos registros de eventos (logs)
12.4.3.Registrosde eventos (log) de administrador e operador
12.4.4.Sincronização de relógios
12.5.Controle de Software Operacional
12.5.1.Instalação de software nos sistemas operacionais
12.6.Gestão de vulnerabilidades técnicas
12.6.1.Gestão de vulnerabilidade técnicas
12.6.2.Restrição quanto à instalação de software
12.7.Considerações quanto à auditoria de sistemas de informação
12.7.1.Controles de auditorias de sistemas de informação
13.Segurança nas Comunicações
13.1.Gerenciamento de segurança em redes
13.1.1.Controle de redes
13.1.2.Segurança dos serviços de rede
13.1.3.Segregação de redes
13.2.Transferência de informação
13.2.1.Políticas e procedimentos para transferência de informação
13.2.2.Acordos para transferência de informação
13.2.3.Mensagens eletrônicas
13.2.4.Acordos de confidencialidade e não divulgação
14.Aquisição, desenvolvimento e manutenção de sistemas de informação
14.1.Requisitos de segurança de Sistemas de Informação
14.1.1.Análise e especificação dos requisitos de segurança da informação
14.1.2.Serviços de aplicação seguros em redes públicas
14.1.3.Protegendo as transações nos aplicativos de serviço
14.2.Segurança em processo de desenvolvimento de suporte
14.2.1.Política de desenvolvimento seguro
14.2.2.Procedimentos para controle de mudanças em sistemas
14.2.3.Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
14.2.4.Restrições sobre mudanças em pacotes de software
14.2.5.Princípios para proteger sistemas seguros
14.2.6.Ambiente seguro para desenvolvimento
14.2.7.Desenvolvimento terceirizado
14.2.8.Teste de Segurança do sistema
14.2.9.Teste para aceitação de sistemas
14.3.Dados para teste
14.3.1.Dados para teste
74SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
15.Relacionamento na Cadeia de Suprimento
15.1. Segurança da informação da Cadeia de Suprimento
15.1.1.Política de segurança da informação no relacionamento com fornecedores
15.1.2.Identificando segurança da informação nos acordos com fornecedores
15.1.3.Cadeia de suprimento na tecnologia da informação e comunicação
15.2.Gerenciamento da entrega de serviço do fornecedor
15.2.1.Monitoramento e análise crítica de serviços com fornecedores
15.2.2.Gerenciamento de mudanças para serviços com fornecedores
16.Gestão de Incidentes de Segurança da Informação
16.1.Gestão de Incidentes de Segurança da Informação e melhorias
16.1.2.Notificação de eventos de segurança da informação
16.1.3.Notificando fragilidades de segurança da informação
16.1.4.Avaliação e decisão dos eventos de segurança da informação
16.1.5.Resposta aos incidentes de segurança da informação
16.1.6.Aprendendo com os incidentes de segurança da informação
16.1.7.Coleta de evidências
18.Conformidade
18.1.Conformidade com requisitos legais e contratuais
18.1.2.Direitos de propriedade intelectual
18.1.3.Proteção de registros
18.1.4.Proteção da privacidade de informação de identificação pessoal
18.1.5.Regulamentação de controles de criptografia
18.2.Análise Crítica da Segurança da Informação
18.2.1.Análise crítica independente da segurança da informação
18.2.2.Conformidade com as políticas e procedimentos de segurança da informação
18.2.3.Análise crítica da conformidade técnica
17.Aspectos da Segurança da Informação na Gestão de Continuidade de Negócio
17.1.Continuidade da segurança da informação
17.1.1.Planejando a continuidade de segurança da informação
17.1.2.Implementando a continuidade da segurança da informação
17.1.3.Verificação, análise crítica e avaliação da continuidade da segurança da informação
17.2.Redundâncias
17.2.1.Disponibilidade dos recursos de processamento da informação
75SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
É muito interessante utilizar a declaração de aplicabilidade para verificar o nível de ma-
turidade referente a segurança de uma empresa. Pode-se ponderar todos os controles e gerar 
um gráfico no que tange o compliance de uma empresa com a norma ISO27001. Veja esses 
exemplos:
Podemos analisar esse gráfico, e dizer que a empresa em questão está 52% em confor-
midade com a ISO27001, portanto, seu grau de maturidade, no que tange todos os controles 
da norma, é razoável, pois pelo menos 50% de todos os controles está aplicado no ambiente.
Olhe esse outro gráfico, gerado apenas dos controles de TI no ambiente:
Olhando para esse outro gráfico, pode-se concluir que a TI está em compliance com a 
norma em 60%, ou seja, a maturidade da TI é maior do que a maturidade de toda a empresa. 
Normalmente é um cenário que se repete, pois a TI é a primeira a se preocupar com segurança 
e na padronização de processos.
76SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Um outro gráfico, como exemplo, pode ser extraído da Declaração de Aplicabilidade. 
Controles focados em Continuidade de Negócio:
Pode-se observar que, no que tange Continuidade de Negócio, essa empresa está pouco 
adequada com os controles propostos pela ISO27001, ou seja, o negócio está bem exposto a 
interrupções dos processos e impacto negativos, pois somente 40% dos controles da norma 
que se propõe em manter o negócio em funcionamento estão implementados.
A Declaração de Aplicabilidade é uma ferramenta poderosa que pode nos ajudar a mape-
armos onde está mais caótico no ambiente, no que tange Segurança da Informação.
77GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre como utilizar a declaração de aplicabilidade para certificar um ambiente na ISO27001, e como 
podemos usá-la para avaliar o grau de maturidade de segurança da informação de uma empresa, de acordo com os controles utilizados.
78GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. O que é a declaração de aplicabilidade?
2. Uma empresa que vai se certificar na ISo27001, precisa estar em compliance com quantos controles?
3. Como podemos medir o grau de maturidade de um ambiente?
79
ENGENHARIA SOCIAL
Vamos hackear as pessoas?! Sem mais comentários...
80SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
As pessoas detêm informações e conhecimentos. As empresas se utilizam de tecnologia 
para garantir a segurança em processos e aplicações, porém, sempre haverá seres humanos 
trabalhando em seus processos diários, acessando sistemas e compartilhando informações, 
fazendo com que a cadeia de valor se mantenha funcional. O hacker Mitnick (2005) defende 
que em todos sistemas de computadores há pelo menos um ser humano que o usa. Lembrem-
-se de uma coisa, a corrente é mais forte que seu elo mais fraco. 
Em Segurança da Informação, o elo mais fraco é o fator humano. Quando os investimen-
tos são somente direcionados para segurança nos processos das organizações, não podemos 
esquecer do fator humano, pois se a empresa adquirir os melhores equipamentos tecnológi-
cos, como firewalls e antivírus, garantirá segurança a rede de dados e não investirá na mu-
dança de cultura das pessoas, de nada adiantará. Mitinick (2003) enfatiza dizendo que:
À medida que os especialistas contribuem para o desenvolvimento contínuo de me-
lhores tecnologias de segurança, tornando ainda mais difícil a exploração de vulnerabi-
lidades técnicas, os atacantes se voltarão cada vez mais para a exploração do elemento 
humano. Quebrar a “firewall humana” quase sempre é fácil, não exige nenhum investi-
mento além do custo de uma ligação telefônica e envolve um risco mínimo.”
As pessoas são facilmente enganadas e induzidas a entregar informações sigilosas ou a 
realizarem alguma ação que possa comprometer a segurança. O Engenheiro Social surge, neste 
cenário, como a grande ameaça à segurança, explorando a vulnerabilidade humana. Mitinick 
(2003) define a engenharia social como sendo a influência e a persuasão utilizada para enga-
nar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é. 
Quando a exploração é realizada com sucesso, o engenheiro social aproveita-se da ignorância 
e desinformação das pessoas para obter as informações com ou sem o uso da tecnologia.
Kevin Mitnick é um dos maiores exponentes de engenhariasocial, por explorar a vulne-
rabilidade humana. Ele burlava as medidas de segurança tecnológicas das organizações alvo 
de seus ataques Hacker. Mitinick tinha a habilidade de conseguir senhas de acessos, docu-
mentos sigilosos e acessos a áreas restritas apenas pedindo às pessoas e de forma voluntários 
as informações eram repassadas a ele. 
A melhor forma de obter um nível de segurança aceitável junto às pessoas, é possuir 
funcionários capacitados e conscientizados, maduros no que tange segurança da informação 
e engenharia social. Ele defende que além da capacitação, é necessário existir um programa 
constante de conscientização nas empresas.
O sucesso da segurança da informação está atrelado a uma mudança de cultura no am-
biente da empresa. Caruso e Steffen (1999) defendem que é necessário a venda de cultura da 
segurança para toda empresa, caso contrário de nada valerá investir recursos em tecnologia, 
sem preparar as pessoas. Mitinick (2003) corrobora a ideia de Caruso e Steffen quando cita:
“Um método para manter a segurança sempre na mente do empregado é fazer com 
que a segurança das informações seja parte específica da função de todas as pessoas 
que trabalham na empresa.”
81SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
O fator chave é a mudança cultural para haja o sucesso da segurança da informação. 
A Cultura Organizacional pode ser definida como um conjunto de pressupostos básicos, de 
valores, inventados ou descobertos por um grupo para resolver problemas tanto de adaptação 
externa e/ou integração interna (ROSSO, 2000). Ela direciona “como as coisas costumam ser 
feitas dentro de determinada organização”, os valores e políticas que devem ser seguidas pelo 
senso comum. Segundo Robbins (2005), a cultura ajuda a manter a organização coesa, forne-
cendo padrões adequados àquilo que o pessoal fará ou dirá. Ela orienta as atitudes e compor-
tamentos de todos que estão envolvidos no ambiente.
O processo de mudança é trabalhoso e dificultoso. Normalmente, há desconforto e an-
siedades, por parte dos membros da equipe, que devem ser superadas, é necessário desapren-
der os conceitos antigos para poder colocar em prática conceitos novos (SCHEIN, 1999).
Mitinick (2003) advoga que: 
“As empresas devem não apenas definir por escrito as regras das políticas, mas tam-
bém devem se esforçar ao máximo para orientar todos os que trabalham com as infor-
mações corporativas ou com os sistemas de computadores para que eles aprendam e 
sigam as regras.”
O ser humano, quando sai de sua zona de conforto, sente-se vulnerável, por isso é re-
sistente a mudanças. O sucesso da segurança da informação depende visceralmente de uma 
mudança cultural, ou seja, implantar segurança simboliza mudanças relevantes nos proces-
sos diários de cada colaborador, e isso gera transtornos e desafios que devem ser enfrentados 
por todos. Uma política de segurança bem desenvolvida e coerente, se combinada à educação 
e treinamento aos colaboradores, aumenta a consciência do empregado sobre o tratamento 
correto das informações comerciais corporativas (MINITICK, 2003). Os engenheiros sociais 
utilizam-se de algumas técnicas para coletar informações dos seus alvos, não somente uma 
abordagem direta e pessoal.
A análise do lixo é uma técnica frequentemente utilizada pelos engenheiros sociais para 
garimpar informações. Gravem essa frase: “Nem sempre o lixo, é lixo!”. É comum que as 
pessoas joguem fora, no lixo comum, papéis com anotações velhas com números telefônicos, 
nomes, contatos, senhas antigas, lembretes do dia a dia. Num primeiro momento, essas in-
formações parecem ser inofensivas, porém, um engenheiro social, pode usá-las para traçar 
um perfil ou realizar contatos fraudulentos. Tente, um dia, ir ao banco e olhar no lixo que fica 
ao lado dos caixas eletrônicos, tenho certeza de que achará informações valiosas ali dentro, 
sobre contas bancárias e os dados bancários de várias pessoas.
No âmbito empresarial, é importante ressaltar que o lixo não é lixo, pois muitas espio-
nagens industriais acontecem no lixo das empresas. Espiões podem revirar o lixo em busca 
de informações sobre produtos, novas propagandas que estão sendo realizadas, entre outras 
coisas, portanto, muito cuidado com seu lixo!
Uma boa solução para descarte de papéis é a picotadora de papel, que esmigalha as fo-
lhas em inúmeros pedaços, mas cabe um detalhe, precisa ser a picotadora de papel que picota 
82SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
de forma cruzada, deixando bem picado o papel, pois a picotadora mais comum, apenas corta 
em tiras verticais e, com isso, é possível remontar os documentos, como se fosse um quebra-
-cabeça.
Internet e redes sociais é um prato cheio para engenheiros sociais! Com poucos minutos 
em sua rede social, um engenheiro consegue descobrir seus gostos, sua opinião política, os 
lugares que você frequenta, quem são seus amigos mais íntimos. O que você fez em uma quin-
ta-feira que marcou sua vida com a hashtag #tbt. Enfim, inúmeras informações de bandeja 
para ele usar contra você mesmo! A dica é, divulgue o mínimo de informações possíveis em 
redes sociais. Abra somente para seus amigos, os que você conhece pessoalmente. Não abra 
não de sua privacidade.
O contato telefônico é o meio mais clássico de como um engenheiro social pode abor-
dar uma pessoa. Através do telefone, ele poderá persuadir as pessoas e descobrir informações 
importantíssimas. Às vezes, não é necessário muito tempo. Uma ligação na hora certa, num 
momento certo, pode fazer com que uma pessoa caía no golpe rapidamente, sem muito esfor-
ço por parte do engenheiro.
Se o contato telefônico não der certo? O engenheiro social tenta uma abordagem pesso-
al. Pode ser que ele tente fazer uma visita presencial na empresa, que será alvo do seu ataque 
e se faça passar por um entregador de flores, com um papo convincente para entrar e entregar 
as flores em mão para alguém. Talvez, até uma pessoa que ele achou o nome no lixo da em-
presa, e usará isso para ter um elo com alguém dentro da corporação. 
Que tal pescar? A técnica de Phishing é amplamente usada e é muito eficaz. Você já re-
cebeu um e-mail falando para você atualizar seu cadastro na Receita Federal? Ou aquele outro 
clássico falando que a pessoa tem as suas fotos na praia? Isso é phishing! Esse tipo de ataque 
é amplamente utilizado e consegue capturar várias vítimas. Algumas empresas são especiali-
zadas em campanhas de phishing para avaliar o grau de maturidade dos funcionários de uma 
empresa. Ao final, sabe-se quantos caíram no ataque, após, um treinamento é realizado.
83SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
A porta mais fácil de entrar são as falhas humanas, que são utilizadas em todas as outras 
técnicas. Basicamente, há uma manipulação de sentimentos, que o engenheiro social usa para 
persuadir as pessoas. As falhas são:
• Vontade de ser útil: o ser humano, normalmente, procura ser cortes ou ajudar os outros 
quando necessário. Um engenheiro social pode fazer uma abordagem da seguinte for-
ma: “Oi! Tudo bem? Eu sou novo na empresa e nosso chefe está me cobrando um rela-
tório, tens como me ajudar? Eu não lembro meu usuário e senha para acessar o sistema, 
será que você pode gerar o relatório para mim e me enviar?”
• Busca amizades: o ser humano gosta tanto de fazer amigos, ainda mais depois de um 
bom elogio. Um engenheiro social pode realizar uma abordagem mais íntima, dar al-
guns elogios para “quebrar o gelo” e buscar uma aproximação. Por exemplo: “Oi, co-
lega! Tudo bem? Gostei tanto do seu cabelo, onde você cortou? Sabe que queria cortar 
igual, mas tenho que terminar um relatório e não posso sair antes, será que você pode 
me ajudar, amiga? Esqueci minha senha, tem como entrar no sistema ou me passar sua 
senha? Prometo que não conto para ninguém.”
• Prorrogar responsabilidades: normalmente, o ser humano tende a não se sentir o úni-
co responsável por uma atividade. Um exemplo de ataque desse tipo:“Olha, eu preciso 
saber essa informação para conseguir terminar esse relatório, mas se você não me der 
tudo bem, pode você mesmo fazer e assumir essa responsabilidade.”
• Persuasão: pode ser realizada de várias formas. Um exemplo, é se fazer passar por al-
guém de cargo superior. O ser humano tende a “baixar a cabeça” para autoridades, por 
medo. Exemplo: um contato telefônico com a TI. - “Aqui é o diretor geral da planta, 
esqueci minha senha, preciso que você reset minha senha para que eu possa acessar o 
sistema. Confirme qual é o meu usuário, pois perdi o papel onde estava escrito...”
Outra vulnerabilidade destrutiva em 
uma empresa, que não é ligada direta-
mente ao engenheiro social, mas tem total 
relação com o ser humano, são os funcio-
nários insatisfeitos. Eles podem boicotar 
a empresa de uma forma destrutiva, pois 
eles já têm a autorização de acesso nos 
ambientes e já possuem privilégios a in-
formações.
Para combater um engenheiro so-
cial, a única resposta será o treinamento 
e conscientização das pessoas, indicando 
como um engenheiro social pode atacar e 
ensinando técnicas para validar com quem 
se está falando e como não cair nas garras 
desses malfeitores. 
84GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre a Engenharia Social e como os atacantes utilizam-se dela para conseguir extrair informações 
sigilosas, utilizando as falhas humanas e técnicas de persuasão.
85GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. Quais são as principais falhas humanas?
2. O que é um engenheiro social?
3. Como evitar um ataque de engenharia social?
4. Por que lixo nem sempre é lixo?
5. O funcionário pode ser o indivíduo mais nocivo à empresa, por quê?
86
SEGURANÇA 
OFENSIVA
Agora... Vamos hackear sistemas?! Sem mais comentários...
87SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Agora sim, chegamos na parte mais legal do nosso conteúdo! Vamos falar de Segurança 
Ofensiva. O crescente ataque a sites e instituições públicas e privadas está colocando em voga 
um assunto interessante. Será que estamos preparados para encarar os crackers? A pergunta 
que temos que fazer é bem simples. Não é “será” que vamos ser invadidos, mas sim “quando” 
seremos invadidos.
Antes de tudo, cabe deixarmos bem claro: hacking is not a crime! A expressão hacker 
é vinculada de forma errônea pelos meios de comunicação de forma geral. Hacker é um in-
divíduo que é muito bom no que faz, não necessariamente com tecnologia. Um alfaiate, por 
exemplo, é um hacker da costura, pois ele é especialista na produção de ternos e camisas. Um 
profissional de TI, especialista e muito competente em suas atribuições, é um hacker. Pessoas 
que usam de seus conhecimentos de tecnologia para roubar informações ou realizarem atos 
ilícitos são os crackers, portanto, não podemos confundir esses 2 termos.
A Segurança Ofensiva tem como objetivo identificar as vulnerabilidades de sistemas e 
serviços, a fim de conseguir comprometê-los, extraindo dados sensíveis. Especialistas em 
segurança ofensiva são contratados para que possam tentar invadir sistemas e apontar em 
um relatório por onde conseguiram explorar o sistema, invadindo os servidores para que as 
empresas corrijam essas falhas, antes que um atacante mal-intencionado consiga realizar a 
invasão e, dessa forma, o ambiente seja protegido.
O gerenciamento de vulnerabilidade já faz parte do core de uma TI moderna. A exposição 
dos ativos de informação está cada vez maior com todos os cenários de compartilhamento de 
informações e acessos em tempo real, portanto, esses ativos ficam mais expostos e a gestão 
de vulnerabilidade é primordial para uma equipe de TI. Quanto maior a exposição, maior é a 
possibilidade de alguma ameaça explorar uma vulnerabilidade.
Alguns fatores contribuem para esse cenário de exposição dos ativos de informação, se-
guem alguns deles:
• Lag de Tecnologia: as empresas ainda não se preocupam com o avanço tecnológico, 
fazendo com que tecnologias antigas ainda estejam mantidas no ambiente. Uma prova 
disso é a quantidade de Windows XP que ainda se encontra em produção, em algumas 
empresas. Quanto mais antiga a tecnologia utilizada, maior a possibilidade de que uma 
vulnerabilidade seja explorada por algum atacante para extirpar dados sensíveis.
• Skill Gap: falar de Segurança Ofensiva é algo muito novo ainda à maioria dos profissio-
nais de TI. Existe um gap de conhecimento sobre o assunto. A maioria das pessoas não 
sabem como um ataque é construído ou como pode ser evitado, seja no desenvolvimento 
seguro de uma aplicação ou na configuração de um serviço de rede publicado à internet. 
A prova disso é o crescente sucesso de invasões que acontece em várias empresas, de 
todos os ramos e tamanhos. A TI não está preparada e isso faz com que aumentem ex-
ponencialmente os casos de invasões bem-sucedidas.
• Assimetria entre ataque e defesa: eis o grande vilão, na minha opinião. Basicamente, 
o que está sendo protegido não é por onde os ataques estão chegando. É como se exis-
88SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
tissem 2 ruas para chegar até o sistema. Em uma delas, várias barreiras são colocadas 
e muitos controles realizados, mas os ataques estão indo pela outra rua, que não têm 
controle algum e nenhuma barreira. A assimetria é oriunda da falta de capacitação e 
percepção dos profissionais de TI que administram os ambientes e dos desenvolvedores 
que não entendem a dinâmica de um ataque.
• Disponibilidade de ferramentas: em 1980, já existiam crackers, porém, o número era 
bem reduzido devido à dificuldade em se desenvolver ferramentas. Tudo era manual e 
necessitava de conhecimentos avançados. O tempo foi passando e agora temos inúme-
ras ferramentas e scripts disponíveis para todos acessarem! Neste cenário, surgem os 
Scripts Kids, pessoas que não entendem praticamente nada de topologias e protocolos 
e somente sabem executar ferramentas prontas ou scripts que nem sabem o que fazem 
direito. Esse cenário de disponibilidade de ferramentas, faz com que aumentem as ten-
tativas de ataques, e mesmo pessoas com pouco conhecimento podem ter algum suces-
so nos ataques.
• Monetização de malwares: no início dos ataques à sites e portais, o foco era tirar os 
serviços do ar e derrubar as páginas. Isso inflava o ego dos atacantes, que conseguiam 
deixar serviços fora do ar por muito tempo e mostrar o quanto eram bons tecnicamente. 
Porém, isso não trazia ganho financeiro algum. O foco mudou. Se pode ser invadido, por 
que não utilizar essa invasão para ganhar dinheiro? Começou a monetização de malwa-
res. Basicamente, temos 2 modos operantes mais fortes. O primeiro é invadir servidores 
e roteadores para minerar criptomoedas, como Bitcoin, Etherium, Lightcoin, entre ou-
tras. Isso faz com que o atacante consiga tirar algum lucro, muito melhor do que apenas 
derrubar os serviços. O segundo é o sequestro de dados, onde criptografa-se os dados e 
pede-se resgate em dinheiro para enviar a chave de descriptografia e liberar os arqui-
vos. Essa monetização fez crescer exponencialmente os ataques nos últimos anos.
• IoT: O IoT (Internet of Thinks) veio para revolucionar a forma com que a interação entre 
o homem e a máquina aconteçam. Já existem casas autônomas, que abrem as janelas de 
forma automática, ou ligam o ar-condicionado um poupo antes do dono chegar em casa. 
Tudo isso é muito legal, mas traz, escondido, falhas grotescas de segurança. Todo IoT 
tende a ser um dispositivo pequeno, que pode ser acoplado em diversos aparelhos para 
executar as mais diversas funções. Temos 2 pontos cruciais nos IoT’s no meu ponto de 
vista, que fazem com que eles sejam tão vulneráveis. Primeiro, os IoT’s são pequenos e 
não possuem uma capacidade de processamento grande, ou seja, caso seja necessário 
implementar controles de segurança mais efetivos, será necessário aumentar o tama-
nho do hardware e isso pode inviabilizar projetos. O segundo ponto é o fato dosfabri-
cantes descontinuarem alguns equipamentos não dando mais suporte a atualizações de 
firmware. Um firmware sem suporte, pode esconder inúmeras falhas de segurança que 
podem ser exploradas por um atacante.
• Transição para Cloud: ir para Cloud é um grande desafio. Muitos estão com o viés de ir 
para cloud, por ser mais segura e facilitar a gestão dos serviços, uma vez que o geren-
ciamento físico do data center não existe mais. Em certo ponto, a cloud é totalmente 
segura. Data centers como o da Azure e da AWS possuem certificação ISO27001 e TIER 
89SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
nível 4, padrões que dificilmente conseguimos implantar em ambientes on-premises. 
Porém, os provedores de cloud não se responsabilizam pela segurança dos dados das 
aplicações! As empresas estão migrando para cloud sem se preocupar em contratar so-
luções de segurança específicas para os seus sistemas, deixando-os vulneráveis a ata-
ques direcionais.
Outro fator importante que podemos elencar é que existem poucas empresas utilizan-
do software em sua última versão de atualização, logo, softwares antigos, sem suporte. Esse 
cenário é uma realidade desde empresas pequenas até as de grande porte. Um sistema sem 
atualização e antigo é um vetor de ataque fácil de ser comprometido por um atacante.
O mercado de trabalho de segurança ofensiva está aquecido. Estima-se que entre 2020 e 
2022 tenha-se um gap de mercado de 2 milhões de profissionais, ou seja, todos os especialis-
tas já estarão empregados e ainda teremos mais 2 milhões de vagas em aberto. Atualmente já 
é um mercado que paga bons salários para níveis pleno e sênior.
Esses profissionais especialistas em segurança ofensiva são chamados de Pentesters ou 
Ethical Hackers. Para ser um Ethical Hacker é necessário ter conhecimentos sólidos em Redes 
de Computadores e Desenvolvimento de Sistemas. Esses profissionais documentam as vulne-
rabilidades encontradas através de um relatório técnico para ser entregue na TI e um relató-
rio executivo para ser compartilhado entre gestores e diretoria, que demonstra facilmente os 
riscos aos quais a empresa está exposta.
Um hacker ético pode ser dividido em 3 níveis básicos:
• Junior: Based Tools – Sabe utilizar apenas ferramentas prontas, mas entende o que cada 
uma delas faz.
90SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
• Pleno: Coding Based – Desenvolve suas próprias ferramentas e melhora ferramentas já 
existentes.
• Senior: Vulnerability Researcher – Encontra as vulnerabilidades novas, ainda não co-
nhecidas em sistemas e programas, e documenta como explorá-las.
O mercado de trabalho identificou que essa profissão de pentester ou hacker ético está 
em crescente evolução. Para comprovar o conhecimento no assunto, a fim de servir como base 
nas contratações, existem algumas certificações que podem ser realizadas:
• EXIN – Ethical Hacker Foundation: essa é uma certificação considerada de entrada, para 
quem quer iniciar no ramo de ethical hacker. É uma certificação interessante, porém, 
não muito valorizada no mercado, pois ela é somente teórica. São 40 questões que de-
vem ser respondidas e, tendo um percentual de acertos, a certificação é expedida.
• CEH: por muito tempo, a CEH foi uma certificação de peso no mercado. Ela é complexa 
e muito demorada para ser realizada. São muitas questões a serem respondidas. Todas 
questões são muito técnicas e exigem muito estudo por parte dos candidatos, porém, ela 
é totalmente teórica e isso fez com que ela perca um pouco de força no mercado, mesmo 
assim, ainda é uma ótima certificação para quem quer entrar nesse ramo.
• OSCP: a Offensive Security é uma empresa que criou uma certificação diferenciada para 
o ramo de pentest. Ela é mantenedora da versão do Kali Linux, utilizada por pentesters 
para realizarem os testes de invasão. A OSCP lançou uma certificação totalmente prática, 
onde a prova demora 24 horas e o candidato precisa invadir um número de servidores, 
documentar a invasão, sem utilizar ferramentas automatizadas, tudo isso para provar 
se realmente o candidato possui o conhecimento técnico para realizar invasões. Essa 
certificação é uma das mais reconhecidas no mercado e muito valorizada no ambiente 
dos Ethical Hackers. Site da empresa e da certificação: https://www.offensive-security.
com/
• DCPT: Desec Security é a maior empresa latino-americana de segurança ofensiva. Em-
presa brasileira que tem foco em prestação de serviços avançados de pentest e bug bou-
nty. A Desec lançou a DCPT (Desec Security Penetration Tester), a certificação nacional 
mais valorizada pelo mercado. Essa certificação é totalmente prática e conta com um 
exame de 24 horas de prova. Na certificação, o candidato precisa comprometer uma sé-
rie de servidores, não podendo utilizar nenhuma ferramenta de automação de ataques, 
somente scripts próprios e ferramentas padrões, a fim de comprovar seu conhecimen-
to em invasão de serviços. Além de invadir os servidores, é necessário criar uma docu-
mentação detalhada de cada uma das invasões. Essa documentação é submetida a um 
corpo de pentesters especialistas que validam o passo a passo das invasões. Caso seja 
identificado que o candidato, mesmo comprometendo todos os servidores, utilizou-se 
de ferramentas automatizadas ou quebrou as regras, a certificação é revogada. Por es-
ses motivos, a DCPT é uma das certificações mais completas e de maior reconhecimento 
de mercado. Site da empresa que disponibiliza a formação de pentester e a certificação: 
https://desecsecurity.com/
https://www.offensive-security.com/
https://www.offensive-security.com/
https://desecsecurity.com/
91SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Um pentest pode ser divido em algumas fases macros:
• Reconhecimento: essa é a fase mais demorada, em via de regra, de um pentest. É nes-
sa fase que o atacante busca informações sobre a vítima. Nesta etapa, informações de 
domínios, endereçamentos IP, informações de sócios, CNPJ, telefones, e-mails, entre 
outras informações, são adquiridas através de inúmeras técnicas, para que se possa co-
nhecer muito bem o alvo. Quanto mais informações forem descobertas, melhor para 
mapear os vetores de ataques e as vulnerabilidades. Essas informações podem ser utili-
zadas posteriormente em um ataque de engenharia social.
• Varredura: Na fase de varredura, o pentester busca nos IP’s e domínios identificados, os 
serviços que estão em execução, assim como a captura de banners deles. O mapeamento 
da varredura mostrará por onde o atacante pode buscar tentar o acesso a algum serviço 
que pode estar vulnerável a algum ataque.
• Ganho de acesso: descobrindo por onde o atacante pode se infiltrar, ele utiliza-se de 
ferramentas e scripts para explorar as vulnerabilidades, a fim de conseguir ganhar o 
acesso ao servidor e tomar controle dele e dessa forma de continuar o ataque.
• Mantendo o acesso: não basta o atacante conseguir o acesso, ele precisa manter o aces-
so para que ele possa acessar na hora que desejar. Para isso existem técnicas que podem 
ser utilizadas.
• Cobrindo rastros: após concluir a invasão e o roubo de dados, é importante que o ata-
cante apague seus rastros para que não seja identificado. Como por exemplo, apagar 
arquivos de logs.
A segurança ofensiva está ganhando um espaço importante no mercado e as empresas 
estão cada vez mais preocupadas na proteção dos ambientes tecnológicos, para isso, é neces-
sário a contratação de um pentest que consiga mapear o ambiente e apontar as vulnerabilida-
des. Vamos simular as fases de um ataque, para que possamos entender melhor.
RECONHECIMENTO
Como já vimos, nesta fase, o que importa é conseguir o maior número de informações de 
um alvo. Para isso, vamos utilizar alguns artifícios e algumas ferramentas. Como exemplo, o 
Uniftec. Vamos ver o que conseguimos descobrir sobre a instituição.
Quais os domínios e subdomínios que existem?
Para responder essa pergunta, podemos fazer uma busca nas respostas deDNS da em-
presa. Vou utilizar um script feito por mim mesmo, disponível no meu github https://github.
com/mbuogo
Observe os resultados de IP que conseguimos, apenas com informações públicas, infor-
mações que estão dispostas para qualquer pessoa, basta apenas saber procurar.
https://github.com/mbuogo
https://github.com/mbuogo
92SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Outra forma de conse-
guirmos mais informações 
sobre o Uniftec ou qualquer 
empresa, com informações 
públicas, que todos podem ter 
acesso, é acessando o CCTLD 
Brasileiro e consultar as infor-
mações de quem é o dono do 
domínio e o seu contato. Aces-
se https://registro.br/tecno-
logia/ferramentas/whois/ e 
informe o domínio desejado.
Observe no detalhe. A busca nos retorna informações como CNPJ da empresa, que é uma 
informação pública, o nome do responsável pelo domínio, o endereço da empresa e o telefone 
de contato. Outra informação relevante é os name servers do domínio.
Todas as informações públicas, que todos podem ter acesso, vejam que estou frisando 
isso várias vezes. Nada de ilegal está sendo feito, são apenas consultas. De posse dessas infor-
mações, um engenheiro social poderia esquematizar um ataque para obter mais informações 
sigilosas que não estão abertas publicamente.
https://registro.br/tecnologia/ferramentas/whois/
https://registro.br/tecnologia/ferramentas/whois/
93SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
VARREDURA
Para fase de varredura, vamos utilizar um ambiente de laboratório, a fim de não expor 
nenhuma empresa. Nesta fase de posse dos IP’s, podemos começar a varrer os serviços que 
estão abertos e documentá-los, utilizando uma máquina virtual vulnerável, a metasploitable.
A ferramenta mais clássica para esse tipo de scan é o nmap. O nmap é um port scannig 
capaz de varrer todos os serviços que estão abertos e trazer a versão do que está em execução 
em cada porta.
Nosso alvo será a máquina 192.168.0.103:
Para realizar um port scanning básico, podemos executar o comando nmap 192.168.0.103, 
que terá o seguinte retorno:
94SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Observem a quantidade de serviços e portas que estão abertas nesse servidor. Serviços 
de telnet, ftp, ssh, smtp, http, mysql, entre tantos outros que podem ser explorados. Para 
aprimorar a saida dos serviços, podemos executar o comando nmap –sV –Pn 192.168.0.103, 
que trará a seguinte saída:
Agora, temos informações bem relevantes do ambiente, onde podemos explorar nas ou-
tras fases.
GANHO DE ACESSO
Na fase de ganho de acesso, precisamos explorar algumas vulnerabilidades, neste caso, 
vamos atacar o serviço de FTP. Ele é vulnerável e conseguimos ganhar acesso ROOT no servi-
dor Linux para ter acesso às informações dele. Utilizaremos o Metaexploit, uma ferramenta 
que automatiza invasões quando há uma vulnerabilidade.
95SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Nela, localizamos o serviço que queremos atacar e configuramos com as informações 
pertinentes, como IP, porta, host, payloas, etc.
Depois, é só realizar o ataque e conseguir acesso administrativo no servidor. Pronto, invasão realizada!
96SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
MANTENDO O ACESSO
Nesta fase, temos que arrumar uma forma de manter o acesso, onde poderemos criar 
uma conta de usuário para acesso em SSH ou TELNET.
Pronto! Agora terás acesso independente e a qualquer hora. Esse exemplo foi algo sim-
ples para mostrar os passos de uma invasão. Tudo é mais complexo em ambientes realísticos, 
porém, a ideia se mantém a mesma.
97SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
OUTROS TIPOS DE ATAQUES
Existem várias formas de comprometer um sistema. Ataques podem ser originados, ex-
plorando diversos vetores. Podemos dividir em ataques web e ataques de infraestrutura. Nos 
ataques de web, o foco é encontrar vulnerabilidade nos sites e portais, que possam permitir 
a extração de dados sensíveis, ou até mesmo conseguir controle do host que hospeda a apli-
cação. Os ataques à infraestrutura são focados em serviços e falhas de sistemas operacionais 
e protocolos. Ataques a rede de dados também são frequentes, explorando falhar de comuni-
cação ou de configurações. Muitas das vulnerabilidades são falhas de configuração realizadas 
pelos administradores.
ARPSpoof: são ataques que têm como objetivo enganar os dispositivos de rede, fazendo 
com que o computador do atacante passe a assumir a função do roteador da rede ou de qual-
quer outro dispositivo conectado à rede. Basicamente, as tabelas ARP das vítimas são com-
prometidas, fazendo com que todo tráfego seja redirecionado. Não é necessário ter acesso ao 
equipamento da vítima para esse tipo de ataque, pois ele acontece remotamente e na cama 2 
do modelo OSI.
DNSSpoof: muito parecido com o ARPSpoof, o DNSSpoof tem como objetivo alterar os 
registros de DNS que trafegam na rede. A máquina da vítima é comprometida nas pesquisas de 
DNS, onde o atacante pode redirecionar, por exemplo, um site de um banco. O atacante clona 
o site do banco e sobe um webserver no meu próprio computador. O DNSSpoof redirecionará 
o IP de resolução do nome do domínio do banco, para o IP da máquina do atacante, onde po-
derão ser roubadas as credenciais de acesso.
MITM: ataques de Men-in-the-middle (MITM), são extremamente nocivos. Para esse 
tipo de ataque, é necessário combinar técnicas como ARPSpoof e DNSSpoof. Uma vez que o 
atacante consegue se fazer passar pelo roteador da rede e todo tráfego de uma máquina-alvo 
é direcionado para o seu computador, ele pode abrir os pacotes que estão passando e extrair 
informações sigilosas como senhas. Neste ataque, não é interação direta com a máquina da 
vítima, ou seja, ela não sabe que está sofrendo um ataque. A utilização de criptografia havia 
resolvido esse problema, pois a partir do momento que o tráfego será criptografado, mesmo 
que os pacotes cheguem até o atacante, ele não conseguirá abrir os pacotes, porém, criou-se o 
SSL Strip, onde mesmo pacotes criptografados podem ser abertos no computador do atacan-
te. Fica uma dica, não acesse rede abertas de aeroportos, bares e parques, pois existe um risco 
eminente da vítima ser você.
Quebra de senha: ataques de quebra de senha são de força bruta, ou seja, é tentado com-
binações de senhas de forma frenética até que alguma delas funcione. A quebra de senha de-
pende de uma wordlist bem-feita e focada no alvo. Tendem a ser ataques pouco efetivos para 
senhas de administração, porém, muito efetivos para senha de usuários comuns. Senhas de 
Windows e Linux são suscetíveis a esse tipo de ataque de igual modo, não tendo uma mais ou 
menos segura. As quebras de senha podem ser on-line ou off-line, dependendo do serviço que 
está sendo atacado.
98SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Wifi Hacking: os ataques a rede WiFi estão ligados a descobrir as credenciais de acesso. 
Para cada tipo de chave existe uma técnica para quebrar a senha. Chaves WEP são extrema-
mente vulneráveis e fáceis de serem quebradas, por isso, não é recomendado que sejam utili-
zadas. Chaves WPA2 são mais seguras, mesmo assim, é possível quebra-las, porém, é um ata-
que mais direcionado e focado que pode ou não ter êxito. Após conseguir acesso à rede, outros 
ataques podem ser realizados aos dispositivos que estão conectados, como ataques de MITM.
Buffer Overflow: são ataques extremamente complexos. Nesse tipo de ataque, uma 
aplicação é “debugada” até que seja encontrada uma falha que possa ser explorada. O Buffer 
Overflow acontece quando uma área de memória é sobrecarregada e, dessa forma, seja possí-
vel injetar códigos maliciosos para tomar controle de um computador.
LFI: um dos ataques Web mais poderosos. O Local File Inclusion (LFI), permite-se tra-
balhar com arquivos que já estão no sistema e fazer chamadas deles pelo próprio navegador. 
Por exemplo, o arquivo PASSWD do Linux e o SHADOW. Quando há falha de desenvolvimento 
e de segurança de acesso no sistema, um atacante pode tranquilamente abrir o conteúdo nonavegador e ter acesso aos arquivos de senha do Linux, podendo remontá-los para um ataque 
de quebra de senhas. Esta falha acontece quando uma página web pode receber como entrada 
o caminho para um arquivo que será incluído, sem a validação da forma correta pela aplicação.
RFI: o Remote File Inclusion (RFI) é mais raro, ainda muito parecido com o LFI, porém, 
ele permite incluir arquivos externos ao servidor e chamá-lo na URL da aplicação web. Em vez 
de chamar um arquivo interno na URL, insere-se uma URL externa que contém um arquivo 
malicioso, que pode explorar vulnerabilidades do servidor.
SQL Injection: outra falha grave de desenvolvimento Web. Quando os campos de entra-
da não passam por validação, um atacante pode manipular o banco de dados através de inje-
ção de comandos SQL na URL ou em algum campo do sistema web. Dessa forma, o atacante 
consegue executar select nos bancos e extrair as informações que achar interessante. É uma 
falha grave que acomete em muitos portais.
XSS: Cross-site Scripting (XSS). Essa falha de desenvolvimento não valida a entrada de 
dados nos campos, o que permite que um atacante execute um script malicioso no próprio 
portal e consiga explorar várias vulnerabilidades. O XSS também permite execução de coman-
do e até mesmo direcionar os usuários do site para um portal falso de roubo de informações.
99GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre segurança ofensiva e como um ataque é realizado. Vimos quais são os principais tipos de ata-
ques e como podemos explorar as vulnerabilidades.
100GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. Qual a diferença de um Hacker e um Cracker?
2. O que um port scan faz?
3. Por que houve um grande aumento de monetização de malwares?
4. Quais as fases de um penteste?
5. O que é um Hacker Ético?
101
CRIPTOGRAFIA E 
FERRAMENTAS DE 
PROTEÇÃO 
U2FiZSBvIHF1ZSDDqSBjcmlwdG9ncmFmaWE/. Entendeu? Vamos aprender 
o que isso quer dizer?!
102SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
A segurança da troca de mensagens entre indivíduos sempre existiu e sempre foi um 
desafio garantir que uma mensagem confidencial não fosse interceptada por uma pessoa não 
autorizada. Desde o antigo Egito, até a era da informação, esconder informações é uma tarefa 
árdua e necessária.
Para esconder as informações, usamos a criptografia. Criptografia vem do grego Kryp-
tos (escondido), e Gráphein (escrita), ou seja, escrita escondida. Basicamente, a criptografia 
embaralha as informações, de forma que não possam ser interpretadas por qualquer pessoa 
ou sistema. Alguns evidencias apontam que no antigo Egito, ainda nos hieróglifos, já podiam 
ser vistos traços de criptografia. Atualmente, a criptografia está vinculada à computação, mas 
ela surgiu muito antes.
Um dos algoritmos mais clássico é o da Cifra de César. Um belo dia, o Imperador Roma-
no Júlio César, percebeu que os inimigos estavam “roubando” seus planos de batalha. Todas 
as manhãs, o mensageiro subia em seu cavalo e ia cavalgando rapidamente para levar as ins-
truções para as tropas romanas. Porém, na metade do caminho, esse mensageiro era abatido 
pelos inimigos e as ordens que estavam escritas no pergaminho eram “vazadas”. Surgiu uma 
necessidade: como esconder as ordens para que os inimigos não saibam o que está escrito? 
Surge a Cifra de César. É um exemplo clássico de criptografia, não muito eficaz, mas 
funcional para a época. Basicamente, a Cifra de César conta com um número (chave-cripto-
gráfica) que é utilizado para embaralhar o código. O embaralhamento acontece deslocando as 
letras de uma frase, de acordo com a chave desejada. Vamos por partes para entender melhor.
César queria mandar a seguinte mensagem para o campo de batalha. “Tropa romana, 
ataquem pelos flancos.”, supondo que a chave-criptográfica seja o número 5. Vamos olhar o 
alfabeto.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Na Cifra de César, a chave 5 representará o número de deslocamento de letras que será 
realizado. Observe:
“Tropa romana, ataquem pelos flancos.”
“Ywtuf wtrfsf, fyfvzjr ujqtx kqfshtx.”
Para todas as letras, foram deslocadas 5 posições, assim cifrando a mensagem. Somente 
quem soubesse a chave de “5”, conseguiria decifrar a mensagem que foi encaminhada. Por 
um tempo isso até funcionou, mas não foi muito seguro.
Esse tipo de cifra é facilmente quebrado por força bruta, ou seja, se tentamos as chaves 
1, 2, 3 ,4 ,5, etc., em algum momento será descoberto qual foi a chave utilizada. Os inimigos 
de César descobriram isso sem grandes problemas e esse tipo de cifragem entrou em desuso, 
mas é um ótimo exemplo, pois basicamente é isso que se faz com as criptografias modernas, 
porém, com chaves extremamente mais complicadas de serem quebradas.
103SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Durante a 2ª Guerra Mundial, houve um grande avanço na criptografia, que originou a 
ciência da criptografia moderna. Até aquele momento, a criptografia não era vinculada à com-
putação. Depois do final da guerra, a computação contribuiu muito para o avanço dos estudos 
da criptografia de dados.
Utilizar criptografia é extremamente seguro, quando utilizamos uma chave criptográfica 
forte! Se imaginarmos uma chave criptográfica simétrica de 256 bits. Quanto tempo levaríamos 
para comprometer a chave? Vamos fazer as contas pensando que cada habitante do planeta te-
nha um dispositivo capaz de processar dados. 
Atualmente, existem 7 bilhões e 500 mil habitantes na Terra com o poder de calcular mais 
ou menos 93 quatrilhões de instruções por segundo. Esse poder computacional gera uma ca-
pacidade de testar mais ou menos 22 milhões de bilhões de bilhões de bilhões de possibilidades 
por ano. Sim, esse número representa 22 seguidos de 33 “0”.
Com esse poder computacional atual, demoraríamos, aproximadamente, 5 milhões de bi-
lhões de bilhões de bilhões de bilhões de anos para testar todas as possibilidades de combinação 
dos 256 bits de números 0 e números 1, afinal é dado binário, através de força bruta. O universo 
tem idade aproximada de mais de 13 bilhões de anos, concluímos que é mais fácil acontecer al-
gumas “Eras Glaciais” ou a volta dos dinossauros antes de quebrar uma chave de 256 bits.
Existem 2 tipos de técnicas de criptografia que são utilizadas atualmente. A Criptografia 
Simétrica e a Criptografia Assimétrica.
CRIPTOGRAFIA SIMÉTRICA
As primeiras criptografias desenvolvidas, bem mais velhas que a computação, foram 
metodologias considerados simétricas. Na criptografia simétrica, a chave-criptográfica que 
é utilizada para criptografar é a mesma utilizada para fazer a decriptação. Neste tipo de algo-
ritmo, a chave gerada deve ficar de posse tanto do emissor como do receptor da mensagem.
Esse tipo de criptografia possuiu algumas vantagens e desvantagens.
Vantagens:
• Performance: a criptografia de chave simétrica tende a ser muito mais performática e 
veloz, em relação aos algoritmos assimétricos. Essa performance faz com que o tempo 
de encriptação e decriptação seja mais rápido utilizando recursos computacionais com-
patíveis.
104SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
• Segurança: as chaves simétricas são muito seguras e a probabilidade de se quebrar uma 
chave simétrica que foi bem elaborada é praticamente nula. O poder computacional atu-
al não consegue em tempo hábil quebrar uma chave simétrica.
Desvantagens:
• Compartilhamento de chave: a segurança de um algoritmo de criptografia está atrelada 
à segurança da sua chave. A chave simétrica é muito segura no que tange o poder de en-
criptação, porém, a chave precisa ser compartilhada entre o emissor e o receptor, dessa 
forma, se a chave se encontra em 2 lugares, ela pode estar em 3 ou 4 lugares, além de 
poder ser facilmente roubada, devido sua exposição. Isso faz com que seja uma desvan-
tagem utilizar esse tipo de chave.
Existem vários algoritmos de criptografia simétrica: RC4, RC5, DES, 3DES, IDEA e o AES, 
sendo, o último, omais utilizado atualmente, podendo utilizar chaves de 128, 192 e 256 bits.
CRIPTOGRAFIA ASSIMÉTRICA
Para resolver o problema de segurança da chave simétrica, foram desenvolvidos os al-
goritmos de chave assimétrica. Neste tipo de encriptação, a chave usada para cifrar a mensa-
gem é diferente da chave utilizada para descriptografar a mensagem e, dessa forma, não será 
necessário o compartilhamento de chaves. Primeiro, gera-se uma chave privada e depois será 
extraída uma chave pública.
Para enviar as mensagens de forma criptografa assimetricamente, as 2 partes da comu-
nicação precisam divulgar suas chaves públicas. A chave pública serve somente para cripto-
grafar os arquivos. Com a chave pública de um dos lados, você pode encriptar a mensagem. 
Quando o receptor receber a mensagem, ele conseguirá abrir ela somente com a chave privada 
que é referente aquela chave pública, e vice-versa. Observe a imagem para entender melhor.
Vantagens:
• Chave pública: com o uso da chave pública, deixamos a troca de informações mais segu-
ras. Como não há o compartilhamento de chaves, somente quem tiver a chave privada 
referente àquela chave pública, conseguirá abrir a mensagem.
105SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Desvantagens:
• Segurança: Como assim, a segurança é uma desvantagem, se não há compartilhamento 
da chave? Os algoritmos assimétricos tendem a ser menos seguros no que tange a que-
bra da chave. Mesmo sendo menos seguros, ainda assim, com o poder computacional 
atual, é remota a possibilidade de quebra da chave.
• Performance: por ser mais complexo, o algoritmo assimétrico consome mais recursos 
de hardware para ser processado, dessa forma, exige mais poder computacional, porém, 
atualmente, isso já não é mais um grande problema.
O algoritmo mais utilizado atualmente é o RSA. O algoritmo RSA (Rivest-Shamir-Adle-
man), foi criado por volta de 1978, e leva o nome de seus autores. Ele foi o primeiro algoritmo 
proposto com a lógica assimétrica e continua sendo muito utilizado atualmente.
HASH
O uso da criptografia tem como objetivo garantir a confidencialidade da informação, 
mas isso somente não basta para garantir a segurança de uma informação. É necessário ga-
rantir a integridade da informação, ou seja, averiguar se o conteúdo de uma mensagem en-
viada chegou até o destino sem ser alterada e comprometida. 
Nesse cenário, surgem os algoritmos de hash que possuem algumas utilidades, e uma 
delas é garantir a integridade das informações enviadas. Nas trocas de mensagens, os dados 
podem ser alterados ou corrompidos, por causa de falhas na própria comunicação, ou por um 
ataque que intercepta uma informação e a altera. Os algoritmos de hash servem para gerar 
uma “assinatura” que comprova qual era o conteúdo original de uma mensagem. Essa “assi-
natura” é utilizada pelo receptor para verificar se a mensagem não foi alterada. Podemos usar 
alguns algoritmos como o Base64, MD5, Sha1, Sha256 e Sha512 por exemplo.
• Base64: esse algoritmo, basicamente, serve para garantir que uma mensagem não foi 
alterada. Ele não é seguro, pois é muito simples de executar a reversão da mensagem 
para texto claro, mas cumpre bem a função de garantir a integridade de uma mensagem. 
Por exemplo, o texto “aula de segurança”, em hash Base64 é representado dessa for-
ma “YXVsYSBkZSBzZWd1cmFuw6dh”. Caso alterarmos apenas uma letra, por exemplo 
“aula de seguranca” com “C” no lugar de “Ç”, o resultado em Base64 é “YXVsYSBkZSB-
zZWd1cmFuY2E=”, que é diferente do primeiro exemplo. Caso algum dado seja alterado, 
facilmente poderá ser comprovado.
• MD5: esse algoritmo já está em desuso, pois ele não é mais confiável. A possibilidade de 
quebrar um hash MD5 é muito grande, pois existem as Rainbow Tables, que são tabelas 
enormes com todas as combinações possíveis em MD5 para quase todo tipo de men-
106SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
sagem. A frase “aula de segurança” em MD5 possui essa saída “2fae8c0354d287c78b-
21d4287e571da4”
• SHA: os algoritmos de hash SHA são os mais utilizados, pois são seguros e performáti-
cos. Recomenda-se utilizar o algoritmo de SHA como 256 bits, ou seja, o SHA256, pois o 
custo benefício entre segurança e consumo de recursos tem seu ponto de equilíbrio nele. 
Observe as saídas da frase “aula de segurança”, nos 3 tipos de algoritmos SHA:
 » SHA1: “556327967e1ef73d7df4187ec0b11e7e82376d0a”
 » SHA256: “27341cba8671993634d9265e9bd6e4907769af386f8b2782ce0843011a-
fddf7b”
 » SHA512: “6f81973d9d3c70b69949ba0115b5a8e0456fd61bf704d666567f1ee0f-
5d259f10fe050db10b006f396a748fbf97663ec7d44c0f374e12e8ab4292df847f52e83”
CERTIFICADO DIGITAL
Aprendemos até aqui a forma de esconder as mensagens (confidencialidade) e de ga-
rantir que elas não foram alteradas (integridade), porém, ainda necessitamos de outra pro-
priedade para validar se as informações que estão sendo trocadas são realmente emitidas por 
quem diz que estão sendo emitidas. Confuso, certo? Como você sabe se o site do banco real-
mente é o site do banco e não um site falso criado para tentar roubar suas credenciais?
Neste contexto, surge o Certificado digital, que tem por objetivo certificar que um emis-
sor realmente é quem ele diz ser. Quando acessamos o site de um banco em HTTPS, podemos 
perceber que existe um cadeado no canto superior, e se clicarmos nele conseguiremos visua-
lizar o certificado do banco, que prova que o site realmente é daquela instituição.
107SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Para validar os certificados, existem as Autoridades Certificadoras, que se reportam 
para a ICP Brasil (Instituto de Chaves Públicas Brasil). Uma empresa que precisa validar a 
autenticidade do seu site e das suas aplicações, compra um certificado digital que contém as 
informações referente ao domínio da empresa. Esse certificado é validado em uma Autoridade 
Certificado que comprova a autenticidade dele, validando o portal da empresa.
FIREWALL
A famosa barreira de fogo é uma das tecnologias mais preponderantes no que tange de-
fesa contra ameaças. O Firewall surgiu em meados da década de 80, oriundo da necessidade 
de restringir o acesso entre as redes e a internet, que estava se popularizando naquela época. 
Muitos casos de invasões a sistemas foram registrados nessa época, que culminou na evolu-
ção das ferramentas de proteção.
O firewall trabalha filtrando pacotes entre IP’s e Portas Lógicas, de acordo com as regras 
criadas nele. Os primeiros firewalls eram considerados como filtros de pacotes. Eles identifi-
cavam, no cabeçalho dos pacotes, informações como IP de origem e destino, tamanho, tipo de 
serviço. Após essa análise, o pacote era liberado ou não, de acordo com as regras previamente 
estabelecidas. Esses firewalls apenas trabalhavam nas camadas 3 e 4 do OSI.
Atualmente, estamos na geração dos NGF (Next Generation Firewalls) ou Firewalls de 
Camada 7 ou Aplicação. A tecnologia dos NGF permite que sejam filtradas inúmeras variações 
de pacotes e serviços. Nos NGF, pode-se ser realizado controle de aplicações de uma forma 
muito mais segura e simples na rede. Com essa tecnologia, as liberações são bem granulares, 
o que contribui muito para o aumento da segurança da informação. 
Nos NGF, podem ser liberados o acesso do Google Drive, por exemplo, e permitir apenas 
Download de arquivos. Se o usuário tentar efetuar o Upload de um arquivo, o firewall conse-
gue identificar o tipo da transação e bloqueia a ação. Muitas regras de proteção do ambiente 
podem ser desenvolvidas e isso faz com que a proteção contra perda das informações seja 
mais efetiva. Alguns firewalls já contam com outros mecanismos de proteção como Antivírus, 
IPS, WAF, entre outros. 
A proteção de antivírus diretamente nos firewalls é uma boa prática para que a nave-
gação de internet e dos downloads sejam realizados, já contém uma checagem de segurança 
antes de serem entregues aos usuários, pois ao efetuar um download, o próprio firewall já ve-
rifica a existência de umaameaça.
108SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
WAF
Um módulo complementar para um firewall é um WAF (Web Appllication Firewall). O 
WAF ajuda na proteção das aplicações. Como vimos anteriormente, muitos ataques podem 
explorar as aplicações, em vez da infraestrutura. Para os ataques de aplicações, o WAF conse-
gue mitigar muitos os riscos de invasão nas aplicações.
Alguns ataques como SQL Injection, XSS, LFI, RFI, entre outros, são trabalhados no WAF. 
Esse tipo de tecnologia tem como objetivo proteger aplicações que sejam ou não vulneráveis, 
contra certos tipos de modos operantes de ataques conhecidos, efetuando validação de entra-
da de dados e campos de formulários Web. Segurança de webservices também pode ser reali-
zadas pelo WAF.
O WAF é uma solução muito recomendada para empresas que possuem muitos portais 
publicados ou sistemas críticos, pois cada um deles pode ser um vetor de ataque a ser explo-
rado por um atacante.
IPS
A proteção do ambiente é composta por várias camadas. Outro serviço interessante que 
alguns firewalls podem ter incorporado é o IPS (Intrusion Prevention System). O IPS auxilia na 
detecção de tentativas de invasão através da análise de fluxo de dados da rede. Os exploits são 
inseridos de forma maliciosa em serviços e aplicativos, e o IPS consegue realizar essa detecção.
O IPS pode enviar alertas a cada tentativa de invasão dos serviços para os administra-
dores do ambiente. Normalmente, a ação recomendada no IPS é de “droppar” as conexões 
maliciosas, impedindo o seguimento do ataque, bloqueando as origens dos pacotes.
Normalmente, os IPS’s possuem uma biblioteca de assinaturas padrões, baseadas nos 
códigos de cada tipo de exploit que busca comprometer o ambiente. Algumas assinaturas são 
voltadas para exploits, ou seja, podem identificar durante o padrão de fluxo de dados códigos 
específicos. Outra forma de análise do IPS, é com assinaturas voltadas para vulnerabilidades, 
onde não é considerado apenas um padrão fixo de exploit, mas também suas possíveis varia-
ções, porém, isso pode aumentar o número de falsos positivos.
CASB
O Cloud Access Security Broker (CASB), é uma poderosa ferramenta para gestão dos da-
dos que saem da empresa e vão para a nuvem. A gestão de dados está cada vez mais necessária 
nos ambientes corporativos. Muitos dados sensíveis podem ser perdidos ou compartilhados 
com nuvens como Google, Azure, Aws, etc.
Para evitar a perda de dados e conseguir realizar uma auditoria das informações que 
saem da empresa, impedindo que arquivos com informações confidenciais sejam comparti-
lhados externamente, ferramentas de CASB são implantadas.
109SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Essas ferramentas permitem criar políticas que verificam o conteúdo dos arquivos que 
estão sendo maquilados em nuvem e de acordo com as regras definidas, aplicar bloqueio ou 
liberações de compartilhamento e armazenamento. Essas soluções ainda podem encriptar os 
dados se necessário e gerar alerta se necessário.
Ferramentas de CASB ainda contribuem para a identificação do Shadow IT (ferramentas 
que os usuários utilizam sem o conhecimento da TI), pois o broker da ferramenta consegue 
filtrar todo acesso externo que é realizado e mapear todas as aplicações que estão sendo uti-
lizadas.
PAM
Um ponto importante na segurança de um ambiente é a gestão dos usuários privilegia-
dos. Os usuários com privilégios de administração do ambiente sempre é o foco de um ata-
cante, pois de posse de um usuário administrador, ele pode realizar um ataque muito mais 
destrutivo no ambiente e roubar informações sensíveis mais facilmente.
Outro fato importante é a gestão dos acessos da própria TI. Os funcionários do setor de 
tecnologia tendem a possuir as senhas de maior privilégio do ambiente e acessos irrestritos 
às aplicações, devido ao seu dia a dia de trabalho e isso é um cenário totalmente plausível e 
normal, afinal, é necessário que alguém administre os ambientes.
Diante deste contexto, surgem as ferramentas de PAM (Privileged Access Management). 
Esse tipo de solução é uma junção de cofre de senhas com auditoria de acesso e controle de 
uso das senhas. As ferramentas de PAM gerenciam todas as contas privilegiadas do ambiente, 
como administradores de rede, banco de dados, portais, etc. Através dessas ferramentas, é 
possível controlar quem está utilizando as senhas de administração e realizar trocas periódi-
cas das senhas dessas contas. Os administradores de rede e ambientes passam a não conhecer 
mais as senhas e toda sessão é estabelecida pela ferramenta de PAM.
Como todo acesso é estabelecido pela ferramenta de PAM, ele é gravado e monitorado 
para que seja possível auditar todo e qualquer acesso ao ambiente utilizando alguma senha 
administrativa. Ferramentas de PAM vão ao encontro dos requisitos das mais diversas nor-
mas de mercado.
110SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
ANTIVÍRUS E ANTISPAM
Mesmo sendo algo de praxe, não podemos deixar de falar sobre o Antivírus e o AntiSpam. Devido a muitos ata-
ques que já ocorreram em vários computadores, servidores, tablets, telefones e a muitos outros dispositivos, oriun-
dos de uma infecção por vírus, praticamente todo mundo utiliza alguma solução de antivírus em seus dispositivos.
O vírus é um programa malicioso que tem a intenção de roubar informações ou prejudicar um sistema com-
putacional, seja ele qual for. Por muitos anos, há uma crescente sofisticação na elaboração e deploy de vírus em 
todo tipo de dispositivo. Normalmente, as soluções de Antivírus trabalham com o desenvolvimento de vacinas que 
combatem os vírus e deixam os dispositivos protegidos. Atualmente, novas tecnologias de Antivírus estão surgindo. 
Temos os Next Generation Antivírus (NGAV), que possuem uma abordagem disruptiva no que tange proteção con-
tra vírus e malwares.
Essas novas soluções de Antivírus utilizam inteligência artificial e machine learning para identificação de 
comportamento das aplicações. Os bloqueios acontecem a partir da análise do comportamento de um software. 
Dessa forma, vírus novos, que ainda não possuem vacina, podem ser identificados e controlados, diferentemente 
das soluções tradicionais de Antivírus que apenas trabalham com vacinas e dependem de desenvolvimento.
De forma complementar, temos os serviços de AntiSpam, que são utilizados para filtrar os e-mails que che-
gam na caixa dos usuários, a fim de bloquear mensagens suspeitas que possam contar links para sites maliciosos ou 
anexos que possam comprometer a integridade de rede da empresa.
111GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre criptografia e como ela auxilia em nosso dia a dia na proteção das informações que trafegam na 
rede e na internet. Vimos um pouco sobre ferramentas de proteção e como podemos deixar o ambiente seguro para mitigar os riscos de invasão 
e roubo de dados.
112GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. Qual a diferença de uma criptografia simétrica e assimétrica?
2. Qual a principal vantagem da criptografia assimétrica?
3. Qual o ponto mais negativo da criptografia simétrica?
4. Qual a grande característica de um Next Generation Firewall?
5. Qual a função de um WAF?
113SEGURANÇA DA INFORMAÇÃO
REFERÊNCIAS SUMÁRIO
BOWERSOX, Donald J.; CLOSS, David J.; COOPER, M. Mixby; BOWERSOX, John C.. Gestão Logística da Cadeia de Suprimentos. Tradução de Luiz Cláudio de Queiroz Faria. 4º Edição. Porto Ale-
gre: Bookmann, 2014. 
POZO, Hamilton. Logística e Gerenciamento da Cadeia de Suprimentos: um enfoque para os cursos superiores de tecnologia. São Paulo: Atlas, 2015. 
	Segurança da informação
	Informação 
	Segurança da Informação
	Faces da Segurança da informação
	Pilares da Segurança da informação
	Análise de riscos
	Aceitação de risco e risco residual
	Vulnerabilidades
	Ameaças
	Risco
	Matriz de riscos
	Plano de contingência
	ISO 27001 
	SGSI – Sistema de Gestão de Segurança da Informação
	Anexo A - ISO27002
	Política deSegurança da informação 
	Segurança física e do ambiente
	Anéis de proteção
	Proteção de equipamentos
	Gestão de operações e comunicação
	Gestão de mudanças
	Gestão da capacidade
	Backup
	Controles específicos
	Outros controles
	Recursos Humanos
	Aquisição e desenvolvimento de sistemas
	Gestão de ativos
	Declaração de aplicabilidade
	Engenharia Social
	Segurança ofensiva
	Reconhecimento
	Varredura
	Ganho de acesso
	Mantendo o acesso
	Outros tipos de ataques
	Criptografia e ferramentas de proteção 
	Criptografia simétrica
	Criptografia assimétrica
	Hash
	Certificado digital
	Firewall
	WAF
	IPS
	CASB
	PAM
	Antivírus e AntiSpam