Resumo Gestão de Segurança da Informação - Anotações Aulas

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (CCT0185/2252333) 9001 
 
Aula 1: Introdução à Segurança da Informação 
 
O ambiente corporativo e a necessidade de segurança: Apoio às Operações e aos processos, Apoio à 
tomada de decisão empresarial, Apoio às Estratégias para vantagem competitiva. 
- Dado: é qualquer elemento identificado em sua forma bruta e que por si só não conduz a uma 
compreensão de determinado fato ou situação. 
- Informação: é o dado trabalhado, que permite ao executivo tomar decisões. É a matéria-prima para o 
processo administrativo da tomada de decisão. - Informação Pública: informação que pode vir ao público 
sem quaisquer consequências prejudiciais a empresa; - Informação Interna: informação que deveria ter o 
livre acesso evitado, porém não haverá consequências danosas provenientes do acesso não autorizado; - 
Informação Confidencial: informação que é restrita aos limites da empresa e se divulgada livremente 
acarretará eventuais perdas financeiras ou de confiabilidade; - Informação Secreta: informação muito 
crítica para as atividades da empresa e cujo acesso deve ser restrito. Além disto, a segurança é crucial 
para a empresa. 
- Conhecimento: Laudon 1999: É o conjunto de ferramentas conceituais e categorias usadas pelos seres 
humanos para criar, colecionar, armazenar e compartilhar a informação. Chiavenato 2004: É um conjunto 
organizado e estruturado de informações a respeito do mundo; Requer intervenção humana e inteligente; 
Proporciona comparações. DADO – INFORMAÇÃO – CONHECIMENTO. 
- Tecnologia: Técnicas, processos, métodos, meios e instrumentos de um ou mais ofícios ou domínios da 
atividade humana (Ex.: indústria, ciência etc.). 
- Sistema: Qualquer conjunto natural constituído de partes e elementos interdependentes; inter-relação 
das partes, elementos ou unidades que fazem funcionar uma estrutura organizada. 
- Segurança: É estar livre de perigos e incertezas; É um estado ou condição que se aplica a tudo aquilo 
que tem valor para a organização que é chamado de ativo. 
- Ativos Tangível: Informações impressas ou digitais (Sistemas, Móveis, Pessoas, etc.) 
- Ativos Intangível: Marca de um produto, imagem de uma empresa, confiabilidade de um banco, 
Qualidade do Serviço, etc. 
- Proteção: São medidas que visam livrar os ativos de situações que possam trazer prejuízo. Elas podem 
ser: Físicas, Lógicas, Administrativas. Podemos classificar as proteções de acordo com a sua ação e o 
momento na qual ela ocorre. E podem ser: Preventivas, Desencorajamento, Monitoramento, Detecção, 
Limitação, Reação, Correção, Recuperação. 
- Segurança da Informação: Visa à proteção de ativos de uma empresa que contêm informações. 
- Ativos de Informação: São aqueles que produzem, processam, transmitem ou armazenam informações. 
Cada empresa ao tratar segurança da informação e independência de sai área de negócio e dos objetivos 
de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais de segurança 
conhecido como a Tríade CID, ou em inglês AIC ou CIA (Availability, Integrity, Confidentiality) 
Confiabilidade, Integridade e Disponibilidade. 
 
Fatores que impactam na segurança de uma organização: Valor, Ameaça, Vulnerabilidade, Impacto, 
Risco. Podemos concluir que um Problema de segurança é: A perda de qualquer aspecto de segurança 
importante para minha organização. E pode ser de diferentes tipos: Desastres Naturais, Operação 
Incorreta, Ataque ao Sistema. 
A NBR ISO/IEC 27002 estabelece as diretrizes e os princípios gerais para iniciar, implementar, manter e 
melhorar a gestão de segurança da informação em uma organização. 
 
Saiba mais 
Site com notícias sobre segurança: http://www.seginfo.com.br 
Site do centro de estudo, respostas e incidentes de segurança no Brasil: http://www.cert.br 
 
Aula 2: O Ciclo de Vida da Informação 
 
Dado: É a coleta de matéria prima bruta, dispersa dos documentos. 
Informação: É o tratamento do dado, transformando em informação. Pressupõe uma estrutura de dados 
organizada e formal. 
Conhecimento: É o conteúdo informacional contido nos documentos, nas várias fontes de informação e na 
bagagem pessoal de cada indivíduo. 
Inteligência: É combinação destes três elementos resultante do processo de análise e validação por 
especialista. É a informação com valor agregado. 
 
 
 
Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo 
gerada e utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis 
hierárquicos, além de perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros. 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. 
Apresentamos a seguir quatro tipos possíveis de valor da informação: - Valor de uso: baseia-se na 
utilização final que se fará com a informação; - Valor de troca: é o quanto o usuário está disposto a 
pagar, conforme as leis de mercado (oferta e demanda); - Valor de propriedade: reflete o custo 
substituído de um bem; - Valor de restrição: surge no caso de informação secreta ou de interesse 
comercial, quando o uso fica restrito a apenas algumas pessoas. 
O ciclo de vida da informação é composto e identificado pelos momentos vividos pela informação que a 
colocam em risco: Armazenamento, Transporte, Descarte, Manuseio. Quando devemos proteger a 
informação? Devemos proteger a informação durante todo este ciclo de vida. Onde proteger as 
informações? Nos ativos que as custodiam: Físicos, Tecnológicos, Humanos. 
 
A gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão dos 
negócios. Sendo essencial a utilização do Gerenciamento do ciclo de vida da informação, de forma a 
operacionalizar a informação e os dados, organizar em meios físicos e com registros, categorizando-os 
para garantir a segurança e privacidade. (ILM - Information Lifecycle Management). - Informação sem 
Interesse (Lixo): é considerada uma parcela negativa inversamente proporcional a sua quantidade; - 
Informação Potencial (Vantagem Competitiva): é dirigida principalmente para a direção da organização, 
apontando possíveis vantagens a serem conquistadas; - Informação Mínima (Gestão): é destinada aos 
gerentes de nível intermediário para a realização de atividades de gestão organizacional; - Informação 
Critica (Sobrevivência): destina-se a sobrevivência da organização para atender prioritariamente as áreas 
operacionais. 
 
Classificação da Informação: O processo de classificação da informação consiste em identificar quais são 
os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, 
além de determinar os controles de proteção a cada uma delas. Cinco Pilares: - Confidencialidade: a 
informação só é acessada pelos indivíduos autorizados; - Integridade: a informação é atual, completa e 
mantida por pessoas autorizadas; - Disponibilidade: a informação está sempre disponível quando 
necessária às pessoas autorizadas; - Não repúdio: assegura que nem o emissor nem o receptor de uma 
informação possam negar o fato; - Autenticidade: informação é proveniente da fonte anunciada. 
- Irrestrito: Esta informação é pública, podendo ser utilizada por todos sem causar danos a organização. 
- Interna: Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por 
parte de indivíduos externos a ela deve ser evitado. 
- Confidencial: Informação interna da organização cuja divulgação pode causar danos financeiros ou a 
imagem da organização. Esta divulgação pode gerar vantagens a concorrentes e perda de clientes. 
- Secreta: Informação interna, restrita a um grupo seleto dentro da organização. Suaintegridade deve ser 
preservada a qualquer custo e o acesso limitado e seguro. Esta é a informação vital para a companhia. 
 
OBS: onde devemos proteger as informações? R: Nos Ativos 
 
Aula 3: Vulnerabilidade de Segurança 
 
- Vulnerabilidade: é a fragilidade presente ou associada a ativos que manipulam ou processam 
informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, 
afetando negativamente um ou mais princípios de segurança da informação, ou seja, a: Disponibilidade, 
Integridade, Confidencialidade. (Agentes ameaçadores - Exploram - vulnerabilidades - Possibilitam - 
incidente de segurança – Afetam - Negócios - Impactam - Clientes e produtos) 
- As vulnerabilidades podem ser: - Físicas: são aqueles presentes nos ambientes em que estão sendo 
armazenadas ou gerenciadas as informações. Ao serem explorados por ameaças afetam principalmente a 
disponibilidade. Ex.: Instalações prediais fora do padrão, Salas de CPD mal planejadas, Falta de extintores 
e detectores de fumaça, Risco de explosões, vazamentos ou incêndios. - Naturais: são aqueles 
relacionados ás condições da natureza que podem colocar em risco as informações. A probabilidade de 
estar expostos às ameaças naturais é fundamental na escolha e na preparação de um ambiente. Ex.: 
Incêndios, Enchentes, Terremotos, Tempestade, Falta de energia. - Hardware: são os possíveis defeitos 
de fabricação ou configuração dos equipamentos das empresas que podem permitir o ataque ou alteração 
dos mesmos. Ex.: A ausência de atualizações de acordo com as orientações dos fabricantes dos 
programas utilizados, A conservação inadequada dos equipamentos, Erros durante a instalação. - 
Software: podem ser classificados como vulnerabilidade de aplicativos ou de sistema operacional. Neste 
caso os pontos fracos ocorrem quando os mesmos permitem acessos indevidos aos sistemas de 
 
 
computador, inclusive sem o conhecimento de um usuário ou administrador de rede. Ex.: A configuração 
e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso 
abusivo dos recursos por parte de usuários mal intencionados, Erros na instalação ou na configuração. – 
Mídias: são as formas de utilização inadequadas dos dispositivos de armazenamento das informações que 
que podem deixar seu conteúdo vulnerável a uma série de fatores que podem afetar a integridade, a 
disponibilidade e a confidencialidade das informações. Ex.: Uso incorreto das mídias de armazenamento, 
Disco, fitas, relatórios e impressos podem ser extraviados, Local de armazenamento, Defeito de 
fabricação. – Comunicação: abrange todo o tráfego de informações, onde quer que transitem, seja por 
cabo, satélite, fibra óptica ou ondas de rádio. Abrange qualquer falha na comunicação que faça com que 
uma informação fique indisponível para seus usuários, ou pelo contrário, fique disponível para quem não 
possua diretos de acesso. – Humanas: relaciona-se aos danos que as pessoas podem causar as 
informações e ao ambiente tecnológico que lhes oferece suporte, podendo ser intencional ou não e interna 
ou externa. Ex.: Falta de treinamento, Compartilhamento de informações confidenciais, Não execução de 
rotinas de segurança, Ameaça de bomba. 
 
- Análise de Vulnerabilidade: tem por objetivo verificar a existência de falhas de segurança no ambiente 
de TI das empresas. Esta análise é uma ferramenta importante para a implementação de controles de 
segurança eficientes sobre os ativos de informação das empresas. A análise de vulnerabilidade permite 
que os profissionais de segurança e TI da empresa possam ter maior conhecimento do ambiente de TI e 
seus problemas, assim como a possibilidade de tratamento das vulnerabilidades, com base nas 
informações geradas. Esta análise compreende todos os ativos da informação da empresa que abrange: 
Tecnologias; Ambiente; Processos; Pessoas. Podemos classificar em diferentes tipos: Bugs específicos dos 
sistemas operacionais/ aplicativos; Fraqueza nas implementações de segurança dos sistemas 
operacionais/aplicativos; Falhas nos softwares dos equipamentos de comunicações; Fraquezas nas 
implementações de segurança dos equipamentos de comunicação; Fraqueza de segurança/falhas nos 
servidores; Falhas nas implementações de segurança dos recursos de rede. Exemplos de software de 
análise: Nmap: um software livre que realiza coleta de informações sobre as portas do protocolo TCP/IP; 
Nessus: um programa de verificação de falhas/vulnerabilidades de segurança, sendo composto por cliente 
e servidor; Languard: registra os eventos e pesquisa vulnerabilidades de segurança em uma rede. 
- Pesquisa de Vulnerabilidade: Significa descobrir as falhas e deficiências em um produto ou aplicação que 
podem comprometer a segurança. 
- Exploit: é um programa de computador, uma porção de dados ou uma sequência de comandos que se 
aproveita das vulnerabilidades de um sistema computacional. São geralmente elaborados por hackers 
como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por 
crackers a fim de ganhar acesso não autorizado a sistemas. 
 
Saiba mais 
http://www.microsoft.com/brasil/security/default.mspx 
http://www.microsoft.com/brasil/security/msrc/managing_vulnerabilities.mspx#EWB 
 
Aula 4: Ameaças aos Sistemas de Informação 
 
Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos 
motivados não só pela difusão da Internet, O aumento do número de vulnerabilidades nos sistemas 
existentes, como, por exemplo, as brechas de segurança nos sistemas operacionais utilizados em 
servidores e estações de trabalho. 
- Ameaça: Segundo a definição da RFC 2828, é um potencial pra violação da segurança quando há uma 
circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma 
ameaça é um possível perigo que pode explorar uma vulnerabilidade. Segundo Marcos Sêmola, as 
ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus 
ativos por meio da exploração de vulnerabilidades, provocando perdas de: Confidencialidade, Integridade, 
Disponibilidade, causando impacto ao negócio. Quando classificadas quanto a sua intencionalidade as 
ameaças podem ser: Naturais, Involuntárias, Voluntárias. Quanto a sua origem: Interna, Externa, Ela 
pode ser interna, pois nem sempre o principal “inimigo” está fora da nossa empresa, como um hacker ou 
um cracker, mas sim dentro dela, como um funcionário mal intencionado ou muito insatisfeito, que 
geralmente possui livre acesso aos recursos disponíveis e que podem comprometer a integridade e a 
privacidade de informações estratégicas da empresa. - Natural (enchentes, terremotos, tornados, 
deslizamento de terra, tempestades de raios, etc.); - Humana (atos dolosos, negligentes, imperitos ou 
imprudentes de uso de programas maliciosos, de acesso a dados sigilosos, de mau uso dos sistemas, 
etc.). - Ambiental (falta de energia, poluição, substâncias químicas, etc.). 
 
 
- Ataque Passivo: Possuem a natureza de bisbilhotar ou monitora transmissões. O objetivo dos ataques é 
obter informações que estão sendo transmitidas. - Ataque Ativo: Envolvem alguma modificação do fluxo 
de dados ou a criação de um fluxo falso, e podem ser subdivididos em quatro categorias: Disfarce, 
Modificação de mensagem, Repetição e negação de serviço. 
- Malware: é proveniente do inglês malicious software, é um software destinado a se infiltrar em um 
sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de 
informações (confidenciais ou não). Vírus de computador, worms, trojan horses (cavalos de troia), 
backdoors, keyloggers, bots, rootkits e spywaressão considerados malware. Também pode ser 
considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute 
funções que se enquadrem na definição supra citada. 
- Vírus: é um programa ou parte de um programa de computador, normalmente malicioso, que se 
propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e 
arquivos de um computador. Para se tornar ativo e dar continuidade no processo de infecção, o vírus 
depende da execução do programa ou arquivo hospedeiro. Normalmente o vírus tem controle total sobre 
o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário”, até alterar ou 
destruir programas e arquivos do disco. Como uma máquina pode ser infectada? É preciso que um 
programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como: abrir 
arquivos anexados aos e-mails; Abrir arquivos do Word, Excel, etc; Abrir arquivos armazenados em 
outros computadores, através do compartilhamento de recursos; Instalar programas de procedência 
duvidosa ou desconhecida, obtidos pela Internet, de disquetes, pen drives, CDs, DVDs, etc; Ter alguma 
mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado. 
- Worms: Programa capaz de se propagar automaticamente através de redes, enviando cópias de si 
mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em 
outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua 
propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de 
softwares instalados em computadores. Geralmente o worm não tem como consequência mesmos danos 
gerados por um vírus, mas são notadamente responsáveis por consumir muitos recursos. Degradam 
sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande 
quantidade de cópias de si mesmo que costumam propagar. 
- Cavalo de Tróia: São programas que parecem úteis mas tem código destrutivo embutido. Além de 
executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e 
sem o conhecimento do usuário. Normalmente é um programa, normalmente recebido como um 
“presente”, que além de executar funções para as quais foi aparentemente projetado, também executa 
outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções 
maliciosas que podem ser executadas por um cavalo de tróia: instalação keyloggers ou screenloggers; 
furto de senhas e outras informações sensíveis, como números de cartões de crédito; inclusão de 
backdoors, para permitir que um atacante tenha total controle sobre o computador; alteração ou 
destruição de arquivos. 
- Adware (Advertising software): É um tipo de software especificamente projetado para apresentar 
propagandas, seja através de um browser, seja através de algum outro programa instalado em um 
computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo 
uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre 
ou prestam serviços gratuitos. 
- Spyware: Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de 
monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Existem adwares 
que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do 
usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas. Listamos 
abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou 
malicioso: Monitoramento de URLs acessadas enquanto o usuário navega na Internet; Alteração da página 
inicial apresentada no browser do usuário; Varredura dos arquivos armazenados no disco rígido do 
computador; Monitoramento e captura de informações inseridas em outros programas, como 
processadores de texto; Instalação de outros programas spyware; Monitoramento de teclas digitadas pelo 
usuário ou regiões da tela próximas ao clique do mouse; Captura de senhas bancárias e números de 
cartões de crédito; Captura de outras senhas usadas em sites de comércio eletrônico. 
- Blackdoors: Nome dado a programas que permitem o retorno de um invasor a um computador 
comprometido utilizando serviços criados ou modificados para este fim sem precisar recorrer aos métodos 
utilizados na invasão. Na maioria dos casos, é intenção do atacante poder retornar ao computador 
comprometido sem ser notado. 
 
 
- Keyloggers: Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um 
computador. As informações capturadas podem ser desde o texto de um e-mail, até informações mais 
sensíveis, como senhas bancárias e números de cartões de crédito. Sua ativação está condicionada a uma 
ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das 
informações capturadas para terceiros (Ex.: através de e-mails). A contaminação por Keylogger, 
geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os Trojans. 
- Screenloggers: Formas mais avançadas de keyloggers que além de serem capazes de armazenar a 
posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, também 
são capazes de armazenar a região que circunda a posição onde o mouse é clicado. 
- Rootkits: Conjunto de programas que fornecem mecanismos para esconder e assegurar a presença de 
um invasor. O nome rootkit não indica que o conjunto de ferramentas que o compõem são usadas para 
obter acesso privilegiado (root ou Adm) em um computador, mas sim para mantê-lo. Significa que o 
invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem 
precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão 
escondidas do responsável e/ou dos usuários do computador. 
- Bots e Botnets: Uma botnet é uma coleção de agentes de software ou bots que executam 
autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, 
mas também pode se referir a uma rede de computadores utilizando software de computação distribuída. 
- Phishing: termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude eletrônica, 
caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como 
número de cartões de crédito e outros dados pessoais. O ato consiste em um fraudador se fazer passar 
por uma pessoa ou empresa confiável enviando uma comunicação eletrônica oficial. Isto ocorre de várias 
maneiras, principalmente por e-mail, mensagem instantânea, SMS, entre outros. 
 
- Potenciais atacantes: 1.Hackers: Pessoa com amplo conhecimento de programação e noções de rede e 
internet. Não desenvolvem vulnerabilidade, apenas copiam vulnerabilidades publicadas em sites 
especializados; 2.White-hats: Exploram os problemas de segurança para divulgá-los abertamente; 
3.Crackers: Pessoas que invadem sistemas em rede ou computadores apenas por desafio; 4.Black-hats: 
Usam suas descobertas e habilidades em benefício próprio, extorsão, fraudes, etc. 5.Pheakres: Pessoa 
que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados 
ou realizam chamadas sem tarifação; 6.Wannabes: Ou script-kiddies são aqueles que acham que sabem, 
dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos 
de scripts conhecidos; 7.Defacers: São organizados em grupo, usam seus conhecimentos para invadir 
servidores que possuam páginas web emodificá-las; 8.Lammer (Otário): utiliza código de outros 
programadores para fazer seus ataques, pois não tem muito conhecimento técnico; 9.Carder: um hacker 
especializado em falsificar, copiar cartões de crédito ou outro tipo. 
 
- Criptografia: Garantir privacidade, autenticidade, integridade, não repúdio e controle; Emissor 
embaralha a mensagem de forma que só o receptor desejado saiba desembaralhar. Dois tipos: Simétrica: 
Chave única, Simples e rápido. Necessidade do emissor e receptor conhecer a chave – problema da 
distribuição de chaves; Assimétrica: Duas chaves: pública e privada. Chave pública disponível para todos 
que precisem enviar uma mensagem. Chave privada guarda por quem irá receber a mensagem. A palavra 
criptografia vem das palavras gregas que significam “escrita secreta”. - Cifra de César: substituição de 
letras do alfabeto, avançando três casas Ex.: o “A” se torna “D” o “B” se torna “E”. 
- Assinatura Digital: Permite comprovar que a mensagem ou arquivo não foi alterado; que foi assinado 
pela entidade ou pessoa que possui a chave criptográfica (chave privada) utilizada na assinatura; utiliza o 
conceito de hash (resumo) e criptografia; é enviada junto à mensagem para garantir sua autenticidade e 
origem. 
 
Aula 5: Ataques à Segurança 
 
O ataque ira seguir normalmente os seguintes passos: 1. Levantamento das Informações: onde o 
atacante procura coletar o maior número possível de informações sobre o alvo antes do lançamento do 
ataque. Existem duas formas: Ativo: envolve interação direta com o alvo através de algum meio, Ex.: 
contato telefônico; Passivo: não tem interação direta com o alvo; 2. Exploração das Informações: onde o 
ataque explora a rede baseado nas informações obtidas na fase anterior. É uma fase de alto risco pois 
 
 
além de ser considerada um pré-ataque envolve a utilização de diferentes técnicas e softwares. Ex.: 
utilização de port scan, scanner de vulnerabilidade e network mapping; 3. Obtenção de Acesso: consiste 
na penetração do sistema propriamente dita. São exploradas as vulnerabilidades encontradas no sistema. 
Ocorre através da internet, da rede local, fraude ou roubo. Os fatores que vão influenciar nos métodos de 
ataque são: arquitetura e configuração do alvo, o grau de conhecimento do atacante e o nível de acesso 
obtido. Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede; 4. 
Manutenção do Acesso: o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também 
protege-lo de outros atacantes através da utilização de acessos exclusivos obtidos através de rootkits, 
backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e 
configurações da máquina atacada. O sistema atacado poderá ficar comprometido; 5. Camuflagem das 
Evidências: consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados 
com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos 
computacionais. Podemos citar como técnica utilizada a esteganografia (é o ramo particular da criptologia 
que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar seu 
verdadeiro sentido), o tunelamento e a alteração dos arquivos de log. 
 
Tipos de Ataque: Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema, os 
ataques podem ser classificados como: - Ataque para Obtenção de Informações: é possível obter 
informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os 
serviços que estão sendo executados em cada computador; - Ataques aos Sistemas Operacionais: os 
atacantes procuram e exploram as vulnerabilidades existentes nos sistemas Operacionais para obter 
acesso para o sistema de rede da organização, devido as portas abertas por padrão dos sistema 
operacionais; - Ataques à Aplicação: normalmente as características de segurança da aplicação são 
oferecidas posteriormente ou muitas das vezes como um componente add-on (refere-se a modulo de 
hardware ou software que suplementam ou aumentam as ferramentas e possibilidades de uso ou 
características originais onde são utilizados). A não existência de controles de erros nas aplicações podem 
levar a ataques Ex.: buffer overflow; - Ataques de Códigos pré-fabricados (shirink wrap code): quando um 
administrador de sistemas instala um sistema operacional ou uma aplicação, normalmente já existem 
uma série de scripts prontos, que acompanham a instalação e que tornam o trabalho dos administradores 
mais fácil e mais ágil. Normalmente o problema na utilização destes scripts, é que não passaram por um 
processo de refinamento e customização quanto as reais necessidades de cada administrador e quando 
utilizado em sua versão padrão podem então conduzir a um ataque do tipo shrink wrap code, ou seja o 
atacante utiliza possível falhas de segurança nestes scripts para realizar o ataque; - Ataques de 
configuração mal feita (misconfiguration): com a complexidade dos sistemas atuais os administradores 
podem não ter os conhecimentos e recursos necessários para corrigir ou perceber um problema de 
segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam configurações 
simples. Para aumentar a probabilidade de configurar um sistema adequadamente os administradores 
devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional, 
evitando que algum serviço ou software não necessário possa ser explorado. 
- Packet Sniffing: Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes 
transmitido na rede. Este tipo de ataque também é conhecido como espionagem passiva e sua utilização 
diminuiu muito com a utilização de switches no lugar dos hubs. Ocorre na camada de transporte do 
modelo OSI. É realizado um mapeamento das portas dos protocolos TCP e UDP abertas em um 
determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. 
Evite a utilização de serviços que possuem senhas abertas, tais como telnet, FTP, POP, pois podem ser 
facilmente capturadas pela rede dessa forma. Um dos métodos de se implementar um port scanning é a 
partir do protocolo TCP e através da primitiva connect() onde a system call connect() é utilizada para 
abrir uma conexão nas portas do alvo. Se a porta estiver aberta, a system call retornará com sucesso. 
- Scanning de Vulnerabilidade: Após mapear os sistemas que podem ser atacados e os serviços que são 
executados, o atacante irá mapear as vulnerabilidades específicas para cada serviço através da utilização 
de um software de scanning de vulnerabilidades. Estes softwares possuem diversos padrões e testes para 
detectar vulnerabilidades. Seu principal alvo são aplicativos desatualizados, Ex.: A versão de algum 
software utilizado na sua organização na qual foram achadas falhas críticas de segurança mas que a 
equipe técnica, por não saber dessas falhas não atualizou a versão do mesmo. 
- Ip Spoofing: Nesta técnica o endereço IP real do atacante é alterado, evitando assim que ele seja 
encontrado. Sistemas que possuem a segurança baseada em lista de endereço IP são o principal alvo 
 
 
desse tipo de ataque, onde o atacante se passa por um usuário legítimo. A melhor forma de tentar se 
proteger desse tipo de ataque é com a aplicação de filtros, de acordo com as interfaces de rede onde os 
IPs são validados e as interfaces de rede por onde trafegam também. 
- SYN Flooding: Este tipo de ataque explora a metodologia de estabelecimento de conexões do protocolo 
TCP, baseado no three-way-handshake. Desta forma um grande número de requisições de conexão 
(pacotes SYN) é enviando, de tal maneiraque o servidor não seja capaz de responder a todas elas. A 
pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta 
forma, desprezadas, prejudicando a disponibilidade do sistema. - Three-way-handshake: O protocolo TCP 
é um protocolo confiável, pertencente a pilha de protocolos TCP/IP. Para que ocorra troca de dados entre 
dois computadores é necessário que as duas máquinas estabeleçam uma conexão. Essa conexão é virtual 
e é conhecida como uma sessão e ocorre através de um processo chamado handshake de três vias, pois 
ocorre em três etapas. Esse processo sincroniza os números de sequência e fornece outras informações 
necessárias para estabelecer a sessão. 
- Fragmentação de pacotes IP: Os pacotes do protocolo TCP/IP possuem um campo MTU (maximum 
transfer unit) que especifica a quantidade máxima de dados que podem passar em um pacote por um 
meio físico da rede. Este tipo de ataque utiliza-se dessa característica devido ao modo como a 
fragmentação e o reagrupamento são implementados. Os sistemas não tentam processar o pacote até 
que todos os fragmentos sejam recebidos e reagrupados, isso cria a possibilidade de ocorrer um overflow 
na pilha do protocolo TCP quando há o reagrupamento dos pacotes. Este tipo de ataque não pode ser 
evitado por meio da implementação de filtros de pacotes, apenas com aplicação de correções no kernel do 
Sistema operacional. 
- Fraggle: Consiste em evitar um excessivo número de pacotes PING para o domínio de broadcast da 
rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de 
broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando 
desabilitada de suas funções normais. 
- Smurf: É idêntico ao ataque Fraggle, alterando o fato que utiliza-se de pacotes do protocolo UDP. 
- SQL Injection: um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de 
dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma 
série de instruções SQL dentro de uma consulta (query) através da manipulação da entrada de dados de 
uma aplicação. 
- Buffer Overflow: Consequência direta de péssimos hábitos de programação. Consiste em enviar para um 
programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão 
de acordo com o padrão de entrada de dados. 
- Ataques Físicos: Muitas vezes as organizações investem em equipamentos do tipo firewalls e anti-vírus e 
pensam que estão protegidos e esquecem que os ataque não ocorrem somente pela rede de 
computadores. As salas aonde ficam os servidores e os equipamentos de rede devem ter um controle 
rígido de acesso, assim como os arquivos com dados sigilosos ou sensíveis. Um ataque físico também 
pode ocorrer em instâncias menores como roubo da fita magnética de backup, através da conexão de 
dispositivos USB, ou ainda por acesso as informações sigilosas. 
- Dumpster diving ou Trashing: Consiste na verificação do lixo em busca de informações que possam 
facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não 
existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização 
(planilhas de custos, senhas e dados importantes) sejam trituradas ou destruídas de alguma forma. 
- Engenharia Social: Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da 
ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso 
não autorizado a computadores ou informações. É um dos meios mais utilizados de obtenção de 
informações sigilosas e importantes. Para atingir seu objetivo o atacante pode se passar por outra pessoa, 
assumir outra personalidade, fingir que é um profissional de determinada área, etc. 
- Phishing Scam: é um método de ataque que se dá através do envio de mensagem não solicitada com o 
intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da 
vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as 
mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa 
ou site popular. 
- Ataque de negação de serviço (DoS): É uma tentativa em tornar os recursos de um sistema 
indisponíveis para seus utilizadores. Normalmente tem como objetivo atingir máquinas servidoras da WEB 
de forma a tornar as páginas hospedadas nestes servidores indisponíveis. Neste tipo de ataque não ocorre 
 
 
uma invasão no sistema mas a sua invalidação por sobrecarga. Estes tipos de ataques podem ser 
realizados de duas formas: -Forçando o sistema alvo a reinicializar ou consumir todos os seus recursos 
(como memória ou processamento) de forma a não poder mais fornecer seu serviço. -Obstruindo a mídia 
de comunicação entre os clientes e o sistema alvo de forma a não comunicarem-se adequadamente. 
- Ataques coordenados (DDoS): Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste 
tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre 
(denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) 
que terão a tarefa de ataque de negação de serviço. Consiste em fazer com que os Zumbis se preparem 
para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma 
data. Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão 
ao mesmo recurso do mesmo servidor. Como servidores web possuem um número limitado de usuários 
que pode atender simultaneamente, o grande e repentino número de requisições de acesso faz com que o 
servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor 
pode chegar a reiniciar ou até mesmo ficar travado. 
- Ping of Death: Envio de pacote com mais de 65507 bytes. 
- Sequestro de Conexões: As conexões do protocolo TCP são definidas por quatro informações essenciais: 
endereço IP de origem; porta TCP de origem; endereço IP do destino; porta TCP do destino. Todo byte 
enviado por um host é identificado com um número de sequência que é conhecido pelo receptor. O 
número de sequência do primeiro byte é definido durante a abertura da conexão e é diferente para cada 
uma delas. Neste tipo de ataque um terceiro host, do atacante, cria os pacotes com números de 
sequencias válidos, colocando-se entre os dois hosts e enviando os pacotes válidos para ambos. 
- Source Routing: Mecanismo legítimo que foi especificado para o protocolo IP, mas que pode ser 
explorado de forma ilícita. Neste tipo de ataque define-se uma rota reversa para o tráfego de resposta, 
em vez de utilizar algum protocolo de roteamento padrão. A melhor forma de evitar esse tipo de ataque é 
bloqueando a utilização da opção source routing, visto que normalmente não é utilizada. 
 
Revisão - Aula 1 a 5 
 
O valor da informação: - Utilização da informação: Ampliar o conhecimento, Aumentar a capacidade de 
resposta, Aperfeiçoar as comunicações, Melhorar as estratégias; - Danos Potenciais: Perda de informação, 
Informações imprecisas, Acesso indevido às informações, Conluio; - Respostas Possíveis: Autorregulação, 
Defesa, Educação, Incentivos, Registros, Certificações. 
- Princípios da Segurança da Informação (Cinco Pilares): - Integridade: informações confiáveis, corretas e 
dispostas em formato compatível com o de utilização. - Disponibilidade: informação esteja sempre 
disponível quando solicitada. - Não repúdio: assegura que nem o emissor nem o receptor de uma 
informação possam negar o fato. - Autenticidade: informação é provenienteda fonte anunciada. - 
Confidencialidade: terá acesso à informação apenas quem foi autorizado para tal. 
- Informação X Segurança: POR QUE proteger as informações? Por seu valor, Pelo impacto de sua 
ausência, Pelo impacto resultante de seu uso por terceiros, Pela importância de sua existência, Pela 
relação de dependência com a sua atividade. QUANDO proteger as informações? Durante seu ciclo de 
vida, Manuseio, Armazenamento, Transporte, Descarte. 
- Vulnerabilidades: Fragilidades associadas às informações e seus ativos, no qual os mesmos são 
suscetíveis a ataques. Usadas para invadir os sistemas. Principais tipos de Vulnerabilidades: - Físicas: 
Instalações prediais, Data Center, Recursos de segurança, Controle de acesso; - Naturais: Incêndios, 
Enchentes, Terremotos, Tempestades; - Humanas: Treinamento, Vandalismo, Sabotagem, Imperícia; - 
Hardware: Conservação, Falha na instalação, Qualidade, Especificação; - Software: Atualização, 
Configuração, Falha, Instalação, Indisponibilidade; - Mídias: Utilização, Tecnologia, Armazenamento, Vida 
Útil, Qualidade; - Comunicação: Meio, Operação, Protocolo, Tecnologia. 
- Análise de Vulnerabilidade: Bugs específicos dos sistemas operacionais/ aplicativos; Fraqueza nas 
implementações de segurança dos sistemas operacionais/aplicativos; Falhas nos softwares dos 
equipamentos de comunicações; Fraquezas nas implementações de segurança dos equipamentos de 
comunicação; Fraqueza de segurança/falhas nos servidores; Falhas nas implementações de segurança dos 
recursos de rede. 
- Criptografia de Dados: Técnicas através dos quais se torna possível transformar informações em sua 
forma original para outra forma irreconhecível/ilegível. Reconhecida/lida por seu destinatário devido. 
Converter em mensagem cifrada ou código. Garantir privacidade, autenticidade, integridade, não repúdio 
e controle; Emissor embaralha a mensagem de forma que só o receptor desejado saiba desembaralhar 
Dois tipos: Simétrica – chave única. Assimétrica – chave priva e pública. 
- Assinatura Digital: Aplicação da criptografia. Utiliza Chave privada. Hash (resumo da mensagem) 
- Certificação Digital: Assinatura Digital emitida por um órgão certificador. ICP – Brasil. 
 
 
- Assinatura Digital Hash: Resumo da mensagem, geralmente de 128 a 256 bits. Criptografado e enviado 
junto com a mensagem. 
- Identificação de ameaças: - Natural (enchentes, terremotos, tornados, deslizamento de terra, 
tempestades de raios, etc.); - Humana (atos dolosos, negligentes, imperitos ou imprudentes de uso de 
programas maliciosos, de acesso a dados sigilosos, de mau uso dos sistemas, etc.); - Ambiental (falta de 
energia, poluição, substâncias químicas, etc.). 
- Malware: Malicious software. Software destinado a se infiltrar em um sistema de computador alheio de 
forma ilícita, com o intuito de causar algum dano ou roubo de informações. 
- Virus: programa ou parte de um programa de computador, se propaga inserindo cópias de si mesmo, 
em outros programas. 
- Worms: propagar automaticamente através de redes, não embute cópias de si mesmo em outros 
programas e não precisa ser executado 
Cavalo de Tróia: parecem úteis mas tem código destrutivo embutido, geralmente utilizado para obter 
informações. 
- Adware: apresentar propagandas de forma indevida. 
- Spyware: monitorar atividades de um sistema e enviar as informações coletadas para terceiros. 
- Backdoors: permite o acesso do invasor ao sistema (ambiente). 
- Keylogger: captura e armazena tudo que é digitado no computador. 
- Screenloggers: captura a tela e posição do cursor de forma indevida. 
- Rootkits: conjunto de programas ou soluções utilizadas para acessos indevidos ou roubo de informações. 
- Bots e Botnets: coleção de agentes ou softwares que executam tarefas automaticamente sem prévia 
autorização. 
- Ameaça Passivo: Possuem a natureza de bisbilhotar ou monitorar transmissões. O objetivo dos ataques 
passivos é obter informações que estão sendo transmitidas. 
- Ameaça Ativo: Envolvem alguma modificação do fluxo de dados ou criação de um fluxo falso. Os 
ataques ativos envolvem alguma modificação do fluxo de ados ou a criação de um fluxo falso e podem ser 
subdivididos em quatro categorias: disfarce, modificação de mensagem, repetição e negação de serviço. 
 
OBS: As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e 
etc. poderão ser classificadas como: R: Voluntárias 
 
Aula 6: Gestão de Riscos e Segurança da Informação 
 
Risco: é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver 
perdas e oportunidades. (IBGC: Instituto Brasileiro de Governança Corporativa). Potencial de uma 
ameaça (evento) se concretizar, através de uma vulnerabilidade e causar impactos. Segundo a norma 
ABNT NBR ISO 31000:2009- Gestão de Risco, o efeito que essa incerteza tem sobre os objetivos da 
organização é chamado de risco. Dizem respeito a todo e qualquer tipo de situação ou evento que 
constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento. Risco é a 
probabilidade de uma ameaça explorar uma ou várias vulnerabilidades causando prejuízos. Os riscos 
estão sempre associados à ocorrência de algum incidente. Sua escala é dada por dois fatores: 
Probabilidade de ocorrência da ameaça medida através da combinação da sua frequência com a avaliação 
das vulnerabilidades; Consequências trazidas pela ocorrência do incidente (impacto); Alvo – Agentes – 
Ameaças – Vulnerabilidade – Impactos. 
- Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado. 
- Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco. 
- Parte envolvida: Indivíduos, grupos, organizações que são afetados diretamente por determinado risco. 
- Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Ambiental ou humana. 
- Incidente: Quando uma ameaça se concretiza. 
- Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo. 
- Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas 
nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções. 
- Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis 
ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as 
vulnerabilidades existentes. 
 
Gestão de Riscos: é utilizada com o intuito de prevenir incidentes e melhorar o nível de segurança das 
informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), sendo um 
dos componentes mais importantes. É por meio deste processo que os riscos são identificados e tratados 
de forma sistemática e contínua. Benefícios: Entender os riscos associados com o negócio e a gestão da 
informação; Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e 
 
 
suas interações; Melhorar a eficácia no controle de riscos; Manter a reputação e imagem da organização; 
Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios; Minimizar as possibilidades de 
furto de informação e maximizar a proteção de dados. 
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta 
o processo em geral e a definição do contexto em particular. Esse propósito pode ser: Suporte a um 
Sistema de Gestão de Segurança da Informação (SGSI); Conformidade legal e a evidência da realização 
dos procedimentos corretos; Preparação de um plano de continuidade de negócios; Preparação de um 
plano de resposta a incidentes; Descrição dos requisitos de segurança da informaçãopara um produto, 
um serviço ou um mecanismo. 
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida 
com o risco e utiliza o ciclo do PDCA, que nos permite entender a gestão do Risco como um processo 
contínuo: Identificar e avaliar os riscos; Selecionar, implementar e operar controles para tratar os riscos; 
verificar e analisar criticamente os riscos; Manter e melhorar os controles. 
 
- Análise e avaliação dos riscos: - Método Quantitativo: A métrica é feita através de uma metodologia na 
qual tentamos quantificar em termos numéricos os componentes associados ao risco. O risco é 
representando em termos de possíveis perdas financeiras. Costuma ser vistos com cautela pelos 
estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade. - 
Método Qualitativo: Em vez de usarmos valores numéricos para estimar os componentes do risco, 
trabalhamos com menções mais subjetivas como alto, médio e baixo. O que torna o processo mais rápido. 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do 
risco que foram levantados. Vários métodos de avaliação qualitativa do risco utilizam questionários e 
matrizes de risco. 
- Tratamento dos riscos: Fase em que selecionamos e implementamos medidas de forma a reduzir os 
riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de 
proteção. Segundo Beal, uma classificação possível é: - Medidas Preventivas: Controles que conduzem a 
probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo, 
sistema, reduzindo assim a probabilidade de um ataque e ou sua capacidade de gerar afeitos na 
organização; - Medidas Corretivas ou Reativas: Reduzem o impacto de um ataque/incidente. São medidas 
tomadas durante ou após a ocorrência do evento; - Métodos Detectives: Expõem ataques/incidentes e 
disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. 
- Aceitação do Risco: Ocorre quando o custo de proteção contra um risco não vale a pena. Aceitar o risco 
é uma das maneiras de trata-lo. 
- Comunicação do Risco: Divulgação de informações sobre o risco que foram identificados, tenham eles 
sido tratados ou não, a todas as partes envolvidas que precisam ter conhecimento a respeito deles. 
 
Riscos, medidas de segurança e o ciclo de segurança: Segundo Sêmola, para um melhor entendimento da 
amplitude e complexidade da segurança, é comum estudarmos os desafios em camadas ou fases para 
tornar mais claro o entendimento de cada uma delas. Estas fases são chamadas de barreiras e foram 
divididas em seis. Cada uma delas tem uma participação importante no objetivo maior de reduzir os 
riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita integração e 
interação: - Desencorajar: Esta é a primeira das cinco barreiras de segurança e cumpre o papel 
importante de desencorajar as ameaças. Estas, podem ser desmotivadas ou podem perder o interesse e o 
estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou 
humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de 
alarmes, já são efetivos nesta fase; - Dificultar: O papel desta barreira é complementar à anterior através 
da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de 
autenticação para acesso físico; - Discriminar: Aqui o importante é se cercar de recursos que permitam 
identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente 
empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, 
aplicações de computador e banco de dados; - Detectar: Esta barreira deve munir a solução de segurança 
de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações 
de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo; - 
Deter: Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o 
negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as 
barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de 
detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons 
exemplos; - Diagnosticar: Apesar de representar a última barreira no diagrama, esta fase tem um sentido 
especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de 
ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a estes fatores é a 
 
 
barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram 
tanto os aspectos tecnológicos quanto os físicos e humanos. 
 
Equação do risco: Cada negócio, independentemente de seu segmento de mercado possui dezenas ou 
centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco. R = 
V x A x I / M --- R: Risco, V:Vulnerabilidade, A:Ameaças, I:Impactos, M:Medidas de segurança. 
 
OBS: Afeta especificamente um dos três elementos da tríade da SI. R: DoS/DDoS 
 
Aula 7: Segurança da Informação Segundo a NBR ISO/IEC 27002 (Antiga ISO 17799) 
 
ISO: É uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o 
consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos os 
domínios da atividade produtiva. 
Como o Brasil participa da ISO? Através da ABNT (Associação Brasileira de Normas Técnicas), foi fundada 
em 1940 para fornecer a base necessária ao desenvolvimento tecnológico brasileiro e é o órgão 
responsável pela normalização técnica no país. Existem vários grupos participantes da ABNT sobre os 
mais variados temas. No caso da informática o grupo responsável pela discussão das normas é o CB-21 
(Computadores e Processamento de Dados) 
ISO/IEC 27000 - Termos e Vocabulário: Proporciona terminologia e correspondência entre as normas 
27000; ISO/IEC 27001 - Requisitos SGSI: Proporciona os fundamentos de um SGSI; ISO/IEC 27002 - 
Código de Práticas: Proporciona as melhores práticas de controle para a implementação do SGSI; ISO/IEC 
27003 - Guia para Implantação: Proporciona diretrizes detalhadas para a implantação de um SGSI 
(27001) utilizando exemplos e estudos de caso; ISO/IEC 27004 - Medição: Proporciona a metodologia 
para a medição da efetividade do SGSI (27001) e dos controles (27002); ISO/IEC 27005 - Gestão de 
Risco: Proporciona uma metodologia para uso do SGSI (27001); ISO/IEC 27006 - Requisitos para 
Acreditação: Proporciona os requisitos para a acreditação de organismos de certificação e de auditores 
para fins de certificação de SGSI (27001); ISO/IEC 27007 – Orientações para Gestão de Auditoria de 
Sistemas de Segurança da Informação; ISO/IEC 27008 - Orientações para Auditores de Sistema de 
Segurança da Informação. 
 
Segundo a NBR ISO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da 
informação, através de três fontes principais: - Requisitos de Negócio; Analise de Risco; Requisitos 
Legais. Segundo a NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio 
de uma análise/avaliação sistemática dos riscos de segurança da informação. Já a norma Segundo a NBR 
ISO/IEC 27001 orienta como uma organização deve se relacionar com a gestão de risco ao estabelecer 
seu Sistema de Gestão de Segurança da Informação – SGSI. 
A norma Segundo a NBR ISO/IEC 27002 provê uma orientaçãode como a organização deve proceder 
para estabelecer a política de segurança da informação: A direção da organização deve estabelecer a 
orientação da política alinhada com os objetivos do negócio; A direção deve demonstrar seu apoio e 
comprometimento com a segurança da informação por meio da publicação e manutenção de uma política 
de segurança da informação para toda a organização. 
- Diretrizes: são regras de alto nível que representam os princípios básicos que a organização resolveu 
incorporar à sua gestão de acordo com a visão estratégica da lata direção. Serve como base para a 
criação das normas e procedimentos. 
- Normas: especificam no plano tático, as escolhas tecnológicas e os controles que deverão ser 
implementados para alcançar a estratégia definida nas diretrizes. 
- Procedimentos: detalham no plano operacional, as configurações de um determinado produto ou 
funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela 
norma. 
 
A norma NBR ISO/IEC 27002 provê uma orientação de como a organização deve proceder para gerenciar 
a segurança da informação na organização. - Internamente: Através do comprometimento da direção, 
Através do estabelecimento da coordenação da segurança da informação, Da atribuição de 
responsabilidade para a segurança da informação; - Externamente: Identificação dos riscos relacionados 
com partes externas, Identificação da segurança antes de conceder aos clientes o acesso aos ativos da 
organização, Identificação da segurança nos acordos com terceiros. 
A norma NBR ISO/IEC 27002 orienta que a organização deve realizar e manter a proteção adequada dos 
ativos da organização, além de assegurar que a informação receba um nível adequado de proteção. O 
Proprietário de um ativo pode ser designado para: Um processo de negócios, Um conjunto de atividades 
definidas, Uma aplicação, Um conjunto de dados definido. 
 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve garantir que a segurança é parte integrante 
de sistemas de informação seja na aquisição, desenvolvimento ou manutenção de Sistemas de 
Informação. – Validação dos dados de entrada: Entrada duplicada, valores fora de faixa ou caracteres 
inválidos, Dados incompletos ou faltantes, Volume de dados excedendo limites superiores ou inferiores, 
Procedimento para tratar erros de validação; - Controle do processamento interno: Garantia de que os 
riscos de falhas de processamento que levem à perda de integridade sejam minimizados, Procedimentos 
para evitar que programas rodem na ordem errada ou após uma falha de processamento, Implementação 
de técnicas de consistência (hash) para registros e arquivos, Proteção contra ataques usando buffer 
overflow; - Validação dos dados de saída: Verificações de plausibilidade (Qualidade de ser plausível, de 
ser admissível) para testar se os dados de saída são razoáveis, Procedimentos para responder aos testes 
de validação dos dados de saída, Criação de um registro de atividades de validação dos dados de saída. 
A norma NBR ISO/IEC 27002 orienta que a organização deve assegurar que fragilidades e eventos de 
segurança da informação associados aos sistemas de informação sejam comunicados permitindo a 
tomada de ação corretiva em tempo hábil. 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do 
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e 
assegurar a sua retomada em tempo hábil se for o caso. Como implementar? Identificação dos processos 
críticos, Realização de uma análise de impacto dos negócios, através da medição das consequências de 
desastres, das falhas de segurança, das perdas de serviços e disponibilidade dos serviços, Realização de 
análise de risco. 
A norma NBR ISO/IEC 27002 orienta que a organização deve evitar violação de qualquer lei criminal ou 
civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da 
informação. 
 
ISO Guide 73: Risco: Qualquer tipo de situação (ou evento) que constitui oportunidade de favorecer ou 
prejudicar o sucesso de um empreendimento. Comércio/Indústria: o risco baseada estimadas e custo de 
concorrência. Área de saúde: o risco é visto como a possibilidade de danos à dimensão física, psíquica, 
moral, intelectual, social, cultural. 
 
OBS: Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: R: Aceitação de 
risco. 
 
Aula 8: Gestão de Segurança da Informação Segundo a NBR ISO/IEC 27001 
 
Diferentemente da norma NBR ISO/IEC 27002 que estabelece as melhores práticas em segurança da 
informação, a norma NBR ISO/IEC 27001 tem como objetivo especificar os requisitos necessários para o 
estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um 
Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos da organização. A 
norma adota uma abordagem de processo, a identificação e iterações de um sistema de processos, e sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA). Caso a organização queira estar em 
conformidade com a norma os itens, deverá implementar os seguintes itens obrigatórios: Sistema de 
Gestão de Segurança da Informação, Responsabilidade da Direção, Análise Crítica do SGSI pela Direção, 
Melhoria do SGSI. - Plan: O escopo do SGSI alinhado com as características de negócio, da organização, 
sua localização, ativos e tecnologia. - Do: A organização deve implementar e operar a política, controles, 
processos e procedimentos do SGSI. – Check: A Organização deve implementar procedimentos de 
monitoração e análise crítica para detectar erros nos resultados de procedimentos, identificar as 
tentativas e violações de segurança bem-sucedida, e os incidentes de segurança da informação. – Act: A 
Organização deve implementar as melhorias identificadas no SGSI. 
 
Auditoria: Um exame sistemático e independente para determinar se as atividades e seus resultados 
estão de acordo com as disposições planejadas, se estas foram implementadas com a eficácia e se são 
adequadas à consecução dos objetivos. Auditorias internas do SGSI: A organização deve realizar 
auditorias internas do SGSI em intervalos regulares para determinar se os objetivos de controles, 
processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001 e a legislação ou 
regulamentações pertinentes. Uma boa fonte de consulta para a compreensão do processo de auditoria é 
a norma NBR ISO 19011 - Diretrizes para auditoria de sistema de gestão da qualidade e ou ambiental. 
 
Melhorias do SGSI: Estas ações ocorrem através do uso da política de segurança, dos objetivos de 
segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações corretivas ou 
preventivas. – Ações Corretivas: Devem ser executadas ações para eliminar as causas da não 
conformidade com os requisitos do SGSI de forma a evitar a sua repetição, neste sentido é necessário 
 
 
identificar as não conformidades e determinar suas causas. Avaliar a necessidade de implementar ações 
para assegurar que não se repitam, ou seja, implementar e analisar criticamente as ações corretivas 
documentando os resultados. – Ações Preventivas: Devem ser estabelecidas ações para eliminar as 
causas de não conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência. 
Desta forma é necessário a identificação das não conformidades potenciais e suas causas. Avaliar a 
necessidade de implementar ações preventivas para assegurar que não ocorram, ou seja, implementar a 
analisar criticamente ações preventivas documentado os resultados. 
As Certificações de organizações que implementaram a NBRISO/IEC 27001 é um meio de garantir que a 
organização certificada implementou um sistema para gerencia da segurança da informação de acordo 
com os padrões. O Processo de certificação ocorre em um processo de auditoria de 2 etapas: 1. Auditoria 
da Documentação: revisão da existência e completude de documentações e informações do SGSI, 2. 
Auditoria de Certificação: auditoria envolvendo a existência de controle de segurança do SGSI, bem como 
a documentação de suporte. 
 
- Análise de probabilidades: Índice que indique as chances de uma vulnerabilidade ser explorada deriva 
da capacidade e do estímulo das fontes de ameaças. Deve-se considerar: experiências passadas; 
Estatísticas históricas de ocorrência de ameaças; motivações e ferramentas disponíveis para realizar atos 
intencionais; fatores climáticos e geográficos. Altas - quando a fonte de ameaça está altamente 
estimulada, é capaz de exercer a ameaça e não existem controles preventivos, ou se existem não são 
efetivos. Médias - quando a fonte de ameaça está motivada, é capaz de exercer a ameaça, mas os 
controles utilizados são efetivos, ou seja, não permitem o sucesso da fonte de ameaça. Baixas - quando 
as fontes de ameaças carecem de motivação e os controles são efetivos na prevenção da exploração da 
vulnerabilidade. 
- Análise de impacto: Quantitativamente: utilizando-se uma unidade de medida conhecida como perda de 
desempenhos, custos de manutenção ou tempo gasto para corrigir problema; Qualitativamente: como 
alto, médio ou baixo impacto, classificados conforme grandeza dos custos pela perda dos ativos ou 
recursos, significância do dano em relação à missão ou reputação da empresa, ou prejuízos à vida 
humana. 
- Mitigação do risco: é a redução (ou adequação) do risco a valores aceitáveis, sabendo-se que no que se 
refere à mitigação, o que se deseja evitar não é a ocorrência do fator gerador de risco, mas sua 
consequência. - Suposição de riscos: aceitar o risco potencial e continuar operacionalizando o sistema 
informatizado ou implementar controles para diminuir o risco para um nível aceitável. - Prevenção de 
riscos: evitar o risco, eliminando sua causa de risco e/ou consequência (Ex.: abrir mão de certas funções 
do sistema ou desligar o sistema quando os riscos são identificados). - Limitação de riscos: limitar o risco 
implementando controles que minimizam o impacto negativo de uma ameaça, influenciar uma 
vulnerabilidade (Ex.: o uso de controles de apoio, prevenção, etc.). - Planejamento de riscos: gerenciar 
riscos através do desenvolvimento de um planejamento de mitigação de riscos que prioriza, implementa e 
mantém controles. - Pesquisa e reconhecimento: para diminuir o risco de perda, reconhecendo a 
vulnerabilidade ou falha e pesquisar controles para corrigir a vulnerabilidade. - Transferência de risco: 
transferir o risco usando outras opções para compensar a perda, por exemplo, a compra de seguros. - 
Melhoria contínua: Reavaliação periódica do ambiente e dos riscos, Revisão periódica dos critérios para 
mensurar os riscos. 
 
Saiba mais 
Certificação ISO 27001: http://www.iso27001certificates.com/ 
 
OBS: Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e 
prover os recursos necessários para: R: Estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI. 
 
Aula 9: Gestão da Continuidade do Negócio Segundo a NBR ISO/IEC 15999 
 
Desastre: é sempre um incidente, mas só podemos definir se um incidente se tornou um desastre depois 
de avaliarmos suas consequências. A diferença entre estes termos é que o incidente é um evento 
imprevisto e indesejável que poderia ter resultado em algum tipo de dano à pessoa, ao patrimônio ou 
ainda algum tipo de impacto ao meio ambiente, mas não resultou. O desastre é um evento que 
efetivamente gerou danos humanos, materiais e ambientais. - Tipos de Desastres: Distúrbios Civis, 
Invasões, Roubo, Sabotagem, Apagões, Incêndio, Terremotos, Fenômenos Meteorológicos: Ciclones, 
enchentes, chuvas de granizo, etc. 
A norma NBR ISO/IEC 15999, é a norma que trata da continuidade de negócios e é dividida em duas 
partes: ABNT NBR 15999-1 – Gestão da continuidade de negócios – Parte1: Código de prática: A parte 1 
 
 
da norma é um código de prática da gestão da continuidade de negócios; ABNT NBR 15999-2 – Gestão da 
continuidade de negócios – Parte2: Requisitos: A parte 2 especifica os requisitos para estabelecer um 
Sistema de Gestão de continuidade de negócio (SGCN) eficaz definido por um programa de Gestão de 
Continuidade de Negócio (GCN) 
- Objetivo e Escopo: A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e 
implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas 
práticas de gestão da continuidade de negócios. Serve como referência única para a maior parte das 
situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio 
e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário. 
- Termos e Definições: Alta Direção: Pessoa ou grupo de pessoas que dirige e controla uma organização 
em seu nível mais alto; Continuidade de negócios: Capacidade estratégica e tática da organização de se 
planejar e responder a incidentes e interrupções de negócios, para conseguir continuar suas operações 
em um nível aceitável previamente definido; Estratégia de continuidade de negócio: abordagem de um 
organização que garante a sua recuperação e continuidade, ao se defrontar com um desastre, ou outro 
incidente maior ou interrupção de negócios; Impacto: consequência avaliada de um evento em particular; 
Incidente: situação que pode representar ou levar a uma interrupção de negócios, perdas, emergências 
ou crises; Interrupção: evento, seja previsto (por exemplo, uma greve ou furação) ou não (por exemplo, 
um blecaute ou terremoto) que cause desvio negativo imprevisto na entrega e execução de produtos ou 
serviços da organização de acordo com seus objetivos; Período máximo de interrupção tolerável: Duração 
a partir da qual a viabilidade de uma organização será ameaçada de forma inevitável, caso a entrega de 
produtos ou serviços não possa ser reiniciada; Planejamento de emergência: desenvolvimento e 
manutenção de procedimentos acordado de forma a prevenir, reduzir, controlar, mitigar e escolher ações 
a serem tomadas no caso de uma emergência civil; Plano de continuidade de negócio(PCN): 
Documentação de procedimentos e informações desenvolvidas e mantida de forma que esteja pronta para 
uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas 
em um nível aceitável previamente definido; Plano de gerenciamento de incidentes: Plano de ação 
claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra 
as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o 
processo de gerenciamento de incidentes; Programa de gestão de continuidade de negócio: Processos 
contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos 
apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o 
impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a 
continuidade de fornecimento de produtos e serviços por meio de treinamentos, testes, manutenção e 
análise críticas; Resiliência: capacidade de uma organização de resistir aos efeitos de um incidente. 
 
- Visão geral da Gestão da Continuidade de Negócios (GCN): A gestão de continuidade de negócio permite 
uma visão total da organização e facilita o relacionamento comas diversas áreas. É um processo da 
organização que estabelece uma estrutura estratégica e operacional adequada para: Melhorar 
proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir 
seus objetivos; Prover uma prática para reestabelecer a capacidade de uma organização fornecer seus 
principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente 
determinado após uma interrupção; Obter reconhecida capacidade de gerenciar uma interrupção no 
negócio, de forma a proteger a marca e reputação da organização. 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que 
podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada 
organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: 
o escopo, a estrutura do programa de GCN e o esforço gasto. - Entendendo a organização: Para o 
estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos 
produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los; - 
Determinando a estratégia de continuidade de negócios: permite que uma resposta apropriada seja 
escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus 
produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma 
interrupção; Desenvolvendo e implementando uma resposta de GCN: resulta na criação de uma estrutura 
de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de 
recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou 
restaurar as operações; Testando, mantendo e analisando criticamente os preparativos de GCN: A 
organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN 
deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de 
melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da 
organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos 
valores da organização, através da sua inclusão na cultura da empresa. 
 
 
 
- Gestão do programa de GCN: - Atribuição de responsabilidades: A organização deverá nomear um ou 
mais pessoas para implementar ou manter o programa de GCN e documentar os papéis e 
responsabilidades nas descrições de trabalho e grupos de habilidades da organização. - Implementação da 
continuidade de negócios na organização: incluem as fases de: planejamento, desenvolvimento e 
implementação do programa. Nesta fase é importante que a organização comunique as partes 
interessadas de forma que todos os envolvidos tenham acesso as informações sintam-se envolvidos pelo 
processo. Realize capacitação da equipe envolvida e ainda teste a capacidade de continuidade de negócios 
da organização. - Gestão contínua da continuidade de negócios: Esta atividade deve assegurar que a 
continuidade de negócios seja incorporada na cultura e atividade da organização. O processo se dá 
através da realização da análise crítica, do exercício e da atualização de cada componente envolvido neste 
processo. Para que seja realizada a manutenção continua e independentemente de como sejam alocados 
os recursos para a continuidade de negócio na organização, algumas atividades desse ser executadas: 
Definição dos escopo, papéis e responsabilidades; Nomeação de uma ou mais pessoas para gerenciar o 
GCN; Manutenção do programa de GCN através da implementação das melhores práticas utilizadas; 
Promoção da continuidade de negócios por toda a organização de forma ampla; Administração do 
programa de testes; Análise crítica e atualização da capacidade de continuidade de negócios, análise de 
riscos e nálise de impacto de negócio (BIA); Manutenção da documentação do GCN; Gerenciamento dos 
custos associados à GCN; Estabelecimento e monitoramento do gerenciamento de mudanças. 
- Política de gestão da continuidade de negócios: Segundo a norma NBR ISO/IEC 15999 os propósitos de 
se estabelecer uma política de continuidade de negócio são: Garantir que todas as atividades de GCN 
sejam conduzidas e implementadas de modo controlado e conforme o combinado; 
Alcançar uma capacidade de continuidade de negócios que vá ao encontro das necessidades do negócio e 
que seja apropriada ao tamanho, complexidade e natureza da organização; e implementar uma estrutura 
claramente definida para a capacidade contínua de GCN. A política de GCN deverá estabelecer os 
processos para: As atividades de preparação para se estabelecer o GCN: Especificação, Planejamento, 
Criação, Implementação, Testes. 
 
- Análise do Impacto do negócio (BIA): É imprescindível que a equipe responsável pela elaboração e 
implementação da continuidade de negócio defina e documente o impacto das atividades que suportam 
seus produtos e serviços. A esse processo damos o nome de análise de impacto nos negócios e que é 
conhecido mundialmente por BIA. O objetivo desta análise é levantar o grau de relevância dos processos 
ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização e dentro do 
escopo do programa de GCN. Deve ser mapeado os ativos físicos, tecnológicos e humanos, assim como 
quaisquer atividades interdependentes que também precisem ser mantidos continuamente ou 
recuperados ao longo do tempo de cada processo ou atividade, para então apurar os impactos 
quantitativos que poderiam ser gerados com a sua paralisação total ou parcial. 
- Identificação das atividades críticas: Após a realização do levantamento e da análise do impacto do 
negócio, a organização deve categorizar suas atividades de acordo com suas prioridades recuperação. 
Atividades cuja perda, baseado no resultado do BIA, teriam o maior impacto no menor tempo e que 
necessitem ser recuperadas mais rapidamente devem ser chamadas de atividades críticas. A organização 
deve considerar também que existem outras não consideradas críticas mas que devem ser recuperadas 
dentro do seu período máximo de interrupção tolerável. A organização deverá estimar os recursos que 
cada atividade necessitará durante sua recuperação: Recursos de pessoal (quantidade, habilidades e 
conhecimento); Localização dos trabalhos e instalações necessárias; Tecnologia, equipamentos e plantas 
que suportam o negócio; Informação sobre trabalhos anteriores ou trabalhos atualmente em progresso, 
de forma a permitir que as atividades continuem no nível acordado; Serviços e fornecedores externos. 
- Determinando a estratégia de continuidade de negócios: A organização deve definir uma estratégia de 
resposta a incidente que permita uma resposta efetiva e uma recuperação pós-incidente e também a 
implementação de uma estrutura que caso ocorra um acidente possa rapidamente ser formada. Esta 
equipe pode receber a denominação de equipe de gerenciamento de incidente ou equipe de 
gerenciamento de crise. A estrutura implementada deve possuir: planos, processos e procedimentos de 
gerenciamento de incidentes, ferramentas de continuidade de negócio, planos para ativação, operação, 
coordenação e comunicação de resposta ao incidente. No caso de um incidente a organização deverá ser 
capaz de: Confirmar a natureza e extensão do incidente; Tomar controle da situação; Controlar o 
incidente; Comunicar-se com as partes interessadas. Os planos elaborados, sejam de gerenciamento de 
incidentes, continuidade ou de recuperação de negócios, devem ser concisos, de fácil leitura e 
compreensão e estar acessíveis à todos que tenham responsabilidades