Segurança 1

Prévia do material em texto

10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 1/39
SEGURANÇA E AUDITORIA DESEGURANÇA E AUDITORIA DE
SISTEMASSISTEMAS
FUNDAMENTOS DEFUNDAMENTOS DE
SEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃO
Autor: Me. Ariel da Silva Dias
Revisor : Ja ime Gross Garc ia
IN IC IAR
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 2/39
introdução
Introdução
No mundo dos negócios progressivamente competitivo, as informações são
recursos valiosos que precisam de proteção máxima. A segurança dessas
informações é essencial para gerenciar seus negócios e garantir que as
informações vitais não sejam comprometidas de forma alguma.
Proteger as informações é fundamental para a sobrevivência da sua empresa.
Portanto, você terá neste capítulo a conceitualização sobre risco, ameaça e
vulnerabilidade, verá também os pilares essenciais para a construção de um
sistema de informação seguro.
Neste capítulo, você conhecerá os pilares essenciais para a construção de um
sistema de informação seguro. A colocação adequada desses pilares é
fundamental para o desenvolvimento de qualquer tipo de mecanismo de
segurança da informação em seus negócios.
Bons estudos!
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 3/39
A segurança dos sistemas de informação é um assunto amplo no campo da
tecnologia da informação (TI) que se concentra na proteção de computadores,
redes e seus usuários.
Quase todas as empresas modernas, assim como muitas famílias e indivíduos,
justi�caram preocupações sobre os riscos digitais para o seu bem-estar. Essas
ameaças possuem todas as formas e tamanhos, incluindo roubo de
informações privadas de banco de dados, instalação de software malicioso
em uma máquina e interrupções intencionais de serviço.
A Internet mudou drasticamente desde sua origem. O número de dispositivos
conectados e trocando informações diariamente é muito maior do que há 5
ou 10 anos e, com isso, o número de ataques também aumentaram.
O mundo, então, precisa de pessoas que entendam da segurança de sistemas
de informação e que possam proteger os computadores de criminosos e
terroristas.
Segurança de Sistemas deSegurança de Sistemas de
InformaçãoInformação
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 4/39
Antes de entrarmos nos conceitos de segurança da informação, é importante
diferenciarmos os conceitos de dado e informação.
Dado
Os dados são um fato bruto e desorganizado, precisam ser processados para
torná-los signi�cativos. Os dados podem ser simples e ao mesmo tempo
desorganizados, a menos que sejam organizados. Geralmente, os dados
incluem fatos, observações, números de percepções, caracteres, símbolos,
imagem etc. (HINTZBERGEN et al., 2018).
Os dados são sempre interpretados por um humano ou máquina para derivar
signi�cado. Portanto, os dados não têm sentido. Os dados contêm números,
instruções e caracteres em formato bruto.
Informação
Informação é um conjunto de dados processados de maneira signi�cativa de
acordo com o requisito especi�cado. As informações são processadas,
estruturadas ou apresentadas em um determinado contexto para torná-las
signi�cativas e úteis (HINTZBERGEN et al., 2018).
São dados processados que incluem dados que possuem contexto, relevância
e �nalidade. Também envolve manipulação de dados brutos.
A informação atribui signi�cado e melhora a con�abilidade dos dados. Ajuda a
reduzir a incerteza. Portanto, quando os dados são transformados em
informações, nunca há detalhes inúteis.
Podemos concluir que a informação é um resultado do dado processado. Por
outro lado, quando a informação é processada, temos o conhecimento. Por
�m, do conhecimento podemos tirar a sabedoria . Veja na Figura 1.1 esta
relação entre dados, informações, conhecimento e sabedoria.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 5/39
Então, podemos dizer que os dados são um fato bruto e desorganizado que
precisam ser processados para torná-los signi�cativos. Por outro lado, a
informação é um conjunto de dados processados de maneira signi�cativa, de
acordo com o requisito especi�cado.
Segurança das Informações
A segurança das informações tem a ver com a proteção das informações e
dos sistemas de informações contra uso, avaliação, modi�cação ou remoção
não autorizada. É semelhante à segurança dos dados, que tem a ver com a
proteção de dados contra hackers ou roubos (GALVÃO, 2015).
Uma vez que os dados se tornam informação, é quando precisa de proteção
de fontes externas. Essas fontes externas podem não estar necessariamente
no ciberespaço (cyberspace) (BUSSELL, 2019).
Cyberspace (ciberespaço)
O ciberespaço, também chamado de “o mundo amorfo”, é criado por links
entre computadores, dispositivos conectados na internet como servidores,
Figura 1.1 - Relação entre dado, informação, conhecimento e sabedoria
Fonte: Elaborada pelo autor.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 6/39
roteadores e outros componentes da infraestrutura.
Ao contrário da própria Internet, no entanto, o ciberespaço é o local
produzido por esses links. Na perspectiva de algumas pessoas, o ciberespaço
é um local que existe sem a regência ou gestão de um estado ou nação, logo,
para estas pessoas, trata-se de “uma terra sem lei”.
O termo ciberespaço foi usado pela primeira vez pelo autor americano-
canadense Gomes (1982) em uma história publicada na revista Omni. O autor
descreveu o ciberespaço como a criação de uma rede de computadores em
um mundo cheio de seres arti�cialmente inteligentes (GOMES, 2008).
Desde o surgimento da Internet, no entanto, os governos nacionais e seus
analistas mostraram a relevância das regulamentações nacionais e dos
acordos internacionais sobre o caráter do ciberespaço. Essas pessoas, sem
corpo no ciberespaço, devem acessar esse espaço através de sua forma
corporal e, assim, continuam sendo limitados pelas leis que governam sua
localização física (STALLINGS, 2015).
O controle do ciberespaço é, portanto, importante, não apenas por causa das
ações de participantes individuais, mas porque a infraestrutura do
ciberespaço é agora fundamental para o funcionamento de sistemas de
segurança nacionais e internacionais, redes comerciais, serviços de
emergência, comunicações básicas e outras atividades públicas e privadas.
Como os governos nacionais veem ameaças em potencial à segurança de seus
cidadãos e à estabilidade de seus regimes no ciberespaço, eles agem para
controlar o acesso e o conteúdo.
Cybersecurity
Cybersecurity é a prática de proteger informações e dados de fontes externas
na Internet. Os pro�ssionais de segurança cibernética fornecem proteção
para redes, servidores, intranets e sistemas de computador. Também
garantem que apenas pessoas autorizadas tenham acesso a essas
informações.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 7/39
Em um ambiente de escritório, um indivíduo pode ir ao computador de outro,
instalar uma unidade �ash e copiar informações con�denciais. Isso se
enquadra mais na categoria de segurança da informação. Se alguém do outro
lado do mundo conseguir invadir a rede de outra empresa e violar seu
sistema, essa empresa precisará de uma melhor segurança cibernética.
Diferença entre Segurança da Informação
e Cybersecurity
Embora eles sejam frequentemente usados de forma intercambiável, há uma
diferença entre os termos cybersecurity e segurançada informação. Ambos
têm a ver com segurança e proteção dos sistemas de computadores contra
violações e ameaças à informação, mas também são muito diferentes.
Enquanto muitas pessoas ainda as consideram a mesma coisa, na verdade
elas não são. Suas capacidades são diferentes. Ambos oferecem proteção
contra informações e dados roubados, acessados ou alterados, mas é aí que
as semelhanças terminam.
As informações não precisam estar no computador para ser necessário um
sistema de segurança da informação. Mesmo se estiver armazenado em um
arquivo, ele precisa de boa segurança das informações. A segurança
cibernética lida com a proteção de dados e informações de fontes externas do
ciberespaço ou da Internet.
Assim sendo, a segurança das informações tem a ver com proteger as
informações que geralmente se concentram nos pilares da segurança da
informação (CIA - con�dencialidade, integridade e disponibilidade; veremos
logo mais estes conceitos). Por outro lado, cibersegurança trata de proteger
coisas vulneráveis por meio das TIC (Tecnologias da Informação e
Comunicação).
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 8/39
Na Figura 1.2, podemos ver no diagrama de Venn que o lado direito
representa a segurança cibernética (coisas vulneráveis por meio das TIC, inclui
informações físicas e digitais, além de não informações, como carros,
semáforos, eletrodomésticos etc.). Enquanto o lado esquerdo representa a
segurança da informação (que consiste em informações digitais e analógicas).
Observe que a segurança de TI é a proteção das tecnologias da informação.
Praticamente, não há diferença entre segurança de TIC e segurança de TI.
Como você pode ver na Figura 1.3 a seguir, os dois conjuntos estão
sobrepostos. O diagrama da Figura 1.3 ilustra a relação entre segurança de
TIC, segurança cibernética e informações.
Figura 1.2 - Diagrama relacionando Segurança da Informação e
Cibersegurança
Fonte: Elaborada pelo autor.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3d… 9/39
Observe na Figura 1.3 que a segurança cibernética (cibersegurança) inclui
tudo e todos que podem ser acessados através do ciberespaço. Assim,
alguém poderia argumentar que tudo neste mundo é vulnerável através das
TIC. No entanto, seguindo a de�nição de cibersegurança, devemos proteger o
que deve ser protegido, devido aos desa�os de segurança impostos pelo uso
das TIC.
Riscos, Ameaças e Vulnerabilidades
É comum que termos como ameaças cibernéticas, vulnerabilidades e riscos
sejam confundidos. Este subcapítulo tem como objetivo de�nir cada termo,
destacar como eles diferem e como eles se relacionam.
Ameaças
Ameaças cibernéticas, ou simplesmente ameaças, referem-se às
circunstâncias ou eventos com potencial de causar danos por meio de seus
Figura 1.3 - Segurança da Informação, Segurança de TIC e Cibersegurança
Fonte: Elaborada pelo autor.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 10/39
resultados. Alguns exemplos de ameaças comuns incluem um invasor
roubando dados con�denciais de seus aplicativos, ativistas políticos
realizando ataque DDoS em seu site, um administrador acidentalmente
apagando todas as informações de um sistema de produção e uma
tempestade inundando o data center de sua empresa (KIM; SOLOMON, 2014).
As ameaças cibernéticas são atualizadas pelos atores de ameaças. Estes
atores geralmente se referem a pessoas ou entidades que podem
potencialmente iniciar uma ameaça. Embora desastres naturais, outros
eventos ambientais e políticos constituam ameaças, eles geralmente não são
considerados atores de ameaças (isso não signi�ca que tais ameaças devam
ser desconsideradas ou menos importantes).
Ameaças comuns incluem coisas como:
Um ativista tenta roubar dados do seu site;
Um incêndio começa no seu datacenter;
Um administrador acidentalmente desativa a instância da AWS
(serviço de nuvem) do seu site;
Uma inundação atinge sua sede;
saiba mais
Saiba mais
DDoS é um ataque de negação de serviço, o
qual  envolve vários dispositivos online
conectados, conhecidos coletivamente como
botnet, usados para sobrecarregar um site
de destino com tráfego falso. Acesse o artigo
escrito por Santos e Silva (2016) para saber
um pouco mais sobre ataque DDoS e como
detectá-lo.
ACESSAR
https://www.inf.ufsc.br/~bosco.sobral/downloads/I2TS%202010%20CD%20Proceedings/www.i2ts.org/papers/full_portugues/78861.pdf
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 11/39
Um funcionário tenta vender seus segredos corporativos a um
concorrente.
Ameaças cibernéticas também podem se tornar mais perigosas por causa dos
agentes de ameaças, alavancando uma ou mais vulnerabilidades em um
sistema, que é o que abordaremos a seguir.
Vulnerabilidades
Vulnerabilidades se referem a pontos fracos em um sistema. As
vulnerabilidades tornam as ameaças possíveis e potencialmente ainda mais
perigosas. Um sistema pode ser explorado por meio de uma única
vulnerabilidade, por exemplo, uma única vulnerabilidade de injeção de SQL
pode fornecer ao invasor controle total sobre dados con�denciais. Um invasor
pode encadear várias explorações, explorando mais de uma vulnerabilidade
para explorar um sistema (GALVÃO, 2015).
Exemplos comuns de vulnerabilidades incluem:
Falta de controle de acesso predial adequado;
Script entre sites (XSS);
Injeção SQL;
Transmissão de texto não criptografado de dados con�denciais;
Falha ao veri�car a autorização para recursos con�denciais;
Falha ao criptografar dados con�denciais em repouso.
Vulnerabilidades são os pontos fracos que os agentes de ameaças
aproveitam para fazer o que estão tentando fazer.
Riscos
Os riscos geralmente são confundidos com ameaças, no entanto, há uma
grande diferença entre os dois. Podemos dizer que o risco refere-se à
combinação da probabilidade de uma ameaça e da perda/impacto de uma
ameaça (geralmente em termos monetários, no entanto deve-se notar que a
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 12/39
quanti�cação de uma violação é extremamente difícil) (GALVÃO,2015).
Essencialmente, isso se traduz no seguinte:
risco = probabilidade da ameaça x impacto de uma ameaça (GALVÃO,
2015).
Portanto, um risco é um cenário que deve ser evitado, combinado com as
perdas prováveis resultantes desse cenário. A seguir, é apresentado um
exemplo hipotético de como pode surgir um risco:
A injeção de SQL é uma vulnerabilidade;
O roubo de dados con�denciais é uma das ameaças cibernéticas
que a injeção de SQL permite;
Os atacantes motivados �nanceiramente são um dos atores das
ameaças;
O impacto de dados con�denciais roubados arcará com um custo
�nanceiro signi�cativo (perda �nanceira e de reputação) para os
negócios.
Resumidamente, então, temos:
Uma ameaça é um cenário negativo que você deseja evitar;
Um ator de ameaças é o agente que faz uma ameaça acontecer;
Uma vulnerabilidade é uma fraqueza que pode ser explorada para
atacar você;
Um risco é um cenário negativo que você deseja evitar, combinado
com a probabilidade e o impacto;
A diferença entre uma ameaça e um risco é que uma ameaça é um
evento negativo por si só, onde um risco é o evento negativo
combinado com sua probabilidade e seu impacto.
Embora a diferença entre uma vulnerabilidade , uma ameaça e riscos
cibernéticos sejam geralmente entendidas, a diferença entre ameaças e riscos
pode ser mais sutil. Compreender essa diferença de terminologia permite
uma comunicação mais clara e uma melhor compreensão de como as
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3…13/39
ameaças in�uenciam os riscos. Obviamente, quanti�car com precisão a
potencial perda de uma ameaça é a parte mais difícil.
praticar
Vamos Praticar
Durante seus estudos você viu o conceito de risco, ameaça e vulnerabilidade. Viu,
por exemplo, que existe diferenças entre estes três termos, por mais que algumas
vezes ocorram alguma confusão. De posse dos seus conhecimentos e do conteúdo
estudado, indique qual das alternativas a seguir é uma ameaça à segurança da
informação.
a) Espionagem.
b) Sem excluir dados, descarte da mídia de armazenamento.
c) Senha padrão inalterada.
d) Não ter um antivírus.
e) Patches e atualizações mais recentes não concluídas.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 14/39
No mundo dos negócios progressivamente competitivo, as informações são
um recurso valioso que precisa de proteção máxima. A segurança das
informações é essencial para gerenciar seus negócios e garantir que as
informações vitais não sejam comprometidas de forma alguma (INFINIT-O,
2019).
A segurança das informações no mundo altamente produtor de dados está
centrada na "tríade da CIA" para garantir o armazenamento, o �uxo e a
utilização segura e suave de informação.
A tríade da CIA refere-se aos princípios fundamentais de segurança da
informação, que incluem Con�dencialidade, Integridade e Disponibilidade
(CIA) - nada a ver com a agência de espionagem.
A tríade da CIA compreende principalmente quatro camadas de segurança da
informação. Essas camadas representam como os sistemas fazem a
comunicação e como os dados �uem dentro dos sistemas.
Princípios da SegurançaPrincípios da Segurança
de Sistemas dede Sistemas de
InformaçãoInformação
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 15/39
Acesso a aplicativos
A camada de acesso ao aplicativo indica que o acesso aos aplicativos
do usuário deve ser restrito com base na necessidade de
conhecimento.
Acesso à infraestrutura
A camada de acesso à infraestrutura indica que o acesso a vários
componentes da infraestrutura de informações (como servidores)
deve ser restrito com base na necessidade de conhecimento.
Acesso Físico
A camada de acesso físico indica que o acesso físico a sistemas,
servidores, centros de dados ou outros objetos físicos que
armazenam informações vitais deve ser restrito com base na
necessidade de conhecimento.
Dados em movimento
A camada de dados em movimento indica que o acesso a dados deve
ser restrito enquanto estiver em processo de transferência (ou em
movimento).
Con�idencialidade
O princípio da con�dencialidade diz que as informações devem permanecer
fora dos limites ou ocultas de indivíduos ou organizações que não tenham
autorização para acessá-las. Este princípio determina essencialmente que as
informações devem ser acessadas apenas por pessoas com privilégios
legítimos (INFINIT-O, 2019; KOLBE, 2017).
É a garantia de que as informações não são divulgadas a indivíduos, grupos,
processos ou dispositivos não autorizados. Dados altamente con�denciais
devem ser criptografados para que terceiros não possam descriptografá-los
facilmente. Somente aqueles que estão autorizados a visualizar as
informações têm acesso permitido.
A con�dencialidade é um princípio fácil de violar. Por exemplo, se um
funcionário de uma organização permite que alguém veja a tela do seu
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 16/39
computador, que no momento pode estar exibindo algumas informações
con�denciais, ele já pode ter cometido uma violação da con�dencialidade.
Integridade
O segundo princípio envolve a integridade da informação e trata que as
informações ou dados devem ter um nível de integridade que impeça a
violação fácil.
A precisão e integridade das informações vitais devem ser protegidas. Os
dados não devem ser alterados ou destruídos durante a transmissão e
armazenamento. Isso envolve garantir que um sistema de informações não
seja violado por nenhuma entidade não autorizada. As políticas devem estar
em vigor para que os usuários saibam como utilizar adequadamente seu
sistema (INFINIT-O, 2019; KOLBE, 2017).
Disponibilidade
O terceiro princípio orientador refere-se à disponibilidade de informações e
ressalta a importância de proteger as informações em um local onde
entidades não autorizadas não podem acessá-las e as violações de dados
podem ser minimizadas.
Signi�ca que os usuários autorizados têm acesso rápido e fácil aos serviços de
informação. Os recursos e a infraestrutura de TI devem permanecer robustos
e totalmente funcionais o tempo todo, mesmo em condições adversas, como
con�itos no banco de dados ou falhas. Envolve a proteção contra códigos
maliciosos, hackers e outras ameaças que podem bloquear o acesso ao
sistema de informações (INFINIT-O,2019; KOLBE, 2017).
Algumas das maneiras típicas pelas quais as informações con�denciais vazam
estão relacionadas ao manuseio incorreto das informações disponíveis. Essas
maneiras podem incluir:
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 17/39
Roubo de equipamentos físicos, como PC, laptop, dispositivo móvel
ou papel;
Descarte incorreto de papel ou dados armazenados digitalmente;
Divulgação não autorizada ou negligente de controles de acesso ou
chaves de autenticação;
Vazamento de informações devido ao mau entendimento de um
contrato legal de con�dencialidade;
Informação incorreta devido a negligência;
Hacking ou violação ilegal da segurança de dados.
A ISO 7498-2 adiciona mais duas propriedades de segurança do computador
que são autenticação e prestação de contas ou não repúdio (INFINIT-O,2019;
KOLBE, 2017).
Autenticidade
Esta medida de segurança é projetada para estabelecer a validade de uma
transmissão, mensagem ou um meio de veri�car a autorização de um
indivíduo para receber informações especí�cas. A autenticação evita a
representação e exige que os usuários con�rmem suas identidades antes de
poderem acessar sistemas e recursos. Isso inclui nomes de usuário, senhas, e-
mails, biometria e outros.
Não repúdio
Este atributo garante que o remetente dos dados receba a prova da entrega e
o destinatário a prova da identidade do remetente, para que nenhuma das
partes possa negar o envio, o recebimento ou o acesso aos dados. Os
princípios de segurança devem ser usados para provar identidades e validar o
processo de comunicação.
Os princípios fundamentais da CIA permanecem inalterados ao longo do
tempo, mas as metodologias de conformidade para seguir esses princípios
orientadores de segurança da informação mudam continuamente com a
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 18/39
evolução da tecnologia e o constante desenvolvimento de novas
vulnerabilidades e ameaças. Esforços contínuos são essenciais para garantir a
adesão aos princípios de con�dencialidade, integridade e disponibilidade de
informações em todos os momentos.
praticar
Vamos Praticar
Durante os estudos você conheceu os pilares da segurança da informação
chamados de CIA ou CID: Con�dencialidade, Integridade e Disponibilidade. Este é
um modelo projetado para desenvolver uma política de segurança. Sobre os 3
conceitos deste modelo, é correto a�rmar que:
a) integridade: as informações ou dados devem ter um nível de integridade
que impeça a violação fácil.
b) disponibilidade: veri�ca se os dados disponibilizados são acessados
apenas por um usuário autorizado.
c) con�dencialidade: veri�ca se os dados e os recursos estão disponíveis para
os usuários que precisam deles.
d) integridade:  pelo princípio da integridade, temos queele veri�ca se os
dados con�denciais são acessados pelas pessoas a quem compete obtê-los.
e) con�dencialidade: as informações ou dados devem ter um nível de
con�dencialidade que impeça a violação fácil.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 19/39
A e�cácia dos controles de um sistema de informação é avaliada através de
uma auditoria, a qual   visa estabelecer se os sistemas de informação estão
protegendo os ativos corporativos, mantendo a integridade dos dados
armazenados e comunicados, dando suporte aos objetivos corporativos de
maneira e�caz e operando com e�ciência.
De�inição Formal
A auditoria de sistemas envolve a revisão e avaliação de controles e sistemas
de computadores, bem como seu uso, e�ciência e segurança na empresa que
processa as informações. Graças à auditoria de sistemas como alternativa ao
controle, acompanhamento e revisão, o processo e as tecnologias do
computador são utilizados com mais e�ciência e segurança, garantindo a
tomada de decisões adequada (GALVÃO, 2015).
Em resumo, a auditoria de sistemas consiste em:
Auditoria de SistemasAuditoria de Sistemas
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 20/39
Veri�cação de controles no processamento de informações e
instalação de sistemas, a �m de avaliar sua e�cácia e também
apresentar algumas recomendações e conselhos;
Veri�cação e julgamento das informações objetivamente;
Exame e avaliação dos processos em termos de informatização e
processamento de dados. Além disso, a quantidade de recursos
investidos, a rentabilidade de cada processo e sua e�cácia e
e�ciência são avaliadas.
A análise e avaliação realizadas através da auditoria de sistemas devem ser
objetivas, críticas, sistemáticas e imparciais. O relatório �nal de auditoria deve
ser um exemplo claro da realidade da empresa em termos de processos e
informatização, para tomar melhores decisões e melhorar os negócios.
Objetivos
reflita
Re�ita
O processo de auditoria deve ser um arranjo cooperativo em
que todas as partes trabalham juntas para tornar sua
organização mais segura. Você não deverá vê-lo como
adversário. Os auditores e a organização auditada devem
trabalhar para o mesmo objetivo: um ambiente mais seguro
(KIM; SOLOMON, 2014).
KIM, D.; SOLOMON, M. Fundamentos de segurança de
sistemas de informação . São Paulo: LTC, 2014.
Com base nesta a�rmação, re�ita quais as vantagens trazidas
pela auditoria e o porquê a organização e auditores devem
trabalhar juntos.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 21/39
A presença da tecnologia em cada vez mais áreas de negócios requer um
sistema de controle, monitoramento e análise, como auditoria de sistemas.
Em primeiro lugar, é necessário garantir segurança ao lidar com dados,
proporcionando privacidade e bom uso. Segundo, para tornar o sistema de
computador um processo muito mais e�ciente e lucrativo, permitindo
detectar erros e tomar decisões imediatamente.
Assim, podemos dizer que os objetivos da auditoria de sistemas são:
Melhorar a relação custo-benefício dos sistemas de informação;
Aumentar a satisfação e a segurança dos usuários desses sistemas
informatizados;
Garantir con�dencialidade e integridade por meio de sistemas
pro�ssionais de segurança e controle;
Minimizar a existência de riscos, como vírus ou hackers, por exemplo;
Otimizar e agilizar a tomada de decisões;
Educar sobre o controle dos sistemas de informação, por se tratar de
um setor relativamente novo e em mudança, por isso é necessário
educar os usuários desses processos informatizados.
Portanto, a auditoria de sistemas é uma maneira de monitorar e avaliar não
apenas o próprio equipamento de computador. Seu campo de ação também
gira em torno do controle dos sistemas de entrada desses equipamentos
(pense, por exemplo, em códigos e códigos de acesso), arquivos e segurança
dos mesmos etc.
Estratégias de Auditoria de TI
Há duas áreas para discutir aqui, a primeira é sobre a conformidade ou testes
substantivos e a segunda é "Como faço para obter as evidências para permitir
que eu audite o aplicativo e faça meu relatório para a gerência?".
O teste de conformidade reuniu evidências para testar se uma organização
está seguindo seus procedimentos de controle. Por outro lado, o teste
substantivo reuniu evidências para avaliar a integridade de dados individuais
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 22/39
e outras informações. O teste de conformidade dos controles pode ser
descrito com o exemplo a seguir:
Uma organização possui um procedimento de controle que a�rma que todas
as alterações no aplicativo devem passar pelo controle de alterações. Como
auditor de TI, você pode ter a con�guração atual em execução de um
roteador, bem como uma cópia da geração -1 do arquivo de con�guração
para o mesmo roteador executar uma comparação de arquivos para ver quais
eram as diferenças. Depois, você pode pegar essas diferenças e procurar a
documentação de controle de alterações de suporte. Não se surpreenda ao
descobrir que os administradores de rede, quando são simplesmente regras
de sequenciamento, esquecem de fazer a alteração através do controle de
alterações. Para testes substantivos, digamos, por exemplo, que uma
organização deve ter uma política/procedimento referente ao
armazenamento externo de �tas de backup. Um auditor de TI faria um
inventário físico das �tas no local de armazenamento externo e compararia
esse inventário ao inventário da organização, além de procurar garantir que
todas �tas estejam presentes.
A segunda área lida com “Como faço para obter as evidências para permitir
que eu audite o aplicativo e faça meu relatório para a gerência?”. Não deve ser
surpresa que você precise:
Revisar a estrutura organizacional de TI;
Analisar as políticas e procedimentos de TI;
Revisar os padrões de TI;
Revisar a documentação de TI;
Entrevistar o pessoal apropriado;
Observar os processos e o desempenho dos funcionários.
Como comentário adicional da coleta de evidências, a observação do que um
indivíduo realmente faz versus o que deve fazer pode fornecer ao auditor de
TI evidências valiosas quando se trata de controlar a implementação e o
entendimento pelo usuário. Também a realização de um guia pode fornecer
informações valiosas sobre como uma função especí�ca está sendo
executada.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 23/39
Aplicação vs Controles Gerais
Os controles gerais se aplicam a todas as áreas da organização, incluindo a
infraestrutura de TI e os serviços de suporte. Alguns exemplos de controles
gerais são:
Controles contábeis internos;
Controles operacionais;
Controles administrativos;
Políticas e procedimentos de segurança organizacional;
Políticas gerais para o design e uso de documentos e registros
adequados;
Procedimentos e práticas para garantir salvaguardas adequadas
sobre o acesso;
Políticas de segurança física e lógica para todos os datacenters e
recursos de TI.
Os controles de aplicativos se referem às transações e dados relacionados a
cada sistema de aplicativos baseado em computador, portanto, eles são
especí�cos para cada aplicativo. Os objetivos dos controles de aplicativos são
de garantir a integridade e a precisão dos registros e a validade das entradas
feitas a eles. Controles de aplicativos são controles sobre funções de entrada,
processamento e saída, e incluem métodos para garantir que:
Somente dados completos, precisos e válidos sejam inseridos e
atualizados em um sistema de aplicativo;
O processamento realiza atarefa projetada e correta;
Os resultados do processamento atendem às expectativas;
Os dados são mantidos.
Como auditor de TI, suas tarefas ao executar uma auditoria de controle de
aplicativos devem incluir:
Identi�car os componentes signi�cativos do aplicativo; o �uxo de
transações através do aplicativo (sistema); e obter um entendimento
detalhado do aplicativo revisando toda a documentação disponível e
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 24/39
entrevistando o pessoal apropriado, como proprietário do sistema,
proprietário dos dados e administrador do sistema;
Identi�car os pontos fortes do controle do aplicativo e avaliar o
impacto, se houver, dos pontos fracos encontrados nos controles do
aplicativo;
Desenvolver uma estratégia de teste;
Testar os controles para garantir sua funcionalidade e e�cácia;
Avaliar seus resultados de teste e qualquer outra evidência de
auditoria para determinar se os objetivos de controle foram
alcançados;
Avaliar a aplicação em relação aos objetivos da gerência do sistema
para garantir e�ciência e e�cácia.
Revisões de Controle de Auditoria de TI
Após reunir todas as evidências, o auditor de TI a revisará para determinar se
as operações auditadas estão bem controladas e e�cazes. Agora é aqui que
seu julgamento e experiência subjetivos entram em cena. Por exemplo, você
pode encontrar uma fragilidade em uma área que é compensada por um
controle muito forte em outra área adjacente. É sua responsabilidade, como
auditor de TI, relatar essas duas descobertas em seu relatório de auditoria.
Entrega da Auditoria
Aqui está a lista completa do que deve ser incluído na sua documentação de
auditoria:
Planejamento e preparação do escopo e objetivos da auditoria;
Descrição e/ou orientações na área de auditoria com escopo;
Programa de auditoria;
Etapas de auditoria executadas e evidências coletadas da auditoria;
Se serviços de outros auditores e especialistas foram utilizados e
suas contribuições;
Resultados, conclusões e recomendações da auditoria;
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 25/39
Relação da documentação de auditoria com identi�cação e datas do
documento;
Uma cópia do relatório emitida como resultado do trabalho de
auditoria;
Evidência da revisão da supervisão de auditoria.
Quando você comunica os resultados da auditoria à organização, isso
geralmente é feito em uma reunião de encerramento, na qual você terá a
oportunidade de discutir com a gerência quaisquer conclusões e
recomendações. Você precisa estar absolutamente certo de:
Os fatos apresentados no relatório estão corretos;
As recomendações são realistas e econômicas, ou foram negociadas
alternativas com a gerência da organização;
As datas de implementação recomendadas serão acordadas para as
recomendações que você possui em seu relatório.
Sua apresentação nesta entrevista de encerramento incluirá um resumo
executivo de alto nível. Por qualquer motivo, uma imagem vale mais que mil
palavras, assim como alguns slides ou grá�cos do PowerPoint em seu
relatório.
Seu relatório de auditoria deve ser estruturado para incluir:
Uma introdução (sumário executivo);
As descobertas �carão em uma seção separada e agrupadas por
destinatário pretendido;
Sua conclusão e opinião gerais sobre a adequação dos controles
examinados e quaisquer riscos potenciais identi�cados;
Resultados e recomendações detalhadas.
Finalmente, existem algumas outras considerações que você precisa conhecer
ao preparar e apresentar seu relatório �nal. Quem é o público? Se o relatório
for enviado ao comitê de auditoria, talvez não seja necessário ver as minúcias
contidas no relatório da unidade de negócios local. Você precisará identi�car
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 26/39
os critérios organizacionais, pro�ssionais e governamentais aplicados. Seu
relatório deverá ser oportuno a �m de incentivar ações corretivas imediatas.
Como um comentário �nal, se no decorrer de uma auditoria de TI você
encontrar uma descoberta materialmente signi�cativa, ela deve ser
comunicada à gerência imediatamente e não no �nal da auditoria.
praticar
Vamos Praticar
Como vimos durante os estudos, a auditoria de segurança da informação é uma
avaliação técnica sistemática e mensurável de como a política de segurança da
organização é empregada. Faz parte do processo contínuo de de�nição e
manutenção de políticas de segurança e�cazes. Pode ser de�nida também como
uma inspeção interna de aplicativos, sistemas operacionais e infraestrutura quanto
a falhas de segurança. Em relação a este conceito, é correto dizer que:
a) O relatório �nal de auditoria deve ser um exemplo claro da realidade da
empresa em termos de processos e informatização.
b) A auditoria de sistemas visa veri�car e julgar as informações de modo
subjetivo, possibilitando que a empresa encontre soluções para os
problemas de segurança.
c) A auditoria possibilita que o processo e as tecnologias relacionadas ao
sistema de informação sejam utilizados com mais e�ciência, porém não
in�uencia na segurança.
d) O auditor de sistema de informação tem o mesmo papel que o analista de
sistema, com a diferença que ele está preocupado com a segurança.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 27/39
e) O auditor do sistema de informação está associado apenas a fase de
elaboração do projeto.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 28/39
As ameaças à segurança estão mudando e os requisitos de conformidade
para empresas e governos estão se tornando cada vez mais complexos.
Superar tudo isso sem uma política de segurança é como tapar os buracos
com um pano, sempre haverá um vazamento. Para que uma política de
segurança seja e�caz, existem algumas necessidades essenciais.
Características
A política de segurança da informação deve proteger a organização de
todos os lados, deve abranger todo o software, dispositivos de hardware,
parâmetros físicos, recursos humanos, informações/dados, controle de
acesso, etc., dentro de seu escopo. Se falarmos sobre dados como um objeto
de ponta a ponta, eles abrangem: criação, modi�cação, processamento,
armazenamento e destruição/retenção de dados. É preciso garantir que toda
a organização (aquilo que ela recebe e aquilo que ela produz) esteja
contemplada na política de segurança da informação (HINTZBERGEN et al.,
2018).
Política de Segurança daPolítica de Segurança da
InformaçãoInformação
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 29/39
A política de segurança da informação deve estar completamente
de�nida;
Deve haver um espaço para revisão e atualizações;
Deve incorporar a avaliação de riscos da organização;
Deve ser prática e possível de ser executada.
As organizações avançam com uma avaliação de riscos para identi�car os
perigos e riscos potenciais. É muito fácil escolher uma política de segurança
da informação e ajustá-la à empresa, mas diferentes organizações têm
requisitos de conformidade diferentes. Deve-se garantir que todos os riscos
identi�cados sejam tratados na política de segurança da informação.
Não basta falar e documentar minuciosamente a política de segurança da
informação, é preciso garantir que a política seja prática e executável. Ela
deve resolver os problemas de forma e�caz e deve ter um processo de
negócio para requisitos de urgência. Sem aplicabilidade e praticidade, ter uma
política de segurança da informação é tão bom quanto não ter nenhumapolítica.
Partes Essenciais da Política de Segurança
da Informação
Até aqui você viu um pouco sobre políticas de segurança da informação. A
seguir, será apresentado para você as partes essenciais do documento das
políticas de segurança de uma empresa.
Objetivo
O objetivo da política deve ser claramente de�nido no início do documento,
após as páginas introdutórias. O objetivo deve abranger principalmente
algumas partes:
Manutenção da con�dencialidade: protegendo os recursos de
pessoal não autorizado;
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 30/39
Garantia de disponibilidade: disponibilidade de recursos para o
pessoal autorizado;
Manutenção da integridade: garante a correção dos recursos.
Deverá de�nir os termos usados na política posteriormente e, por exemplo,
responder a estas questões: qual é o signi�cado da expressão “pessoa
autorizada” em relação à organização? Quais são as responsabilidades do
departamento de segurança da informação? Que parte da gerência está
buscando suporte e responsabilidades por meio da política de segurança da
informação?
Escopo
As empresas são enormes e podem ter muitas �liais, terceiros, contratos, etc.
O escopo do público ao qual a política de segurança da informação se aplica
deve ser mencionado claramente, além de de�nir o que é considerado fora do
escopo, por exemplo, uma informação.
A política de segurança pode obrigar que os ativos conectados à rede da
empresa tenham a atualização mais recente do Windows instalado. Isso
também abrange os sistemas aos quais o fornecedor/visitante se conecta à
rede para qualquer necessidade comercial ou �nalidade de demonstração? E
se este for um PC Linux ou Mac? Essas perguntas devem ser feitas e essa
segregação precisa ser clara para o que está dentro do escopo e o que está
fora do escopo.
Classi�icação de Ativos
Esta seção é sobre tudo o que será coberto no ativo. Como o ativo será
categorizado. Como o ativo será classi�cado em várias categorias e como isso
será reavaliado. Quais são as responsabilidades detalhadas de uma equipe de
segurança, equipe de TI, usuário e proprietário de ativos? Quem é a parte
autorizada a aprovar a classi�cação do ativo? Estas são algumas perguntas
que devem ser respondidas nesta seção. Cuidados especiais devem ser
tomados com o que deve ser abordado aqui e com o que está na parte de
gestão de ativos da apólice.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 31/39
Gestão ou Gerenciamento de Ativos
O gerenciamento de ativos é basicamente a parte de TI do ativo. Ele cobrirá o
ciclo de vida de como o ativo será incorporado, instalado, mantido,
gerenciado e retirado. O ciclo de vida pode ter as principais partes de�nidas
assim:
Integração e instalação de ativos (o que é necessário?);
Alocação de ativos (gerenciamento de estoque, quem usou o que e
quando);
Desalocação de ativos (quem pode autorizar isso?);
Garantia de manutenção anual.
Controle de Acesso
O controle de acesso é um tópico geral e toca todos os objetos, seja físico ou
virtual. A política deve ter várias seções e deve cobrir o gerenciamento de
acesso para todos. A organização precisa de controle biométrico para que os
funcionários entrem ou é aceitável usar cartões de acesso convencionais?
Como o acesso é controlado pelos visitantes? Qual é o modelo de
sistema/controle de acesso usado para conceder acesso aos recursos? A
empresa segue controles de acesso obrigatórios de acordo com as funções ou
o acesso é concedido a critério da gerência? Todas essas partes precisam ser
cobertas aqui. “Quem tem acesso ao quê? Quem a concede? Até quando? Por
quê?”. Isso deve ser de�nido claramente nesta seção.
Gerenciamento de Senha
Esta seção deve de�nir as diretrizes de senha para PC/laptop do usuário,
senhas de aplicativos, gerenciamento de senhas de dispositivos de rede, por
exemplo, �rewall, servidor, comutadores etc.
Os parâmetros a seguir devem ser aplicados quando o gerenciamento de
senhas é de�nido:
Complexidade da senha ativada;
Comprimento mínimo da senha;
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 32/39
Comprimento máximo da senha;
Alteração de senha no primeiro login;
Idade mínima da senha antes de alterar;
Idade máxima da senha;
Número de tentativas de senha inválidas de�nidas;
Duração do bloqueio e procedimento de desbloqueio;
Histórico de senhas mantido por quanto tempo?
Gerenciamento de Mudanças e Gerenciamento de
Incidentes
Aqui deve ser documentado como realizar uma mudança na organização. O
gerenciamento de alterações é necessário para garantir que todas as
alterações sejam documentadas e aprovadas pela gerência. As alterações
podem ser rastreadas, monitoradas e revertidas, se necessário. A maioria das
organizações usa um sistema de emissão de bilhetes para rastrear as
alterações e registrar todos os detalhes essenciais das alterações:
Justi�cativa de negócios;
Equipes envolvidas na mudança;
Quem fará a mudança?;
Qual é a mudança?;
Análise de impacto;
Análise de risco;
Procedimentos de teste;
Plano de reversão.
Um incidente, nesse caso, pode ser um roubo de dados ou um ataque
cibernético. A política de segurança da informação deve abordar o
procedimento a ser seguido em tais circunstâncias.
Quem declarará que um evento é um incidente?
Com quem entrar em contato em caso de incidente?
Como os funcionários podem identi�car e relatar um incidente?
Como um incidente é usado como uma lição?
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 33/39
Política de Mesa Limpa
Os funcionários podem deixar os ativos sem garantia durante o horário
comercial? Os ativos precisam de um bloqueio físico? A organização deixa os
documentos onde quiser? Você pode dar um comando de impressão e não o
coletar imediatamente? O que fazer com os protótipos, dispositivos e
documentos que não são mais necessários? As respostas a essas perguntas
dependem de organização para organização.
Idealmente, os laptops podem �car sem segurança com uma trava de cabo
conectada. Os documentos que não são mais necessários devem ser
fragmentados imediatamente. A área da impressora precisa ser mantida
limpa, coletando os documentos impressos imediatamente, para que não
atinjam indivíduos não autorizados. Abordem-os sobre a política de segurança
da informação e garanta que os funcionários estejam seguindo estas
diretrizes. Veri�cações aleatórias podem ser realizadas para garantir que a
política esteja sendo seguida.
Classi�icação de Dados/Informações
Assim como a classi�cação de ativos, os dados também precisam ser
classi�cados em várias categorias: extremamente secretos, secretos,
con�denciais e públicos. Isso é feito para garantir que os objetos/dados com
alto nível de sigilo não sejam acessados por sujeitos de níveis mais baixos de
segurança. A seção garantirá que os dados sejam categorizados e quem é a
parte autorizada a fazê-lo. Como os dados serão categorizados e processados
ao longo do seu ciclo de vida?
Política de uso da Internet
A Internet está cheia de coisas que podem não ser necessárias e até
inapropriada para ser visitada nas instalações do escritório, na rede do
escritório e nos ativos o�ciais. A política de segurança da informação deve
de�nir como a Internet deve ser restrita e o que deve ser restrito. Sua
organização permite visualizar sites de mídia social, YouTube e outros sites de
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 34/39
entretenimento? Como o acesso é controlado? Uma maneira é bloquear a
categoria de base de sites no proxy da Internet.Segurança Física
O que é abordado nesta seção é autoexplicativo. Todos os controles de
segurança física e procedimentos operacionais:
Monitoramento de CFTV;
Operação de guarda de segurança;
Sistema de segurança e incêndio instalado;
Barreiras de lança, arames farpados, detectores de metais, etc.
A segurança física pode ter controles sem �m, mas isso exige uma avaliação
séria do que é necessário, de acordo com as necessidades da organização. O
escritório precisa de uma segurança de nível militar ou de nível de ferro-
velho? Os controles custam muito e, portanto, precisam ser escolhidos com
sabedoria. O mesmo deve ser documentado na política de segurança da
informação.
praticar
Vamos Praticar
A política de segurança da informação deve proteger a organização de todos os
lados. De acordo com o conhecimento adquirido durante seus estudos, podemos
a�rmar que a falta de política de sistema de informação para controle de acesso é
um(a):
a) Vulnerabilidade.
b) Indisponibilidade.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 35/39
c) Ameaça.
d) Disponibilidade.
e) Phishing .
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 36/39
indicações
Material
Complementar
LIVRO
Cibercultura e Virtualidade: desa�ios para o
desenvolvimento humano
Jane Farias Chagas Ferreira
Editora: Appris
ISBN: 978-85-819-2505-9
Comentário: O livro, de autoria de Jane Chagas
Ferreira, aborda as in�uências das Tecnologias de
Informação e Comunicação e das interações homem-
máquina nos processos de desenvolvimento humano. É
uma ótima leitura para compreender a relação
humano-tecnologia no ciberespaço.
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 37/39
FILME
A rede social
Ano: 2010
Comentário: Como o estudante de Harvard, Mark
Zuckerberg, cria o site de rede social que �caria
conhecido como Facebook. Ele é processado por
violação de segurança e do direito de privacidade,
também foi processado pelo cofundador que mais
tarde foi retirado do negócio. Este �lme mostra
claramente os conceitos de vulnerabilidade.
TRA ILER
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 38/39
conclusão
Conclusão
Nesta aula, você viu os principais fundamentos da segurança da informação.
Viu a diferença entre cibersegurança e segurança da informação, aprendeu
que uma ameaça é um evento negativo que pode levar a um resultado
indesejado, como dano ou perda de um ativo, que vulnerabilidades são
simplesmente fraquezas no sistema, o que tornam as ameaças possíveis.
Aprendeu também que os riscos geralmente são confundidos com ameaças,
mas são diferentes de uma maneira crucial. Um risco, de forma simples, é a
chance de algo negativo acontecer combinado com o quão ruim seria se
acontecesse.
Como recomendação �nal, releia os capítulos desta unidade os quais você
teve mais dúvida, pesquise nas referências sobre os temas aqui abordados.
referências
Referências
Bibliográ�cas
BUSSELL, J. Cyberspace. Encyclopedia Britannica . Disponível em:
https://www.britannica.com/topic/cyberspace . Acesso em: 20 out. 2019.
https://www.britannica.com/topic/cyberspace
10/04/2024, 12:39 Ead.br
https://student.ulife.com.br/ContentPlayer/Index?lc=BNQwTb%2bD%2bD8N1yhmO%2f2ShQ%3d%3d&l=WcQY2Ff%2fgA5DVXdFmxKkdg%3… 39/39
GALVÃO, M. Fundamentos em Segurança da Informação . São Paulo:
Pearson, 2015.
GOMES, G. Batista. A auditoria de segurança da informação como
instrumento de apoio à tomada de decisões, pela alta administração de
organizações modernas . Disponível em:
https://repositorio.animaeducacao.com.br/items/c48875�-d00d-4a2a-a8e4-
a4df4b246bae . Acesso em: 20 out. 2019.
HINTZBERGEN J. et al. Fundamentos de Segurança da Informação : com
base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.
INFINIT-O. The 5 Pillars of Information Security and How to Manage Them.
Resource Center . Disponível em: https://resourcecenter.in�nit-
o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them .
Acesso em: 20 out. 2019.
KIM, D.; SOLOMON, M. Fundamentos de segurança de sistemas de
informação . São Paulo: LTC, 2014.
KOLBE, A. Sistemas de segurança da informação na era do conhecimento
. Curitiba: Intersaberes, 2017.
SANTOS, A.; SILVA, R. Detecção de Ataques DDoS com Grá�cos de Controle
e Bases de Regras Nebulosas. Disponível em: https://bit.ly/2FqHv2L . Acesso
em: 12 nov. 2019.
STALLINGS, W. Criptogra�a e segurança de redes : princípios e práticas. 4.
ed. São Paulo: Pearson Education do Brasil, 2015.
https://repositorio.animaeducacao.com.br/items/c48875ff-d00d-4a2a-a8e4-a4df4b246bae
https://repositorio.animaeducacao.com.br/items/c48875ff-d00d-4a2a-a8e4-a4df4b246bae
https://resourcecenter.infinit-o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them
https://resourcecenter.infinit-o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them
https://www.inf.ufsc.br/~bosco.sobral/downloads/I2TS%202010%20CD%20Proceedings/www.i2ts.org/papers/full_portugues/78861.pdf