Ebook_Segurança_Informacao

Prévia do material em texto

SEGURANÇA DA INFORMAÇÃO
Mateus Buogo
SUMÁRIO
Esta é uma obra coletiva organizada por iniciativa e direção do CENTRO SU-
PERIOR DE TECNOLOGIA TECBRASIL LTDA – Faculdades Ftec que, na for-
ma do art. 5º, VIII, h, da Lei nº 9.610/98, a publica sob sua marca e detém os 
direitos de exploração comercial e todos os demais previstos em contrato. É 
proibida a reprodução parcial ou integral sem autorização expressa e escrita.
CENTRO UNIVERSITÁRIO UNIFTEC
Rua Gustavo Ramos Sehbe n.º 107. Caxias do Sul/ RS 
REITOR
Claudino José Meneguzzi Júnior
PRÓ-REITORA ACADÊMICA
Débora Frizzo
PRÓ-REITOR ADMINISTRATIVO
Altair Ruzzarin
DIRETORA DE EDUCAÇÃO A DISTÂNCIA (EAD)
Rafael Giovanella
Desenvolvido pela equipe de Criações para o ensino a distância (CREAD)
Coordenadora e Designer Instrucional 
Sabrina Maciel
Diagramação, Ilustração e Alteração de Imagem
Igor Zattera, Júlia Oliveira, Thais Munhoz
Revisora
Luana dos Reis
SEGURANÇA DA INFORMAÇÃO 4
INFORMAÇÃO 5
SEGURANÇA DA INFORMAÇÃO 6
FACES DA SEGURANÇA DA INFORMAÇÃO 7
PILARES DA SEGURANÇA DA INFORMAÇÃO 8
ANÁLISE DE RISCOS 12
ACEITAÇÃO DE RISCO E RISCO RESIDUAL 14
VULNERABILIDADES 15
AMEAÇAS 16
RISCO 17
MATRIZ DE RISCOS 18
PLANO DE CONTINGÊNCIA 25
ISO 27001 32
SGSI – SISTEMA DE GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO 34
ANEXO A - ISO27002 36
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 40
SEGURANÇA FÍSICA E DO AMBIENTE 47
ANÉIS DE PROTEÇÃO 49
PROTEÇÃO DE EQUIPAMENTOS 51
GESTÃO DE OPERAÇÕES E COMUNICAÇÃO 55
GESTÃO DE MUDANÇAS 56
GESTÃO DA CAPACIDADE 58
BACKUP 60
CONTROLES ESPECÍFICOS 60
OUTROS CONTROLES 63
RECURSOS HUMANOS 64
AQUISIÇÃO E DESENVOLVIMENTO DE SISTEMAS 65
GESTÃO DE ATIVOS 67
DECLARAÇÃO DE APLICABILIDADE 70
ENGENHARIA SOCIAL 79
SEGURANÇA OFENSIVA 86
RECONHECIMENTO 91
VARREDURA 93
GANHO DE ACESSO 94
MANTENDO O ACESSO 96
OUTROS TIPOS DE ATAQUES 97
CRIPTOGRAFIA E FERRAMENTAS DE PROTEÇÃO 101
CRIPTOGRAFIA SIMÉTRICA 103
CRIPTOGRAFIA ASSIMÉTRICA 104
HASH 105
CERTIFICADO DIGITAL 106
FIREWALL 107
WAF 108
IPS 108
CASB 108
PAM 109
ANTIVÍRUS E ANTISPAM 110
3ADMINISTRAÇÃO FINANCEIRA II
APRESENTAÇÃO
Olá! Seja bem-vindo à disciplina de Segurança da informação.
Diariamente, estamos ouvindo notícias sobre invasão de dispositivos e sites, juntamente com vazamento de informações. A 
informação deixou de ser apenas “informação”, ela representa a inteligência competitiva das empresas, sendo o ativo mais im-
portante!
Nos deparamos com uma situação crítica. Temos um ativo muito importante para as empresas e que está sob constante ame-
aça, gerando uma lacuna enorme de técnicas de proteção da informação. É nessa lacuna que os profissionais de segurança da in-
formação atuam.
O principal objetivo da Segurança da Informação, em linhas gerais, é proteger a informação contra todas as ameaças que pos-
sam comprometer ela. Vocês podem se perguntar: “Como podemos proteger um ativo tão importante?”. A resposta não é simples. 
Vamos mergulhar nesse oceano que é a Segurança da Informação e desvendar todos os seus segredos, ou pelo menos quase 
todos! Sejam bem-vindos!
4
SEGURANÇA DA 
INFORMAÇÃO
Você sabe o que é Segurança da informação? 
Vamos embarcar nesse oceano de infinitas possibilidades ?!
valde
Realce
5SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Na minha primeira aula 
ministrada de segurança da 
informação eu me fiz uma 
pergunta importante: “o que 
é segurança da informação?". 
Confesso que não consegui 
uma resposta clara, naque-
le momento, do que era se-
gurança da informação. Per-
cebi que demoraria alguns 
encontros com os alunos até 
conseguir expressar tudo o 
que esse termo significa. Se-
gurança da informação é algo 
muito abrangente, se utili-
zássemos uma definição pa-
drão, deixaríamos algo a ser 
descoberto. Vamos montar 
uma linha de raciocínio para 
construir um conceito de se-
gurança da informação?
Antes, vamos 
entender o que é 
INFORMAÇÃO.
INFORMAÇÃO 
Primeiro termo que temos que deixar claro em nossas mentes é o 
significado de informação. Em uma pesquisa rápida no Google, achei a 
seguinte definição: “Informação é a resultante do processamento, mani-
pulação e organização de dados, de tal forma que represente uma modifi-
cação (quantitativa ou qualitativa) no conhecimento do sistema (huma-
no, animal ou máquina) que a recebe”.
Essa definição é totalmente técnica, correta e faz sentido, porém, 
isso me deixa um pouco insatisfeito. Será que esse é o único significado 
de informação?
Seguindo os estudos, trago uma citação de Sêmola (2003), onde o 
autor defende que a informação representa a inteligência competitiva dos 
negócios das organizações. Percebam que o conceito de informação des-
te caso é muito mais robusto e de maior importância. Podemos ponderar 
que a informação é vital à alavancagem dos negócios das empresas, uma 
vez que ela fomenta a inteligência de negócio.
Em 1995, outros autores, Freitas e Kladis, já advogavam que a im-
portância da informação aumenta a todo instante nas organizações. Essa 
citação é muito antiga, foi feita no ano de 1995 e podemos perceber que 
ela ainda está atualizada. A informação é um pilar importante nas empre-
sas.
A informação fundamental para o desenvolvimento das estratégicas 
empresárias, conforme Brito, Antonialli e Santo, que em 1997 afirmaram 
que a informação contribui ativamente para a construção do planejamen-
to estratégico das empresas. Novamente, temos uma citação antiga e que 
ainda pode ser utilizada.
Em suma, a informação é um ativo intangível e de valor único nas 
empresas. Por ser um ativo intangível, ela faz parte dos 75% de valor que 
uma organização possui. A informação é de valor inestimável e serve como 
pilar da manutenção da cadeia de valor das empresas.
Quando pensamos em informação, temos que levar em considera-
ção toda sua importância na manutenção dos processos das organizações 
e seu valor incalculável. Vamos usar, como exemplo, a Coca-cola. A maior 
riqueza dela não são as suas fábricas. A maior riqueza da Coca-cola é a in-
formação e o conhecimento de sua fórmula, utilizada na preparação dos 
refrigerantes. Entenderam o que é, realmente, informação?
valde
Sublinhado
valde
Sublinhado
valde
Sublinhado
valde
Realce
6SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
SEGURANÇA DA INFORMAÇÃO
Agora que já temos um conceito formado sobre o que é informação, precisamos avançar 
no conceito de Segurança da informação. Assim como todo ativo, a informação está suscetível 
a riscos. Esses riscos podem comprometer a informação de alguma forma. Quando estamos 
falando em comprometer a informação, estamos, na realidade, falando em comprometer o 
negócio de uma empresa!
Creio que já está claro que informação é a sustentação do negócio, portanto, caso a infor-
mação sofra inferência de algum risco, comprometeremos o negócio da empresa. A segurança 
da informação surgiu para proteger o negócio das empresas. Essa correlação é algo importan-
te para nossa linha de estudos. Como falei, a segurança da informação é muito abrangente e 
pode ter várias vertentes de estudos e abordagem.
Nesta matéria, estudaremos a Segurança da informação como aliada do negócio das em-
presas, a fim de proteger o ativo mais importante, chamado de sociedade da informação.
O que é Segurança da informação? Após anos de estudos, lendo o conceito de vários au-
tores, posso concluir que a palavra que melhor define segurança da informação é “Proteção”. 
Praticamente, todos os autores que pesquisei, podendo citar Dias (2004), ISO27001 (2013), 
Ministério da Defesa(2007), definiram a segurança da informação como a proteção das infor-
mações.
Vocês podem estar se perguntando: “Mateus, esse conceito é muito abrangente tam-
bém, não é algo muito definido?”. Vou trazer um conceito um pouco mais técnico, para tentar 
elucidar essa temática:
“Segurança da informação tem o objetivo de salvaguardar as informações para que não 
sejam manipuladas de forma indevida, mitigando ao máximo os riscos que podem compro-
meter as informações”. 
Eu seique é um conceito muito abrangente, mas ao longo dessa matéria vamos desven-
dar as técnicas utilizadas para que haja segurança da informação nas empresas. Nosso foco 
será em processos e como podemos melhorá-los para que a segurança seja um organismo 
vivo nas organizações.
A segurança da informação possuiu, pelo menos, 2 linhas de pesquisas macros, no meu 
ponto de vista. Temos a segurança da informação processual, onde abordamos melhorias de 
processos, normais, políticas e controles. E outra linha de pesquisa mais técnica, onde temos 
os pentestes e a forense computacional. Vamos nos aprofundar muito na segurança proces-
sual e teremos uma ideia básica da segurança mais técnica.
O sucesso da implementação de segurança da informação, em um ambiente, está cor-
relacionado com o comprometimento dos stakeholders e da alta-administração. A segurança 
sempre deve ser em uma abordagem TOP-DOWN e nunca BUTTON-UP, ou seja, a diretoria 
valde
Realce
valde
Realce
valde
Sublinhado
valde
Sublinhado
valde
Realce
valde
Sublinhado
valde
Sublinhado
valde
Realce
7SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
deve comprar essa ideia, pois somente eles possuem poder político para sancionar 
normais internas e impor o cumprimento das políticas criadas.
Eu sei que são muitas informações soltas neste momento, mas ao longo do 
nosso curso, revisitaremos cada um dos conceitos. Agora, precisamos abrir nossa 
mente para muitos conceitos novos e para uma visão sistêmica de segurança.
FACES DA SEGURANÇA DA INFORMAÇÃO
Uma abordagem muito interessante é dividir a segurança em 3 faces, ou em 3 tópicos distintos. 
Temos a segurança operacional, física e lógica. Muito importante aprendermos essa divisão, pois são 
os 3 grandes grupos onde a segurança da informação se inclui. 
A segurança operacional é atrelada a processos. O nome já é autoexplicativo. Quando tratamos 
de operação, estamos falando em processos padrões das empresas. A segurança deve permear todos os 
processos e atuar na melhoria deles, a fim de encontrar brechas que precisam ser corrigidas para que 
não haja perda ou vazamento de informações. Para aplicar segurança na parte operacional, nós traba-
lhamos com normas dentro de uma política corporativa de segurança da informação.
O segundo ponto é a segurança física. O foco da segurança física é a proteção dos meios físicos 
onde a informação está localizada. Podemos elencar aqui desde a portaria de acesso à empresa até o 
controle de temperatura de um data center. Para conseguirmos garantir segurança física, nós trabalha-
mos com controles, que monitoram esses ambientes.
Por fim, temos a segurança lógica. Nesta linha de estudo, temos todas as ferramentas de seguran-
ça como firewalls, antivírus e até mesmo pentest e análise de vulnerabilidades. Tão importantes quanto 
as outras duas abordagens, a lógica representa 50% de toda proteção da informação em uma empresa.
Focaremos, profundamente, nas face operacional e física, como objeto de estudo, pois a face ló-
gica demanda um estudo muito aprofundado e deve ser abordado com foco individual. 
valde
Realce
valde
Realce
valde
Realce
valde
Realce
8SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
PILARES DA SEGURANÇA DA INFORMAÇÃO
A segurança da informação é um tema complexo, como já podemos perceber. Dentro 
dessa complexibilidade, é necessário que haja algumas diretrizes para que possamos ter uma 
direção de como garantir a segurança. Neste cenário, surgem os 3 pilares de segurança da in-
formação: integridade; confidencialidade; disponibilidade. Alguns autores defendem outros 
pilares, mas todos concordam nesses 3.
O Pilar de Integridade tem como objetivo garantir que as informações estejam 
íntegras quando forem utilizadas, ou seja, elas necessitam estar legíveis e também com suas 
caracte-rísticas originais mantidas, sem alterações de conteúdo.
A confidencialidade soma-se à integridade quando garante que somente pessoas au-
torizadas acessem a informação. O pilar de confidencialidade limita o acesso à informação 
de pessoas que não são autorizadas a manipulá-la. Pilar muito importante para proteção de 
acesso a dados sensíveis e confidenciais.
Fechando essa tríade, temos a disponibilidade. O foco desse pilar é manter a informação 
o maior tempo disponível, garantindo que, quando a informação for requisitada pelo indiví-
duo, ela esteja pronta e disponível para ser utilizada.
Todas as atividades referentes à segurança da informação devem ser focadas em aten-
der um ou mais desses pilares. Eles são a base do conceito de segurança e nos auxiliam no 
processo de implementação dos controles e políticas.
Vamos utilizar alguns exemplos de forma mais prática, para entender cada um dos pila-
res. Iniciando pelo pilar de integridade. Para garantir a integridade da informação, podemos 
utilizar algumas técnicas que nos garantem que ela esteja íntegra. Por exemplo, em um banco 
de dados. Um SGDB (Sistema de Gerenciamento de Banco de Dados), possui mecanismos de 
controle para gravar as informações, para que não estejam corrompidas quando gravadas nas 
tabelas.
Outro exemplo de integridade, são as funções de HASH, que estudaremos no decorrer 
do ebook. Elas garantem que a informação não tenha alterações de estrutura durante um pro-
cesso de manipulação ou envio. Um hash alterado no destino, diferente do hash de origem, 
caracteriza uma perda de integridade da informação. Qualquer técnica que garanta a integri-
dade para o arquivo, estará atrelada a esse pilar.
Para a confidencialidade, temos o exemplo dos controles de acesso aos sistemas e in-
formações que procuram validar quem está requerendo acesso a informações. O acesso a sua 
conta bancária é um ótimo exemplo. O aplicativo do banco exige um cadastro de usuário e se-
nha, juntamente com um segundo fator de autenticação, para validar se quem está acessando 
a sua conta é você mesmo. 
valde
Realce
valde
Sublinhado
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
9SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Dentro de um sistema empresarial, temos também os perfis de acesso que concedem ou 
bloqueiam acesso a determinadas informações. Esses são exemplos atrativos do pilar de con-
fidencialidade. Em suma, toda técnica que permite uma validação de quem está acessando, 
pode ser considerada uma ação focada em confidencialidade.
Fechando essa pirâmide, temos a disponibilidade. Considero esse pilar focado forte-
mente com questões de ambiente e infraestrutura. As informações ficam abrigadas, quando 
em formato digital, por exemplo, em servidores. Quando utilizamos técnicas para garantir 
que os servidores permaneçam em operação o maior tempo possível, estamos focados no pi-
lar de disponibilidade. Neste contexto, falaremos muito sobre planos de contingência e aná-
lise de riscos, onde faremos um link com esse assunto. 
É importante mantermos o foco nos investimentos dos pilares. Às vezes, dedicaremos 
maiores esforços e investimentos para atender uma demanda que fortalecerá muito mais um 
pilar do que outro, isso é normal, porém, temos um ponto de atenção. Investir somente em 
um dos pilares e deixar os outros descobertos não adianta! Tudo deve ser balanceado. 
A balança de investimento deve ser bastante equilibrada. Não adianta termos um am-
biente com um alto índice de disponibilidade, se a informação é entregue e corrompida, ou 
sem um controle de acesso que valide se realmente o indivíduo pode ter acesso àquela infor-
mação. Da mesma forma, um investimento deliberado e demasiado em confidencialidade, 
poderá comprometer todos os processos diários de acesso às informações. Como se utiliza 
senha biométrica e reconhecimento facial com segundo fator de autenticação. Temos que ter 
em mente que a segurança da informação não pode impactar negativamente nos processos, 
mas sim auxiliar o negócio a crescer, protegendo os dados sensíveis e as informações estra-
tégicas.
Durante as aulas, nós realizaremos ligações sobre oque estamos aprendendo, junta-
mente com os 3 pilares de segurança da informação, pois basicamente todos os esforços rea-
lizados são para a manutenção desses pilares de segurança.
valde
Sublinhado
valde
Sublinhado
10GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre os conceitos de segurança da informação e qual a importância da segurança para o negócio das 
empresas. Vimos a tríade dos pilares de segurança que sustentam todas as ações voltadas para esse tema.
11GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. Quais os 3 pilares de segurança da informação?
2. Quais as 3 faces da segurança da informação?
3. O que acontece se investirmos de forma demasiada em somente um pilar?
4. A face de segurança física está focada em quais ativos de segurança?
5. A face de segurança operacional é focada em quê?
12
ANÁLISE DE RISCOS
Você já fez sua análise de riscos hoje? Vamos entender um pouco mais sobre 
esse assunto tão importante para segurança da informação!
valde
Realce
13SEGURANÇA DA INFORMAÇÃO
 SUMÁRIOUma das principais atividades 
em um processo de implementação 
de segurança da informação é uma 
análise de riscos bem elaborada. Sa-
bemos que a informação é um ativo 
intangível e de valor inestimável e, 
portanto, deve ser protegida dentro 
das organizações e da sociedade. 
Implicamos em um grande desafio 
de mapear os principais riscos aos 
quais esse ativo está exposto.
Uma premissa básica na aná-
lise de risco é que o risco jamais é 
eliminado totalmente. Vou até afir-
mar novamente: nenhum risco é 
totalmente eliminado. Mitiga-se o 
risco ao máximo que é possível para 
evitar que ele aconteça e compro-
meta a segurança da informação. 
Mateus, como assim? Até quando 
temos que mitigar um risco? Quan-
do paramos de investir esforços na 
mitigação dos riscos?
Pois bem, eu costumo falar que o risco deve ser mitigado até o ponto que o valor do sinistro seja menor do que o valor dispensado para mi-
tigá-lo, ou se não fizer sentido algum colocar mais controles. Primeiramente, responda essa pergunta para você mesmo: “você atravessa a rua 
sem olhar para os 2 lados?”. Normalmente, olhamos para os 2 lados da rua para ver se algum automóvel está vindo em nossa direção. Caso algum 
automóvel esteja vindo, nós esperamos ele passar, para depois atravessar a rua ou utilizados uma passarela ou faixa de pedestres para cruzar a 
rua em segurança.
Quando paramos diante da rua, nosso inconsciente já sabe que temos que olhar se algum automóvel está se deslocando em nossa direção. 
Rapidamente, nós pensamos: “se eu atravessar a rua com o carro vindo em minha direção, a probabilidade de eu sofrer um acidente e me machu-
car é maior do que se eu esperar o carro passar.” Isso é um exemplo de análise de riscos. Você avalia o que pode acontecer e toma uma ação para 
mitigar o risco, que, neste caso, é esperar o automóvel passar.
Neste mesmo exemplo, agora com uma visão mais ampla. Como podemos diminuir ainda mais o risco de acidentes na via? Mesmo olhando 
para os 2 lados antes de atravessar, algum automóvel pode vir em grande velocidade e causar um acidente, antes que você perceba. Neste caso, 
pode-se instalar uma passarela sobre a via, para que, independentemente do fluxo de carros, as travessias sejam seguras para todos os pedestres.
Com a passarela, o risco de acidentes com pedestres diminui, pois agora todos podem cruzar a via pela passarela, mas não podemos contro-
lar se todos os pedestres a utilizarão, ou seja, ainda assim temos o risco que algum pedestre sofra um acidente. Como controlar se todos passarão 
pela passarela? Instalar grades por toda via impedindo que pedestres acessem ela? Acho que não seria uma solução viável.
Neste caso, apenas aceita-se o risco que alguns pedestres não respeitarão as sinalizações e nem terão um comportamento seguro por causa 
de sua negligência. Não há algo viável a ser feito e temos que aceitar o risco. Em poucos parágrafos, tivemos uma abordagem muito ampla de aná-
lise de riscos, que explodiremos em pedaços menores e mais funcionais!
14SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
ACEITAÇÃO DE RISCO E RISCO RESIDUAL
Todos os dias realizamos de forma intrínseca uma análise de riscos em nossas vidas e 
sempre temos que decidir sobre aceitar os riscos decorrentes de nossas decisões. Quando an-
damos acima do limite de velocidade, estamos aceitando o risco de tomar uma multa por re-
alizar uma infração de trânsito e assumimos o risco de causar um acidente grave em caso de 
colisão.
Às vezes, é necessário aceitar os riscos e conviver com o risco residual, que é o risco re-
manescente após a mitigação do risco. Voltando ao exemplo anterior. Nós olhamos para os 2 
lados da rua (mitigação do risco), para garantir que nenhum automóvel está vindo em nossa 
direção. Se optarmos por atravessar a via sem usar a passarela, estamos aceitando o risco que, 
mesmo sem nenhum automóvel, esteja vindo em nossa direção naquele momento, podemos 
tropeçar no meio da via, cair no chão e não conseguir desviar de um automóvel que entre na 
via após iniciarmos a travessia. Temos o risco residual de tropeçar e cair na via, que resolve-
mos aceitar no momento em que não quisermos utilizar a passarela para realizar a travessia 
da via.
Trazendo para um ambiente mais prático de nosso dia a dia, vamos supor que a empre-
sa em que você trabalha contratou um link de acesso à internet. Existe um risco desse link de 
acesso à internet apresentar problemas e a empresa ficar sem conectividade. Como tratamos 
esse risco? Contrata-se um segundo link de acesso à internet, pois caso o primeiro apresente 
problema, o segundo segurará o ambiente.
Mas ainda temos um risco, pode ser que os 2 links de acesso à internet apresentem pro-
blemas. Para mitigar esse risco, pode-se contratar um terceiro link de acesso à internet via 
rádio, para que possa sustentar o ambiente caso os outros 2 links apresentem problemas. Te-
mos ainda outro risco: “E se os 3 links de acesso derem problemas?”. Qual solução podemos 
ter para mitigar esse risco? Vamos contratar mais um link de acesso à internet? Claro que não! 
O risco sempre existirá! Entenderam até onde temos que tratar o risco?
Cada empresa é diferente, cada situação é única. Pode ser que para uma padaria, apenas 
2 links de acesso à internet já estaria de bom tamanho para mitigar os riscos de conexão, pois, 
mesmo sem internet, ela conseguirá seguir o seu trabalho normalmente. Mas e se for uma 
operadora de cartão de crédito? Será que não é interessante ter mais do que 5, 10 ou 15 links 
de conexão?
Percebam que a análise de risco é única para cada situação e para cada empresa, não se 
pode seguir um modelo único e padrão, tudo deve ser analisado com muita calma, focando na 
cadeia de valor de cada empresa. Portanto, o risco residual sempre existirá e deverá ser aceito 
em determinado estágio de mitigação. Entramos em outro ponto: o que é um risco aceitável? 
Quem aceita o risco?
De forma bem simples e clara, a obrigação dos profissionais de segurança é de mapear 
os riscos aos quais um ativo está exposto, classificá-los de acordo com a necessidade do ne-
gócio e apresentá-los para os stakeholders e para a diretoria/administração. O profissional 
de segurança não toma decisão alguma. Vou repetir, o profissional de segurança não toma 
valde
Realce
valde
Sublinhado
valde
Realce
valde
Sublinhado
15SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
decisão alguma. Toda decisão é tomada pelos gestores da empresa, orientados pelo setor de 
Segurança da informação.
Quem determina se aceitará o risco ou não é a direção! Quem decidirá se os riscos serão 
tratados é a direção! Novamente, cabe ao profissional de segurança apresentar os riscos ma-
peados à direção e cabe a ela decidir o que será feito, como será feito e quando será feito, pois 
envolve dispende de recursos humanos e financeiros para cada atividade.
Enfim, de posse desses conceitos rapidamente explorados, nósabordaremos com mais 
ênfase conceitos de vulnerabilidade, ameaça e riscos, depois construiremos um exemplo de 
Matriz de Risco que será utilizado para auxiliar na análise de riscos.
VULNERABILIDADES
Focaremos nos ativos da informação. Os ativos de informação podem ser todos aque-
les que de forma direta ou indireta são utilizados para manipular ou armazenar informações. 
Pode ser um banco de dados, servidor, switch, celular, firewall, computador, pessoas, entre 
tantos outros.
Todos os ativos possuem vulnerabilidades. De acordo com a ISO27001, as vulnerabilida-
des são as fragilidades de um ativo ou grupo de ativos que podem ser exploradas por uma ou 
mais ameaças, ou seja, são os pontos fracos e as brechas de segurança que um ativo possui. 
As vulnerabilidades podem ser físicas, naturais, hardware, software, mídias, humanas, entre 
tantas outras.
As vulnerabilidades físicas estão atreladas, por exemplo, a salas de data center mal pla-
nejadas com estruturas físicas fora dos padrões exigidos. Com um data center mal planejado, 
temos brechas de segurança de acesso à sala, no controle de temperatura, no cabeamento, no 
dimensionamento de nobreak, entre tantas outras. 
Algumas vulnerabilidades são naturais e do ambiente, às vezes fogem do nosso contro-
le. Podemos elencar a umidade do ar, que é uma brecha que danifica os equipamentos, a falta 
de energia também é uma vulnerabilidade natural, que por sua vez pode ser contornada.
valde
Sublinhado
valde
Realce
valde
Sublinhado
valde
Sublinhado
16SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Como exemplo de vulnerabilidade de Hardware, podemos elencar o desgaste dos equi-
pamentos e a sua obsolescência, pois são os pontos fracos de todos equipamentos. Conforme 
passa o tempo, a vida útil do equipamento diminui e isso é um ponto fraco dele.
As vulnerabilidades de softwares são muitas e variadas. Por si só, todo software possui 
vulnerabilidades, sejam elas de instalação, funcionamento ou desenvolvimento. Atualmente, 
os softwares são um dos principais vetores de ataques que existem por possuir muitas bre-
chas de segurança que podem ser exploradas.
As mídias de armazenamento também devem ser tratadas com muita importância. Toda 
mídia que armazena dados possui seus pontos fracos que devem ser analisados. A mídia pode 
perder dados, sofrer danos, ser sensível a determinado ambiente, como por exemplo, das fi-
tas de backup magnéticas, que podem ser desmagnetizadas, perdendo os dados.
Chegamos no fator mais crucial para segurança da informação, as vulnerabilidades hu-
manas. O vetor de ataque mais vulnerável que temos no contexto de segurança da informa-
ção é o humano. As pessoas possuem inúmeras vulnerabilidades que podem ser exploradas. É 
mais fácil pedir que alguém lhe entregue a senha, do que tentar quebrar a tela.
Portanto, pode-se concluir que as vulnerabilidades são os pontos fracos dos ativos e de-
vemos estar atentos a elas, pois é a partir delas que os incidentes de segurança acontecerão.
AMEAÇAS
Utilizando a definição abordada pela ISO27001, uma ameaça é a causa potencial de um 
incidente indesejado, que pode resultar em dano para um sistema ou organização. As ameaças 
são agentes internos ou externos que exploram as vulnerabilidades dos ativos, gerando um 
incidente que incorrerá em perdas. Podemos dividir as ameaças em naturais, involuntárias e 
voluntárias. 
As ameaças naturais podem ser exemplificadas por fenômenos da natureza, como ter-
remotos, tornados, enchentes, entre outros. Exemplificando, vamos supor que um data cen-
ter seja construído perto de um rio. Ele tem uma vulnerabilidade física. Seu ponto fraco é sua 
localização perto do rio, pois a ameaça de uma enchente pode inundar o data center e fazer 
com que haja perda de todos os equipamentos.
Ameaças involuntárias são aquelas decorrentes de acidentes, erros ou desconhecimento 
de normas e padrões. Normalmente, acontece “sem querer”, quando a ação e um indivíduo 
podem explorar uma vulnerabilidade, mas sem a intenção de causar um grande mal. Vou 
exemplificar com um fato que aconteceu em uma empresa que trabalhei. 
Todos os dias, às 15:00 horas, toda a rede de um setor parava de funcionar, a equipe de 
infraestrutura corria até o setor, mas quando chegava lá tudo estava funcionando normal-
mente. Isso aconteceu por vários dias, até que, em uma ocasião, o analista foi até o local, às 
valde
Sublinhado
valde
Sublinhado
valde
Realce
valde
Sublinhado
17SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
14:45, para ficar esperando a rede cair e ver o que acontecia. Às 15:00 horas ,o pessoal da lim-
peza chegou para limpar o andar e precisavam de uma tomada para ligar um equipamento. O 
rack de comunicação não era protegido de forma segura e a tomada de energia ficava exposta. 
O pessoal da limpeza desligava o rack de comunicação da tomada para ligar o equipamento 
deles, derrubando toda rede. Quando o analista chegava para ver o problema, eles já haviam 
saído e os equipamentos já estavam novamente ligados.
Neste cenário, tinha-se a vulnerabilidade da tomada do rack exposta para qualquer um 
desligar, e uma ameaça por parte dos colaboradores em desligar o rack. Eles não tinham in-
tenção de impactar negativamente na rede de dados, eles apenas queriam realizar o seu tra-
balho. Isso é um risco involuntário, que pode também ser exemplificado por erros de confi-
gurações ou desconhecimento técnico por parte da TI.
Por final, temos as ameaças voluntárias, que são aquelas propositalmente causadas. O 
que caracteriza esse tipo de ameaça é que são realizadas conscientemente, com a intenção 
de prejudicar o ambiente e causar danos à informação. O melhor exemplo para explanar esse 
tipo de ameaça são os funcionários descontentes de uma empresa. Um colaborador que esteja 
empenhado em vazar uma informação ou comprometer a integridade dela, irá fazê-lo, pois 
ele já possui um acesso privilegiado aos ambientes e às informações. O fator humano sempre 
será o ponto mais fraco no que tange segurança. Outro exemplo são as ameaças de ataques de 
crackers, que são direcionados às suas vítimas e procuram explorar todas as vulnerabilidades, 
tanto lógicas, físicas e humanas.
RISCO
Finalmente chegamos aos riscos. Um risco é a consequência de uma ameaça ao explorar 
uma vulnerabilidade de um ativo, que cause impacto negativo. O risco está presente em várias 
áreas e não é exclusivo da TI. Perceba que, em quase todos os exemplos até o momento, utili-
zei situações do dia a dia ou exemplos mais práticos, sem vínculo com a TI.
Existe uma frase que uso muito para definir o conceito de risco no contexto de ameaças 
e vulnerabilidades. As AMEAÇAS exploram as VULNERABILIDADES, expondo os ativos a RIS-
COS. Risco é tudo que causa algum impacto.
Trazendo exemplos mais práticos da TI, temos o risco de vazamento de informações 
confidenciais de uma empresa. Esse risco existe, pois um servidor está com a vulnerabilidade 
de estar desatualizado e uma ameaça de um cracker poder explorar esse ponto falho e tomar 
controle do servidor, fazendo com que os dados sejam vazados. O foco sempre é mitigar o 
risco e evitar o risco. Deve-se pensar em ações para evitar o risco, com um plano de ação de 
execução. Vamos estudar matriz de riscos e todos os conceitos ficarão muito claros.
Uma dica legal neste ponto de riscos é a transferência dos riscos. O que seria transferir 
os riscos? Um exemplo muito interessante é o seguro do carro. Ao fazer o seguro do carro, 
você está transferindo o risco de sinistros à seguradora. Caso você sofra algum sinistro, é a 
seguradora que arcará com os custos e todo processo jurídico inerente ao acidente. As empre-
valde
Sublinhado
valde
Realce
valde
Sublinhado
18SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
sas também fazem isso, transferem os riscos para outras empresas. Claro que sempre haverá 
coparticipação, mas você terá de quem cobrar.
Outro exemplo é a terceirização de links de comunicação entre matriz e filial. Emvez da 
empresa passar sua própria fibra ótica, tendo que assumir os riscos inerentes à fibra (rompi-
mento, roubo, atenuação, etc.), ela contratará uma empresa terceirizada e pagará uma men-
salidade para o uso da fibra, deixando todo processo de manutenção em contrato e com clau-
sulas de tempo de resposta em caso de sinistros, dessa forma, transfere-se o risco para um 
terceiro.
São muitos termos e definições que abordaremos de forma mais prática na matriz de 
riscos.
MATRIZ DE RISCOS
Para realizar uma análise de riscos, precisamos de algumas ferramentas que não auxi-
liam. Gosto de chamar de ferramentas, pois elas nos ajudam a alcançar nossos objetivos. Nes-
te contexto, temos a matriz de riscos. Ela é uma ferramenta utilizada para mapear os riscos, 
classificá-los e demonstrar qual plano de ação será tomado e qual dos riscos serão tratados. 
Costumo dizer que não existe um padrão para uma matriz de riscos, mas vou utilizar um pa-
drão muito útil e que trará boa visibilidade.
A matriz de risco é um organismo vivo! Ela não pode ser feita uma única vez e depois 
ficar jogada em um canto. Periodicamente, ela deve ser revisitada e atualizada. Cada empresa 
define o tempo necessário para essa conferência, porém, o recomendado é que, no mínimo, 
seja revisada 1 vez por ano, ou quando houver necessidade, antes desse tempo. O importante 
é que não podemos criar uma matriz somente para ter uma matriz, pois o objetivo dela tam-
bém é garantir que seja operacionalizado os controles que forem pontuados. Ela por si só não 
resolve os problemas. O que resolve é implementar os controles!
Um ponto muito importante quando falamos de riscos é IMPACTO e PROBABILIDADE. 
Coloquei em caixa alta para reforçarmos esses pontos. Quando se realiza uma análise de ris-
cos, esses 2 pontos são cruciais para tomar a decisão de um risco será ou não tratada. Pode-
mos tratar o impacto de forma segregada em segurança. Podemos tratar o impacto em cada 
um dos 3 pilares de segurança da informação ou tratar de forma mais global.
valde
Realce
valde
Sublinhado
19SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Pode-se ter o modelo de matriz de riscos mais simples, como este abaixo:
Modelo de Matriz de Risco que será trabalhado:
Agora fica uma pergunta: “como avaliar a probabilidade e o impacto?”. Essa resposta não é simples. É necessário definir uma legen-
da para nos ajudar nesse quesito. Será elaborada de forma empírica, ou seja, de acordo com o conhecimento e feeling das pessoas que estão 
envolvidas no desenvolvimento. Para cada empresa e situação, tem-se uma forma mais precisa de gerar essa legenda. Para fins de estudos, 
vamos classificar de 0 a 3, onde 0 seria o menor valor e 3 o maior valor, tanto para probabilidade como para impacto.
Neste modelo de matriz de risco, vamos somar a probabilidade com o impacto, gerando um número que representa cada risco. O resul-
tado servirá para embasar as decisões a serem tomadas para a tratativa dos riscos ou a sua aceitação. Lembrando que cada situação exigirá 
uma análise mais apurada de como construir essa legenda.
Vamos a um exemplo para que possamos exercitar essa matriz de riscos. Um exemplo clássico utilizado é o risco de “Perca de conec-
tividade com a internet”. O risco é não conseguir mais navegar na internet. O ativo, neste caso, será o link de comunicação. A ameaça será o 
rompimento da fibra realizada por qualquer agente externo ou falha humana. A vulnerabilidade será o fato de ter apenas 1 link de comunica-
ção. Temos as 4 primeiras colunas definidas.
Risco Ativo Ameaça Vulnerabilidade Probabilidade Impacto Total Ações
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
20SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Agora fica uma pergunta: “como avaliar a probabilidade e o impacto?”. Essa resposta não é simples. É necessário definir uma legenda para nos aju-
dar nesse quesito. Será elaborada de forma empírica, ou seja, de acordo com o conhecimento e feeling das pessoas que estão envolvidas no desenvolvi-
mento. Para cada empresa e situação, tem-se uma forma mais precisa de gerar essa legenda. Para fins de estudos, vamos classificar de 0 a 3, onde 0 seria 
o menor valor e 3 o maior valor, tanto para probabilidade como para impacto.
Neste modelo de matriz de risco, vamos somar a probabilidade com o impacto, gerando um número que representa cada risco. O resultado servirá 
para embasar as decisões a serem tomadas para a tratativa dos riscos ou a sua aceitação. Lembrando que cada situação exigirá uma análise mais apurada 
de como construir essa legenda.
Vamos a um exemplo para que possamos exercitar essa matriz de riscos. Um exemplo clássico utilizado é o risco de “Perca de conectividade com a 
internet”. O risco é não conseguir mais navegar na internet. O ativo, neste caso, será o link de comunicação. A ameaça será o rompimento da fibra realizada 
por qualquer agente externo ou falha humana. A vulnerabilidade será o fato de ter apenas 1 link de comunicação. Temos as 4 primeiras colunas definidas.
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
Agora é necessário definir um score para a probabilidade de isso acontecer. Vem a pergunta: “Com que frequência a fibra pode ser rompida, ocor-
rendo perca de conectividade?”. Rompimento de fibra não é algo recorrente, sendo ocasional. Podemos definir uma probabilidade 1 na escala de 0 a 3. 
Onde 0 é quando existe uma possibilidade remota de acontecer e 3 quando existe uma recorrência muito próxima de acontecimentos.
Após, iniciamos a análise do impacto de acordo com os pilares de segurança. Uma fibra rompida impacta diretamente na confidencialidade? Não, 
pois se o link de comunicação não estiver funcionando, as informações ainda estarão confidenciais. O score será de 0, onde 0 é um impacto nulo e 3 um 
impacto alto.
21SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Uma fibra rompida, impacta em integridade da informação? Sim, de certa forma sim. Se no instante que a fibra rompeu, um dado estava sendo tra-
fegado, ocorrerá perda de pacotes, logo, teremos o dado corrompido, ele não estará integro. Podemos elencar um score de 1, pois mesmo se corromper, 
será algo muito pontual.
A fibra rompida, impacta na disponibilidade? Claro que sim! Este é o pilar de maior impacto. Uma vez que não se tem a fibra, não há conectividade 
e a informação não estará disponível. O score desse impacto pode ser 3, pois impacta de forma negativa neste processo. 
Definindo os scores para cada sessão, deve-se somar os resultados para que tenhamos um total do risco. Temos mais informações em nossa matriz:
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
1 0 1 3 5
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
1 0 1 3 5
Contratar 
mais um 
link de 
comunicação.
Legal! Nossa matriz de riscos está cada vez mais desenhada. Por último e muito importante, temos que definir uma ação para mitigar esse risco. Neste 
caso, o que podemos elencar como uma possível solução? Pode-se sugerir a contratação de mais um link de comunicação, para que a empresa possua links 
de contingência. Nossa matriz...
22SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Um detalhe muito importante na matriz, é que um mesmo ativo pode ter inúmeros riscos e pode se repetir na matriz, pois cada risco é tratado sepa-
radamente. Vamos a outro exemplo. O risco de um acesso indevido à sala de servidores. Neste caso, o ativo será a Sala de servidores. A ameaça será uma 
pessoa má intencionada e a vulnerabilidade é de não tercontrole de acesso à sala.
No que tange a probabilidade, pode-se elencar uma probabilidade baixa de valor 1, pois para algum indivíduo invadir o data center, ele terá que ter 
invadido outros setores da empresa antes e poderá ser descoberto antes de chegar ao data center.
No pilar de confidencialidade teremos perda, pois ao acessar o data center, o indivíduo estará exposto a informações sigilosas. A integridade tam-
bém será afetada, pois ao acessar o data center, ele poderá comprometer algum equipamento, logo, compromete a integridade da informação armaze-
nada. Por fim, o impacto na disponibilidade acontecerá, pois algum equipamento pode ser roubado ou danificado, deixando a informação indisponível. 
Para mitigar esse risco, pode-se sugerir que, na porta de entrada do data center seja implantado um leitor de biometria para que somente pessoas 
autorizadas tenham acesso. Vamos ver como está ficando nossa matriz:
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
1 0 1 3 5
Contratar 
mais um 
link de 
comunicação.
Acesso 
indevido ao 
data center.
Data center.
Invasão por 
pessoa não 
autorizada.
Não possuir 
controle de 
acesso.
1 2 2 2 7
Instalação 
de leitor 
biométrico.
23SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Seguindo com nossos exemplos, vamos pensar em um risco de acesso indevido a sistemas corporativos. Existe o risco de pessoas não autorizadas 
acessarem os sistemas da empresa, como ERP, CRM, entre outros. O ativo será o sistema de ERP. A ameaça será um hacker tentando um ataque de força 
bruta para descobrir uma senha. A vulnerabilidade será a falta de uma política de senhas. Dessa forma, os usuários podem colocar como senha, sequência 
Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações
Perca de 
conectividade.
Links de 
comunicação.
Rompimento 
da fibra.
Apenas um link 
de comunicação.
1 0 1 3 5
Contratar 
mais um 
link de 
comunicação.
Acesso 
indevido ao 
data center.
Data center.
Invasão por 
pessoa não 
autorizada.
Não possuir 
controle de 
acesso.
1 2 2 2 7
Instalação 
de leitor 
biométrico.
Acesso não 
autorizador 
aos sistemas.
Sistema de 
ERP.
Hacker 
efetuando 
um brute 
force
Não possuir 
políticas de 
senhas.
3 3 1 1 8
Criar uma 
política de 
senhas.
numéricas como 123456, que são fáceis de serem descobertas. Vamos direto para nossa matriz:
Dessa forma, a matriz de riscos é construída de acordo com cada risco identificado. Neste simplório exemplo, tivemos 3 riscos com score final di-
ferente. Analisando somente com os dados que temos dispostos nela, podemos concluir que quaisquer dos riscos devem ser o primeiro a ser mitigado? 
O risco das senhas, pois o score dele é maior do que os outros. Fique atento para um detalhe: nem sempre o risco de maior score será o risco prioritário 
para ser tratado.
24SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Vamos a um exemplo: supondo que essa matriz de risco seja de um açougue. A matriz de risco é 
portável para qualquer tipo de negócio. Para o negócio de um açougue, pode ser que o risco mais 
pertinente para ser tratado é o das senhas, e seguiremos a ideia de tratar o risco de maior score 
primeiro.
Agora, pense no mesmo cenário, só que em uma empresa de e-commerce. Para o e-commerce, 
a conectividade é algo preponderante para o negócio! Por mais que o score dele esteja inferior 
aos outros, esse será o risco que será tratado primeiro, pois ele impacta diretamente no negócio 
da empresa! Percebam que não existe uma resposta padrão ou uma matriz de risco totalmente 
inflexível. Para cada negócio existe uma forma de analisar a matriz e decidir quais serão as ações a 
serem tomadas de forma prioritária.
25SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
PLANO DE CONTINGÊNCIA
Um dos pontos mais importantes que temos após a criação de uma matriz de risco é criar 
um plano de contingência. Basicamente, é descrito todo processo para se colocar o ambien-
te novamente em operação. Quando falamos em plano de contingência, estamos focando em 
continuidade de negócio.
A matriz de riscos nos apresenta os riscos que podem ocorrer e nela tratamos como 
mitigá-los, porém, deve haver uma documentação de como colocar os processos de negócio 
novamente em operação, caso o risco se concretize. A partir da análise dos riscos, define-se 
um procedimento detalhado de como recuperar sistemas de TI, em caso de desastres de dife-
rentes tipos.
O plano de contingência é utilizado em caso de desastres ou situações que impactam 
muito negativamente no negócio. Por isso, o foco dele é manter a continuidade do negócio, 
como se fosse um “plano B”, caso ocorra uma falha grave. Nele é descrito o que fazer passo 
a passo para reestabelecer paliativamente a operação. O plano de contingência é algo impor-
tante na gestão de riscos.
A estratégia para criação do plano de contingência precisa levar algumas coisas em con-
sideração:
• RPO: Recovery Point Objective (RPO), representa a perda de dados que a empresa pode 
ter sem que comprometa sua operação. Por exemplo, a empresa pode perder 1 dia in-
teiro de dados e movimentação sem impacto na continuidade de negócio, o RTO é de 1 
dia. Pense em um ambiente mais crítico, como um hospital. Para um hospital perder 15 
minutos de dados médicos em um prontuário de um paciente, já pode ser considerado 
crítico! Cada situação deve ser avaliada.
• RTO: Recovery Time Objective (RTO), representa o tempo em que a operação precisa 
estar em operação novamente sem que haja impacto na continuidade de negócio da em-
presa. Quanto mais rápida for, será necessário o reestabelecimento dos sistemas, mais 
complexa e cara é a estratégia de RTO. Por exemplo, para um hospital, um desastre nos 
links de acesso à internet pode ter um RTO de 1 dia sem grandes problemas, mas para um 
comércio eletrônico, ter um RTO de 15 minutos já é demorado! Novamente, cada situa-
ção deve ser analisada.
• Recursos financeiros: para um plano de contingência, é necessário saber quanto de re-
curso financeiro a empresa está disposta a dispender. Estratégia de RTO e RPO estão 
atreladas ao custo. Quanto mais investimento, menos a perda de dados e menor o tempo 
de recuperação.
valde
Realce
valde
Sublinhado
valde
Sublinhado
26SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
De posse dessas informações, pode-se iniciar um plano de contingência e focar em tec-
nologias e topologias que podem ser utilizadas para alcançar os objetivos propostos. Podemos 
dividir o plano de contingência em vários tópicos, assim como a matriz de riscos, não existe 
um modelo padrão, mas tópicos que são interessantes. É muito importante que ocorram tes-
tes periódicos do plano de contingência, pois se nunca forem validados, quando acontecer 
algum desastre, pode ser que ele não funcione e a operação não volte, deixando o ambiente 
indisponível.
O plano de contingência é importante, pois ele ajuda a minimizar as perdas para o negó-
cio. Apesar de um imprevisto acontecer e causar algum dano à empresa, se o plano de contin-
gência estiver bem desenvolvido, fará com que as perdas sejam menores. A falta dele poderá 
fazer com que uma empresa sucumba após acontecer algum desastre.
Normalmente, o que acontece quando algo de ruim incide? Todos se desesperam e não 
sabem o que fazer, isso é natural do ser humano. O plano de contingência ajuda neste sentido, 
pois nele estão descritas todas as orientações necessárias em caso de sinistros. Ele orienta o 
comportamento de toda equipe e processo, em momento que não cabe pensar, apenas agir de 
forma organizada, focando em manter o ambiente em operação.
O plano de contingência não é feito a partir de uma receita. Cada empresa tem que de-
senvolver o seu próprio plano que pode ser ou não utilizado em outras empresas. Assim como 
a matriz de riscos, ele é adaptávele variável.
O primeiro passo é identificar quais as necessidades e problemas que podem afetar a 
operação da empresa, neste caso, da TI, pois estamos focando no plano de contingência do 
setor de tecnologia. Deve-se levar em consideração adversidades naturais, técnicas e huma-
nas. Essas informações podem vir da análise de riscos, pois ali já está mapeado os principais 
riscos.
O segundo ponto importante é avaliar o impacto que cada risco tem ao negócio, para 
decidir a melhor forma de contorná-lo, caso aconteça algum desastre. Uma falha do plano 
de contingência é preocupar-se com situações corriqueiras que “incham” ele, tirando o foco 
realmente do seu objetivo, que é retornar à operação o mais rápido possível. No plano de con-
tingência, pense apenas em situações de desastres e não corriqueiras.
A terceira etapa é uma das mais importantes, temos que definir prioridades! Qual sis-
tema vamos colocar em operação primeiro? Qual servidor será priorizado para ser colocado 
em operação? Essas são perguntas fundamentais, pois na hora do desastre, uma sequência de 
prioridades deve ser elencada para que processos prioritários sejam colocados em operação, 
primeiramente.
A quarta etapa, que muitas das vezes é negligenciada, mas é de fundamental impor-
tância, testar o plano de contingência! De nada adianta ele existir no ambiente, se nunca foi 
testado e homologado. É muito provável que ele não funcione na hora de um desastre se ele 
nunca foi testado. Planos de testes devem ser realizados pelo menos de 1 a 2 vezes no ano para 
testar se realmente o que está escrito, reflete realmente na operação no caso de desastres.
27SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Um plano de contingência é algo vivo na empresa, ou seja, deve ser revisado com frequência! Essa é 
a quinta etapa, revisar periodicamente os processos do plano para que esteja aderente à realidade da em-
presa. O ambiente se transforma todos os dias e o plano deve estar alinhado a isso, caso contrário, não será 
efetivo no dia do desastre.
Vou trazer um modelo de plano de contingência simples, mas funcional. Lembrando que não existe 
um modelo padrão, cada empresa pode gerar um plano de contingência que melhor se adeque a sua reali-
dade. Esse modelo é apenas uma tabela dividida em níveis de gerenciamento, onde o nível maior é o mais 
prioritário, tendo em vista a retomada da operação em caso de um desastre.
• Nível de gerenciamento 1: microinformática
• Nível de gerenciamento 2: rede, comunicação e serviços de rede
• Nível de gerenciamento 3: bancos de dados e virtualização
• Nível de gerenciamento 4: infraestrutura física
Para cada um dos níveis teremos a divisão: equipamento; local; abrangência; falhas; capacidade de 
contingência; procedimento; tempo de parada; responsável.
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Esses exemplos são 
apenas algo simbólico 
para ilustrar como criar 
seu plano de contingência.
28SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Microcomputador Cidade
Toda 
empresa
Queima de 
hardware
10 máquinas 
de backup
Trocar por um 
computador 
de backup.
2 horas
Técnicos de 
suporte
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Core de rede
Data 
center
Toda 
empresa
Queima de 
hardware
1 Switch de 
backup
Trocar por 
um switch de 
backup e abrir 
chamado com 
o fornecedor 
pelo telefone 
xxxxxxx.
1 hora
Analista de 
suporte
NÍVEL 1
NÍVEL 2
Esses exemplos são 
apenas algo simbólico 
para ilustrar como criar 
seu plano de contingência.
29SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Storage
Data 
center
Toda 
empresa
Queima de 
hardware
Equipamentos 
em H.A.
Abrir 
chamado com 
o fornecedor 
pelo telefone 
xxxxxxx.
Sem parada. 
Equipamentos 
em H.A.
SLA de 6 
horas com 
fornecedor 
para troca de 
equipamentos 
danificado.
Adminsitrador 
de ambientes
Equipamento
Local 
Instalação
Abrangência Falhas
Cepacidade de 
Contingência
Procedimento
Tempo 
Previsto
Responsável
Data center
Data 
center
Toda 
empresa
Incêndio
Subir todos os 
sistemas no 
site Backup.
Subir sistemas 
no site backup 
nesta ordem:
1 – virtualização;
2 – rede de 
dados;
3 – ad;
4 – erp;
5 – e-mail;
6 – crm;
7 – demais 
sistemas.
6 horas
Analistas de 
suporte, DBA, 
administradores 
de ambiente.
NÍVEL 3
NÍVEL 4
Esses exemplos são 
apenas algo simbólico 
para ilustrar como criar 
seu plano de contingência.
30GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre os conceitos vulnerabilidades, ameaças e riscos. Vimos como uma análise de riscos é desenvol-
vida e como construir uma matriz de riscos, para nos auxiliar na mitigação de riscos.
31GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. O que é vulnerabilidade?
2. O que é ameaça?
3. O que é risco?
4. A análise de riscos garante que todos os riscos serão eliminados?
5. A matriz de risco é padrão e não pode ser adaptável nos ambientes?
6. Para que serve um plano de contingência?
32
ISO 27001 
A ISO27001 normatiza todo processo de Segurança da informação. Vamos 
desvendar toda sua estrutura! Keep Learning!
valde
Realce
33SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
A segurança da informação é totalmente focada em estabelecer processos seguro nas 
empresas. Para cada tipo de necessidade, existem frameworks reconhecidos mundialmente, 
que auxiliam na construção e desenho de processos, ou servindo como manuais de boas prá-
ticas. Por exemplo, para gestão de serviços de TI, existe a ITIL que organiza e sustenta todo 
ciclo de vida de serviços de TI e pode-se utilizar ela como base para estruturar os processos da 
TI e padronizar o atendimento de demandas e necessidades dos negócios.
Para organizar a TI e deixar ela alinhada aos processos de negócio das empresas, po-
de-se utilizar o COBIT. Esse framework auxilia a TI a estar alinhada ao negócio da empresa e 
estar inserida na governança corporativa e no planejamento estratégico e dessa forma fazer 
com que a TI agregue valor ao negócio das corporações.
Para segurança não é diferente. Em Segurança da informação, utiliza-se a ISO27001 e 
toda sua família de normas (27002,27005, etc.). A ISO27001 é um padrão reconhecido mun-
dialmente e totalmente adaptável a todo tipo de negócio, pois ela é genérica e foca na melhoria 
de processos corporativos para que agreguem segurança no seu dia a dia. A ISO27001 derivou 
de uma norma britânica, a BS7799, do ano de 1999. Sim pessoal, as normas de segurança são 
bem antigas!
Junto com a ISO27001, temos a ISO27002. Ela é uma norma que não pode ser auditada e 
é utilizada como documento de referência à implementação da ISO27001. Nela, temos todos 
os controles e clausulas de controle detalhados. As ISOs de segurança, focam na segurança 
física, técnica, procedimental e em pessoas.
A norma trata todo esse sistema de gestão proposto através do nome SGSI (Sistema de 
Gestão de Segurança da Informação), ou seja, não é apenas um manual de boas práticas, a 
ISO27001 cria um sistema de gestão vivo de segurança com foco em melhoria continuada dos 
processos. Uma empresa que consegue a certificação na ISO27001, consegue estabelecer um 
sistema que se perpetua ao longo do tempo, garantindo a continuidade da segurança no am-
biente. A ISO27001 consta, atualmente, com 14 sessões e 114 controles que abordaremos du-
rante nosso curso.
Uma empresa pode ser certificada na ISO27001, se cumprir todos os requisitos impostos 
pela norma através de uma auditoria oficial de uma empresa especializada e credenciada para 
realizar uma auditoria. Após ganhar a certificação da ISO27001, novas auditorias externas são 
realizadaspara manter a certificação e garantir que o SGSI esteja sempre alimentando e vivo 
na corporação de forma continuada.
valde
Realce
valde
Realce
valde
Sublinhado
valde
Realce
34SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
SGSI – SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Como vimos, a ISO27001 é sustentada por um SGSI que faz com que a segurança seja 
orgânica e viva no ambiente! Como todo sistema de gestão, o SGSI apega-se na metodologia 
PDCA, do inglês, PLAN, DO, CHECK, ACTION. O que seria o PDCA? O PDCA é uma metodologia 
de gestão que visa controlar os processos e melhorá-los continuamente.
A fase do PLAN é a mais importante em qualquer processo de gestão. Na fase de plane-
jamento, define-se os objetivos e as metas projetadas para implantação do SGSI. É nessa fase 
que é definido o escopo, quais processos serão impactados primeiramente, quais setores da 
empresa serão submetidos a melhorias, e assim por diante. É a fase mais demorada, pois é 
nele que tudo é detalhado.
Na fase do DO, é quando implementamos o que foi planejado, ou seja, “colocamos a mão 
na massa”. Neste momento, tudo o que foi planejado irá para produção.
O CHECK, representa uma fase importante de pós-implementação. Nesta fase, pode-
mos observar se o que foi planejado realmente foi executado e se os resultados esperados fo-
ram atingidos. As falhas identificadas devem ser documentadas e as dificuldades enfrentadas 
pontuadas.
Por último, na fase do ACTION, será realizada uma análise dos pontos positivos e ne-
gativos da implementação. Identifica-se os pontos de melhoria e onde pode melhorar o pro-
cesso. Após isso, volta-se à fase de PLAN, para planejar as mudanças nos pontos de melhoria 
identificados e todo ciclo se retroalimenta. O PDCA é um ciclo sem fim, por isso ele garante a 
melhoria continuada dos processos. Entendendo um pouco do PDCA, podemos prosseguir nas 
etapas de estabelecimento de um SGSI.
valde
Realce
35SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Primeira atividade que deve ser realizada para estabelecer um SGSI é definir um escopo e os 
limites do sistema de gestão. Isso é muito importante, pois o SGSI impacta em vários processos. 
Uma empresa pode definir que aplicará um sistema de gestão somente na TI e deixar os demais 
setores de fora e dessa forma amadurecer os processos antes de levar para toda empresa. Tudo 
é uma questão de definição de escopo, para saber qual será o alvo e quanto recurso financeiro e 
humano terá para implementar o SGSI.
Outro ponto crucial é estabelecer uma política de SGSI na empresa, onde todos terão que 
estar abaixo dela e respeitar as normas impostas. Nela, contém toda hierarquia e estrutura do 
SGSI e deve estar alinhado ao contexto estratégico da empresa. Mais adiante, abordaremos a Po-
lítica de Segurança da Informação Corporativa, que nos ajudará a compreender as normativas.
A análise de riscos aparece como requisito obrigatório para um SGSI. Ela está inserida den-
tro do processo de gestão e precisa ser atualizada regularmente, estando alinhada com os objeti-
vos da empresa, focando na continuidade do negócio. Define-se uma metodologia de análise de 
riscos e desenvolve-se critérios para aceitação dos riscos, gerando, dessa forma, um padrão para 
as análises, documentando todo processo.
O SGSI exige que exista um comprometimento visceral da diretoria e da alta administração 
em todo processo. A análise de riscos, juntamente com os riscos residuais e a aceitação dos ris-
cos, devem ser homologados e aceitos pela diretoria. Todo processo deve ser aprovado pela alta 
administração, de modo que ela esteja ciente de como o ambiente está e quais ações necessitam 
ser tomadas para mitigar os riscos e que mesmo após a mitigação, existem riscos residuais que 
vêm ser aprovados e aceitos por eles. A alta administração ainda precisa chancelar a operação do 
SGSI e autorizar que seja implementado na empresa, com respaldo de toda diretoria.
Outros pontos são relevantes dentro do SGSI e devem ser observados com muita atenção:
• implementar programas de conscientização e treinamento;
• gerenciar as operações do SGSI;
• gerenciar recursos para o SGSI;
• implementar controles para identificar eventos de segurança.
Deve ser reiterado o fato do comprometimento da direção com o SGSI. A ISO27001 traz 
um capítulo exclusivo para abordar esse tema. A direção precisa estar totalmente comprome-
tida com o SGSI, inclusive na auditoria de certificação é um dos pontos observados. A direção 
tem como responsabilidade:
• estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar 
o SGSI;
• garantir que os procedimentos de segurança apoiem o negócio;
• identificar e tratar requisitos legais;
• realizar análises críticas do SGSI;
• melhorar a eficácia do SGSI.
Essa é a estrutura básico do SGSI, mas abordaremos de forma mais minuciosa cada um 
dos assuntos daqui para frente.
valde
Sublinhado
valde
Sublinhado
valde
Sublinhado
valde
Sublinhado
valde
Sublinhado
36SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
ANEXO A - ISO27002
Após a criação de um SGSI, a norma ISO27001 exige o cumprimento da implantação de 
114 controles para que uma empresa seja certificada. Cada um dos 114 controles está descrito 
de forma detalhada no Anexo A da norma. O Anexo A é a ISO27002, portanto, a ISO27002 é o 
detalhamento dos 114 controles divididos em 14 sessões. As sessões são numeradas de 5 até 18 
e cada uma delas abrange uma temática dentro da norma. 
A primeira sessão é a 5 - Política de Segurança da Informação. Nesta sessão, está deta-
lhada como a política de segurança deve ser conduzida dentro da empresa. Inclui o tempo de 
revisão e os limites de aplicação dela. Muitas dicas de como construir uma política estão des-
critas neste tópico.
A segunda sessão é a 6 - Organização da Segurança da Informação. Nesta sessão, des-
creve-se os controles sobre as responsabilidades de cada um dentro do SGSI, também des-
crevem como as atividades remotas devem ser realizadas e padroniza políticas para uso de 
dispositivos móveis.
A sessão 7 - Segurança em Recursos Humanos, possui foco nas pessoas e na capacitação 
dos colaboradores. Controles são estabelecidos nas fases de contratação, sendo aplicados an-
tes, durante e pós ser realizada. O fator humano é o maior desafio do sistema de gestão.
Na sessão 8 - Gestão de Ativos, foca-se nos inventários de ativos e políticas de uso acei-
tável. Nesta etapa, também será abordada a classificação da informação e o manuseio de mí-
dias. O inventário é o controle principal nesta etapa, e a norma detalha como realizar ele com 
sucesso.
A sessão 9 – Controle de Acesso, tem seu foco na liberação de acesso aos sistemas cor-
porativos, elencando itens pra controlar o acesso e também explicitar a responsabilidade de 
todos no manuseio das informações.
A sessão 10 – Criptografia, está focada no controle das chaves criptográficas que a em-
presa possuiu, pois a salvaguarda das chaves é de extrema importância, uma vez que de posse 
da chave, consegue-se abrir os arquivos que estão criptografados, expondo as informações.
Na sessão 11 - Segurança Física e do Ambiente, os controles possuem foco na defini-
ção de áreas seguras e no controle de entrada no perímetro da empresa. Ainda nesta sessão, 
é abordada a importância de se ter uma política de mesa limpa e o descarte seguro de mídias 
físicas.
A sessão que mais impacta na infra de TI é a sessão 12 - Segurança nas Operações. Nes-
ta fase, existem vários controles relacionados à produção de TI e ao bom funcionamento da 
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
valde
Realce
37SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
infraestrutura. Dentro desses controles, estão inclusas a gestão de mudanças e a gestão de 
capacidade do ambiente juntamente com gestão de backup e monitoramento.
Na sessão 13 - Segurança nas Comunicações, é abordado o controle de rede de dados que 
precisam serimplementados, como a segmentação da rede de segurança nos serviços de re-
des, que estarão providos no ambiente da empresa.
Para desenvolvimento e aquisição de sistemas, existe a sessão 14 - Aquisição, desenvol-
vimento e manutenção de sistemas. Muitos vetores de ataques estão em sistemas mal desen-
volvidos. Nesta sessão, a norma exige algumas parametrizações e mudanças de processo de 
desenvolvimento, que melhoram muito a segurança dos dados nas aplicações.
A sessão 15 - Relacionamento na Cadeia de Suprimentos, define controles que incluem 
acordos de confidencialidade e monitoramento de fornecedores. A sessão 16 - Gestão de Inci-
dentes de Segurança da Informação, estabelece controles de como os incidentes serão repor-
tados e tratados.
Na sessão 17 - Aspectos da segurança da informação, na gestão da continuidade do ne-
gócio, estão descritos controles focados na continuidade de negócios da empresa e na redun-
dância da TI. 
Na última sessão, 18, – Conformidade, conduz os controles para estar em compliance 
com normas e legislações vigentes.
Percebam que a ISO27001, dentro desses 114 controles, aborda todas as faces da segu-
rança da informação e auxiliam na construção de um SGSI robusto e que se perpetue no am-
biente, garantindo a melhora dos processos com foco em segurança.
valde
Realce
valde
Realce
38GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre a ISO27001 e a construção de um SGSI. Estudamos o Anexo A da norma e vimos cada uma das 
14 sessões de forma resumida. Aprendemos um pouco sobre o PDCA e como manter um sistema de gestão ativo.
39GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. O que é o Anexo A da norma ISO27001?
a. No Anexo A estão descritos os 114 controle estabelecidos pela norma 27001, ele serve de apoio durante a implantação do sistema 
na organização.
2. Para que serve o PDCA?
a. O ciclo PDCA é uma metodologia que auxília o profissional a monitorar seus projetos e seus planos de ação, pois proporciona 
uma revisita constante em suas ações e resultados.
3. É necessário haver uma análise de riscos no SGSI?
a. Sim, é de suma importância que haja uma análise de riscos no Sistema de Gestão de Segurança da Informação, pois os riscos 
devem ser classificados, tendo os de maior pontuação, ações já definidas e postas em prática.
4. É importante o comprometimento da diretoria? Por quê?
a. Sim, é muito importante o comprometimento da direção na implantação de qualquer sistema de gestão, pois além de fornecerem 
suporte financeiro, a implantação de qualquer sistema de gestão, deve estar alinhado estrategicamente com os objetivos da 
organização.
5. A ISO27002 possui quantos controles?
a. Ela possui 114 controle.
40
POLÍTICA DE 
SEGURANÇA DA 
INFORMAÇÃO 
Como podemos organizar e normatizar todas as regras de segurança em 
uma empresa? A resposta é a Política de Segurança da Informação. Vamos 
lá!
41SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
A construção de uma política de segurança nunca é algo fácil e gera muitas dúvidas. Não 
existe uma receita-padrão de como elaborar uma política, ou um passo a passo. Cada empre-
sa constrói sua política de acordo com o que acha mais pertinente e da forma que melhor de 
adaptar ao negócio. Os exemplos e as construções que faremos neste capítulo, serão apenas 
uma ideia de como conduzir o processo da criação da política.
A Política de Segurança da Informação deve ser criada e aprovada pela direção da em-
presa, e divulgada para todos os funcionários. Uma política deve conter a definição de segu-
rança da informação na visão da empresa; quem será responsável pelos controles e gestão de 
risco da informação; uma explicação dos princípios e normas que regem a política da empre-
sa; a definição clara de responsabilidades; fazer referências a outros documentos e normas 
que apoiem a política da empresa.
Outro ponto importante da Política de Segurança da Informação (PSI), que a norma exi-
ge, é a revisão sistemática e periódica do documento, para que ele sempre esteja aderente à 
realidade da empresa (lembram do PDCA?), a fim de mitigar os riscos ao negócio.
Um dos pontos básicos da PSI, é a sua divulgação para todos os funcionários da empre-
sa. Todos devem saber que a política existe e devem estar cientes do seu conteúdo, seguindo 
a conduta estabelecida nela, podendo até sofrer sanções administrativas em caso de descum-
primento das normas.
Para construção da PSI, podemos seguir a seguinte estrutura:
• introdução;
• objetivos;
• conceitos e definições;
• comprometimento da diretoria;
• responsabilidades;
• continuidade de negócio;
• diretrizes;
• sanções.
Com essa estrutura, pode-se construir uma política simples e ao mesmo tempo efetiva 
em seu propósito. Lembre-se que é apenas uma ideia de como construir a política, que deve 
ser feita de acordo com cada situação.
Na introdução, é necessário descrever um pouco sobre a importância da segurança da 
informação e os motivos que levaram a construção da política, demonstrar a importância da 
temática, juntamente com uma explanação do que será tratado no documento:
42SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
“A Segurança da Informação é um assunto preponderante para a sustentação do negócio das 
corporações. Com o advento de leis como a LGPD e a GDPR, a proteção de dados está cada vez mais 
em voga e faz-se necessário sob essa temática. A Política de Segurança da Informação é o principal 
documento que rege as diretrizes de segurança de uma organização.
A política está alinhada à estratégia da empresa e atende os requisitos legais e de negócio para 
manutenção da cadeia de valor e compliance do ambiente. Na política, serão descritas todas as di-
retrizes de segurança, bem como o comprometimento da diretoria e a responsabilidade de todos os 
envolvidos”.
Nos objetivos, é necessário elencar o objetivo geral e os específicos, que direcionarão a 
construção do SGSI. Objetivos sempre são verbos no infinitivo.
“O objetivo geral da Política de Segurança da Informação: estabelecer diretrizes de segurança 
para que haja a melhoria continuada dos processos internos e diminuir o risco ao negócio.
Para alcançar o objetivo geral, foram elencados os objetivos específicos:
• criar uma matriz de riscos;
• definir as responsabilidades;
• evidenciar o comprometimento da diretoria;
• homologar a continuidade de negócio;
• definir diretrizes de segurança aderente ao negócio;
• criar sanções para punir o desrespeito às normas.
Em conceitos e definições, será explanado sobre a segurança da informação, pilares, a 
visão da empresa sobre a temática.
“O terno Segurança da Informação refere-se à [...]
Os pilares de segurança da informação são [...]
A análise de riscos é [..]
[..] “
Na parte de comprometimento da diretoria, evidencia-se o grau de comprometimento 
da diretoria com o assunto e explicita-se o apoio dela para implementação das políticas.
“A diretoria está comprometida com o SGSI quando está disposta à:
• investir recursos financeiros;
• participar da análise de riscos;
• sancionar a política de segurança.
Em responsabilidades, elencamos as responsabilidades de indivíduo dentro do SGSI, 
bem como as responsabilidades dos setores da empresa, como TI, RH e Diretoria.
43SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
“O SGSI necessita que as seguintes áreas de empresa estejam comprometidas com o sistema e 
cumpram as suas responsabilidades:
• Diretoria: Responsável por sancionar a Política de Segurança e garantir sua aplicação do am-
biente, dando respaldo na implementação juntos aos diretores, acionistas, colaboradores e 
terceiros.
• TI: responsável por revisar periodicamente a PSI, ou quando cabível, e apoiar a efetivação dos 
controles de segurança de forma automatizada no ambiente e apoiar os treinamentos e capa-
citação dos colaboradores sobre o tema.
• Recursos humanos: responsável por coletar as assinaturas nos termos de responsabilidades e 
organizar treinamentos de capacitação sobre o temacom o apoio do setor de TI.
No capítulo de continuidade de negócio, elenca-se o plano de contingência e a frequên-
cia de validação dele.
“Anualmente, o plano de contingência deve ser homologado e testado. Os testes devem ser do-
cumentados e apresentados à diretoria.”.
Perto do final, chegamos na parte chata, em que os usuários criam uma antipatia com a 
TI. Nas diretrizes são evidenciadas as políticas, e será elencado “o que é” e o “que não é per-
mitido” na empresa. É o capítulo mais longo, e cada empresa possui suas políticas específicas:
1. proibido acesso à pornografia; 
2. proibido efetuar download de programas não autorizados pela TI;
3. proibido armazenar conteúdo de áudio/vídeo que possuam direitos autorais;
4. proibido efetuar pirataria de qualquer tipo;
5. não enviar e-mail de correntes;
6. não compartilhar conteúdos duvidosos;
7. entrar em contato com a TI em caso de infecção por malwares;
8. não clicar em links suspeitos no e-mail;
9. proibido compartilhar arquivos confidenciais em qualquer tipo de mídia digital ou portais de 
compartilhamento;
[...]
No final, o capítulo de sanções oficializa que se alguém descumprir as políticas descritas 
na norma, poderão sofrer sanções administrativas e/ou legais cabíveis.
44SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
“A Política de Segurança da Informação é aplicável a toda diretoria, acionistas, gerentes, co-
ordenadores, colaboradores, terceiros e a qualquer indivíduo que esteja dentro das dependências da 
empresa. O não cumprimento das normas pode gerar sanções administrativas e/ou legais, depen-
dendo da gravidade da infração”.
A política é um tema complexo e, talvez, algumas coisas não façam sentido neste mo-
mento, mas ao longo do curso, vamos entender melhor. Essa estrutura é apenas uma ideia de 
como construir uma política. Na internet, existem muitos exemplos que podem ser utilizados 
para criar seu próprio padrão de política que mais estiver aderido à empresa e ao negócio.
É importante que, ao final, a diretoria assine o documento da política, seja fisicamen-
te ou virtualmente. Outro ponto interessante que a política nos mostra é que a Segurança da 
Informação não é de responsabilidade da TI, mas sim de todos que estão na empresa! A TI é 
um facilitador para que a segurança esteja permeando todos os setores, pois ela administra os 
ativos por onde a informação trafega, porém, temos que lembrar que a Segurança da Infor-
mação é de responsabilidade de todos.
Ao longo dos estudos, vamos aprendendo o que mais pode entrar na política, pois ela é 
a força motriz das diretrizes de segurança da informação na empresa. Um ponto crucial é a 
revisão periódica dessa política. Aconselha-se que, pelo menos, uma revisão seja realizada a 
cada 12 meses, ou seja, uma vez por ano, no mínimo, a política deve ser atualizada e divulgada 
para todas as partes interessadas. Caso necessário, poderá haver mais de uma revisão por ano.
Na ISO27002, esses são os controles específicos da sessão Política de Segurança da In-
formação:
5.Políticas de Segurança da Informação
5.1.Orientação da Direção para Segurança da Informação
5.1.1.Políticas para Segurança da Informação
5.1.2.Análise crítica das Políticas de Segurança da Informação
45GESTÃO DE PROCESSOS
SÍNTESE SUMÁRIO
Neste capítulo, aprendemos um pouco sobre a sessão de Política de Segurança da Informação. Vimos a importância da elaboração de uma 
política aderente ao negócio da empresa e os desafios e responsabilidade de todos que estão na empresa.
46GESTÃO DE PROCESSOS
EXERCÍCIOS SUMÁRIO
1. A Política de Segurança da Informação, deve ser respeitada por todos?
2. Qual a responsabilidade da diretoria?
3. Qual o período de revisão máximo da política?
4. Quem deve seguir as políticas impostas na PSI?
5. A SI é somente responsabilidade da TI?
47
SEGURANÇA FÍSICA E 
DO AMBIENTE
A segurança começa de fora para dentro da empresa através da proteção 
dos perímetros! Vamos aprender mais sobre a Segurança Física e do 
Ambiente! Let’s go!
48SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Vocês já viram, em filmes medievais, que o castelo onde o rei morava sempre estava bem 
protegido? Alguns até utilizavam pontes levadiças com poço ao redor, cheio de crocodilos 
para que ninguém conseguisse chegar até o rei? A ponte e o poço, ao redor, eram para garantir 
a segurança física do castelo, para que as pessoas não autorizadas entrassem nele e pudessem 
colocar a vida do rei em perigo.
De uma forma bem simples, quando falamos em segurança física e do ambiente, esta-
mos falando em construir ao redor da empresa um grande poço com crocodilos! Está certo, 
não é bem isso que é feito, mas o sentido é o mesmo. Nesta etapa, a preocupação é garantir a 
segurança de acesso e a proteção dos ambientes críticos, nos quais a informação tramita.
Para garantir essa segurança, existe uma combinação de medidas eletrônicas e estrutu-
rais, por isso, as medidas físicas devem ser planejadas e bem desenvolvidas para que tenham 
sucesso em sua implementação. Desde câmeras de vigilância até sensores de presença e alar-
me de movimentação em áreas críticas. Nesta fase, realiza-se uma análise de riscos focada 
nos riscos físicos e nas ameaças que podem explorar as vulnerabilidades. Por exemplo, ava-
lia-se se a empresa, se possui portões de entrada fechados com controle de acesso, para que 
ninguém entre em locais proibidos.
Outro ponto interessante é a definição de perímetros de segurança. A empresa possui 
vários ambientes e alguns deles podem ser acessados por todos e outros necessitam de au-
torização para o acesso, como em um hospital. A recepção pode ser acessada por todas as 
pessoas, porém, o setor de UTI só pode ser acessado pelos funcionários e por familiares em 
determinado período do dia, sendo o acesso restrito a pessoas e horários.
Setores por onde trafegam informações sigilosas ou sensíveis também devem estar nes-
sa análise de riscos físicos. Locais como o Data Center, que armazenam informações, precisam 
ter atenção redobrada para o controle de acesso e integridade física do ambiente, focando nos 
riscos estruturais que a construção pode ter e que comprometa a segurança da informação.
49SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
Uma definição interessante é mapear e destacar quais são as áreas seguras da empre-
sa, locais onde as informações mais sigilosas são manipuladas. Nessas áreas, a segurança de 
acesso deve ser diferenciada e mais rígida, por exemplo, o acesso ao setor de Tecnologia da 
Informação deve ser restrito apenas para profissionais da TI, pois ali está toda inteligência 
tecnológica da empresa, por onde as informações passam ou ficam armazenadas.
Alguns exemplos de falhas físicas:
• efeitos da natureza;
• falhas em sistemas de suprimentos;
• ameaças humanas;
• terrorismo;
• espionagem industrial, etc.
ANÉIS DE PROTEÇÃO
Uma abordagem muito interessante é dividir as áreas da empresa em anéis de proteção, 
que nos ajudarão a visualizar onde as informações mais sensíveis se encontram para mitigar-
mos de forma mais assertiva os riscos, e ter uma abordagem mais holística do ambiente.
50SEGURANÇA DA INFORMAÇÃO
 SUMÁRIO
No espaço mais externo à empresa, temos as informações públicas, que não necessi-
tam de muita proteção, afinal, elas são públicas. Tudo o que não comprometa a segurança da 
empresa não exige uma grande proteção. Outro ponto interessante é que temos que manter 
o foco nos esforços e investimentos, em locais que trafegam informações sigilosas ou de im-
pacto ao negócio.
Já dentro da empresa, temos a segurança física do prédio, da construção. Podemos elen-
car o pátio da empresa ou um hall de entrada. Locais já dentro dos portões da empresa, mas 
que não abrigam informações muito sigilosas. Nesses locais, podem haver colados cartazes 
com informações de missão e valor da empresa ou até mesmo um mapa da empresa, mas, 
normalmente, não necessitam de um grande controle de acesso.
O próximo estágio já é de precaução.