Livro_Gestao_de_Seguranca_da_Informacao_uma visao executiva_por_Marcos_Semola_Dominio_Publico_Jun2021

Prévia do material em texto

Gestão da 
Segurança 
da Informação 
Uma Visão Executiva
C0065.indd iC0065.indd i 29/10/18 4:35 PM29/10/18 4:35 PM
Consultoria Editorial
Lorenzo Ridolfi 
Gerente Sênior
Accenture
Sérgio Colcher
Professor do Departamento de Informática
PUC-Rio
Revisão Técnica e Atualização
Mauricio Tavares
C0065.indd iiC0065.indd ii 29/10/18 4:35 PM29/10/18 4:35 PM
Gestão da 
Segurança 
da Informação 
Uma Visão Executiva
2ª edição
8ª tiragem 
Marcos Sêmola
C0065.indd iiiC0065.indd iii 29/10/18 4:35 PM29/10/18 4:35 PM
C0070.indd ivC0070.indd iv 31/10/18 3:33 PM31/10/18 3:33 PM
 Este livro é originalmente dedicado à memória dos 
meus avós paternos, Archimedes Renato Forin Sêmola 
e Fernanda Sêmola, por seus valores incontestáveis, 
pela lição de vida que compartilharam incentivando 
a busca contínua do conhecimento e da razão, e pelo 
amor aplicado ao papel educacional que se propu-
seram a cumprir. Esta nova edição dedico aos meus 
pais, aos meus fi lhos Guilherme e Alice, e à minha 
esposa Adrianny, pois só eles vivenciaram de perto 
o desafi o de conviver com um indivíduo multitarefa 
cheio de ideias e projetos para realizar ao mesmo 
tempo . 
C0075.indd vC0075.indd v 07/11/13 10:59 AM07/11/13 10:59 AM
C0075.indd viC0075.indd vi 06/11/13 10:24 AM06/11/13 10:24 AM
vii
 Agradecimentos 
 Inicio agradecendo à Módulo Security Solutions — onde atuei 
como gerente nacional de produtos — por sua responsabilidade 
no meu envolvimento profi ssional com a área de segurança, 
pelas oportunidades que me foram proveitosas e, principal-
mente, por ter sido uma fonte fundamental de inspiração ao me 
emprestar grande parte de seus conceitos e visões aplicadas no 
dia a dia e que aqui se encontram didaticamente organizadas e 
complementadas por experiências pessoais docentes. 
 Ainda dentro do perímetro corporativo, agradeço aos colegas 
de trabalho com os quais tive passagens memoráveis, mas em 
particular aos amigos Ivan Alcoforado, Luis Rabello, Gastão 
Lombas, André Fleury, Eduardo Poggi, Hélcio Tonnera, Marcelo 
Duarte, Nelson Correa, Ricardo Bacellar, Andréa Samico, 
Eduardo Nery, Alexandre Lyra, Alexandre Vargas, Márcio 
Galvão, Patrícia Shultz, Suzana Strauch, Leonardo Carissimi, 
Barbara Carissimi, Daniel Accioly, Marcelo Farias, Otávio 
Tolentino, Geraldo Ferreira, Marcos Machado, Renato Tocaxelli, 
Rodrigo Solon, Ramiro Filho, Rogério Reis, Rosâgela Caubi, 
Valter Inocente, Cristiane Pereira, William Alevate, Fernando 
Marinho, Marcos Machado, André Fucs, Liza Guttmann, 
João Portella, Marcelo Berquo, Rinaldo Ribeiro, Fernando 
Botafogo, Eduardo Neves, Rodrigo Agia, Marcos Julião, Marcelo 
Pettengill, Patrícia Farias, Jorge Guimarães, Márcio Canuto, 
Zilta Marinho, José Nogueira, em memória de Emanuel Ciattei, 
e muitos outros que, por uma fração de tempo, a memória me 
deixou escapar. 
 Agradecimento especial aos três sócios visionários, Alberto, 
Álvaro e Fernando, que em 1985 souberam identifi car a opor-
tunidade e começaram a escrever a história da segurança da 
informação no Brasil. 
 Relacionado a esta edição atualizada, agradeço a confi an-
ça do novo diretor de educação, Fernando Ximenes, a quem 
há muito respeito pelo histórico profi ssional e antiga relação 
familiar, e especialmente ao Maurício Taves, pela dedicação 
empregada nesta árdua porém valorosa revisão. 
 Agradeço à Fundação Getúlio Vargas, que teve importante 
papel na materialização deste projeto, por acreditar no potencial 
literário da obra e principalmente no valor que poderia agregar 
C0080.indd viiC0080.indd vii 06/11/13 10:47 AM06/11/13 10:47 AM
viii Agradecimentos
aos cursos de educação continuada MBA (Master in Business 
Administration). Agradeço aos amigos e mentores da FGV/
EPGE, Moisés Glat, Raul Colcher, Bernardo Griner, André Valle 
e, em memória, ao amigo Carlos Salles, que, por acreditarem 
no meu potencial como educador, viabilizaram a enriquecedora 
experiência de lecionar a cadeira de Gestão de Riscos da Infor-
mação para os cursos nacionais MBA da instituição, agora já por 
mais de treze anos. À amiga e professora Deana Weikersheimer, 
um agradecimento especial pelas horas no saguão dos aeroportos 
em que trocávamos experiências, enquanto era especialmente 
motivado a seguir seu exemplo de compartilhar o conhecimento 
através da literatura. 
 Sendo rigoroso com a premissa de usufruir deste capítulo 
para agradecimentos extensivos, não posso deixar de agradecer 
novamente aos meus colegas do curso MBA em Tecnologia 
Aplicada/FGV, turma de 1997, especialmente Marco Aurélio 
Latge e Luiz Mário Griner, que foram sempre presentes e in-
centivadores de meus projetos ambiciosos. Agradeço, ainda, 
aos amigos que compõem comigo a diretoria da associação 
internacional de profi ssionais de segurança e auditoria de sis-
temas (ISACA), Alfred Bacon, Paulo Pagliusi, Ernani Paes e 
Barros, Homero Carreiro, Leandro Ribeiro, Luis Diogo Reis, 
Marcelo Duarte e José Fontenelle, pelo companheirismo, pela 
tolerância e dedicação como voluntários em um mundo onde o 
tempo livre virou ativo valiosíssimo. 
 Por fi m, não me permito esquecer dos principais respon-
sáveis pelo apoio incondicional e a base sólida que viabilizam 
diretamente o sucesso de mais este projeto: minha família, prin-
cipalmente meus pais, meus irmãos, minha esposa e meus fi lhos. 
C0080.indd viiiC0080.indd viii 06/11/13 10:47 AM06/11/13 10:47 AM
ix
Sumário
Agradecimentos ....................................................................vii
Prefácio ...............................................................................xvii
CAPÍTULO 1 Sociedade do conhecimento ........... 1
1.1 Informação: ativo cada vez mais 
valorizado ....................................................1
1.2 Crescimento da dependência ......................2
1.3 Visão holística do risco ...............................5
1.4 Receita explosiva ........................................7
1.5 Ciclo de vida da informação .......................9
Manuseio ................................................... 10
Armazenamento ........................................ 10
Transporte ................................................. 10
Descarte ..................................................... 10
CAPÍTULO 2 Desafi os .................................................13
2.1 Anatomia do problema..............................13
2.2 Visão corporativa ......................................16
2.3 Pecados praticados ....................................20
2.4 Conscientização do corpo executivo .........20
2.5 Retorno sobre o investimento ...................23
2.6 Posicionamento hierárquico .....................27
2.7 Gerência de mudanças ..............................28
2.8 Modelo de gestão corporativa 
de segurança ..............................................30
Comitê corporativo de segurança 
da informação ............................................ 32
Mapeamento de segurança ........................ 32
Estratégia de segurança ............................. 32
Planejamento de segurança ....................... 33
Implementação de segurança .................... 33
Administração de segurança ..................... 34
Segurança na cadeia produtiva .................. 34
2.9 Agregando valor ao negócio .....................34
C0085.indd ixC0085.indd ix 06/11/13 3:11 PM06/11/13 3:11 PM
x Sumário
CAPÍTULO 3 Knowledge Checkpoint 1 ................37
Informação: ativo cada vez mais 
valorizado .............................................. 37
Crescimento da dependência ................. 37
Visão holística do risco ......................... 37
Receita explosiva .................................. 37
Ciclo de vida da informação ................. 37
Desafi os ..................................................... 38
Anatomia do problema .......................... 38
Visão corporativa .................................. 38
Pecados praticados ................................ 38
Conscientização do corpoexecutivo ..... 38
Retorno sobre o investimento................ 38
Posicionamento hierárquico .................. 38
Gerência de mudanças .......................... 38
Modelo de gestão corporativa 
de segurança .......................................... 38
Agregando valor ao negócio ................. 39
CAPÍTULO 4 Segurança da informação ..............41
4.1 Conceitos de segurança ............................41
Segurança da informação .......................... 41
Conceitos básicos da segurança 
da informação ............................................ 43
Informação ................................................ 43
Ativo .......................................................... 43
Aspectos da segurança da informação ...... 44
Aspectos associados .................................. 44
Ameaças .................................................... 45
Vulnerabilidades........................................ 46
Medidas de segurança ............................... 47
Riscos ........................................................ 48
Impacto ..................................................... 48
Incidente .................................................... 48
4.2 Teoria do perímetro...................................49
4.3 Barreiras da segurança ..............................50
Barreira 1: desencorajar ............................ 51
Barreira 2: difi cultar .................................. 51
Barreira 3: discriminar .............................. 52
Barreira 4: detectar .................................... 52
C0085.indd xC0085.indd x 06/11/13 3:11 PM06/11/13 3:11 PM
xiSumário
Barreira 5: deter ........................................ 52
Barreira 6: diagnosticar ............................. 52
4.4 GRC ..........................................................54
4.5 Equação do risco .......................................56
Interpretação da equação ........................... 56
Risco tendendo a zero ............................... 57
4.6 Comitê corporativo de segurança 
da informação ............................................57
Objetivos ................................................... 58
Coordenador do comitê corporativo 
de segurança da informação ...................... 59
Perfi l dos executores ................................. 62
4.7 Papel do Security Offi cer ..........................63
Fatores importantes para o adequado 
exercício da atividade de Security Offi cer .. 63
Macrodesafi os do Security Offi cer ............ 64
4.8 Como conduzir internamente 
a negociação ..............................................64
4.9 Sabendo identifi car o parceiro 
externo .......................................................67
4.10 Conformidade com norma 
específi ca ...................................................69
Tendência .................................................. 71
4.11 Norma versus metodologia .......................72
CAPÍTULO 5 Knowledge Checkpoint 2 ................75
Conceitos de segurança ......................... 75
Teoria do perímetro ............................... 75
Barreiras da segurança .......................... 75
GRC ...................................................... 75
Equação do risco ................................... 76
Comitê corporativo de segurança 
da informação ........................................ 76
Papel do Security Offi cer ...................... 76
Como conduzir internamente 
a negociação .......................................... 76
Sabendo identifi car o parceiro externo ...76
Conformidade com norma específi ca .... 76
Norma × metodologia .......................... 77
C0085.indd xiC0085.indd xi 06/11/13 3:11 PM06/11/13 3:11 PM
xii Sumário
CAPÍTULO 6 Orientação ao Security Offi cer ......79
6.1 Solução corporativa de segurança 
da informação ............................................79
Objetivo ..................................................... 81
Fases .......................................................... 83
6.2 Plano diretor de segurança ........................85
Metodologia .............................................. 86
1. Identifi cação dos processos 
de negócio ......................................... 87
2. Mapeamento da relevância ................ 89
Critérios ............................................. 89
3. Estudo de impactos CIDAC .............. 90
4. Estudo de prioridades GUT .............. 91
Dimensão gravidade .......................... 92
Dimensão urgência ............................ 92
Dimensão tendência .......................... 92
Critérios ............................................. 93
5. Estudo de perímetros ......................... 93
6. Estudo de atividades.......................... 96
Organização do comitê corporativo 
de segurança .............................................. 96
Organização do Security Offi ce ................. 97
Organização de comitês 
interdepartamentais de segurança ............. 97
6.3 Continuidade de negócios .........................98
O cerne da GCN ........................................ 98
Análise de impacto no negócio ............... 100
Estratégias de contingência ..................... 101
Hot-site ................................................ 101
Warm-site ............................................ 102
Realocação de operação ...................... 102
Bureau de serviços .............................. 102
Acordo de reciprocidade ..................... 102
Cold-site .............................................. 103
Autossufi ciência .................................. 103
Planos de contingência ............................ 103
Plano de administração de crise .......... 104
Plano de continuidade operacional ..... 104
Plano de recuperação de desastres ...... 104
C0085.indd xiiC0085.indd xii 06/11/13 3:11 PM06/11/13 3:11 PM
xiiiSumário
6.4 Política de segurança da informação ......105
6.5 Análise de riscos e vulnerabilidades .......108
6.6 Teste de invasão ......................................114
6.7 Implementação de controles 
de segurança ............................................116
Autenticação e autorização ..................... 117
O que você sabe .................................. 117
O que você tem ................................... 118
O que você é ........................................ 118
Combate a ataques e invasões ................. 119
Firewall ............................................... 119
Detector de intrusos ............................ 120
Privacidade das comunicações ................ 122
Simétrica ou de chave privada ............ 122
Assimétrica ou de chave pública ......... 123
Virtual Private Network ...................... 124
Public Key Infrastructure .................... 125
Esteganografi a ..................................... 128
6.8 Treinamento e sensibilização 
em segurança ...........................................128
Seminários ............................................... 129
Campanha de divulgação ........................ 129
Carta do presidente ................................. 129
Termo de responsabilidade 
e confi dencialidade .................................. 130
Cursos de capacitação e certifi cação ....... 130
6.9 Equipe para resposta a incidentes ...........131
6.10 Administração e monitoração 
de segurança ............................................ 131
6.11 O risco da conformidade .........................133
CAPÍTULO 7 Knowledge Checkpoint 3 ..............135
Orientação ao Security Offi cer ................ 135
Solução corporativa de segurança 
da informação ...................................... 135
Plano diretor de segurança .................. 135
Continuidade de negócios ................... 135
Política de segurança da informação ... 135
Análise de riscos e vulnerabilidades ... 136
Teste de invasão .................................. 136
C0085.indd xiiiC0085.indd xiii 06/11/13 3:11 PM06/11/13 3:11 PM
xiv Sumário
Implementação de controles 
de segurança ........................................ 136
Treinamento e sensibilizaçãoem segurança ....................................... 136
Equipe para resposta a incidentes ....... 136
Administração e monitoração 
de segurança ........................................ 137
O risco da conformidade ..................... 137
CAPÍTULO 8 Conformidade com a norma 
ISO 27002 ..........................................139
8.1 Framework e os controles 
de segurança ............................................140
8.2 Teste de conformidade ............................142
Objetivo do teste ..................................... 143
Instruções ................................................ 143
 1. Políticas de segurança 
da informação ................................ 143
 2. Organização da segurança 
da informação ................................ 143
 3. Segurança em recursos humanos .. 144
 4. Gestão de ativos ............................ 144
 5. Controle de acesso ........................ 144
 6. Criptografi a ................................... 145
 7. Segurança física e do ambiente ..... 145
 8. Segurança nas operações ............... 146
 9. Segurança nas comunicações ........ 147
10. Aquisição, desenvolvimento 
e manutenção de sistemas ............. 147
11. Relacionamento na cadeia 
de suprimento ................................ 148
12. Gestão de incidentes 
de segurança da informação .......... 148
13. Aspectos da segurança 
da informação na gestão 
da continuidade do negócio .......... 149
14. Conformidade ............................... 149
Tabela de pontuação ................................ 149
Índices de conformidade com a norma 
ISO 27002 ............................................... 150
C0085.indd xivC0085.indd xiv 06/11/13 3:11 PM06/11/13 3:11 PM
xvSumário
Resultado entre 78-118 ....................... 150
Resultado entre 39-77 ......................... 150
Resultado entre 0-38 ........................... 151
CAPÍTULO 9 As novas fronteiras .........................153
9.1 Cloud computing..................................... 154
9.2 Mobilidade e BYOD ............................... 157
9.3 Mídias sociais ......................................... 160
9.4 Big data................................................... 161
Conclusão ................................................ 163
Considerações fi nais ............................................................ 165
Bibliografi a recomendada ................................................... 167
O autor ................................................................................ 171
C0085.indd xvC0085.indd xv 06/11/13 3:11 PM06/11/13 3:11 PM
C0085.indd xviC0085.indd xvi 06/11/13 3:11 PM06/11/13 3:11 PM
xvii
 Prefácio 
 Recentemente passei pela desagradável experiência de ser as-
saltado ao final de um dia de trabalho. O assaltante chegou 
pedindo o meu “laptop”, em alusão à minha pasta, que eu achava 
ser discreta e que não se parecia com as pastas tradicionais 
de notebook. Argumentei que não possuía “laptop” na pasta, 
aliviado por ter deixado o meu em casa naquele dia, e abri a 
pasta, a “pedido” dele, mostrando a ausência do equipamento. 
Ele quis levar a pasta assim mesmo, no que eu instintivamente 
pedi para que me deixasse fi car com minha agenda. Ele desistiu, 
pediu minha carteira, e depois fugiu em sua moto. 
 Apesar do susto e do trauma, fi quei pensando nesse episódio 
com olhos profi ssionais. De todos os itens que eu possuía comi-
go naquele momento, talvez a minha agenda estivesse entre os 
mais baratos. Contudo, por conta de todas as minhas anotações 
e rabiscos, foi o único item pelo qual eu me arrisquei (louco!) 
em uma argumentação tensa para poder mantê-lo. 
 Obviamente, a minha vida era a maior prioridade, seguida 
dos documentos pessoais que estavam em uma segunda carteira 
e não foram levados, mas o que esse episódio ilustrou foi uma 
situação cotidiana em que informações estavam em risco, mes-
mo sem haver nenhum aparato tecnológico envolvido. 
 Extrapolando esse caso, fi co pensando: e se um notebook 
fosse levado? Será que o dono perderia informações? Será que 
as informações contidas nele estariam protegidas dos olhos 
de terceiros? Poderia um assalto desses ser contratado por um 
concorrente inescrupuloso? 
 Evidentemente, esse é apenas um dos vários riscos aos quais, 
infelizmente, tanto eu quanto o leitor estamos sujeitos enquanto 
vivermos neste mundo imperfeito e injusto. Mas olhemos um 
pouco além: quantos de nós, como profi ssionais, executivos 
e empresários responsáveis que somos, podemos dizer que 
administramos os riscos a que nossas empresas e negócios estão 
sujeitos por dependerem de informações? 
C0090.indd xviiC0090.indd xvii 06/11/13 11:27 AM06/11/13 11:27 AM
xviii Prefácio
 Pensemos nos nossos negócios em relação à informação: 
 � Quão dependentes somos? Conseguimos fi car uma 
semana sem nossos computadores e sistemas? Quais 
computadores e sistemas não podem parar? 
 � Quão sensíveis somos? Quais informações não podem cair 
nas mãos de nossos concorrentes? Quais informações não 
podem vir a público? 
 � Quão conhecidos e confi áveis somos? Nossa reputação 
será afetada se modifi carem nossas informações, se 
terceiros se passarem por nós ou se nossos serviços forem 
interrompidos sem aviso? 
 � Onde mora o perigo? Em agentes externos ao nosso 
negócio ou entre os nossos quadros funcionais? Na ação 
deliberada ou na negligência ou imperícia aplicadas ao 
nosso dia a dia? 
 Muitas pessoas pensam que segurança da informação se resu-
me à compra de equipamentos e sistemas caros, como fi rewalls, 
sistemas de detecção de intrusos ou antivírus. Outras acham que 
incluir a adoção de políticas de segurança e o estabelecimento 
de responsabilidades funcionais ao aparato tecnológico é su-
fi ciente. Mas nenhuma dessas abordagens consegue prevenir 
perdas se forem adotadas de forma isolada e inconsequente. 
 Segurança da informação não é uma ciência exata. Se fôs-
semos classifi cá-la, ela estaria no campo da gestão de riscos. 
E para gerir riscos é preciso conjugar vários verbos: conhecer, 
planejar, agir, auditar, educar, monitorar, aprender e gerenciar 
são apenas alguns deles. 
 A principal contribuição de Marcos Sêmola a este livro 
é traduzir em uma linguagem didática diversos conceitos e 
abordagens comuns no campo da segurança da informação. Mais 
do que isso, o livro permite ter uma visão global dos vários as-
pectos envolvidos, introduzindo o assunto àqueles que começam, 
e proporcionando uma estrutura de orientação sintética e fácil 
para aqueles mais experientes. 
 O livro se destina a pessoas que, como você, que leu este 
prefácio até aqui, se interessam pelo assunto e estão conscientes 
C0090.indd xviiiC0090.indd xviii 06/11/13 11:27 AM06/11/13 11:27 AM
xixPrefácio
da sua importância, e também àquelas que ainda não desperta-
ram para ele. Como auxílio à conscientização, seu texto é um 
presente valioso. 
 IVAN ALCOFORADO 
 Information Security Specialist Engenheiro de produção, 
formado pela UFRJ, pós-graduado pelo Centro de Referência em 
Inteligência Empresarial (CRIE) da COPPE e consultor nas áreas 
de Gestão do Conhecimento e Segurança da Informação. 
C0090.indd xixC0090.indd xix 06/11/13 11:27 AM06/11/13 11:27 AM
C0090.indd xxC0090.indd xx 06/11/13 11:27 AM06/11/13 11:27 AM
1
CAPÍTULO
 1 Sociedade do conhecimento 
 1.1 INFORMAÇÃO: ATIVO CADA VEZ MAIS 
VALORIZADO 
 Há muito, as empresas têm sido infl uenciadas por mudanças e 
novidades que surgem no mercado e provocam alterações de 
contexto. A todo o momento surgem descobertas, experimentos, 
conceitos, métodos e modelos nascidos pela movimentação de 
questionadores estudiosos, pesquisadores e executivos que não 
se conformam com a passividade da vida e buscam a inovação 
e a quebra de paradigmas, revelando — quase frequentemente, 
como se estivéssemos em um ciclo — uma nova tendência 
promissora. 
 Se resgatarmos a história, veremosdiversas fases. Desde 
as revoluções industrial e elétrica, a abertura de mercado e o 
aumento da competitividade proporcionado pela globalização, 
passando pelos momentos relacionados à reengenharia de pro-
cessos, à terceirização, à virtualização e, mais recentemente, aos 
efeitos da tecnologia da informação aplicada ao negócio de for-
ma cada vez mais abrangente e profunda. Em todas essas etapas, 
a informação sempre esteve presente e cumpria importante papel 
para a gestão dos negócios. Claro que, para tal análise, devemos 
considerar as variáveis culturais, mercadológicas e até macroe-
conômicas da época, a fi m de adequar a projeção dos impactos. 
Mas é inegável que todas as empresas, independentemente de 
seu segmento de mercado, de seu core business e porte, em todas 
essas fases de existência, sempre usufruíram da informação, 
objetivando melhor produtividade, redução de custos, ganho de 
 market share , aumento de agilidade, competitividade e apoio 
mais efi ciente aos processos de tomada de decisão. 
 Seja para um supermercadista preocupado com a gestão 
de seu estoque, seja para uma instituição bancária em busca 
da automação de suas agências bancárias ou para uma indús-
tria alimentícia prospectando a otimização da sua linha de 
C0005.indd 1C0005.indd 1 06/11/13 8:23 AM06/11/13 8:23 AM
2 CAPÍTULO 1 Sociedade do conhecimento
produção, todos decidem suas ações e seus planos com base 
em informações. Segredos de negócio, análise de mercado e 
da concorrência, dados operacionais históricos e pesquisas 
são informações fundamentais e se revelam como importante 
diferencial competitivo ligado ao crescimento e à continuidade 
do negócio. 
 1.2 CRESCIMENTO DA DEPENDÊNCIA 
 Se compararmos momentaneamente as fases da evolução cor-
porativa, especifi camente a forma como as empresas usavam 
a informação e geriam seus negócios, perceberemos nítidas 
mudanças nas ferramentas com o passar dos anos. 
 Décadas atrás, as informações eram tratadas de forma centra-
lizada e ainda pouco automatizada. A tecnologia da informação 
engatinhava e fi gurava, primeiramente, apenas como uma nova 
e promissora ferramenta, principalmente se considerarmos as 
limitações de armazenamento iniciais e os preços proibitivos 
dos primeiros grandes computadores mainframes. 
 FIGURA 1.1 
 Onipresença da informação nos principais processos de negócio. 
C0005.indd 2C0005.indd 2 06/11/13 8:23 AM06/11/13 8:23 AM
31.2 Crescimento da dependência
 Contudo, logo os investimentos da indústria de alta tecno-
logia foram sendo amortizados e seus frutos foram se tornando 
mais acessíveis. Apesar de as empresas terem muita informação 
em documentos manuscritos, nos conhecidos arquivos de ferro, 
os mainframes foram herdando, gradativamente, a função de 
central de processamento e armazenamento de dados. Logo 
veríamos terminais espalhados pelos ambientes da empresa 
— inicialmente um único por departamento — que permitiam 
consultas remotas. 
 Compartilhar informação passou a ser considerado uma 
prática moderna de gestão necessária a empresas que buscavam 
maior velocidade nas ações. Diante disso, surgiram, em seguida, 
as primeiras redes de computadores e, paralelamente, as in-
formações passaram a ser mais digitalizadas e os processos 
mais automatizados. 
 Mais alguns anos e as empresas experimentavam e apli-
cavam, como nunca, a tecnologia da informação ao negócio, 
atingindo altos níveis de conectividade e compartilhamento. 
Os antigos, mas sobreviventes mainframes não cumpriam mais 
sozinhos a tarefa de armazenar e processar as informações. 
Os computadores tomavam conta dos ambientes de escritório, 
quebravam o paradigma de acesso local à informação e che-
gavam a qualquer lugar do mundo através da rede mundial de 
computadores: a Internet. 
 Simultaneamente a toda essa evolução, a rede corporativa 
ganhava desempenho e igualmente se pulverizava. Passava a 
representar o principal canal de distribuição de informações 
internas e externas, e de interligação de ambientes e processos, 
culminando com a integração dos parceiros da cadeia produtiva. 
 FIGURA 1.2 
 Associação direta entre o aumento da funcionalidade operacional e 
a segurança necessária. 
C0005.indd 3C0005.indd 3 06/11/13 8:23 AM06/11/13 8:23 AM
4 CAPÍTULO 1 Sociedade do conhecimento
 A primeira década do século XXI tornou-se pródiga em expres-
sões e aplicações comer c iais que passaram a utilizar-se da moderna 
infraestrutura de rede e computacional como business-to-business, 
business-to-consumer, business-to-government, e-commerce, 
e-procurement, e os sistemas integrados de gestão ERP ( Enter-
prise Resource Planning ), que prometiam melhor organização dos 
processos de negócio, e passaram a representar um dos principais 
pilares de sustentação da empresa para alcançar o tão sonhado e 
promissor digital marketplace, pelo qual elementos da cadeia 
produtiva, como fornecedores, parceiros, clientes e governo, pas-
sariam a interagir também eletronicamente, integrando e comparti-
lhando suas bases de conhecimento. 
 Nos dias de hoje, os links de acesso à Internet estão cada 
vez mais rápidos e disponíveis, e a capacidade computacional 
não é problema: “fazendas” de servidores de altíssimo desempe-
nho e capacidade são acessíveis a empresas de qualquer porte. 
Os computadores pessoais evoluíram para se tornar máquinas 
poderosíssimas, contando também com o auxílio dos cada vez 
mais portáteis e não menos poderosos notebooks e seus similares 
(netbooks, ultrabooks), dos tablets e dos telefones celulares e 
smartphones. Chegamos à era do big data, em que volumes 
 FIGURA 1.3 
 Evolução da conectividade e do compartilhamento. 
C0005.indd 4C0005.indd 4 06/11/13 8:23 AM06/11/13 8:23 AM
51.3 Visão holística do risco
maciços de informação são gerados, armazenados, manipulados 
e compartilhados o tempo todo, entre todas as entidades que 
possamos imaginar. A “computação em nuvem”, ou cloud com-
puting , e a comodidade de as empresas pagarem por serviços de 
armazenamento e processamento de informações e sistemas em 
algum lugar que não sabem bem onde é também se tornaram 
uma realidade com cada vez mais adeptos. 
 A partir desse quadro, é possível avaliar que, se a percepção do 
alto grau de dependência das empresas em relação à informação 
— digitalizada, compartilhada e distribuída — e aos elementos da 
infraestrutura que a mantém, já chamava a atenção há alguns anos, 
hoje o panorama é muito mais complexo e reforça a necessidade 
de nos debruçarmos sobre o tema de forma ainda mais atenta. 
 1.3 VISÃO HOLÍSTICA DO RISCO 
 Realizando uma análise análoga ao corpo humano, é possível 
extrair um valioso aprendizado a fi m de ratifi car o cenário atual 
vivido pelas empresas diante do aumento exponencial da depen-
dência da informação. 
 Pense no ser humano como uma máquina complexa, ím-
par, imprevisível e sujeita a mudanças físicas e emocionais 
a qualquer momento, muitas motivadas por fatores externos. 
Agora refl ita sobre as similaridades com a sua empresa, sujeita 
a infl uências de variáveis mercadológicas, macroeconômicas, 
políticas, setoriais, físicas e tecnológicas. 
 Pense nas características estratégicas, desafios, missão, 
visão, produtos e serviços. Por mais que outras empresas se 
pareçam com a sua, assim como o corpo humano, todas têm suas 
diferenças que as tornam únicas, cada qual com suas caracterís-
ticas personalizadas e certamente com sensibilidades distintas. 
 O que aconteceria com dois indivíduos — aparentemente 
semelhantes, se considerarmos as similaridades anatômicas dos 
membros, órgãos etc. — consumindo açúcar em exagero, sendo 
um deles diabético? Teriam sensibilidades iguais, provocando 
os mesmos efeitos? 
 Agora pense na sua empresa novamente. Aparentemente 
similar a um concorrente por atuar no mesmo segmento, com os 
mesmos produtos e até possuindo processos de negócio seme-
lhantes. Imagine, então, ambas sendo contaminadaspor um 
vírus de computador ou tendo sua conexão à Internet fora do ar 
momentaneamente. Teriam sofrido os mesmos efeitos? Teriam 
C0005.indd 5C0005.indd 5 06/11/13 8:23 AM06/11/13 8:23 AM
6 CAPÍTULO 1 Sociedade do conhecimento
tido impactos fi nanceiros idênticos? Estou certo de que não, 
pois cada instituição possui diferenças físicas, tecnológicas, 
humanas, além dos fatores externos que influenciam direta 
e indiretamente, interferem nas variações de sensibilidade e, 
consequentemente, nos impactos resultantes. 
 Por fi m, pense nos nossos membros. Cada qual com sua 
função e importância para a manutenção e o funcionamento do 
nosso corpo. 
 Com similar papel, aparecem os processos de negócio para a 
empresa, cada um com objetivos distintos que, integrados, per-
mitem seu crescimento e operação. Contudo, para que tenhamos 
vida e sejamos capazes de manter o organismo vivo, precisamos 
de um elemento vital: o sangue. Ele transporta e compartilha oxi-
gênio a cada célula espalhada pela massa corporal. Leva alimento 
a todos os membros e circula incessantemente da cabeça aos pés. 
 Agora, a empresa, que em virtude dos altos níveis de in-
formatização e compartilhamento de informações, nos permitiu 
realizar esse comparativo... 
 FIGURA 1.4 
 Infl uência das variáveis internas e externas que personalizam o 
problema da segurança da informação. 
C0005.indd 6C0005.indd 6 06/11/13 8:23 AM06/11/13 8:23 AM
71.4 Receita explosiva
 O sangue da empresa é a informação. Distribuída por to-
dos os processos de negócio, alimentando-os e circulando por 
diversos ativos (tudo o que manipula direta ou indiretamente 
a informação, inclusive ela própria), ambientes e tecnologias, 
a informação cumpre o importante papel de fornecer instru-
mentos para a gestão do negócio. Apesar de ter grande volume 
momentaneamente armazenado e processado de forma cen-
tralizada nos grandes computadores e servidores — similar ao 
coração no corpo humano —, toda a informação está acessível 
dos pontos mais distantes através da Internet, Intranet, Extranet, 
VPNs, culminando com as tecnologias de acesso sem fi o, como 
Wi-Fi, 3G, 4G. 
 Fica fácil perceber como o nível de risco tem crescido com 
base nessa análise, como sugere o exemplo a seguir. 
 Na condição de correntista de uma instituição bancária, 
há pouco tempo era necessário ir a uma agência do banco a 
fim de movimentar sua conta, pois as informações estavam 
parcialmente compartilhadas e só eram acessíveis através dos 
caixas ou terminais de autoatendimento ATM . Essa situação 
agregava, simultaneamente, maior controle e segurança à infor-
mação por estar mais centralizada. Atualmente, usando o mesmo 
cenário, não somos mais obrigados a um deslocamento físico 
para movimentar nossa conta. Muitos dos serviços prestados 
 on site estão agora disponíveis através do telefone, bastando 
digitar algumas informações — inclusive a senha — ou através 
do Internet Banki ng a partir de qualquer ponto de acesso à Web 
no mundo ou, ainda, através do telefone celular ou smartphone. 
 Notadamente, essas novas e modernas condições elevam o 
risco das empresas a níveis nunca antes vividos, fazendo-as per-
ceber a necessidade de ações corporativas integradas em busca 
de mecanismos de controle que permitam reduzi-lo e torná-lo 
administrável e viável. 
 No ambiente corporativo, muitos outros processos de trata-
mento do risco estão amadurecidos, como risco jurídico, risco 
de crédito, risco fi nanceiro, risco de pessoal etc. Mas ainda há 
muito a desenvolver no campo do risco da informação. 
 1.4 RECEITA EXPLOSIVA 
 Ao tentar compreender e construir uma visão única do cenário, 
podemos lançar mão de um didático exercício que encara a 
situação de segurança vivida pelas empresas como se tudo fosse 
C0005.indd 7C0005.indd 7 06/11/13 8:23 AM06/11/13 8:23 AM
8 CAPÍTULO 1 Sociedade do conhecimento
uma receita gastronômica. Como se misturássemos diversos 
ingredientes e o resultado pudesse representar, mesmo que 
simbolicamente, uma fotografi a ou um diagnóstico. 
 Comece reunindo: 
 • Crescimento sistemático da digitalização de informações. 
 • Crescimento exponencial da conectividade da empresa. 
 • Crescimento das relações eletrônicas entre empresas. 
 • Crescimento exponencial do compartilhamento de 
informações. 
 • Barateamento dos computadores e demais dispositivos de 
acesso à informação, facilitando sua aquisição. 
 • Uso de dispositivos eletrônicos pessoais com alta 
capacidade de interconexão e armazenamento nos ambientes 
de trabalho e fora dele. 
 • Facilidade e gratuidade de acesso à Internet em banda 
larga. 
 • Baixo nível de identifi cação do usuário no acesso à 
Internet. 
 • Alto compartilhamento de técnicas de ataque e invasão. 
 • Disponibilidade de grande diversidade de ferramentas de 
ataque e invasão. 
 • Facilidade de uso de ferramentas de ataque e invasão. 
 • Amplitude, confusão, subjetivismo e desconhecimento 
dos mecanismos legais de responsabilização em ambiente 
virtual e das leis que tipifi cam os crimes de informática no 
país. 
 • Comunicação de massa exaltando o jovem invasor pelo 
mérito da invasão. 
 • Criação do estereótipo do hacker como gênio e herói que 
obteve êxito em invasão. 
 • Associação equivocada entre inteligência competitiva e 
espionagem eletrônica. 
 • Diversifi cação dos perfi s da ameaça: concorrente, 
sabotador, especulador, adolescente, hacker, funcionário 
insatisfeito etc. 
 • Crescente valorização da informação como principal ativo 
de gestão das empresas. 
 Misturados os ingredientes, salvaguardando as devidas pro-
porções inerentes à culinária peculiar proposta, teremos como 
produto fi nal um bolo amargo, difícil de digerir e que nos reserva 
um cenário de grande risco, se não houver preparação adequada 
para geri-lo a fi m de tornar viável a operação do negócio. 
C0005.indd 8C0005.indd 8 06/11/13 8:23 AM06/11/13 8:23 AM
91.5 Ciclo de vida da informação
 1.5 CICLO DE VIDA DA INFORMAÇÃO 
 Agora sabemos o quão valiosa é a informação para o negócio, 
mas temos de dissecar todos os aspectos ligados à segurança, as 
propriedades que devem ser preservadas e protegidas para que a 
informação esteja efetivamente sob controle e, principalmente, 
os momentos que fazem parte de seu ciclo de vida. 
 Toda informação é infl uenciada por três propriedades prin-
cipais: confi dencialidade, integridade e disponibilidade, além 
dos aspectos autenticidade e legalidade, que complementam 
essa infl uência. 1 
 O ciclo de vida, por sua vez, é composto e identifi cado 
pelos momentos vividos pela informação que a colocam em 
risco. Os momentos são vivenciados justamente quando os ati-
vos físicos, tecnológicos e humanos fazem uso da informação, 
sustentando processos que, por sua vez, mantêm a operação 
da empresa. 
 FIGURA 1.5 
 Analogia com o funcionamento do corpo humano. 
 1 Conceitos e aspectos oportunamente discutidos em capítulo posterior. 
C0005.indd 9C0005.indd 9 06/11/13 8:23 AM06/11/13 8:23 AM
10 CAPÍTULO 1 Sociedade do conhecimento
 Mais uma vez, é como o funcionamento do nosso corpo, em 
que os órgãos (analogamente, ativos: físicos, tecnológicos e hu-
manos) se utilizam de sangue (analogamente, informação) para 
pôr em funcionamento os sistemas digestivo, respiratório etc. 
(analogamente, processos de negócio) para, consequentemente, 
manter a consciência e a vida do indivíduo (analogamente, a 
continuidade do negócio). 
 Correspondendo às situações em que a informação é exposta 
a ameaças que colocam em risco suas propriedades, atingindo 
a sua segurança, o diagrama revela todos os quatro momentos 
do ciclo de vida que são merecedores de atenção. 
 Independentemente da forma como a informação é repre-
sentada — seja por átomos seja por bits —, todos os momentos 
se aplicam. 
 Manuseio 
 Momentoem que a informação é criada e manipulada, ao folhear 
um maço de papéis, ao digitar informações recém-geradas em 
uma aplicação de Internet ou, ainda, ao utilizar a senha de acesso 
para autenticação, por exemplo. 
 Armazenamento 
 Momento em que a informação é armazenada, seja em um banco 
de dados compartilhado, seja em uma anotação de papel pos-
teriormente postada em um arquivo de ferro ou, ainda, em um 
CD-ROM, DVD-ROM ou pen-drive depositado na gaveta da 
mesa de trabalho, por exemplo. 
 Transporte 
 Momento em que a informação é transportada, seja ao encami-
nhar informações por correio eletrônico (e-mail), seja ao postar 
em um sistema na Internet ou, ainda, ao falar ao telefone uma 
informação confi dencial, por exemplo. 
 Descarte 
 Momento em que a informação é descartada, seja ao depositar 
na lixeira da empresa um material impresso, seja ao eliminar um 
arquivo eletrônico do seu computador ou, ainda, ao descartar 
um CD-ROM usado que apresentou falha na leitura. 
C0005.indd 10C0005.indd 10 06/11/13 8:23 AM06/11/13 8:23 AM
111.5 Ciclo de vida da informação
 Agora pense na segurança como um todo, cujo alvo é a in-
formação. De que adiantaria garantir três dos quatro conceitos? 
 Imagine... Você gera, em reunião, uma nova definição: 
informação estratégica confi dencial. A mesma é anotada em 
papel e armazenada posteriormente em um cofre adequado. No 
momento imediatamente posterior, você incumbe a secretária 
de digitar tal informação e enviá-la por correio eletrônico aos 
envolvidos. Pense agora que, depois de completada a tarefa, 
a secretária não tenha adotado os procedimentos adequados 
de descarte e, consequentemente, tenha jogado, sem qualquer 
critério e tratamento, o material original em papel na lixeira 
mais próxima. Nesse exato momento, instaurou-se uma vulne-
rabilidade ou um furo de segurança! Agora imagine que haja 
efetivamente uma ameaça potencial pronta para explorar essa 
vulnerabilidade. Por exemplo: outro funcionário no perímetro 
físico da secretária, interessado, mas que não participara da 
reunião e tenha objetivos obscuros. 
 FIGURA 1.6 
 Quatro momentos do ciclo de vida da informação, considerando os 
conceitos básicos da segurança e os aspectos complementares. 
C0005.indd 11C0005.indd 11 06/11/13 8:23 AM06/11/13 8:23 AM
12 CAPÍTULO 1 Sociedade do conhecimento
 Pronto! Por mais que tenha sido adotado um comportamento 
controlado e alinhado à política de segurança nos momentos 
de manuseio, armazenamento e transporte, a informação, alvo 
e motivo de todo o trabalho, esteve exposta no momento do 
descarte, comprometendo todos os demais e ainda pondo toda 
a segurança do negócio a perder (consulte a Figura 1.6 ). 
C0005.indd 12C0005.indd 12 06/11/13 8:23 AM06/11/13 8:23 AM
13
CAPÍTULO
 2 Desafi os 
 2.1 ANATOMIA DO PROBLEMA 
 Em qualquer iniciativa de solução é preciso identifi car primei-
ramente o problema com requinte de detalhes e segmentá-lo de 
forma a permitir maior profundidade na análise de suas carac-
terísticas. Quando o assunto é segurança da informação, esse 
desafi o cresce exponencialmente, pois são muitos os fatores 
associados ao tema. 
 Temos de compreender que o alvo é a informação e que 
a mesma não se encontra mais confi nada a ambientes físicos 
específi cos ou a processos isolados. A informação circula ago-
ra por toda a empresa e mesmo fora dela, considerando-se as 
fronteiras virtuais, que hoje extrapolam em muito as físicas, 
alimenta todos os processos de negócio e está sujeita a variadas 
ameaças, furos de segurança ou vulnerabilidades, e é sensível a 
impactos específi cos. 
 A empresa virou uma grande teia de comunicação integrada, 
dependente do fl uxo de informações que por ela são distribuídas 
e compartilhadas. Essas mesmas informações, agora sujeitas a 
vulnerabilidades que transcendem os aspectos tecnológicos, 
são alvos também de interferências provocadas por aspectos 
físicos e humanos. 
 Ainda hoje, muitas empresas e seus executivos são surpreen-
didos por essa afi rmação, pois ainda mantêm uma defi ciência 
de percepção do problema que costumo chamar de “visão do 
 iceberg ”. Simpatizo com esse rótulo, pois muito se parece com 
o problema. A porção de gelo que vemos fora da linha d’água 
é comumente correspondente a apenas 1/7 de todo o bloco do 
gelo que permanece submerso e, portanto, escondido dos nossos 
olhos. Essa é justamente a semelhança. 
C0010.indd 13C0010.indd 13 06/11/13 8:39 AM06/11/13 8:39 AM
14 CAPÍTULO 2 Desafi os
 Comumente, a fatia representativa do mercado e seus execu-
tivos possuem essa “miopia”, percebendo apenas uma pequena 
fração do problema da segurança: os aspectos tecnológicos. 
Normalmente associam os riscos apenas a redes, computadores, 
vírus, hackers e Internet, enquanto ainda há muitos outros, tão 
importantes e relevantes para a segurança do negócio. 
 É fator crítico de sucesso para a anatomia do problema que 
se identifi quem os elementos internos e externos que interferem 
nos riscos à segurança da informação. É o momento de mapear 
as características físicas, tecnológicas e humanas da empresa, 
do mercado em que atua, dos concorrentes, além de considerar 
os planos e as defi nições estratégicas do negócio. 
 Mais uma vez adotando a analogia com o corpo humano, 
podemos comparar o papel do médico ao consultar o paciente 
antes de receitar um tratamento ao desafi o de defi nir e modelar 
uma solução de segurança da informação para a empresa. 
 O profi ssional precisa realizar uma série de exames que 
revelem a situação atual do paciente, por mais que este possua 
sintomas similares a outros pacientes, pois a origem poderá 
divergir. Tudo isso tem por objetivo equacionar o problema 
 FIGURA 2.1 
 Perímetros. O alvo é a informação. 
C0010.indd 14C0010.indd 14 06/11/13 8:39 AM06/11/13 8:39 AM
152.1 Anatomia do problema
e recomendar tratamento e medicamento adequados, capazes 
de sanar especifi camente a enfermidade. Ainda nessa dimen-
são, temos de considerar a possibilidade de um tratamento 
ou medicamento equivocado. Uma dose alta poderia gerar 
efeitos colaterais, e uma dose aquém da necessidade poderia 
não curá-lo. 
 Na empresa, a situação é similar. O desafi o é realizar ações 
que mapeiem e identifi quem a situação atual da empresa, suas 
ameaças, vulnerabilidades, riscos, sensibilidades e impactos, 
a fi m de permitir o adequado dimensionamento e modelagem 
da solução. O que ocorre com o medicamento ocorre com a 
empresa. Cada empresa possui características particulares que 
levarão à aplicação de uma solução personalizada capaz de 
levá-la a um nível de segurança também personalizado. 
 FIGURA 2.2 
 Diversidade panorâmica das ameaças que põem o negócio 
em risco. 
C0010.indd 15C0010.indd 15 06/11/13 8:39 AM06/11/13 8:39 AM
16 CAPÍTULO 2 Desafi os
 Diferentemente do que muitos pensam, não existe segurança 
total e, com base no exemplo, cada empresa precisará de um nível 
distinto. Se o nível for alto demais, poderá gerar efeitos colate-
rais, como a perda de velocidade em função da burocratização de 
processos, a perda do time-to-market , a insatisfação de clientes e 
parceiros, e até o desinteresse de possíveis investidores. 
 Cai, portanto, o mito de que é possível operar com risco 
zero. Sempre haverá risco, e ele deve ser ajustado à natureza 
do negócio, considerando todas as variáveis internas e externas 
apontadas anteriormente a fi m de viabilizar a operação da em-
presa. 
 2.2 VISÃO CORPORATIVA 
 Por que eu preciso de segurança? Você já se fez essa pergunta 
alguma vez? Já parou ao menos uma dezena de minutos para 
avaliar e verifi car por que precisa de segurança? 
 Vamos aproveitar um pequeno e comum exemplo do nosso 
dia a dia para entendermos melhor do que estamos falando e, 
ainda, como acabamos replicando erros de caráter pessoal nas 
atividades profi ssionais, levando-os para a empresa. 
 Pense na sua residência,uma casa ou apartamento que, na 
maioria dos casos, possui duas únicas portas de entrada, cos-
tumeiramente chamadas de porta social e porta de serviço. Elas 
cumprem um papel importante. Você já parou para pensar nisso? 
Sabe qual é? 
 Assumindo que seu comportamento diante dessa pergunta 
siga o da grande maioria, você realmente nunca parou sequer 
 FIGURA 2.3 
 Macroaspectos considerados na análise do contexto de segurança. 
C0010.indd 16C0010.indd 16 06/11/13 8:39 AM06/11/13 8:39 AM
172.2 Visão corporativa
alguns minutos para avaliar a importância e o papel que as portas 
cumprem. Pois elas são dispositivos instalados para prover 
acesso físico ao seu apartamento. São mecanismos de controle 
que podem ser abertos e fechados de acordo com a vontade do 
proprietário, permitindo ou impedindo que se obtenha acesso 
ao interior da sua residência. 
 De forma generalizada, as portas oferecem resistência aos 
que insistem em acessar fi sicamente o seu ambiente e, con-
sequentemente, protegem todos os demais bens que estão lá 
dentro. Não pense apenas em tentativas de roubo; afi nal, quem 
nunca se viu na situação de ter esquecido a chave da própria 
casa? 
 A grande essência dessa comparação está na inconsistência 
desses controles, comumente encontrados na maioria das resi-
dências. Acompanhe o raciocínio. 
 Você dispõe de documentos, equipamentos de informática, 
móveis, eletrodomésticos, roupas, joias e até dinheiro em es-
pécie. Além dos bens materiais, ainda mantém em seu interior 
as pessoas que ama: sua família. 
 O curioso é que, apesar de serem os mecanismos que prote-
gem e oferecem resistência e, consequentemente, segurança para 
os seus principais ativos, as portas das residências não dispõem 
dos mesmos mecanismos de acesso físico, das mesmas trancas 
e alarmes ou até não são feitas do mesmo material. Isso revela 
que as portas social e de serviço acabam por oferecer níveis de 
segurança diferentes e que, portanto, os investimentos não foram 
adequadamente distribuídos, resultando em um retorno menor 
do que o normalmente esperado. 
 De que adianta possuir duas trancas na porta social se a 
outra, que permite acesso ao mesmo ambiente, só possui uma? 
 O que se vê aqui são dois pontos com objetivos comuns, 
porém cumprindo-os de forma diferente e desbalanceada. É 
como sair de férias, calibrar três pneus e esquecer o quarto 
vazio ou furado. 
 Se cometemos erros simples e impactantes como esses em 
casa, não estaríamos replicando-os ao praticar a segurança da 
informação dentro de nossas empresas? 
 Não estaria sua equipe de segurança voltada apenas para 
os aspectos tecnológicos da segurança e, consequentemente, 
esquecendo os aspectos físicos e humanos? 
 Será que os investimentos realizados em segurança estão 
alinhados com os objetivos estratégicos da empresa a fi m de 
propiciar o melhor retorno sobre o investimento? 
C0010.indd 17C0010.indd 17 06/11/13 8:39 AM06/11/13 8:39 AM
18 CAPÍTULO 2 Desafi os
 Suas ações estão orientadas por um plano diretor de seguran-
ça ou continuam ocorrendo de acordo com demandas reativas 
em caráter emergencial? 
 Estaria sua empresa operando em terreno de alto risco, 
encorajada por mecanismos de controle que lhe dão uma falsa 
sensação de segurança, apesar de continuar com as “portas 
trancadas”, mas as “janelas ainda abertas”? 
 O nível de segurança de uma empresa está diretamente as-
sociado à segurança oferecida pela “porta” mais fraca. Por isso, 
é preciso ter uma visão corporativa capaz de viabilizar uma ação 
consistente e abrangente, levando a empresa a atingir o nível de 
segurança adequado à natureza do seu negócio. 
 ×Vulnerabilidades ameaças 
 A todo instante, os negócios, seus processos e ativos físicos, 
tecnológicos e humanos, são alvo de investidas de ameaças 
de toda ordem, que buscam identifi car um ponto fraco com-
patível, uma vulnerabilidade capaz de potencializar sua ação. 
Quando essa possibilidade aparece, a quebra de segurança é 
consumada. 
 FIGURA 2.4 
 Cenário atual versus cenário desejado: abrangência da solução 
de segurança considerando todos os três aspectos. 
C0010.indd 18C0010.indd 18 06/11/13 8:39 AM06/11/13 8:39 AM
192.2 Visão corporativa
 FIGURA 2.5 
 Diversidade panorâmica das vulnerabilidades que expõem 
o negócio a ameaças associadas. 
 FIGURA 2.6 
 Como peças que se encaixam, ameaças específi cas exploram 
vulnerabilidades compatíveis. 
C0010.indd 19C0010.indd 19 06/11/13 8:39 AM06/11/13 8:39 AM
20 CAPÍTULO 2 Desafi os
 2.3 PECADOS PRATICADOS 
 Muitos são os erros comumente praticados na hora de pensar em 
segurança da informação, provocados pela visão míope do pro-
blema e a percepção distorcida da questão. Fica fácil entender 
esse equívoco quando o comparamos a um iceberg ; isso mes-
mo, aquele grande bloco de gelo que fl utua solto no oceano. 
Pois saiba que o que é visto fora d’água corresponde apenas 
a uma pequena fatia de todo o bloco, cerca de 15%; portanto, 
existe muito mais gelo submerso que não pode ser visto. É jus-
tamente assim que muitos percebem os aspectos da segurança, 
considerando e enxergando apenas os problemas associados 
à tecnologia, mais precisamente Internet, redes, computador, 
e-mail, vírus e hacker. Em função desse entendimento parcial, 
muitos pecados são praticados e vêm refl etir negativamente no 
negócio. 
 • Atribuir exclusivamente à área tecnológica a segurança da 
informação. 
 • Posicionar hierarquicamente essa equipe abaixo 
da diretoria de TI e julgar que esse é o posicionamento 
defi nitivo. 
 • Defi nir investimentos subestimados e limitados 
à abrangência dessa diretoria. 
 • Elaborar planos de ação orientados à reatividade. 
 • Não perceber a interferência direta da segurança 
com o negócio. 
 • Tratar as atividades como despesa e não como 
investimento. 
 • Adotar ferramentas pontuais como medida paliativa. 
 • Satisfazer-se com a sensação de segurança provocada 
por ações isoladas. 
 • Não cultivar corporativamente a cultura da gestão 
de riscos. 
 • Tratar a segurança como um projeto e não como 
um processo. 
 2.4 CONSCIENTIZAÇÃO DO CORPO 
EXECUTIVO 
 Por se tratar de um problema generalizado e corporativo, 
envolvendo os aspectos físicos, tecnológicos e humanos que 
sustentam a operação do negócio, torna-se condição sine qua 
C0010.indd 20C0010.indd 20 06/11/13 8:39 AM06/11/13 8:39 AM
212.4 Conscientização do corpo executivo
non que se iniciem os trabalhos no formato top down , ou seja, 
mobilizando os executivos da diretoria da empresa para depois 
atingir os demais na hierarquia. Essa condição é fundamental, 
pois não haverá possibilidade de atingir simultaneamente, e com 
igualdade, as vulnerabilidades de todos os ambientes e processos 
distribuídos da empresa se não houver uma ação coordenada e, 
principalmente, apoiada pela cúpula. 
 Entende-se por apoio não só a sensibilização e a percepção 
adequada dos riscos e problemas associados, mas também a 
consequente priorização das ações e defi nição orçamentária à 
altura. 
 Não é tarefa fácil encontrar uma linguagem adequada e ele-
mentos capazes de traduzir de forma executiva as necessidades 
de investimento e, principalmente, os benefícios diretamente 
ligados à segurança. Afi nal, há um alto grau de subjetividade nas 
ações, além de se tratar de um investimento que comumente não 
se materializa facilmente e só mostra retorno quando há algum 
evento que põe à prova os mecanismos de controle. 
 Apesar disso, algumas experiências bem-sucedidas, ante-
riormente vividas pelos executivos, corroboram hoje o desafi o 
da segurança em função de sua similaridade e convergência. 
Em tempo do desafi o de reduzir os riscos proporcionados pelo 
 FIGURA 2.7 
 Ação coordenada por defi nições estratégicas resultando em ações 
operacionais. 
C0010.indd 21C0010.indd 21 06/11/13 8:39 AM06/11/13 8:39AM
22 CAPÍTULO 2 Desafi os
bug do ano 2000, todo o alto escalão foi envolvido e conscien-
tizado dos riscos e da necessidade de investir a fi m de superar 
a ameaça. Realizaram-se análises e extraíram-se caracterís-
ticas importantes que também se aplicam à segurança da in-
formação. O mesmo ocorreu quando buscaram organizar seu 
sistema corporativo de gestão de forma integrada, através de 
sistemas ERP ( Enterprise Resource Planning ), no momento 
de se adequarem aos padrões de qualidade proporcionados pela 
certifi cação ISO 9001. 
 Bug do ano 2000 
 • Problema generalizado 
 • Ação corporativa 
 • Conformidade 
 ERP 
 • Visão estratégica 
 • Mudança de processos 
 • Controle centralizado 
 ISO 9001 
 • Conscientização da alta administração 
 • Criação de normas e procedimentos 
 • Implementação, certifi cação e administração 
 Em tempo de resolver o problema dos sistemas para a vira-
da do ano 2000, concluíram que se tratava de um problema 
generalizado, necessitando de uma ação corporativa e que 
precisavam ser complacentes com o bug. No momento de 
otimizar seu modelo de gestão com as soluções ERP, concluí-
ram com a análise de que, para obter sucesso, necessitavam 
ter uma visão estratégica, mudar e adaptar os processos e, 
ainda, manter o controle centralizado. Já na iniciativa de 
certifi cação de qualidade ISO, perceberam a dependência da 
conscientização da alta administração, a criação de normas 
e procedimentos, a certifi cação, a implantação e a adminis-
tração constante. 
 Esses nove pontos, identifi cados como fatores críticos de 
sucesso em ações distintas, são igualmente importantes para 
superar o desafi o da segurança e confi guram modelos mentais já 
vividos e absorvidos pelos executivos que enfrentam o desafi o 
da segurança da informação. 
C0010.indd 22C0010.indd 22 06/11/13 8:39 AM06/11/13 8:39 AM
232.5 Retorno sobre o investimento
 Somados a isso, para que se consiga atingir o nível de cons-
cientização adequado do corpo executivo, não se pode abrir 
mão do exercício do ROI (retorno sobre o investimento). É 
a linguagem mais intimamente ligada ao perfi l executivo de 
avaliação de custo, rentabilidade, receita, lucro, dividendos, ga-
nho de market share e de share of mind e valorização das ações. 
 2.5 RETORNO SOBRE O INVESTIMENTO 
 O ROI (retorno sobre o investimento) é uma ferramenta antiga, 
velha conhecida dos empreendedores, investidores e executivos 
atentos ao mercado e às oportunidades. Construído através do 
cruzamento de dados reais relacionados a custos diretos, in-
diretos e intangíveis, com a projeção de investimentos, torna-se 
ótimo instrumento para nortear as ações desses executivos. 
 Parece, em um primeiro momento, instrumento essencial 
para apoiar uma tomada de decisão e realmente é. Analisan-
do-o, consegue-se muitas vezes justifi car altos investimentos, 
mudanças de rumo e estratégia; afi nal, torna-se possível projetar 
o retorno do investimento. 
 Não existe um único modelo de ROI nem tampouco um 
modelo certo ou errado. O que existe são abordagens e visões 
diferentes do mesmo objeto. A profundidade da análise interfere 
diretamente nesse modelo, agregando um número ainda maior 
de variáveis e refi namentos. Contudo, todas buscam uma res-
posta mágica para a pergunta: devo realizar este investimento? 
 FIGURA 2.8 
 Absorção dos modelos mentais. 
C0010.indd 23C0010.indd 23 06/11/13 8:39 AM06/11/13 8:39 AM
24 CAPÍTULO 2 Desafi os
 Pode soar estranho para muitos, mas a mesma pergunta se 
aplica também a investimentos na área tecnológica, você sabia? 
Foi-se a época em que investimentos desse gênero eram vistos 
como um “mal necessário”. Era a época em que se realizavam 
grandes aquisições — de última tecnologia — e não se preocu-
pavam em medir resultados, projetar o tempo de colher os louros 
do investimento. Era a época em que tais despesas (assim eram 
vistos os investimentos) seriam repassadas através do produto 
ou serviço ao consumidor fi nal, ou diluídas em aventuras na 
ciranda fi nanceira. 
 Chegou a hora de planejar, projetar, medir e cobrar os re-
sultados da integração entre tecnologia e negócio. Mas também 
é hora de exercitar mais o ROI em subcategorias, com maior 
detalhamento. Não basta modelar um macro ROI tecnológico; é 
preciso abordar tecnologias e problemas mais específi cos, como 
a segurança da informação. 
 O gargalo desse trabalho é notoriamente entender, conhecer 
e mapear os problemas corporativos porque, sem essas infor-
mações, não seria possível desenvolver uma ferramenta de ROI 
coerente, confi ável e pronta para apoiar a priorização das ações 
e as tomadas de decisão. 
 FIGURA 2.9 
 Análise dos refl exos de retardamento do pay back no ROI, oriundo 
da ausência de um processo de segurança. 
C0010.indd 24C0010.indd 24 06/11/13 8:39 AM06/11/13 8:39 AM
252.5 Retorno sobre o investimento
 O ROI da segurança tem especialmente muitas respostas 
elucidativas que nos ajudam a reverter a velha imagem de des-
pesa, convertendo-a em investimento. 
 Vamos exercitar, tratando primeiro os custos diretos. Se 
cruzarmos o número de contaminações por vírus de computador 
em um ano, o percentual de funcionários atingidos, o tempo 
perdido com a paralisação e o custo homem/hora, perceberemos 
com nitidez o impacto direto no negócio. 
 Ao analisarmos o tempo de trabalho consumido pelos fun-
cionários com acesso livre à Internet, acessando informações 
que não estão associadas à atividade profi ssional, e novamente 
o custo homem/hora, poderemos projetar o impacto na produ-
tividade dos recursos humanos. 
 Se, por ocasião de um desastre, houver a indisponibilidade 
de um serviço — por exemplo, Internet Banking —, multiplique 
o número de correntistas que o acessam por hora, a economia 
que a empresa tem pelo fato de seus correntistas evitarem as 
agências e migrarem para a Internet e, assim, terá o impacto 
direto. 
 Falando agora de impactos indiretos, usando as mesmas 
situações, podemos realçar os custos relacionados à mobilização 
de equipes para remover os vírus que infectaram os computa-
dores da rede, o tempo necessário para reconstruir arquivos e 
informações que se perderam com a contaminação e, ainda, 
possíveis restaurações de cópias de segurança (se existirem). 
Seguindo os exemplos anteriores, o acesso indiscriminado e sem 
 FIGURA 2.10 
 Percepções do ROI da segurança. 
C0010.indd 25C0010.indd 25 06/11/13 8:39 AM06/11/13 8:39 AM
26 CAPÍTULO 2 Desafi os
controle à Internet pode provocar uma sobrecarga da banda de 
rede, antecipando investimentos e causando indisponibilidade. 
Além disso, pode permitir a contaminação por vírus de toda a 
rede com a execução de programas copiados da Internet e pior: 
expor a empresa a sanções legais relacionadas à pirataria de 
software, pedofi lia e crimes virtuais. 
 E os problemas não param por aí: a indisponibilidade dos 
serviços pode atingir profundamente você e o seu cliente. Pri-
meiro você, pelo fato de o cliente não ter conseguido realizar 
uma transação fi nanceira, um investimento ou uma solicitação 
de cartão de crédito etc. Agora o cliente, que deverá ser reparado 
através de uma ligação do telemarketing, de campanhas de 
marketing direto etc. 
 Agora vem o pior. Custos intangíveis e incalculáveis que 
põem verdadeiramente em risco a continuidade do negócio. O 
impacto de uma invasão, seja interna seja externa, causando 
o roubo de informações, não é fácil de ser calculado. Muitas 
vezes, não se sabe que fi m levou aquela informação e, muito 
menos, como ela será explorada. Será que estará na mão de um 
concorrente? Ou na mão da imprensa, pronta para um furo de 
reportagem? 
 Trata-se de um problema sem dimensão defi nida. O impacto 
à imagem é coisa séria e custosa para ser revertida. Gasta-se 
muito mais recurso tentando reconstruir uma imagem sólida, 
segura, efi ciente e compromissada com o clientedo que o que 
foi gasto para construí-la. 
 Ainda temos de pensar nos novos negócios que estão por 
vir e que dependerão da segurança para sua viabilidade. Afi nal, 
que empresa não gostaria de ser o empreendimento que faz 
acontecer, em vez de apenas ver o que acontece? 
 O estudo de ROI, defi nitivamente, já faz parte do dia a dia 
dos executivos de tecnologia, e a segurança da informação em 
especial já é pauta certa de reunião e motivo de sobra para ser 
considerada um investimento. Resta, antes de tudo, gerar e im-
plantar mecanismos de controle que, preliminarmente, reúnam 
informações que sinalizem os eventos em que há quebra de 
segurança e registrem os efeitos ao longo do tempo. Com esses 
números, somados às projeções e simulações, será possível gerar 
um estudo de ROI capaz de traduzir na linguagem executiva o 
que realmente é preciso entender: segurança é um investimento 
importante, necessário, mensurável e justifi cável. 
 É importantíssimo ressaltar, neste momento, que todo inves-
timento tem seu ponto de infl exão, ou seja, um ponto na curva 
C0010.indd 26C0010.indd 26 06/11/13 8:39 AM06/11/13 8:39 AM
272.6 Posicionamento hierárquico
em que o retorno já não é proporcional ao esforço empregado. 
Essa situação é indesejada e deve ser alvo de atenção para evitar 
sua ocorrência. Seria o mesmo que investir em segurança um 
montante maior do que o próprio valor do bem protegido, con-
siderando e ponderando, é claro, todos os aspectos associados 
à operação do negócio. 
 2.6 POSICIONAMENTO HIERÁRQUICO 
 Diante da abrangência dos desafios associados à segurança 
da informação, torna-se fundamental reorganizar a estrutura 
hierárquica da empresa a fi m de suprir as novas demandas. É 
comum haver imediata confusão ao associar as atividades e a 
responsabilidade da gestão de segurança à área tecnológica. 
Muitas empresas insistem em relacionar, e muitas vezes encap-
sular, o orçamento e as ações de segurança ao plano diretor de 
informática ou plano estratégico de TI. 
 Se considerarmos a diversidade das vulnerabilidades, 
ameaças e impactos que incidem sobre todos os ambientes e 
 FIGURA 2.11 
 Análise do ponto de infl exão dos investimentos 
em segurança × ROI. 
C0010.indd 27C0010.indd 27 06/11/13 8:39 AM06/11/13 8:39 AM
28 CAPÍTULO 2 Desafi os
processos da empresa, veremos que tal modelo não cumpre o 
papel. Dessa forma, a empresa passaria a ter uma coordenação 
da segurança voltada para o aspecto tecnológico, decerto im-
portante, mas não o único a merecer atenção, pois os demais 
aspectos físicos e humanos estariam sendo esquecidos e poten-
cializariam os riscos. 
 As ações precisam estar intimamente alinhadas às diretrizes 
estratégicas da empresa e, para isso, é necessário ter uma visão 
corporativa, global e ampla, capaz de criar sinergia entre as ati-
vidades e, principalmente, maior retorno sobre o investimento. 
Este último é conseguido principalmente pela eliminação de 
ações redundantes, e muitas vezes confl itantes, que depreciam 
o plano corporativo de segurança da informação. 
 Herdando a importância e a participação já praticadas pelo 
comitê de auditoria, um comitê corporativo de segurança da 
informação deve ser criado. Posicionada no segundo nível 
hierárquico, ao lado do comitê executivo que reúne CIO, CEO 
e conselheiros, essa unidade deve ser multidepartamental, 
coordenada e mediada pelo Security Offi cer , mas com forte 
representatividade das diretorias da empresa. 
 Considerando o porte e o modelo organizacional da empresa, 
poderá ser necessária a criação de comitês interdepartamentais 
de segurança, que irão se reportar ao comitê corporativo, estes 
movidos por representantes de perfi l gerencial — sintonizados 
com o Security Offi cer — que estarão segmentando as ações a 
partir de atividades táticas operacionais. Simultaneamente, 
atuarão como consolidadores de resultados parciais e fi nais, de-
sempenhando funções de coordenação, controle, planejamento/
avaliação e execução, fazendo-os chegar ao comitê corporativo, 
a fi m de realimentar o processo de gestão. 
 2.7 GERÊNCIA DE MUDANÇAS 
 Mudar é a única certeza. Essa frase já está mais do que des-
gastada, mas continua válida quando aplicada ao desafi o das 
empresas diante da segurança da informação. 
 Muitas são as variáveis que interferem direta e indiretamente 
nos riscos operacionais do negócio: mudanças mercadológicas, 
novos mercados, inovações tecnológicas, expansão física e 
crescimento dos recursos humanos são exemplos que acabam 
mexendo na equação do risco, fazendo-o oscilar e sair de seu 
ponto de equilíbrio (consulte a Figura 2.13 ). 
C0010.indd 28C0010.indd 28 06/11/13 8:39 AM06/11/13 8:39 AM
292.7 Gerência de mudanças
 FIGURA 2.12 
 Posicionamento hierárquico adequado aos desafi os com amplitude corporativa. 
 FIGURA 2.13 
 Percepção do dinamismo do contexto em que a empresa está inserida. 
C0010.indd 29C0010.indd 29 06/11/13 8:39 AM06/11/13 8:39 AM
30 CAPÍTULO 2 Desafi os
 Diante do dinamismo dessas variáveis, muitas das quais 
imprevisíveis e incontroláveis, as empresas não poderão se 
deixar encurralar por estarem respaldadas por uma solução de 
segurança que represente apenas um projeto com início, meio e 
fi m. Todas precisarão de algo igualmente dinâmico, um processo 
capaz de acompanhar com velocidade as variações do ambiente 
e ajustar os controles para manter o nível de risco adequado. 
 A segurança que todas deverão buscar deve ser mantida por 
um verdadeiro processo de gestão corporativa de segurança 
da informação, sustentado por subprocessos retroalimentados 
que interajam todo o tempo com as variáveis e estejam cons-
tantemente sendo ajustados às diretrizes estratégicas do negócio. 
 Pense em sua empresa. Não poderia estar ocorrendo agora 
uma nova contratação de recursos humanos, o upgrade ou a 
atualização de um servidor e seu sistema operacional? A im-
plantação de um novo sistema de gestão, aplicação, conexão à 
Internet ou, ainda, a ocupação de uma nova sala comercial ou 
prédio? Não poderia estar sofrendo os efeitos de um regime de 
perigosas tempestades, ou a aparição de um novo e voraz con-
corrente? Esses fatos representariam mudanças que interfeririam 
nos seus riscos operacionais, gerando a necessidade de uma 
análise minuciosa dos refl exos que posteriormente serviriam 
para subsidiar a defi nição das próximas ações. Você precisa de 
um modelo de gestão corporativo de segurança da informação! 
 2.8 MODELO DE GESTÃO CORPORATIVA 
DE SEGURANÇA 
 Não basta criar um novo departamento ou unidade adminis-
trativa e chamá-lo de comitê corporativo de segurança da in-
formação. É preciso ter uma visão clara de todas as etapas que 
compõem o desafi o corporativo da segurança e formalizar os 
processos que darão vida e dinamismo à gestão. 
 FIGURA 2.14 
 Visão macro do processo de gestão. 
C0010.indd 30C0010.indd 30 06/11/13 8:39 AM06/11/13 8:39 AM
312.8 Modelo de gestão corporativa de segurança
 Estamos falando de um modelo de gestão corporativa de se-
gurança da informação cíclico e encadeado, formado pelas etapas: 
 • Comitê corporativo de segurança da informação 
 • Mapeamento de segurança 
 • Estratégia de segurança 
 • Planejamento de segurança 
 • Implementação de segurança 
 • Administração de segurança 
 • Segurança na cadeia produtiva 
 Cada uma dessas etapas cumpre um papel importante no ciclo e 
gera resultados fi nais que deverão estar devidamente formatados 
e prontos para alimentar a etapa subsequente. Dessa forma será 
possível reagir com velocidade às mudanças que inevitavelmen-
te ocorrerão na operação do negócio, fazendo o risco oscilar. 
 FI
GU
RA
 2
.1
5 
 D
ia
gr
am
a 
do
 m
od
el
o 
de
 g
es
tã
o 
co
rp
or
at
iv
o 
de
 s
eg
ur
an
ça
 d
a 
in
fo
rm
aç
ão
. 
C0010.indd 31C0010.indd 31 06/11/13 8:39 AM06/11/13 8:39 AM
32 CAPÍTULO 2Desafi os
 Comitê corporativo de segurança da informação 
 • Orientar as ações corporativas de segurança e todas as 
etapas do modelo, além de medir os resultados parciais e 
fi nais com o intuito de reparar desvios de foco. 
 • Alinhar o plano de ação às diretrizes estratégicas do 
negócio, buscando agregar valor e viabilizar o melhor 
retorno sobre o investimento. 
 • Coordenar os agentes de segurança em seus comitês 
interdepartamentais, a fi m de sintonizá-los quanto a 
possíveis ajustes no plano de ação. 
 • Garantir o sucesso de implantação do modelo de gestão 
corporativo de segurança da informação, que vai preparar 
e dar autonomia à empresa para gerir seus atuais e futuros 
desafi os associados. 
 • Promover a consolidação do modelo de gestão corporativo 
de segurança da informação como um processo dinâmico 
autogerido. 
 Mapeamento de segurança 
 • Inventariar os ativos físicos, tecnológicos, humanos 
e ambientais que sustentam a operação da empresa, 
considerando também as demais variáveis internas e 
externas que interferem nos riscos da empresa, como 
mercado, nicho, concorrência, expansão etc. 
 • Identifi car o grau de relevância e as relações diretas 
e indiretas entre os diversos processos de negócio, 
perímetros, infraestruturas e ativos. 
 • Identifi car o cenário atual — ameaças, vulnerabilidades e 
impactos — e especular a projeção do cenário desejado de 
segurança capaz de sustentar e viabilizar os atuais e novos 
negócios da empresa. 
 • Mapear as necessidades e as relações da empresa 
associadas ao manuseio, armazenamento, transporte e 
descarte de informações 
 • Organizar as demandas de segurança do negócio. 
 Estratégia de segurança 
 • Defi nir um plano de ação, comumente plurianual, que 
considere todas as particularidades estratégicas, táticas e 
operacionais do negócio mapeadas na etapa anterior, além 
dos aspectos de risco físicos, tecnológicos e humanos. 
 • Criar sinergia entre os cenários atual e desejado, além 
da sintonia de expectativas entre os executivos, a fi m de 
C0010.indd 32C0010.indd 32 06/11/13 8:39 AM06/11/13 8:39 AM
332.8 Modelo de gestão corporativa de segurança
ganhar comprometimento e apoio explícito às medidas 
previstas no plano de ação. 
 Planejamento de segurança 
 • Organizar os comitês interdepartamentais, especifi cando 
responsabilidades, posicionamento e escopo de atuação, 
ofi cializando seu papel diante de ações locais em sintonia 
com ações globais coordenadas pelo comitê corporativo 
de segurança da informação. 
 • Iniciar ações preliminares de capacitação dos executivos e 
técnicos, a fi m de melhor norteá-los quanto aos desafi os, 
envolvendo-os nos resultados e compartilhando com eles a 
responsabilidade pelo sucesso do modelo de gestão. 
 • Elaborar uma política de segurança da informação 
sólida, considerando com extrema particularização e 
detalhamento as características de cada processo de 
negócio, perímetro e infraestrutura, materializando-a 
através de diretrizes, normas, procedimentos e instruções 
que ofi cializarão o posicionamento da empresa ao redor do 
tema e, ainda, apontar as melhores práticas para manuseio, 
armazenamento, transporte e descarte de informações na 
faixa de risco apontada como ideal. 
 • Realizar ações corretivas emergenciais em função do 
risco iminente percebido nas etapas de mapeamento 
e atualmente, na elaboração dos critérios defi nidos na 
política de segurança. 
 Implementação de segurança 
 • Divulgar corporativamente a política de segurança, a 
fi m de torná-la o instrumento ofi cial, de conhecimento 
de todos, que norteará os executivos, técnicos e usuários 
quanto às melhores práticas no relacionamento com a 
informação. 
 • Capacitar conscientizando os usuários no que se 
refere ao comportamento diante do manuseio, 
armazenamento, transporte e descarte da informação, 
incluindo o conhecimento dos critérios, proibições e 
responsabilizações inerentes ao assunto. 
 • Implementar mecanismos de controle físicos, 
tecnológicos e humanos que permitirão a eliminação das 
vulnerabilidades ou a sua viável administração, a fi m 
de conduzir o nível de risco a um patamar desejado de 
operação. 
C0010.indd 33C0010.indd 33 06/11/13 8:39 AM06/11/13 8:39 AM
34 CAPÍTULO 2 Desafi os
 Administração de segurança 
 • Monitorar os diversos controles implementados, medindo 
sua efi ciência e sinalizando mudanças nas variáveis que 
interferem direta e indiretamente no nível de risco do negócio. 
 • Projetar a situação do ROI com base nas medições 
realizadas, permitindo identifi car resultados alcançados 
e, ainda, viabilizar novas necessidades que surgirem por 
demandas do negócio. 
 • Garantir a adequação e a conformidade do negócio com 
normas associadas, regras internas, regras do segmento de 
mercado, padrões e legislação incidente. 
 • Manter planos estratégicos para contingência e 
recuperação de desastres, objetivando garantir o nível de 
disponibilidade adequado e a consequente continuidade 
operacional do negócio. 
 • Administrar os controles implementados, adequando 
suas regras de operação aos critérios defi nidos na política 
de segurança ou preparando-as para atender as novas 
necessidades provocadas por mudanças de contexto 
ou variáveis internas e externas. 
 Segurança na cadeia produtiva 
 • Equalizar as medidas de segurança adotadas pela empresa 
aos processos de negócio comuns, mantidos junto aos 
parceiros da cadeia produtiva (fornecedores, clientes, 
governo etc.), a fi m de nivelar o fator de risco sem que 
uma das partes exponha informações compartilhadas e 
represente ameaça à operação de ambos os negócios. 
 Como se pode ver, o que chamamos de segurança da informação 
deve assumir a forma de um conjunto de processos integrados 
que têm objetivos locais específi cos, mas estão intimamente 
alinhados a um único objetivo corporativo: gerir dinamicamente 
mecanismos de controle abrangentes — considerando processos, 
tecnologias, pessoas e ambientes — que agreguem valor ao 
negócio, permitindo sua operação com risco controlado. 
 2.9 AGREGANDO VALOR AO NEGÓCIO 
 A análise do retorno sobre o investimento já deve ter dado pis-
tas sobre os resultados mensuráveis associados ao modelo de 
gestão corporativa de segurança, mas é conveniente chamarmos 
C0010.indd 34C0010.indd 34 06/11/13 8:39 AM06/11/13 8:39 AM
352.9 Agregando valor ao negócio
a atenção também para os benefícios da gestão integrada sob a 
ótica do executivo e seu negócio: 
 • Valoriza as ações da empresa 
 • Viabiliza novos negócios 
 • Viabiliza a exploração para novos mercados 
 • Viabiliza novas fontes de receita 
 • Aumenta o market-share 
 • Aumenta o share of mind 
 • Consolida a imagem de modernidade 
 • Consolida a imagem de saúde administrativa 
 • Consolida o diferencial competitivo proporcionado pela 
tecnologia aplicada 
 • Aumenta a satisfação dos clientes 
 • Aumenta a produtividade dos usuários 
 • Aumenta a receita 
 • Aumenta a lucratividade 
 • Aumenta a agilidade na adaptação a mudanças 
 • Aumenta os níveis de disponibilidade operacional 
 • Reduz os custos provocados por ameaças que exploram as 
falhas de segurança 
 • Reduz os custos provocados pela má utilização dos 
recursos tecnológicos 
 • Reduz os riscos operacionais 
C0010.indd 35C0010.indd 35 06/11/13 8:39 AM06/11/13 8:39 AM
36 CAPÍTULO 2 Desafi os
 • Prepara a empresa para os desafi os atuais 
 • Prepara a empresa para reagir aos desafi os futuros 
 • Preserva a imagem da empresa 
 • Integra segurança ao negócio 
 A gestão integrada é um dos benefícios tangíveis mais relevantes 
proporcionados pelo modelo, pois é o responsávelpor evitar 
investimentos redundantes, ações desencontradas, atividades 
contrárias ou confl itantes e, principalmente, por proporcionar 
a canalização de esforços que vão ao encontro de um objetivo 
comum: o business da empresa. 
 FI
GU
RA
 2
.1
6 
 P
er
ce
pç
ão
 d
o 
va
lo
r 
ag
re
ga
do
 p
ro
m
ov
id
o 
pe
lo
 m
od
el
o 
de
 g
es
tã
o 
in
te
gr
ad
o.
 
C0010.indd 36C0010.indd 36 06/11/13 8:39 AM06/11/13 8:39 AM
37
CAPÍTULO
 3 Knowledge Checkpoint 1 
 Este ponto de checagem de conhecimento é uma breve e objetiva 
consolidação dos conceitos abordados em cada seção do livro 
com o objetivo de reforçar o processo de absorção do conteúdo 
relevante. 
 Informação: ativo cada vez mais valorizado 
 CONCEITO: A informação representa a inteligência compe-
titiva dos negócios e é reconhecida como ativo crítico para a 
continuidade operacional e saúde da empresa. 
 Crescimento da dependência 
 CONCEITO: Os riscos são inerentes e proporcionais aos índices 
de dependência que a empresa tem da informação e da com-
plexidade da estrutura que suporta os processos de automação, 
informatização e compartilhamento de informações. 
 Visão holística do risco 
 CONCEITO: Considerar os planos e identifi car os desafi os e as 
características específi cas do negócio são os primeiros passos 
para modelar uma solução de segurança adequada. 
 Receita explosiva 
 CONCEITO: Olhar ao redor e projetar novas situações deve ser 
uma prática para as empresas preocupadas em construir uma 
solução sólida, mas adequadamente fl exível para se ajustar às 
mudanças que inevitavelmente ocorrerão no ambiente. 
 Ciclo de vida da informação 
 CONCEITO: A visão corporativa da segurança da informação 
deve ser comparada a uma corrente, em que o elo mais fraco 
determina o seu grau de resistência e proteção. A invasão ocorre 
onde a segurança falha! 
C0015.indd 37C0015.indd 37 06/11/13 9:14 AM06/11/13 9:14 AM
38 CAPÍTULO 3 Knowledge
 Desafi os 
 Anatomia do problema 
 CONCEITO: Segurança é implementar controles que reduzam 
o risco a níveis adequados, viáveis e administráveis. 
 Visão corporativa 
 CONCEITO: As empresas são diferentes e precisarão mapear 
o seu risco através da ponderação de ameaças, vulnerabilidades 
físicas, tecnológicas e humanas, e impactos, em busca da es-
pecifi cação da solução ideal. 
 Pecados praticados 
 CONCEITO: Aprender com as experiências e erros cometi-
dos por terceiros faz parte do processo de crescimento, mas 
aprender com os próprios deve fazer parte do seu processo de 
sobrevivência. 
 Conscientização do corpo executivo 
 CONCEITO: Somente com apoio executivo as ações de se-
gurança ganharão autonomia e abrangência capazes de incidir 
corporativamente sobre os furos de segurança. 
 Retorno sobre o investimento 
 CONCEITO: Projetar o ROI de ações integradas e alinhadas 
com as diretrizes estratégicas da empresa representará efi caz 
ferramenta de conscientização e sensibilização do executivo, a 
fi m de ganhar seu comprometimento. 
 Posicionamento hierárquico 
 CONCEITO: Autonomia e posicionamento estratégico são 
condições primordiais para sustentar um processo dinâmico de 
administração de segurança efi ciente. 
 Gerência de mudanças 
 CONCEITO: A segurança deve ser tratada como um processo 
corporativo capaz de considerar as inevitáveis mudanças físicas, 
tecnológicas, humanas e contextuais, e reagir dinamicamente. 
 Modelo de gestão corporativa de segurança 
 CONCEITO: O fato de existir agora um modelo de gestão que 
sirva de bússola não garante o sucesso de sua implantação. É 
preciso ter uma estrutura humana multiespecialista, dedicada e 
embasada conceitualmente, sempre em busca de atualização. 
C0015.indd 38C0015.indd 38 06/11/13 9:14 AM06/11/13 9:14 AM
39 Knowledge
 Agregando valor ao negócio 
 CONCEITO: Diferentemente do que se pensava, toda inicia-
tiva de segurança da informação deve ter como alvo princi-
pal o negócio e, consequentemente, suas ações devem estar 
totalmente convergentes, alinhadas e focadas nos desafi os do 
negócio. 
C0015.indd 39C0015.indd 39 06/11/13 9:14 AM06/11/13 9:14 AM
C0015.indd 40C0015.indd 40 06/11/13 9:14 AM06/11/13 9:14 AM
41
CAPÍTULO
 4 Segurança da informação 
 4.1 CONCEITOS DE SEGURANÇA 
 Já dissecamos os desafi os associados à segurança com super-
fi cialidade executiva, mas nenhuma expectativa será atingida 
se as ações não estiverem consistentemente embasadas por 
conceitos sólidos e amplamente reconhecidos. 
 Evitando reinventar a roda e dar nova interpretação que 
despreze as já bem realizadas e consolidadas, tomei empres-
tada a base de conhecimento chamada de módulo Security Body 
of Knowledge , de propriedade da empresa brasileira líder em 
soluções corporativas de segurança de informação, Módulo 
Security Solutions, e juntei a ela as defi nições da NBR ISO/IEC 
27002:2013 (Código de prática para a gestão da segurança da 
informação) e das demais normas que compõem as famílias ISO 
27000 (Tecnologia da informação — técnicas de segurança), 
especialmente NBR ISO/IEC 27005:2011 (Gestão de riscos 
de segurança da informação) e ISO 31000 (Gestão de riscos). 
 Segurança da informação 
 Podemos defi nir segurança da informação como uma área do 
conhecimento dedicada à proteção de ativos da informação 
contra acessos não autorizados, alterações indevidas ou sua 
indisponibilidade. De forma mais ampla, podemos também 
considerá-la como a prática de gestão de riscos incidentes que 
impliquem o comprometimento dos três principais conceitos 
da segurança: confi dencialidade, integridade e disponibilidade da 
informação. Dessa forma, estaríamos falando da defi nição de 
regras que incidiriam sobre todos os momentos do ciclo 
de vida da informação: manuseio, armazenamento, transporte e 
descarte, viabilizando a identifi cação e o controle de ameaças 
e vulnerabilidades. 
 O modelo de gestão corporativa de segurança da informação 
empresta à expressão um sentido mais amplo, considerando em 
C0020.indd 41C0020.indd 41 06/11/13 9:24 AM06/11/13 9:24 AM
42 CAPÍTULO 4 Segurança da informação
primeiro plano os desafi os do negócio como um todo. Diante 
dessa abrangente orientação, dois outros conceitos ganham 
autonomia: autenticidade e conformidade (anteriormente refe-
renciada como legalidade). 
 A autenticidade é um conceito originalmente extraído dos 
precursores confi dencialidade e integridade, em função de sua 
importância dentro do contexto em que vivemos nos últimos 
15 anos, pelo menos, em que cumpre o papel de sinalizar o 
comprometimento de aspectos associados à autenticidade das 
informações e das partes envolvidas na sua troca. 
 Já a conformidade (ou compliance ) é um dos componentes 
do modelo de GRC (gestão da governança, risco e conformi-
dade), que tem o papel de garantir o cumprimento das obriga-
ções organizacionais, englobando desde compromissos com 
 stakeholders (investidores, empregados, credores, agências 
reguladoras etc.) a aspectos legais e regulatórios relacionados à 
administração das empresas. A conformidade veio ampliar as 
fronteiras da legalidade, comumente referenciada como um dos 
mais importantes aspectos associados à segurança da informa-
ção. Nesse contexto, a expressão “segurança da informação” é 
por si só ambígua, podendo assumir dupla interpretação: 
 1. Segurança como prática adotada para tornar um ambiente 
seguro (atividade, ação, preservação dos princípios), 
de caráter interdisciplinar, composta de um conjunto de 
metodologias e aplicações que visam estabelecer: 
controles de segurança (p. ex., de autenticação, 
autorização e auditoria) dos elementos constituintes 
de uma rede de comunicação e/ou que manipulem a 
informação; e procedimentos para garantir a continuidade 
de negócios na ocorrência de incidentes. 
 2. Resultado da prática adotada, objetivo a ser alcançado. 
É a característica que a informação adquire aoser alvo 
de uma prática da segurança (segura — adjetivo, objetivo 
da prática). 
 Logo, ao utilizar esse nome, deve-se ter consciência dessa am-
biguidade, a fi m de identifi car o conceito mais apropriado a ser 
abordado. Por exemplo: 
 Segurança como “meio” — A segurança da informação 
visa garantir a confi dencialidade, a integridade e a 
disponibilidade da informação, a impossibilidade de que 
agentes participantes em transações ou na comunicação 
C0020.indd 42C0020.indd 42 06/11/13 9:24 AM06/11/13 9:24 AM
434.1 Conceitos de segurança
repudiem a autoria de suas mensagens, a conformidade 
com as obrigações organizacionais e com a legislação 
e requisitos regulatórios vigentes e a continuidade dos 
negócios. 
 Segurança como “fi m” — A segurança da informação é 
alcançada por meio de práticas e políticas voltadas a uma 
adequada padronização operacional e gerencial dos ativos 
e processos que armazenam, manipulam, transmitem, 
recebem e descartam a informação. 
 Conceitos básicos da segurança da informação 
 A segurança da informação tem como objetivo a preservação 
de três princípios básicos que norteiam a implementação dessa 
prática. 
 Confi dencialidade — Toda informação deve ser 
protegida de acordo com o grau de sigilo de seu conteúdo, 
visando a limitação de seu acesso e uso apenas às pessoas 
a quem é destinada. 
 Integridade — Toda informação deve ser mantida 
na mesma condição em que foi disponibilizada pelo 
seu proprietário, visando protegê-la contra alterações 
indevidas, intencionais ou acidentais. 
 Disponibilidade — Toda informação gerada ou adquirida 
por um indivíduo ou instituição deve estar disponível aos 
seus usuários no momento em que eles necessitem delas 
para qualquer fi nalidade. 
 Informação 
 Conjunto de dados utilizados para a transferência de uma men-
sagem entre indivíduos e/ou máquinas em processos comuni-
cativos (isto é, baseados em troca de mensagens) ou transacio-
nais (isto é, processos em que sejam realizadas operações que 
envolvam, por exemplo, a transferência de valores monetários). 
 A informação pode estar presente em inúmeros elementos 
desse processo, chamados ativos, os quais são alvo de proteção 
da segurança da informação, ou ser manipulada por eles. 
 Ativo 
 É todo elemento que compõe os processos que manipulam e 
processam a informação, a contar da própria informação, o meio 
C0020.indd 43C0020.indd 43 06/11/13 9:24 AM06/11/13 9:24 AM
44 CAPÍTULO 4 Segurança da informação
em que ela é armazenada, os equipamentos em que é manuseada, 
transportada e descartada. 
 O ativo possui essa denominação, oriunda da área fi nan-
ceira, por ser considerado um elemento de valor para um in-
divíduo ou organização e que, por esse motivo, necessita de 
proteção adequada. A norma ISO/IEC 27000:2009 (referência 
para vocabulário e termos de Seguranca da Informação) o 
conceitua apenas como “qualquer coisa que tenha valor para 
a organização”. 
 Existem muitas formas de dividir e agrupar os ativos para 
facilitar seu tratamento, mas um modelo em especial tem a minha 
simpatia: equipamentos, aplicações, usuários, ambientes, in-
formações e processos. Dessa forma, torna-se possível identifi car 
melhor as fronteiras de cada grupo, tratando-os com especifi ci-
dade e aumentando qualitativamente as atividades de segurança. 
 Aspectos da segurança da informação 
 Alguns elementos são considerados essenciais na prática da 
segurança da informação, dependendo do objetivo que se pre-
tende alcançar: 
 Autenticação — Processo de identifi cação e 
reconhecimento formal da identidade dos elementos que 
entram em comunicação ou fazem parte de uma transação 
eletrônica que permite o acesso à informação e seus ativos 
por meio de controles de identifi cação desses elementos. 
 Conformidade — Processo de garantia do cumprimento 
de obrigações empresariais com stakeholders 
(investidores, empregados, credores etc.) e com aspectos 
legais e regulatórios relacionados à administração das 
empresas, dentro de princípios éticos e de conduta 
estabelecidos com a alta direção das mesmas. Faz parte 
do tripé do GRC — modelo de gestão da governança, dos 
riscos e da conformidade empresariais. 
 Aspectos associados 
 Autorização — Concessão de permissão para o acesso 
às informações e funcionalidades das aplicações aos 
participantes de um processo de troca de informações 
(usuário ou máquina), após a correta identifi cação e 
autenticação dos mesmos. 
C0020.indd 44C0020.indd 44 06/11/13 9:24 AM06/11/13 9:24 AM
454.1 Conceitos de segurança
 Auditoria — Processo de coleta de evidências de uso 
dos recursos existentes, a fi m de identifi car as entidades 
envolvidas em um processo de troca de informações, 
ou seja, origem, destino e meios de tráfego de uma 
informação. 
 Autenticidade — Garantia de que as entidades 
(informação, máquinas, usuários) identifi cadas em um 
processo de comunicação como remetentes ou autores 
sejam exatamente o que dizem ser e de que a mensagem 
ou informação não foi alterada após o seu envio ou 
validação. Normalmente, o termo autenticidade é utilizado 
no contexto da certifi cação digital, no qual recursos de 
criptografi a e hash são utilizados para atribuir um rótulo 
de identifi cação a mensagens ou arquivos enviados entre 
membros de uma infraestrutura de chave pública, visando 
garantir os princípios/aspectos de irretratabilidade, 
identidade, autenticidade, autoria, originalidade, 
integridade e confi dencialidade. 
 Severidade — Gravidade do dano que determinado ativo 
pode sofrer devido à exploração de uma vulnerabilidade 
por qualquer ameaça aplicável. 
 Relevância do ativo — Grau de importância de um ativo 
para a operacionalização de um processo de negócio. 
 Relevância do processo de negócio — grau de 
importância de um processo de negócio para o alcance dos 
objetivos e sobrevivência de uma organização. 
 Criticidade — Gravidade referente ao impacto ao negócio 
causado pela ausência de um ativo, pela perda ou redução 
de suas funcionalidades em um processo de negócio ou 
pelo seu uso indevido e não autorizado. 
 Irretratabilidade — Característica de informações que 
possuem a identifi cação do seu emissor, que o autentica 
como o autor de informações por ele enviadas e recebidas. 
Sinônimo de não repúdio. 
 Ameaças 
 São agentes ou condições que causam incidentes que com-
prometem as informações e seus ativos por meio da exploração 
de vulnerabilidades, provocando perdas de confi dencialidade, 
integridade e disponibilidade, e, consequentemente, causando 
impactos aos negócios de uma organização. 
C0020.indd 45C0020.indd 45 06/11/13 9:24 AM06/11/13 9:24 AM
46 CAPÍTULO 4 Segurança da informação
 Classifi cando as ameaças quanto a sua intencionalidade, elas 
podem ser divididas nos seguintes grupos: 
 Naturais — Ameaças decorrentes de fenômenos da 
natureza, como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, aquecimento, 
poluição etc. 
 Involuntárias — Ameaças inconscientes, quase sempre 
causadas pelo desconhecimento. Podem ser causadas por 
acidentes, erros, falta de energia etc. 
 Voluntárias — Ameaças propositais causadas por agentes 
humanos como hackers, invasores, espiões, ladrões, criadores 
e disseminadores de vírus de computador, incendiários. 
 Vulnerabilidades 
 São fragilidades presentes ou associadas a ativos que manipu-
lam e/ou processam informações que, ao serem exploradas por 
ameaças, permitem a ocorrência de um incidente de segurança, 
afetando negativamente um ou mais princípios da segurança da 
informação: confi dencialidade, integridade e disponibilidade. 
 As vulnerabilidades por si sós não provocam incidentes, pois 
são elementos passivos, necessitando de um agente causador ou 
condição favorável, que são as ameaças. 
 Exemplos de vulnerabilidades 
 Físicas — Instalações prediais que não atendem asboas 
práticas ou as normas e regulamentações vigentes; falta 
de extintores, detectores de fumaça e de outros recursos 
para combate a incêndio em ambientes com ativos ou 
informações estratégicos; controle de acesso defi ciente em 
locais contendo informações confi denciais ou sensíveis etc. 
 Naturais — Ambientes com equipamentos eletrônicos 
próximos a locais suscetíveis a desastres naturais, como 
incêndios, enchentes, terremotos, tempestades e outros, 
como falta de energia, acúmulo de poeira, aumento 
de umidade e de temperatura etc. 
 Hardware — Computadores são suscetíveis a 
poeira, umidade, sujeira e acesso indevido a recursos 
inadequadamente protegidos, podendo ainda sofrer com 
componentes defi cientes ou mal confi gurados, com falhas 
ou fl utuações no suprimento energético ou aumento 
excessivo na temperatura ambiente. 
 Software — Erros na codifi cação, instalação ou 
confi guração de sistemas e aplicativos podem acarretar 
C0020.indd 46C0020.indd 46 06/11/13 9:24 AM06/11/13 9:24 AM
474.1 Conceitos de segurança
acessos indevidos, vazamento de informações, perda de 
dados e de trilhas de auditoria ou indisponibilidade do 
recurso quando necessário. 
 Mídias — Discos, fi tas, relatórios e impressos podem 
ser perdidos ou danifi cados; falhas de energia podem 
causar panes em equipamentos, podendo danifi car trilhas 
lógicas de dados; discos rígidos usualmente têm vida útil; 
a radiação eletromagnética pode afetar diversos tipos de 
mídias magnéticas. 
 Comunicação — A comunicação telefônica é vulnerável a 
escutas (acesso indevido) ou a problemas na infraestrutura 
física ou lógica que a impeçam de ser estabelecida. 
 Humanas — Falta de treinamento ou de conscientização 
das pessoas, falta de avaliação psicológica adequada ou 
de verifi cação de antecedentes ( background check ) que 
identifi que objetivos escusos ou problemas anteriores, ou 
mesmo má-fé ou o descontentamento de um funcionário, 
entre outros, podem levar ao compartilhamento indevido 
de informações confi denciais, à não execução de rotinas de 
segurança ou a erros, omissões etc. que ponham em risco 
as informações. 
 Medidas de segurança 
 São as práticas, os procedimentos e os mecanismos usados para 
a proteção da informação e seus ativos, que podem impedir que 
ameaças explorem vulnerabilidades, reduzir essas vulnerabili-
dades, limitar a probabilidade ou o impacto de sua exploração, 
minimizando ou mesmo evitando os riscos. 
 Especificamente quando se fala de risco, cabe ressaltar 
que nem sempre evitá-lo ou reduzi-lo a um nível aceitável é 
a melhor estratégia a ser adotada. Há casos em que o custo de 
implementação de medidas de segurança para evitar ou reduzir 
determinado risco é maior do que o valor da informação a ser 
protegida, desaconselhando que essa ação seja efetuada. Nesses 
casos, deve-se avaliar a possibilidade de a empresa reter o risco, 
convivendo com o mesmo, compartilhá-lo ou terceirizá-lo, por 
exemplo, contratando um seguro (ISO/IEC 13335-1:2004). 
 As medidas de segurança são também referenciadas como 
controles e podem ter as seguintes características: 
 Preventivas — Medidas de segurança que têm como 
objetivo evitar que os incidentes venham a ocorrer. 
Visam garantir a segurança por meio de mecanismos 
que estabeleçam a conduta e a ética na instituição. Como 
C0020.indd 47C0020.indd 47 06/11/13 9:24 AM06/11/13 9:24 AM
48 CAPÍTULO 4 Segurança da informação
exemplos podemos citar políticas de segurança, instruções 
e procedimentos de trabalho, campanhas e palestras de 
conscientização de usuários, especifi cações de segurança, 
equipamentos de controle de acesso, ferramentas para 
implementação da política de segurança (fi rewall, 
antivírus, confi gurações adequadas de roteadores e dos 
sistemas operacionais etc.). 
 Detectivas — Medidas de segurança que visam identifi car 
condições ou indivíduos causadores de ameaças, a fi m de 
evitar que as mesmas explorem vulnerabilidades. Alguns 
exemplos são análise de riscos, sistemas de detecção de 
intrusão, alertas de segurança, câmeras de vigilância, 
alarmes etc. 
 Corretivas — Ações voltadas à correção de uma estrutura 
tecnológica e humana para que se adapte às condições 
de segurança estabelecidas pela instituição ou voltadas 
à redução dos impactos: equipes para emergências, 
restauração de backup, plano de continuidade operacional, 
plano de recuperação de desastres. 
 Note que muitas das medidas de segurança podem possuir mais de 
uma característica, isto é, um plano de continuidade de negócios 
é tanto uma ação preventiva (quando da sua criação) quanto uma 
ação corretiva (quando da sua aplicação). Logo, essa categoriza-
ção serve apenas para a identifi cação do foco que o trabalho de 
segurança está se propondo quando o mesmo está sendo realizado. 
 Riscos 
 Probabilidade de ameaças explorarem vulnerabilidades, provo-
cando perdas de confi dencialidade, integridade e disponibilida-
de, causando, possivelmente, impactos nos negócios. 
 Impacto 
 Abrangência dos danos causados por um incidente de segurança 
sobre um ou mais processos de negócio. 
 Incidente 
 Fato (evento) decorrente da ação de uma ameaça, que explora uma 
ou mais vulnerabilidades, levando à perda de princípios da seguran-
ça da informação: confi dencialidade, integridade e disponibilidade. 
 Um incidente gera impactos aos processos de negócio da 
empresa, sendo ele o elemento a ser evitado em uma cadeia de 
gestão de processos e pessoas. 
C0020.indd 48C0020.indd 48 06/11/13 9:24 AM06/11/13 9:24 AM
494.2 Teoria do perímetro
 A gravidade de um incidente pode ser analisada em termos 
qualitativos e quantitativos, sendo medida pelo seu impacto 
(consulte a Figura 4.1 ). 
 A partir do diagrama de visão condensada, na Figura 4.1 , 
pode-se ter a real noção da amplitude do desafi o corporativo da 
segurança da informação. 
 4.2 TEORIA DO PERÍMETRO 
 Não há nada de novo para a área de segurança, principalmente a 
patrimonial, em falar de perímetro. Essa estrutura de segmentação 
de ambientes físicos é considerada estratégia militar de defesa e 
também se aplica ao cenário atual das empresas, mesmo que tenha-
mos de ultrapassar os aspectos físicos e aplicá-los para segmentar 
ambientes lógicos. Certamente o grande segredo para obter o me-
lhor retorno dos mecanismos que garantam os níveis de proteção 
da informação está na segmentação inteligente dos ativos. Dessa 
forma, torna-se possível aplicar os controles adequados cada um 
oferecendo um nível previamente dosado de proteção sem que 
exceda os limites nem fi que aquém das necessidades. 
 FIGURA 4.1 
 Visão condensada dos desafi os. 
C0020.indd 49C0020.indd 49 06/11/13 9:24 AM06/11/13 9:24 AM
50 CAPÍTULO 4 Segurança da informação
 Pensemos, por exemplo, nos recursos de auditoria restritiva 
de acesso à Internet. Se os funcionários não forem logicamente 
segmentados nos sistemas de acesso à rede, misturando de-
partamentos e pessoas autorizadas pela necessidade imposta 
pela natureza da atividade e outros funcionários cujo acesso 
é controlado ou totalmente proibido, perde-se a propriedade 
de aplicar os controles adequados a cada um dos perfi s. Dessa 
forma, elevam-se as chances de exceder o nível de controle 
para uns ou oferecer-lhes um nível aquém de suas necessidades, 
expondo, então, as informações desnecessariamente (consulte 
a Figura 4.2 ). 
 Além de o perímetro estar associado à compartimentalização 
de espaços físicos e lógicos, ele também cumpre o importante 
papel de alerta e de mecanismo de resistência distribuído por 
áreas, a fim de permitir que tentativas de acesso indevido e 
invasão gerem sinais de alerta e se deparem com a resistência 
que propiciará tempo para que medidas contingenciais sejam 
tomadas antes que a ação avance ainda mais em direção ao alvo. 
 4.3 BARREIRAS DA SEGURANÇA 
 Conceitualmente, diante da amplitude e complexidade do papel 
da segurança,é comum estudarmos os desafi os em camadas ou 
fases, particionando todo o trabalho para tornar mais claro o 
 FIGURA 4.2 
 Ilustração representando perímetros físicos e lógicos. 
C0020.indd 50C0020.indd 50 06/11/13 9:24 AM06/11/13 9:24 AM
514.3 Barreiras da segurança
entendimento de cada uma delas. Chamamos essa divisão de 
barreiras — as seis barreiras de segurança. 
 Cada uma delas tem uma participação importante no objetivo 
maior de reduzir os riscos e, por isso, deve ser dimensionada 
adequadamente para proporcionar a mais perfeita interação e 
integração, como se fossem peças de um único quebra-cabeça. 
Note que esse modelo conceitual implementa a teoria do períme-
tro, segmentando perímetros físicos ou lógicos e oferecendo 
níveis de resistência e proteção complementares e tendencio-
samente crescentes. 
 Barreira 1: desencorajar 
 Essa é a primeira das cinco barreiras de segurança, e cumpre 
o papel importante de desencorajar as ameaças. Estas, por sua 
vez, podem ser desmotivadas ou perder o interesse e o estímulo 
pela tentativa de quebra de segurança por efeito de mecanismos 
físicos, tecnológicos ou humanos. A simples presença de uma 
câmera de vídeo, mesmo falsa, de um aviso da existência de 
alarmes, campanhas de divulgação da política de segurança ou 
treinamento dos funcionários informando as práticas de auditoria 
e monitoramento de acesso aos sistemas já são efetivos nessa fase. 
 Barreira 2: difi cultar 
 O papel dessa barreira é complementar a anterior através da 
adoção efetiva dos controles que difi cultarão o acesso indevido. 
 FIGURA 4.3 
 Diagrama representativo das barreias de segurança. 
C0020.indd 51C0020.indd 51 06/11/13 9:24 AM06/11/13 9:24 AM
52 CAPÍTULO 4 Segurança da informação
Como exemplo podemos citar os dispositivos de controle de 
acesso físico, como roletas, detectores de metal e alarmes, ou ló-
gicos, como leitores de cartão magnético, biométricos, de senhas, 
de smartcards e de certifi cados digitais, além do fi rewall etc. 
 Barreira 3: discriminar 
 Aqui o importante é se cercar de recursos que permitam identi-
fi car e gerir os acessos, defi nindo perfi s e autorizando permis-
sões. Os sistemas são largamente empregados para monitorar e 
estabelecer limites de acesso aos serviços de telefonia, períme-
tros físicos, aplicações de computador e bancos de dados. Os 
processos de avaliação e gestão do volume de uso dos recursos, 
como e-mail, impressora ou até mesmo o fl uxo de acesso físico 
aos ambientes, são bons exemplos das atividades dessa barreira. 
 Barreira 4: detectar 
 Agindo de forma complementar às suas antecessoras, essa 
barreira deve munir a solução de segurança de dispositivos que 
sinalizem, alertem e instrumentem os gestores da segurança 
na detecção de situações de risco, seja em uma tentativa de 
invasão, seja em uma possível contaminação por vírus, o des-
cumprimento da política de segurança da empresa ou a cópia e 
o envio de informações sigilosas de forma inadequada. 
 Entram aqui os sistemas de monitoramento e auditoria pa-
ra auxiliar na identifi cação de atitudes de exposição, como o 
antivírus e o sistema de detecção de intrusos, que reduziram o 
tempo de resposta a incidentes. 
 Barreira 5: deter 
 Essa quinta barreira representa o objetivo de impedir que a amea-
ça atinja os ativos que suportam o negócio. O acionamento dessa 
barreira, ativando seus mecanismos de controle, é um sinal de que 
as barreiras anteriores não foram sufi cientes para conter a ação 
da ameaça. Nesse momento, medidas de detenção, como ações 
administrativas, punitivas e bloqueio de acessos físicos e lógicos, 
respectivamente a ambientes e sistemas, são bons exemplos. 
 Barreira 6: diagnosticar 
 Apesar de representar a última barreira no diagrama, essa 
fase tem o sentido especial de representar a continuidade do 
C0020.indd 52C0020.indd 52 06/11/13 9:24 AM06/11/13 9:24 AM
534.3 Barreiras da segurança
 processo de gestão de segurança da informação. Pode parecer 
o fi m, mas é o elo de ligação com a primeira barreira, criando 
um movimento cíclico e contínuo. Devido a esses fatores, es-
sa é a barreira de maior importância. Deve ser conduzida por 
atividades de análise de riscos que considerem tanto os aspectos 
tecnológicos quanto os físicos e humanos, sempre orientados 
às características e às necessidades específi cas dos processos 
de negócio da empresa. 
 É importante notar que um trabalho preliminar de diagnós-
tico mal conduzido ou executado sem metodologia e instrumen-
tos que confi ram maior precisão ao processo de levantamento 
e análise de riscos poderá distorcer o entendimento da situação 
atual de segurança e, simultaneamente, a situação desejada. 
Dessa forma, aumenta a probabilidade de se dimensionar ina-
dequadamente essas barreiras, distribuindo os investimentos de 
forma desproporcional, redundante, muitas vezes, e de forma 
inefi caz. O retorno sobre os investimentos não corresponderá 
às expectativas, e a empresa não atingirá o nível de segurança 
adequado à natureza de suas atividades. 
 FIGURA 4.4 
 Ilustração simbólica de uma ação de segurança orientada por um 
diagnóstico inadequado. 
C0020.indd 53C0020.indd 53 06/11/13 9:24 AM06/11/13 9:24 AM
54 CAPÍTULO 4 Segurança da informação
 4.4 GRC 
 Surgiu na primeira década deste século e é um acrônimo dos 
conceitos de governança, risco e conformidade. De fato, GRC 
refere-se especifi camente à gestão de cada um desses itens pelas 
empresas e está intimamente ligado à segurança da informação, 
pelos aspectos de controle e garantia de que a organização não 
seja afetada negativamente por gestão inadequada. Tem sido 
prática comum identifi car o GRC como uma evolução da segu-
rança da informação, levando-a a um nível mais abrangente e, 
por conseguinte, mais extenso e mais crítico. 
 Governança refere-se ao conjunto de pessoas, processos e 
políticas que orientam como a organização deve ser dirigida. 
Segundo a CVM (Comissão de Valores Mobiliários, autarquia 
vinculada ao Ministério da Fazenda), a governança engloba as 
práticas que têm por fi nalidade otimizar o desempenho de uma 
companhia e proteger todas as partes interessadas, tais como 
investidores, empregados e credores, facilitando o acesso ao 
capital. Já o IBGC (Instituto Brasileiro de Governança Corpo-
rativa) inclui nessa defi nição a fi nalidade de aumentar o valor 
da empresa e contribuir para a sua perenidade. 
 Todavia, dos três aspectos do GRC, a governança talvez seja 
o que mais se distancie da gestão da segurança da informação, 
a despeito dos seus aspectos processuais, do estabelecimento 
de políticas e de proteção, por estar centrada em um patamar 
superior ao da gestão organizacional, envolvendo conselho de 
administração, acionistas, assembleia e, no nível de diretoria, 
usualmente o CEO, que costumeiramente faz parte do conselho 
de administração e, algumas vezes, o CFO, que também tem 
forte responsabilidade de controle operacional. 
 Na literatura sugere-se que o Security Offi cer possa se ocu-
par da governança de TI, mas, dada a natural dissenção entre as 
áreas de tecnologia e segurança da informação, muitas vezes 
essa ocupação não será possível. A tensão entre TI e SI é his-
tórica e explicável pela diferença de foco, uma vez que a área de 
TI preocupa-se prioritariamente em viabilizar as iniciativas que 
dela dependam, mesmo que os aspectos de segurança não estejam 
garantidos plenamente, algo não razoável na visão da área de SI. 
A aproximação da área de SI com áreas de auditoria, comumente 
associadas a iniciativas coercitivas e não populares, para a realiza-
ção de atividades de análise de riscos e de conformidade, também 
não favorece muito a relação. Obviamente, os gestores tanto de 
TI quanto de SI do século XXI têm uma noção muito mais ampla 
C0020.indd 54C0020.indd 54 06/11/13 9:24 AM06/11/13 9:24 AM
554.4 GRC
de suas obrigações e da necessidade de foco no que é importantepara o negócio, o que tende a minimizar qualquer rusga passada. 
 No viés oposto, a gestão de riscos é uma extensão natural 
da responsabilidade da gestão da segurança da informação nas 
organizações. De fato, temos sugerido que não se pense em 
segurança da informação por si só, mas no contexto da agrega-
ção de valor ao negócio, aplicando os conceitos de gestão de 
riscos, desde a defi nição da relevância dos ativos de informação 
à tomada de decisão quanto à implantação de controles ou con-
tramedidas às vulnerabilidades identifi cadas nesses ativos. 
 No contexto da gestão de riscos, duas normas de referência 
sobrevêm ao tratarmos do assunto: a NBR ISO 31000:2009 e a 
NBR ISO/IEC 27005:2011. 
 A ISO 31000 (Gestão de riscos, princípios e diretrizes), pu-
blicada em 2009, é uma norma abrangente, que trata da gestão 
de riscos de forma a atender qualquer segmento organizacional 
e que serve de referência ou “guarda-chuva” para a criação de 
normas específi cas para o endereçamento de particularidades de 
áreas de negócio ou interesse que as demandem. 
 Esse é exatamente o caso da ISO 27005 (Tecnologia da in-
formação, técnicas de segurança, gestão de riscos de segurança 
da informação), publicada em 2011, e mais uma das componen-
tes da família de normas 27000, destinada à gestão da segurança 
da informação. Essa norma, como o seu título defi ne, detalha 
um pouco mais o modelo de gestão de riscos da ISO 31000, 
com foco na gestão de riscos da segurança da informação, trans-
formando-se também em uma das bíblias do Security Offi cer . 
 O assunto risco é tratado de forma mais detalhada na Seção 4.5. 
 Já a conformidade (ou compliance ), como já vimos anterior-
mente neste capítulo, trabalha para garantir o cumprimento das 
obrigações organizacionais, englobando desde compromissos 
com stakeholders (investidores, empregados, credores, agências 
reguladoras etc.) a aspectos legais e regulatórios relacionados à 
administração das empresas. 
 A legalidade já era um dos aspectos de preocupação da se-
gurança da informação desde que seus fundamentos vêm sendo 
estabelecidos. Todavia, a conformidade, por sua abrangência 
de foco, amplia as fronteiras da legalidade a ponto de merecer 
tomar o seu lugar como aspecto essencial da gestão da segurança 
da informação. 
 Se olharmos para o fi nal do século XX e a última década, é 
fácil justifi car o crescimento da conformidade (e do GRC como 
um todo) como aspecto essencial de gestão das organizações, 
C0020.indd 55C0020.indd 55 06/11/13 9:24 AM06/11/13 9:24 AM
56 CAPÍTULO 4 Segurança da informação
como resultado de uma crescente preocupação, principalmente 
nos Estados Unidos, em evitar novos escândalos fi nanceiros, 
como os que motivaram a criação do FCPA ( Foreign Corrupt 
Practices Act ) e da SOx (Lei Sarbanes-Oxley), entre outros, nos 
Estados Unidos, mas que ainda ocorrem nos dias, como no es-
cândalo dos subprimes americanos, no fi nal da década passada. 
 No mercado de tecnologia da informação atual, um dos 
setores que mais cresce é o de ferramentas e aplicações para 
suportar e automatizar a gestão da governança, dos riscos e da 
conformidade, e o gestor de segurança da informação só tem a 
ganhar com esse movimento. 
 4.5 EQUAÇÃO DO RISCO 
 Detalhando um pouco mais o aspecto da gestão de riscos, é 
razoável avaliar que cada negócio, independentemente de seu 
segmento de mercado e seu core business , possui dezenas, 
talvez centenas de variáveis que se relacionam direta e indi-
retamente com a defi nição do seu nível de risco. Sabendo-se 
que, pela defi nição da ISO 31000, risco é o efeito da incerteza 
nos objetivos, podendo ser esse efeito positivo ou negativo, 
identifi car essas variáveis passa a ser a primeira etapa do desafi o 
de implementação de um processo efetivo de gestão de riscos. 1 
 Interpretação da equação 
 O risco é a probabilidade de que agentes, que são as ameaças , 
explorem vulnerabilidades , expondo os ativos a perdas de confi -
dencialidade, integridade e disponibilidade, e causando impactos 
nos negócios. Esses impactos são limitados por medidas de 
segurança que protegem os ativos, impedindo que as ameaças 
explorem as vulnerabilidades, diminuindo, assim, o risco. 
 FIGURA 4.5 
 Diagrama da equação do risco de segurança da informação. 
 1 No contexto da segurança da informação, dificilmente se avalia o viés 
 positivo dos riscos. 
C0020.indd 56C0020.indd 56 06/11/13 9:24 AM06/11/13 9:24 AM
574.6 Comitê corporativo de segurança…
 Por melhor que estejam protegidos os ativos, novas tecnologias, 
mudanças organizacionais e novos processos de negócio podem 
criar vulnerabilidades ou identifi car e chamar a atenção para as já 
existentes. Além disso, novas ameaças podem surgir e aumentar 
signifi cativamente a possibilidade de impactos no negócio. Sendo 
assim, medidas corretivas de segurança precisam ser consideradas, 
pois sempre haverá a possibilidade de um incidente ocorrer, por 
mais que tenhamos tomado todas as medidas preventivas adequadas. 
 Risco tendendo a zero 
 É fundamental que todos tenhamos a consciência de que não 
existe segurança total e, por isso, devemos estar bem estrutura-
dos para suportar mudanças nas variáveis da equação, reagindo 
com velocidade e ajustando o risco novamente aos padrões 
especifi cados como ideais para o negócio. 
 Diante disso, concluímos que não há um resultado R (risco) 
igual para todos. Sempre será necessário avaliar o nível de 
segurança apropriado para cada momento vivido pela empresa, 
como se tivéssemos de nos pesar em períodos regulares para 
defi nir a melhor dose de ingestão calórica (dose de segurança) 
no período, a fi m de buscar aproximação com o peso ideal (nível 
de risco) para o momento. 
 4.6 COMITÊ CORPORATIVO DE SEGURANÇA 
DA INFORMAÇÃO 
 Representando o núcleo concentrador dos trabalhos, o comitê 
corporativo de segurança da informação deve estar, além de 
adequadamente posicionado na hierarquia do organograma, 
formatado a partir da clara defi nição de seu objetivo, estrutura, 
funções, responsabilidades, perfi l dos executores, além da formal 
e ofi cial identifi cação de seus membros, que darão representati-
vidade aos departamentos mais críticos e relevantes da empresa. 
 Reunir gestores com visões do mesmo objeto, mas de pontos 
distintos, é fundamental para a obtenção da nítida imagem dos 
problemas, desafi os e impactos. Por isso, envolver represen-
tantes das áreas tecnológica, de comunicação, comercial, de 
negócios, jurídica, patrimonial, fi nanceira, de auditoria etc. em 
muito agregará para o processo de gestão, de forma a evitar 
confl itos, desperdícios, redundâncias, e o principal: fomentar a 
sinergia da empresa, o que intimamente alinha as suas diretrizes 
estratégicas de curto, médio e longo prazos. 
C0020.indd 57C0020.indd 57 06/11/13 9:24 AM06/11/13 9:24 AM
58 CAPÍTULO 4 Segurança da informação
 Objetivos 
 • Fomentar o modelo de gestão corporativa de segurança da 
informação, através de ações distribuídas, porém integradas, 
que têm abrangência física, tecnológica e humana, e in-
terferem em todos os processos de negócio mantenedores 
da operação da empresa. 
 • Analisar, através de equipe multidisciplinar e multidepar-
tamental com representatividade no comitê, os resultados 
parciais e fi nais das ações, de forma a medir efeitos, compa-
rá-los às metas defi nidas e realizar ajustes no plano diretor 
de segurança, adequando-o à nova realidade gerada pela 
mudança de variáveis internas e externas. 
 • Interagir constantemente com o comitê executivo e o co-
mitê de auditoria, buscando sinergia dos macro-objetivos 
da empresa, além de trocar informações ligadas aos índices 
e indicadores de segurança como forma de demonstrar os 
resultados corporativos do comitê de segurança. 
 • Alinhar e defi nir ações para os comitês interdepartamentais 
que deverão agir localmente de forma distribuída, coletando, 
commaior riqueza de detalhes, os fatos relacionados aos as-
pectos físicos, tecnológicos e humanos inerentes à sua esfera 
e abrangência. 
 FIGURA 4.6 
 Cenários da integração de visões distintas do mesmo objeto (visão 
do farol). 
C0020.indd 58C0020.indd 58 06/11/13 9:24 AM06/11/13 9:24 AM
59
 Coordenador do comitê corporativo de segurança 
da informação 
 Security Offi cer 
 Estrutura básica do comitê 
 • Coordenação geral de segurança 
 • Coordenação de segurança 
 • Controle 
 • Planejamento e avaliação 
 • Execução 
 Em função da amplitude da atuação do comitê corporativo, 
empresas de grande porte que têm um modelo de gestão dis-
tribuído e bem pulverizado passam a necessitar de “células” de 
segurança distribuídas pela empresa e localizadas em departa-
mentos ou unidades mais representativas e críticas. Essas células 
recebem o nome de comitês interdepartamentais de segurança 
da informação e mantêm, em sua estrutura, as mesmas quatro 
últimas funções e responsabilidades que se aplicam ao comitê 
corporativo de segurança. O que os distingue nessa dimensão 
são a abrangência e a esfera de atuação que correspondem, res-
pectivamente, à gestão tático-operacional e à gestão estratégica. 
 Dessa forma, passam a ter uma relação de dependência e 
sinergia, em que os comitês interdepartamentais se reportam 
4.6 Comitê corporativo de segurança…
 FIGURA 4.7 
 Interação do comitê com as ações corporativas e os comitês 
interdepartamentais. 
C0020.indd 59C0020.indd 59 06/11/13 9:25 AM06/11/13 9:25 AM
60 CAPÍTULO 4 Segurança da informação
ao comitê corporativo, que, por sua vez, os mantêm alinhados 
às definições estratégicas de segurança e da empresa como 
um todo. 
 Estrutura, funções e responsabilidades 
 • Coordenação geral de segurança 
 • Mobilizar corporativamente as áreas associadas 
 • Deliberar medidas e contramedidas corporativas 
 • Defi nir índices, indicadores e metas estratégicas 
 • Coordenação de segurança 
 • Coordenar as subfunções do coordenador geral de 
segurança 
 • Avaliar os resultados alcançados 
 • Propor mudanças 
 • Propor medidas e contramedidas 
 • Mobilizar os gestores críticos associados 
 • Planejamento e avaliação 
 • Elaborar relatórios gerenciais sobre os resultados 
alcançados 
 • Elaborar propostas de projetos específi cos de segurança 
 FIGURA 4.8 
 Relação de comitês contextualizada a empresas de grande porte 
e modelo de gestão distribuído. 
C0020.indd 60C0020.indd 60 06/11/13 9:25 AM06/11/13 9:25 AM
61
 • Promover palestras de conscientização e manutenção 
do conhecimento 
 • Apoiar consultivamente o coordenador geral 
 • Controle 
 • Conduzir ações de auditoria e monitoramento 
 • Analisar métricas dos índices e indicadores 
 • Realizar análises de risco 
 • Treinar a função de execução no manuseio dos índices 
e indicadores 
 • Execução 
 • Cumprir e fazer cumprir a política de segurança nos 
ambientes associados 
 • Informar à função controle os resultados dos índices 
e indicadores 
 • Responder a questões de auditoria 
 • Registrar ocorrências de quebra de segurança 
reportando-as à função controle 
 • Executar medidas e contramedidas de segurança 
4.6 Comitê corporativo de segurança…
 FIGURA 4.9 
 Macrodiagrama de estrutura. 
C0020.indd 61C0020.indd 61 06/11/13 9:25 AM06/11/13 9:25 AM
62 CAPÍTULO 4 Segurança da informação
 Perfi l dos executores 
 • Coordenação geral de segurança 
 • Security Offi cer com apoio de diretores e seus 
representantes 
 • Coordenação de segurança 
 • Gestor de segurança 
 • Planejamento e avaliação 
 • Consultor de segurança 
 • Consultor de contingência 
 • Analista de segurança 
 • Assistente de segurança 
 • Controle 
 • Auditor de segurança 
 • Gerente de Risco 
 • Monitor de segurança 
 • Execução 
 • Administrador de rede 
 • Gestor de desenvolvimento 
 • Gestor de produção 
 • Gestor de aplicação 
 • Gestor de segurança física 
 • Suporte a tecnologias 
 FIGURA 4.10 
 Macrodiagrama funcional. 
C0020.indd 62C0020.indd 62 06/11/13 9:25 AM06/11/13 9:25 AM
634.7 Papel do Security Offi cer
 4.7 PAPEL DO SECURITY OFFICER 
 O Security Officer , atuando como eixo central na função de 
coordenação geral do comitê corporativo de segurança da 
informação, tem papel substancial para o sucesso do modelo. 
É quem recebe toda a pressão da empresa diante dos resul-
tados e quem é demandado a adequar o nível de controle e, 
portanto, o nível de segurança para suprir as demandas do 
negócio. 
 Diante do porte de seu desafi o, o profi ssional que ocupa 
essa posição tem de estar estritamente verticalizado às fun-
ções associadas, sem compartilhamento de foco e, para tal, 
não basta ter perfi l tecnológico extremo. Esse executivo deve 
ser multiespecialista, ter uma visão completa e horizontal da 
segurança da informação a partir de conceitos sólidos, co-
nhecimento abrangente das disciplinas de GRC, além de pos-
suir ricos fundamentos de gestão de projetos, coordenação de 
equipes e liderança. Tem de ser verdadeiramente executivo, 
em toda a amplitude da palavra, alimentando com sabedoria os 
relacionamentos interpessoais, sempre em busca da conquista 
de comprometimento. 
 Seu fator crítico de sucesso é manter o alinhamento e o foco 
nas características e necessidades no negócio, conhecendo-o 
profundamente e preocupando-se em ajustar constantemente 
seu plano de ação às premissas e defi nições estratégicas da 
empresa. 
 Como todo executivo, deve estar orientado a resultados, o 
que pode ser entendido nessa dimensão por fomentar a obtenção 
do melhor retorno sobre os investimentos em segurança, levando 
a empresa a operar sob risco controlado, além de prepará-la para 
gerir dinamicamente a segurança, preparando-a para os atuais 
e futuros desafi os. 
 Fatores importantes para o adequado exercício 
da atividade de Security Offi cer 
 • Conhecer o negócio da empresa. 
 • Conhecer o segmento de mercado. 
 • Conhecer o Business Plan da empresa. 
 • Conhecer as expectativas do corpo executivo em relação à 
sua atividade. 
C0020.indd 63C0020.indd 63 06/11/13 9:25 AM06/11/13 9:25 AM
64 CAPÍTULO 4 Segurança da informação
 Macrodesafi os do Security Offi cer 
 • Compreender as fronteiras de autoridade. 
 • Adequar o plano de ação ao budget da segurança. 
 • Acompanhar as mudanças culturais da empresa. 
 • Identifi car, no mercado, profi ssionais preparados. 
 • Organizar as demandas de segurança do negócio. 
 • Gerenciar mudanças físicas, tecnológicas e humanas. 
 4.8 COMO CONDUZIR INTERNAMENTE 
A NEGOCIAÇÃO 
 Antes de pensar na forma, será preciso definir os assuntos 
que efetivamente sensibilizam o executivo, fazendo-o não só 
compreender os desafios ligados à segurança, mas também 
sua importância para o desenvolvimento de seu negócio, bem 
como envolvê-lo de tal forma, que se sinta corresponsável pela 
superação do desafi o e sucesso da iniciativa. 
 FIGURA 4.11 
 Security Offi cer como eixo do comitê corporativo e, 
consequentemente, do modelo de gestão de segurança. 
C0020.indd 64C0020.indd 64 06/11/13 9:25 AM06/11/13 9:25 AM
654.8 Como conduzir internamente a negociação
 Alinhados os objetivos, é preciso tocar nos pontos que o 
sensibilizem, nos assuntos que convirjam e estejam em sintonia 
com suas expectativas e seus maiores interesses. É como se 
adaptássemos a linguagem, ora técnica, ora gerencial, para outra, 
contextualizada, que tornasse tangíveis os resultados de curto, 
médio e longo prazos da solução de segurança.Estou falando 
de números. Nada melhor do que a linguagem dos números e 
dos gráfi cos para se fazer entender na restrita janela de tempo 
que o executivo nos concederá. 
 Use a projeção de slides para conduzir a explanação, mas 
com moderação, sem sobrecarregar em quantidade e evitando 
poluí-los com informação desnecessária. Procure passar men-
sagens claras e consistentes. Compare o cenário atual com o 
cenário projetado, resultante da solução de segurança proposta. 
Organize seus maiores desafi os e os associe com os benefícios 
diretos e indiretos da segurança. Projete uma análise de ROI, 
mesmo que tenha abrangência limitada a ambientes específi cos, 
mas não peque pela inconsistência. Reúna informações reais e 
representativas que demonstrem o valor agregado pela inicia-
tiva. Identifi que — como propõe a lista a seguir — os motivos 
que levariam o executivo a agir voluntariamente, e o conduza à 
postura desejada (última da lista). 
 Principais motivos que levariam os executivos a agir 
 voluntariamente: 
 • Modismo (ação pontual motivada pela opinião pública). 
 • Normativo (ação pontual motivada por regras e 
regulamentos externos). 
 • Ameaça da concorrência (ação pontual motivada por 
espionagem industrial etc). 
 • Medo (ação pontual motivada pela percepção opaca e 
parcial dos riscos). 
 • Desastre (ação pontual reativa motivada por fatos 
consumados). 
 • Visão ampla dos desafi os e percepção do valor agregado 
ao negócio (ação integrada motivada pelo entendimento 
dos benefícios da solução corporativa). 
 É importante considerar que não estaremos diante de pessoas 
com comportamentos e perfi s padronizados, previsíveis. O ser 
humano é uma máquina completa, não binária e, por isso, quanto 
mais informação sobre sua personalidade, sua linha de atuação 
na empresa e seus valores, maior será a efi ciência da aborda-
gem. Contudo, independente de seu perfi l, praticamente todos 
C0020.indd 65C0020.indd 65 06/11/13 9:25 AM06/11/13 9:25 AM
66 CAPÍTULO 4 Segurança da informação
os executivos que estão na diretoria da empresa têm estes as-
suntos em sua agenda de prioridades e objetivos: 
 • Valorizar as ações da empresa. 
 • Viabilizar novos negócios. 
 • Viabilizar a exploração de novos mercados. 
 • Bônus e opção de ações. 
 • Gerar novos produtos e serviços. 
 • Ser pioneiro. 
 • Combater a concorrência. 
 • Aumentar a receita. 
 • Aumentar a lucratividade. 
 • Aumentar a produtividade. 
 • Reduzir o time-to-market . 
 • Reduzir os custos diretos e indiretos. 
 • Reduzir os riscos. 
 • Gerir a relação com investidores. 
 • Dar visibilidade aos resultados. 
 • Fortalecer a imagem e o posicionamento da empresa 
no mercado. 
 Se tivesse a tarefa de sintetizar em uma linha, mesclando todos os 
tópicos apontados anteriormente como importantes, não hesitaria 
em afi rmar que o grande alvo do executivo é o LLE (lucro líquido 
dos exercícios). Assim, associe sempre as ações de segurança aos 
refl exos positivos que poderá causar na última linha do balanço, 
pois ele tem peso redobrado na tomada de decisão. 
 Entretanto, apesar de tantos tópicos e pontos de controle, comu-
mente não se obtém muito tempo do executivo para abordar o as-
sunto; por isso, tenha em mente os fatores críticos de sucesso: agir 
com objetividade, defi nir claramente os impactos proporcionados 
pela falta de segurança revelando o cenário atual, defi nir clara-
mente os benefícios da proposta de segurança revelando o cenário 
projetado e defi nir os montantes de investimentos associados. 
 Pode parecer tarefa fácil depois de tudo isso, mas o principal 
gargalo continua sendo o levantamento de informações reais 
que mensurem os custos e projetem situações de risco que com-
prometam a operação e gerem impactos substanciais ao negócio. 
Em função disso, tem sido constante a execução de um levanta-
mento de segurança superfi cial de abrangência restrita através de 
um teste de invasão, capaz de capturar uma “fotografi a” do am-
biente em determinado período. De posse desses resultados — 
que comumente são positivos pela concretização da invasão —, 
se ganha poder de persuasão e convencimento, aumentando a 
C0020.indd 66C0020.indd 66 06/11/13 9:25 AM06/11/13 9:25 AM
674.9 Sabendo identifi car o parceiro externo
efi ciência da abordagem e as chances de conquista da atenção 
e do comprometimento do alto executivo. 
 Agora é tomar a iniciativa e se preparar para o dia D. 
 4.9 SABENDO IDENTIFICAR O PARCEIRO 
EXTERNO 
 Considerando o dinamismo e a complexidade dos ambientes, a 
heterogeneidade de tecnologias e a diversidade de ameaças, vul-
nerabilidades e riscos, convém repensar sobre o custo × benefício 
de assumir sozinho a responsabilidade pela gestão da segurança. 
 O primeiro aspecto a ser analisado está associado ao inves-
timento que se fará necessário para equipar tecnicamente, formar e 
manter constantemente capacitada uma grande equipe de multies-
pecialistas capazes de suprir todos os atuais e novos desafi os de 
segurança que surgirem. Além disso, não podemos desprezar o fato 
de esses investimentos não estarem diretamente ligados ao core bu-
siness da empresa, fazendo com que se consumam recursos físicos, 
humanos e fi nanceiros desassociados à atividade-fi m da empresa, 
o que o torna desinteressante e, muitas vezes, injustifi cável. 
 Diante disso, surge um novo e difícil desafi o para o Security 
Officer atrelado à busca de empresas capazes de oferecer o 
apoio externo complementar, atuando como uma verdadeira e 
onipresente retaguarda de segurança. 
 Características desejadas na consultoria externa: 
 • Posicionamento e perfi l de consultoria e integradora de 
ferramentas. 
 • Notória especialização em segurança da informação. 
 • Especifi cidade em segurança da informação. 
 • Equipe técnica multiespecialista. 
 • Ação local com visão global. 
 • Estrutura de execução de projetos capaz de viabilizar 
ações simultâneas em paralelo. 
 • Metodologia para dimensionamento de solução que considere 
fundamentalmente as características e desafi os de negócio. 
 • Metodologia específi ca para execução de projetos de 
segurança da informação. 
 • Metodologias em conformidade com as normas 
internacionais ISO 27002, ISO 27005 e ISO 31000. 
 • Presença geográfi ca proporcional ou capaz de atender 
às características da empresa. 
C0020.indd 67C0020.indd 67 06/11/13 9:25 AM06/11/13 9:25 AM
68 CAPÍTULO 4 Segurança da informação
 • Ponto de presença no exterior, viabilizando a absorção 
de experiências, inovações e tendências, e facilitação de 
parcerias e contatos técnicos. 
 • Comprovada experiência em projetos corporativos 
complexos. 
 Tantas virtudes juntas tornam a identifi cação do parceiro uma 
árdua tarefa, principalmente por existirem escassas opções no 
mercado capazes de suportar grandes projetos e, ainda, que te-
nham em seu currículo a competência de orientar suas ações ao 
apurado entendimento do segmento de mercado e das diretrizes 
estratégicas do negócio de forma integrada, através do com-
portamento consultivo. O alvo da busca deve ser um parceiro 
com experiência e em condições de atuar como maestro de 
uma orquestra, em que os metais — formado por especialistas 
seniores em cada tipo de instrumento de sopro — pertençam à 
própria equipe do maestro, em que os percussionistas — também 
da equipe do maestro — usem com harmonia os melhores ins-
trumentos disponíveis no mercado fornecidos por diversos fabri-
cantes e, por último, as cordas, executadas pelos instrumentistas 
da própria empresa, orientados por um músico especialista que 
receba assessoria do maestro. 
 FIGURA 4.12 
 Relação de parceria e retaguarda de segurança. 
C0020.indd 68C0020.indd 68 06/11/13 9:25 AM06/11/13 9:25 AM
694.10 Conformidadecom norma específi ca
 É natural e coerente, em determinado momento, avaliar os no-
vos riscos inerentes à terceirização de parte ou de todas as ações 
de segurança da informação, considerando a acessibilidade de 
ativos físicos e tecnológicos, informações críticas para a empresa 
e o consequente aumento da exposição. Porém, aprofundando um 
pouco mais a avaliação, chegaremos logo à conclusão de que se 
trata de um risco compensador e controlado — se a seleção do 
parceiro foi apropriadamente criteriosa —, capaz de interferir 
positivamente no resultado da relação custo × benefício. 
 4.10 CONFORMIDADE COM NORMA 
ESPECÍFICA 
 Como se pode notar, são muitas as variáveis envolvidas com 
o desafi o corporativo da segurança, e elas tendem a crescer à 
medida que vão surgindo novas tecnologias, novos modelos de 
negócio e inovações no relacionamento comercial. 
 Motivada por isso, em 1995, a comunidade britânica, liderada 
pela Inglaterra, através do BSI (British Standard Institute), criou a 
norma BS 7799, composta de duas partes, em que a primeira parte 
reunia as melhores práticas para o gerenciamento de segurança 
da informação, e a segunda, publicada em 1999, um modelo 
para o estabelecimento do sistemas de gestão de segurança da 
informação (ISMS, na sigla em inglês), sujeito à certifi cação de 
conformidade. À medida que os refl exos da falta de segurança 
no mundo começaram a ser veiculados e a ganhar visibilidade, 
diversos países da comunidade britânica, como Austrália, África 
do Sul e Nova Zelândia, passaram a adotar a norma BS 7799. 
 Considerado o mais completo padrão à época, essa norma 
britânica ganhou visibilidade mundial. Como de costume, apesar 
da reatividade na primeira tentativa de homologação, a ISO (In-
ternational Organization for Standartization) seguiu seus passos 
e, sem “reinventar a roda”, buscou analisar a primeira parte da 
BS 7799, a fi m de construir a sua versão da norma para tratar 
do assunto, chamada ISO/IEC 17799:2000. 
 O processo não demorou muito, e logo a ABNT (Associação 
Brasileira de Normas Técnicas), operando em sintonia com a ISO 
a partir da norma ISO 17799, disponibilizou o projeto na versão 
brasileira para consulta pública. Nesse período, alguns comitês 
de estudos foram criados no país, com importantes representantes 
dos setores público e privado, que puderam tecer comentários e 
sugerir adaptações às necessidades do mercado brasileiro. 
C0020.indd 69C0020.indd 69 06/11/13 9:25 AM06/11/13 9:25 AM
70 CAPÍTULO 4 Segurança da informação
 Em 2005, a ISO e a ABNT renomearam a ISO 17799 bati-
zando-a de ISO 27002, criando assim a família de normas as-
sociadas à gestão da segurança da informação. No mesmo ano 
foi lançada a norma ISO/IEC 27001:2005, que era a versão da 
ISO para a segunda parte da BS 7799, que defi nia o SGSI e a 
possibilidade de certifi cação das empresas pelo estabelecimento 
desse tipo de sistema. 
 Recentemente, em setembro de 2013, a ISO lançou revisões 
das normas ISO 27001 e 27002, atualizando e reorganizando 
seus conteúdos e, principalmente, buscando uma abordagem 
mais fl exível e simplifi cada, a fi m de garantir uma gestão de 
riscos mais efetiva. 
 A norma ISO 27002 (ou sua antepassada BS 7799-1) não tem 
as mesmas características de certifi cação, mas sugere, através de 
um modelo menos formal, a preocupação com aspectos importan-
tes e a utilização de controles que orientem as empresas a reduzir 
seus riscos operacionais, que potencialmente causariam impactos 
nos negócios. Reúne, como em um código de conduta, já defi nido 
no seu título — Código de Prática para a Gestão da Segurança da 
Informação —, os tópicos que devem ser analisados, as melhores 
práticas e, didaticamente falando, aponta “O QUE” fazer, sem se 
preocupar com os detalhes associados ao “COMO” fazer. 
 O objetivo principal da norma é orientar e, a partir disso, criar 
uma sinergia entre as empresas que estão diante do desafi o do 
gerenciamento da segurança da informação. Dessa forma, foi 
possível buscar uma “base comum” para o desenvolvimento de 
normas que as fortalecesse e as tornasse compatíveis sob o aspecto 
de segurança, agregando valor ao processo mercadológico, através 
da redução dos riscos de todos os elementos da cadeia produtiva, 
provendo confi ança nos relacionamentos entre as organizações. 
 Todas as versões da norma, inclusive a brasileira, que poucas 
alterações incorporou, tratam de aspectos bem abrangentes, mas 
girando sempre no eixo dos principais conceitos de segurança: 
confi dencialidade, integridade e disponibilidade. 
 Abrangente, apesar da superfi cialidade de suas recomenda-
ções, a norma representa um importante instrumento sinalizador 
da direção para as empresas preocupadas com a operação de seu 
negócio e a proteção das informações que o sustenta. 
 “Esta Norma pode ser considerada como o ponto de partida 
para o desenvolvimento de recomendações específi cas para a 
organização. Nem todas as recomendações e os controles desta 
Norma podem ou devem ser integralmente aplicados. Além 
disso, controles adicionais não incluídos nesta Norma podem ser 
necessários e complementares. Quando isso acontecer pode ser 
C0020.indd 70C0020.indd 70 06/11/13 9:25 AM06/11/13 9:25 AM
714.10 Conformidade com norma específi ca
útil manter uma referência cruzada para facilitar a verifi cação 
da conformidade por auditores e parceiros de negócio.” 
 Conforme o texto transcrito da norma, pode-se notar a 
preocupação em desvincular a norma do sentido fi gurado de 
um TRILHO, atribuindo à mesma o papel figurado de uma 
TRILHA, capaz de apontar a direção sem, no entanto, gerar obri-
gatoriedade e padronização infl exível, que certamente não seria 
compatível com o dinamismo das empresas, seus ambientes e 
as mudanças em seus ativos físicos, tecnológicos e humanos. 
 A norma ISO 27002, já considerando a versão 2013, possui 18 
seções, sendo as quatro primeiras consideradas introdutórias e as 
demais 14 seções (ou domínios) organizadas em 35 objetivos de 
controles que se expandem em um total de 114 controles sugeridos. 
A norma serve como apoio e detalhamento dos aspectos neces-
sários à implementação do SGSI conforme descrito na ISO 27001. 
 Lembrete 
 A BS 7799-1:1995 gerou a NBR ISO/IEC 17799:2000, 
posteriormente, a NBR ISO/IEC 27002:2005 e, na sequência, 
a NBR ISO/IEC 27002:2013. 
 A BS 7799-2:1999 gerou a NBR ISO/IEC 27001:2006 e, na 
sequência, a NBR ISO/IEC 27001:2013. 
 Tendência 
 Assim como ocorreu com a norma de qualidade ISO9000, que 
gradativamente foi ganhando a confi ança e a credibilidade das 
empresas em todos os segmentos e ramos de atividade, temos 
identifi cado nos últimos anos um novo movimento no meio cor-
porativo em busca de sintonia, conformidade e, consequentemen-
te, certifi cação com base na norma de segurança da informação. 
 À medida que os primeiros e importantes players do merca-
do iniciaram o movimento, logo vimos diversos outros serem 
abalroados pela positiva febre de adequação e conformidade. 
A preocupação com a segurança da informação já transcende o 
aspecto tecnológico e os limites físicos e lógicos da empresa, 
indo buscar — e, posteriormente, cobrar — a mesma sintonia 
e conformidade com os demais parceiros da cadeia produtiva. 
 Diante desse quadro, não é adequado que sua empresa seja 
a última a se mexer. Se você não foi pioneiro, não seja atrasado 
e extraia dela — que já é uma das principais reestruturações das 
empresas neste século — os benefícios atrelados a esse ainda im-
portante e poderoso diferencial competitivo para o seu negócio, 
mas que brevemente poderá passar de diferencial a obrigação. 
C0020.indd 71C0020.indd 71 06/11/13 9:25 AM06/11/13 9:25 AM
72 CAPÍTULO 4 Segurança da informação
 4.11 NORMA VERSUS METODOLOGIA 
 O fato de já existirem normas nacionais e internacionais que 
rezem sobre o código de conduta para o gerenciamento da se-
gurança da informação não soluciona por completo o desafio 
que as empresas enfrentam. Isso acontece porque a norma tem 
o nítido papel de apenas apontar os aspectos que merecem aten-
ção, indicando O QUE fazer para o adequado gerenciamento 
sem, no entanto, indicar com precisão metodológica COMO se 
deve realizar as atividades. 
 É o mesmo que sermos instruídos a realizar com periodicida-
de anual um check-up de nosso estado de saúde, considerando os 
sistemas respiratório, circulatório, digestivo etc., sem que saiba-
mos exatamente como fazê-lo, senão procurar um especialista. 
Este, por sua vez, detendo a especifi cidade, vai aplicar toda a 
sua base de conhecimento seguindo, com riqueza de detalhes 
e precisão inerentes à atividade, uma metodologia própria, um 
grande “manual” que lhe permitirá considerar todos os pontos 
importantes para análise e lhe apontará as ferramentas mais 
apropriadas para cada tipo de exame. 
 É, na verdade, um desdobramento com procedimentos 
baseados em uma norma maior, como a ISO, que apontará a 
forma como os exames, ou melhor, as atividades devem ocorrer, 
como os instrumentos devem ser manipulados e, ainda, como os 
resultados devem ser interpretados para uma consistente inter-
pretação do estado de saúde e posterior sugestão de tratamento 
e medicamento. 
 Portanto, de nada adiantará estar ciente dos controles e as-
pectos apontados por uma norma de segurança se você não 
dispuser de uma metodologia condizente e consistente, capaz 
de orientar as atividades, transformando-as em resultados reais 
ligados à redução dos riscos. 
 No tempo em que as empresas viviam um grau de exposição 
baixo (em função da baixa informatização, conectividade e 
compartilhamento) e a percepção de segurança não transcendia 
os aspectos físicos, a necessidade de uma metodologia era pouco 
percebida. Contudo, à medida que os riscos, as ameças e os 
impactos foram se tornando mais presentes e representativos, e 
houve uma percepção mais apurada e correta de que a segurança 
não se limita à tecnologia, mas considera também os aspectos 
físicos e humanos, o volume de problemas e as vulnerabili-
dades cresceram exponencialmente. Os levantamentos e im-
plementações passaram, então, a ser mais profundos, apurados 
C0020.indd 72C0020.indd 72 06/11/13 9:25 AM06/11/13 9:25 AM
734.11 Norma versus metodologia
e, consequentemente, o aumento proporcional da massa crítica 
resultante tornou o processo de análise e gestão ainda mais 
complexo. Diante disso, adotar uma metodologia passou a ser 
fator crítico de sucesso para subsidiar o cada vez mais complexo 
plano de ação, ou melhor, o plano diretor de segurança. 
 Exemplos de ferramentas metodológicas: 
 • Formulário para mapeamento de vulnerabilidades 
 • Formulário para mapeamento de processos de negócio 
críticos 
 • Formulário para orientação na condução de entrevistas 
 • Planilha para identifi cação de ativos físicos, tecnológicos 
e humanos 
 • Planilha para estudo de sensibilidades à quebra de 
segurança 
 • Instrumento para mapeamento topológico 
 • Matriz de criticidade para priorização das ações 
 • Matriz de tolerância à paralisação 
 Diferentemente da norma que se propõe a orientar a todos no 
sentido de construir uma base comum de conduta, não haverá 
uma única e recomendada metodologia. Surgirão muitas delas 
simultaneamente pelas mãos de muitas empresas em diversos 
países, mas todas deverão estar alinhadas às diretrizes da nor-
ma sem deixar de serem adaptadas e contextualizadas a cada 
mercado, considerando a cultura local e as variáveis internas e 
externas que interferem na empresa. 
 De fato, hoje temos diversos sistemas e aplicações no merca-
do que ajudam a automatizar esse processo, seja no universo da 
segurança, voltados à implementação de controles de tecnologia 
da informação, seja no abrangente universo do GRC. 
 Por fi m, já é possível notar que, depois de aplicadas suces-
sivamente, exercitadas e constantemente adaptadas ao longo do 
tempo, algumas dessas ferramentas acabaram por ganhar maior 
visibilidade e destaque, tornando-se referências internacionais, 
adotadas por diversas empresas. Para referência, sugerimos 
consultar, por exemplo, os documentos do Gartner Institute e 
do Forrester Research sobre o mercado de GRC. 
C0020.indd 73C0020.indd 73 06/11/13 9:25 AM06/11/13 9:25 AM
C0020.indd 74C0020.indd 74 06/11/13 9:25 AM06/11/13 9:25 AM
75
CAPÍTULO
 5 Knowledge Checkpoint 2 
 Este ponto de checagem de conhecimento é uma breve e objetiva 
consolidação dos conceitos abordados em cada seção do livro 
com o objetivo de reforçar o processo de absorção do conteúdo 
relevante. 
 Conceitos de segurança 
 CONCEITO: Conceitos sólidos e seu claro entendimento são 
a matéria-prima que implicará a qualidade e o resultado dos 
trabalhos. 
 Teoria do perímetro 
 CONCEITO: Saber segmentar os ativos físicos, tecnológicos 
e humanos de acordo com a similaridade de sua criticidade e 
importância (valor para o negócio) é a base para a especifi cação 
e a aplicação dos controles certos que oferecerão o nível de 
proteção adequado a cada perfi l e necessidade. 
 Barreiras da segurança 
 CONCEITO: Conhecer as barreiras da proteção e buscar sinergia 
entre elas não é sufi ciente sem um diagnóstico capaz de associar 
ativos e processos de negócio, transcendendo o mapeamento de 
falhas tecnológicas e identifi cando os riscos da empresa pela 
análise do trinômio pessoas, tecnologia e processos. 
 GRC 
 CONCEITO: GRC é um acrônimo que descreve uma aproxi-
mação organizacional integrada para a governança, garantia 
e a gestão da performance , riscos e conformidade (OCEG), 
a fim de assegurar o atingimento dos objetivos, sem perder 
o foco quanto às incertezas existentes e agindo sempre com 
integridade. A gestão do risco e da conformidade se aproxima 
de maneira muito clara da gestão da segurança da informação, 
principalmente no que tange ao estabelecimento de controles, 
C0025.indd 75C0025.indd 75 06/11/13 9:39 AM06/11/13 9:39 AM
76 CAPÍTULO 5 Knowledge
enquanto a governança garante o equilíbrio e a associação com 
os objetivos de negócio. 
 Equação do risco 
 CONCEITO: Cada empresa terá a sua equação de risco per-
sonalizada. Um verdadeiro painel de controle que sinalizará 
situações de risco controlado, situações de risco fl utuante e, 
ainda, situações de risco intolerante. 
 Comitê corporativo de segurança da informação 
 CONCEITO: Espinha dorsal, o comitê corporativo deve ser 
consistente, dinâmico e fl exível para representar ofi cialmente os 
interesses da empresa perante os desafi os do negócio. 
 Papel do Security Offi cer 
 CONCEITO: Explicite as responsabilidades do Security Offi -
cer para com o resultado, mas municie-o adequadamente para 
viabilizar sua atividade. 
 Como conduzir internamente a negociação 
 CONCEITO: Conquistar o comprometimento da diretoria da 
empresa é condição sine qua non para obter o dimensionamento 
apropriado dos recursos fi nanceiros que irão subsidiar a estrutura 
mantenedora do modelo de gestão corporativa de segurança da 
informação; por isso, seja convincentemente consistente para 
fazê-la perceber a segurança como investimento, e não como 
despesa. 
 Sabendo identifi car o parceiro externo 
 CONCEITO: A escolha do parceiro que cumprirá o papel de 
retaguarda de segurança defi nirá o sucesso ou o insucesso da 
iniciativa; por isso, reúna informações particulares sobre o can-
didato que ratifi quem sua notória especialização, sua experiência 
e, principalmente, seu comprometimento com os resultados 
corporativos fi nais e alinhado às diretrizes estratégicas do ne-
gócio. Afi nal, ninguém procura qualquer médico quando tem 
de operar o coração. 
 Conformidade com norma específi ca 
 CONCEITO: Ao se estruturar para gerir a segurança da infor-
mação a partir de um modelo dinâmico e fl exível, é fundamental 
acompanhar os movimentos do mercado local, de seus parceiros 
na cadeia produtiva e,também, os movimentos internacionais. 
Procure estar em sinergia com os conceitos e as iniciativas de 
C0025.indd 76C0025.indd 76 06/11/13 9:39 AM06/11/13 9:39 AM
77 Knowledge
 normalização nacionais e internacionais, a fi m de lhe proporcio-
nar o melhor retorno sobre o investimento e ainda lhe permitir 
usufruir da posição de destaque ímpar. 
 Norma × metodologia 
 CONCEITO: Orientado pela norma de segurança, não inicie 
as atividades sem que sejam baseadas em uma metodologia 
condizente, mesmo que — em hipótese — você tenha de de-
senvolvê-la ou tenha de identifi car no mercado alguma que es-
teja sendo bem-sucedida, ou tenha de verifi car se seu parceiro 
externo dispõe de uma metodologia consistente com histórico 
positivo. 
C0025.indd 77C0025.indd 77 06/11/13 9:39 AM06/11/13 9:39 AM
C0025.indd 78C0025.indd 78 06/11/13 9:39 AM06/11/13 9:39 AM
79
CAPÍTULO
 6 Orientação ao Security Offi cer 
 Depois de termos depurado, nos capítulos anteriores, os as-
pectos mais relevantes para conduzir as empresas, ajudando-as 
a atingir o sucesso e a superar os desafi os de gerir a segurança da 
informação, chega o momento de explorarmos alguns assuntos 
mais práticos, orientando o executivo responsável por toda a 
coordenação do processo: o Security Offi cer . 
 6.1 SOLUÇÃO CORPORATIVA DE SEGURANÇA 
DA INFORMAÇÃO 
 Talvez ainda haja dúvidas quanto à expressão — e não é para 
menos, afi nal, muitas peças do quebra-cabeça foram identifi -
cadas até esta etapa do livro, mas ainda não as reunimos para 
formar uma imagem única. Chegou a hora de fazê-lo. 
 Devemos chamar de solução corporativa de segurança da 
informação o resultado da criação de uma estrutura corpo-
rativa adequadamente posicionada no organograma, chamada 
comitê corporativo de segurança da informação, baseado em 
um modelo de gestão dinâmico, com autonomia e abrangência, 
coordenado por um executivo em ação focada, intitulado Secu-
rity Offi cer . Este, apoiado por equipe própria ou terceirizada na 
esfera tático-operacional e por representantes de departamentos 
ou gestores dos processos críticos em esfera executiva, todos 
orientados por um plano diretor de segurança desenvolvido 
sob medida e alinhado às diretrizes estratégicas do negócio, 
organizará as atividades em busca da adoção de controles que 
conduzam os riscos ao patamar operacional defi nido como ideal. 
Dessa forma, estará viabilizando o melhor retorno sobre o inves-
timento, refl etindo, consequentemente, em maior valor agregado 
para o negócio, onde se lê: maior lucro líquido do exercício. 
C0030.indd 79C0030.indd 79 06/11/13 5:45 PM06/11/13 5:45 PM
80 CAPÍTULO 6 Orientação ao Security Offi cer
 Talvez algumas palavras nos ajudem a compreender tamanha 
complexidade e, se tivesse de escolher uma para representar o 
macrodesafi o da solução de segurança — capaz de sinalizar 
todos os aspectos associados — seria: CONTROLE. 
 Pronto. Controle é tudo o que se quer — sob a ótica da 
aplicação — efetivamente para administrar as vulnerabilida-
des e reduzir os riscos. É com controle que será possível, por 
exemplo, autorizar ou bloquear pessoas que tentarem entrar em 
ambientes físicos restritos; registrar as tentativas de acesso ao 
site da Internet; mensurar o prejuízo causado por ocorrências 
de quebra de segurança; inibir tentativas de ataque ao roteador; 
evitar o descarte de material crítico impresso sem cuidados 
adequados; sinalizar a queda de produtividade dos funcionários; 
apontar as melhores práticas para transportar informações em 
meio magnético; impedir tentativas de sabotagem e fraude; 
realizar e medir a efi ciência de treinamentos de conscientização 
e capacitação de técnicos e usuários da rede corporativa; e reagir 
com velocidade e efi ciência em situações de crise e quebra de 
segurança previsíveis e, muitas vezes, inevitáveis etc. 
 Muitos, erroneamente, teriam escolhido a palavra BLO-
QUEIO ou PROIBIÇÃO, mas, na verdade, o principal objetivo 
de uma solução de segurança corporativa está na especifi cação 
e aplicação de mecanismos de controle que conduzam os riscos 
 FIGURA 6.1 
 Visão em cascata da solução corporativa de segurança 
da informação e seus resultados tangíveis. 
C0030.indd 80C0030.indd 80 06/11/13 5:45 PM06/11/13 5:45 PM
816.1 Solução corporativa de segurança…
ao patamar predefi nido como ideal para a empresa (e este varia 
de empresa para empresa), a fi m de evitar e minimizar impactos 
no negócio em tempo de manuseio, armazenamento, transporte 
e descarte de informações. 
 Outra palavra que poderá nos ajudar e igualmente impor-
tante para a segurança é SEGMENTAÇÃO. Considerando as 
particularidades que diferenciam uma empresa de outra e, ainda, 
considerando que uma única empresa dispõe de informações com 
importâncias e valores distintos, fl uindo por diversos ambientes 
e sustentando processos de negócio, chegamos à conclusão de 
que os perímetros físicos, tecnológicos e humanos dessa empresa 
necessitarão de níveis de segurança diferentes, sempre procurando 
identifi car e aplicar a “dose” ideal. Dessa forma, sabendo segmentar 
inteligentemente a empresa e reunir as peças, ou seja, as atividades 
que irão compor a solução, estaremos viabilizando a efetiva redução 
de riscos e o real aumento da segurança do negócio, sem depreciar 
seus processos comerciais, produtivos etc., com burocracia dema-
siada, perda de agilidade e competitividade (consulte a Figura 6.2 ). 
 Objetivo 
 A solução pode ser muito bem percebida — sob a ótica da 
aplicação — como um grande jogo de peças de montar que 
se encaixam suavemente, se bem moldadas e orientadas pelo 
 “gabarito” personalizado do plano diretor de segurança. Reuni-
das, formarão um mosaico, uma estrutura sólida, porém fl exível 
e dinâmica, que dará sustentação para a empresa construir um 
 FIGURA 6.2 
 Visão fi gurada dos estágios e do principal objetivo da solução 
corporativa de segurança da informação. 
C0030.indd 81C0030.indd 81 06/11/13 5:45 PM06/11/13 5:45 PM
82 CAPÍTULO 6 Orientação ao Security Offi cer
modelo de gestão contextualizado de modo a superar os atuais 
e reagir adequadamente aos futuros desafi os associados ao con-
trole do risco de segurança da informação. 
 As peças são atividades ou projetos com os mais diversifi ca-
dos propósitos e de naturezas distintas. Seguindo o modelo de 
organização proposto pela ISO 27002, inspirado originalmente 
no modelo PDCA adotado na ISO 9001 e que tem sinergia com 
os estudos conceituais da segurança, temos as seguintes fases: 
 • PLAN (planejamento) 
 • DO (implementação) 
 • CHECK (análise) 
 • ACT (monitoramento) 
 É importante notar que essas quatro fases são aplicáveis na organiza-
ção de todas as atividades que fazem parte da solução de segurança, 
bem como devem orientar as subatividades (consulte a Figura 6.3 ). 
 Em um exercício, podemos dizer que é necessário planejar as 
ações executivas (plano diretor de segurança) para realizar inves-
timentos adequados e organizar o Security Offi ce . Da mesma forma, 
é preciso analisar os fatores de risco do negócio que apontarão as 
características e levantarão informações para apoiar o dimensio-
namento das ações. Implementar os controles físicos, tecnológicos 
e humanos é a próxima etapa, seguida da fase de monitoramento, 
que fará a ligação com a primeira, subsidiando-a com informações 
de novas falhas, ameaças e riscos (consulte a Figura 6.4 ). 
 FIGURA 6.3 
 Visão da aplicabilidade do modelo PDCA nos diversos níveis. 
C0030.indd 82C0030.indd 82 06/11/13 5:45 PM06/11/13 5:45 PM
83
 Descendo mais um nível, o das atividades que compõem 
cada uma das quatro fases, veremos, mais uma vez, a aplicabi-
lidade do mesmo modelo. Recorrendo novamente ao exercício, 
podemos planejar o escopo e as subatividades executadas em 
uma análise de riscos, analisar os resultados obtidos durante as 
entrevistas (análises físicase análises técnicas), implementar as 
medidas emergenciais e, por fi m, monitorar os índices e indica-
dores que poderão alterar o nível de risco do escopo da análise. 
 Fases 
 Planejar (Plan) 
 Compreende atividades que objetivam defi nir arquiteturas, 
ações, atividades, alternativas de continuidade e critérios, 
abrangendo todo o ciclo de vida da informação: manuseio, 
armazenamento, transporte e descarte, aplicáveis desde os 
níveis mais estratégicos aos operacionais, que servirão como 
orientador. 
 • Plano diretor de segurança 
 • Plano de continuidade de negócios 
 • Política de segurança da informação 
 Analisar (Check) 
 Compreende atividades que buscam gerar um 
diagnóstico de segurança, através do mapeamento e da 
identifi cação de particularidades físicas, tecnológicas e 
6.1 Solução corporativa de segurança…
 FIGURA 6.4 
 Macrofl uxo das atividades. 
C0030.indd 83C0030.indd 83 06/11/13 5:45 PM06/11/13 5:45 PM
84 CAPÍTULO 6 Orientação ao Security Offi cer
humanas da empresa como um todo ou de perímetros 
menores, vulnerabilidades, ameaças, riscos e impactos 
potenciais que poderão se refl etir no negócio. 
 • Análise de riscos 
 • Teste de invasão 
 Implementar (Do) 
 Compreende atividades que aplicam mecanismos 
de controle nos ativos físicos, tecnológicos e humanos, 
que possuem vulnerabilidades, buscando eliminá-las — 
quando possível e viável — ou administrá-las, a fi m de 
aumentar o nível de segurança do negócio. É a fase que 
materializa as ações tidas como necessárias no diagnóstico 
e organizadas pelo planejamento. 
 • Implementação de controles de segurança 
 • Treinamento e sensibilização em segurança 
 Monitorar (Act) 
 Compreende atividades que visam gerir o nível de 
segurança, através de dispositivos que monitoram índices 
e indicadores, canalizando novas percepções de mudança 
física, tecnológica e humana que provocam oscilação do 
grau de risco, a fi m de adequar as ações de segurança ao 
contexto. É a fase que representa o elo de ligação com 
as demais, formando um ciclo contínuo, dando vida ao 
verdadeiro processo de gestão dinâmica. 
 • Equipe para resposta a incidentes 
 • Administração e monitoração de segurança 
 FIGURA 6.5 
 Exemplo de encadeamento das atividades. 
C0030.indd 84C0030.indd 84 06/11/13 5:45 PM06/11/13 5:45 PM
856.2 Plano diretor de segurança
 Por causa da própria natureza das atividades, existe uma se-
quência natural de execução fazendo seus produtos fi nais se 
integrarem uns aos outros, alimentando a próxima atividade e 
ligando a última etapa à primeira, de forma a estabelecer um ci-
clo contínuo de manutenção do risco. Podemos ver no diagrama 
do exemplo o momento em que as necessidades e as caracterís-
ticas corporativas foram analisadas, gerando um plano diretor de 
segurança, que, por sua vez, foi suportado pela implementação 
de um comitê de segurança/ Security Offi ce . Em seguida, es-
tabeleceu-se um conjunto de critérios, índices, indicadores e 
métricas para monitoração que fomentaram a criação do sistema 
de gestão de segurança da informação. 
 Pelo papel fundamental exercido pelo plano diretor de se-
gurança, o exploraremos, com riqueza de detalhes, no próximo 
capítulo. 
 É importante notar que as atividades de caráter executivo, 
ou de abrangência corporativa, servirão de norte para todas 
as demais atividades que ocorrerão nos outros perímetros da 
empresa. Essa sinergia permite a integração dos trabalhos, 
evita redundâncias, desproporcionalidades de investimento 
e, principalmente, que se implemente o conceito de building 
bloks . Dessa forma, a empresa poderá desmembrar as ações 
de segurança em partes integráveis que, aos poucos, vão cons-
truindo um modelo de gestão de abrangência corporativa. 
 Esse movimento está intimamente ligado com o sistema de 
gestão proposto e em sintonia com ele pela norma ISO 27001: 
ISMS ( Information Security Management System ou sistema de 
gestão de segurança da informação). 
 6.2 PLANO DIRETOR DE SEGURANÇA 
 Planejamento é o fator crítico de sucesso para a iniciativa de 
gerir a segurança da informação, e o plano diretor de segurança 
é justamente o elemento específi co para esse fi m. Mais do que 
uma rubrica orçamentária destinada a investimentos tecnológi-
cos, como sugere o já tradicional plano diretor de informática, 
o PDS tem de ser dinâmico e fl exível para suportar as novas 
necessidades de segurança que surgem em virtude da velocidade 
em que o contexto corporativo muda. 
 Didaticamente falando, o plano diretor de segurança repre-
senta a bússola que vai apontar o caminho e os passos (atividades) 
que formarão o mosaico da solução e suprir as necessidades de 
C0030.indd 85C0030.indd 85 06/11/13 5:45 PM06/11/13 5:45 PM
86 CAPÍTULO 6 Orientação ao Security Offi cer
segurança do negócio, conduzindo-o a operar sob risco controla-
do. É importante perceber que essa bússola deve ser especifi cada 
sob medida para cada empresa. Não há um modelo de plano que 
seja capaz de atender a todo tipo de empresa, por mais que sejam 
empresas do mesmo porte e do mesmo segmento de mercado. 
Existem particularidades intrínsecas, como ameaças, riscos, 
sensibilidades, impactos e vulnerabilidades físicas, tecnológicas 
e humanas que tornam o problema único. Portanto, seguindo a 
analogia com a medicina, esse paciente terá de ser atendido por 
um receituário medicamentoso único e personalizado, capaz de 
sanar e estancar a enfermidade também única. Estamos diante, 
então, do primeiro passo, do primeiro desafi o do Security Offi cer: 
como dimensionar um plano diretor de segurança? 
 Metodologia 
 O início da modelagem do PDS está diretamente associado a ações 
de levantamento de informações do negócio, similar a uma consulta 
médica, na qual, além da anamnese inicial, são realizados exames e 
testes superfi ciais para diagnosticar os sintomas, as anormalidades 
e os riscos potenciais do paciente, ou seja, identifi car ameaças, 
vulnerabilidades, riscos e impactos potenciais ao negócio. 
 É fundamental entender os desafi os do negócio, conhecer 
os planos de curto, médio e longo prazos, e as demandas que 
estarão por vir em função do Business Plan . Por mais que as 
ações de segurança não incidam diretamente nos processos do 
negócio, todas elas terão de ser orientadas por eles; portanto, 
objetiva-se, nessa fase preliminar do levantamento, montar 
um mapa de relacionamento e dependência entre processos de 
negócio, aplicações e infraestrutura física, tecnológica e humana 
(consulte a Figura 6.6 ). 
 Trata-se de uma tarefa de natureza complexa, principalmente 
quando se trata de uma empresa de grande porte, pois difi cilmente 
se encontrará um grupo acessível, pequeno e coeso capaz de ter 
uma visão corporativa ampla e completa. Além disso, a complexi-
dade dos ambientes, a heterogeneidade de tecnologias, os múltiplos 
acessos híbridos, a descentralização geográfi ca e a previsível dis-
tribuição de responsabilidades de segurança pelos departamentos 
tornam-se fatores difi cultadores; por isso, considere-os. 
 Dessa forma, a metodologia compreende seis etapas distintas 
que se complementam, fomentando uma visão consolidada do 
negócio que subsidiará a modelagem de um plano diretor de 
segurança personalizado. 
C0030.indd 86C0030.indd 86 06/11/13 5:45 PM06/11/13 5:45 PM
876.2 Plano diretor de segurança
 1. Identifi cação dos processos de negócio 
 Reunindo os principais gestores com representatividade na 
empresa, previamente identifi cados comumente na esfera 
executivo-gerencial, iniciam-se os trabalhos objetivando 
identifi car — através de entrevistas e brainstorm — os pro-
cessos de negócio críticos que serão alvo das atividades que 
vão compor a solução. Partindo da premissa de que as ações 
de segurança devem ter o foco no negócio e nas informações 
que o sustentam, é imprescindível elencar os processosmais 
sensíveis. É como se perguntássemos ao paciente quais dores 
está sentindo e a localização delas. Além disso, busca-se 
identifi car as necessidades físicas, tecnológicas, humanas e 
de conectividade desses processos para o funcionamento de 
todo o negócio. 
 Mais uma vez abusando de analogias com objetivo didáti-
co, lanço mão da comparação da empresa com um motor 
de automóvel. Pense em motores distintos, representando 
empresas distintas. Dessa forma, essa etapa preliminar de 
levantamento ganha o objetivo inicial de identifi car as peças 
mais críticas e representativas para garantir a performance e 
o funcionamento do motor, isto é, do negócio. 
 FIGURA 6.6 
 Mapa de relacionamento entre processos de negócio 
e infraestrutura. 
C0030.indd 87C0030.indd 87 06/11/13 5:45 PM06/11/13 5:45 PM
88 CAPÍTULO 6 Orientação ao Security Offi cer
 Lembre-se de que, durante essa etapa, é costumeiro 
orientar a identifi cação dos processos críticos com base 
em seus resultados fi nanceiros e estratégicos resultantes; 
dessa forma, torna-se importante envolver representantes 
da empresa que possam compartilhar informações sobre 
eles, que transcendam os aspectos operacionais. 
 O grande segredo associado a esse mapeamento inicial está 
na percepção da melhor divisão do negócio — que chama-
mos aqui de processos de negócio —, de forma que possam 
representar perímetros (físicos, tecnológicos e humanos) 
com características e funções explicitamente específi cas, 
que justifi quem ações sob medida. Seria o mesmo que, sem 
conhecer a anatomia humana, tivéssemos de identificar 
os órgãos que estão envolvidos na operacionalização das 
funções circulatória, respiratória, digestiva etc., para que 
pudessem ser agrupados a fi m de receber um tratamento 
específi co e uniforme. 
 Resultado esperado dessa etapa: 
 • Mapeamento dos processos de negócio críticos para a 
operação da empresa. 
 • Identifi cação dos gestores-chave dos processos mapeados. 
 • Início da integração e comprometimento dos gestores-chave 
envolvidos. 
 • Início do entendimento sobre o funcionamento do negócio. 
 FIGURA 6.7 
 Exemplos de unidades de medida considerados para identifi car 
processos de negócio críticos. 
C0030.indd 88C0030.indd 88 06/11/13 5:45 PM06/11/13 5:45 PM
896.2 Plano diretor de segurança
 2. Mapeamento da relevância 
 Conhecendo melhor o funcionamento do negócio, depois de 
tê-lo desmembrado coerentemente a partir da identifi cação 
dos processos críticos, chega o momento de mapear a rele-
vância de cada um deles, a fi m de evitar discrepâncias na 
priorização das atividades que comporão a solução. 
 Voltando à analogia didática do corpo humano, essa etapa 
é similar à necessidade de pontuar as funções orgânicas, 
sinalizando as que merecerão maior atenção, importância 
e prioridade. Afi nal, em uma enfermidade generalizada em 
que há risco de vida, você, como médico, daria prioridade 
ao tratamento de um ferimento na bexiga ou no coração? 
Trataria, nesse caso, do sistema circulatório ou do diges-
tivo? 
 Para realizar o adequado mapeamento da relevância de 
cada processo de negócio crítico (relação de peso entre 
eles associada à importância para o negócio), é neces-
sário envolver um ou mais gestores que compartilhem 
uma visão corporativa — conhecendo o funcionamento 
global do negócio — sem estar direta e exclusivamente 
envolvido com um ou mais processos específi cos, ou que 
possua imparcialidade no momento de ponderar a impor-
tância que vai orientar a priorização das ações nas etapas 
subsequentes. 
 Critérios 
 A metodologia aplica valores dentro da faixa 1 a 5 para indicar 
o grau de relevância, sendo esse número diretamente propor-
cional, aumentando a relevância à medida que a pontuação 
se aproxima de 5. Além disso, a associação das escalas com 
palavras e expressões torna o processo de mapeamento mais 
elucidativo, facilitando aos envolvidos mensurar a relevância 
entre os processos. Contudo, deve-se ter cuidado para não 
gerar uma interpretação errônea das expressões adotadas nas 
escalas. Elas devem ser encaradas apenas como uma forma 
de ponderar e mensurar a importância de cada processo de 
negócio, e não devem ser interpretadas isoladamente. Isso 
provocaria a inevitável pergunta: “Se o processo XPTO já foi 
pré-selecionado, como poderá ser agora classificado como 
NÃO CONSIDERÁVEL?” 
 Assim, a melhor forma de conduzir a análise, qualifi cando-a, 
é sempre induzir os gestores a refl etirem sobre a importância 
do processo-alvo para a operação do negócio, ajustando (re-
pontuando), ao longo da entrevista, as relações entre todos os 
processos de negócio. 
C0030.indd 89C0030.indd 89 06/11/13 5:45 PM06/11/13 5:45 PM
90 CAPÍTULO 6 Orientação ao Security Offi cer
 Aplicando, de forma holística, esses critérios sob os proces-
sos de negócio, subsidiaremos as demais etapas com parâme-
tros de ponderação que auxiliarão na interpretação dos estudos 
específicos que serão realizados em cada um dos processos 
isoladamente, contando com a visão segmentada de cada um 
de seus gestores. 
 Resultado esperado dessa etapa: 
 • Mapeamento da relevância dos processos de negócio 
críticos. 
 • Envolvimento dos gestores com visão holística do 
negócio. 
 • Percepção dos fatores importantes considerados pelos 
gestores envolvidos. 
 3. Estudo de impactos CIDAC 1 
 Identifi cados os processos de negócio críticos na atividade 
anterior, é hora de realizar estudos que apontarão a sensibili-
dade de cada um deles diante da possível quebra de segurança, 
 FIGURA 6.8 
 Tabela de escalas para classifi cação da relevância dos processos 
do negócio. 
 1 Em outras fontes, você vai encontrar nesse modelo a referência à legalidade 
como um dos aspectos a serem avaliados quanto à sensibilidade de processos 
de negócio a uma possível quebra de segurança. Consistentemente com o que 
defi nimos no Capítulo 4 , alteramos o modelo para incluir a conformidade 
como o aspecto a ser avaliado no lugar da legalidade, dada a sua maior 
abrangência. 
C0030.indd 90C0030.indd 90 06/11/13 5:45 PM06/11/13 5:45 PM
916.2 Plano diretor de segurança
especifi camente dos conceitos de confi dencialidade, integri-
dade, disponibilidade e dos aspectos de autenticidade e con-
formidade. O estudo acontece através de entrevistas isoladas 
com o gestor de cada processo e os mesmos critérios da es-
cala de classifi cação utilizados no mapeamento da relevância 
são novamente aplicados, mas, desta vez, sem considerar o 
negócio como um todo. 
 Entender melhor como os processos de negócio reagiriam 
sob a possibilidade de quebra dos três conceitos e dois as-
pectos de segurança da informação, medindo sua sensibili-
dade, representa um detalhamento importante para auxiliar 
no dimensionamento e na modelagem do plano diretor de 
segurança, que ocorrerá na etapa conclusiva. 
 Resultado esperado dessa etapa: 
 • Classifi cação da sensibilidade CIDAC de cada processo de 
negócio. 
 • Envolvimento dos gestores com visão isolada de processos 
específi cos. 
 • Percepção dos fatores importantes considerados pelos 
gestores envolvidos. 
 4. Estudo de prioridades GUT 
 Ainda reunidos individualmente com o principal gestor de 
cada processo de negócio elencado como crítico, inicia-se a 
 FIGURA 6.9 
 Tabela de escalas para classifi cação de sensibilidade 
dos processos do negócio. 
C0030.indd 91C0030.indd 91 06/11/13 5:45 PM06/11/13 5:45 PM
92 CAPÍTULO 6 Orientação ao Security Offi cer
etapa de estudo e pontuação de prioridades, aplicando-se a 
matriz UT: gravidade, urgência e tendência. 
 A defi nição da prioridade fi nal é composta pela análise e pelo 
produto das três dimensões GUT, seguindo esse modelo de 
condução dos questionamentos: 
 Dimensão gravidade 
 • Seria muito grave para o processo do negócio em análise 
sealgum fato atingisse qualquer um dos conceitos 
e aspectos, provocando a quebra da segurança da 
informação? 
 Essa linha de análise deve considerar a severidade dos impac-
tos associados diretamente, e exclusivamente, ao processo de 
negócio analisado. 
 Por exemplo: o que seria do processo de aprovação de crédi-
to de uma instituição fi nanceira se a base de dados dos clientes 
— matéria-prima principal da atividade — fosse corrompida , 
tendo sua integridade atingida? 
 Dimensão urgência 
 • Havendo a quebra da segurança da informação, 
independentemente do conceito ou aspecto atingidos, qual 
seria a urgência em solucionar os efeitos do ocorrido e em 
reduzir os riscos no processo de negócio em análise? 
 Essa linha de análise deve considerar o tempo de duração dos 
impactos associados diretamente, e exclusivamente, ao processo 
de negócio analisado. Por exemplo: o que seria do processo de 
aprovação de crédito de uma instituição fi nanceira se a base 
de dados dos clientes — matéria-prima principal da atividade 
 — permanecesse corrompida por dois dias consecutivos, tendo 
sua integridade atingida? 
 Dimensão tendência 
 • Considerando os planos de curto, médio e longo prazos 
associados à evolução do processo do negócio em análise, 
qual seria a tendência dos riscos de segurança se nenhuma 
atividade preventiva ou corretiva fosse aplicada? 
 Essa linha de análise deve considerar a oscilação da importância 
dos impactos associados diretamente, e exclusivamente, ao 
processo de negócio analisado. Por exemplo: o que seria do 
processo de aprovação de crédito de uma instituição fi nanceira 
se a base de dados dos clientes — matéria-prima principal da 
C0030.indd 92C0030.indd 92 06/11/13 5:45 PM06/11/13 5:45 PM
936.2 Plano diretor de segurança
atividade — fosse corrompida a curto, médio e longo prazos , 
tendo sua integridade atingida? 
 Critérios 
 A metodologia aplica valores dentro da faixa 1 a 5 para indicar 
o grau de prioridade, sendo esse número diretamente propor-
cional, aumentando a priorização à medida que a pontuação 
de aproxima de 5. Além disso, a associação das escalas com 
palavras e expressões torna o processo de mapeamento mais 
elucidativo, facilitando aos envolvidos mensurar a prioridade 
entre os processos. Contudo, deve-se ter cuidado para não gerar 
uma interpretação errônea das expressões adotadas nas escalas. 
Elas devem ser encaradas apenas como uma forma de ponderar 
e mensurar a importância de cada processo de negócio, e não 
devem ser interpretadas isoladamente. 
 Por se tratar de dimensões que compõem o GUT, apontando 
a prioridade do processo de negócio em relação aos demais, os 
valores de classifi cação são multiplicados gerando o GUT fi nal; 
dessa forma, a faixa de valor fi nal possível é de 1 a 125. 
 Objetivando facilitar a identifi cação rápida dos processos e 
suas prioridades, o GUT fi nal é posicionado em blocos iden-
tifi cados por cores, em que as faixas de 1 a 42, 43 a 83 e 84 
a 125 são sinalizadas, respectivamente, pelas cores VERDE, 
AMARELA e VERMELHA. 
 Resultado esperado dessa etapa: 
 • Mapeamento da prioridade de cada processo de negócio. 
 • Percepção das características de cada processo em função 
das dimensões do GUT. 
 5. Estudo de perímetros 
 Dando continuidade à metodologia do plano diretor de se-
gurança que objetiva montar um mapa de relacionamento 
e dependência entre processos de negócio, aplicações e 
 FIGURA 6.10 
 Tabela de escalas para classifi cação de prioridade dos processos 
do negócio. 
C0030.indd 93C0030.indd 93 06/11/13 5:45 PM06/11/13 5:45 PM
94 CAPÍTULO 6 Orientação ao Security Offi cer
infraestrutura física, tecnológica e humana, inicia-se a etapa 
de estudo dos ativos que sustentam cada um dos processos 
de negócio. 
 Isso se justifi ca pelo perfi l técnico de muitas atividades que 
vão compor a solução corporativa de segurança da informa-
ção e, portanto, pela necessidade de identifi car os alvos de 
infraestrutura que têm relação direta e indireta com cada um 
dos processos de negócio tratados individualmente (consulte 
a Figura 6.11 ). 
 De posse do mapeamento de processos, já dispomos dos 
elementos geradores de dor, sua localização, os possíveis 
impactos no corpo se fosse afetado, e a prioridade em reduzir 
os riscos de impacto, chegando o momento de identifi car os 
ativos — infraestrutura, tecnologia, aplicações, informações 
e pessoas — que sustentam e suportam os processos do 
negócio. De acordo com os aspectos e conceitos de seguran-
ça da informação, os ativos possuem vulnerabilidades que 
deverão ser eliminadas, minimizadas e administradas pelas 
ações dos controles de segurança. Diferentemente das ati-
vidades anteriores, esta reúne entrevistas com os principais 
 FIGURA 6.11 
 Representação hipotética da divisão da empresa em processos 
de negócio e os consequentes agrupamentos com base na 
similaridade dos ativos físicos, tecnológicos e humanos que os 
sustentam direta ou indiretamente. 
C0030.indd 94C0030.indd 94 06/11/13 5:45 PM06/11/13 5:45 PM
956.2 Plano diretor de segurança
gestores da esfera técnico-tática que vão levantar números 
e informações topológicas, físicas e tecnológicas, ligadas 
direta e indiretamente aos processos do negócio. Diante 
disso, a atividade passa a ser primordial para que os projetos 
necessários sejam identifi cados e passem a integrar o plano 
diretor de segurança. 
 É comum, nessa etapa, requisitar plantas baixas que revelem 
os segredos do ambiente físico, mapas topológicos, inventá-
rio de equipamentos, sistemas e aplicações nas mais diversas 
plataformas. Lembre-se de que esse é o momento de des-
cobrirmos quais ativos estão por trás do funcionamento dos 
processos de negócio. Tudo o que for importante para sua 
operação deve ser relacionado, buscando, inclusive, identi-
fi car seu funcionamento, relações de troca de informações 
e fl uxo de dados (consulte a Figura 6.12 ). 
 Mais uma vez abusando da analogia com o corpo huma-
no, como se não conhecêssemos sua engenharia de fun-
cionamento, o objetivo dessa etapa é descobrir quais ór-
gãos, funções e elementos biológicos são usados por cada 
um dos sistemas respiratório, circulatório, digestivo etc. 
 FIGURA 6.12 
 Ilustração da relação entre ativos e processos de negócio. 
C0030.indd 95C0030.indd 95 06/11/13 5:45 PM06/11/13 5:45 PM
96 CAPÍTULO 6 Orientação ao Security Offi cer
Somente obtendo um mapeamento preciso, poderemos de-
fi nir atividades e suas prioridades nas etapas subsequentes. 
 Resultado esperado dessa etapa: 
 • Mapeamento dos ativos. 
 • Mapeamento da relação entre ativos e processos 
de negócio. 
 6. Estudo de atividades 
 É o momento de o médico especialista analisar as re-
clamações de dor, os resultados dos exames, o contexto, 
o comportamento habitual e as necessidades do presente 
e do futuro do paciente (de acordo com seus planos) para 
dimensionar a solução corporativa de segurança, compos-
ta por projetos que vão subsidiar a modelagem do PDS. 
É hora de planejar as ações que ocorrerão em ambientes 
e perímetros distintos e isolados, mas que estarão sendo 
coordenadas e, principalmente, estarão em conformidade 
com as diretrizes de segurança da empresa, proposta 
pelo modelo de gestão corporativa de segurança da in-
formação. 
 Essa etapa inicia o processo de elaboração do plano diretor 
de segurança, indicando as atividades/projetos necessários e 
distribuindo-os ao longo do tempo e de acordo com a priori-
dade extraída da percepção de relevância dos processos de 
negócio. 
 Conta com inúmeras reuniões de análise e interpretação 
das informações coletadas, cruzando-as com os planos de 
negócio, recursos disponíveis e o nível de segurança atual 
 versus o recomendado para a natureza de sua atividade. 
 Resultado esperado dessa etapa: 
 • Mapeamento dos ativos. 
 • Mapeamento da relaçãoentre ativos e processos 
do negócio. 
 Organização do comitê corporativo de segurança 
 Paralelamente às atividades de levantamento de informações e 
diagnóstico, é fator crítico de sucesso iniciar a organização de 
um grupo, convencionalmente chamado de comitê corporativo 
de segurança. A primeira atividade é defi nir as responsabilidades 
de planejamento, execução, monitoração, seu posicionamento 
dentro do organograma da empresa, garantindo que tenham 
acesso a esferas decisivas que possam atuar sobre toda a cor-
poração. Seguem-se a divulgação interna e a ofi cialização desse 
C0030.indd 96C0030.indd 96 06/11/13 5:45 PM06/11/13 5:45 PM
976.2 Plano diretor de segurança
grupo formado por representantes de diversas áreas estratégicas 
da empresa, que reúnem especialidades e visões distintas. Seu 
principal papel será organizar, concentrar e planejar as ações de 
segurança que vão interferir em todos os ambientes e processos, 
tendo a possibilidade de redirecionar os planos de acordo com as 
mudanças físicas, tecnológicas e humanas que, inevitavelmente, 
ocorrerão. 
 Organização do Security Offi ce 
 Essa ocupação deve existir ofi cialmente na empresa cujas res-
ponsabilidades e habilidades estejam diretamente associadas à 
liderança do comitê corporativo de segurança e à interação com 
os líderes dos comitês interdepartamentais de segurança. Perfi l 
técnico aprofundado, visão corporativa e destreza para gestão 
são elementos fundamentais para que haja uma canalização de 
esforços de forma coerente com os macro-objetivos da segu-
rança e do próprio negócio. A propósito: negócio e segurança 
devem coexistir em harmonia, sendo que o primeiro aponta as 
carências, estratégias e necessidades de novas aplicações, e o 
segundo se empenha em reduzir os riscos e o potencial de im-
pacto através de controles bem empregados corporativamente. O 
 Security Offi cer tem de ser mediador, orientador, questionador, 
analisador de ameaças, riscos, impactos e do consequente estudo 
de viabilidade dos próximos passos. 
 Organização de comitês interdepartamentais 
de segurança 
 Com uma esfera de abrangência menor, esses comitês têm im-
portante papel no modelo de gestão de segurança da informação. 
Apesar de estarem sendo orientados por diretrizes maiores na 
esfera do comitê corporativo de segurança, deverão medir os 
resultados dos ambientes específicos, reportar novas neces-
sidades e situações que exponham a informação. 
 Explicitados anteriormente os fatores críticos de sucesso 
dentro do modelo de gestão corporativa da segurança da in-
formação, podemos didaticamente sintetizar a estrutura proposta 
através da expressão: ação local orientada por visão global. 
 Diante disso, imagino que o leitor perceba, a partir de agora, 
quão necessária é a aplicação desse modelo em seu negócio, o 
que torna conveniente uma frase de estímulo: “Plano diretor de 
segurança: você também pode!” 
C0030.indd 97C0030.indd 97 06/11/13 5:45 PM06/11/13 5:45 PM
98 CAPÍTULO 6 Orientação ao Security Offi cer
 6.3 CONTINUIDADE DE NEGÓCIOS 
 No início da década passada, o DRI (Disaster Recovery Ins-
titute) apresentou estatísticas que comprovavam que, de cada 
cinco empresas que apresentavam interrupção nas suas opera-
ções por uma semana, duas fechavam as portas em menos de 
três anos. Nada nos leva a imaginar que essa estatística tenha se 
modifi cado positivamente desde então, com empresas podendo 
interromper suas atividades por mais tempo sem consequências 
nefastas. 
 Dessa forma, pensar em como garantir a continuidade das 
atividades em face de algum evento que interrompa a operação 
de um ou muitos processos de negócio é uma das tarefas essen-
ciais da gestão da segurança da informação, conforme defi nido 
na ISO 27002. 
 O foco está, mais precisamente, em garantir a continuidade 
de processos e informações vitais à sobrevivência da empresa, 
no menor espaço de tempo possível, com o objetivo de mini-
mizar os impactos de um desastre. 
 O tema é tão complexo que motivou estudos aprofundados, 
mais uma vez iniciados na comunidade britânica, e mais uma 
vez publicados pelo British Standards Institute. Em 2006, foi 
publicada a norma BS 25999-1, que defi nia um código de prática 
para a gestão da continuidade dos negócios. No ano seguinte, o 
mesmo instituto lançou a segunda parte dessa norma, que defi nia 
o sistema de gestão da continuidade de negócio (SGCN ou, na 
sigla em inglês, BCMS, de Business Continuity Management 
System ). 
 Em 2012, da mesma forma que fez com a ISO 27001, a ISO 
lançou a norma ISO 22301, que defi ne o BCMS, possibilitando 
que as empresas certifi quem seus sistemas de gestão em conti-
nuidade de negócios. 
 O cerne da GCN 
 Definir um SGCN requer uma série de etapas, como na 
ISO27001, incluindo o planejamento de como a organização 
fará a gestão dos seus processos de continuidade, o estabeleci-
mento de uma política de gestão da continuidade, e, pelas etapas 
de análise de impactos no negócio, a defi nição de estratégias 
de contingência e construção dos planos de contingência pro-
priamente ditos, que devem ser elaborados com o claro objetivo 
de contingenciar situações e incidentes de segurança que não 
C0030.indd 98C0030.indd 98 06/11/13 5:45 PM06/11/13 5:45 PM
996.3 Continuidade de negócios
puderem ser evitados. Devem ser efi cazes como o paraquedas 
de reserva o é em momento de falha do principal, garantindo, 
apesar do susto, a vida do paraquedista em queda. 
 Sugerimos trabalhar com três planos primordiais, minima-
mente, a saber ( Figura 6.13 ): 
 • Plano de administração de crises. 
 • Plano de continuidade operacional. 
 • Plano de recuperação de desastres. 
 Um plano de contingenciamento pode assumir diversas formas, 
em função do objeto a ser contingenciado e da abrangência de 
sua atuação. Diferentemente do que muitos imaginam, uma 
empresa não possui um plano único, mas diversos planos in-
tegrados e focados em diferentes perímetros, sejam físicos, 
tecnológicos ou humanos e direcionados a múltiplas ameaças 
potenciais. Essa segmentação é importante; afi nal, uma empresa 
tem processos cuja tolerância à falha é variável, os impactos 
idem, assim como o nível de segurança necessário à natureza 
das informações manipuladas. 
 Seja qual for o objeto da contingência — uma aplicação, 
um processo de negócio, um ambiente físico e até mesmo uma 
equipe de funcionários —, a empresa deverá selecionar a es-
tratégia que melhor conduza o objeto a operar sob nível de risco 
controlado. Apesar de uma base conceitual comum, muitas são 
as variantes de metodologia para a elaboração de um plano 
de continuidade; portanto, você pode se deparar com outras 
 FIGURA 6.13 
 Ilustração dos papéis do plano de administração de crises, plano 
de continuidade operacional e plano de recuperação de desastres. 
C0030.indd 99C0030.indd 99 06/11/13 5:45 PM06/11/13 5:45 PM
100 CAPÍTULO 6 Orientação ao Security Offi cer
nomenclaturas ou novos grupamentos de estratégia. De qualquer 
forma, as soluções de continuidade vão sendo personalizadas 
de acordo com o contexto, pelas características de um segmento de 
mercado ou fato específi co, como ocorreu em 1999 por causa 
dos computadores com difi culdades de gerenciar a representação 
de data, apelidado de “ bug do ano 2000” ou “ bug do milênio”. 
 Análise de impacto no negócio 
 Conhecido mundialmente pela sigla BIA ( Business Impact 
Analysis ), essa primeira etapa é fundamental por fornecer in-
formações para o perfeito dimensionamento das demais fases de 
construção do plano de continuidade. Seu objetivo é levantar o 
grau de relevância entre os processos ou atividades que fazem 
parte do escopo da contingência em função da continuidade do 
negócio. Em seguida, são mapeados os ativos físicos, tecnoló-
gicos e humanos que suportam cada um deles, para então apurar 
os impactos quantitativos que poderiam ser gerados com a sua 
paralisação totalou parcial. 
 De posse dessa análise BIA, torna-se possível defi nir as prio-
ridades de contingência, os níveis de tolerância à indisponibili-
dade de cada processo ou atividade pertencente à contingência 
e, ainda, agrupar os ativos em função de sua natureza e relação 
de dependência que mantêm com os processos. Tem-se, a par-
tir de então, uma fotografi a de funcionalidade dos processos, 
 FIGURA 6.14 
 Ilustração da classifi cação de relevância entre os processos 
pertencentes ao escopo do plano. 
C0030.indd 100C0030.indd 100 06/11/13 5:45 PM06/11/13 5:45 PM
1016.3 Continuidade de negócios
 restando defi nir as ameaças que se quer contingenciar. A escolha 
das ameaças a se considerar para cada processo está diretamente 
ligada à probabilidade e à severidade de um incidente. 
 Perceberemos, adiante, que muitas das tarefas realizadas 
pelo BIA poderiam ser complementadas pelos resultados de 
uma análise de riscos, sendo esta, portanto, a atividade primeira 
e mais importante para orientar todas as ações de segurança da 
informação. 
 Se essa herança ocorresse efetivamente, o BIA se resumiria 
a quantifi car os impactos e a selecionar as ameaças a serem 
consideradas pelo plano de continuidade do negócio (consulte 
a Figura 6-15 ). 
 Estratégias de contingência 
 Hot-site 
 Recebe esse nome por ser uma estratégia “quente” ou pron-
ta para entrar em operação assim que uma situação de risco 
ocorrer. Mais uma vez, o tempo de operacionalização dessa es-
tratégia está diretamente ligado ao tempo de tolerância a falhas 
do objeto. Se a aplicássemos em um equipamento tecnológico, 
 FIGURA 6.15 
 Ilustração da seleção de ameaças a serem consideradas pelo plano 
e a percepção de tolerância de cada processo do negócio. 
C0030.indd 101C0030.indd 101 06/11/13 5:45 PM06/11/13 5:45 PM
102 CAPÍTULO 6 Orientação ao Security Offi cer
um servidor de banco de dados, por exemplo, estaríamos falando 
de milissegundos de tolerância para garantir a disponibilidade 
do serviço mantido pelo equipamento. 
 Warm-site 
 Seguindo a nomenclatura da primeira estratégia, esta se aplica a 
objetos com maior tolerância à paralisação, podendo se sujeitar 
a indisponibilidade por mais tempo, até o retorno operacional da 
atividade. Tomemos, como exemplo, o serviço de e-mail depen-
dente de uma conexão de comunicação. Vemos que o processo 
de envio e recebimento de mensagens é mais tolerante que o 
exemplo usado na primeira estratégia, pois poderia fi car indis-
ponível por minutos sem, no entanto, comprometer o serviço 
ou gerar impactos signifi cativos. 
 Realocação de operação 
 Como o próprio nome denuncia, essa estratégia objetiva des-
viar a atividade atingida pelo evento que provocou a quebra de 
segurança para outro ambiente físico, equipamento ou link, per-
tencentes à mesma empresa. Essa estratégia só é possível com 
a existência de “folgas” de recursos que podem ser alocados 
em situações de crise. Muito comum, essa estratégia pode ser 
entendida pelo exemplo em que se redireciona o tráfego de 
dados de um roteador ou servidor com problemas para outro que 
possua folga de processamento e suporte ao acúmulo de tarefas. 
 Bureau de serviços 
 Essa estratégia considera a possibilidade de transferir a opera-
cionalização da atividade atingida para um ambiente terceiri-
zado; portanto, fora dos domínios da empresa. Por sua própria 
natureza, que requer um tempo de tolerância maior em função do 
tempo de reativação operacional da atividade, torna-se restrita 
a poucas situações. O fato de ter suas informações manuseadas 
por terceiros e em um ambiente fora de seu controle requer 
atenção na adoção de procedimentos, critérios e mecanismos 
de controle que garantam condições de segurança adequadas à 
relevância e criticidade da atividade contingenciada. 
 Acordo de reciprocidade 
 Muito conveniente para atividades que demandariam inves-
timentos de contingência inviáveis ou incompatíveis com a 
importância da mesma, essa estratégia propõe a aproximação 
e um acordo formal com empresas que mantêm características 
físicas, tecnológicas ou humanas semelhantes às suas e que 
C0030.indd 102C0030.indd 102 06/11/13 5:45 PM06/11/13 5:45 PM
1036.3 Continuidade de negócios
estejam igualmente dispostas a possuir uma alternativa de con-
tinuidade operacional. Estabelecem em conjunto as situações de 
contingência e defi nem os procedimentos de compartilhamento 
de recursos para alocar a atividade atingida no ambiente da outra 
empresa. Dessa forma, ambas obtêm redução signifi cativa dos 
investimentos. Apesar do notório benefício, todas as empresas 
envolvidas precisam adotar procedimentos personalizados e 
mecanismos que reduzam a exposição das informações que, 
temporariamente, estarão circulando em ambiente de terceiros. 
Esse risco se agrava quando a reciprocidade ocorre entre em-
presas pseudoconcorrentes que se unem exclusivamente com o 
propósito de reduzir investimentos, precisando fazê-lo pela es-
pecifi cidade de suas atividades, como, por exemplo, no processo 
de impressão de jornais. 
 Cold-site 
 Dentro do modelo de classifi cação adotado nas duas primeiras 
estratégias, esta propõe uma alternativa de contingência a partir 
de um ambiente com os recursos mínimos de infraestrutura e 
telecomunicações, desprovido de recursos de processamento 
de dados. Portanto, é aplicável a situações com tolerância de 
indisponibilidade ainda maior. 
 Autossufi ciência 
 Aparentemente uma estratégia impensada, a autossufi ciência 
é, muitas vezes, a melhor ou a única estratégia possível para 
determinada atividade. Isso ocorre quando nenhuma outra 
estratégia é aplicável, quando os impactos possíveis não são 
signifi cativos ou quando são inviáveis, seja fi nanceiramente, 
seja técnica ou estrategicamente. A escolha de qualquer uma 
das estratégias estudadas até o momento depende diretamente 
do nível de tolerância que a empresa pode suportar e do nível de 
risco que seu executivo está disposto a correr. Essa decisão pres-
supõe a orientação obtida por uma análise de riscos e impactos 
que gere subsídios para apoiar a escolha mais acertada. 
 Planos de contingência 
 São desenvolvidos para cada ameaça considerada em cada um 
dos processos do negócio pertencente ao escopo, defi nindo em 
detalhes os procedimentos a serem executados em estado de 
contingência. É acertadamente subdividido em três módulos 
distintos e complementares que tratam especifi camente de cada 
momento vivido pela empresa. 
C0030.indd 103C0030.indd 103 06/11/13 5:45 PM06/11/13 5:45 PM
104 CAPÍTULO 6 Orientação ao Security Offi cer
 Plano de administração de crise 
 Esse documento tem o propósito de definir passo a passo o 
funcionamento das equipes envolvidas com o acionamento da 
contingência antes, durante e depois da ocorrência do incidente. 
Além disso, tem de defi nir os procedimentos a serem executados 
pela mesma equipe no período de retorno à normalidade. O 
comportamento da empresa na comunicação do fato à imprensa 
é um exemplo típico de tratamento dado pelo plano. 
 Plano de continuidade operacional 
 Esse documento tem o propósito de defi nir os procedimentos 
para contingenciamento dos ativos que suportam cada processo 
de negócio, objetivando reduzir o tempo de indisponibilidade e, 
consequentemente, os impactos potenciais ao negócio. Orientar 
as ações diante da queda de uma conexão à Internet exemplifi ca 
os desafi os organizados pelo plano. 
 Plano de recuperação de desastres 
 Esse documento tem o propósito de defi nir um plano de recu-
peração e restauração das funcionalidades dos ativos afetados 
que suportam os processos de negócio, a fi m de restabelecer o 
ambiente e as condições originais de operação. 
 É fator crítico de sucesso estabelecer adequadamente os 
gatilhos de acionamento para cada plano de contingência. Esses 
gatilhos são parâmetros de tolerância usados para sinalizar o 
início da operacionalização da contingência, evitandoaciona-
mentos prematuros ou tardios. Dependendo das características 
do objeto da contingência, os parâmetros podem ser: percentual 
de recurso afetado, quantidade de recursos afetados, tempo de 
indisponibilidade, impactos fi nanceiros etc. 
 A notória complexidade do plano de continuidade operacio-
nal — em função da diversidade de objetos, suas características 
personalizadas, abrangência das ameaças possíveis consideradas 
e a necessária integração dos planos de administração de crises, 
planos de continuidade operacional e planos de recuperação de 
desastres — torna imprescindível a construção de um modelo 
dinâmico de manutenção dos documentos e de testes. 
 Por se tratar de uma peça importante na gestão corporativa 
de segurança da informação, principalmente por ser o último 
recurso depois que todos os demais falharam, os três planos 
precisam passar por baterias severas de teste e homologação, a 
fi m de garantir sua efi ciência e permitir ajustes diante de previ-
síveis mudanças físicas, tecnológicas e humanas que ocorrem 
frequentemente no ambiente corporativo. 
C0030.indd 104C0030.indd 104 06/11/13 5:45 PM06/11/13 5:45 PM
1056.4 Política de segurança da informação
 Outros planos podem ser mencionados em outras literaturas 
ou modelos, como o plano de resposta a incidentes ou o plano 
de retorno à normalidade, entre outros, mas os mesmos podem 
ser avaliados como subprodutos dos três planos aqui detalhados. 
 6.4 POLÍTICA DE SEGURANÇA 
DA INFORMAÇÃO 
 Com o propósito de fornecer orientação e apoio às ações de 
gestão de segurança, a política tem um papel fundamental e, 
guardadas as devidas proporções, tem importância similar à 
Constituição federal para um país. Dessa forma, assume uma 
grande abrangência e, por causa disso, é subdividida em três 
blocos: diretrizes, normas, procedimentos e instruções, sendo 
destinados, respectivamente, às camadas estratégica, tática e 
operacional. 
 Estabelece padrões, responsabilidades e critérios para o 
manuseio, armazenamento, transporte e descarte das informa-
ções dentro do nível de segurança estabelecido sob medida pela 
e para a empresa; portanto, a política deve ser personalizada. 
 As diretrizes, que por si só têm papel estratégico, precisam 
expressar a importância que a empresa dá à informação, além 
de comunicar aos funcionários seus valores e seu comprometi-
mento em incrementar a segurança à sua cultura organizacional. 
 É notória a necessidade do envolvimento da alta direção, 
refl etida pelo caráter ofi cial com que a política é comunicada 
e compartilhada junto aos funcionários. Esse instrumento deve 
expressar as preocupações dos executivos e defi nir as linhas de 
ação que orientarão as atividades táticas e operacionais. 
 Responsabilidades dos proprietários e custo diante das in-
formações, estrutura do Security Office , métricas, índices e 
indicadores do nível de segurança, controles de conformidade 
legal, requisitos de educação e capacitação de usuários, mecanis-
mos de controle de acesso físico e lógico, responsabilizações, 
auditoria do uso de recursos, registros de incidentes e gestão da 
continuidade do negócio são algumas das dimensões a serem 
tratadas pela política de segurança. 
 Com caráter tático, as normas são o segundo nível da polí-
tica, detalhando situações, ambientes e processos específi cos, 
e fornecendo orientação para o uso adequado das informações. 
Com base na ordem de grandeza, podemos estimar 10 a 20 
diretrizes em empresas de qualquer porte, mas teremos de multi-
plicar esse número por 100 ou mais para estimar o volume de 
C0030.indd 105C0030.indd 105 06/11/13 5:45 PM06/11/13 5:45 PM
106 CAPÍTULO 6 Orientação ao Security Offi cer
normas aplicáveis. Esse volume tende a ser proporcional ao 
porte da empresa, à heterogeneidade de seus ativos físicos, 
tecnológicos e humanos, e, ainda, ao grau de detalhamento 
necessário para levar a empresa a operar sob o nível de risco 
adequado (consulte a Figura 6.16 ). 
 Critérios normatizados para admissão e demissão de fun-
cionários; criação e manutenção de senhas; descarte de infor-
mação em mídia magnética; desenvolvimento e manutenção 
de sistemas; uso da Internet; acesso remoto; uso de notebook; 
contratação de serviços terceirizados; e classificação da in-
formação são bons exemplos de normas de uma típica política 
de segurança. 
 Em especial, a norma de classifi cação da informação é fator 
crítico de sucesso, pois assume a responsabilidade por descrever 
os critérios necessários a fi m de sinalizar a importância e o valor 
das informações, premissa importante para a elaboração de 
praticamente todas as demais normas. Não há regra preconce-
bida para estabelecer essa classifi cação, mas é preciso entender 
 FIGURA 6.16 
 Diagrama de conceito dos componentes da política e seus pilares 
de personalização e sustentação. 
C0030.indd 106C0030.indd 106 06/11/13 5:45 PM06/11/13 5:45 PM
1076.4 Política de segurança da informação
o perfi l do negócio e as características das informações que 
alimentam os processos e circulam no ambiente corporativo para 
que os critérios sejam personalizados (consulte a Figura 6.17 ). 
 Procedimentos e instruções deverão estar presentes na po-
lítica em maior quantidade por seu perfi l operacional, em que 
é necessário descrever meticulosamente cada ação e atividade 
associada a cada situação distinta de uso das informações. Por 
exemplo: enquanto a diretriz orienta estrategicamente para a 
necessidade de salvaguardar as informações classifi cadas como 
confi denciais, e a norma defi ne que elas deverão ser criptografa-
das em tempo de envio por e-mail, o procedimento e a instrução 
específi ca dessa ação têm de descrever os passos necessários 
para executar a criptografi a e enviar o e-mail . A natureza deta-
lhista desse componente da política pressupõe a necessidade de 
manutenção ainda mais frequente. 
 Diante disso, já é possível perceber o quão complexo é desen-
volver e, principalmente, manter atualizada a política de segurança 
da informação com todos os seus componentes. Essa percepção 
torna-se ainda mais latente ao considerarmos o dinamismo do 
 FIGURA 6.17 
 Ilustração da relação entre classifi cação e tratamento defi nido 
na política para o ciclo de vida da informação. 
C0030.indd 107C0030.indd 107 06/11/13 5:45 PM06/11/13 5:45 PM
108 CAPÍTULO 6 Orientação ao Security Offi cer
parque tecnológico de uma empresa e, ainda, as mudanças pre-
visíveis e imprevisíveis que o negócio poderá sofrer. 
 Assim, o importante é dar o pontapé inicial e formar um 
grupo de trabalho com representantes das áreas e departamentos 
mais representativos, integrando visões, percepções e neces-
sidades múltiplas que tenderão a convergir e gerar os instru-
mentos da política. Comece elaborando as diretrizes, envolva 
os executivos e conquiste apoio. Estabeleça os responsáveis e 
os gestores diretos da manutenção da política. Desenvolva um 
programa de divulgação das diretrizes, normas, procedimentos 
e instruções da política como instrumento para disseminação 
de cultura e conscientização dos funcionários. Lance mão de 
seminários, cartazes, brindes, comunicações ofi ciais dos exe-
cutivos, cursos convencionais ou on-line, protetores de tela e 
tudo o mais que se aplicar ao perfi l da empresa e a natureza de 
sua atividade. O importante é envolver todos os funcionários, 
fazendo-os se sentir corresponsáveis pela saúde da segurança 
do negócio e, principalmente, responsáveis pela proteção das 
informações por eles custodiadas. 
 A conformidade com requisitos legais, envolvendo obrigações 
contratuais, direitos de propriedade intelectual, direitos autorais 
de software e todas as possíveis regulamentações que incidam no 
negócio da empresa deve ser respeitada e, portanto, deve ser a 
linha de conduta da construção da política de segurança. 
 6.5 ANÁLISE DE RISCOS E VULNERABILIDADES 
 Realizar uma análise de segurança já é prioridade paraa grande 
maioria das empresas, o que vem demonstrar a percepção da 
necessidade de diagnosticar os riscos. Contudo, ainda há um 
grande “vazio” no entendimento do que seja uma análise de 
riscos de verdade. 
 Voltando aos pilares de sustentação do negócio, vemos 
iniciativas de mapeamento de vulnerabilidades concentradas 
puramente nos ativos tecnológicos, ou seja, instrumentos des-
tinados a analisar e identifi car falhas de computadores, redes e 
sistemas. Evidentemente que são atividades importantes, mas 
não sufi cientes para, isoladamente, diagnosticar com precisão os 
reais riscos que envolvem a operação da empresa. Muitos outros 
pilares convivem com os pilares tecnológicos e, dependendo da 
natureza do negócio, estes podem ser ainda mais relevantes para 
a sustentação (consulte a Figura 6.18 ). 
C0030.indd 108C0030.indd 108 06/11/13 5:45 PM06/11/13 5:45 PM
1096.5 Análise de riscos e vulnerabilidades
 Há uma quebra de paradigma ao compreender que os riscos 
de uma empresa não estão apenas associados ao volume de 
falhas tecnológicas, à qualifi cação das ameaças que poderiam 
explorá-las ou, ainda, aos impactos potenciais. Diagnosticar o 
risco envolve a análise de variáveis endógenas que extrapolam 
os aspectos tecnológicos; portanto, devem considerar, também, 
os aspectos comportamentais dos recursos humanos, os aspectos 
físicos, legais e um grande leque de variáveis exógenas que in-
terferem direta ou indiretamente na proteção do negócio. Uma 
mudança estratégica — uma nova business unit — a presença 
de um novo concorrente ou um fator representativo da economia 
pode provocar oscilações no nível de risco do negócio, tirando 
a empresa de seu ponto de conforto. 
 Diante disso, a análise de riscos tem de ser encarada como 
um instrumento fundamental para diagnosticar a situação atual 
de segurança da empresa, através da sinergia entre o entendi-
mento dos desafi os do negócio, o mapeamento das funcionali-
dades dos processos de negócio e o relacionamento deles com 
a diversidade de ativos físicos, tecnológicos e humanos que 
hospedam falhas de segurança. 
 FIGURA 6.18 
 Relação de dependência entre ativos, processos de negócio 
e o próprio negócio. 
C0030.indd 109C0030.indd 109 06/11/13 5:45 PM06/11/13 5:45 PM
110 CAPÍTULO 6 Orientação ao Security Offi cer
 Existem, fundamentalmente, duas linhas metodológicas 
para orientar uma análise de riscos. A quantitativa é orientada a 
mensurar os impactos fi nanceiros provocados por uma situação 
de quebra de segurança a partir da valoração dos próprios ativos. 
A qualitativa é orientada por critérios que permitem estimar 
os impactos ao negócio provocados pela exploração de uma 
vulnerabilidade por parte de uma ameaça. Ambas possuem 
pontos positivos e negativos; porém, com o grande grau de 
subjetividade no processo de valoração dos ativos e, ainda, 
dos impactos em cascata, diretos e indiretos, potencialmente 
provocados por uma quebra de segurança, a metodologia de 
análise qualitativa tem demonstrado efi ciência superior. 
 Aplicando a metodologia para mapeamento dos processos de 
negócio adotada no plano diretor de segurança, ou herdando os 
resultados dessa atividade tem-se o mapa de relacionamento e 
dependência dos ativos. Nessa fase, iniciam-se as atividades de 
coleta de evidências e identifi cação de ameaças e vulnerabilidades 
potencialmente presentes nos ativos. É importante compreender 
que a vulnerabilidade por si só não causa qualquer dano ao ativo, 
sendo apenas uma situação de fragilidade. O dano só se efetivará 
mediante a exploração da vulnerabilidade por parte de uma ameaça. 
 Aspectos considerados em uma análise de riscos: 
 • Relação de relevância que um processo de negócio tem 
para o negócio. 
 • Relação de dependência que um ou mais processos 
de negócio têm do ativo. 
 • Projeção do impacto resultante da concretização da ação 
de uma ameaça. 
 • Probabilidade de a ameaça explorar uma vulnerabilidade. 
 • Severidade potencial da exploração no ativo. 
 • Qualifi cação das vulnerabilidades presentes nos ativos. 
 • Qualifi cação das ameaças potenciais. 
 Vemos, a partir dessa lista, a possibilidade de montar um mapa 
de relacionamento em que se pode projetar situações de causa 
e efeito. As ligações múltiplas, a pontuação e a qualifi cação 
das ameaças e vulnerabilidades, associadas aos estudos de pro-
babilidade e impactos, tornam-se elementos subsidiadores do 
cálculo do risco. 
 Por estarmos falando de uma análise que contempla ativos 
físicos, tecnológicos e humanos, a fase de identifi cação de amea-
ças e vulnerabilidades deve ser orientada por entrevistas com 
gestores e usuários, observação comportamental dos recursos 
humanos, inspeção física presencial nos ambientes, estudo de 
C0030.indd 110C0030.indd 110 06/11/13 5:45 PM06/11/13 5:45 PM
1116.5 Análise de riscos e vulnerabilidades
documentos e análises técnicas dos ativos tecnológicos, a fi m 
de coletar evidências da presença de falhas. 
 Essas atividades são suportadas por metodologias e instru-
mentos de apoio, comumente baseados em padrões de mercado, 
normas específi cas, como as de cabeamento estruturado TIA/
EIA 568 e NBR 14565:2000, e por sistemas especializados em 
plataformas e tecnologias específi cas. A justifi cativa para as ações 
presenciais, entrevistas, análises físicas e até mesmo parte das 
análises técnicas se dá pela impossibilidade natural de coletar 
todas as evidências através de dispositivos automatizados ou 
informatizados. Se pegarmos um sistema operacional de rede 
como exemplo, veremos que em seu universo de potenciais falhas 
parte delas poderia ser identifi cada por sistemas de varredura ou 
scanners, enquanto outra parte representativa necessitaria de in-
tervenção humana, seja para coletar ou mensurar a probabilidade 
e o impacto potencial. Essa percepção nos leva a concluir que uma 
análise de riscos consistente deve contar com recursos humanos 
com competências diversifi cadas, ferramentas automatizadas de 
apoio e gestão do levantamento e, principalmente, de uma base 
de conhecimento em segurança constantemente atualizada. 
 Podemos dizer que essa Knowledge Base de segurança, ou 
base de conhecimento de vulnerabilidades, ameaças e novas 
tecnologias, é o cérebro de uma análise de riscos competente, 
pois é a responsável por armazenar, gerenciar e suportar as ações 
de diagnóstico, fornecendo informações atualizadas que vão 
permitir aos analistas experimentar as técnicas mais efi cientes, 
localizar as mais recentes falhas e, assim, conferir maior preci-
são na mensuração do nível de risco da empresa. 
 FIGURA 6.19 
 Ilustração das informações coletadas para fi ns de cálculo de risco. 
C0030.indd 111C0030.indd 111 06/11/13 5:45 PM06/11/13 5:45 PM
112 CAPÍTULO 6 Orientação ao Security Offi cer
 Calculada a probabilidade e a severidade de uma ameaça 
explorar cada uma das vulnerabilidades encontradas em cada 
ativo, obtemos o nível de risco fi nal de cada ativo. De posse 
desses resultados parciais, podemos projetar o nível de risco de 
cada processo de negócio, considerando os riscos de cada ativo 
que o sustenta. A partir desse momento, podemos estimar o 
risco do negócio como um todo, calculando de forma ponderada 
os riscos de cada um dos processos de negócio que o suporta 
(consulte a Figura 6.20 ). 
 O resultado obtido nos permite organizar as prioridades e 
dimensionar um plano de ação de curto, médio e longo prazos, 
baseado na distribuição dos processos de negócio e/ou dos 
ativos no mapa de quadrantes de risco. Dessa forma, tem-se a 
orientação necessária para apoiar as decisões e modelar con-
tramedidas específicas a cada perímetro da empresa, como 
eliminar o risco, reduzir o risco, transferir o risco ou aceitar 
o risco. Em qualquer uma dessas situações, limitações orça-
mentárias, difi culdades técnicas ou fatores externos tendem a 
impedir a implementação total das contramedidasespecifi cadas, 
 FIGURA 6.20 
 Quadrante do risco medido ilustrativamente pela relação 
de probabilidade e impacto. 
C0030.indd 112C0030.indd 112 06/11/13 5:45 PM06/11/13 5:45 PM
1136.5 Análise de riscos e vulnerabilidades
levando qualquer empresa a buscar o nível de risco controlado 
e de acordo com a natureza de seu negócio (posicionamento 
consciente). 
 Segurança é administrar riscos. Toda empresa possui ca-
racterísticas próprias, objetivos e planos específi cos; por isso, 
precisa encontrar o nível de risco mais adequado para operar. 
Dentro desse panorama, a análise de riscos é o instrumento per-
feito para dimensionar a situação de segurança atual, tornando-a 
consciente dos riscos e orientando-a a buscar soluções que a 
conduzam para o patamar de risco aceitável. Contudo, pelo dina-
mismo das mudanças sofridas pelo ambiente corporativo, devido 
a fatores ambientais, mercadológicos, estratégicos, econômicos, 
tecnológicos, estruturais etc., a análise de riscos deve fazer parte 
de um processo contínuo de gestão, capaz de diagnosticar novas 
vulnerabilidades e ameaças, garantindo, assim, a manutenção 
no nível de risco controlado. 
 A tendência mais atual é a realização de análises de riscos 
baseadas na medição de presença e ausência de controles de 
segurança, e não somente nas vulnerabilidades presentes nos 
ativos como eixo principal. Esse movimento é um refl exo da 
 FIGURA 6.21 
 Visão geral da aplicabilidade da análise de riscos. 
C0030.indd 113C0030.indd 113 06/11/13 5:45 PM06/11/13 5:45 PM
114 CAPÍTULO 6 Orientação ao Security Offi cer
credibilidade adquirida pela norma de gestão de segurança da 
informação ISO 27002 e também da norma ISO 31000. 
 Sua proposta se baseia no interesse e na necessidade prin-
cipal dos gestores de segurança em proteger o ativo sem, no 
entanto, ter de se preocupar em eliminar ou administrar cada 
uma das vulnerabilidades individualmente. Assim, em vez de 
ter de mapear e buscar soluções individuais para cada uma das 
centenas de vulnerabilidades de um sistema operacional, por 
exemplo, a preocupação se concentra na verifi cação da presença 
ou ausência de aplicação do patch , ou programa de correção, 
disponibilizado pelo fabricante. Dessa forma, tem-se ganho de 
desempenho, efi ciência na obtenção dos resultados e, princi-
palmente, aproxima-se a empresa dos controles recomendados 
pela ISO. 
 Enquanto as metodologias de análise de riscos não aderem 
por completo aos controles de segurança propostos pelas normas 
internacionais de segurança, como instrumento de medição e 
recomendação de ações, compete ao Security Offi cer caminhar 
em direção à sintonia com padrões e melhores práticas. Por 
conta disso, convém alinhar os resultados da análise e riscos aos 
controles sugeridos pela norma ISO 27002 e identifi car o nível 
de conformidade atingido pela empresa através da medição de 
aderência a cada um dos 114 controles de segurança. 
 6.6 TESTE DE INVASÃO 
 Apesar da interpretação distorcida do mercado em geral, julgan-
do ser uma atividade marginal e necessariamente executada por 
jovens técnicos, o teste de invasão tem um papel importante e 
complementar dentro do mapeamento dos riscos da empresa. 
Seu objetivo, diferentemente da análise de riscos, não é mapear 
todas as ameaças, vulnerabilidades e impactos, mas avaliar o 
grau de segurança oferecido pelos controles de segurança de 
determinado perímetro. Para isso, simula tentativas de acesso 
indevido e invasão a partir de pontos distintos, e adota diferentes 
métodos e técnicas, contudo, com um objetivo bem defi nido. 
É premissa para garantir a qualidade da atividade defi nir cla-
ramente o perímetro que se quer testar, a ação de que tipo de 
ameaça se quer avaliar a proteção e, ainda, o tempo de validade 
do teste. 
 A qualidade de um teste de invasão é medida pelo grau de 
similaridade reproduzida pela simulação em relação às práticas 
C0030.indd 114C0030.indd 114 06/11/13 5:45 PM06/11/13 5:45 PM
1156.6 Teste de invasão
reais de tentativa de invasão e não à obtenção de resultados 
positivos ou negativos. Quanto mais real for o teste sem, no 
entanto, expor efetivamente as informações e comprometer a 
operação da empresa, melhor. O que se espera como resultado é 
a descrição do formato do teste, métodos e técnicas empregadas, 
evidências das tentativas e possíveis resultados positivos. 
 São, basicamente, quatro formatos para o teste de invasão 
que surgem da combinação múltipla de dois dos fatores des-
critos a seguir: 
 • Interno 
 Defi ne o ambiente interno da própria empresa-alvo com o 
ponto de presença do analista para execução do teste. Esse 
modelo tem se mostrado muito efi ciente devido aos altos 
índices de tentativas de ataque e invasão realizados por 
funcionários e recursos terceirizados, o que o torna muito 
próximo da realidade. 
 • Externo 
 Defi ne um ambiente externo à própria empresa-alvo com o 
ponto de presença do analista para a execução do teste. Esse 
modelo tem efi ciência comprovada em situações que visem 
simular acessos externos ao ambiente corporativo, como em 
acessos remotos, responsáveis por fatia representativa dos 
ataques e invasões. 
 • Cego 
 Defi ne a ausência de acesso a informações privilegiadas 
sobre a estrutura física, tecnológica e humana, a fi m de sub-
sidiar o analista na execução do teste. Esse modelo não tem 
demonstrado grande efi ciência devido aos baixos índices de 
tentativas de ataques e invasões sem qualquer informação 
do alvo. Mesmo que esse seja o status inicial de um invasor, 
na prática o mesmo tende a realizar uma coleta prévia de 
informações, adotando técnicas de engenharia social, análise 
de lixo, grampo telefônico, grampo eletrônico etc., a fi m de 
aumentar as chances do ataque. 
 • Não cego 
 Defi ne a presença de acesso a informações privilegiadas 
sobre a estrutura física, tecnológica e humana, a fi m de subsi-
diar o analista na execução do teste. Esse modelo demonstra 
efi ciência pela similaridade com situações reais de ataque. 
E é ainda reforçado pela grande incidência de ataques in-
ternos; portanto, é executado por pessoas que já dispõem 
de conhecimento e, muitas vezes, acesso privilegiado a in-
formações e ambientes. 
C0030.indd 115C0030.indd 115 06/11/13 5:45 PM06/11/13 5:45 PM
116 CAPÍTULO 6 Orientação ao Security Offi cer
 Como vemos, o teste de invasão demonstra ser um ótimo recurso 
para a sensibilização dos executivos e potenciais patrocinadores 
de ações corporativas, pois simula a exposição da empresa ou 
de um perímetro específico a tentativas de ataque e invasão 
que simulam a realidade. Por se tratar de uma atividade crítica, 
pois potencializa a exposição da empresa, de suas informações 
e processos, deve ser executado por profi ssionais qualifi cados e 
orientados por uma metodologia que garanta o controle das 
ações, o acompanhamento do Security Offi cer e não represente 
mais um momento de risco para o negócio. 
 6.7 IMPLEMENTAÇÃO DE CONTROLES 
DE SEGURANÇA 
 Implementar é adquirir, confi gurar e aplicar os mecanismos de 
controle de segurança a fi m de atingir o nível de risco adequado. 
Comumente, essa atividade faz parte de uma orientação obtida 
pela análise de riscos ou por sugestões de normas específi cas 
de segurança, como a ISO 27002 ou, ainda, normas específi cas 
como a de cabeamento estruturado, EIA/TIA 586. 
 O universo de controles aplicáveis é enorme, pois estamos 
falando de mecanismos destinados à segurança física, tecno-
lógica e humana. Se pensarmos no peopleware , ou seja, no 
capital humano como um dos elos mais críticos e relevantes 
para a redução dos riscos, teremos, por exemplo, os seguintes 
controles: 
 • Seminários de sensibilização. 
 • Cursos de capacitação. 
 • Campanhas de divulgação da política de segurança. 
 • Crachás de identifi cação. 
 • Procedimentos específi cos para demissão de admissão 
de funcionários.• Procedimentos específi cos para tratamento de recursos 
terceirizados. 
 • Termo de responsabilidade. 
 • Termo de confi dencialidade. 
 • Sistemas de auditoria de acessos. 
 • Sistemas de monitoramento e fi ltragem de conteúdo. 
 Muitos dos controles humanos citados interferem direta ou in-
diretamente no ambiente físico, mas este deve receber a imple-
mentação de outro conjunto de mecanismos voltados a controlar 
C0030.indd 116C0030.indd 116 06/11/13 5:45 PM06/11/13 5:45 PM
1176.7 Implementação de controles de segurança
o acesso e as condições de ambientes físicos, sinalizando, regis-
trando, impedindo e autorizando acessos e estados, dentre os 
quais podemos citar: 
 • Roletas de controle de acesso físico. 
 • Climatizadores de ambiente. 
 • Detectores de fumaça. 
 • Acionadores de água para combate a incêndio. 
 • Extintores de incêndio. 
 • Cabeamento estruturado. 
 • Salas-cofre. 
 • Dispositivos de biometria. 
 • Smartcards. 
 • Certifi cados digitais em token. 
 • Circuitos internos de televisão. 
 • Alarmes e sirenes. 
 • Dispositivos de proteção física de equipamentos. 
 • Nobreaks. 
 • Dispositivo de armazenamento de mídia magnética. 
 • Fragmentadoras de papel etc. 
 Assim como ocorre com os controles físicos e humanos, a lista 
dos dispositivos aplicáveis aos ativos tecnológicos é extensa; 
afi nal, além da diversidade e heterogeneidade de tecnologias, 
ainda temos de considerar a velocidade criativa do setor que nos 
apresenta uma nova ferramenta ou equipamento praticamente 
a cada dia. Os instrumentos aplicáveis aos ativos tecnológicos 
podem ser divididos em três famílias. 
 Autenticação e autorização 
 Destinados a suprir os processos de identificação de pessoas, 
equipamentos, sistemas e agentes em geral, os mecanismos de 
autenticação mostram-se fundamentais para os atuais padrões 
de informatização, automação e compartilhamento de informações. 
Sem identifi car a origem de um acesso e seu agente, torna-se prati-
camente inviável realizar autorizações condizentes com os direitos 
de acesso, podendo levar a empresa a compartilhar informações 
valiosas sem controle. Os métodos de autenticação são divididos 
em três grupos devido ao grau de segurança que oferecem. 
 O que você sabe 
 Método largamente adotado e baseado na definição de uma 
senha, portanto uma string pessoal e intransferível entregue ao 
agente autorizado a empregá-la, sendo mantida uma cópia de 
C0030.indd 117C0030.indd 117 06/11/13 5:45 PM06/11/13 5:45 PM
118 CAPÍTULO 6 Orientação ao Security Offi cer
comprovação no instrumento controlador. Nativamente, esse 
método já revela fragilidades, pois a segurança depende de 
fatores internos, como a estrutura de construção e manutenção 
da senha, bem como de fatores externos ao método, como o 
comportamento dos agentes que podem ter desvios de conduta, 
levando ao comprometimento do mecanismo. Compartilhar a 
senha, selecionar uma senha fraca, não mantê-la em segredo 
ou, ainda, manuseá-la sem os critérios adequados podem pôr 
em risco toda a efi ciência do método. 
 Desmistifi cando a classifi cação popular de senha fraca ou 
forte, tome como base os critérios de classifi cação acadêmica 
e prática. Academicamente falando, uma senha pode ser clas-
sifi cada como forte se possuir mais de seis caracteres, misturar 
números, letras maiúsculas, minúsculas e caracteres especiais, 
como colchete, asterisco etc. E pode ser classifi cada como fraca 
se possuir menos de seis caracteres, se for construída apenas por 
números, letras maiúsculas ou minúsculas e, principalmente, 
quando, apesar de possuir tamanho maior, representar alguma 
informação do mundo real, ou seja, nomes próprios, placas de 
automóveis, datas de nascimento etc. 
 Em contrapartida, adotando o critério prático de clas-
sifi cação, uma senha pode assumir o rótulo de forte ou fraca 
dependendo, fundamentalmente, de três fatores: do valor e 
importância das informações protegidas por ela, do tempo em 
que a senha estará cumprindo o papel de proteção, e do poderio, 
interesse e disposição que um suposto interessado despenderia 
para obter acesso à informação protegida. 
 O que você tem 
 Método em adoção crescente baseado na utilização de dis-
positivos físicos que são apresentados em processos de auten-
ticação de acessos. Há um grande conjunto de dispositivos que 
se encaixam nesse perfi l. A escolha do melhor mecanismo está 
diretamente atrelada ao nível de segurança necessário para as 
informações e inevitavelmente ao orçamento disponível. 
 • Cartão com código de barras. 
 • Cartão magnético. 
 • Smartcard. 
 • Token etc. 
 O que você é 
 Ainda em fase de popularização e barateamento, esse método 
emprega dispositivos físicos que realizam métricas biométricas 
C0030.indd 118C0030.indd 118 06/11/13 5:45 PM06/11/13 5:45 PM
1196.7 Implementação de controles de segurança
para identifi car pessoas que exercem o direito de acesso a in-
formações, ambientes etc. Costumeiramente, são equipamentos 
dispendiosos devido à tecnologia de ponta empregada porque 
se baseiam na leitura de informações do corpo humano, que 
são únicas em cada indivíduo. O nível de segurança oferecido 
por cada dispositivo depende diretamente da métrica usada e do 
número de pontos de comparação disponíveis por cada parte 
do corpo analisado. 
 • Geometria das mãos. 
 • Geometria da face. 
 • Identifi cação digital. 
 • Reconhecimento da voz. 
 • Leitura de íris etc. 
 Diante de tantas opções de autenticação e da oferta de diferentes 
níveis de segurança proporcionados por cada método, é fator 
crítico de sucesso para o gestor da segurança analisar em deta-
lhes o perímetro-alvo da autenticação, as reais necessidades 
de proteção impostas pela criticidade das informações e os 
impactos relacionados ao desempenho e montante de inves-
timento demandado. Mesmo assim, podem surgir situações em 
que um único método não atenda aos requisitos mínimos de 
segurança, tornando necessário combinar um ou mais métodos. 
Essas soluções híbridas têm sido uma constante em segmentos 
específi cos, como o fi nanceiro, no qual o cliente, além de pos-
suir um cartão magnético, tem de inserir uma senha fi xa e in-
formações pessoais de comprovação de identidade. 
 Combate a ataques e invasões 
 Destinados a suprir a infraestrutura tecnológica com dispositivos 
de software e hardware de proteção, controle de acesso e conse-
quente combate a ataques e invasões, essa família de mecanismos 
tem papel importante no modelo de gestão de segurança, à me-
dida que as conexões eletrônicas e tentativas de acesso indevido 
crescem exponencialmente. Nessa categoria, existem dispositivos 
destinados ao monitoramento, fi ltragem e registro de acessos 
lógicos, bem como dispositivos voltados para a segmentação de 
perímetros, identifi cação e tratamento de tentativas de ataque. 
 Firewall 
 Velho conhecido dos ambientes de rede, esse dispositivo, que 
pode assumir a forma de um software e também incorporar um 
hardware especializado, tem o papel de realizar análises do 
C0030.indd 119C0030.indd 119 06/11/13 5:45 PM06/11/13 5:45 PM
120 CAPÍTULO 6 Orientação ao Security Offi cer
fl uxo de pacotes de dados, fi ltragens e registros dentro de uma 
estrutura de rede. Como o próprio nome diz, ele representa 
uma parede de fogo que executa comandos de fi ltragem pre-
viamente especifi cados com base nas necessidades de com-
partilhamento, acesso e proteção requeridos pela rede e pelas 
informações disponíveis através dela. 
 Buscando um modelo didático, podemos compará-lo ao 
tradicional fi ltro de água doméstico que, a princípio, é formado 
por um compartimento vazio por onde passa a água supos-
tamente poluída e por um elemento ou vela contendo camadas 
de fi ltragem formadas por diversos materiais. Aopassar por esse 
compartimento, já com o elemento de fi ltragem, as impurezas 
da água são retidas pelas diversas camadas do elemento. Dessa 
forma, o fi ltro poderá ser considerado efi ciente se conseguir 
reter todas as impurezas e permitir a passagem de todos os 
demais componentes benéfi cos à saúde, como sais minerais 
etc. O fi rewall se assemelha ao fi ltro por também necessitar da 
especifi cação de camadas de fi ltragem específi cas para cada em-
presa e situação, com o propósito de impedir acessos indevidos 
que ocorram de dentro ou de fora da rede, registrando essas 
ocorrências e, principalmente, permitindo o tráfego normal de 
pacotes de dados legítimos. Por ser baseado na análise binária 
de parâmetros defi nidos no fi ltro, o fi rewall age sempre da mes-
ma maneira e sem considerar variáveis externas que possam 
modifi car as situações; portanto, a efi ciência de proteção desse 
dispositivo está ligada diretamente à adequada especifi cação e 
manutenção das regras de fi ltragem. 
 É importante lembrar que surgiu uma categoria de fi rewall 
destinada ao usuário fi nal, chamada personal fi rewall , com o 
propósito de estender a segurança e complementar a proteção. 
Obviamente são recursos de software com baixa performance , 
mas adequadamente proporcionais, na maioria das situações, 
ao volume de dados trafegados em uma conexão desse gênero. 
 Detector de intrusos 
 Normalmente chamado pela sigla em inglês IDS, o detector de 
intrusos é um dispositivo complementar ao fi rewall que agrega 
maior inteligência ao processo de combate a ataques e invasões. 
O papel básico do IDS é o de passivamente identifi car pacotes de 
dados suspeitos em uma rede, a partir da comparação destes com 
um conjunto de regras e padrões predeterminados. Diferentemen-
te do fi rewall, o IDS pode ser orientado por uma base de dados 
dinâmica contendo informações sobre comportamentos suspeitos 
C0030.indd 120C0030.indd 120 06/11/13 5:45 PM06/11/13 5:45 PM
1216.7 Implementação de controles de segurança
de pacotes de dados e assinaturas de ataques. É uma verdadeira 
enciclopédia de ameaças consultada a todo o momento para que 
o dispositivo possa transcender a análise binária de situações 
e avaliar a probabilidade de um acesso ser um conhecido tipo 
de ataque ou uma nova técnica de invasão. Ainda não estamos 
falando de inteligência artifi cial; afi nal, a ferramenta não aprende 
com as próprias experiências e não gera conclusões de forma 
autônoma, mas o dispositivo demonstra seu potencial como 
sinalizador de situações que fujam à normalidade. É importante 
ressaltar que, por possuir um grau de inferência sobre possíveis 
situações de risco, o detector de intrusos é responsável por muitos 
falsos positivos, ou seja, por sinalizar situações aparentemente 
estranhas, mas que são legítimas. 
 A evolução do IDS é o IPS, que incorporou ao seu anteces-
sor a capacidade de, além de alertar sobre possíveis ataques 
ou problemas, tomar ações, também predeterminadas, em face 
de uma situação de risco identifi cada, podendo, por exemplo, 
bloquear pacotes de dados advindos de determinado endereço 
lógico, impedindo ou ordenando que o fi rewall ou o roteador 
de borda impeçam que um ataque à rede por eles protegida 
tenha sequência. 
 Conforme suas naturezas, o IDS e o IPS são colocados em 
diferentes pontos de uma rede. O primeiro é basicamente um ex-
pectador, eventualmente alertando sobre possíveis problemas. O 
segundo é um participante ativo, por onde o tráfego de rede deve 
passar, a fi m de possibilitar uma ação efetiva desse mecanis-
mo. Devido a essas características, diversas empresas utilizam 
esses dois mecanismos conjuntamente, a fi m de aumentar sua 
segurança. Nesse caso, é interessante avaliar a colocação do IPS 
na borda, para que atue de forma mais rápida e efi caz, evitando, 
por exemplo, ataques zero-day , e o IDS após o fi rewall, podendo 
alertar sobre ameaças internas e garantir maior controle sobre 
eventos de segurança. 
 Além do IDS e do IPS, existem outros dispositivos que, 
apesar de terem sido desenvolvidos originalmente para outros 
fi ns, incorporaram, com o passar do tempo, recursos que auxiliam 
e, muitas vezes, reforçam atividades de bloqueio e combate a 
ataques. O roteador com fi ltro, por exemplo, incorpora parte 
das funcionalidades de um fi rewall, e o switch, naturalmente 
destinado à melhoria de performance e gerenciamento das redes, 
tem grande aplicabilidade na segmentação lógica das mesmas, 
reduzindo a efi ciência de tentativas de ataque que monitoram o 
meio, grampeando-o, a fi m de capturar informações relevantes. 
C0030.indd 121C0030.indd 121 06/11/13 5:45 PM06/11/13 5:45 PM
122 CAPÍTULO 6 Orientação ao Security Offi cer
Da mesma forma, o proxy , software com o propósito de aumentar 
a performance do acesso ao serviço Web da Internet, através da 
gerência de conteúdo, como se fosse uma memória cache , tem 
o potencial de fi ltrar e registrar acessos proibidos que sinalizam 
o descumprimento das normas da política de segurança. 
 Privacidade das comunicações 
 É inevitável falar de criptografi a quando o assunto é privacidade 
das comunicações. A criptografi a é uma ciência que estuda os 
princípios, meios e métodos para proteger a confi dencialidade 
das informações através da codifi cação ou processo de cifração 
e que permite a restauração da informação original através do 
processo de decifração. Largamente aplicada na comunicação 
de dados, essa ciência se utiliza de algoritmos matemáticos 
e da criptoanálise, para conferir maior ou menor proteção de 
acordo com sua complexidade e estrutura de desenvolvimento. 
Quando vemos sistemas de criptografi a de mensagem ou, por 
exemplo, aplicações que adotam criptografi a, estamos diante 
de situações em que a ciência foi empregada e materializada 
em forma de programas de computador. Existem duas técnicas 
principais de criptografi a. 
 Simétrica ou de chave privada 
 Técnica criptográfi ca que utiliza uma única senha, ou chave, 
para cifrar informações na origem e decifrá-las no destino. 
Apesar de sua excelente performance , entre outras coisas 
pela existência de uma única chave que confere velocidade 
aos processos matemáticos de cálculo, esse método tem uma 
vulnerabilidade nativa presente no processo de envio ou com-
partilhamento da chave simétrica com o destinatário. Usando 
um exemplo hipotético em que se quer enviar uma mensa-
gem criptografada do usuário A para o usuário B, o primeiro 
passo seria criar uma chave simétrica e enviar uma cópia da 
mesma ao destinatário para que ele pudesse decriptografar 
a mensagem após recebê-la. O risco ocorre justamente no 
momento do envio da cópia da chave ao destinatário por não 
ter sido adotado nenhum processo de proteção. Se, exatamente 
nesse momento frágil, apesar da pequena janela de tempo da 
operação, a confi dencialidade da chave for quebrada, todo o 
processo de criptografi a fi cará comprometido; afi nal, qualquer 
um que conheça a chave simétrica poderá decriptografar a 
mensagem interceptada. 
C0030.indd 122C0030.indd 122 06/11/13 5:45 PM06/11/13 5:45 PM
1236.7 Implementação de controles de segurança
 Um dos algoritmos de chave simétrica mais utilizados no 
mundo atualmente é o AES ( Advanced Encryption Standard ), 
publicado em 2001 e até hoje usado como padrão pelo governo 
dos Estados Unidos, com tamanho de bloco de 128 bits e chave 
criptográfi ca de até 256 bits. O tamanho da chave criptográfi ca 
está diretamente ligado ao nível de segurança do algoritmo, 
devido ao aumento exponencial de possibilidades e tentativas 
necessárias para “quebrar”, ou seja, descobrir a chave certa que 
decifre a proteção. 
 Assimétrica ou de chave pública 
 Técnica criptográfi ca que utiliza um par de chaves para cada um 
dos interlocutores, mais especifi camente uma chave privada e ou-
tra pública para o remetente e o destinatário. Dessa forma, com a 
criptografi a assimétrica criada em 1976 por Diffi e eHellman, os 
interlocutores não precisam mais compartilhar uma chave única e 
secreta. Com base no conceito de que para decifrar a criptografi a 
é necessário possuir as duas chaves matematicamente relaciona-
das, pública e privada, o remetente só precisa da chave pública 
do destinatário para garantir a confi dencialidade da mensagem e 
permitir que o destinatário consiga decifrar a mensagem. 
 Como o próprio nome diz, a chave privada pertence ex-
clusivamente ao seu proprietário e deve ser mantida em segredo. 
A pública, por sua vez, pode e deve ser compartilhada e estar 
disponível a qualquer interessado em enviar uma mensagem de 
forma criptografada. Essa técnica ainda reserva recursos com-
plementares, como a assinatura digital, obtida pela utilização da 
chave privada para fazer uma “marca binária” na mensagem, 
sinalizando ter sido escrita e enviada pelo seu proprietário. O 
certifi cado digital é um instrumento eletrônico que atesta a ve-
racidade da chave pública do usuário, conferindo autenticidade 
ao documento assinado digitalmente. 
 Não podemos esquecer, também, da função HASH, que 
confere a possibilidade de verifi car a integridade de uma men-
sagem a partir da comparação, no destino, do resultado obtido 
pela aplicação da função. Quando os resultados obtidos pela 
função na origem não coincidem com os resultados obtidos no 
destino, tem-se a indicação de que a mensagem sofreu qualquer 
tipo de alteração, mesmo que muito pequena. 
 Aparentemente, essa técnica se mostra perfeita, se não fosse 
pelo fato de possuir baixa performance , chegando a consumir 
centenas ou milhares de vezes mais tempo para ser processada 
se compararmos com a técnica simétrica. 
C0030.indd 123C0030.indd 123 06/11/13 5:45 PM06/11/13 5:45 PM
124 CAPÍTULO 6 Orientação ao Security Offi cer
 Devido aos problemas presentes em ambas as técnicas, foi 
encontrada uma solução híbrida a partir da união de técnicas que 
permitiu usufruir da performance da simétrica e da segurança e 
funções satélites de assinatura digital e validação de integridade 
proporcionadas pela técnica assimétrica. De posse do par de 
chaves pública e privada, o remetente gera a chave simétrica 
e insere uma cópia em uma nova mensagem, método que se 
convencionou chamar de envelopamento, criptografando-a com 
a chave pública do destinatário. Este, por sua vez, ao receber a 
mensagem confi dencial, lança mão de sua chave privada para 
decifrá-la, obtendo acesso à cópia da chave simétrica. A partir 
desse momento, em que ambos estão de posse da chave simétri-
ca enviada e recebida em segurança, o processo de comunicação 
criptografada pode ser reiniciado adotando essa mesma chave 
simétrica que vai conferir a velocidade necessária para viabilizar 
a troca de informações. 
 Virtual Private Network 
 Essa solução, comumente chamada pelo acrônimo VPN, é fruto 
da aplicação de criptografi a entre dois pontos distintos através 
de uma rede pública ou de propriedade de terceiros. O resultado 
da adoção de criptografi a é a criação de um túnel seguro que 
garante a confi dencialidade das informações sem, no entanto, 
absorver os riscos nativos de uma rede que transcende seus 
limites de controle. Dessa forma, a empresa passa a ter uma 
rede virtual privada, ou seja, a tecnologia viabiliza o uso de 
uma rede nativamente insegura como se parte dela fosse privada 
pela segurança agregada pelo tunelamento. Para cumprir o papel 
de extensão de sua rede corporativa, a VPN precisa garantir o 
mínimo de performance a fi m de viabilizar conexões com fi liais 
e parceiros, usufruindo, assim, dos benefícios de capilaridade 
e redundância que a Internet, por exemplo, oferece. Assim, 
são implementadas por software e hardware especializados e 
capazes de processar a codifi cação e a decodifi cação dos pacotes 
de dados com extrema velocidade e competência. 
 Existe também a categoria de Virtual Private Network des-
tinada ao usuário fi nal, chamada personal VPN , com o propósito 
de permitir conexões remotas seguras. Com o avanço tecnológi-
co atual, a performance de soluções desse tipo, implementadas 
por software, que originalmente era bastante inferior àquelas 
implementadas por hardware, tornou-se plenamente satisfató-
ria e adequada, na maioria das situações, ao volume de dados 
trafegados em uma conexão desse gênero. 
C0030.indd 124C0030.indd 124 06/11/13 5:45 PM06/11/13 5:45 PM
1256.7 Implementação de controles de segurança
 Public Key Infrastructure 
 É possível notar a grande aplicabilidade do certificado digital 
em processos de autenticação e criptografi a, na publicação de in-
formações, acessos a ambientes físicos, aplicações e equipamentos, 
envio de mensagens eletrônicas, redes virtuais privadas ou na troca 
eletrônica de informações em geral. Sua versatilidade e potencial 
de crescimento trazem à tona um potencial problema: o gerencia-
mento do processo de emissão, revogação, guarda e distribuição; 
afinal, para que os documentos e processos possam assumir a 
credibilidade do agente ou usuário do dispositivo, a mesma deve 
ter sido herdada do processo de gerenciamento do dispositivo. Por 
causa dessa necessidade, a tecnologia PKI (infraestrutura de chaves 
públicas, em português) reúne recursos de software e serviços para 
suportar a montagem de um processo de gestão de certifi cados. 
Buscando um exemplo que privilegie a didática, podemos fazer 
uma analogia com os cartórios tradicionais. Para que a compra 
de um bem seja concretizada, muitos documentos precisam ser 
autenticados por uma estrutura que tenha fé pública ou, no míni-
mo, confi ança das partes envolvidas na transação. Esse processo 
requer a presença física para identifi cação das partes através de 
documentos, comprovação visual da autenticidade dos documentos 
originais para, então, estender a originalidade às cópias. De forma 
similar, o processo de certifi cação digital implementado com a 
infraestrutura de PKI requer a identifi cação prévia das partes para, 
só então, emitir o instrumento digital. Além disso, essa mesma 
estrutura tem de estar orientada por uma política específi ca e ser 
capaz de reemitir, revogar, distribuir e, principalmente, manter sob 
altos critérios de confi dencialidade, integridade e disponibilidade o 
segredo do processo: a chave privada e seus critérios de concepção. 
 A percepção da importância técnica do assunto e, princi-
palmente, dos fatores legais que envolvem a responsabilização 
de pessoas e empresas pela relação eletrônica de informações 
reconhecidas como legítimas já chegou ao setor público. O 
interesse do governo é orientar e subsidiar uma base comum 
de construção de infraestruturas de chaves pública para, no 
primeiro momento, garantir o reconhecimento mútuo das em-
presas e a administração pública federal dentro do país e, em 
um segundo momento, viabilizar o reconhecimento por outras 
estruturas internacionais integradas, que fomentarão o comércio 
eletrônico, as relações governamentais e empresariais. O refl exo 
desse movimento se materializou em agosto de 2001, através 
da medida provisória 2002-2, que institui uma infraestrutura de 
chaves públicas do Brasil, ou ICP-Brasil. 
C0030.indd 125C0030.indd 125 06/11/13 5:45 PM06/11/13 5:45 PM
126 CAPÍTULO 6 Orientação ao Security Offi cer
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 62 da 
Constituição, adota a seguinte Medida Provisória, com força de lei: 
Art. 1º Fica instituída a Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, para 
garantir a autenticidade, a integridade e a validade jurídica de documentos em forma 
eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados 
digitais, bem como a realização de transações eletrônicas seguras. 
Art. 2º A ICP-Brasil, cuja organização será definida em regulamento, será composta por 
uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras compostas 
pela Autoridade CertificadoraRaiz – AC Raiz, pelas Autoridades Certificadoras – AC e 
pelas Autoridades de Registro – AR. 
Art. 3º A função de autoridade gestora de políticas será exercida pelo Comitê Gestor da 
ICP-Brasil, vinculado à Casa Civil da Presidência da República e composto por cinco 
representantes da sociedade civil, integrantes de setores interessados, designados pelo 
Presidente da República, e um representante de cada um dos seguintes órgãos, indicados 
por seus titulares: 
I – Ministério da Justiça; 
II – Ministério da Fazenda; 
III – Ministério do Desenvolvimento, Indústria e Comércio Exterior; 
IV – Ministério do Planejamento, Orçamento e Gestão; 
V – Ministério da Ciência e Tecnologia; 
VI – Casa Civil da Presidência da República; e 
VII – Gabinete de Segurança Institucional da Presidência da República. 
§ 1º A coordenação do Comitê Gestor da ICP-Brasil será exercida pelo representante da 
Casa Civil da Presidência da República. 
§ 2º Os representantes da sociedade civil serão designados para períodos de dois anos, 
permitida a recondução. 
§ 3º A participação no Comitê Gestor da ICP-Brasil é de relevante interesse público e 
não será remunerada. 
§ 4º O Comitê Gestor da ICP-Brasil terá uma Secretaria Executiva, na forma do 
regulamento. 
Art. 4º Compete ao Comitê Gestor da ICP-Brasil: 
I – adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-
Brasil; 
II – estabelecer a política, os critérios e as normas técnicas para o credenciamento das 
AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os 
níveis da cadeia de certificação; 
III – estabelecer a política de certificação e as regras operacionais da AC Raiz; 
IV – homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço; 
V – estabelecer diretrizes e normas técnicas para a formulação de políticas de 
certificados e regras operacionais das AC e das AR e definir níveis da cadeia de 
certificação; 
 FIGURA 6.22 
 Trecho da MP2200-2 publicada no Diário Ofi cial de 27/8/2001. 
C0030.indd 126C0030.indd 126 06/11/13 5:45 PM06/11/13 5:45 PM
1276.7 Implementação de controles de segurança
§ 2º O disposto nesta Medida Provisória não obsta a utilização de outro meio de 
comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os 
que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes 
como válido ou aceito pela pessoa a quem for oposto o documento. 
Art. 11º A utilização de documento eletrônico para fins tributários atenderá, ainda, ao 
disposto no art. 100 da Lei no 5.172, de 25 de outubro de 1966 – Código Tributário 
Nacional. 
VI – aprovar políticas de certificados, práticas de certificação e regras operacionais, 
credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz 
a emitir o correspondente certificado; 
VII – identificar e avaliar as políticas de ICP externas, negociar e aprovar acordos de 
certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas 
de cooperação internacional, certificar, quando for o caso, sua compatibilidade com a ICP-
Brasil, observado o disposto em tratados, acordos ou atos internacionais; e 
VIII – atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a 
ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema 
e a sua conformidade com as políticas de segurança. 
Parágrafo único. O Comitê Gestor poderá delegar atribuições à AC Raiz. 
Art. 5o A AC Raiz, primeira autoridade da cadeia de certificação, executora das 
políticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor 
da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das 
AC de nível imediatamente subsequente ao seu, gerenciar a lista de certificados emitidos, 
revogados e vencidos, e executar atividades de fiscalização e auditoria das AC e das AR e 
dos prestadores de serviço habilitados na ICP, em conformidade com as diretrizes e 
normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil, e exercer outras 
atribuições que lhe forem cometidas pela autoridade gestora de políticas. 
Parágrafo único. É vedado à AC Raiz emitir certificados para o usuário final. 
Art. 6º As AC, entidades credenciadas a emitir certificados digitais vinculando pares de 
chaves criptográficas ao respectivo titular, competem emitir, expedir, distribuir, revogar e 
gerenciar os certificados, bem como colocar à disposição dos usuários listas de 
certificados revogados e outras informações pertinentes e manter registro de suas 
operações. 
Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio titular 
e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento. 
Art. 7º As AR, entidades operacionalmente vinculadas à determinada AC, compete 
identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados 
às AC e manter registros de suas operações. 
Art. 8º Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, 
poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas 
jurídicas de direito privado. 
Art. 9º É vedado a qualquer AC certificar nível diverso do imediatamente subsequente 
ao seu, exceto nos casos de acordos de certificação lateral ou cruzada, previamente 
aprovados pelo Comitê Gestor da ICP-Brasil. 
Art. 10º Consideram-se documentos públicos ou particulares, para todos os fins legais, 
os documentos eletrônicos de que trata esta Medida Provisória. 
§ 1º As declarações constantes dos documentos em forma eletrônica produzidos com a 
utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se 
verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de 
janeiro de 1916 – Código Civil. 
FIGURA 6.22 (cont.)
C0030.indd 127C0030.indd 127 06/11/13 5:45 PM06/11/13 5:45 PM
128 CAPÍTULO 6 Orientação ao Security Offi cer
 Esteganografi a 
 Existem outras técnicas voltadas à privacidade no envio de in-
formações. Esta, em especial, ganhou o conhecimento público 
através dos fi lmes de agentes secretos e do triste atentado terro-
rista de setembro de 2001. A técnica propõe o uso de métodos de 
camufl agem de informações sigilosas em mensagens e arquivos 
aparentemente inofensivos que só poderiam ser extraídas pelo 
destinatário, que detém o conhecimento do mapa de camu-
fl agem. Esses métodos podem ser aplicados a arquivos binários, 
voz analógica, imagens eletrônicas e até mesmo a vídeo, em que 
os gestos aparentemente comuns podem esconder mensagens 
ocultas. Esse método mostra um ponto positivo, devido ao fato 
de não sinalizar a potenciais atacantes que determinada mensa-
gem carrega informações notoriamente sigilosas, diferentemente 
da criptografi a que, por estar cifrada, já denuncia sua condição 
e classifi cação. 
 6.8 TREINAMENTO E SENSIBILIZAÇÃO 
EM SEGURANÇA 
 Os recursos humanos são considerados o elo mais frágil da 
corrente, pois são responsáveis por uma ou mais fases de pro-
cesso de segurança da informação. Essa situação é ratifi cada 
pelo fato de o peopleware não ter um comportamento binário e 
previsível em que se possa eliminar todas as vulnerabilidades 
presentes. O ser humano é uma máquina complexa, dotada de 
iniciativa e criatividade, que sofre interferência de fatores exter-
nos, provocando comportamentos nunca antes experimentados. 
O fator surpresa é um dos pontos nevrálgicos dos processos de 
segurança que dependem das pessoas. Se especifi carmos normas 
de criação, manuseio, armazenamento, transporte e descarte de 
senhas, implementaremos recursos tecnológicos de auditoria 
e autenticação de acesso para tornar um ambiente mais seguro e 
poderemos ter a efi ciência dessas iniciativas posta em dúvida 
à medida que um recurso humano descumpra as instruções da 
política de segurança e compartilhe sua senhasupostamente 
pessoal e intransferível. 
 Esses riscos precisam ser tratados de forma gradativa, obje-
tivando formar uma cultura de segurança que se integre às ativi-
dades dos funcionários e passe a ser vista como um instrumento 
de autoproteção. As ações devem ter a estratégia de compartilhar 
a responsabilidade com cada indivíduo, transformando-o em 
C0030.indd 128C0030.indd 128 06/11/13 5:45 PM06/11/13 5:45 PM
1296.8 Treinamento e sensibilização em segurança
coautor do nível de segurança alcançado. Somente dessa forma 
as empresas terão, em seus funcionários, aliados na batalha de 
redução e administração dos riscos. 
 Muitas são as formas de iniciar a construção da cultura de 
segurança. Algumas delas se aplicam a públicos com perfi s di-
ferentes; outras se aplicam a todos os perfi s, mas em momentos 
distintos. 
 Seminários 
 O trabalho deve começar com seminários abertos voltados a 
compartilhar a percepção dos riscos associados às atividades da 
empresa, os impactos potenciais no negócio e, principalmente, 
o comprometimento dos processos críticos se alguma ameaça 
se concretizar. Dessa forma, cada funcionário passa a se enxer-
gar como uma engrenagem da máquina e corresponsável por 
seu bom funcionamento, podendo gerar impactos diretos ao seu 
processo e indiretos a processos adjacentes. 
 Campanha de divulgação 
 É importante que a empresa disponha de uma política de se-
gurança atualizada e alinhada às necessidades e estratégias do 
negócio, mas é fundamental que ela seja reconhecida pelos 
funcionários como o manual de segurança da empresa. Suas 
diretrizes devem ser conhecidas por todos, e suas normas, pro-
cedimentos e instruções específi cas devem ser apresentados a 
cada grupo com perfi l de atividade semelhante. Assim, cada 
membro percebe suas responsabilidades dentro de um modelo de 
segurança único, motivando-o a colaborar. Mas não é sufi ciente. 
Lembre-se de que os resultados efetivos de comprometimento 
ocorrem lentamente e, muitas vezes, requerem ações comple-
mentares. 
 Por isso, a campanha deverá lançar mão de diversos artifícios 
para comunicar os padrões, critérios e instruções operacionais, 
como cartazes, jogos, peças promocionais, protetores de tela, 
e-mails informativos, e-mails de alerta, comunicados internos, 
páginas especializadas na Intranet etc. 
 Carta do presidente 
 Como instrumento de ofi cialização dos interesses da empresa 
em adequar o nível de segurança de suas informações a partir do 
envolvimento de todos os níveis hierárquicos, é conveniente que 
C0030.indd 129C0030.indd 129 06/11/13 5:45 PM06/11/13 5:45 PM
130 CAPÍTULO 6 Orientação ao Security Offi cer
o presidente, CEO ou CIO externe essa vontade ofi cialmente. A 
carta do presidente tem esse papel e é disponibilizada, quando 
não encaminhada a cada funcionário, dando um caráter formal 
ao movimento. Por vezes, esse documento aparentemente sim-
ples é responsável por muitos apoios espontâneos e o natural 
fortalecimento do plano estratégico de segurança da informação. 
 Termo de responsabilidade e confi dencialidade 
 Considerado mais um importante instrumento de sensibili-
zação e formação de cultura, o termo de responsabilidade e 
confi dencialidade tem o propósito de formalizar o compromis-
so e o entendimento do funcionário diante de suas novas res-
ponsabilidades relacionadas à proteção das informações que 
manipula. Além disso, esse termo se encarrega de divulgar as 
punições cabíveis por desvios de conduta e, ainda, esclarecer 
que a empresa é o legítimo proprietário dos ativos, incluindo 
as informações que fl uem pelos processos de negócio e ora são 
temporariamente custodiadas pelas pessoas. 
 Cursos de capacitação e certifi cação 
 Dentro do quadro de funcionários, existem perfi s profi ssionais 
que necessitam de maior domínio dos conceitos, métodos e 
técnicas de segurança, podendo inclusive variar sua área de 
interesse e profundidade. Os administradores de rede, por exem-
plo, precisam estar preparados para reagir às tentativas de ataque 
e invasão ou contingenciar situações de risco. O Security Offi cer , 
por sua vez, deve ter condições de defi nir, medir e avaliar os 
índices e indicadores de segurança para subsidiar seus planos de 
gestão e seu planejamento de trabalho, a fi m de garantir a total 
integração das ações e, principalmente, alcançar os objetivos. 
Para todos esses casos, não bastam os seminários, as campanhas 
de conscientização ou a carta do presidente. Eles precisam de 
capacitação formal através de cursos especializados, que pro-
põem uma certifi cação como instrumento de reconhecimento da 
competência. Pela heterogeneidade de perfi s, surgem demandas 
de cursos verticalmente técnicos, voltados a capacitar recursos 
em determinada tecnologia de segurança, bem como demandas 
para orientação e preparação de Security Offi cers . Entretanto, é 
relevante destacar a necessidade de processos contínuos de sen-
sibilização e capacitação das pessoas, sob pena de ter a equipe 
estagnada e, brevemente, despreparada para a administração das 
novas situações de risco. 
C0030.indd 130C0030.indd 130 06/11/13 5:45 PM06/11/13 5:45 PM
1316.10 Administração e monitoração de segurança
 6.9 EQUIPE PARA RESPOSTA A INCIDENTES 
 A velocidade com que uma empresa responde a situações de 
risco, como o aparecimento de uma nova vulnerabilidade, a 
indisponibilidade de ativos, ataques e invasões e tentativas de 
sabotagem, determina o tempo em que a empresa estará exposta 
e sujeita aos impactos associados. 
 Por causa da complexidade dos parques tecnológicos, da 
velocidade com que surgem novas falhas de segurança, vírus de 
computador e, principalmente, por causa da exigência crescente 
de integração, conectividade e compartilhamento, ter e manter 
uma equipe de segurança faz a diferença. 
 Como já foi comentado anteriormente, essa complexidade 
pode demandar um volume de recursos tão grande que pode 
deixar de ser interessante mantê-los. Investir de maneira des-
proporcional em equipes de segurança quando o core business 
de sua empresa está distante desse fi m não é uma das coisas 
mais inteligentes a fazer, salvo exceções em que vale a pena 
esse investimento, devido à natureza dos produtos e serviços 
da empresa. 
 Em ambos os casos, seja com recurso próprio ou terceiri-
zado, a empresa precisa construir um modelo de contratação e 
acionamento de equipes de tal forma integradas e sintonizadas, 
que consigam oferecer efi ciência e imprimir grande velocidade 
na resposta a incidentes. Parte dos resultados positivos desse 
modelo está ligada à fi gura do coordenador, mais especifi ca-
mente o Security Officer , que, a partir do conhecimento do 
negócio e da visão corporativa, defi nirá as diretrizes de trabalho 
das equipes. 
 De qualquer forma, vemos a dependência de profi ssionais es-
pecializados em múltiplas tecnologias e constantemente atuali-
zados, para que se mantenham aptos a reagir antes que seja tarde. 
 6.10 ADMINISTRAÇÃO E MONITORAÇÃO 
DE SEGURANÇA 
 É comum julgar que essa atividade possa signifi car o fi m do 
trabalho, mas na verdade representa o recomeço. É uma alça 
de realimentação do processo de gestão de segurança, com 
o propósito binário de medir os resultados alcançados pelas 
atividades predecessoras e de gerar novos indicadores de mu-
dança. Através do acompanhamento de índices e indicadores 
C0030.indd 131C0030.indd 131 06/11/13 5:45 PM06/11/13 5:45 PM
132 CAPÍTULO 6 Orientação ao Security Offi cer
de segurança defi nidos pelo Security Offi cer , torna-se possível 
perceber desvios de conduta, sobrecarga de infraestruturas, 
tentativas de ataque e invasão, inefi ciência dos controles im-
plementados e, principalmente, presença de mudanças físicas, 
tecnológicas ou humanas que venham a provocar a oscilação 
do nível de segurança. 
 A auditoria faz parte desse universo e pode ser realizada 
com instrumentos automatizados e manuais. São dispositivos 
capazesde registrar acessos, sinalizar a transposição de períme-
tros, bloquear comportamentos em ambiente físico e eletrônico, 
bem como métodos que requerem presença física em busca de 
evidências materiais que denotem inadequação de ambientes, 
descumprimento da política e comportamentos de risco tomados 
por recursos humanos. De forma complementar, ainda existem 
dispositivos classifi cados como Policy Enforcement , ou seja, 
instrumentos físicos e tecnológicos que visam forçar o cum-
primento das regras defi nidas pela empresa, obrigando de forma 
impositiva que as mesmas sejam seguidas. Se há qualquer proi-
bição de acesso a determinado site da Internet, por exemplo, e 
um funcionário ignora a restrição e tenta estabelecer a conexão, 
um software pode cumprir o papel de controlador, bloquear o 
acesso e registrar a ocorrência. A propósito, o mecanismo de 
registro de ocorrências é ferramenta fundamental para garantir 
o sucesso da administração e monitoração de segurança. É 
ótima fonte de informação para medir o grau de aderência dos 
funcionários, o índice de efi ciência dos controles e, ainda, per-
ceber falhas de segurança que permaneceram mesmo depois dos 
controles implementados. 
 É imprescindível que o Security Offi cer identifi que os con-
troles adequados que vão gerar índices para o monitoramento, 
de acordo com as necessidades específi cas da empresa. É bem 
verdade que muitos deles se aplicam a todas as empresas, mas há 
sempre o personalizar para atender, principalmente, às expectati-
vas de acompanhamento dos executivos patrocinadores. Muitas 
vezes, dependendo do grau de maturidade do corpo diretor, esses 
monitoramentos geram um Security Index que chega a se integrar 
ao conjunto de índices corporativos do Balance Score Card . 
 Vale lembrar a tendência das análises de risco em orientar-se 
por controles de segurança, como os sugeridos pela ISO 27002. 
Esses mesmos controles, somados aos critérios, padrões e regras 
defi nidas pela política de segurança da própria empresa, são uma 
ótima referência para suportar as ações de auditoria, servindo 
de parâmetro de conformidade. Hoje, de fato, já percebemos 
C0030.indd 132C0030.indd 132 06/11/13 5:45 PM06/11/13 5:45 PM
1336.11 O risco da conformidade
em muitas empresas a sinergia dos conceitos empregados no 
estabelecimento do sistema de gestão da qualidade, da norma 
ISO 9001 e do sistema de gestão da segurança da informação, 
da norma ISO 27001. 
 6.11 O RISCO DA CONFORMIDADE 
 O modelo de GRC, como já descrito no Capítulo 4 , surgiu na 
primeira década deste século com um acrônimo dos conceitos 
de governança, risco e conformidade. Esse modelo aproxima as 
responsabilidades do Security Offi cer da alta gestão das empre-
sas, pelos aspectos de controle e garantia de que a organização 
não seja afetada negativamente por uma gestão inadequada, 
fazendo-o atuar de forma a garantir o direcionamento de inves-
timentos em controles de segurança com base nas reais neces-
sidades do negócio. 
 Como qualquer novo modelo de gestão, há que se pensar 
que ainda existe muito o que evoluir e amadurecer para que 
tenhamos efetividade plena, mas já existem algumas avaliações 
dos melhores caminhos a seguir e do que evitar nesse processo. 
O principal talvez seja evitar uma distorção de foco que faça 
com que o modelo penda para um dos lados e se desequilibre. 
 Uma tendência forte é utilizar um approach para a segurança 
com base na conformidade ( compliance-driven ), fortemente 
defendido por áreas de auditoria e empresas do ramo, imagi-
nando-se que ao identifi car os requisitos regulatórios, legais e 
normativos com os quais se deve garantir conformidade e im-
plementar os controles necessários de forma a obter, por exem-
plo, uma certifi cação, sua organização estaria sufi cientemente 
segura. Na realidade, isso não pode ser considerado verdadeiro. 
Conformidade com uma norma garante que, no escopo avaliado, 
os requisitos existentes nessa norma foram atendidos, mas, mes-
mo que o escopo seja toda a empresa, o que pode inviabilizar 
uma certifi cação ou mesmo uma auditoria, difi cilmente vai ser 
possível garantir que não exista mais nenhuma vulnerabilidade 
que não tenha sido adequadamente controlada e possa ser ex-
plorada nesse escopo. 
 De acordo com o SANS Intitute ( www.sans.org ), “ao longo 
dos anos, muitos padrões de segurança e estruturas de requisitos 
têm sido desenvolvidos na tentativa de enfrentar os riscos aos 
sistemas corporativos e aos dados críticos em si. No entanto, a 
maioria desses esforços têm se tornado essencialmente exercícios 
C0030.indd 133C0030.indd 133 06/11/13 5:45 PM06/11/13 5:45 PM
134 CAPÍTULO 6 Orientação ao Security Offi cer
de elaboração de relatórios sobre conformidade e têm, de fato, 
desviado recursos do programa de segurança contra os ataques 
em constante evolução, que devem ser abordados”. 
 Talvez a melhor estratégia para o Security Offi cer seja com-
binar diversos approaches e imaginar que o melhor caminho é 
trabalhar para garantir a sobrevivência organizacional. De fato, o 
foco da segurança nessa perspectiva seria o de detectar e responder 
a qualquer falha de segurança de forma rápida e efetiva, buscando 
sempre limitar a um mínimo os impactos negativos de um evento, 
de forma que a operação continue, a despeito de condições degra-
dadas. Essa fi losofi a sustenta-se na premissa de que é impossível 
proteger completamente uma organização das ameaças a que ela 
está exposta. Dessa forma, além do trabalho constante com foco 
na melhor implantação possível dos controles de segurança e 
GRC necessários, a organização deve planejar-se para a falha, de 
forma que ela possa acontecer da forma mais previsível e segura 
possível, com base em processos sólidos e adequada gestão da 
continuidade dos negócios. 
C0030.indd 134C0030.indd 134 06/11/13 5:45 PM06/11/13 5:45 PM
135
CAPÍTULO
 7 Knowledge Checkpoint 3 
 Orientação ao Security Offi cer 
 Solução corporativa de segurança da informação 
 CONCEITO: Segurança é a gestão inteligente da informação 
em todos os ambientes, independentemente de sua forma. Con-
trole e segmentação são as melhores palavras para representar 
esse desafi o. 
 Plano diretor de segurança 
 CONCEITO: A metodologia aplicada na confecção do plano di-
retor de segurança já adota atividades de diagnóstico, porém em 
caráter mais estratégico e orientado às necessidades do negócio 
como um todo; portanto, não há confl ito com a análise de riscos. 
Um PDS bem estruturado é fundamental para a coerência e a 
integração das atividades subsequentes do ciclo PDCA. 
 Continuidade de negócios 
 CONCEITO: Para garantir a efi ciência da gestão de continui-
dade de negócios, é preciso construir um processo dinâmico de 
manutenção de todos os documentos, garantindo a integração 
e a efi cácia em situações de desastre. Desenvolver os planos 
necessários a partir de uma análise de riscos prévia e de uma 
análise de impacto nos negócios é a melhor forma de aumentar 
a efi cácia e o retorno sobre os investimentos. 
 Política de segurança da informação 
 CONCEITO: Forme um grupo multidisciplinar, integrando 
necessidades e visões distintas e enriquecedoras. Defi na um 
processo de criação, manutenção e divulgação da política. En-
volva a alta direção e inicie os trabalhos com a elaboração das 
diretrizes e principais normas. Comece pequeno, mas pense 
grande. A maturidade de segurança de uma empresa está ligada 
diretamente à abrangência de sua política de segurança e à dis-
seminação de cultura por seus ativos humanos. 
C0035.indd 135C0035.indd 135 06/11/13 9:05 AM06/11/13 9:05 AM
136 CAPÍTULO 7 Knowledge
 Análise de riscos e vulnerabilidades 
 CONCEITO: Para extrair todo o potencial de uma análise de 
riscos, é preciso considerar em seu escopo todo o espectro 
de ativos presentes no ambiente corporativo que, de forma direta 
ou indireta, suportam seus processos de negócio. Além dis-
so,é fator crítico de sucesso mapear os relacionamentos dos 
processos com os ativos, pois só assim será possível gerar um 
diagnóstico efetivamente orientador e alinhado com os interesses 
da empresa. 
 Teste de invasão 
 CONCEITO: O teste de invasão não se propõe a mapear todas as 
falhas de segurança, mas a experimentar a exploração de qual-
quer controle de segurança em busca de um ponto vulnerável, 
a fi m de demonstrar a fragilidade da empresa. Sua qualidade 
está diretamente ligada à sua efi ciência em reproduzir situações 
próximas à realidade. 
 Implementação de controles de segurança 
 CONCEITO: O sucesso da atividade de implementação de con-
troles de segurança está diretamente ligado à etapa preliminar 
de dimensionamento das necessidades, projeção de impactos e, 
principalmente, da segmentação de perímetros físicos, tecno-
lógicos e humanos que permitirá empregar os controles certos 
que ofereçam o nível de segurança mais adequado para cada 
situação. 
 Treinamento e sensibilização em segurança 
 CONCEITO: O nível de segurança de uma corrente é equiva-
lente à resistência oferecida pelo elo mais fraco. O peopleware 
representa justamente esse elo; por isso, deve ser alvo de um 
programa contínuo e dinâmico, capaz de manter os recursos 
humanos motivados a contribuir, conscientes de suas respon-
sabilidades e preparados para agir diante de antigas e novas 
situações de risco. 
 Equipe para resposta a incidentes 
 CONCEITO: A segurança do negócio depende do tempo em que 
a empresa mantém seus ativos vulneráveis e à mercê de ameaças 
que podem explorá-las. Pela complexidade dos ambientes e a 
velocidade com que as mudanças surgem, é preciso manter ou 
acionar uma equipe multiespecializada capaz de agir de forma 
integrada e com velocidade para reduzir o tempo de exposição, 
minimizando os impactos. 
C0035.indd 136C0035.indd 136 06/11/13 9:05 AM06/11/13 9:05 AM
137 Knowledge
 Administração e monitoração de segurança 
 CONCEITO: O nível de segurança de uma organização tende a 
oscilar sempre que ocorrer uma mudança endógena ou exóge-
na; por causa disso, é condição de sucesso montar um modelo 
de administração e monitoração de controles de segurança, 
formado por índices e indicadores importantes para o negócio, 
a fi m de retroalimentar o processo de gestão coordenado pelo 
 Security Offi cer . Esses insumos é que vão provocar mudanças 
de direcionamento, priorização e otimização do retorno sobre 
o investimento. 
 O risco da conformidade 
 CONCEITO: Cuidado para não acreditar que, por estar con-
forme ou mesmo certifi cada em uma norma, sua empresa está 
segura. Isso não é verdade. Foque em detecção e resposta, bus-
cando a continuidade da operação mesmo em condições degra-
dadas. Trabalhe diligente e constantemente na implementação 
de controles adequados e planeje-se para a falha. Coloque em 
prática processos consistentes que, em caso de falha, o façam 
da forma mais previsível e segura possível. 
C0035.indd 137C0035.indd 137 06/11/13 9:05 AM06/11/13 9:05 AM
C0035.indd 138C0035.indd 138 06/11/13 9:05 AM06/11/13 9:05 AM
139
CAPÍTULO
 8 Conformidade com a norma ISO 27002 
 Para que serve uma norma ISO? Muitos de nós nunca fi zemos 
essa pergunta, apesar de estarmos cotidianamente em contato 
com produtos certifi cados, com empresas que possuem o reco-
nhecimento de organismos certifi cadores e, em alguns casos, 
com relações comerciais business to business que só ocorrem 
pela presença mútua de conformidade com determinada norma. 
De forma didática, podemos dizer que uma norma tem o pro-
pósito de defi nir regras, padrões e instrumentos de controle que 
garantam uma padronização a um processo, produto ou serviço. 
 Mas por que tantas empresas buscam adesão a essas normas? 
Em uma economia tradicional e saudável, as empresas repre-
sentam engrenagens de um sistema complexo em que há trocas 
constantes de bens e serviços, através da utilização da moeda, 
para concretizar as relações fi nanceiras. Diante disso, é saudável 
que todas as empresas procurem uma base comum que facilite 
a interação e a confi ança entre elas e, oportunamente, busquem 
elementos que as projetem mais, conquistando diferenciais 
competitivos. Essa é a lei de mercado. 
 As normas surgiram para sugerir bases comuns, cada qual 
com a sua especifi cidade, como vemos na ISO 9001 (Qualidade) 
e na ISO 14000 (Meio Ambiente). São exemplos de critérios, 
padrões e instrumentos de controle, aplicáveis parcial ou total-
mente em função da natureza de cada negócio, que acabaram 
formando cultura e recebendo o reconhecimento mundial de 
segmentos específi cos. 
 O mercado atingiu um nível de automação, de comparti-
lhamento de informações e de dependência tal que motivou 
a elaboração e a compilação de uma norma específica para 
orientar a padronização de uma base comum voltada para a 
gestão da segurança da informação. Essa norma é a NBR ISO/
IEC 27002:2013, publicada pela ABNT (Associação Brasileira 
de Normas Técnicas). 
C0040.indd 139C0040.indd 139 06/11/13 9:20 AM06/11/13 9:20 AM
140 CAPÍTULO 8 Conformidade…
 Originalmente derivada da primeira parte da norma britâ-
nica BS 7799, que deu origem à norma internacional ISO/IEC 
17799:2000 após avaliação e proposição de pequenos ajustes, a 
ISO 27002 defi ne um código de prática para a gestão de seguran-
ça da informação. Além das quatro seções iniciais, que defi nem 
aspectos gerais de segurança, a norma contém 14 seções (ou 
domínios) que apresentam um total de 35 agrupamentos que 
se expandem em 114 controles. Por se tratar de um código de 
prática, essa parte da norma não é objeto de certifi cação, mas 
recomenda um amplo conjunto de controles que subsidiam os 
responsáveis pela gestão corporativa de segurança da informação. 
 Domínios: 
 • Políticas de segurança da informação 
 • Organização da segurança da informação 
 • Segurança em recursos humanos 
 • Gestão de ativos 
 • Controle de acesso 
 • Criptografi a 
 • Segurança física e do ambiente 
 • Segurança nas operações 
 • Segurança nas comunicações 
 • Aquisição, desenvolvimento e manutenção de sistemas 
 • Relacionamento na cadeia de suprimento 
 • Gestão de incidentes de segurança da informação 
 • Aspectos da segurança da informação na gestão da 
continuidade do negócio 
 • Conformidade. 
 Complementarmente à ISO 27002, a NBR ISO/IEC 27001:2013, 
derivada da segunda parte da norma britânica BS 7799, defi ne 
o SGSI (sistema de gestão de segurança da informação), que 
permite a certifi cação de empresas, nos mesmos moldes que a 
ISO 9001. 
 8.1 FRAMEWORK E OS CONTROLES 
DE SEGURANÇA 
 O framework de segurança defi nido pela ISO 27001 estabelece 
um SGSI (sistema de gestão de segurança da informação) e inclui 
os mesmos 114 controles sugeridos e detalhados pela norma ISO 
27002, servindo como objeto para a obtenção da certifi cação. 
 Dessa forma, as empresas podem conduzir as ações de 
segurança sob a orientação de uma base comum proposta 
C0040.indd 140C0040.indd 140 06/11/13 9:20 AM06/11/13 9:20 AM
1418.1 Framework e os controles de segurança
pela ISO 27002, além de se prepararem indiretamente para o 
 reconhecimento de conformidade aferido por órgãos creden-
ciados, com base na ISO 27001. A certifi cação de segurança, 
similar aos refl exos obtidos pela conquista da certifi cação de 
qualidade ISO 9001, promove melhorias nas relações busi-
ness-to-business e business-to-consumer , além de adicionar va-
lor à empresa por representar um diferencial competitivo e uma 
demonstração pública do compromisso com a segurança das 
informações de seus clientes. Esse diferencial, que em diversos 
momentos representou uma posição de destaque, inovação e 
maturidade da empresa certifi cada, vem se desvanecendo ano a 
ano e começa a tornar-se uma obrigatoriedade, com quase oito 
mil empresas certifi cadas ao redor domundo (25 no Brasil). 1 
 O caminho que conduz ao reconhecimento da conformidade, 
todavia, é longo e requer esforços dedicados ao planejamento, 
seleção de controles aplicáveis e à coordenação das atividades 
que vão preparar o objeto da certificação. Como ocorre na 
prática, o objeto da certifi cação não precisa necessariamente 
ser toda a empresa, devendo começar por um escopo restrito, 
normalmente um processo representativo para a natureza da 
atividade da empresa. Assim, os trabalhos se iniciam e des-
dobram em sete fases principais: 
 • Defi nição das diretrizes da política de segurança. 
 • Defi nição do SGSI. 
 • Execução de uma análise de riscos. 
 • Defi nição de uma estrutura para gerenciamento de risco. 
 • Seleção dos objetos de controle e os controles aplicáveis. 
 • Preparação da declaração de aplicabilidade dos controles 
 • Implementação dos controles. 
 A norma representa uma trilha que orienta as empresas dispostas 
a se estruturarem para gerir os riscos de segurança da informação; 
por isso, se limita a indicar o que deve ser feito sem, no entanto, 
dizer como deve ser feito. Pelo envolvimento de múltiplas especia-
lidades e competências gerenciais e técnicas, recomenda-se que as 
empresas que se submetam à preparação para a certifi cação con-
tem com o apoio externo a fi m de agregar experiências, know-how 
acumulado pela execução de outros projetos e, principalmente, 
pela visão isenta de vícios que adicionam qualidade ao trabalho. 
 Fator relevante para os responsáveis foi o direcionamento que 
a ISO 27001 tomou, buscando sintonia com os padrões adotados 
 1 Dados atualizados em fevereiro de 2013. 
C0040.indd 141C0040.indd 141 06/11/13 9:20 AM06/11/13 9:20 AM
142 CAPÍTULO 8 Conformidade…
pela norma de qualidade ISO 9001. Esse elemento agregou facili-
dade por permitir o aproveitamento das experiências vividas pelo 
processo de preparação, que requer o registro de controles e a 
construção do manual da qualidade, viabilizando a convergência 
das duas certifi cações. Diante de tantos benefícios diretos e in-
diretos proporcionados por essa nova certifi cação de segurança, 
e a oportunidade de fazer parte de um grupo ainda seleto de 
empresas brasileiras (25), identifi que seu nível de conformidade 
realizando o teste sugerido a seguir e tome coragem para iniciar 
os trabalhos. Boa sorte! 
 8.2 TESTE DE CONFORMIDADE 
 Este instrumento vai auxiliá-lo a perceber o grau de aderência de 
sua empresa em relação às recomendações de segurança da in-
formação da ISO 27002. Pela superfi cialidade natural desse tipo 
de teste, o mesmo é comumente referenciado como ISO 27002 
 FIGURA 8.1 
 Modelo de framework SGSI. 
C0040.indd 142C0040.indd 142 06/11/13 9:20 AM06/11/13 9:20 AM
1438.2 Teste de conformidade
 Gap Analysis Light , ou seja, um diagnóstico simples e rápido, 
baseado em perguntas objetivas com pontuação associada que 
vai revelar seu índice de aderência. 
 Objetivo do teste 
 Permitir a percepção quanto ao grau de aderência da organização 
aos controles sugeridos pela norma ISO 27002. 
 Instruções 
 Escolha apenas uma resposta para cada pergunta e contabilize 
os pontos ao fi nal. 
 Sua empresa possui:
 1. POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO 
 Política de segurança da informação? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 2. ORGANIZAÇÃO DA SEGURANÇA DA 
INFORMAÇÃO 
 Um responsável pela gestão da política de segurança? 
 • Sim 
 • Sim, porém não está desempenhando essa função 
 • Não 
 Defi nição clara das atribuições de responsabilidade 
associadas à segurança da informação? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Política de segregação de funções e responsabilidade? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Acordos de cooperação com autoridades e grupos 
especiais? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Práticas de segurança em gerenciamento de projetos? 
 • Sim 
 • Sim, porém desatualizadas 
 • Não 
C0040.indd 143C0040.indd 143 06/11/13 9:20 AM06/11/13 9:20 AM
144 CAPÍTULO 8 Conformidade…
 Política defi nida para uso de dispositivos móveis e 
trabalho remoto? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 3. SEGURANÇA EM RECURSOS HUMANOS 
 Critérios de seleção e contratação de pessoal? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Processos para capacitação e treinamento de usuários? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Processos disciplinares estabelecidos? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Procedimentos defi nidos para encerramento de 
contratações e desligamentos? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 4. GESTÃO DE ATIVOS 
 Inventário dos ativos físicos, tecnológicos e humanos? 
 • Sim 
 • Sim, porém desatualizado 
 • Não 
 Critérios de classifi cação da informação? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Mecanismos de segurança e tratamento de mídias? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Procedimentos para descarte de mídias? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 5. CONTROLE DE ACESSO 
 Requisitos do negócio para controle de acesso? 
 • Sim 
C0040.indd 144C0040.indd 144 06/11/13 9:20 AM06/11/13 9:20 AM
1458.2 Teste de conformidade
 • Sim, porém desatualizados 
 • Não 
 Gerenciamento de acessos do usuário? 
 • Sim 
 • Sim, porém desatualizado 
 • Não 
 Defi nição de responsabilidades dos usuários? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Controle de acesso à rede? 
 • Sim 
 • Sim, porém desatualizado 
 • Não 
 Controle de acesso ao sistema operacional? 
 • Sim 
 • Sim, porém desatualizado 
 • Não 
 Controle de acesso às aplicações? 
 • Sim 
 • Sim, porém desatualizado 
 • Não 
 6. CRIPTOGRAFIA 
 Política para uso de controles criptográfi cos? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Política de gestão do ciclo de vida das chaves 
criptográfi cas? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 7. SEGURANÇA FÍSICA E DO AMBIENTE 
 Defi nição de perímetros e controles de acesso físico aos 
ambientes? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Recursos para segurança e manutenção dos 
equipamentos? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
C0040.indd 145C0040.indd 145 06/11/13 9:20 AM06/11/13 9:20 AM
146 CAPÍTULO 8 Conformidade…
 Estrutura para fornecimento adequado de energia? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Segurança do cabeamento? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Procedimentos para reutilização e alienação de 
equipamentos? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Política de mesa limpa e tela limpa? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 8. SEGURANÇA NAS OPERAÇÕES 
 Procedimentos e responsabilidades operacionais defi nidos 
e documentados? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Processo de gestão de mudanças? 
 • Sim 
 • Sim, porém desatualizado 
 • Não 
 Processo de gestão de capacidade? 
 • Sim 
 • Sim, porém desatualizado 
 • Não 
 Processos para segregação entre ambientes de 
desenvolvimento, teste e produção? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Proteção contra códigos maliciosos e códigos móveis? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Procedimentospara cópias de segurança? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
C0040.indd 146C0040.indd 146 06/11/13 9:20 AM06/11/13 9:20 AM
1478.2 Teste de conformidade
 Procedimentos para monitoramento e registro de logs? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Procedimentos para instalação e atualização de software? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Procedimentos para auditoria em sistemas de 
informação? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 9. SEGURANÇA NAS COMUNICAÇÕES 
 Controles e gerenciamento de redes? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Procedimentos para segregação de redes? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Políticas para transferência de informações? 
 • Sim 
 • Sim, porém desatualizadas 
 • Não 
 Procedimentos para proteção de informações em 
mensagens eletrônicas? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Acordos de confi dencialidade e não divulgação 
padronizados? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 10. AQUISIÇÃO, DESENVOLVIMENTO 
E MANUTENÇÃO DE SISTEMAS 
 Requisitos de segurança de sistemas? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
C0040.indd 147C0040.indd 147 06/11/13 9:20 AM06/11/13 9:20 AM
148 CAPÍTULO 8 Conformidade…
 Processos para garantia de segurança de aplicações em 
redes públicas? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Política e procedimentos para desenvolvimento seguro 
de sistemas? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Procedimentos para controle de mudanças em sistemas? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Testes documentados de aceitação e segurança de 
sistemas? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Procedimento de proteção a dados para teste? 
 • Sim 
 • Sim, porém desatualizado 
 • Não 
 11. RELACIONAMENTO NA CADEIA DE SUPRIMENTO 
 Requisitos de segurança para relacionamento com 
fornecedores? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Requisitos de segurança para a cadeia de suprimento 
de produtos e serviços? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Procedimentos de gerenciamento da entrega de serviços? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 12. GESTÃO DE INCIDENTES DE SEGURANÇA 
DA INFORMAÇÃO 
 Mecanismos de notifi cação de fragilidades e eventos 
de segurança da informação? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
C0040.indd 148C0040.indd 148 06/11/13 9:20 AM06/11/13 9:20 AM
1498.2 Teste de conformidade
 Procedimentos para gestão de incidentes de segurança da 
informação e melhorias? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 13. ASPECTOS DA SEGURANÇA DA INFORMAÇÃO 
NA GESTÃO DA CONTINUIDADE DO NEGÓCIO 
 Procedimentos e requisitos para a gestão da continuidade 
da gestão da segurança da informação? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Redundâncias para garantia de disponibilidade de 
recursos de processamento da informação? 
 • Sim 
 • Sim, porém insufi cientes 
 • Não 
 14. CONFORMIDADE 
 Requisitos de conformidade legal e contratual 
documentados? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Controles para a proteção da privacidade e direitos 
individuais defi nidos e implementados? 
 • Sim 
 • Sim, porém desatualizada 
 • Não 
 Procedimentos para analisar criticamente o enfoque e a 
implementação da segurança na empresa? 
 • Sim 
 • Sim, porém desatualizados 
 • Não 
 Tabela de pontuação 
 Some os pontos correspondentes às respostas de acordo com a 
tabela a seguir:
 
Resposta A: some 2 pontos
Resposta B: some 1 ponto
Resposta C: não some nem subtraia pontos
C0040.indd 149C0040.indd 149 06/11/13 9:20 AM06/11/13 9:20 AM
150 CAPÍTULO 8 Conformidade…
 Índices de conformidade com a norma ISO 27002 
 Depois de preencher as 59 questões do teste, você deve ter 
notado a amplitude dos assuntos abordados pela norma e, ob-
viamente, a complexidade em planejar, implementar e gerir 
todos os controles de segurança, a fi m de proteger a confi den-
cialidade, a integridade e a disponibilidade das informações. 
Fazê-lo conhecer todos os aspectos envolvidos, orientando-o 
a dimensionar a grandeza dos desafi os, é o primeiro objetivo 
desse exercício. 
 Seria ingênuo prometer com esse teste o mesmo resultado 
de uma análise de riscos, mas, através dos índices obtidos com 
a pontuação fi nal, será possível ver o quão distante sua empresa 
está do que vem sendo considerada referência nacional e in-
ternacional de gestão de segurança da informação. 
 É bem provável que sua empresa se saia bem em um ou mais 
domínios. Essa situação está presente na maioria das organiza-
ções e acontece comumente pela ausência de um diagnóstico 
abrangente e capaz de integrar o levantamento de ameaças, 
impactos, vulnerabilidades física, tecnológica e humana, as-
sociando-as às reais necessidades do negócio. Sem uma análise 
de riscos desse tipo, as ações tornam-se desorientadas, mal 
priorizadas, redundantes, muitas vezes, e, assim, pecam por não 
oferecer o retorno esperado e medido pelo nível de segurança 
da empresa. 
 Veja agora a que distância sua empresa está da conformidade 
com a norma. 
 Resultado entre 78-118 
 Parabéns! Sua empresa deve estar em destaque em seu 
segmento de mercado por causa da abrangência dos 
controles de segurança que aplica ao negócio. Apesar de 
não podermos ver a uniformidade das ações, distribuídas 
pelos 11 domínios, podemos dizer que sua empresa está 
conscientizada da importância da segurança para a saúde 
dos negócios. A situação estará ainda melhor se todas as 
ações e controles aplicados tiverem sido decididos com 
base em uma análise de riscos integrada e sob a gestão 
de um Security Offi cer . 
 Resultado entre 39-77 
 Atenção! Esse resultado pode ter sido alcançado de 
diversas formas. Sua empresa pode ter adotado quase a 
totalidade dos controles, mas a maioria dos quesitos pode 
estar defasada, desatualizada ou inativa, o que demonstra 
C0040.indd 150C0040.indd 150 06/11/13 9:20 AM06/11/13 9:20 AM
1518.2 Teste de conformidade
bom nível de consciência, mas também defi ciência na 
estrutura de gestão ou falta de fôlego fi nanceiro para 
subsidiar os recursos de administração. Poderia, ainda, 
ter uma parcela representativa dos controles em ordem, 
deixando os demais inoperantes ou mesmo inexistentes. 
Diante disso, é conveniente alertarmos para a grande 
possibilidade de evolução, bem como a possibilidade de 
estagnação e de redução tendenciosa do nível de segurança 
por falta de orientação. Mais uma vez, a ausência de uma 
análise de riscos pode ser a causa para a desorientação 
dos investimentos e a difi culdade de priorização das 
atividades. 
 Resultado entre 0-38 
 Cuidado! A situação não é confortável para a empresa. 
A segurança da informação não está sendo tratada como 
prioridade, e a pontuação indica ausência ou inefi cácia 
de muitos dos controles recomendados pela norma. As 
causas podem ser o desconhecimento dos riscos e a falta 
de sensibilização dos executivos e da alta administração. 
Arrisco dizer que seu segmento de mercado não vive um 
momento muito competitivo ou que a segurança não seja 
vista por seus clientes como um fator crítico de sucesso 
por causa da natureza de sua atividade. Outra hipótese 
é que devem estar ocorrendo ações isoladas — de um 
departamento ou de outro — que, apesar de louváveis, 
não distribuem uniformemente a segurança e acabam por 
minimizar o aumento do nível de segurançado negócio. 
Apesar de tudo, não é hora de desanimar. Sempre há 
tempo de reverter a situação. Comece com uma análise de 
riscos e boa sorte. 
 NOTA: É importante considerar, ao obter os resultados, que os 
mesmos espelham um momento de mercado, um estágio evo-
lutivo de segurança da informação; portanto, esses diagnósticos 
perpetuados no livro tendem a oscilar com o tempo, podendo 
perder sua efi cácia . 
C0040.indd 151C0040.indd 151 06/11/13 9:20 AM06/11/13 9:20 AM
C0040.indd 152C0040.indd 152 06/11/13 9:20 AM06/11/13 9:20 AM
153
CAPÍTULO
 9 As novas fronteiras 
 A virtualização voltou para fi car. De fato, ela provavelmen-
te nunca deixou de existir, desde que foi implementada pela 
primeira vez. Atentando para o objetivo primordial e sadio 
de compartilhamento e melhor aproveitamento de recursos de 
hardware por diversas instâncias de sistemas operacionais 
 diversos, os mainframes já se utilizavam de virtualização há 
décadas. E essa sempre foi uma solução possível, usada em 
maior ou menor escala em diversas outras plataformas. O 
que mudou foi sua aplicação em larga escala em plataformas 
SPARC, × 86 e × 64. 
 A segurança em ambientes virtualizados, diante desse cres-
cimento no uso da tecnologia, passou a ser uma forte preocupa-
ção dos gestores de segurança, não porque a segurança dessas 
implementações seja um mistério tecnológico, mas porque ela 
é geralmente um vetor desconhecido pela maioria das equipes 
responsáveis por implementar segurança nas organizações. Em 
outras palavras, sistemas virtuais carregam consigo as mesmas 
vulnerabilidades e consequentes necessidades de controles dos 
sistemas “reais”. De acordo com um dos maiores fabricantes 
de sistemas de virtualização, “dados não vazam através de má-
quinas virtuais, e as aplicações somente conseguem comunicar-se 
a partir de conexões de rede confi guradas”. Essa afi rmação, um 
tanto simplista, não deixa de ter seu fundamento, considerando 
que a preocupação com o hardware também existe em platafor-
mas não virtualizadas, e peca ao desconsiderar um elemento novo 
no modelo de virtualização: o hypervisor , sistema sobre o qual 
é efetuada a virtualização e que é responsável por gerenciar os 
recursos que são utilizados pelas diferentes máquinas virtuais. De 
acordo com a Cloud Security Alliance (CSA), a “virtualização 
traz consigo todas as preocupações com segurança do sistema 
operacional hóspede ( guest ) e adiciona a elas as preocupações 
com segurança com novas ameaças específi cas do novo modelo”. 
C0045.indd 153C0045.indd 153 06/11/13 9:52 AM06/11/13 9:52 AM
154 CAPÍTULO 9 As novas fronteiras
 Para ilustrar a abrangência, além do hypervisor , outra camada 
de abstração que carrega os seus riscos de segurança para os 
ambientes de virtualização é a rede de dados. Ambientes virtua-
lizados utilizam conexões de rede baseadas em software e não 
em hardware, uma vez que este é único e é administrado pelo 
 hypervisor , que em diversas implementações um pouco mais 
antigas criava um hub único, por onde todas as VMs se comuni-
cavam. Isso signifi cava que os diversos sistemas virtualizados em 
uma mesma estrutura tinham acesso aberto a todos os dados que 
trafegavam por aquele domínio. Se duas VMs compartilhassem a 
mesma interface virtual de rede, ambas as máquinas conseguiriam 
ver todo o tráfego entre o host e as VMs. Isso ainda é verdadeiro 
hoje, em confi gurações de compartilhamento de rede em modo 
 bridge usadas em alguns sistemas de virtualização. Mesmo as 
confi gurações mais modernas, que implementam múltiplas in-
terfaces virtuais, equivalem a conectar diversos servidores em 
um switch sem segmentação em vlans . 
 Dessa forma, um ataque à pilha ( stack ) de rede, por exemplo, 
que originalmente estaria restrito a um único sistema ou sis-
temas confi gurados de forma similar em uma rede, pode causar 
grande estrago a múltiplos servidores virtuais, em diferentes 
plataformas, mas virtualizados em um único host . 
 Poderíamos expandir essas linhas para outras áreas, como 
o compartilhamento de drives, em que o hypervisor tem uma 
credencial de superusuário, que tem acesso ao kernel do sistema 
hóspede, e para fragilidades associadas ao compartilhamento 
de consoles de gerenciamento, entre outras, mas acreditamos 
que o ponto a levantar, que é a necessidade de que as áreas de 
segurança e tecnologia precisam se preparar para a virtualização, 
já foi atingido. 
 A segurança em ambientes virtualizados depende de fer-
ramentas especializadas, pessoal especializado, processos es-
pecializados e, principalmente, de pensarmos aonde a segurança 
de ambientes virtualizados deverá nos levar, a fi m de garantir 
que essa nova fronteira, que já é uma realidade na maioria das 
empresas, seja viabilizada de forma segura para o negócio. 
 9.1 CLOUD COMPUTING 
 Uma das maiores tendências e assuntos em discussão pelas áreas 
de tecnologia e segurança da informação nos últimos anos é a 
chamada cloud computing , ou computação em nuvem. De fato, 
C0045.indd 154C0045.indd 154 06/11/13 9:52 AM06/11/13 9:52 AM
1559.1 Cloud computing
o que se entende por computação em nuvem é a possibilidade 
de tirar o que você tem hoje “dentro de casa”, no seu data cen-
ter , nos seus servidores próprios, para um “lugar qualquer” na 
Internet, cuja infraestrutura e administração (ou pelo menos 
parte dela) não são mais da sua responsabilidade. Enquanto 
o cardápio de serviços na nuvem, com nomes interessantes e 
mercadologicamente vendáveis como Software as a Service , 
 Platform as a Service ou Infrastructure as a Service , oferece 
fl exibilidade, escalabilidade e economia de escala, na cabeça do 
 Security Offi cer passam a existir diversas preocupações sobre 
segurança que precisam ser endereçadas. Quanto mais dados são 
transferidos para a nuvem, o potencial de comprometimento de 
dados pessoais e privados cresce proporcionalmente. 
 Segundo o Gartner Group, uma pesquisa com os CIOs ( Chief 
Information Offi cers ) de diversas empresas identifi cou que eles 
esperam operar com a maioria das suas aplicações ou infraestru-
turas em ambientes na nuvem até 2015. Isso nos deixa pouco 
tempo para endereçar os aspectos de segurança necessários. 
 Para começar, precisamos ter ciência de que, a fi m de atender 
à premissa de elasticidade defi nida pelo NIST (National Ins-
titute of Standards and Technology, dos Estados Unidos) para 
a computação em nuvem, um componente-chave para a sua 
viabilização é a virtualização, cujas preocupações com segurança 
ilustramos no item anterior. Todos os aspectos anteriormente 
abordados estão presentes e precisarão ser endereçados em maior 
ou menor grau, dependendo do modelo de serviço contratado, e 
a preocupação de segurança deverá envolver também a questão 
jurídico-contratual, que deverá garantir aspectos como SLAs 
( Service Level Agreements ou acordos de níveis de serviço) e res-
ponsabilizações por falhas ou problemas, devendo ser avaliados 
também aspectos como contratação, treinamento e aperfeiçoa-
mento dos funcionários das empresas prestadoras dos serviços. 
 Se, por um lado, a virtualização oferece riscos, ela é ine-
vitável. O ganho de escala que ela proporciona não pode ser 
ignorado. Da mesma forma, é possível imaginar que um CSP 
( Cloud Service Provider ou provedor de serviços na nuvem) 
tenha escalabilidade para possuir profi ssionais capacitados e 
qualifi cados em maior quantidade do que pequenas e médias 
empresas, o que conta como ponto positivo para a adoção da 
computação em nuvem, se comparada à virtualização in house . 
De toda forma, a possibilidade de o CSP contar com melhores 
profi ssionais deverá ser objeto de um assessment por parte do 
contratante dos serviços. 
C0045.indd 155C0045.indd 155 06/11/13 9:52 AM06/11/13 9:52 AM
156 CAPÍTULO 9 As novas fronteiras
 Pela mesma lógica, sabendo-se que muitos CSPs atendem 
a padrões de conformidade com boas práticas de segurançada 
informação (ISO 27001), saúde (HIPAA) ou fi nanças (PCI), por 
exemplo, buscando com essas certifi cações oferecer aos clientes 
maior sensação de segurança e confi ança, uma empresa poderia 
fi car mais segura se contratasse serviços desses fornecedores. 
Em contrapartida, como já vimos, uma certificação denota 
preocupação com o estabelecimento de práticas e controles 
adequados, mas essa certifi cação, por si só, não garante uma 
operação livre de riscos. De qualquer forma, a avaliação in loco 
de fornecedores de serviço de cloud computing é, na maioria 
das vezes, inviável, fazendo com que a confi ança proferida por 
entidades certifi cadoras e auditoras seja um diferencial na con-
tratação de serviços na nuvem. 
 A disponibilidade de recursos também é outro ponto a ser en-
dereçado nos SLAs. A virtualização traz consigo a possibilidade 
de multi-tenancy lógico — através de um pool de ambientes em 
que as aplicações e os dados de mais de uma organização estão 
hospedados na mesma infraestrutura, por exemplo, dentro do 
mesmo servidor. Esse tipo de compartilhamento de infraestru-
tura pode gerar um superprovisionamento de recursos, com a 
alocação de mais sistemas ou aplicações do que a infraestrutura 
pode suportar em caso de utilização plena, podendo causar 
contenção e até a negação de serviços (DoS, denial of services ), 
principalmente em aplicações que sejam sensíveis à latência ou 
façam alta utilização de disk I/O — operação de leitura e escrita 
em disco — ou de processamento (CPU). Preferencialmente, 
deve-se buscar que o CSP garanta o mapeamento de recursos 
lógicos com os físicos, limitando a possibilidade do super-
provisionamento de recursos. 
 Outros pontos a garantir na avaliação de um ambiente de 
computação em nuvem são o isolamento de redes, crucial 
também em ambientes virtualizados, o monitoramento de 
segurança, a disponibilização de logs e a detecção de intru-
são — preferencialmente com o uso de tecnologias de VMI 
( virtual machine introspection ), uma vez que o uso de Host 
IDSs (HIDs) pode causar incremento signifi cativo no uso de 
recursos —, a existência de um procedimento de resposta a 
incidentes e a possibilidade de criptografar dados armazenados 
e em transmissão, além dos controles de segurança física que 
mantemos usualmente para os nossos data centers , envolvendo 
requisitos de alta disponibilidade, backup e continuidade das 
operações. 
C0045.indd 156C0045.indd 156 06/11/13 9:52 AM06/11/13 9:52 AM
1579.2 Mobilidade e BYOD
 Muitos vão advogar a favor de que, uma vez que seus dados 
vazem na Internet, nem o melhor SLA vai garantir que a sua 
operação, e principalmente a sua credibilidade, não seja afetada 
duramente. Entre os seus argumentos afi rmam que não há res-
sarcimento que valha a perda da confi dencialidade, integridade 
ou disponibilidade de informações valiosas. Mas aqui, novamente, 
temos de perceber que, a despeito de qualquer consideração, em-
presas e governos continuarão a mover-se para a nuvem, em um es-
forço no sentido de reduzir custos, melhorar a efi ciência e reduzir 
a sobrecarga administrativa. Não há como frear essa tendência. 
 Para minimizar um pouco os riscos, algumas empresas ado-
tam estruturas mistas, optando por hospedar na nuvem somente 
o que seja internamente classifi cado como público ou de baixa 
criticidade ou relevância para a organização e mantendo o res-
tante na infraestrutura interna. Essa estratégia parece interessante 
em termos de segurança, mas tem a possibilidade de impactar 
negativamente o negócio, dada a característica das organizações 
atuais, cada vez mais geografi camente espalhadas e demandantes 
de fl exibilidade e conveniência, e os altos custos de se manterem 
estruturas próprias ou individuais em comparação com os custos 
na nuvem — parte da eterna discussão contábil entre optar por 
CAPEX ( Capital Expenditure ou despesas de capital ou inves-
timento em bens de capital) ou OPEX ( Operational Expenditure 
ou despesas operacionais ou com serviços). 
 9.2 MOBILIDADE E BYOD 
 As redes sem fi o estão ao nosso redor há cerca de uma década. 
Mas, se há alguns anos ninguém se preocupava se não tivesse aces-
so à Internet, hoje a realidade é muito diferente: nos acostumamos 
a estar conectados todo o tempo, em qualquer lugar, a qualquer 
hora. As vendas de smartphones já superam as de desktops desde 
2011 e estima-se que em 2013 as vendas de tablets também ul-
trapassem essa barreira. As fronteiras entre a vida pessoal e profi s-
sional tornaram-se tênues. Cada vez mais os funcionários querem 
e estão usando seus dispositivos pessoais no trabalho, criando uma 
onda de dispositivos móveis que acessam redes corporativas e 
armazenam informações das organizações, denominada BYOD, 
acrônimo para Bring Your Own Device ( “Traga o seu próprio 
dispositivo”). Segundo uma pesquisa de 2012 do SANS Institute, 
mais de 60% das empresas já aceitam práticas de BYOD por 
parte dos seus funcionários, a despeito de muitas não terem regras 
C0045.indd 157C0045.indd 157 06/11/13 9:52 AM06/11/13 9:52 AM
158 CAPÍTULO 9 As novas fronteiras
formais sobre o assunto e de que boa parte desses dispositivos foi 
criada visando o consumidor fi nal e não o uso empresarial, com 
suas necessidades específi cas de segurança. 
 Enquanto as empresas implementam o uso corporativo de 
dispositivos e aplicações móveis, estas precisam identificar 
os riscos a que estão expostas, que podem ir desde a perda de 
dados confi denciais a infecções por malware , violação de dados 
privados e corporativos a problemas legais e de conformidade 
regulatória, e devem assegurar a implantação de controles ade-
quados para gerenciá-los adequadamente. 
 Invasões e explorações em dispositivos móveis estão ocor-
rendo através de muitos meios, incluindo usuários navegando 
em sites maliciosos, clicando em links maliciosos em mensagens 
de SMS e e-mail, instalando aplicativos maliciosos ou utilizando 
conexões Wi-Fi inseguras. Para piorar, existe uma pletora de 
sistemas operacionais, em diversas versões e com customizações 
por fabricante e por dispositivo, que tornam o quadro ainda mais 
caótico. Nesse quadro, o papel do Security Offi cer é essencial, 
para apoiar a organização nesse momento de transformação e 
quebra de paradigmas, desenvolvendo estratégias que garantam 
a segurança dessa transição. 
 A solução mais aceita hoje para mitigar os riscos do que vem 
sendo chamado de “consumerização” da TI — a tendência cres-
cente de que novas tecnologias emerjam no mercado consumi-
dor e em seguida se espalhem para as organizações e o governo, 
e não ao contrário, como se via em décadas passadas — nas 
organizações é o uso de sistemas de controle de acesso à rede 
(NAC, network access control ). Basicamente, o uso de sistemas 
de NAC possibilita o provimento seguro de acesso a uma rede 
com fi o ou sem fi o a dispositivos que não se insiram no âmbito 
do que essa rede considere “normal”, através do chamado guest 
networking , possibilitando identifi car e aplicar uma política de 
segurança para todos os tipos de usuários e dispositivos de rede. 
 A capacidade de sistema de NAC de classifi car os usuários 
da rede e seus dispositivos dá às empresas maiores escolhas a 
respeito de como tratar novos dispositivos à medida que apare-
çam no mercado, possibilitando, em vez de decisões caso a caso, 
o estabelecimento de uma política de controle de acesso à rede 
que defi na que tipos de dispositivos podem ser utilizados e quais 
políticas de segurança devem ser implementadas em cada dis-
positivo, caso um funcionário ou terceiro ( guest ) queira conectar 
um dispositivo pessoal à rede da empresa para utilização de 
aplicações ou recursos relacionados com o trabalho. 
C0045.indd 158C0045.indd 158 06/11/13 9:52 AM06/11/13 9:52 AM
1599.2 Mobilidade e BYOD
 A complexidade para a defi nição dessas políticas e do fun-
cionamento de um sistema de NAC, todavia, considerando o 
universo queestamos tratando, tende a ser bastante alta e de 
implantação lenta e gradual. Inicialmente, deve ser feita uma 
avaliação dos casos de uso de dispositivos pessoais na rede, 
buscando um entendimento da necessidade e dos riscos. Na 
sequência, devem ser defi nidos quem e quais dispositivos devem 
ser aceitos, bem como as aplicações autorizadas e o nível de 
segurança esperado para esses dispositivos. Por fi m, o processo 
deve incluir o tratamento de exceções, o processo de registro e 
autorização de novos acessos e o tratamento de problemas, por 
exemplo, a remediação de não conformidades. De modo geral, 
sugere-se começar de forma simples, direcionando dispositivos 
desconhecidos para uma rede de convidados que possibilite o 
acesso à Internet, mas não à rede interna. 
 Outra possibilidade interessante para a segurança é combinar 
o uso de sistemas de NAC e de MDM ( mobile devices manage-
men , ou gerenciamento de dispositivos móveis), especialmente 
voltados para a segurança de smartphones e tablets, e compostos 
usualmente por um servidor de gerenciamento e um aplicativo 
no dispositivo móvel, a fi m de permitir, por exemplo, a auten-
ticação do usuário e do dispositivo, o acesso remoto seguro, 
o gerenciamento de aplicações instaladas nos dispositivos e a 
proteção contra vazamento de dados. 
 Da mesma forma que nos tópicos anteriores, tentar impedir 
que essa tendência se estabeleça na sua organização nos parece 
uma guerra perdida: os empregados estão trazendo seus dis-
positivos para dentro das empresas e vão fazê-lo cada vez 
mais. Segundo pesquisa recente do Gartner Group, até 2017 
cerca de 50% das empresas mundiais, em vez de possibilitar 
que os empregados tragam seus dispositivos para o trabalho, 
vão passar a requerer que eles o façam. O melhor a fazer, então, 
é preparar-se para essa realidade da melhor forma possível e 
começar a trabalhar na implementação dos controles neces-
sários o quanto antes. 
 É importante sempre ter em mente também as questões de 
conformidade legal e regulatória, que variam de país para país 
e que podem impactar inclusive a possibilidade de implementa-
ção de determinados controles, por exemplo, os que envolvam 
monitoração e remediação em dispositivos pessoais, que são 
perfeitamente aceitos nos Estados Unidos e no Brasil, e podem 
gerar impactos para as organizações no que diz respeito ao que 
está previsto na legislação trabalhista nacional. 
C0045.indd 159C0045.indd 159 06/11/13 9:52 AM06/11/13 9:52 AM
160 CAPÍTULO 9 As novas fronteiras
 9.3 MÍDIAS SOCIAIS 
 As mídias sociais tornaram-se grandes infl uenciadores das de-
cisões de compra dos consumidores, colocando-se no caminho 
para se tornar um empreendimento estratégico para qualquer 
organização. O problema é que os sites de redes sociais também 
apresentam enormes oportunidades para o abuso e a desinfor-
mação, bem como a distribuição de malware e a execução de 
fraudes. Assim, enquanto as organizações incrementam o uso 
de mídias sociais para capturar os benefícios de negócios, estas 
também devem colocar em prática estratégias para gerenciar 
os riscos advindos dessa nova prática. As expectativas devem 
ser defi nidas a respeito da atividade permitida nos sites sociais, 
e as políticas corporativas a respeito desse tema devem ser 
 amplamente divulgadas e conhecidas, buscando equilibrar os 
interesses corporativos com a liberdade de expressão. Ferramen-
tas e técnicas também serão necessárias para atenuar os riscos 
de incidentes e proteger a empresa contra ataques baseados em 
mídias sociais. 
 Podemos listar cinco grandes frentes de preocupação: 
 • O que é (e o que não pode ser) publicado nos perfi s 
ofi ciais das empresas e de representantes ofi ciais das 
empresas em mídias sociais. 
 • O que é (e o que não deve ser) publicado nos perfi s 
particulares de empregados em mídias sociais. 
 • O que é falado sobre as empresas nas mídias sociais. 
 • O que é (e o que não deve ser) acessado nas mídias sociais 
e pode ser uma ameaça às empresas. 
 • O que é falado (e feito) sobre ataques nas mídias sociais e 
pode impactar as empresas. 
 As ameaças que as organizações devem considerar são o vaza-
mento de informação, o roubo de identidade, o dano à imagem 
ou à reputação da empresa e, nos casos de ataques ou malware , 
a perda de dados ou de capacidade operacional. O melhor a ser 
feito para mitigar esses riscos é tratá-los de forma preventiva, 
com a definição de uma política clara para o uso de mídias 
sociais, incluindo a definição de responsabilidades e de um 
código de conduta, reforçar a conscientização de empregados e 
executivos sobre o uso adequado de mídias sociais e o que deve 
ser compartilhado nessas redes, além de treinamentos sobre 
navegação segura na Internet. Uma prática a ser avaliada é a 
centralização do controle dos perfi s ofi ciais da empresa e de seus 
C0045.indd 160C0045.indd 160 06/11/13 9:52 AM06/11/13 9:52 AM
1619.4 Big data
representantes ofi ciais nas mídias sociais e também a criação 
de um processo de aprovação de mensagens a serem publicadas 
nesses meios. Devem também ser criados planos de ação para 
resposta a incidentes e para a gestão de crises, envolvendo equi-
pes multidisciplinares, incluindo áreas de marketing, relações 
públicas e jurídicas, por exemplo, além de áreas técnicas. 
 Seguindo esses passos, a vida da sua organização nas mídias 
sociais será, com certeza, mais tranquila. 
 9.4 BIG DATA 
 O conceito de big data , no qual o foco principal é o arma-
zenamento de grande volume de dados e maior capacidade e 
velocidade de tratamento deles, tem gerado considerável frenesi 
na comunidade de segurança da informação. 
 Pelo lado dos benefícios à segurança, os argumentos são 
interessantes: a nova tecnologia traz consigo potencial signi-
fi cativo de aumento no poder de análise de dados, que pode 
melhorar a capacidade de detectar ataques cibernéticos e ati-
vidades maliciosas, a partir da sintetização e análise de dados 
de comportamento dos usuários e dos sistemas, passando a ter 
um papel importante na mudança do modelo de segurança da 
informação, tornando-o mais efi caz. 
 Pelo lado do risco, não é só a área de segurança que está 
animada com o big data : áreas de marketing e diversos outros 
departamentos naturalmente enxergam benefícios na tecnologia, 
ampliando sua utilização de forma abrangente: pode ser usado 
para gerar insights aprofundados do mercado, prestar serviços 
sob medida aos clientes e criar inteligência operacional. Essa 
gama de possibilidades, todavia, traz consigo os riscos inerentes, 
uma vez que ainda não conseguimos entender completamente os 
riscos à privacidade e à segurança quando informações de clien-
tes e de negócios estão sendo coletados, combinados, proces-
sados e armazenados em escalas e velocidades sem precedentes. 
Maiores volumes de dados e maior capacidade de análise desses 
dados por diversas áreas da empresa minimamente signifi cam 
mais informação disponível e espalhada, com mais trabalho 
para controlá-la ou protegê-la, a fi m de impedir a ocorrência 
de problemas. 
 Novamente, os caminhos para endereçar os novos riscos 
passam pela prevenção, educação e controle. No âmbito da 
prevenção, as políticas de classifi cação da informação precisam 
C0045.indd 161C0045.indd 161 06/11/13 9:52 AM06/11/13 9:52 AM
162 CAPÍTULO 9 As novas fronteiras
ser reforçadas, com especial atenção para a defi nição do que 
pode ser compartilhado e com quem, cobrindo também as-
pectos de conformidade legal e regulatória e considerando os 
requisitos específi cos de cada país, que vão desembocar, por 
exemplo, na necessidade de aumento de robustez das estruturas 
de controle de acesso. No âmbito da educação, será preciso 
reforçar o conhecimento técnico dos profi ssionais, por exemplo, 
desenvolvendo competência em mapeamento de fl uxo de dados 
na equipe de segurança. Finalmente, no âmbito do controle, o 
caminhomais provável é a migração da visão de segurança para 
um modelo de proteção data-centric (centrada em dados), que 
acompanha a informação em todas as fases do seu ciclo de vida. 
Outro aspecto a ser avaliado é a aquisição ou desenvolvimento, 
junto a vendors de tecnologia, de ferramentas de apoio à gestão 
dos riscos desses grandes volumes de dados, incluindo as possi-
bilidades de melhor mascaramento desses dados, meta-tagging , 
classifi cação de dados e controle de acesso refi nado. 
 Segundo o Gartner Group, alguns dos desafios técnicos 
que se relacionam com big data e farão parte da realidade dos 
profi ssionais de segurança da informação em futuro próximo 
envolvem: 
 • Construção de modelos mais precisos, heurística de malware 
e atividades maliciosas com base em ampla visibilidade e 
em mais poder de computação para realizar as análises. 
 • Detecção de malware baseada em comunidade (modelo 
em que diversas entidades contribuem para um processo 
comum). 
 • Criação de serviços de reputação real-time , que 
correlacionem informações de várias entidades lógicas 
simultaneamente, como, por exemplo, endereços 
IP, identidades de usuários, URLs, e-mails e objetos 
de arquivos. 
 • Realização de análise estática paralela maciça 
de códigos-fonte e binários para identifi cação de 
vulnerabilidades. 
 • Correlação de dados de ameaças em várias empresas. 
 • Estabelecimento de controles e políticas de segurança que 
acompanhem o usuário conforme eles se movam entre 
redes que possuam ou não controle. 
 • Correlação de dados interplataforma em plataformas 
de segurança de última geração. 
 • Busca de padrões de comportamento anormal em grandes 
volumes de dados em transações monitoradas. 
C0045.indd 162C0045.indd 162 06/11/13 9:52 AM06/11/13 9:52 AM
1639.4 Big data
 Em resumo, a segurança vai passar por grandes mudanças nos 
próximos anos, puxada por essa nova tendência tecnológica e 
de uso da informação. 
 Conclusão 
 Conforme proposto, este capítulo traz uma visão geral sobre 
alguns dos temas que estão na ordem do dia das empresas e 
dos Security Offi cers ao redor do mundo, mas está longe de 
esgotar o assunto. Os temas abordados precisam ser tratados 
com profundidade que não nos cabe detalhar nestas linhas, que 
se propõem a ilustrar de forma abrangente o que precisa ser 
avaliado e considerado para garantir a segurança do negócio em 
ambientes virtualizados, cloud computing , mobilidade/BYOD, 
mídias sociais e big data . 
 A maior parte dos conceitos e controles sugeridos vai tam-
bém ajudar a garantir a segurança das informações em face das 
novidades que venham a aparecer no horizonte da tecnologia 
e da segurança da informação. Mas a contínua busca por atua-
lização, conhecimento e informação, sempre considerando a 
confi abilidade das fontes, principalmente na Internet, deve fazer 
parte do dia a dia do Security Offi cer . Seminários e eventos sobre 
segurança acontecem constantemente, de forma presencial ou 
on-line, e também são itens importantes a fazer parte da rotina 
dos profi ssionais de segurança e tecnologia. Organizações como 
SANS Institute, Gartner Group, ISACA e (ISC) 2 , entre outras, 
além de alguns vendors de tecnologia, são boas fontes de in-
formações e sugestões de boas práticas, devendo-se sempre 
usar o bom senso para avaliar a aplicabilidade ao seu negócio 
de cada implementação. 
 No restante, é o trabalho de sempre do Security Officer : 
manter-se atento e diligente porque, como diz o ditado, “o diabo 
mora nos detalhes”. 
C0045.indd 163C0045.indd 163 06/11/13 9:52 AM06/11/13 9:52 AM
C0045.indd 164C0045.indd 164 06/11/13 9:52 AM06/11/13 9:52 AM
165
 Considerações fi nais 
 Diante deste apanhado de percepções e visões compartilhadas ao 
redor dos aspectos de segurança, não devemos nos enganar por 
achar que o tema seja ingrediente novo na receita. A segurança 
é estudada, planejada e aplicada há décadas nas mais diversas 
atividades e com os mais diversos propósitos. Se fi zermos um 
breve retorno na história, veremos épocas distintas em que os 
ativos, que detinham a atenção e, portanto, eram valorizados 
pelas empresas em seus negócios, mudavam dinamicamente. 
 Sem muito esforço, lembramo-nos da importância das 
máquinas que representavam todo o diferencial competitivo 
quando aplicadas na automação das linhas de produção, dos 
grandes armários de ferro que armazenavam documentos e mais 
documentos, mais especifi camente fi chas, com todo o segredo 
do negócio, e agora vemos todo o valor e diferencial acumulado 
em arquivos eletrônicos circulando em redes de computador 
cada vez mais conectadas, capilarizadas e distribuídas. 
 Os ativos mudaram, os valores mudaram, os pilares que sus-
tentam os processos produtivos e operacionalizam os negócios 
mudaram, a forma de representar, manusear, armazenar, trans-
portar e descartar o patrimônio da empresa também mudou e 
continuará mudando dinamicamente e em uma velocidade cada 
vez maior. 
 Diante disso, temos de extrair a essência valiosa de todas 
essas experiências, inclusive a que está sendo vivida exatamente 
neste momento, buscando acumulá-las para darmos continuida-
de ao processo — que parece infi nito, até que provem o contrário 
— de planejar a proteção e a administração dos riscos ligados 
à informação. 
 Independentemente das futuras transformações relacionadas 
aos processos, à forma e à tecnologia adotadas para promover 
o fl uxo de dados na empresa, estes estarão sempre suportando 
informações que não poderão sair da nossa alça de mira. 
C0050.indd 165C0050.indd 165 06/11/13 9:48 AM06/11/13 9:48 AM
C0050.indd 166C0050.indd 166 06/11/13 9:48 AM06/11/13 9:48 AM
167
 Bibliografi a recomendada 
 1. NBR ISO/IEC 27002:2013. Tecnologia da informação. Técnicas 
de segurança. Código de prática para a gestão da segurança 
da informação. Associação Brasileira de Normas Técnicas, 
2013. 
 2. KRAUSE M . e TIPTON HE . Handbook of information security 
management . 6. ed. Boca Raton : Auerbach Publications , 
 2007 . 
 3. HUTT AE et al. Computer security handbook . 3. ed . Nova York : 
 John Wiley & Sons, Inc. , 1995 . 
 4. RUSSEL D e GANGEMI GT . Computer security basics . 2 ed. 
 California : O’Reilly & Associates, Inc. , 2006 . 
 5. HERNANDEZ S (ed.). The Offi cial (ISC) 2 Guide to the CISSP 
CBK . 3. ed. EUA : (ISC) 2 Press , 2012 . 
 6. PARKER D . Fighting computer crime: a new framework for 
protecting information . Nova York : Willey Computer Publishing , 
 1998 . 
 7. ISO/I EC JTC 1/SC 27 SD6. Glossary of IT Security Terminology. 
Information technology security techniques. 2013. Disponível em: 
 http://www.jtc1sc27.din.de/sbe/sd6 . 
 8. SCHNEIER Bruce . Schneier on security . Indianapolis : Wiley 
Publishing, Inc. , 2008 . 
 9. Artigos publicados na coluna eletrônica Firewall, de Gestão de 
Segurança da Informação, assinada pelo autor durante 10 anos 
no portal IDGNow. Disponíveis em: http://www.semola.com.br/
Artigos.html 
 10. Portal de Segurança da Informação da Módulo Security Solutions, a 
primeira empresa certifi cada ISO 27001 no Mundo. www.modulo.
com.br 
 11. NBR ISO/IEC 27005:2011. Tecnologia da informação. Técnicas 
de segurança. Gestão de riscos de segurança da informação. 
Associação Brasileira de Normas Técnicas (ABNT), 2011. 
87 pp. 
 12. NBR ISO 31000:2009. Gestão de riscos. Princípios e diretrizes. 
Associação Brasileira de Normas Técnicas (ABNT), 2009. 
24 pp. 
 13. NBR ISO/IEC 31010:2012. Gestão de riscos. Técnicas para o 
processo de avaliação deriscos. Associação Brasileira de Normas 
Técnicas (ABNT), 2012. 96 pp. 
C0055.indd 167C0055.indd 167 06/11/13 9:55 AM06/11/13 9:55 AM
168 Bibliografi a recomendada
 14. GUTTMAN, B e ROBACK, EA. NIST Special Publication 800-12, 
An introduction to computer security: The NIST handbook. U.S. 
Department of Commerce, Technology Administration, National 
Institute of Standards and Technology, 1995. 296 pp. Disponível em: 
 http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf 
C0055.indd 168C0055.indd 168 06/11/13 9:55 AM06/11/13 9:55 AM
C0055.indd 169C0055.indd 169 06/11/13 9:55 AM06/11/13 9:55 AM
 O autor 
 
 
 
 
 É professor de MBA da Fundação Getúlio Vargas desde 
2000, certifi cado internacionalmente CISM Certifi ed Informa-
tion Security Manager , PCI Qualifi ed Security Assessor in Data 
Security Standard , BS7799/27001 Lead Auditor e PRINCE2 
 Practitioner . É pós-graduado em Negociação e Estratégia pela 
London Business School, MBA em Tecnologia Aplicada, pós
-graduado em Marketing e Estratégia de Negócio, pós-graduado 
em Redes Locais e Bacharel em Ciência da Computação. Autor 
de uma centena de artigos técnicos publicados entre 1999 e 
2009, e de livros sobre gestão de riscos, comunicação e inteli-
gência competitiva, tendo sido reconhecido por sua contribuição 
no campo da gestão de riscos e premiado SECMASTER©2003 
e 2004, NATA©2007 e Profi ssional do Ano ISSA©2008. 
 
 
 
 
 
 
 
171
C0060.indd 171C0060.indd 171 07/11/13 10:22 AM07/11/13 10:22 AM
MARCOS SÊMOLA é executivo de tecnologia da informação, 
IM/IT ou ainda CIO, como se convenciona chamar no mercado 
internacional, da Shell Downstream para a América Latina, 
com mais de 20 anos de experiência em tecnologia e gestão de 
TI. Atuou como Global IT GRC Manager na Shell Gas&Power 
International na Holanda, responsável por governança, risco e 
conformidade em suas subsidiárias distribuídas pelo mundo. É 
vice-presidente da associação profissional internacional ISACA 
(Information Systems Audit and Control Association), capítulo 
Rio. Anteriormente como Head of Information Risk Operations 
na Atos Origin do Reino Unido, foi responsável pela operação 
de contratos globais e, antes disso, assumiu responsabilidade 
regional como South America Security Consulting Manager na 
Schlumberger e então na Atos Origin Brasil.
 Marcos tem ainda o triathlon e a fotografia como hobby. 
Autodidata, é membro da ABAF (Associação Brasileira de Arte 
Fotográfica), Getty Images e London Independent Photography, 
e vem produzindo imagens autorais encontradas em coleções 
e galerias de arte ao redor do mundo. Conta com exposições 
nacionais e internacionais, onde o seu mais conhecido trabalho 
no estilo street-noir, “Transitivo Direto”, ganhou expressão e 
reconhecimento (www.semolaphotography.com).
 Para entrar em contato com o autor, envie um e-mail para: 
marcos@semola.com.br ou acesse www.marcossemola.com
C0055.indd C0055.indd 06/11/13 9:55 AM06/11/13 9:55 AM
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
MARCOS SÊMOLA
CISM® CIPM® CDPSE® PCI-DSS® PDPP® ISO27K®LA
Biografia Atualizada 
2021
 
 
 
 
 
 
 
 
 
 
 
 
 
 
www.linkedin.com/in/semola 
www.marcossemola.com
172
172
Bacharel em Ciências da Computação pela UCP, MBA em 
Tecnologia Aplicada pela FGV, Pós-Graduado em Estratégia e 
Negociação pela London Business School, Pós-Graduado em 
Disruptive Strategy por Harvard, Mestrando em Inovação pela 
HEC Paris. Formado pelo IBGC como Conselheiro 
de Administração.
Sócio de Cibersegurança da EY, consultor especialista em 
governança, risco e conformidade com 30+ anos de experiência, 
carreira internacional, conselheiro da ISACA, ABINC, CEBDS, 
AMCHAM e do Instituto SmartCity, membro da IAPP, membro 
fundador do Conselho Empresarial Brasileiro para Segurança 
Cibernética, professor da Fundação Getúlio Vargas e da 
Fundação Dom Cabral, escritor com 7 livros publicados, 
empreendedor, former- director da aceleradora de startups 
Founder Institute, mentor da Endeavor e investidor da Anjos do 
Brasil.
https://www.marcossemola.com
https://www.linkedin.com/in/semola
	014_CH13
	015_CH14
	016_CH15
	017_CH16
	C0085
	019_CH18