Prévia do material em texto
12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 1/13 Olá! Seja bem-vindo(a) à disciplina de Gestão da Segurança da Informação. À medida que avançar no conteúdo desta disciplina, você estará se capacitando para ter uma visão mais ampla e sistemática de todas as atividades envolvidas na proteção de um dos bens mais estratégicos das organizações: a informação. E por se tratar de uma disciplina fundamentada em normas internacionais de segurança, você vai conhecer padrões e procedimentos adotados por empresas de todo o mundo. De posse desse conhecimento, você estará habilitado a atuar como um pro�ssional capaz de implementar práticas e propor soluções já reconhecidas pela e�cácia no gerenciamento da segurança da informação. Caro(a) estudante, ao ler este roteiro, você vai: aprender como gerenciar os riscos mapeados de uma organização; ser capaz de identi�car vulnerabilidades dentro de processos de trabalho; estar apto a propor medidas de proteção diante de cenários de risco; conhecer como funciona a gestão da segurança no âmbito de ativos de TI; entender o que está envolvido no processo de implantação de um software de gestão da segurança da informação; compreender como múltiplos processos podem ser combinados para viabilizar uma gestão e�ciente da segurança da informação. Introdução Gestão da Segurança da Informação Roteiro de Roteiro de EstudosEstudos Autor: Me. Thiago Nascimento Rodrigues Revisor: Rogério de Campos 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 2/13 Em qualquer que seja o cenário, segurança é um tópico que requer uma atenção constante e cuja demanda é crescente. A criticidade das consequências relacionadas a quaisquer violações nesse âmbito impulsionam organizações a canalizar, cada vez mais, esforços e recursos para o estabelecimento e a implementação das melhores práticas e garantia de ambientes mais seguros. Tendo em vista o caráter reconhecidamente estratégico da informação para qualquer setor de negócio, a segurança desse ativo tem sido igualmente priorizada. Um direcionamento seguido por organizações de todo o mundo é o de promover a gestão da segurança da informação por meio de ações baseadas em padrões já validados e reconhecidos por sua e�cácia. Esse é o contexto em que as normas ISO de segurança estão inseridas. Nesse roteiro de estudos, você terá a oportunidade de conhecer diretrizes abrangendo diferentes aspectos de segurança das organizações. Além disso, vai entender como essas normas estão estruturadas, de forma a facilitar a adoção de suas práticas de maneira gradativa e segmentada. Gestão de Riscos O gerenciamento de qualquer atividade, processo ou recurso tem como princípio elementar a clara compreensão do que se trata o objeto a ser gerido. Nesse sentido, o conceito de risco enquanto “combinação da probabilidade de um evento e de suas consequências” deve permear todas as atividades coordenadas por uma organização e direcionadas para a gestão dessas duas variáveis (probabilidade de ocorrência e consequência) que caracterizam um evento como risco (ABNT, 2005, p. 2). Convém que as análises/avaliações de riscos identi�quem, quanti�quem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização. Convém que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos (ABNT, 2005, p. 6). Alinhado com esse direcionamento, Galvão (2015, p. 93) propõe que a gestão de riscos seja implementada por meio de seis atividades: 1. De�nição dos objetivos 2. Identi�cação dos riscos 3. Análise dos riscos 4. Planejamento do tratamento de risco 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 3/13 5. Implementação do controle do risco 6. Avaliação e revisão dos riscos A etapa preliminar de de�nição dos objetivos demanda que os responsáveis pelo processo estabeleçam o que deve ser alcançado com a implementação das atividades que vão compor a gestão da segurança da informação como um todo. Quaisquer que sejam esses objetivos – minimização de riscos, corte de custos, redução de falhas de sistemas etc. – precisam estar alinhados com as estratégias globais de negócio da organização. Souza et al . (2016, p. 243) analisam que O risco é inerente a toda atividade humana. A capacidade de de�nir o que acontecerá no futuro e optar entre várias alternativas é central às sociedades contemporâneas. A administração do risco nos guia por uma ampla gama de tomada de decisões, sendo necessária atenção às possíveis falhas ou erros e isto inclui a informação e a complexa tecnologia envolvida em seu processo. A gestão de riscos é uma das áreas mais críticas da gestão de segurança da informação. Muitas outras atividades dependem de uma gestão de riscos precisa e efetiva. Nesse sentido, um estudo de caso pode ajudar muito a ver, na prática, os detalhes de execução dessa atividade. Uma vez que o que se pretende conseguir com a gestão da segurança está claramente de�nido, os riscos precisam ser identi�cados. Essa etapa exige um conhecimento mais apurado dos processos de trabalho da organização, como e que tipo de informação está armazenada em seu parque tecnológico. Logo, para que riscos efetivos sejam identi�cados, faz-se necessário que exista um entendimento básico a respeito do ramo exercido pela empresa; seja realizado um mapeamento de todo processo computacional da empresa; sejam identi�cadas e compreendidas todas as normas e as políticas internas da empresa; todas as atividades críticas da empresa sejam inspecionadas; sejam levantadas quais foram as últimas falhas de segurança nos últimos anos (GALVÃO, 2015, p. 94). Em sequência à identi�cação dos riscos, estes precisam ser analisados e avaliados. Essa etapa é de particular importância para as atividades de gestão, dado que os resultados obtidos a partir dela vão ajudar “a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção dos riscos” (ABNT, 2005, p. 11). Uma ferramenta muito utilizada para a priorização dos riscos é conhecida como matriz GUT (acrônimo de Gravidade, Urgência e Tendência). Nessa abordagem, cada risco identi�cado é avaliado sob a ótica dessas três variáveis. Cada variável tem diferentes níveis de criticidade 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 4/13 associados. Cada nível tem um valor numérico correspondente. A partir da pontuação que cada risco recebe segundo cada uma das variáveis, um valor de pontuação é obtido e usado para a priorização das listas de riscos. O Quadro 1 apresenta um exemplo de como uma matriz GUT pode ser de�nida. Quadro 1 - Exemplo de matriz GUT que pode ser utilizada na etapa de análise e avaliação dos riscos. Fonte: Camargo (2020, on-line ). No planejamento do tratamento dos riscos — atividade que sucede a identi�cação dos mesmos — a organização precisa determinar, inicialmente, quais riscos serão aceitos por ela e quais não serão. Segundo a ABNT (2005, p. 6), “riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização”. É importante que ações sejam devidamente de�nidas e registradas para cada risco previamente identi�cado. Alguns tratamentos que podem ser dados aos riscos são: aplicar controlesapropriados para reduzir os riscos; evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos; transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores (ABNT, 2005, p. 6). Subsequentemente às de�nições referentes ao tratamento dos riscos, é recomendado implementar controles de riscos. Um controle constitui uma “forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal” (ABNT, 2005, p. 1). Em outras palavras, a implementação do controle de riscos signi�ca “executar tudo o que foi planejado a respeito dos riscos da empresa” (GALVÃO, 2015, p. 97). Nota Gravidade Urgência Tendência 5 extremamente grave precisa de ação imediata irá piorar rapidamente 4 muito grave muito urgente irá piorar em longo prazo 3 grave urgente, merece atenção no curto prazo irá piorar em médio prazo 2 pouco grave pouco urgente irá piorar em curto prazo 1 sem gravidade pode esperar não irá mudar 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 5/13 A etapa �nal do processo de gestão de riscos envolve a avaliação e revisão dos riscos. Essa etapa agrega um caráter cíclico ao processo, uma vez que os riscos podem sofrer mudanças a todo o momento. Quando isso ocorre, todo o planejamento em torno de sua análise, tratamento e controles precisa ser revisado e, quando necessário, ajustado para que se mantenha em conformidade com a realidade vigente da organização. Análise de Vulnerabilidades Vulnerabilidades são de�nidas como fragilidades de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaças (ABNT, 2005, p. 3). Dessa de�nição, entende-se que vulnerabilidades podem ser identi�cadas nos diferentes setores, departamentos e instalações de uma organização. Duas seções de controles de segurança diretamente suscetíveis a apresentar vulnerabilidades são a Segurança Física e do Ambiente e o Controle de Acesso. De acordo com Arata, Rodrigues e Farragoni (2018, p. 71), Quando o tema é informação corporativa e computação em nuvem, a segurança passa a se concentrar na informação, pois a infraestrutura já não é mais a principal barreira. Sendo assim, é necessário aplicar controles diferenciados para as informações, como a utilização de soluções de criptogra�as, controle de acesso e compartilhamento rigoroso. É importante lembrar que a área de segurança da informação deve assegurar a con�dencialidade, integridade, disponibilidade e rastreabilidade das informações estratégicas para o negócio. Instalações e todo ambiente que pode representar algum risco de segurança para a organização devem ser contemplados na análise de vulnerabilidades, de forma a “prevenir o acesso físico não autorizado, danos e interferência com as instalações e informações da organização” (ABNT, 2005, p. 32). Nesse sentido, uma varredura em busca de fragilidades nos controles de segurança deve ser executada, considerando as seguintes áreas e situações: perímetro de segurança física: avaliar áreas que contenham informações e instalações de processamento da informação; controles de entrada física: veri�car se as áreas seguras oferecem controles para garantir que apenas pessoas autorizadas tenham acesso; segurança em escritórios, salas e instalações: conferir a existência de controles de segurança físicos nesses ambientes; 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 6/13 proteção contra ameaças externas e do meio ambiente: avaliar a existência de proteção contra eventos naturais ou incidentes no perímetro (vazamentos, explosões etc.); acesso ao público e a áreas de carregamento: garantir o controle de acesso nesses espaços; segurança de equipamentos: avaliar o estado de utilidades e cabeamentos, além de veri�car a segurança da utilização dos mesmos fora da organização. Uma análise de vulnerabilidades deve ser feita de forma análoga considerando os controles de acesso. Nesta seção, o objetivo é garantir que “o acesso à informação, recursos de processamento das informações e processos de negócios sejam controlados com base nos requisitos de negócio e segurança da informação” (ABNT, 2005, p. 65). Assim como feito na análise da segurança física e do ambiente, conjuntos de áreas e procedimentos devem ser avaliados na busca por vulnerabilidades: política de controle de acesso: fazer a conferência crítica da documentação existente; gerenciamento de acesso do usuário: analisar a existência de procedimentos formais para o controle e a distribuição de direitos de acesso a sistemas da informação; responsabilidade dos usuários: avaliar as políticas preparadas para garantir que os usuários estejam conscientes de suas responsabilidades em relação ao uso de senhas e de segurança dos equipamentos; controle de acesso aos recursos e sistemas computacionais: veri�car os procedimentos relacionados à computação móvel, trabalho remoto, acesso a aplicações e sistemas operacionais e à rede. Medidas de Proteção Diferentes medidas de proteção podem ser propostas e adotadas de acordo com as especi�cidades dos processos de cada organização. Entretanto, é recomendável que áreas cujas vulnerabilidades têm maior potencial de surgir sejam priorizadas. Em função disso, a segurança física e do ambiente e o controle de acesso merecem novamente receber o foco de atenção quanto à implementação de medidas para a garantia da segurança. Relacionado à segurança física e do ambiente, recomenda-se que haja a de�nição clara dos limites do perímetro de segurança e a eliminação de brechas estruturais que poderiam viabilizar uma invasão. Sistemas de detecção de intrusos e a construção de barreiras físicas para a contenção de acessos não autorizados também são recomendados. Para o controle de entradas físicas, registros da data e hora de entrada e saídas podem possibilitar que quaisquer visitantes sejam supervisionados. Com o objetivo de impedir que intrusos se aproveitem de situações que poderiam camu�ar o seu acesso indevido, a exigência de que todos os 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 7/13 funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma de identi�cação visível pode se con�gurar como uma medida de proteção. Para as demais instalações da organização, há a recomendação de que qualquer acesso seja identi�cado, ainda que limitado a alguma atividade de carga e descarga. Quanto às medidas de proteção relativas ao controle de acesso, o espectro pode variar de medidas simples a soluções tecnologicamente elaboradas. Nesse sentido, a segregação de funções de controle de acesso e a utilização de identi�cadores de usuários (ID de usuário) podem proporcionar que o gerenciamento de acesso seja efetuado de maneira mais segura e suave. Outra medida de proteção elementar é conscientizar e auditar a con�dencialidade das senhas utilizadas pelos usuários. Isso permitirá que o acesso aos ativos computacionais da organização (rede, sistemas operacionais, aplicações e acesso remoto) esteja alinhado com os requisitos de segurança previamente estabelecidos. LIVRO Mapeamento de processos: conceitos, técnicas e ferramentas Autores: Egon Walter Wildauer e Laila Del Bem Seleme Wildauer Editora: InterSaberes Ano: 2015 Comentário: no livro indicado, apresenta-se, de forma simples e direta, uma temática fundamental no mundo das organizações: o mapeamento de processos. São fornecidas bases para nortear o entendimento do tema pelo leitor. Além disso, são apresentados casos práticos que fornecem um aprofundamento acerca do mapeamento. Recomenda-se, em particular, a leiturados Capítulos 1 e 2. Disponível na Biblioteca Virtual. 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 8/13 Segurança em Ativos de TI Um ativo é qualquer coisa que tenha valor para a organização. Logo, os ativos incluem: ativos de informação: base de dados, arquivos, contratos e acordos, documentação de sistemas, manuais de usuários, material de treinamento, planos de continuidade do negócio etc.; ativos de software : aplicativos, sistemas, ferramentas de desenvolvimento; ativos físicos: equipamentos computacionais, equipamentos de construção, mídias removíveis etc.; serviços: serviços de computação e comunicações, utilidades gerais como iluminação, refrigeração etc.; pessoas e suas quali�cações, habilidades e experiências; intangíveis, tais como a reputação e a imagem da organização (ABNT, 2005, p. 21). A segurança dos ativos de TI está intrinsecamente relacionada com a forma como a gestão desses elementos se dá. Todo o aferimento da segurança nesse contexto se inicia pela de�nição e formalização de quem são os responsáveis por cada ativo. Nesse sentido, “convém que todas as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte de�nida da organização” (ABNT, 2005, p. 22). Para que um mapeamento correto e preciso entre ativos e respectivos responsáveis possa ser feito, é preciso que um inventário seja construído preliminarmente. Nele devem constar todos os ativos que forem relevantes para a organização. Associada à de�nição dos responsáveis por cada ativo, é recomendável que uma formalização do que representa o uso aceitável de cada um deles seja feita. Para isso, deve estar claro, para cada funcionário, fornecedor e terceiros, quais são as regras de uso de cada ativo. Convém que sejam incluídas normas documentadas de uso da internet e do correio eletrônico, além de diretrizes identi�cadas, regulando o uso de dispositivos móveis dentro e fora das instalações da organização. Silva e Pinto (2019, p. 54) lembram que A gestão de empresas é um campo abrangente e não trivial para o pequeno empresário que, por não contar com recursos �nanceiros adequados para contratar pro�ssionais quali�cados em cada área de gestão, acaba por contratar outras pequenas empresas para suprir suas necessidades. Nesse sentido, a gestão dos ativos de TI, no âmbito da segurança da informação, tende a ser uma realidade apenas em organizações de grande porte. No entanto micro e pequenas empresas precisam, de igual modo, dar atenção a essa atividade. 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 9/13 Além das de�nições das normas de uso e atribuição de responsáveis, a segurança dos ativos de TI requer também que a informação seja classi�cada, a �m de receber o nível adequado de proteção. Para isso, é recomendável que o dono do ativo de negócio atribua uma classi�cação apropriada de acordo com uma lista acordada de classi�cações. A classi�cação deve indicar a forma de segurança que é necessária. Isso é determinado em parte pela sensibilidade, pelo valor, pelos requisitos legais e pela importância para a organização. A classi�cação deve estar de acordo com a forma como o ativo é utilizado no negócio (HINTZBERGEN et al ., 2018). Sistemas de Gestão da Segurança da Informação A adoção de um sistema de gestão da segurança da informação (SGSI) deve ser encarada como uma decisão estratégica para a organização, tendo em vista o seu impacto nos processos de trabalho e re�exos no modelo de negócio já vigente. Em função disso, a ABNT (2006, p. 5) sugere que a sua implantação seja executada nos moldes de um modelo conhecido como PDCA ( Plan-Do-Check-Act , cuja tradução é Planejar-Fazer-Veri�car-Agir). A Figura 1 apresenta uma visão esquemática do processo de implantação completo. Figura 1 - Ciclo PDCA de implantação de um sistema de gestão da segurança da informação Fonte: ABNT (2006, p. 5). 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd… 10/13 Anteriormente à introdução de um SGSI em uma organização, uma etapa de planejamento ou estabelecimento ( Plan ) do sistema precisa ser efetuada. Como passo inicial, é preciso de�nir o escopo e os limites do sistema, considerando as características do negócio, a organização, sua localização, ativos e tecnologia. Além disso, toda uma gestão de riscos deve ser planejada dentro do contexto do SGSI. Nesse sentido, é preciso identi�car quais riscos pertencem ao escopo do sistema e proceder com a análise, avaliação, proposição de tratamento, seleção de controles e objetivos a serem alcançados (ABNT, 2006). Para a implantação e a operacionalização de um SGSI (Do), é recomendável que a organização implemente programas de conscientização e treinamento, estabeleça uma política de gerenciamento de operações e recursos do sistema e ponha em prática “procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação” (ABNT, 2006). Uma vez em operação, o SGSI precisa de monitoramento e de ser criticamente analisado ( Check ). A organização executa essas veri�cações regularmente, avaliando a e�cácia do sistema (incluindo o atendimento da política e dos objetivos do SGSI e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança e sugestões. A melhoria e manutenção ( Act ) do SGSI �naliza um ciclo e gera os subsídios para que uma nova interação seja executada. Nessa última etapa, melhorias identi�cadas devem ser implementadas, e erros e falhas, corrigidos. Em todas as etapas do processo PDCA de implantação de um SGSI, o comprometimento da direção é crucial. A institucionalização de todos os procedimentos e políticas é de responsabilidade da direção, que precisa, além disso, garantir que recursos su�cientes sejam alocados para a subsidiação de todo o processo. A aderência do corpo funcional da organização ao correto uso e manutenção tem ligação direta com o pleno envolvimento da direção. 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd… 11/13 Conclusão Neste roteiro de estudos, tivemos a oportunidade de explorar orientações padronizadas de segurança aplicadas a diferentes áreas de uma organização. Ficou claro, por exemplo, que dois setores são críticos para a garantia da segurança da informação: a segurança física e do ambiente e o controle de acesso. Não raro, essas são duas áreas que demandam muito esforço e investimento para impedir que suas vulnerabilidades se convertam em ameaças para a organização. Além disso, conseguimos analisar como a forma com que as normas estão estruturadas viabilizam uma adoção gradativa de suas práticas. Isso foi evidente no ciclo de processo que orienta a implantação de um software de gestão de segurança da informação. LIVRO Sistemas de segurança da informação na era do conhecimento Autor : Armando Kolbe Júnior Editora : InterSaberes Ano : 2017 Comentário : por se tratar de uma área estratégica para a organização, a segurança da informação não raro é relevante para a tomada de decisões gerenciais. Aplicar a segurança da informação nesse contexto, porém requer que os sistemas de gestão sejam preparados para manipular as informações de modo apropriado. No capítulo 5 desse livro, conheça algumas diretrizes de preparação de um SGSI para que possa apoiar a tomada de decisões. Disponível na Biblioteca Virtual. 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd…12/13 Referências Bibliográ�cas ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001 : tecnologia da informação: técnicas de segurança: sistemas de gestão de segurança da informação: requisitos. Rio de Janeiro: ABNT, 2006. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002 : tecnologia da informação: técnicas de segurança: código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. ARATA, E. P.; RODRIGUES, C. F.; FARRAGONI, R. Análise de vulnerabilidades em Cloud Computing. Revista FATEC Sebrae em Debate : Gestão, Tecnologias e Negócios, São Paulo, v. 5, n. 9, p. 69-80, jul./dez. 2018. CAMARGO, R. F. de. Como fazer a Matriz GUT para a resolução de problemas? Conheça a Matriz de Prioridades. Treasy , 2018. Disponível em: https://www.treasy.com.br/blog/matriz-gut/ . Acesso em: 16 abr. 2020. GALVÃO, M. C. Fundamentos em segurança da informação . São Paulo: Pearson Education do Brasil, 2015. HINTZBERGEN, J. et al . F undamentos de Segurança da Informação : com base na ISO 27001 e ISO 27002. Rio de Janeiro: Brasport, 2018. KOLBE JÚNIOR, A. Sistemas de segurança da informação na era do conhecimento . Curitiba: InterSaberes, 2017. SILVA, S. F. da; PINTO, J. S. Análise da importância da gestão de ativos de TI no ambiente de micro e pequenas empresas. Revista Cientí�ca E-Locução , Extrema, v. 1, n. 15, p. 52-69, 2019. SOUZA, J. G. S. et al . Gestão de riscos de segurança da informação numa instituição pública federal: um estudo de caso. Revista ENIAC Pesquisa , v. 5, n. 2, p. 240-256, jun./dez. 2016. WILDAUER, E. W.; WILDAUER, L. D. B. S. Mapeamento de processos : conceitos, técnicas e ferramentas. Curitiba: InterSaberes, 2015. https://www.treasy.com.br/blog/matriz-gut/ 12/05/2022 12:58 Roteiro de Estudos https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd… 13/13