I_Teorico- Seg da Informação e Tratamento de Incidentes

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Segurança da Informação e 
Tratamento de Incidentes
Segurança da Informação e Prevenção de Incidentes
Responsável pelo Conteúdo:
Prof. Esp. Antonio Eduardo Marques da Silva
Revisão Textual:
Prof. Esp. Claudio Pereira do Nascimento
Nesta unidade, trabalharemos os seguintes tópicos:
• O Que É Segurança?
• Ativos de Informação;
• Conceitos Chave de Segurança da Informação;
• Características Críticas da Informação;
• Incidentes e Danos;
• Política de Segurança da Informação;
• Programa da Política de Segurança;
• Política Específica do Sistema.
Fonte: Getty Im
ages
Objetivo
• Compreender e abordar alguns fundamentos de segurança da informação e caracterís-
ticas e desenvolvimento de uma política de segurança da informação para organização.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
Segurança da Informação 
e Prevenção de Incidentes
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
Contextualização 
Você sabe definir o que é segurança da informação e quais os conceitos essenciais 
que podem caracterizá-la? Saberia explicar o que é um incidente e como categorizá-lo? 
Qual a importância de uma boa política de segurança da informação para uma orga-
nização? Como existem diferentes tecnologias aplicadas em segurança da informação, 
você deve estar se perguntando, como é possível entender melhor o seu funcionamento. 
Embora possamos aprender várias ferramentas ou tecnologias em segurança, precisa-
mos focar em alguma(s), principalmente as mais utilizadas no mercado, para termos uma 
maior facilidade de manuseio.
Nesta unidade vamos abordar de uma forma simples o que é segurança da informação 
e suas vertentes. Por características obvias, a área da Tecnologia da Informação tem uma 
parcela muito grande e importante nesse tema e em função disso vamos tratar em grande 
parte da segurança da informação em ambientes de TIC – Tecnologia da Informação de 
Comunicações. No final, também veremos o que é um incidente de segurança e descrever 
de uma forma resumida a importância da política de segurança da informação. 
Não se preocupe, nesta disciplina iremos abordar alguns conceitos fundamentais 
para que você possa entender como funciona alguns recursos, técnicas e ferramentas 
que fazem parte de um sistema de gestão da segurança da informação.
Vamos começar!
6
7
O Que é Segurança?
Em geral, a segurança é “a qualidade ou estado de ser seguro, ou seja, estar livre de perigo”. 
Em outras palavras, é a proteção contra adversários, daqueles que te fariam mal, intencio-
nalmente ou de outra forma. A segurança nacional, por exemplo, é um sistema de múltiplas 
camadas que protege a soberania de um estado, seus bens, seus recursos e seu povo.
O nível de segurança de uma organização também requer um sistema multifacetado. 
Uma organização bem-sucedida deve ter as seguintes múltiplas camadas de segurança 
para proteger suas operações:
• Segurança Física: para proteger itens físicos, objetos ou áreas contra acesso não 
autorizado e uso indevido.
• Segurança Pessoal: para proteger o indivíduo ou grupo de pessoas autorizadas 
para acessar a organização e suas operações.
• Segurança de Operações: para proteger os detalhes de uma operação específica 
ou uma série de atividades.
• Segurança de Comunicações: para proteger meios de comunicação, tecnologia 
e conteúdo.
• Segurança de Rede: para proteger componentes de rede, conexões e conteúdo.
• Segurança da Informação: para proteger a confidencialidade, integridade e dis-
ponibilidade de informações e ativos, seja em armazenamento, processamento ou 
transmissão. É conseguido através de aplicação de políticas, educação, treinamen-
to, tecnologia e conscientização.
O Comitê de Sistemas de Segurança Nacional (CNSS) define segurança da informa-
ção como a proteção da informação e seus elementos críticos, incluindo os sistemas e 
hardware que são utilizados para armazenar e transmitir essa informação. A segurança 
da informação inclui áreas amplas de gerenciamento de segurança da informação, se-
gurança de computadores e dados e segurança de rede. O modelo de segurança da in-
formação do CNSS evoluiu de um conceito desenvolvido pela indústria de segurança da 
informática chamada triângulo C.I.A. O triângulo C.I.A. foi o padrão da indústria para 
segurança de computadores desde o desenvolvimento do mainframe. Isto é, com base 
nas três características da informação que dão valor às organizações: confidencialidade, 
integridade e disponibilidade (NIELES, 2017).
Segurança da 
informação
Segurança 
de rede
Política
Computador e 
segurança de dados
Gestão de segurança 
da informação
Figura 1 – Componentes da Segurança da Informação
7
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
Ativos de Informação
A base para a segurança em geral são os ativos que precisam ser protegidos. Ativos 
podem ser pessoas, coisas criadas por pessoas ou partes da natureza. Na área de segu-
rança da informação, os ativos são rotulados como recursos de informação e incluem 
não apenas as informações em si, mas também os recursos que estão em uso para faci-
litar o gerenciamento de informações.
PessoasOrdem de 
distribuição
Ativos físicos
Documentos
Desenhos
Localização Projetos
OrganizaçõesRequisitos
Figura 2 – Ativos da Informação
Fonte: Adaptado de Getty Images
Nesse contexto, é possível afirmar que em TI – Tecnologia da Informação, a informa-
ção que é o principal ativo e outros recursos são ferramentas para facilitar o gerencia-
mento de informações. Os recursos têm, portanto, um valor instrumental em relação à 
informação (claro, que a informação pode estar altamente integrada com recursos que 
a gerenciam, por exemplo, em um banco de dados). O termo segurança da informação 
expressa, portanto, uma visão mais holística do que a segurança de TI, que se manifesta 
como uma visão técnica. A Tecnologia da informação ou apenas TI e agora também 
chamada de TIC – Tecnologia da Informação e Comunicações é um conceito que se 
refere à tecnologia digital, ou seja, hardware e software específicos para criar, coletar, 
processar, armazenar, transmitir, apresentar e duplicar informações. A informação pode 
ter a forma de som, texto, imagem ou vídeo, e significa a fusão das áreas tradicionais 
de computadores, telecomunicações e meios de comunicação. Artefatos de TI na forma 
de computadores pessoais, redes, sistemas operacionais operativos e aplicações com-
putacionais constituem, assim, um dos vários tipos de apoio a recursos para gerenciar 
informações. Não são apenas os artefatos de TI a serem contados como recursos ao 
gerenciar informações. Informações podem ser gerenciadas manualmente, o que torna 
os humanos um recurso importante de fonte dessas informações (BAARS, 2018).
8
9
As pessoas também são indiretamente um recurso importante, porque elas lidam com 
ferramentas que gerenciam informações. Ferramentas que ajudam os humanos a geren-
ciar as informações podem ser eletrônicas ou não eletrônicas. Além disso, ferramentaseletrônicas podem ser divididas em ferramentas digitais e analógicas. A classificação de 
recursos de gerenciamento de informações podem ser ferramentas não eletrônicas, por 
exemplo, canetas, papéis, grampeadores e placas de avisos, enquanto as ferramentas 
analógicas são, por exemplo, dispositivos overhead e telefones (que também podem ser 
digitais). Mecanismos de segurança (salvaguardas) também podem ser contados como 
recursos para o gerenciamento de informações. E por esse motivo, os mecanismos de 
segurança podem pertencer a todas as categorias descritas.
Hardware Software Humano
InformaçãoEstrutura
Recursos de entrega 
de conhecimento
Figura 3 – Classifi cação dos Recursos da Informação
A informação como um recurso nas organizações é um amplo domínio de conheci-
mento e não é apenas a informação (representada por dados) armazenada em sistemas 
de informação por si só. É importante ver a segurança da informação como um proces-
so bem abrangente e não somente focado em sistemas digitais, ou seja, a informação 
pode ser falada, escrita, armazenada em arquivo em um sistema computacional. O res-
ponsável pela segurança da informação de uma empresa deve estar atendo a todos esses 
eventos que manipulam a informação.
Conceitos Chave de Segurança da Informação
Podemos definir vários termos e conceitos que são essenciais para qualquer discussão 
de segurança da informação. Vamos conhecer alguns deles (MANOEL, 2014):
• Acesso: a capacidade de um sujeito ou objeto de usar, manipular, modificar ou 
afetar outro assunto ou objeto. Usuários autorizados têm acesso legal a um sistema, 
enquanto os hackers (mais correto falar crackers) tem acesso ilegal a um sistema. 
Controles de acesso regulam essa habilidade;
• Ativo: o recurso organizacional que está sendo protegido. Um ativo pode ser lógico 
como um site, informações ou dados; ou um ativo pode ser físico, como uma pes-
soa, sistema de computador ou outro objeto tangível. Ativos são, particularmente, 
ativos de informação ou recursos da informação, são o foco dos esforços de segu-
rança e o que se pretende proteger;
9
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
• Ataque: um ato intencional ou não intencional que pode causar danos ou com-
prometer informações e/ou os sistemas que o suportam. Os ataques podem ser 
ativos ou passivos, intencional ou não intencional e direta ou indireta. Alguém 
lendo casualmente uma informação não destinada ao seu uso é um ataque passivo. 
Um cracker tentando invadir um sistema de informação é um ataque intencio-
nal. Um relâmpago que causa fogo em um edifício é um ataque não intencional. 
Um ataque direto é um cracker usando um computador para invadir um sistema. 
Um ataque indireto é um cracker comprometendo um sistema e usá-lo para atacar 
outros sistemas, por exemplo, como parte de uma “botnet” (gíria para rede de 
robôs). Este grupo de computadores comprometidos, executando um software de 
escolha do atacante, pode operar de forma autônoma ou sob o controle direto do 
atacante para atacar sistemas e roubar informações do usuário ou realizar ataques 
distribuídos de negação de serviço (DoS). Ataques diretos se originam da ameaça 
em si. Os ataques indiretos se originam de um sistema comprometido ou recurso 
que está funcionando mal ou está sob o controle de uma determinada ameaça;
• Controle, Salvaguarda ou Contramedida: mecanismos, políticas ou procedimentos 
de segurança que podem combater ataques com sucesso, reduzir riscos, resolve vulne-
rabilidades e outras formas de melhorar a segurança dentro de uma organização;
• Exploração (Exploit): Uma técnica usada para comprometer um sistema. Este ter-
mo pode ser um verbo ou um substantivo. Agentes de ameaças podem tentar explo-
rar um sistema ou outro ativo de informação usando-o ilegalmente para seu ganho 
pessoal, ou uma exploração pode ser um processo documentado para obtenção de 
vantagem de uma vulnerabilidade ou exposição, geralmente em software, e que é 
inerente ao software ou é criado pelo atacante. Exploits fazem uso de ferramentas 
de software existentes ou componentes de software personalizados;
• Exposição: uma condição ou estado de exposição. Na segurança da informação, a 
exposição existe quando uma vulnerabilidade conhecida de um invasor está presente;
• Perda: uma única instância de um ativo de informação que sofreu danos ou não, 
intencional ou modificação, ou divulgação não autorizada. Quando as informações 
de uma organização são roubadas, sofreu-se uma perda;
• Perfil de Proteção ou Postura de Segurança: todo o conjunto de controles e 
salvaguardas, incluindo política de segurança, educação, treinamento e conscienti-
zação, e tecnologia, que a organização implementa (ou falha em implementar) para 
proteger o ativo. Os termos são às vezes usados de forma intercambiável com o 
termo programa de segurança, embora a segurança geralmente inclui aspectos ge-
renciais de segurança, incluindo planejamento, pessoal e programas subordinados;
• Risco: a probabilidade de algo indesejado acontecer. As organizações devem mini-
mizar o risco para corresponder ao seu apetite pelo risco e a quantidade e a natu-
reza do risco que se está disposto a aceitar;
• Assuntos e Objetos: um computador pode ser o assunto de um ataque, um agente 
ou entidade usada para conduzir o ataque, ou o objeto de um ataque. Um computa-
dor pode ser o sujeito e objeto de um ataque, quando, por exemplo, ele é compro-
metido por um ataque e usado para atacar outros sistemas;
10
11
• Ameaça: uma categoria de objetos, pessoas ou outras entidades que representa um 
perigo para os ativos. Ameaças estão sempre presentes e podem ser intencionais 
ou não direcionadas. Por exemplo, crackers intencionalmente ameaçam sistemas 
de informação desprotegidos, enquanto tempestades severas incidentalmente po-
dem ameaçar edifícios;
• Agente de Ameaça: a instância específica ou um componente de uma ameaça. 
Por exemplo, todos os crackers no mundo apresentam uma ameaça coletiva, en-
quanto Kevin Mitnick, que foi condenado por invadir sistemas de telefonia, é um 
agente de ameaça específico. Da mesma forma, um relâmpago, chuva de granizo, ou 
tornado é um agente de ameaça que faz parte da ameaça das tempestades severas;
• Vulnerabilidade: deficiências ou falhas em um sistema ou mecanismo de proteção 
que o abre para atacar ou danificar. Alguns exemplos de vulnerabilidades são uma 
falha em um pacote de software, uma porta ou interface do sistema desprotegida e 
uma porta destrancada. Algumas vulnerabilidades conhecidas foram examinadas, 
documentadas e publicadas e outras permanecem latentes (ou não descobertas).
Segurança informação, disponível em: https://youtu.be/ZD66EMgB1FA
Características Críticas da Informação
O valor da informação vem das características que possui. Quando uma caracte-
rística de mudança nas informações, o valor dessas informações aumenta ou, mais 
comumente, diminui. Algumas características afetam o valor da informação para os 
usuários mais do que os outros. Isto pode depender das circunstâncias; por exemplo, 
a pontualidade da informação pode ser um fator crítico, porque a informação perde 
muito ou todo o seu valor quando é entregue tarde demais. Os profissionais de segu-
rança da informação, no entanto, podem perceber que o décimo de segundo como um 
pequeno atraso que permite uma tarefa importante, como um processo de criptografia 
de dados. Vamos conhecer mais algumas palavras expandindo o triângulo C.I.A como 
apresentado (MANOEL, 2014):
• Disponibilidade: pessoas ou sistemas podem acessar informações sem interfe-
rência ou obstrução e recebê-las no formato requerido. Considere, por exemplo, 
as bibliotecas de pesquisa que fariam a identificação de entrada. Os bibliotecários 
protegem o conteúdo da biblioteca para que haja disponibilidade apenas para os 
clientes. Você pode encontrar as informações de que necessita em um modo uti-
lizável e linguagem familiar, o que, normalmente, é identificado através de uma 
etiqueta ou códigoem um livro;
• Precisão: A informação é livre de erros ou o nível de erros tem um valor que o 
usuário espera, se uma informação foi intencionalmente ou não intencionalmen-
te modificada. Considere, por exemplo, uma conta corrente. Você assume que 
uma informação contida na sua conta é uma representação precisa de suas fi-
nanças. As principais empresas podem ter um fluxo de informações externas ou 
11
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
erros internos. Uma caixa de banco, por exemplo, erroneamente, adiciona ou sub-
trai algo de sua conta, o valor da informação é alterado ou você pode entrar aci-
dentalmente com valor incorreto no seu registro de conta. De qualquer forma, um 
pacote bancário impreciso poderia fazer com que você possa cometer erros;
• Autenticidade: A autenticidade da informação é a qualidade ou estado de ser ge-
nuíno ou original, em vez de uma reprodução ou fabricação. A informação é autên-
tica quando não se altera o estado em que foi criada. Considere por um momento 
algumas suposições comuns sobre e-mail. Quando você recebe um e-mail, você 
assume que um grupo ou pessoa criou e transmitiu o e-mail, nesse caso assume 
que conhece uma origem que enviou o e-mail. Isso não é sempre assim. Um e-mail 
spoofing, o ato de enviar um e-mail onde o campo e o endereço do originador são 
falsificados. O spoofing também pode mudar os dados transmitidos por uma rede, 
como no caso de falsificação de pacotes de protocolo de dados do usuário (UDP – 
User Datagram Protocol), que pode fazer com que o invasor possa obter acesso 
aos bancos de dados em sistemas de computação;
• Confidencialidade: A informação tem confidencialidade quando é protegida contra 
divulgação ou exposição a indivíduos ou sistemas não autorizados. Confidencialidade 
garante que apenas aqueles com os direitos e privilégios para acessar informações 
são capazes de fazê-lo. Quando não autorizado, indivíduos ou sistemas podem visu-
alizar informações e a confidencialidade é violada. Para proteger a confidencialidade 
de informações, você pode usar várias medidas, incluindo as seguintes:
 » classificação de informação;
 » armazenamento seguro de documentos;
 » aplicação de políticas gerais de segurança;
 » educação de custódios de informações e usuários finais.
• Integridade: A informação tem integridade quando é completa e incorrupta. A in-
tegridade da informação é ameaçada quando a informação é exposta à corrupção, 
danos, destruição ou outras perturbações do seu estado autêntico. Corrupção pode 
ocorrer enquanto informações estão sendo armazenadas ou transmitidas. Muitos 
vírus e worms (vermes) de computador são projetados com o propósito explícito de 
corromper dados. Por esta razão, um método chave para detectar o vírus ou worm 
é procurar mudanças na integridade do arquivo, como mostrado pelo identificador 
de tamanho do arquivo. Outro principal método de assegurar a integridade das in-
formações é o hashing de arquivos, no qual um arquivo é lido por um algoritmo que 
usa o valor dos bits no arquivo para calcular um único número chamado de valor de 
hash. O valor de hash para qualquer combinação de bits é exclusivo. Se um sistema 
de computador executa o mesmo algoritmo de hashing em um arquivo e obtém um 
número diferente do registrado no valor de hash para esse arquivo, o arquivo foi 
então comprometido e a integridade das informações é perdida;
• Utilidade: A utilidade da informação é a qualidade ou estado de ter valor para al-
gum propósito ou final. A informação tem valor quando pode servir a um propósito. 
Se a informação está disponível, mas não em um formato significativo para o usu-
ário final, ou seja, não é útil;
12
13
• Posse: A posse de informações é a qualidade ou estado de propriedade ou controle. 
Diz-se que a informação está em sua posse se a obtiver, independentemente do for-
mato ou outras características. Embora uma quebra de confidencialidade sempre 
resulte em uma quebra de posse, uma violação de posse nem sempre resulta em 
quebra de confidencialidade. Por exemplo, um arquivo que está criptografado e que 
foi vendido ou entregue a alguém não autorizado.
O que é segurança da informação?, disponível em: https://youtu.be/dg7ukJANHkg 
Incidentes e Danos
Enquanto uma ameaça é uma suposição de que um evento indesejável pode ocorrer em 
um futuro, o termo incidente refere-se à ocorrência real de tal evento. Em outras palavras, 
uma ameaça pode ser percebida como um ou vários incidentes. Uma ameaça pode ainda 
existir após a realização, uma vez que as causas subjacentes ainda podem ser capacidades 
para realizar uma ameaça várias vezes. A probabilidade de realização, no entanto, muitas 
vezes pode diminuir, pois as pessoas muitas vezes aumentam a proteção contra ameaças.
Como as ameaças, um incidente ocorrido pode ser desconhecido. Tais incidentes 
podem ser descobertos depois de um tempo ou permanecem desconhecidos. Incidentes 
que são percebidos por ameaças desconhecidas são incidentes inesperados e podem le-
var a consequências. Se uma consequência afeta a tríade ou triângulo C.I.A. de ativos de 
informação descontrolada e negativa, ela é rotulada como dano. Pode haver incidentes 
que não prejudiquem a tríade da C.I.A., por exemplo, vírus que infecta um sistema de 
informações sem causar danos. Infecção ainda é um evento indesejado que provavel-
mente acontece fora do controle dos gerentes de sistema. A definição de dano pode ser 
extraída dos objetivos da segurança da informação: Danos são impasses descontrolados 
da tríade de ativos de informação da C.I.A.
Praticamente pode haver muitos tipos de danos. A informação pode ser mudada de 
forma descontrolada e indesejável, desaparecer ou ser lida por pessoas não autorizadas 
e informações e artefatos de TI podem ficar indisponíveis para pessoas autorizadas 
(MILAR, 2012).
Prevenção de Incidentes
As organizações precisam de uma abordagem proativa de prevenção de incidentes. 
Com o intuito de comprometer dados, aplicativos ou sistemas operacionais, cada vez mais 
criminosos cibernéticos de todo o mundo encontram maneiras inovadoras de se infiltrar 
nos sistemas de rede das organizações. Uma abordagem proativa de prevenção é crucial 
para garantir que processos e dados não sejam expostos a ataques maliciosos. Para pre-
venir os respectivos sistema e rede, podemos descrever alguns pontos principais, são eles:
• Política de Segurança: a política de segurança é um dos itens mais importantes 
quando se discute sobre segurança da informação, pois nela estão as “regras” e 
13
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
orientações do que os colaboradores podem ou não realizar na empresa. A política 
de segurança é individual para cada empresa e precisa ser elaborada por profis-
sionais qualificados que entendam o que a instituição realiza, para que ela seja 
aplicada de uma forma eficaz afim de evitar vulnerabilidades. A política geralmente 
é revisada e assinada pela alta gestão de uma empresa (Presidentes, diretores, comi-
tês, conselhos e proprietários) exatamente para evitar que suas regras possam ser 
quebradas em um nível mais baixo em seu modelo organizacional;
• Auditoria de Segurança: as auditorias de riscos de segurança e análises aprofundadas 
para identificar os principais riscos de segurança em todo o seu sistema de rede são de 
extrema importância para os negócios de uma instituição, seja ela pública ou privada. 
Os serviços de auditoria de segurança começam com uma consulta inicial, seguida por 
uma análise completa e orientação especializada para corrigir as descobertas;
• Utilização de Técnicas e Tecnologias: para que a informação de uma empresa 
esteja segura, devemos utilizar uma série de ferramentas, técnicas, procedimentos 
e tecnologias que interagem de forma sincronizada para evitar perdas, roubos e ou-
tros pontos negativos quando se refere a informação de uma determinada empresa. 
Ou seja, não é somente uma aplicação ou ferramenta que dará um nível satisfatório 
desegurança e sim uma coleção de técnicas. Não existe rede ou sistema totalmente 
seguro, mas sim de difícil penetração;
• Treinamento de Conscientização de Segurança dos Funcionários: uma boa 
estratégia de segurança começa com uma educação proativa dos funcionários para 
garantir que eles estejam preparados para ajudar a manter seus computadores e 
redes seguros;
• Digitalização de Aplicativos: identificar vulnerabilidades antes que elas sejam ex-
ploradas é o primeiro passo para proteger os aplicativos da web. Aplicativos desatu-
alizados ou aplicativos sem patches de correção criam brechas de segurança através 
das quais malwares avançados podem se infiltrar no sistema de rede e comprome-
ter os dados de uma determinada instituição;
• Avaliação de Vulnerabilidades: os Serviços de Avaliação de Vulnerabilidades aju-
dam as organizações a avaliar todos os sistemas de acesso internos e externos. 
A avaliação de cada plataforma, configuração do sistema e correções ausentes que 
possam garantir que toda a rede de uma organização seja segura e sem riscos. 
A avaliação é realizada usando geralmente um software especializado que verifica 
e detecta possíveis vulnerabilidades, fornecendo, em última instância, um relatório 
de análise que contém informações detalhadas das atuais áreas vulneráveis;
• Teste de Ativos: o teste de ativos fornece uma avaliação completa da segurança de 
toda a rede de uma organização, simulando um ataque avançado de crackers para 
vários pontos fracos na rede ou em um sistema. Os testes são realizados a partir 
de uma perspectiva de ‘Caixa Negra’ (ataque externo sem acesso a informações 
do sistema) e de uma perspectiva de ‘Caixa Cinza/Branca’ (usando informações e 
dados aos quais somente funcionários têm acesso). O teste de ativos engloba várias 
maneiras de se infiltrar em um sistema e explorar vulnerabilidades, incluindo for-
mas não-técnicas, como a engenharia social.
14
15
Política de Segurança da Informação
O termo Política de Segurança da Informação ou PSI tem mais de uma definição 
quando se discute segurança da informação. O NIST (National Institute of Standards 
and Technology) define política como “declarações, regras ou asserções que especi-
ficam o comportamento correto ou esperado de uma entidade”. Por exemplo, uma 
política de autorização pode especificar as regras de controle de acesso corretas para 
um componente de software. O termo política também pode se referir a regras de se-
gurança específicas de um sistema ou até mesmo a decisões gerenciais específicas que 
determinam a política de privacidade de e-mail de uma organização ou a diretiva de 
segurança de acesso remoto. A política de segurança da informação é definida como um 
agregado de diretivas, regulamentos, regras e práticas que prescreve como uma organi-
zação gerencia, protege e distribui informações. Ao tomar essas decisões, os gerentes 
enfrentam decisões difíceis com relação à alocação de recursos, objetivos conflitantes 
e estratégia organizacional, todos relacionados à proteção de recursos técnicos e de in-
formações, além de orientar o comportamento dos funcionários. Os gerentes de todos 
os níveis fazem escolhas que podem afetar a política, com o escopo da aplicabilidade 
da política variando de acordo com o escopo da autoridade do gerente. As decisões 
gerenciais sobre questões de segurança da informação variam muito de empresa para 
empresa (FREITAS, 2018).
Padrões, Diretrizes e Procedimentos
Como a política é escrita em um nível amplo, as organizações também desenvolvem 
padrões, diretrizes e procedimentos que oferecem aos usuários, gerentes, administrado-
res de sistema e outros uma abordagem mais clara para implementar políticas e atender 
às metas organizacionais. Padrões e diretrizes especificam tecnologias e metodologias a 
serem usadas para proteger sistemas. Os procedimentos são etapas ainda mais detalha-
das a serem seguidas para realizar tarefas relacionadas à segurança. Padrões, diretrizes 
e procedimentos podem ser promulgados em toda a organização através de manuais 
e regulamentos.
Os Padrões Organizacionais (não confundir com os Padrões Nacionais Americanos 
ou Brasileiros, Padrões Federais ou outros padrões nacionais ou internacionais), estes 
especificam o uso uniforme de tecnologias, parâmetros ou procedimentos específicos 
quando tal uso uniforme beneficiará uma organização. A padronização de crachás de 
identificação em toda a organização é um exemplo típico, proporcionando facilidade 
de mobilidade de funcionários e automação de sistemas de entrada/saída. Padrões são 
normalmente obrigatórios dentro de uma organização.
As Diretrizes auxiliam os usuários, o pessoal de sistemas e outros a protegerem efeti-
vamente seus sistemas. A natureza das diretrizes, entretanto, reconhece imediatamente que 
os sistemas variam consideravelmente e a imposição de padrões nem sempre é viável, apro-
priada ou econômica. Por exemplo, uma diretriz organizacional pode ser usada para ajudar 
a desenvolver procedimentos padrões específicos de sistemas. As diretrizes geralmente são 
15
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
usadas para ajudar a garantir que medidas de segurança específicas não sejam negligencia-
das, embora possam ser implementadas, corretamente, de mais de uma maneira.
Os Procedimentos descrevem como implementar diretivas, padrões e diretrizes de 
segurança aplicáveis. São etapas detalhadas a serem seguidas pelos usuários, pela equi-
pe de operações do sistema ou por outras pessoas para realizar uma tarefa específica 
(por exemplo, preparar novas contas de usuário e atribuir os privilégios apropriados). 
Algumas organizações emitem manuais gerais de segurança de informações, regula-
mentos, manuais ou documentos semelhantes. Estes podem misturar políticas, dire-
trizes, padrões e procedimentos, uma vez que estão intimamente ligados. Embora os 
manuais e regulamentos possam servir como ferramentas importantes, muitas vezes é 
útil distinguir claramente entre política e sua implementação. Isso pode ajudar a promo-
ver a flexibilidade e a relação custo-eficácia, oferecendo abordagens de implementação 
alternativas para atingir as metas de políticas.
Programa da Política de Segurança
A política do programa é usada para criar o programa de segurança da informação 
de uma organização. As políticas descritas no programa definem a direção estratégica 
para segurança e atribuem recursos para sua implementação dentro da organização. 
Um funcionário da gerência emite a política do programa para estabelecer ou reestrutu-
rar o programa de segurança da informação da organização. Essa política de alto nível 
define o objetivo do programa e seu escopo dentro da organização, aborda questões de 
conformidade e atribui responsabilidade à organização de segurança da informação para 
a implementação direta do programa, bem como outras responsabilidades relacionadas.
Componentes Básicos da Política do Programa
Podemos definir alguns dos componentes básicos mais importantes para uma boa 
política de segurança da informação:
• Finalidade: a política do programa geralmente inclui uma declaração descrevendo 
o propósito e as metas do programa. As necessidades relacionadas à segurança, 
como integridade, disponibilidade e confidencialidade, podem formar a base das 
metas organizacionais estabelecidas na política. Por exemplo, em uma organização 
responsável pela manutenção de grandes bancos de dados de missão crítica, uma 
redução nos erros, perda de dados, corrupção de dados e recuperação pode ser 
especificamente enfatizada. No entanto, em uma organização responsável pela ma-
nutenção de dados pessoais confidenciais, as metas podem enfatizar uma proteção 
mais forte contra a divulgação não autorizada;
• Escopo: as políticas do programa são claras quanto a quais recursos (por exemplo, 
instalações, hardware e software, informações e pessoal) o programa de segu-
rança da informação protege. Em muitos casos, o programa abrangerá todos os 
sistemas e pessoalorganizacional, enquanto em outros, pode ser apropriado que o 
16
17
programa de segurança de informações de uma organização tenha um escopo mais 
limitado. Por exemplo, uma política destinada a proteger as informações armazena-
das em um sistema classificado ou de alto impacto será muito mais rigorosa do que 
a de uma política destinada a proteger um sistema considerado de baixo impacto;
• Responsabilidades: Uma vez estabelecido o programa de segurança da informa-
ção, seu gerenciamento é normalmente atribuído a um escritório recém-criado ou 
existente. As responsabilidades dos funcionários e escritórios em toda a organização 
também precisam ser abordadas. Esta seção da declaração de política, por exemplo, 
distinguiria entre as responsabilidades dos provedores de serviços de informação e os 
gerentes dos aplicativos que usam serviços. A política também estabeleceria escritó-
rios de segurança operacional para os principais sistemas, particularmente aqueles de 
alto risco ou que são mais críticos para as operações organizacionais. Também pode 
servir como base para estabelecer a responsabilidade do empregado;
• Conformidade: A política do programa geralmente aborda dois problemas 
de conformidade:
 » Conformidade geral para garantir o atendimento dos requisitos para estabelecer 
um programa e as responsabilidades atribuídas a vários componentes organiza-
cionais. Muitas vezes, uma entidade de supervisão (por exemplo, o Inspetor-Geral) 
é responsável pelo monitoramento da conformidade, incluindo o quão bem a or-
ganização está implementando as prioridades da administração para o programa.
 » O uso de penalidades especificadas e ações disciplinares. Como a política de 
segurança é um documento de alto nível, as penalidades específicas para várias 
infrações não são normalmente detalhadas aqui. Em vez disso, a política pode 
autorizar a criação de estruturas de conformidade que incluam violações e ações 
disciplinares específicas. Um aspecto importante do desenvolvimento da política 
de conformidade é lembrar que a violação da política pelo funcionário pode não 
ser intencional. Por exemplo, a não conformidade muitas vezes pode resultar de 
falta de conhecimento ou treinamento. A necessidade de obter orientação de um 
conselheiro legal apropriado é crítica quando se trata de questões envolvendo 
penalidades e ação disciplinar para indivíduos. A política não precisa reiterar as 
penalidades já previstas na lei, embora possam ser listadas se a política também 
for usada como documento de conscientização ou treinamento.
Comp onentes Básicos da Política de Segurança
Uma política específica do assunto pode ser dividida nos seguintes componentes:
• Declaração do Problema: para formular uma política sobre um problema, o pro-
prietário/administrador da informação define primeiro o problema com quaisquer 
termos, distinções e condições relevantes incluídos. Geralmente, é útil especificar 
o objetivo ou justificativa da política para facilitar a conformidade. Por exemplo, 
uma organização pode querer desenvolver uma política específica sobre o uso de 
“software não oficial”, que pode ser definida como qualquer software não aprovado, 
comprado, rastreado, gerenciado ou de propriedade da organização. Além disso, 
as distinções e condições aplicáveis podem, então, precisar ser incluídas em alguns 
17
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
softwares, como o de software privado de propriedade de funcionários, mas apro-
vado para uso no trabalho ou de propriedade e uso de outras empresas sob contra-
to com a organização;
• Declarações da Posição da Organização: uma vez que a questão é declarada e 
termos e condições relacionados são detalhados, esta seção é usada para indicar 
claramente a posição da organização (ou seja, a decisão da administração) sobre o 
assunto. Pelo exemplo anterior, isso significaria afirmar se o uso de software não 
oficial, conforme definido, é proibido em todos ou em alguns casos, se há outras 
diretrizes para aprovação e uso, ou se exceções caso a caso podem ser concedidas 
por quem e em que base;
• Aplicabilidade: políticas específicas do problema também precisam incluir decla-
rações de aplicabilidade. Isso significa esclarecer onde, como, quando, para quem 
e para que uma política se aplica. Por exemplo, pode ser que a política hipotética 
sobre software não oficial tenha a intenção de se aplicar apenas aos próprios recur-
sos e funcionários locais da organização e não aos contratados com escritórios em 
outros locais. Além disso, a aplicabilidade da política pode precisar ser esclarecida 
no que se refere a funcionários que viajam entre locais diferentes, que trabalham em 
casa ou que precisam transportar e usar discos em vários locais;
• Papéis e Responsabilidades: a atribuição de funções e responsabilidades também 
é geralmente incluída em políticas específicas da questão. Por exemplo, se a política 
permitir que os funcionários usem software não oficial de propriedade privada no 
trabalho com as aprovações apropriadas, a autoridade de aprovação que concede tal 
permissão precisaria ser declarada. (A política estipularia quem, por posição, tem essa 
autoridade.) Da mesma forma, precisaria ser esclarecido quem seria responsável por 
garantir que apenas software aprovado fosse usado em recursos do sistema organi-
zacional e, possivelmente, para monitorar usuários em relação a software não oficial;
• Conformidade: para alguns tipos de políticas, pode ser apropriado descrever in-
frações inaceitáveis e as consequências de tal comportamento em maior detalhe. 
As penalidades podem ser explicitamente declaradas e consistentes com as políticas 
e práticas da equipe organizacional. Quando usados, podem ser coordenados com 
funcionários, escritórios e até mesmo com as unidades de negociação dos funcio-
nários. Também pode ser desejável realizar tarefas em um escritório específico na 
organização com monitoramento de conformidade;
• Pontos de Contato e Informações Suplementares: para qualquer política espe-
cífica da questão, indique os indivíduos apropriados para contato na organização 
para obter mais informações, orientação e conformidade. Como as posições ten-
dem a mudar com menos frequência do que os indivíduos que as ocupam, posições 
específicas podem ser preferíveis como o ponto de contato. Por exemplo, para 
alguns problemas, o ponto de contato pode ser um gerente de linha; para outros 
problemas, pode ser um gerente da instalação, um responsável pelo suporte técni-
co, um administrador do sistema ou um representante do programa de segurança. 
Usando o exemplo acima mais uma vez, os funcionários precisariam saber se o 
ponto de contato para perguntas e informações procedurais seria seu superior ime-
diato, um administrador do sistema ou um funcionário da segurança da informação.
18
19
Política Específica do Sistema 
As políticas específicas do programa e do problema são políticas abrangentes e de 
alto nível escritas para abranger todo o processo, a organização onde as políticas espe-
cíficas do sistema fornecem informações e orientações sobre quais ações são permitidas 
em um sistema específico. Essas políticas são semelhantes às políticas específicas de 
problemas, pois estão relacionadas a tecnologias específicas em toda a organização. 
No entanto, as políticas específicas do sistema ditam as configurações de segurança 
apropriadas ao pessoal responsável pela implementação dos controles de segurança 
necessários para atender às necessidades de segurança das informações da organização. 
Para desenvolver um conjunto abrangente e coerente de políticas de segurança, os fun-
cionários podem usar um processo de gerenciamento que deriva as regras de segurança 
das metas de segurança (FREITAS, 2018).
Política de Segurança da Informação em 5 Passos, disponível em: https://youtu.be/nI1o-w4nKdc
É útil considerar um modelo de dois níveis para a política de segurança do sistema: 
objetivos de segurança e regras de segurança operacional. Intimamenteligado e muitas 
vezes difícil de distinguir, no entanto, é a implementação da política em tecnologia. Se-
melhante a políticas específicas de problemas, recomenda-se que as políticas específicas 
do sistema sejam revisadas conforme exigido pelo período de tempo definido pela orga-
nização para garantir a conformidade com os procedimentos de segurança mais atuais.
Objetivos de Segurança
A primeira etapa no processo de gerenciamento é definir objetivos de segurança 
compatíveis com o risco para o sistema específico. Embora esse processo possa come-
çar com uma análise da necessidade de integridade, confidencialidade e disponibilidade, 
ele não pode parar por aí. Um objetivo de segurança precisa ser específico, concreto, 
bem definido e declarado de tal forma que seja um objetivo claramente alcançável. 
As partes interessadas desempenham um papel importante no desenvolvimento de po-
líticas abrangentes, mais práticas. Portanto, é imperativo lembrar que a política não é 
criada apenas pelo pessoal da administração (MANOEL, 2014).
Regras de Segurança Operacional
Depois que o gerenciamento determina os objetivos de segurança, as regras para 
gerenciar e operar um sistema podem ser identificadas e documentadas. Por exemplo, 
as regras podem definir modificações autorizadas, especificando indivíduos autorizados 
a tomar determinadas ações sob condições particulares com relação a classes específicas 
e registros de informações. O grau de especificidade necessário para a segurança ope-
racional varia de sistema para sistema. Quanto mais detalhadas forem as regras, mais 
fácil será para os administradores determinarem quando ocorreu uma violação. Uma 
descrição detalhada também pode simplificar a aplicação da política de automação. 
19
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
Além de decidir o nível de detalhamento, a administração determina o grau de forma-
lidade na documentação da política específica do sistema. Mais uma vez, quanto mais 
formal for a documentação, mais fácil será aplicar e seguir a política. Por exemplo, uma 
prática útil seria redigir uma declaração dos privilégios de acesso para um sistema, bem 
como a atribuição de responsabilidades de segurança. As regras para o uso do sistema 
e as consequências do descumprimento também devem ser abordadas. Documentar 
a política de controle de acesso pode facilitar substancialmente o acompanhamento e 
aplicação. A documentação de uma política típica contém uma declaração explicando o 
motivo do desvio da política padrão da organização.
Implementação de Políticas Específicas do Sistema
A tecnologia desempenha um papel importante na aplicação de políticas específicas 
do sistema, mas não é a única responsável por atender às necessidades de segurança 
de uma organização. Quando a tecnologia é usada para aplicar políticas, é importante 
considerar métodos manuais. Por exemplo, os controles técnicos baseados em sistema 
podem ser usados para limitar a impressão de relatórios confidenciais a uma impressora 
específica. No entanto, as medidas de segurança físicas correspondentes também teriam 
que estar em vigor para limitar o acesso à saída da impressora ou o objetivo de seguran-
ça desejado não seria alcançado.
Os métodos tecnológicos frequentemente usados para implementar a política de 
segurança do sistema provavelmente incluem o uso de controles de acesso lógico. Al-
guns exemplos de controles de acesso seriam: separação de tarefas, que é um controle 
projetado para lidar com o potencial de abuso de privilégios autorizados e ajudar na 
redução do risco de atividade maléfica sem conluio; privilégio mínimo, que permite 
somente acesso autorizado para usuários ou processos agindo em nome dos usuários 
que é necessário para realizar tarefas atribuídas de acordo com as missões organiza-
cionais e funções de negócios. No entanto, existem outros meios automatizados de 
impor ou dar suporte à diretiva de segurança que normalmente complementam os 
controles de acesso lógico. 
Por exemplo, o software de detecção de intrusões pode alertar os administradores 
do sistema sobre atividades suspeitas ou até tomar medidas para interromper essa ativi-
dade. A imposição baseada em tecnologia da política de segurança do sistema tem van-
tagens e desvantagens. Um sistema, adequadamente projetado, programado, instalado, 
configurado e mantido, reforça consistentemente a política dentro do sistema, embora 
nenhum sistema possa forçar os usuários a seguir todos os procedimentos. Os contro-
les gerenciais também desempenham um papel importante na aplicação das políticas, 
portanto, negligenciá-los seria prejudicial para a organização. Além disso, desvios da 
política podem às vezes ser necessários e apropriados; tais desvios podem ser difíceis 
de implementar com alguns controles técnicos. Essa situação ocorre com frequência se 
a implementação da política de segurança for muito rígida, o que pode ocorrer quando 
os analistas do sistema não conseguem antecipar contingências e se preparar para elas 
(FREITAS, 2018). 
20
21
Interdependências
A Política de Interdependências está relacionada a muitos dos tópicos abordados nas 
regras de desenvolvimento de uma boa política de segurança: 
• Gerenciamento do Programa: a política é usada para estabelecer o programa 
de segurança de informações de uma organização e, portanto, está intimamente 
ligada ao gerenciamento e à administração do programa. A política específica do 
programa e do sistema pode ser estabelecida em qualquer uma das áreas cobertas. 
Por exemplo, uma organização pode desejar ter uma abordagem consistente do 
planejamento de contingência para todos os seus sistemas e emitir uma política de 
programa apropriada para isso. Por outro lado, pode decidir que seus sistemas são 
suficientemente independentes uns dos outros para que os proprietários do sistema 
possam lidar com incidentes individualmente;
• Controles de Acesso: a política específica do sistema é geralmente implementada 
usando controles de acesso. Por exemplo, pode ser uma decisão política que ape-
nas duas pessoas em uma organização estejam autorizadas a executar um progra-
ma de impressão de cheques. Os controles de acesso são usados pelo sistema para 
implementar ou impor essa política;
• Links para Políticas Organizacionais mais Amplas: é importante entender que 
as políticas de segurança da informação são frequentemente extensões de outras 
políticas organizacionais. Suporte e coordenação deve ser recíproca entre segu-
rança da informação e outras políticas organizacionais para minimizar a confusão. 
Por exemplo, a política de e-mail de uma organização provavelmente seria relevan-
te para sua política mais ampla de privacidade.
Considerações Sobre Custos
Diversos custos potenciais estão associados ao desenvolvimento e implementação de 
políticas de segurança da informação. Os custos mais significativos são implementar a 
política e abordar seus impactos subsequentes na organização, seus recursos e pessoal. 
O estabelecimento de um programa de segurança da informação, realizado por meio 
de políticas, provavelmente não tem um custo insignificante. Outros custos podem ser 
aqueles incorridos através do processo de desenvolvimento de políticas. Numerosas ati-
vidades administrativas e de gerenciamento podem ser necessárias para redigir, revisar, 
coordenar, esclarecer, disseminar e divulgar políticas. Em muitas organizações, a im-
plementação bem-sucedida de políticas pode exigir pessoal e treinamentos adicionais. 
Em geral, os custos de uma organização para o desenvolvimento e implementação de 
políticas de segurança da informação dependerão de quão extensa a mudança deve ser 
para que a administração decida que um nível aceitável de risco foi atingido. O custo de 
proteger informações e sistemas é inevitável. O objetivo é garantir que as proteções de 
segurança sejam proporcionais ao risco, estabelecendo um equilíbrio entre as proteções 
necessárias para atender aos objetivos de segurança da organização e ocusto de tais 
proteções (FERNANDES, 2018).
21
UNIDADE 
Segurança da Informação e Prevenção de Incidentes
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Livros
Fundamentos do Gerenciamento de Serviços de TI: Preparatório para a certificação ITIL® 
Foundation Edição 2011
FREITAS, M. A. S. Fundamentos do Gerenciamento de Serviços de TI: Preparatório 
para a certificação ITIL® Foundation Edição 2011. 2. ed. São Paulo: Brasport, 2018.
Governança de Segurança da Informação
MANOEL, S. Governança de Segurança da Informação. 1. ed. Brasport: São Paulo, 2014.
Fundamentos de Segurança da Informação com Base na ISO 27001 e na ISO 27002
HINTZBERGEN, J., HINTZBERGEN, K., SMULDERS, A., BAARS, H. Fundamentos 
de Segurança da Informação com Base na ISO 27001 e na ISO 27002. 3. ed. São 
Paulo: Pearson, 2018.
CCNP Routing and Switching Official Cert Library
KEVIN, W, LACOSTE, R; HUCABY, D. CCNP Routing and Switching Official Cert 
Library. Indianápolis – EUA: Editora Cisco Press, 2015.
22
23
Referências
FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI. 4. ed. São 
Paulo: Brasport, 2018.
NIELES, M; DEMPSEY, K; PILLITERI, V. NIST - An Introduction to Information 
Security, Revision 1, NIST, EUA, 2017.
OLIVEIRA, B. S. Métodos Ágeis e Gestão de Serviços de TI. 1. ed. São Paulo: 
Brasport, 2018.
OLIVEIRA, F. B. Tecnologia da Informação e Comunicação. 1. ed. São Paulo: 
Pearson, 2012.
23