Gestão da Segurança da informação - conteudo

Prévia do material em texto

12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 1/13
Olá! Seja bem-vindo(a) à disciplina de Gestão da Segurança da Informação. À medida que
avançar no conteúdo desta disciplina, você estará se capacitando para ter uma visão mais
ampla e sistemática de todas as atividades envolvidas na proteção de um dos bens mais
estratégicos das organizações: a informação.  E por se tratar de uma disciplina fundamentada
em normas internacionais de segurança, você vai conhecer padrões e procedimentos adotados
por empresas de todo o mundo. De posse desse conhecimento, você estará habilitado a atuar
como um pro�ssional capaz de implementar práticas e propor soluções já reconhecidas pela
e�cácia no gerenciamento da segurança da informação.
Caro(a) estudante, ao ler este roteiro, você vai:
aprender como gerenciar os riscos mapeados de uma organização;
ser capaz de identi�car vulnerabilidades dentro de processos de trabalho;
estar apto a propor medidas de proteção diante de cenários de risco;
conhecer como funciona a gestão da segurança no âmbito de ativos de TI;
entender o que está envolvido no processo de implantação de um software de gestão da
segurança da informação;
compreender como múltiplos processos podem ser combinados para viabilizar uma
gestão e�ciente da segurança da informação.
Introdução
Gestão da Segurança da Informação
Roteiro de Roteiro de 
EstudosEstudos
Autor: Me. Thiago Nascimento Rodrigues
Revisor: Rogério de Campos
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 2/13
Em qualquer que seja o cenário, segurança é um tópico que requer uma atenção constante e
cuja demanda é crescente. A criticidade das consequências relacionadas a quaisquer violações
nesse âmbito impulsionam organizações a canalizar, cada vez mais, esforços e recursos para o
estabelecimento e a implementação das melhores práticas e garantia de ambientes mais
seguros. Tendo em vista o caráter reconhecidamente estratégico da informação para qualquer
setor de negócio, a segurança desse ativo tem sido igualmente priorizada.
Um direcionamento seguido por organizações de todo o mundo é o de promover a gestão da
segurança da informação por meio de ações baseadas em padrões já validados e reconhecidos
por sua e�cácia. Esse é o contexto em que as normas ISO de segurança estão inseridas. Nesse
roteiro de estudos, você terá a oportunidade de conhecer diretrizes abrangendo diferentes
aspectos de segurança das organizações. Além disso, vai entender como essas normas estão
estruturadas, de forma a facilitar a adoção de suas práticas de maneira gradativa e
segmentada.
Gestão de Riscos
O gerenciamento de qualquer atividade, processo ou recurso tem como princípio elementar a
clara compreensão do que se trata o objeto a ser gerido. Nesse sentido, o conceito de risco
enquanto “combinação da probabilidade de um evento e de suas consequências” deve
permear todas as atividades coordenadas por uma organização e direcionadas para a gestão
dessas duas variáveis (probabilidade de ocorrência e consequência) que caracterizam um
evento como risco (ABNT, 2005, p. 2).
Convém que as análises/avaliações de riscos identi�quem, quanti�quem e
priorizem os riscos com base em critérios para aceitação dos riscos e dos
objetivos relevantes para a organização. Convém que os resultados orientem e
determinem as ações de gestão apropriadas e as prioridades para o
gerenciamento dos riscos de segurança da informação, e para a
implementação dos controles selecionados, de maneira a proteger contra estes
riscos (ABNT, 2005, p. 6).
Alinhado com esse direcionamento, Galvão (2015, p. 93) propõe que a gestão de riscos seja
implementada por meio de seis atividades:
1. De�nição dos objetivos
2. Identi�cação dos riscos
3. Análise dos riscos
4. Planejamento do tratamento de risco
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 3/13
5. Implementação do controle do risco
6. Avaliação e revisão dos riscos
A etapa preliminar de de�nição dos objetivos demanda que os responsáveis pelo processo
estabeleçam o que deve ser alcançado com a implementação das atividades que vão compor a
gestão da segurança da informação como um todo. Quaisquer que sejam esses objetivos –
minimização de riscos, corte de custos, redução de falhas de sistemas etc. – precisam estar
alinhados com as estratégias globais de negócio da organização.
Souza et al . (2016, p. 243) analisam que
O risco é inerente a toda atividade humana. A capacidade de de�nir o que
acontecerá no futuro e optar entre várias alternativas é central às sociedades
contemporâneas. A administração do risco nos guia por uma ampla gama de
tomada de decisões, sendo necessária atenção às possíveis falhas ou erros e
isto inclui a informação e a complexa tecnologia envolvida em seu processo.
A gestão de riscos é uma das áreas mais críticas da gestão de segurança da informação. Muitas
outras atividades dependem de uma gestão de riscos precisa e efetiva. Nesse sentido, um
estudo de caso pode ajudar muito a ver, na prática, os detalhes de execução dessa atividade.
Uma vez que o que se pretende conseguir com a gestão da segurança está claramente
de�nido, os riscos precisam ser identi�cados. Essa etapa exige um conhecimento mais apurado
dos processos de trabalho da organização, como e que tipo de informação está armazenada
em seu parque tecnológico. Logo, para que riscos efetivos sejam identi�cados, faz-se
necessário que
exista um entendimento básico a respeito do ramo exercido pela empresa;
seja realizado um mapeamento de todo processo computacional da empresa;
sejam identi�cadas e compreendidas todas as normas e as políticas internas da empresa;
todas as atividades críticas da empresa sejam inspecionadas;
sejam levantadas quais foram as últimas falhas de segurança nos últimos anos (GALVÃO,
2015, p. 94).
Em sequência à identi�cação dos riscos, estes precisam ser analisados e avaliados. Essa etapa é
de particular importância para as atividades de gestão, dado que os resultados obtidos a partir
dela vão ajudar “a direcionar e a determinar as ações gerenciais apropriadas e as prioridades
para o gerenciamento dos riscos da segurança da informação, e para a implementação dos
controles selecionados para a proteção dos riscos” (ABNT, 2005, p. 11).
Uma ferramenta muito utilizada para a priorização dos riscos é conhecida como matriz GUT
(acrônimo de Gravidade, Urgência e Tendência). Nessa abordagem, cada risco identi�cado é
avaliado sob a ótica dessas três variáveis. Cada variável tem diferentes níveis de criticidade
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 4/13
associados. Cada nível tem um valor numérico correspondente. A partir da pontuação que cada
risco recebe segundo cada uma das variáveis, um valor de pontuação é obtido e usado para a
priorização das listas de riscos. O Quadro 1 apresenta um exemplo de como uma matriz GUT
pode ser de�nida.
Quadro 1 - Exemplo de matriz GUT que pode ser utilizada na etapa de análise e avaliação dos riscos. 
Fonte: Camargo (2020, on-line ).
No planejamento do tratamento dos riscos — atividade que sucede a identi�cação dos mesmos
— a organização precisa determinar, inicialmente, quais riscos serão aceitos por ela e quais não
serão. Segundo a ABNT (2005, p. 6), “riscos podem ser aceitos se, por exemplo, for avaliado que
o risco é baixo ou que o custo   do tratamento não é economicamente viável para a
organização”. É importante que ações sejam devidamente de�nidas e registradas para cada
risco previamente identi�cado. Alguns tratamentos que podem ser dados aos riscos são:
aplicar controlesapropriados para reduzir os riscos;
evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
transferir os riscos associados para outras partes, por exemplo, seguradoras ou
fornecedores (ABNT, 2005, p. 6).
Subsequentemente às de�nições referentes ao tratamento dos riscos, é recomendado
implementar controles de riscos. Um controle constitui uma “forma de gerenciar o risco,
incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que
podem ser de natureza administrativa, técnica, de gestão ou legal” (ABNT, 2005, p. 1). Em
outras palavras, a implementação do controle de riscos signi�ca “executar tudo o que foi
planejado a respeito dos riscos da empresa” (GALVÃO, 2015, p. 97).
Nota Gravidade Urgência Tendência
5
extremamente
grave
precisa de ação
imediata
irá piorar
rapidamente
4 muito grave muito urgente
irá piorar em longo
prazo
3 grave
urgente, merece
atenção no curto
prazo
irá piorar em médio
prazo
2 pouco grave pouco urgente
irá piorar em curto
prazo
1 sem gravidade pode esperar não irá mudar
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 5/13
A etapa �nal do processo de gestão de riscos envolve a avaliação e revisão dos riscos. Essa
etapa agrega um caráter cíclico ao processo, uma vez que os riscos podem sofrer mudanças a
todo o momento. Quando isso ocorre, todo o planejamento em torno de sua análise,
tratamento e controles precisa ser revisado e, quando necessário, ajustado para que se
mantenha em conformidade com a realidade vigente da organização.
Análise de Vulnerabilidades
Vulnerabilidades são de�nidas como fragilidades de um ativo ou grupo de ativos que podem
ser exploradas por uma ou mais ameaças (ABNT, 2005, p. 3). Dessa de�nição, entende-se que
vulnerabilidades podem ser identi�cadas nos diferentes setores, departamentos e instalações
de uma organização. Duas seções de controles de segurança diretamente suscetíveis a
apresentar vulnerabilidades são a Segurança Física e do Ambiente e o Controle de Acesso.
De acordo com Arata, Rodrigues e Farragoni (2018, p. 71),
Quando o tema é informação corporativa e computação em nuvem, a
segurança passa a se concentrar na informação, pois a infraestrutura já não é
mais a principal barreira. Sendo assim, é necessário aplicar controles
diferenciados para as informações, como a utilização de soluções de
criptogra�as, controle de acesso e compartilhamento rigoroso. É importante
lembrar que a área de segurança da informação deve assegurar a
con�dencialidade, integridade, disponibilidade e rastreabilidade das
informações estratégicas para o negócio.
Instalações e todo ambiente que pode representar algum risco de segurança para a
organização devem ser contemplados na análise de vulnerabilidades, de forma a “prevenir o
acesso físico não autorizado, danos e interferência com as instalações e informações da
organização” (ABNT, 2005, p. 32). Nesse sentido, uma varredura em busca de fragilidades nos
controles de segurança deve ser executada, considerando as seguintes áreas e situações:
perímetro de segurança física: avaliar áreas que contenham informações e instalações de
processamento da informação;
controles de entrada física: veri�car se as áreas seguras oferecem controles para garantir
que apenas pessoas autorizadas tenham acesso;
segurança em escritórios, salas e instalações: conferir a existência de controles de
segurança físicos nesses ambientes;
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 6/13
proteção contra ameaças externas e do meio ambiente: avaliar a existência de proteção
contra eventos naturais ou incidentes no perímetro (vazamentos, explosões etc.);
acesso ao público e a áreas de carregamento: garantir o controle de acesso nesses
espaços;
segurança de equipamentos: avaliar o estado de utilidades e cabeamentos, além de
veri�car a segurança da utilização dos mesmos fora da organização.
Uma análise de vulnerabilidades deve ser feita de forma análoga considerando os controles de
acesso. Nesta seção, o objetivo é garantir que “o acesso à informação, recursos de
processamento das informações e processos de negócios sejam controlados com base nos
requisitos de negócio e segurança da informação” (ABNT, 2005, p. 65). Assim como feito na
análise da segurança física e do ambiente, conjuntos de áreas e procedimentos devem ser
avaliados na busca por vulnerabilidades:
política de controle de acesso: fazer a conferência crítica da documentação existente;
gerenciamento de acesso do usuário: analisar a existência de procedimentos formais para
o controle e a distribuição de direitos de acesso a sistemas da informação;
responsabilidade dos usuários: avaliar as políticas preparadas para garantir que os
usuários estejam conscientes de suas responsabilidades em relação ao uso de senhas e
de segurança dos equipamentos;
controle de acesso aos recursos e sistemas computacionais: veri�car os procedimentos
relacionados à computação móvel, trabalho remoto, acesso a aplicações e sistemas
operacionais e à rede.
Medidas de Proteção
Diferentes medidas de proteção podem ser propostas e adotadas de acordo com as
especi�cidades dos processos de cada organização. Entretanto, é recomendável que áreas
cujas vulnerabilidades têm maior potencial de surgir sejam priorizadas. Em função disso, a
segurança física e do ambiente e o controle de acesso merecem novamente receber o foco de
atenção quanto à implementação de medidas para a garantia da segurança.
Relacionado à segurança física e do ambiente, recomenda-se que haja a de�nição clara dos
limites do perímetro de segurança e a eliminação de brechas estruturais que poderiam
viabilizar uma invasão. Sistemas de detecção de intrusos e a construção de barreiras físicas
para a contenção de acessos não autorizados também são recomendados. Para o controle de
entradas físicas, registros da data e hora de entrada e saídas podem possibilitar que quaisquer
visitantes sejam supervisionados. Com o objetivo de impedir que intrusos se aproveitem de
situações que poderiam camu�ar o seu acesso indevido, a exigência de que todos os
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 7/13
funcionários, fornecedores e terceiros, e todos os visitantes, tenham alguma forma de
identi�cação visível pode se con�gurar como uma medida de proteção. Para as demais
instalações da organização, há a recomendação de que qualquer acesso seja identi�cado, ainda
que limitado a alguma atividade de carga e descarga.
Quanto às medidas de proteção relativas ao controle de acesso, o espectro pode variar de
medidas simples a soluções tecnologicamente elaboradas. Nesse sentido, a segregação de
funções de controle de acesso e a utilização de identi�cadores de usuários (ID de usuário)
podem proporcionar que o gerenciamento de acesso seja efetuado de maneira mais segura e
suave. Outra medida de proteção elementar é conscientizar e auditar a con�dencialidade das
senhas utilizadas pelos usuários. Isso permitirá que o acesso aos ativos computacionais da
organização (rede, sistemas operacionais, aplicações e acesso remoto) esteja alinhado com os
requisitos de segurança previamente estabelecidos.
LIVRO
Mapeamento de processos: conceitos, técnicas e
ferramentas
Autores: Egon Walter Wildauer e Laila Del Bem Seleme Wildauer
Editora: InterSaberes
Ano: 2015
Comentário: no livro indicado, apresenta-se, de forma simples
e direta, uma temática fundamental no mundo das
organizações: o mapeamento de processos. São fornecidas
bases para nortear o entendimento do tema pelo leitor. Além
disso, são apresentados casos práticos que fornecem um
aprofundamento acerca do mapeamento. Recomenda-se, em
particular, a leiturados Capítulos 1 e 2.
Disponível na Biblioteca Virtual.
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 8/13
Segurança em Ativos de TI
Um ativo é qualquer coisa que tenha valor para a organização. Logo, os ativos incluem:
ativos de informação: base de dados, arquivos, contratos e acordos, documentação de
sistemas, manuais de usuários, material de treinamento, planos de continuidade do
negócio etc.;
ativos de software : aplicativos, sistemas, ferramentas de desenvolvimento;
ativos físicos: equipamentos computacionais, equipamentos de construção, mídias
removíveis etc.;
serviços: serviços de computação e comunicações, utilidades gerais como iluminação,
refrigeração etc.;
pessoas e suas quali�cações, habilidades e experiências;
intangíveis, tais como a reputação e a imagem da organização (ABNT, 2005, p. 21).
A segurança dos ativos de TI está intrinsecamente relacionada com a forma como a gestão
desses elementos se dá. Todo o aferimento da segurança nesse contexto se inicia pela
de�nição e formalização de quem são os responsáveis por cada ativo. Nesse sentido, “convém
que todas as informações e ativos associados com os recursos de processamento da
informação tenham um proprietário designado por uma parte de�nida da organização” (ABNT,
2005, p. 22). Para que um mapeamento correto e preciso entre ativos e respectivos
responsáveis possa ser feito, é preciso que um inventário seja construído preliminarmente.
Nele devem constar todos os ativos que forem relevantes para a organização.
Associada à de�nição dos responsáveis por cada ativo, é recomendável que uma formalização
do que representa o uso aceitável de cada um deles seja feita. Para isso, deve estar claro, para
cada funcionário, fornecedor e terceiros, quais são as regras de uso de cada ativo. Convém que
sejam incluídas normas documentadas de uso da internet e do correio eletrônico, além de
diretrizes identi�cadas, regulando o uso de dispositivos móveis dentro e fora das instalações da
organização.
Silva e Pinto (2019, p. 54) lembram que
A gestão de empresas é um campo abrangente e não trivial para o pequeno
empresário que, por não contar com recursos �nanceiros adequados para
contratar pro�ssionais quali�cados  em  cada  área  de  gestão,  acaba  por
 contratar  outras pequenas empresas para suprir suas necessidades.
Nesse sentido, a gestão dos ativos de TI, no âmbito da segurança da informação, tende a ser
uma realidade apenas em organizações de grande porte. No entanto micro e pequenas
empresas precisam, de igual modo, dar atenção a essa atividade.
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd=… 9/13
Além das de�nições das normas de uso e atribuição de responsáveis, a segurança dos ativos de
TI requer também que a informação seja classi�cada, a �m de receber o nível adequado de
proteção. Para isso, é recomendável que o dono do ativo de negócio atribua uma classi�cação
apropriada de acordo com uma lista acordada de classi�cações. A classi�cação deve indicar a
forma de segurança que é necessária. Isso é determinado em parte pela sensibilidade, pelo
valor, pelos requisitos legais e pela importância para a organização. A classi�cação deve estar
de acordo com a forma como o ativo é utilizado no negócio (HINTZBERGEN et al ., 2018).
Sistemas de Gestão da Segurança
da Informação
A adoção de um sistema de gestão da segurança da informação (SGSI) deve ser encarada como
uma decisão estratégica para a organização, tendo em vista o seu impacto nos processos de
trabalho e re�exos no modelo de negócio já vigente. Em função disso, a ABNT (2006, p. 5)
sugere que a sua implantação seja executada nos moldes de um modelo conhecido como
PDCA ( Plan-Do-Check-Act , cuja tradução é Planejar-Fazer-Veri�car-Agir). A Figura 1 apresenta
uma visão esquemática do processo de implantação completo.
Figura 1 - Ciclo PDCA de implantação de um sistema de gestão da segurança da informação 
Fonte: ABNT (2006, p. 5).
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd… 10/13
Anteriormente à introdução de um SGSI em uma organização, uma etapa de planejamento ou
estabelecimento ( Plan ) do sistema precisa ser efetuada. Como passo inicial, é preciso de�nir o
escopo e os limites do sistema, considerando as características do negócio, a organização, sua
localização, ativos e tecnologia. Além disso, toda uma gestão de riscos deve ser planejada
dentro do contexto do SGSI. Nesse sentido, é preciso identi�car quais riscos pertencem ao
escopo do sistema e proceder com a análise, avaliação, proposição de tratamento, seleção de
controles e objetivos a serem alcançados (ABNT, 2006).
Para a implantação e a operacionalização de um SGSI (Do), é recomendável que a organização
implemente programas de conscientização e treinamento, estabeleça uma política de
gerenciamento de operações e recursos do sistema e ponha em prática “procedimentos e
outros controles capazes de permitir a pronta detecção de eventos de segurança da
informação e resposta a incidentes de segurança da informação” (ABNT, 2006).
Uma vez em operação, o SGSI precisa de monitoramento e de ser criticamente analisado (
Check ). A organização executa essas veri�cações regularmente, avaliando a e�cácia do sistema
(incluindo o atendimento da política e dos objetivos do SGSI e a análise crítica de controles de
segurança), levando em consideração os resultados de auditorias de segurança da informação,
incidentes de segurança e sugestões. A melhoria e manutenção ( Act ) do SGSI �naliza um ciclo e
gera os subsídios para que uma nova interação seja executada. Nessa última etapa, melhorias
identi�cadas devem ser implementadas, e erros e falhas, corrigidos.
Em todas as etapas do processo PDCA de implantação de um SGSI, o comprometimento da
direção é crucial. A institucionalização de todos os procedimentos e políticas é de
responsabilidade da direção, que precisa, além disso, garantir que recursos su�cientes sejam
alocados para a subsidiação de todo o processo. A aderência do corpo funcional da
organização ao correto uso e manutenção tem ligação direta com o pleno envolvimento da
direção.
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd… 11/13
Conclusão
Neste roteiro de estudos, tivemos a oportunidade de explorar orientações padronizadas de
segurança aplicadas a diferentes áreas de uma organização. Ficou claro, por exemplo, que dois
setores são críticos para a garantia da segurança da informação: a segurança física e do
ambiente e o controle de acesso. Não raro, essas são duas áreas que demandam muito esforço
e investimento para impedir que suas vulnerabilidades se convertam em ameaças para a
organização. Além disso, conseguimos analisar como a forma com que as normas estão
estruturadas viabilizam uma adoção gradativa de suas práticas. Isso foi evidente no ciclo de
processo que orienta a implantação de um software de gestão de segurança da informação.
LIVRO
Sistemas de segurança da informação na era do
conhecimento
Autor : Armando Kolbe Júnior
Editora : InterSaberes
Ano : 2017
Comentário : por se tratar de uma área estratégica para a
organização, a segurança da informação não raro é relevante
para a tomada de decisões gerenciais. Aplicar a segurança da
informação nesse contexto, porém requer que os sistemas de
gestão sejam preparados para manipular as informações de
modo apropriado. No capítulo 5 desse livro, conheça algumas
diretrizes de preparação de um SGSI para que possa apoiar a
tomada de decisões.
Disponível na Biblioteca Virtual.
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd…12/13
Referências Bibliográ�cas
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001 : tecnologia da
informação: técnicas de segurança: sistemas de gestão de segurança da informação: requisitos.
Rio de Janeiro: ABNT, 2006.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002 : tecnologia da
informação: técnicas de segurança: código de prática para a gestão da segurança da
informação. Rio de Janeiro: ABNT, 2005.
ARATA, E. P.; RODRIGUES, C. F.; FARRAGONI, R. Análise de vulnerabilidades em Cloud
Computing. Revista FATEC Sebrae em Debate : Gestão, Tecnologias e Negócios, São Paulo, v.
5, n. 9, p. 69-80, jul./dez. 2018.
CAMARGO, R. F. de. Como fazer a Matriz GUT para a resolução de problemas? Conheça a Matriz
de Prioridades. Treasy , 2018. Disponível em: https://www.treasy.com.br/blog/matriz-gut/ .
Acesso em: 16 abr. 2020.
GALVÃO, M. C. Fundamentos em segurança da informação . São Paulo: Pearson Education
do Brasil, 2015.
HINTZBERGEN, J. et al . F undamentos de Segurança da Informação : com base na ISO 27001
e ISO 27002. Rio de Janeiro: Brasport, 2018.
KOLBE JÚNIOR, A. Sistemas de segurança da informação na era do conhecimento . Curitiba:
InterSaberes, 2017.
SILVA, S. F. da; PINTO, J. S. Análise da importância da gestão de ativos de TI no ambiente de
micro e pequenas empresas. Revista Cientí�ca E-Locução , Extrema, v. 1, n. 15, p. 52-69, 2019.
SOUZA, J. G. S. et al . Gestão de riscos de segurança da informação numa instituição pública
federal: um estudo de caso. Revista ENIAC Pesquisa , v. 5, n. 2, p. 240-256, jun./dez. 2016.
WILDAUER, E. W.; WILDAUER, L. D. B. S. Mapeamento de processos : conceitos, técnicas e
ferramentas. Curitiba: InterSaberes, 2015.
https://www.treasy.com.br/blog/matriz-gut/
12/05/2022 12:58 Roteiro de Estudos
https://student.ulife.com.br/ContentPlayer/Index?lc=cjkn2tnRZPXg2e67s3%2fvaA%3d%3d&l=bFtMmlBR6gYpO7KK%2bOco%2fw%3d%3d&cd… 13/13