Gestão de Segurança da Informação Materia Didático

Prévia do material em texto

GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Prof. Renato GuimarãesProf. Renato Guimarães
Aula 1: Aula 1: Introdução à Segurança da Informação
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
CONTEÚDO PROGRAMÁTICO
• Introdução
• Princípios fundamentais da Segurança da 
Informação
 Fatores que impactam na segurança 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
DEFINIÇÃO
• Segurança de Informações:
Trata-se da proteção, dispensada aos dados e 
informações, contra ações não autorizadas 
relativas à divulgação, transferência, 
modificação ou destruição destes, sejam 
estas ações intencionais ou acidentais.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
OUTRA DEFINIÇÃO
• Condição em que pessoas, instalações, 
equipamentos, sistemas básicos, sistemas 
aplicativos, dados, informações e outros 
recursos significativos encontram-se a salvo 
de desastres ou ameaças naturais, bem como 
de desastres ou ameaças causados pelo 
homem.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
SOBRE O PRISMA 
ORGANIZACIONAL
• Segurança de Informações está relacionada à 
proteção dos ativos.
Todas as informações processadas por uma 
organização, bem como os equipamentos e 
sistemas utilizados para o processamento 
destas, representam ativos valiosos, no 
sentido em que a continuidade do 
funcionamento da organização pode 
depender da preservação destes ativos.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
SOBRE O PRISMA LEGAL
• Garantir a exatidão, a integridade e a 
disponibilidade das informações da 
organização (ex: para o fisco);
• Garantir a confidencialidade e a privacidade 
dos dados mantidos relativos a seus clientes, 
fornecedores e funcionários (ex: bancos)
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
ATIVOS
• Um ativo é qualquer coisa que tenha valor 
para a organização ou em uma outra visão 
são aqueles que produzem, processam, 
transmitem ou armazenam informações.
Classificação:
-Tangíveis: Aplicativos, Equipamentos, Usuários
-Intangíveis: Marca, Imagem, Confiabilidade
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
PROTEÇÃO
Classificação:
-Prevenção: Evita que acidentes ocorram
-Desencorajamento: Desencoraja a prática de 
ações
-Monitoramento: Monitora estado e 
funcionamento
-Detecção: Detecta a ocorrência de incidentes
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
PROTEÇÃO
-Limitação: Diminui danos causados
-Reação: Reage a determinados incidentes
-Correção: Repara falhas existentes 
-Recuperação: Repara danos causados por 
incidentes
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
PRINCÍPIOS
• Confidencialidade
- Trata-se da manutenção do segredo, do sigilo 
ou da privacidade das informações;
- Esta propriedade indica que os dados e 
informações não deveriam ser acessíveis a, 
ficar disponíveis para ou ser divulgados a 
usuários, entidades, sistemas ou processos 
não autorizados e aprovados.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
• Integridade
- Trata-se da manutenção das informações tal 
e qual tenham sido geradas;
- Esta propriedade indica que os dados e 
informações não deveriam ser alterados ou 
destruídos de maneira não autorizada e 
aprovada.
PRINCÍPIOS
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
• Disponibilidade
- Trata-se da possibilidade de acesso contínuo, 
ininterrupto, constante e atemporal às 
informações;
- Esta propriedade indica que o acesso aos 
serviços oferecidos pelo sistema deveria ser 
sempre possível para um usuário, entidade, 
sistema ou processo autorizado e aprovado.
PRINCÍPIOS
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
FATORES QUE IMPACTAM NA 
SEGURANÇA
Valor: Importância do ativo para a 
organização.
Ameaça: Evento que tem potencial em si 
próprio para comprometer os objetivos da 
organização, seja trazendo danos diretos aos 
ativos ou prejuízos decorrentes de situações 
inesperadas.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
Vulnerabilidade: A ausência de um mecanismo 
de proteção ou falhas em um mecanismo de 
proteção existente. São as vulnerabilidades 
que permitem que as ameaças se concretizem. 
O que irá determinar se uma invasão de 
computador pode ou não afetar os negócios de 
uma empresa é a ausência ou existência de 
mecanismos de prevenção, detecção e 
eliminação, além do correto funcionamento 
destes mecanismos.
FATORES QUE IMPACTAM NA 
SEGURANÇA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
Impacto: Tamanho do prejuízo, medido 
através de propriedades mensuráveis ou 
abstratas , que a concretização de uma 
determinada ameaça causará;
Devemos levar em consideração que 
diferentes ameaças possuem impactos 
diferentes e que dependendo do ativo 
afetado, podemos ter também impactos 
diferentes para uma mesma ameaça. 
FATORES QUE IMPACTAM NA 
SEGURANÇA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
• Exemplo – assalto a residência
Ativos: Objetos existentes na casa.
Vulnerabilidade: Porta com fechadura simples.
Ameaça: Pode haver um arrombamento e 
assalto.
Impactos: Perda de conforto, necessidade de 
comprar tudo de novo.
Contra-medidas: Fechadura quádrupla, portas 
e janelas blindadas, alarme, cachorro, vigia, 
seguro, etc.
FATORES QUE IMPACTAM NA 
SEGURANÇA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação
• Desastres naturais: tempestades, 
inundações, incêndio, etc. 
• Operação incorreta : erro do usuário ou 
administrador do sistema.
• Ataque ao sistema: visando algum lucro.
TIPOS DE PROBLEMAS DE 
SEGURANÇA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Prof. Renato GuimarãesProf. Renato Guimarães
Aula 2: O ciclo de vida da InformaçãoAula 2: O ciclo de vida da Informação
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
CONTEÚDO PROGRAMÁTICO
• Por que proteger a 
Informação?
• Quando proteger a 
Informação?
 O ciclo de vida da Informação
 Classificação do nível de 
segurança 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
VALOR DA INFORMAÇÃO
Dados: São compostos por fatos básicos, como 
o nome e a quantidade de horas em uma 
semana de um funcionário.
Informação: É um conjunto de fatos 
organizados de modo a terem valor adicional, 
além do valor dos fatos propriamente ditos.
Conhecimento: É a consciência e entendimento 
de um conjunto de informações e formas de 
torná-las úteis para apoiar uma tarefa 
específica ou tomar uma decisão. 
GESTÃO DESEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
VALOR DA INFORMAÇÃO
Dado o caráter abstrato e intangível da 
informação, seu valor está associado a um 
contexto. A informação terá valor econômico 
para uma organização se ela gerar lucros ou 
se for alavancadora de vantagem 
competitiva, caso contrário poderá ter pouco 
ou nenhum valor. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
CONCEITO DE VALOR
- Valor de uso : Baseia-se na utilização final que 
se fará com a informação;
- Valor de troca : É o quanto o usuário está 
disposto a pagar, conforme as leis de mercado 
(oferta e demanda);
- Valor de propriedade : Reflete o custo 
substitutivo de um bem;
- Valor de restrição : Surge no caso de 
informação secreta ou de interesse comercial, 
quando o uso fica restrito a apenas algumas 
pessoas.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
UM EXEMPLO
Desenvolvimento de programa para 
gerenciamento de folha de pagamento.
- Valor de uso - gerenciar dados da folha de 
pagamento dos funcionários de uma empresa;
- Valor de troca - Troca do trabalho pela 
experiência adquirida;
- Valor de Propriedade - Aquisição do programa 
para a empresa;
- Valor de restrição - Restringir o uso do 
programa ao departamento financeiro da 
empresa
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
POR QUE PROTEGER?
• Todas as Empresas Precisam de Segurança de 
Informações
O que está em jogo:
–Perda de patrimônio (destruição de ativos);
–Perda de operações (transações não 
efetuadas);
–Danos à imagem corporativa (sensação de 
insegurança para seus clientes).
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
• Dados importantes para a organização 
podem ser:
- Divulgados indevidamente (deixando de ser 
confidenciais), destruídos (deixando de estar 
disponíveis) ou corrompidos (deixando de ser 
íntegros);
- Roubados por outras organizações, visando 
compartilhar a vantagem competitiva 
representada por estes;
- Apagados ou modificados por outras 
organizações, de forma a anular esta 
vantagem competitiva.
POR QUE PROTEGER?
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
• A importância aumenta para organizações 
que:
-Lidam com informações confidenciais, tais 
como bancos ou indústria química; governos 
etc;
-Lidem com informações que permitam a 
distribuição eletrônica de fundos e de ativos, 
tais como empresas de cartão de crédito;
-Apresentam ativos muito líquidos, tais como 
instituições financeiras em geral.
POR QUE PROTEGER?
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
QUANDO PROTEGER?
Armazename
nto
 Manuseio 
Transporte
 Descarte
No Ciclo de vida da Informação
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
QUANDO PROTEGER?
• Manuseio: Momento em que a informação é 
criada e manipulada, seja ao folhear um maço 
de papéis, ao digitar informações recém 
geradas em uma aplicação internet, ou ainda, 
ao utilizar sua senha de acesso para 
autenticação.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
QUANDO PROTEGER?
• Armazenamento: Momento em que a 
informação é armazenada, seja em um banco 
de dados compartilhado, em uma anotação de 
papel posteriormente colocado em um 
arquivo de metal, ou ainda, em um pendrive 
depositado em uma gaveta, por exemplo.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
QUANDO PROTEGER?
• Transporte: Momento em que a informação é 
transportada, seja ao encaminhar 
informações por correio eletrônico (e-mail), 
ao postar um documento via aparelho de fax, 
ou ainda, ao falar ao telefone uma informação 
confidencial, por exemplo.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
QUANDO PROTEGER?
• Descarte: Momento em que a informação é 
descartada, seja ao depositar na lixeira da 
empresa um material impresso, seja ao 
eliminar um arquivo eletrônico em seu 
computador de mesa, ou ainda, ao descartar 
um CD-ROm usado que apresentou falha na 
leitura.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
ONDE PROTEGER?
FÍSICOS TECNOLÓGIC
OS
HUMANOS
Agenda Sistema Funcionário
Sala E-mail Parceiro
Arquivo Servidor Secretária
Cofre Notebook Porteiro
Nos Ativos:
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
DO QUE PROTEGER?
FÍSICAS TECNOLÓGIC
AS
HUMANAS
Incêndio Vírus Sabotagem
Inundação Bug software Fraude
Curto circuito Defeito técnico Erro humano
Apagão Invasão Web Descuido
Ameaças:
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
CLASSIFICAÇÃO NÍVEL SEGURANÇA
 Informação sem 
interesse
 Lixo
 Vantagem 
competitiva
 Informação potencial
 Informação 
mínima
 Gestão
 Informação crítica
 
Sobrevivência
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
Informação crítica: Destina-se à sobrevivência 
da organização para atender prioritariamente 
às áreas operacionais.Ganha força a crença de 
que a ciência é a expressão de uma verdade 
absoluta, aumentando a confiança na ciência 
como fonte, senão única, privilegiada, do 
saber “verdadeiro e universal”.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
Informação mínima: é destinada originalmente 
aos gerentes de nível intermediário para a 
realização de atividades de gestão 
organizacional. 
Informação potencial: é dirigida 
principalmente para a direção da organização, 
apontando possíveis vantagens competitivas a 
serem conquistadas.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
Informação sem interesse, ou lixo: 
É considerada uma parcela negativa 
inversamente proporcional à sua quantidade, 
em uma hipotética equação de valor para a 
finalidade da informação organizacional, e 
pode ser associada ao conceito de sobrecarga 
de informação. A relevância se manifesta 
através do impacto que a presença ou 
ausência da informação pode gerar no 
ambiente.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
Irrestrita: A informação é pública, podendo 
ser utilizada por todos sem causar 
danos à organização.
Interna: Esta informação é aquela que a 
organização não tem interesse em divulgar, 
cujo acesso por parte de indivíduos externos a 
ela deve ser evitado. Entretanto, caso esta 
informação seja disponibilizada ela não causa 
danos sérios à organização.
NÍVEL DE SEGURANÇA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
Confidencial: Informação interna da 
organização cuja divulgação pode causar 
danos financeiros ou à imagem da 
organização. Essa divulgação pode gerar 
vantagens a eventuais concorrentese perda 
de clientes.
Secreta: Informação interna, restrita a um 
grupo seleto dentro da organização. Sua 
integridade deve ser preservada a qualquer 
custo e o acesso bastante limitado e seguro. 
Esta é a informação considerada vital para a 
companhia.
NÍVEL DE SEGURANÇA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação
Para definir o nível de segurança da 
informação de cada setor da organização a 
pessoa mais indicada é o próprio responsável 
(Custodiante) daquele setor. Ele é quem 
certamente conhece melhor as informações do 
seu setor assim como as necessidades de 
confidencialidade, integridade e 
disponibilidade do setor.
QUEM DEFINE O NÍVEL DE 
SEGURANÇA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Prof. Renato GuimarãesProf. Renato Guimarães
Aula 3: Vulnerabilidades de Aula 3: Vulnerabilidades de Segurança
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
CONTEÚDO PROGRAMÁTICO
• O que são Vulnerabilidades
• Classificação das Vulnerabilidades
 Análise das Vulnerabilidades
 Teste de Vulnerabilidades 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
IMPORTANTE
O profissional da área de Tecnologia da 
Informação atua diretamente no planejamento, 
implementação e implantação de soluções de TI 
nas organizações. Desta forma, é 
imprescindível que entenda o que é 
vulnerabilidade dentro do contexto 
organizacional, os principais tipos existentes e 
as principais ferramentas de análise de 
vulnerabilidade de segurança.
Afinal segurança 100% não existe.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
O QUE SÃO VULNERABILIDADES
Pontos fracos em que os ativos estão 
suscetíveis a ataques - fatores negativos 
internos.
 
Permitem o aparecimento de ameaças 
potenciais à continuidade dos negócios das 
organizações.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
Fragilidade presente ou associada a ativos que 
manipula ou processam informações que, ao ser 
explorada por ameaças, permitem a ocorrência 
de um incidente de segurança, afetando 
negativamente um ou mais princípios de 
segurança da informação(CID). 
Uma ameaça é um possível perigo que pode 
explorar uma vulnerabilidade.
O QUE SÃO VULNERABILIDADES
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
CLASSIFICAÇÃO
• Físicas:
- Instalações prediais fora dos padrões de engenharia;
- Salas de servidores mal planejadas;
- Falta de extintores, detectores de fumaça e de 
outros recursos para detecção e combate a 
incêndio.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
• Naturais:
- Possibilidade de desastres naturais (incêndios, 
enchentes, terremotos, tempestades, falta de 
energia);
- Problemas nos equipamentos de apoio (acúmulo de 
poeira, aumento de umidade e de temperatura).
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
• Dados importantes para a organização 
podem ser:
- Divulgados indevidamente (deixando de ser 
confidenciais), destruídos (deixando de estar 
disponíveis) ou corrompidos (deixando de ser 
íntegros);
- Roubados por outras organizações, visando 
compartilhar a vantagem competitiva representada 
por estes;
- Apagados ou modificados por outras organizações, 
de forma a anular esta vantagem competitiva.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
• Hardware:
-Falha nos recursos tecnológicos (desgaste, 
obsolescência, mau uso);
-Erros durante a instalação;
-A ausência de atualizações de acordo com as 
orientações dos fabricantes dos programas 
utilizados; 
-A conservação inadequada dos equipamentos.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
• Software:
- Erros de instalação ou de configuração 
possibilitando acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidade 
de recursos quando necessários;
- A configuração e a instalação indevidas dos 
programas de computador/sistemas operacionais, 
podem levar ao uso abusivo dos recursos por parte 
de usuários mal-intencionados.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
• Mídias de armazenamento:
- Discos, fitas, relatórios e impressos em geral podem 
ser perdidos ou danificados;
- Radiação eletromagnética pode afetar diversos 
tipos de mídias magnéticas;
- Erro de fabricação.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
• Comunicações:
-Acessos não autorizados ou perda de comunicação;
-A ausência de sistemas de criptografia nas 
comunicações ; 
-A má escolha dos sistemas de comunicação para 
envio de mensagens de alta prioridade da empresa. 
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
• Humanas:
- Falta de treinamento;
- Compartilhamento de informações confidenciais;
- Falta de execução de rotinas de segurança;
- Erros ou omissões;
- Terrorismo ou vandalismo (ameaça de bomba, 
sabotagem, distúrbios civis, greves, roubo, furto, 
assalto, destruição de propriedades ou de dados, 
invasões, guerras, etc.).
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
Vulnerabilidades por si só não provocam 
incidentes, pois são elementos passivos, 
necessitando para tanto de um agente 
causador ou uma condição favorável que são as 
ameaças.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
A Análise das vulnerabilidades tem por objetivo 
verificar a existência de falhas de segurança no 
ambiente de TI das empresas. Esta análise é 
uma ferramenta importante para a 
implementação de controles de segurança 
eficientes sobre os ativos de informação das 
empresas.
É realizada através de um levantamento 
detalhado do ambiente computacional da 
empresa, verificando se o ambiente atual 
fornece condições de segurança compatíveis 
com a importância estratégica dos serviços que 
fornece ou desempenha. Esta análise 
compreende todos os ativos da informação da 
empresa.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
Tecnologias: 
-Software e hardware usados em servidores, estações 
de trabalho e outros equipamentos pertinentes, como 
sistemas de telefonia, rádio e gravadores; 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
Processos: 
-Análise do fluxo de informação, da geração da 
informação e de seu consumo. Analisa também como 
a informação é compartilha entre os setores da 
organização. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
Pessoas: 
-As pessoas são ativos da informação e executam 
processos, logo, precisam ser analisadas. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidadesde SegurançaAula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
Ambientes: 
-É o espaço físico onde acontecem os processos, onde 
as pessoas trabalham e onde estão instalados os 
componentes de tecnologia. Este item é responsável 
pela análise de áreas físicas. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
TESTE DE VULNERABILIDADE
-As portas do protocolo TCP/IP que encontram-se 
desprotegidas (abertas);
-Os sistemas operacionais utilizados;
-Patches e service packs (se for o caso) aplicados;
-Aplicativos instalados; 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
TESTE DE VULNERABILIDADE
-Bugs específicos dos sistemas operacionais/ 
aplicativos;
-Fraqueza nas implementações de segurança dos 
sistemas operacionais/aplicativos;
-Falhas nos softwares dos equipamentos de 
comunicações; 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
TESTE DE VULNERABILIDADE
-Fraquezas nas implementações de segurança dos 
equipamentos de comunicação; 
-Fraqueza de segurança/falhas nos scripts que 
executam nos servidores web;
-Falhas nas implementações de segurança nos 
compartilhamentos de rede entre os sistemas e 
pastas de arquivos. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
IMPORTÂNCIA TESTE DE 
VULNERABILIDADE
-Identificar e corrigir vulnerabilidades de rede; 
-Proteger a rede de ser atacada por invasores;
-Obter informações que auxiliam a prevenir os 
problemas de segurança;
-Obter informações sobre vírus;
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança
IMPORTÂNCIA TESTE DE 
VULNERABILIDADE
-Conhecer as fragilidades de redes de computadores;
-Conhecer os alertas de segurança antes de um 
ataque de rede;
-Conhecer como recuperar uma rede após um ataque. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Prof. Renato GuimarãesProf. Renato Guimarães
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
Conteúdo programático
 Introdução as ameaças de 
segurança
 Principais tipos de ameaças
 Ameaças ativas x passivas 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
O QUE SÃO AMEAÇAS ?
- Representam perigo para os ativos;
- Oferecem riscos potenciais ao ambiente de TI 
e á continuidade dos negócios;
- Podem afetar aspectos básicos da segurança.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
O QUE SÃO AMEAÇAS ?
Potencial para violação da segurança quando há 
uma circunstância, capacidade, ação ou evento que 
pode quebrar a segurança e causar danos. Ou seja, 
uma ameaça é um possível perigo que pode 
explorar uma vulnerabilidade.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
CLASSIFICAÇÃO
 Naturais:
Ameaças decorrentes de fenômenos da natureza, 
como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, 
aquecimento, poluição, etc.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
CLASSIFICAÇÃO
 Involuntárias:
Danos involuntários - quase sempre internos - são 
uma das maiores ameaças ao ambiente;
Podem ser ocasionados por falha no treinamento, 
acidentes, erros ou omissões.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
CLASSIFICAÇÃO
Intencionais:
Ameaças propositais causadas por agentes humanos 
como hackers, invasores, espiões, ladrões, criadores 
e disseminadores de vírus de computadores, 
incendiários.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
EXEMPLOS DE AMEAÇAS
Funcionários insatisfeitos; Vírus;
Acessos locais indevidos; Pirataria e 
pornografia;
Divulgação indevida; Alteração 
indevida; Fraudes; 
 Roubo ou furto; Lixo 
informático; Falhas de energia; 
 Descoberta de senhas; 
Vazamento de dados; 
Sabotagem e vandalismo; Espionagem 
industrial;
Acessos remotos indevidos.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
TIPOS DE AMEAÇAS
Códigos Maliciosos:
Tratam-se de programas para computador com 
comportamento malicioso, maligno ou mal-
intencionado, cujo funcionamento, em geral, se dá 
com a intenção de causar dano ou roubo de 
informações.
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
TIPOS DE AMEAÇAS
Vírus:
São provavelmente os mais representativos dos 
códigos maliciosos , tendo se popularizado a partir 
dos anos 80, quando a massificação dos PCs lhes 
deu um novo e grande playground, o sistema 
operacional DOS.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
Vírus:
Tratados mais comumente como “vírus” visto que, 
à imagem destes seres vivos biologicamente 
primários e primitivos, apresentam dois objetivos 
básicos:
- Sobreviver 
- Reproduzir 
TIPOS DE AMEAÇAS
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
TIPOS DE AMEAÇAS
VÍRUS:
Vírus sobrevivem infectando um “hospedeiro” 
(“host” - exemplo: um programa ou sistema), a 
partir do qual se replicam, copiam ou se espalham 
(exemplo: para um outro programa ou sistema).
Além da capacidade de se replicar (espalhar ou 
copiar), vírus em geral possuem como parte de seu 
código um “payload” (carga, no caso, indesejada), 
seja, a capacidade de executar determinadas 
funções “maléficas”, tais como destruir ou 
modificar arquivos, ou mesmo formatar uma 
unidade de disco sendo utilizada.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
COMO UMA MÁQUINA PODE SER 
INFECTADA?
É preciso que um programa previamente infectado 
seja executado. Isto pode ocorrer de diversas 
maneiras, tais como:
- Abrir arquivos anexados aos e-mails;
- Abrir arquivos do Word, Excel, etc;
- Abrir arquivos armazenados em outros 
computadores, através do compartilhamento de 
recursos;
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
- Instalar programas de procedência duvidosa ou 
desconhecida, obtidos pela Internet, de pen drives, 
CDs, DVDs, etc;
- Ter alguma mídia removível (infectada) conectada 
ou inserida no computador, quando ele é ligado.
COMO UMA MÁQUINA PODE SER 
INFECTADA?
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
- Vírus de email: Propagado por email;
-Vírus de macro: Explora a facilidade de 
automatização de determinados aplicativos (word, 
execel, access, powerpoint). Uma macro é um 
conjunto de comandos que são armazenados em 
alguns aplicativos e utilizados para automatizar 
algumas tarefas repetitivas. Exemplos: Melissa e 
ILoveYou / LoveLetter / IhateYou.
EXEMPLODE VÍRUS
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
TIPOS DE AMEAÇAS
- Cavalos de Tróia: 
Não são considerados vírus, visto que não 
conseguem replicar-se, ainda que tenham funções 
especiais maliciosas como o de um vírus, 
apresentando-se em geral como programas 
utilitários (exemplo: anti-vírus);
A fim de funcionar (causar dano), um cavalo de 
tróia precisa:
 - Ser introduzido no hospedeiro (i.e. email com 
.exe anexo)
 - Ser processado por um usuário do hospedeiro
Exemplos: NetBus e BackOriffice.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
TIPOS DE AMEAÇAS
- Algumas das funções maliciosas que 
podem ser executadas por um cavalo de 
tróia:
• instalação keyloggers ou screenloggers; 
• furto de senhas e outras informações sensíveis, 
como números de cartões de crédito;
• inclusão de backdoors, para permitir que um 
atacante tenha total controle sobre o computador;
• alteração ou destruição de arquivos.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
- Worms:
Ao contrário de um cavalo de tróia, este tipo de 
virus em geral apenas conseguem replicar-se, não 
tendo uma função especiais mal-intencionada como 
o de um vírus normal;
Seu principal impacto nos sistemas é a 
indisponibilidade, em função de sua capacidade de 
distribuir múltiplas cópias de si mesmo;
 
Exemplo: Internet Worm 
TIPOS DE AMEAÇAS
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
NOMENCLATURA DOS ATACANTES
- Hacker: Uma pessoa intensivamente interessada 
em pesquisar sistemas operacionais; constantemente 
buscam por novos conhecimentos, os compartilham 
e nunca causam destruição.
- Cracker: Pessoa que invade ou viola sistemas com 
má intenção. 
- Phreaker: É o Cracker especializado em telefonia.
- Script Kiddies: São as pessoas que utilizam 
receitas de bolos para crackear.
 
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
ATAQUES
Ataque: Um ataque à segurança do sistema, 
derivado de uma ameaça inteligente, ou seja, um 
ato inteligente que é uma tentativa deliberada de 
burlar os serviços de segurança e violar a política 
de segurança de um sistema. 
-Passivo: Possuem a natureza de bisbilhotar ou 
monitora transmissões;
- Ativo: Envolvem alguma modificação do fluxo de 
dados ou a criação de um fluxo falso.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
COMO REDUZIR OS RISCOS
- Não abra ou execute imediatamente os arquivos 
anexados às mensagens que você recebe. 
Verifique antes com um antivírus; 
- Os browsers, como qualquer software, possuem 
bugs. Utilize, sempre que possível, a última versão 
do browser com as devidas atualizações;
- Se usar um site provedor de e-mails, o cuidado 
também deve ser grande. Evite clicar em links que 
aparecerem no conteúdo das mensagens. Eles não 
são 100% seguros;
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
COMO REDUZIR OS RISCOS
• Desconfie de mensagens que mostrem muitas 
vantagens no campo “assunto”. Trata-se apenas 
de uma armadilha via e-mail;
• Quando estiver em sites de trocas de mensagens 
instantâneas (bate-papo ou sites de 
relacionamentos, tipo Facebook), evite divulgar 
informações pessoais. Quadrilhas de bandidos 
usam esses sites para fazer amizade com os 
internautas, saber mais de suas vidas e, depois, 
ameaçar ou cometer outros crimes;
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação
COMO REDUZIR OS RISCOS
• Evite baixar programas de sites 
desconhecidos. Muitos sites de peer-to-peer 
(compartilhamentos de programas e arquivos 
de música, filmes etc, como Kazaa e o eMule) 
podem conter programas pirateados com vírus 
e outras ameaças digitais; 
• Evite navegar na Internet em uma estação 
desconhecida. Neste caso, nunca acesse sites 
que contenham informações confidenciais;
• Tenha backup de seus dados.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Prof. Renato GuimarãesProf. Renato Guimarães
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
Conteúdo programático
 O Planejamento de um ataque
 Principais tipos de ataques
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
RECEITA DE UM ATAQUE
Levantamento 
das 
Informações
 1
 Exploração 
das 
Informações
 2
Camuflagem 
das 
Evidências
 5
Obtenção de 
 Acesso
 3
Manutenção do 
 Acesso
 4 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
RECEITA DE UM ATAQUE
Levantamento das informações
 
A fase de reconhecimento é uma fase 
preparatória onde o atacante procura 
coletar o maior número possível de 
informações sobre o “alvo em avaliação” 
antes do lançamento do ataque. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
RECEITA DE UM ATAQUE
Existem duas formas de realizar o 
reconhecimento: ativo e passivo.
- O reconhecimento passivo envolve a 
aquisição de informação sem interação 
direta com o “alvo”.
- O reconhecimento ativo envolve interação 
direta com o alvo através de algum meio, 
como por exemplo, contato telefônico por 
meio do help desk ou departamento 
técnico.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
RECEITA DE UM ATAQUE
Exploração das informações 
(scanning)
 
Fase onde o atacante explora a rede baseado 
nas informações obtidas na fase de 
reconhecimento. Esta fase apresenta um alto 
risco para os negócios de uma empresas, pois 
além de ser considerado uma fase de pré-
ataque envolve a utilização de diferentes 
técnicas e softwares, como por exemplo, a 
utilização de port scan, scanner de 
vulnerabilidade e network mapping. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
RECEITA DE UM ATAQUE
Obtenção do acesso
Esta fase consiste na penetração do sistema 
propriamente dita. Nesta fase são exploradas as 
vulnerabilidades encontradas no sistema. Isto pode 
ocorrer através da internet, da rede local, fraude 
ou roubo. Os fatores que irão influenciar nos 
métodos utilizados pelo atacante serão: a 
arquitetura e configuração do “alvo” escolhido, o 
grau de conhecimento do atacante e o nível de 
acesso obtido. 
Nesta fase o atacante poderá obter acesso a nível 
de: sistema operacional, aplicação e rede. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
RECEITA DE UM ATAQUE
Manutenção do acesso
  
Nesta fase o atacante tenta manter seu 
próprio domínio sobre o sistema. Poderá 
também protegê-lo de outros atacantes 
através da utilização de “acessos exclusivos” 
obtidos através de rootkits, backdoors ou 
trojans. Poderá ainda fazer upload, download 
e manipulação dos dados, aplicações e 
configurações da máquina atacada. Nesta 
fase o sistema atacado poderá ficar 
comprometido.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
RECEITA DE UM ATAQUE
Camuflagem das evidências
 
Esta fase consiste na atividade realizada 
pelo atacante de tentar camuflar seus atos 
não autorizadoscom o objetivo de 
prolongar sua permanência na máquina 
hospedeira, na utilização indevida dos 
recursos computacionais.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
CLASSIFICAÇÃO DE ATAQUES
- Ataques para obtenção de 
informações
- Ataques ao Sistema operacional 
- Ataques à aplicação
- Ataques de códigos pré-
fabricados 
- Ataques de configuração mal 
feita.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
CLASSIFICAÇÃO DE ATAQUES
Ataques para obtenção de 
informações
Neste tipo de ataque é possível obter 
informações sobre um endereço específico, 
sobre o sistema operacional, a arquitetura 
do sistema e os serviços que estão sendo 
executados em cada computador.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
CLASSIFICAÇÃO DE ATAQUES
Ataques a Sistemas 
Operacionais
 
Os sistemas operacionais atuais apresentam 
uma natureza muito complexa devido a 
implementação de vários serviços, portas 
abertas por padrão, além de diversos 
programas instalados. Muitas vezes a 
aplicação de patches não é tarefa tão trivial 
devido a essa complexidade seja dos sistemas 
ou da própria redes de computadores ou ainda 
pela falta de conhecimento e perfil do 
profissional de TI.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
CLASSIFICAÇÃO DE ATAQUES
Ataques à aplicação
 
Na maioria das vezes para conseguir entregar os 
produtos no prazo acordado, os desenvolvedores 
de software tem um tempo de desenvolvimento do 
produto muito curto. Apesar de muitas 
organizações utilizarem metodologias baseadas na 
engenharia de software, as aplicações muitas 
vezes são desenvolvidas com um grande número 
de funcionalidades e recursos e seja para cumprir 
prazos ou por falta de profissionais qualificados, 
não realizam testes antes de liberar seus 
produtos.  
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
CLASSIFICAÇÃO DE ATAQUES
Ataques de códigos pré-
fabricados
  
Por que reinventar a roda se existem uma série de 
exemplos de códigos já prontos para serem 
executados? Quando um administrador de 
sistemas instala um sistema operacional ou uma 
aplicação, normalmente já existem uma série de 
scripts prontos, que acompanham a instalação e 
que tornam o trabalho dos administradores mais 
fácil e mais ágil. Normalmente o problema na 
utilização destes script, é que não passaram por 
um processo de refinamento e customização 
quanto as reais necessidades de cada 
administrador.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
CLASSIFICAÇÃO DE ATAQUES
Ataques de configuração mal 
feita
Muitos sistemas que deveriam estar fortemente 
seguros, apresentam vulnerabilidades pois não 
foram configurados corretamente. Com a 
complexidade dos sistemas atuais os 
administradores podem não ter os conhecimentos 
e recursos necessários para corrigir ou perceber 
um problema de segurança. Normalmente para 
agilizar e simplificar o trabalho, os administradores 
criam configurações simples. Para aumentar a 
probabilidade de configurar um sistema 
corretamente os administradores devem remover 
qualquer serviço ou software que não sejam 
requeridos pelo sistema operacional. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
PRINCIPAIS TIPOS DE ATAQUE
Engenharia Social 
Método de ataque, onde alguém faz uso da 
persuasão, muitas vezes abusando da ingenuidade 
ou confiança do usuário, para obter informações 
que podem ser utilizadas para ter acesso não 
autorizado a computadores ou informações. É um 
dos meios mais utilizados de obtenção de 
informações sigilosas e importantes.
Para atingir seu objetivo o atacante pode se passar 
por outra pessoa, assumir outra personalidade, 
fingir que é um profissional de determinada área, 
etc. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
PRINCIPAIS TIPOS DE ATAQUE
Phishing Scam
 
É um método de ataque que se dá através do envio 
de mensagem não solicitada (spam) com o intuito 
de induzir o acesso a páginas fraudulentas, 
projetadas para furtar dados pessoais e financeiros 
da vítima ou ainda o preenchimento de formulários 
e envio de dados pessoais e financeiros. 
Normalmente as mensagens enviadas se passam 
por comunicação de uma instituição conhecida, 
como um banco, empresa ou site popular.  
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
PRINCIPAIS TIPOS DE ATAQUE
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
PRINCIPAIS TIPOS DE ATAQUE
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
PRINCIPAIS TIPOS DE ATAQUE
Ataque de Negação de Serviço 
(DOS)
Um ataque de negação de serviço (também 
conhecido como DoS é uma tentativa em tornar os 
recursos de um sistema indisponíveis para seus 
utilizadores. 
 Normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas 
hospedades nestes servidores indisponíveis. Neste 
tipo de ataque não ocorre uma invasão no sistema 
mas a sua invalidação por sobrecarga. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
PRINCIPAIS TIPOS DE ATAQUE
Ataques Coordenados (DDOS)
Semelhante ao ataque DOS, porém ocorre 
de forma distribuída. Neste tipo de ataque 
distribuído de negação de serviço, também 
conhecido como DDoS, um computador 
mestre (denominado "Master") pode ter sob 
seu comando até milhares de computadores 
("Zombies" - zumbis) que terão a tarefa de 
ataque de negação de serviço. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
PRINCIPAIS TIPOS DE ATAQUE
SQL Injection
 
É um tipo de ameaça que se aproveita de 
falhas em sistemas que interagem com 
bases de dados através da utilização de 
SQL. A injeção de SQL ocorre quando o 
atacante consegue inserir uma série de 
instruções SQL dentro de uma consulta 
(query) através da manipulação das 
entrada de dados de uma aplicação.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
PIRÂMIDE DAS AMEAÇAS
Ultra agressivas Centenas
Agressivas Milhares
Moderadas Dezenas de 
Milhares
Scripts ou 
Usuários de
Browsers
Milhões
Sofisticação Ocorrências
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 5: Ataques à segurançaAula 5: Ataques à segurança
EQUAÇÃO DA SEGURANÇA NO 
DESENVOLVIMENTO
Segurança
Produtividade
Prazo Custo
= =
Funcionalidade
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Prof. Renato GuimarãesProf. Renato Guimarães
Aula 6: Gestão de Riscos em Segurança da Aula 6: Gestão de Riscos em Segurança da 
InformaçãoInformação
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
Conteúdo programático
- O estabelecimento do contexto e as 
etapas da gestão do risco;
- Análise e avaliação do risco;
- Tratamento, aceitação e comunicação 
do risco;
- Monitoramento e revisão dos riscos.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
O QUE É RISCO?
Probabilidade de uma ameaça explorar uma 
(ou várias) vulnerabilidades causando 
prejuízos. Os riscos estão sempre associados 
à ocorrência de algum incidente. Sua escala é 
dada por dois fatores:
Probabilidade de ocorrência da ameaça 
medida através da combinação da suafrequência com a avaliação das 
vulnerabilidades;
Consequências trazidas pela ocorrência do 
incidente (impacto).
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
RISCO E IMPACTO
Assalto à casa:
a) Rico da cidade
“Na cidade, acontecem muitos assaltos. Porém, se 
minha casa for assaltada, mando comprar tudo de 
novo. Neste caso, mesmo havendo risco alto, o 
impacto é baixo.”. 
b) Pobre da cidade
“Na cidade, acontecem muitos assaltos. Se minha 
casa for assaltada, vai ser muito difícil comprar tudo 
de novo. Neste caso, o risco e o impacto são altos.”.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
RISCO E IMPACTO
Assalto à casa:
c) Rico do interior
“Na minha cidadezinha não acontecem assaltos. Se 
mesmo assim minha casa for assaltada, mando 
comprar tudo de novo. Neste caso, tanto o risco 
quanto o impacto são baixos.”
 
d) Pobre do interior
“Na minha cidadezinha não ocorrem assaltos. Mas, 
se minha casa fosse assaltada, seria muito difícil 
comprar tudo de novo. Neste caso, o risco é baixo, 
porém o impacto é alto.”
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
IMPACTO NOS NEGÓCIOS
• Impactos financeiros:
- Perdas de receitas / vendas / juros / 
descontos;
- Pagamento de multas contratuais;
- Cancelamento de ordens de vendas por 
atraso;
- Indisponibilidade de fundos;
- Despesas extraordinárias com serviços 
externos, funcionários temporários, 
compras de emergência, etc. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
IMPACTO NOS NEGÓCIOS
• Impactos operacionais:
- Interrupção dos negócios;
- Perda da capacidade de atendimento a clientes 
externos e internos (i.e. alta gerência);
- Problemas de imagem;
- Problemas de perda de confiança (de clientes, de 
entidades reguladoras, etc.).
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
GESTÃO DO RISCO
• Principais benefícios em sua 
utilização: 
 
- Entender os riscos associados com o 
negócio e a gestão da informação;
- Melhorar a efetividade das decisões para 
controlar riscos nos processos internos e 
externos e suas interações;
- Melhorar a eficácia no controle de riscos;
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
GESTÃO DO RISCO
• Principais benefícios em sua 
utilização: 
 
- Manter a reputação e imagem da 
organização.
- Melhorar a eficácia do cumprimento com os 
requisitos legais e regulatórios
- Minimizar as possibilidades de furto de 
informação e maximizar a proteção de 
dados.
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
ETAPAS DA GESTÃO DO RISCO
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
ANÁLISE E AVALIAÇÃO DOS RISCOS
Cobre todo o processo de 
identificação das ameaças e 
estimativa de risco:  
- Método quantitativo:
A métrica é feita através de uma metodologia na 
qual tentamos quantificar em termos numéricos os 
componentes associados ao risco.O risco é 
representando em termos de possíveis perdas 
financeiras.
Os métodos quantitativos costuma ser vistos com 
cautela pelos estudiosos devido à dificuldade de 
obtenção de resultados representativos e pela sua 
complexidade.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
ANÁLISE E AVALIAÇÃO DOS RISCOS
- Método qualitativo:
Em vez de usarmos valores numéricos para 
estimar os componentes do risco, 
trabalhamos com menções mais subjetivas 
como alto, médio e baixo. O que torna o 
processo mais rápido. Os resultados 
dependem muito do conhecimento do 
profissional que atribuiu notas aos 
componentes do risco que foram 
levantados. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
TRATAMENTO DOS RISCOS
- Medidas preventivas:
Controles que reduzem a probabilidade de 
uma ameaça se concretizar ou diminuem o 
grau de vulnerabilidade do 
ambiente/ativo;sistema, reduzindo assim a 
probabilidade de um ataque e/ou sua 
capacidade de gerar efeitos adversos na 
organização. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
TRATAMENTO DOS RISCOS
- Medidas corretivas ou reativas:
Reduzem o impacto de um 
ataque/incidente. São medidas tomadas 
durante ou após a ocorrência do evento.
- Métodos detectivos:
Expõem ataques/incidentes e disparam 
medidas reativas, tentando evitar a 
concretização do dano, reduzi-lo ou impedir 
que se repita. 
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
ACEITAÇÃO DOS RISCOS
Ocorre quando o custo de proteção 
contra um determinado risco não vale 
a pena. Aceitar um risco é uma das 
maneiras de tratá-lo.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
COMUNICAÇÃO DOS RISCOS
Divulgação de informações sobre os riscos 
que foram identificados, tenham eles sido 
tratados ou não, a todas as partes 
envolvidas que precisem ter conhecimento 
a respeito deles. Uma das melhores formas 
de se comunicar os riscos de maneira 
genérica, com o intuito de notificar os 
colaboradores a respeito deles, é 
desenvolver e manter campanha de 
conscientização de segurança.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
MONITORAÇÃO DOS RISCOS
A gestão do risco precisa ser desenvolvida de 
forma permanente e interativa, para que 
mudanças nos sistemas e na forma como são 
uados, no perfil dos usuários, no ambiente, na 
tecnologia, nas ameaças, nas vulnerabilidades 
e em outras variáveis pertinentes não tornem 
obsoletos os requisitos de segurança 
estabelecidos. Esta etapa consiste na 
verificação contínua, supervisão, observação 
crítica ou determinação da situação visando 
identificar alteração no nível de desempenho 
requerido ou esperado dos riscos.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
BARREIRA DOS RISCOS
- Barreira1: desencorajar
Esta é a primeira das barreiras de 
segurança e cumpre o papel importante de 
desencorajar as ameaças. Estas, por sua 
vez, podem ser desmotivadas ou podem 
perder o interesse e o estímulo pela 
tentativa de quebra de segurança por efeito 
de mecanismos físicos, tecnológicos ou 
humanos. A simples presença de uma 
câmara de vídeo, mesmo falsa, de um aviso 
de existência de alarmes, já são efetivos 
nesta fase.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
BARREIRA DOS RISCOS
- Barreira2: Dificultar
O papel desta barreira é complementar à 
anterior através da adoção efetiva dos 
controles que irão dificultar o acesso 
indevido. Podemos citar os dispositivos de 
autenticação para acesso físico, porexemplo.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
BARREIRA DOS RISCOS
- Barreira 3: Discriminar
 Aqui o importante é se cercar de recursos 
que permitam identificar e gerir os acessos, 
definindo perfis e autorizando permissões. 
Os sistemas são largamente empregados 
para monitorar e estabelecer limites de 
acesso aos serviços de telefonia, perímetros 
físicos, aplicações de computador e banco 
de dados. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
BARREIRA DOS RISCOS
- Barreira 4: Detectar
Esta barreira deve munir a solução de 
segurança de dispositivos que sinalizem , 
alertem e instrumentem os gestores da 
segurança na detecção de situações de 
risco. Seja uma tentativa de invasão ou por 
uma possível contaminação por vírus, por 
exemplo.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
- Barreira 5: Deter
Esta barreira representa o objetivo de 
impedir que a ameaça atinja os ativos que 
suportam o negócio. O acionamento desta 
barreira, ativando seus mecanismos de 
controle, é um sinal de que as barreiras 
anteriores não foram suficientes para conter 
a ação da ameaça. Neste momento, 
medidas de detenção, como ações 
administrativas, punitivas e bloqueio de 
acessos físicos e lógicos, são bons 
exemplos.
BARREIRA DOS RISCOS
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
BARREIRA DOS RISCOS
- Barreira 6: Diagnosticar
Apesar de representar a última barreira no 
diagrama, esta fase tem um sentido especial 
de representar a continuidade do processo de 
gestão de segurança da informação. Cria o 
elo de ligação com a primeira barreira, 
criando um movimento cíclico e contínuo. 
Devido a estes fatores é a barreira de maior 
importância. Deve ser conduzida por 
atividades de análise de risco que consideram 
tanto os aspectos tecnológicos quanto os 
físicos e humanos. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
ANÁLISE DE RISCOS EM 10 LIÇÕES
1 - Determinação do que proteger;
2 - Identificação das vulnerabilidades 
existentes e ameaças potenciais;
3 - Determinação da probabilidade de 
ocorrência;
4 - Cálculo das possíveis perdas;
5 - Avaliação da necessidade de 
proteção;
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação
ANÁLISE DE RISCOS EM 10 LIÇÕES
6 - Documentação do processo de 
análise;
7 - Seleção das medidas de proteção;
8 - Implementação das medidas de 
proteção;
9 - Auditoria dos resultados;
10 - Revisões e atualizações 
periódicas.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Prof. Renato GuimarãesProf. Renato Guimarães
Aula 7: Aula 7: Segurança da Informação segundo a NBR 
ISO 27002
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
Conteúdo programático
- Segurança da Informação 
Segundo a NBR ISO 27002 (antiga 
ISO 17799).
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
O QUE É ISO?
ISO é uma palavra derivada do grego isos (igual), 
que aparece como prefixo em termos tais como: 
isometria (qualidade de medidas e dimensões), 
isonomia (igualdade das pessoas perante à lei). Por 
decorrência, associa-se iso (igual) a "padrão", o 
que levou a uma linha de pensamento que 
redundou na escolha de ISO como identificação 
mundial da International Organization for 
Standardization, para evitar a infinidade de siglas 
resultantes da tradução em diversas línguas dessa 
Organização Não Governamental criada em 1947 e 
sediada em Genebra, na Suíça. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
COMO O BRASIL PARTICIPA DA 
ISO?
• Através da ABNT - Associação Brasileira de 
Normas Técnicas, que é uma sociedade 
privada sem fins lucrativos. a ABNT 
(Associação Brasileira de Normas Técnicas), 
foi fundada em 1940 para fornecer a base 
necessária ao desenvolvimento tecnológico 
brasileiro e é o órgão responsável pela 
normalização técnica no país. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27000
• Esta norma apresenta a descrição, 
vocabulário e correspondência entre a 
família de normas que tratam de um 
Sistema de Gestão de Segurança da 
Informação (SGSI), proporcionando os 
fundamentos sobre os quais toda a família 
está baseada e se integra.
http://www.iso.org/iso/iso_catalogue/catalogu
e_tc/catalogue_detail.htm?
csnumber=41933
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27001
• Esta norma define os requisitos para a 
implementação de um Sistema de Gestão de 
Segurança da Informação (SGSI). Especifica 
os requisitos para estabelecer, implementar, 
operar, monitorar, analisar criticamente, 
manter e melhorar um SGSI documentado 
dentro do contexto dos riscos de negócio 
globais da organização, permitindo que uma 
empresa construa de forma muito rápida 
uma política de segurança baseada em 
controles de segurança eficientes.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
• Esta norma estabelece um referencial para 
as organizações desenvolverem, 
implementarem avaliarem a gestão da 
segurança da informação. Estabelece 
diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão 
de segurança da informação em uma 
organização.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27003
• Esta norma fornece orientação para um 
sistema de gestão de segurança da 
informação com objetivos mais amplos que 
a norma ISO 27001, especificamente no 
que tange à melhoria do desempenho 
global de uma organização e sua eficiência, 
assim como sua eficácia.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27004
• Esta norma define métricas e medições para 
avaliar a eficácia de um SGSI. Fornece 
orientações para elaboração, tabulação e 
acompanhamento de indicadores do sistema 
de gestão de segurança da informação, 
visando o acompanhamento dos objetivos de 
segurança previstos para o sistema de gestão 
por meio da medição da eficácia dos controles 
de segurança implementados e permitindo aos 
gestores avaliar se os controles alcançam de 
forma satisfatória os objetivos de controle 
planejados.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27005
• Fornece diretrizes para o processo de 
gestão de riscos de segurança da 
informação. Contém a descrição do 
processo de gestão de riscos de segurança 
da informação e das suas atividades.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurançada Informação segundo a NBR ISSO 
2700227002
ISO 27006
• Guia para o processo de acreditação de 
entidades certificadoras.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27007
• Orientações para Gestão de Auditoria de 
Sistemas de Segurança da Informação. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
- Política de Segurança da Informação;
- Organizando a Segurança da Informação;
- Gestão de Ativos;
- Segurança em Recursos Humanos;
- Segurança Física e do Ambiente;
- Gestão das Operações e Comunicações;
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
- Controle de Acesso;
- Aquisição, Desenvolvimento e Manutenção de 
Sistemas de Informação;
- Gestão de Incidentes de Segurança da Informação;
- Gestão da Continuidade do Negócio;
- Conformidade;
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
Análise de 
Risco
Requisito 
de 
Negócio
Requisitos 
Legais
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
• Análise de Risco:
 
A partir da análise/avaliação de riscos 
levando-se em conta os objetivos e 
estratégias globais da organização são 
identificadas as ameaças aos ativos e as 
vulnerabilidades. È realizada ainda uma 
estimativa de ocorrência das ameaças e do 
impacto potencial ao negócio.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
• Requisito de Negócio:
Uma outra fonte é o conjunto de princípios, 
objetivos e os requisitos de negócio para o 
processamento da informação que uma 
organização tem que desenvolver para 
apoiar suas operações.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
• Requisitos legais:
Legislação vigente, estatutos, 
regulamentação e cláusulas contratuais 
que a organização, seus parceiros 
comerciais, contratados e provedores de 
serviço tem que atender.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
POLÍTICA DE SEGURANÇA
A norma NBR ISO 27002 provê uma 
orientação de como a organização 
deve proceder para estabelecer a 
política de segurança da informação: 
 
A direção da organização deve 
estabelecer a orientação da política 
alinhada com os objetivos do negócio.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
POLÍTICA DE SEGURANÇA
A norma NBR ISO 27002 provê uma orientação 
de como a organização deve proceder para 
estabelecer a política de segurança da 
informação:  
A direção da organização deve estabelecer a 
orientação da política alinhada com os 
objetivos do negócio.
A direção deve demonstrar seu apoio e 
comprometimento com a segurança da 
informação por meio da publicação e 
manutenção de uma política de segurança da 
informação para toda a organização. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
POLÍTICA DE SEGURANÇA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
Segurança em recursos humanos:
  
A norma NBR ISO 27002 orienta que a 
organização assegurar que funcionários, 
fornecedores e terceiros entendam suas 
responsabilidades e estejam de acordo com 
os seus papéis de forma a reduzir o risco de 
furto ou roubo, fraude ou mau uso dos 
recursos.
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
Segurança física e do ambiente:
A norma NBR ISO 27002 orienta que a 
organização deve prevenir o acesso físico não 
autorizado, danos e interferências com as 
instalações e informações da organização. As 
áreas críticas ou sensíveis deverão ser mantidas 
em áreas seguras, protegidas por perímetros de 
segurança definidos, com barreiras de 
segurança e controles de acesso apropriados de 
forma a não permitir o acesso não autorizado, 
danos ou interferências.
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
UniCERT Brasil
Nível 5
Nível 
4
Nível 3
Nível 2
• Cofres duais, 
classe 5, com duas 
chaves
• Chave Privada 
dividida, uma 
parte em cada 
cofre
Nível 1
Funcionários
• Treinamento 
Contínuo
• Políticas 
Operacionais
• Investigação do 
passado e 
situação 
financeira
Prédio
• Guarda 7x24
• Controle 
Central
• Crachá com 
Foto
• Circuito de 
TV
Estrutura da 
Facilidade
• Controle de Acesso
• Controle de 
Intrusos
• Auto-Suficiência 
em energia
Sala Segura
• Paredes com 
malha metálica
• Controle de acesso 
biométrico
• Circuito fechado 
de TV
• Alarme de 
Movimento
ISO 27002
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
Gerenciamento das operações e 
comunicações:
 
A norma NBR ISO 27002 orienta que a 
organização deve garantir a operação 
segura e correta dos recursos de 
processamento da informação. Para isso 
deverá implementar procedimentos e 
responsabilidades operacionais assim como a 
documentação dos procedimentos de 
operação.
 
ISO 27002
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
Controle de Acesso:
  
A norma NBR ISO 27002 orienta que a 
organização deve controlar o acesso à 
informação, aos recursos de processamento 
de dados e aos processos de negócios com 
base nos requisitos de negócio e na 
segurança da informação levando em 
consideração as políticas para autorização e 
disseminação da informação.
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
Web 
Server
Firewall
Rede 
Corporativ
a
Rotead
or
DNSDMZ
E-Mail
ID
S
Proxy 
Server
SSL
VPN
Antivírus
Antivírus
Certificad
o Digital
ISO 27002
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
Desenvolvimento e Manutenção de 
Sistemas: 
 
A norma NBR ISO 27002 orienta que a organização 
deve garantir que segurança é parte integrante de 
sistemas de informação seja na aquisição, 
desenvolvimento ou manutenção de Sistemas de 
Informação. Desta forma os requisitos de segurança 
devem ser identificados e acordados antes do 
desenvolvimento ou implementação de sistemas de 
informação na fase de definição de requisitos de 
negócios. 
 
ISO 27002
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundoa NBR ISSO 
2700227002
ISO 27002
Gestão de incidentes de segurança 
da informação:
 
A norma NBR ISO 27002 orienta que a 
organização deve assegurar que fragilidades 
e eventos de segurança da informação 
associados aos sistemas de informação 
sejam comunicados, permitindo a tomada de 
ação corretiva em tempo hábil. 
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
Gestão da Continuidade do 
Negócio:
 
A norma NBR ISO 27002 orienta que a 
organização não deve permitir a interrupção 
das atividades do negócio e deve proteger os 
processos críticos contra efeitos de falhas ou 
desastres significativos, e assegurar a sua 
retomada em tempo hábil, se for o caso.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ISO 27002
Conformidade:
 A norma NBR ISO 27002 orienta que a 
organização deve evitar violação de qualquer 
lei criminal ou civil, estatutos, 
regulamentações ou obrigações contratuais e 
de quaisquer requisitos de segurança da 
informação. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 
2700227002
ETAPAS DE UMA POLÍTICA
- Análise de Riscos
- Plano de Continuidade dos Negócios
- Implementação de segurança:
 Segurança Administrativa
 Segurança Física
 Segurança Lógica
 Segurança de Aplicação
- Conscientização e Treinamento
- Gerenciamento de Problemas, Mudanças, 
Configuração...
- Revisão e Auditoria
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Prof. Renato GuimarãesProf. Renato Guimarães
Aula 8: Aula 8: Segurança da Informação segundo a NBR 
ISO 27001
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
Conteúdo programático
- Gestão de Segurança da 
Informação Segundo a NBR ISO/IEC 
27001 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
IMPORTANTE
Diferentemente da norma NBR ISO 27002 
que estabelece as melhores práticas em 
segurança da informação, a norma NBR ISO 
27001 tem como objetivo especificar os 
requisitos necessários para o 
estabelecimento, implementação, 
operação, monitoração, análise crítica, 
manutenção e melhoria de um Sistema de 
Gestão de Segurança da Informação (SGSI) 
dentro do contexto dos riscos de negócio 
da organização. 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
GESTÃO DO SGSI
A norma ISO 27001:2005 adota uma 
abordagem de processo para o 
estabelecimento e relacionamento com o 
SGSI, ou seja, a aplicação de um sistema 
de processos, a identificação e iterações 
destes processos, e a sua gestão e utiliza 
como modelo o Plan-Do-Check-Act (PDCA), 
aplicado para estruturar todos os processos 
do SGSI.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
GESTÃO DO SGSI
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
ISO 27001
• A abordagem de processo utilizada 
nesta norma fará com que a 
organização enfatize a importância de:
- Entendimento dos requisitos de segurança da 
informação e a necessidade de estabelecer uma 
política e objetivos para a segurança da 
informação.
- Implementação e operação de controles para 
gerenciar os riscos de segurança da informação no 
contexto dos risco globais da organização.
- Monitoração e análise crítica do desempenho da 
eficácia do SGSI.
- Melhoria continua baseada em medições 
objetivas.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
ISO 27001
• Independente do tamanho, da 
natureza e do tipo da 
organização, os requisitos 
definidos pela norma são 
genéricos e podem ser aplicados 
a todas as organizações.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
ISO 27001
• Caso a organização queira estar em 
conformidade com a norma os itens, 
deverá implementar os seguintes itens 
obrigatórios:
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
PDCA
• Plan (estabelecer o SGSI): Para 
estabelecer o SGSI a organização deve 
definir:
- O escopo do SGSI alinhado com as características de 
negócio, da organização, sua localização, ativos e 
tecnologia;
- A política do SGSI;
- A abordagem de análise/avaliação de risco da 
organização;
- Identificar os riscos;
- Analisar e avaliar os riscos;
- Identificar e avaliar as opções para o tratamento de 
riscos;
- Selecionar objetivos de controle e controles para o 
tratamento de riscos;
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
- Obter aprovação da direção dos riscos residuais 
propostos;
- Obter autorização da direção para implementar e 
operar o SGSI;
- Preparar uma declaração de Aplicabilidade;
(Declaração de Aplicabilidade): Documento exigido 
pela NBR ISO 27001 no qual a empresa tem que 
relacionar quais controles são aplicáveis e 
justificar os que não são aplicáveis ao seu SGSI. 
(Controles): São pontos específicos que definem o 
que deve ser feito para assegurar aquele item.
PDCA
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
PDCA
• Do(Implementar e operar o SGSI): 
- Nesta fase a organização deve implementar e 
operar a política, controles, processos e 
procedimentos do SGSI, buscando não burocratizar 
o funcionamento das áreas . Deve formular e 
implementar um plano de tratamento de riscos 
para identificar a ação de gestão apropriada, 
implementar um plano de conscientização e 
treinamento e gerenciar as ações e os recursos do 
SGSI.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
PDCA
• Check (monitorar e analisar criticamente o 
SGSI): 
- A organização deve implementar procedimentos de 
monitoração e análise crítica para detectar erros nos 
resultados de processamento, identificar as tentativas 
e violações de segurança bem-sucedida, e os incidente 
de segurança da informação. 
- Os procedimentos de análise críticas da eficácia do 
SGSI, devem levar em consideração os resultados das 
auditorias de segurança, dos incidentes de segurança, 
dos resultados das medições e sugestões. Deve ser 
realizado também a análise crítica das 
análises/avaliações de risco a intervalos regulares e 
ainda realizadas auditorias regularmente. Em função 
dos resultados das atividades de monitoramento e 
análise crítica os planos de segurança devem ser 
atualizados.
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 
2700127001
• Act (Manter e melhorar o SGSI): 
- A organização deve implementar as melhorias 
identificadas no SGSI. Deve ainda executar as 
ações preventivas e corretivas