Apostila Fundamentos de Segurança da Informação

Prévia do material em texto

Rodrigo Gomes Lobo de Faria
Fundamentos de 
Segurança da Informação
Rodrigo Gomes Lobo de Faria
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Belo Horizonte
Janeiro de 2016
COPYRIGHT © 2016
GRUPO ĂNIMA EDUCAÇÃO
Todos os direitos reservados ao:
Grupo Ănima Educação
Todos os direitos reservados e protegidos pela Lei 9.610/98. Nenhuma parte deste livro, sem prévia autorização 
por escrito da detentora dos direitos, poderá ser reproduzida ou transmitida, sejam quais forem os meios 
empregados: eletrônicos, mecânicos, fotográficos, gravações ou quaisquer outros.
Edição
Grupo Ănima Educação
Vice Presidência
Arthur Sperandeo de Macedo
Coordenação de Produção
Gislene Garcia Nora de Oliveira
Ilustração e Capa
Alexandre de Souza Paz Monsserrate
Leonardo Antonio Aguiar
Equipe EaD
Conheça o 
Autor
Graduado em Ciência da Computação pela 
PUC-MG, pós-graduado em Tecnologia e 
Segurança de Redes pela UNA-MG, MBA em 
Gestão Estratégica de Projetos pela UNA-MG.
Consultor e Desenvolvedor de Sistemas, 
Processos e Rotinas de controle de Contact 
Center em várias empresas do Brasil, 
gerenciando projetos e implantação destes 
sistemas.
Especialista em Sistemas de Controle 
Imobiliário, prestando consultoria e 
gerenciando projetos de automatização em 
empresas neste setor.
Professor de disciplinas na área de Tecnologia 
da informação.
O assunto “Segurança da Informação” desperta o interesse em todas 
as esferas e vários cargos empresariais, sejam executivos, gerentes e 
técnicos. O motivo principal é que ela abrange várias áreas (física, lógica, 
infraestrutura, aplicativos e treinamento), sendo que cada uma possui 
seus respectivos riscos, ameaças, controles e soluções que podem 
reduzir o nível de exposição da empresa. 
Frequentemente, associamos a segurança da informação a hackers e a 
vulnerabilidades. Muitas vezes entendemos que basta um bom antivírus 
e um firewall eficiente e a empresa estará protegida. É obvio que são 
questões importantes, mas a Segurança da Informação é muito mais 
abrangente.
Um Security Officer (Gestor de Segurança da Informação) deve avaliar 
e gerenciar diversos itens sejam: tecnologia, pessoas, processos e 
ambiente. Obviamente cada um desses pontos está ligado a muitas 
iniciativas, exemplo, Normas de controle de Acesso (Físico e Lógico), 
Criptografia, Segurança da Rede, treinamentos etc
Veremos que falhas na segurança com o consequente acesso indevido 
podem provocar perdas financeiras e de imagem mercadológica o que 
se traduz em maiores perdas.
Apresentação 
da disciplina
UNIDADE 1 003
Introdução e conceitos básicos de segurança da informação 004
Segurança da Informação 006
Princípios Básicos da Segurança da Informação 009
UNIDADE 2 022
Segurança em redes de computadores, sistemas operacionais 
e comercio eletrônico 023
A Importância da Segurança nos Sistemas Operacionais 
e Redes de Computadores 025
UNIDADE 3 048
Estudo das normas ISO 27000 – Aplicação de normas, padrões 
internacionais e certificação 049
Objetivos e funções - ISO/IEC 27000 051
UNIDADE 4 068
Estudo das normas ISO 27005 e ISO 31000 - Aplicação de 
normas e padrões internacionais 069
Conceitos associados 071
Normas ISO / IEC 27005 078
ISO 31000 - Princípios da Gestão de Riscos, princípios e diretrizes 080
UNIDADE 5 093
Estudo da norma ISO 22301 - Aplicação de normas e 
padrões internacionais 094
A Norma ISO 22301 096
REFERÊNCIAS 175
UNIDADE 6 113 
Criptografia, Certificações digitais, Assinatura digital 114
Criptografia 116 
Assinaturas digitais 125
Certificação digital 126
UNIDADE 7 133
Segurança em Sistemas da Informação 134
Modelos e mecanismos de segurança dos Sistemas de Informação 144
UNIDADE 8 158
Identificação e Solução de Problema Reais 159
Teste de Invasão e Ferramentas de Segurança 161
Revisão 171
Introdução e 
conceitos básicos 
de segurança da 
informação
• Segurança da 
Informação
• Princípios 
Básicos da 
Segurança da 
Informação
Introdução
As Organizações têm se tornado mais rápidas e eficientes na troca 
de informações e tomadas de decisões estratégicas. Isto se deve, 
em grande parte, a evolução da Tecnologia da Informação. 
Porém, este novo ambiente tornou-se mais complexo, heterogêneo e 
distribuído, dificultando a gestão de questões relativas à segurança 
da informação. As ameaças aos ambientes computacionais, tanto 
físicos quanto lógicos, passam por uma grande evolução, tanto 
em quantidade de equipamentos e bytes transmitidos quanto 
em formato. Portanto, novos vírus e formas de ataque, internos e 
externos, surgem a cada dia, trazendo riscos às informações das 
empresas e/ou de parceiros que estas representem. Sendo assim, 
as estatísticas mostram que as fraudes em Informática são um 
problema crescente e em escala mundial, exigindo o investimento 
de muitos recursos financeiros das organizações.
A evolução é parte inquestionável da vida e o homem é o maior 
resultado disto. No campo da TI (tecnologia da informação), a maior 
evolução é a Internet. 
Desde o seu aparecimento, ocorreram mudanças de paradigmas o 
que permitiu a expansão da conectividade e acessibilidade. 
Isto influenciou drasticamente como as empresas administram 
seus negócios.
Segundo Sêmola (2003), “os computadores tomam conta dos 
ambientes de escritório, quebram o paradigma e acesso local 
à informação, e chegam a qualquer lugar do mundo através 
dos – cada vez mais portáteis –notebooks e da rede mundial de 
computadores: a Internet.” (SÊMOLA, 2003, p.3).
Em função disto, a segurança da informação teve que evoluir e saiu 
do nível técnico, reservado à TI, onde a única preocupação era ter 
um bom antivírus, um firewall bem configurado. 
Com a evolução, houve a necessidade de se pensar também no 
nível da gestão, investindo e desenvolvendo os processos e as 
pessoas. Os aspectos relativos à implantação de uma eficiente 
Política de Segurança de Informação vêm evoluindo muito nos 
últimos anos. Os procedimentos de segurança da informação têm 
evoluído bastante desde o início quando a segurança se resumia à 
parte física e a backups. Atualmente, esta segurança é composta de 
políticas, padrões, treinamentos, estratégias, softwares e hardwares. 
Veremos aqui as mais diversas formas de ataque, desde as mais 
simples e visíveis, até as mais complexas e ocultas, no que diz 
respeito ao acesso indevido às informações. 
Compreenderemos que a segurança da informação engloba vários 
pontos onde cada um contribui de uma forma com o objetivo de 
manter sistemas, bancos de dados e conhecimentos (tácitos e/ou 
explicitas) protegidos.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
6
Segurança da 
Informação
Com o aumento da utilização de sistemas de informação, 
tecnologia digital e comércio eletrônico, as empresas se viram 
obrigadas a pensar na segurança de suas informações para evitar 
golpes, acessos não autorizados e ameaças. Assim, essa medida 
surgiu para reduzir possíveis ataques aos sistemas empresariais e 
domésticos. 
A segurança da informação é uma maneira de proteger os sistemas 
contra diversos ataques, preservando documentações e arquivos.
Segundo Anna Carolina Aranha, a questão da segurança da 
informação tornou-seum tema importante na sociedade 
contemporânea sendo uma forte aliada de grandes empresas 
que armazenam e processam em computadores os segredos de 
seus negócios; bem como de pessoas que trocam informações 
eletrônicas de caráter pessoal. Todos nós acreditamos que os 
dados confiados às máquinas sejam mantidos confidenciais, 
intactos e acessíveis apenas às pessoas autorizadas.
Manter os sistemas de computador livre de ataques não é só uma 
questão técnica. 
Uma regulamentação mais rígida, a educação, a conscientização e 
os treinamentos dos usuários tornam o mundo digital mais seguro.
Curiosamente, a questão da segurança da informação é quase 
tão remota quanto à humanidade. Da mesma forma, também são 
antigas as tentativas de “desmembrar” e ler os códigos secretos 
contidos em mensagens.
A segurança da 
informação é uma 
maneira de proteger 
os sistemas contra 
diversos ataques, 
preservando 
documentações 
e arquivos.
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
7
Colher e ou processar informações de terceiros, sem autorização 
sempre constitui um crime, porém, o objetivo do invasor nem 
sempre é conseguir algum ganho financeiro. Várias vezes a simples 
curiosidade ou a vontade de quebrar regras e padrões que estimula 
os infratores. Entender essa peculiaridade é importante tanto para 
as organizações como para os cidadãos comuns que se preocupam 
com o assunto. Trata-se de um problema cultural/social e não 
somente de programação, técnico ou de infra-estrutura de redes e/
ou comunicação.
Mesmo que atualmente exista um bom nível de consciência das 
empresas e consumidores em relação aos perigos dos vírus e dos 
ataques de hackers, há situações em que as ações para evitar os 
problemas não acontecem como deveriam. É bastante frequente 
ver empresas que adquirem (por compra ou locação) equipamentos 
e programas de última geração, porém não os configuram 
adequadamente, ou cometem erros simples na atualização e 
permissão de acesso. Os programas de computador são como 
equipamentos, pois precisam de revisões, manutenções e cuidados 
constantes. Ter um conjunto Software/Hardware de última geração 
e não cuidar adequadamente é o mesmo que um policial comprar 
uma arma e deixá-la sem munição. Segundo pesquisas, mais de 
80% dos problemas de segurança seriam evitados se os programas 
e o hardware estivessem devidamente atualizados e configurados.
Ao divulgar um arquivo de correção, com o objetivo de melhorar a 
segurança de determinado produto, a empresa fica exposta, pois, 
os hackers imediatamente tentam decodificá-lo para procurar onde 
esta a vulnerabilidade que foi corrigida. A partir daí, podem tentar 
lançar ameaças contra os computadores não atualizados. Ou seja, 
cada atualização é necessária para prevenir um risco em potencial. 
Obviamente, para um hacker atento, pode ser uma dica que lhe 
estimule explorar o problema. 
Os programas 
de computador são 
como equipamentos, 
pois precisam 
de revisões, 
manutenções e 
cuidados constantes
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
8
Especialistas em crimes cibernéticos afirmam que os delitos 
virtuais crescem em uma velocidade maior que os convencionais. 
Além de mais preparados tecnologicamente, os hackers estão 
sendo mais ousados: usam da Engenharia Social para conseguir 
efetivar os ataques. Eles se utilizam de mensagens eletrônicas 
(e-mails e links) com atrativos, como propostas de trabalho, falsas 
atualizações bancárias e até a simulação de e-mails de pessoas 
conhecidas. Ao acessar um desses e-mails ou links, o usuário 
contamina equipamentos desprotegidos ou mal protegidos. Desta 
forma, fica cada vez mais difícil identificar as ameaças em um 
ambiente informatizado.
O Brasil é um dos países mais expostos aos problemas de 
segurança da informação. Isto ocorre, pois o crescimento na 
utilização da internet e suas vantagens é muito maior do que 
a melhoria e aplicação dos processos de segurança. Segundo 
relatório da Conferência de Comércio e Desenvolvimento das 
Nações Unidas (Unctad), o Brasil tem a segunda Internet mais 
vulnerável do mundo, perdendo apenas para os Estados Unidos. A 
solução não é algo simples e passa por fatores como: 
• maior regulamentação por parte do governo;
• estímulo constante e crescente à empresas de tecnologia 
no sentido de produzirem recursos de segurança mais 
poderosos; 
• educação, conscientização e treinamento por parte dos 
usuários, sejam técnicos ou leigos. 
Desta forma, a utilização de todas as potencialidades do mundo 
digital será plena com menor risco a integridade, disponibilidade e 
confidencialidade das informações. 
Especialistas em 
crimes cibernéticos 
afirmam que os 
delitos virtuais 
crescem em uma 
velocidade maior que 
os convencionais.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
9
Princípios Básicos 
da Segurança da 
Informação
Disponibilidade
É a garantia de que os sistemas e as informações de um 
equipamento e/ou banco de dados estarão disponíveis quando 
necessário.
Confidencialidade
É a capacidade de controlar quem pode acessar as informações e 
em que condições. Assegurar que a informação só será acessível 
por pessoas explicitamente autorizadas, incluindo até IP de origem, 
datas e horários para o acesso, identificação pessoal ou biométrica. 
Desta forma, é possível minimizar o acesso não autorizado 
aumentando a segurança. 
Autenticidade
Permite a verificação da identidade de um usuário seja interno ou 
agente externo a um sistema ou empresa. Este conceito também 
se aplica a confirmação de que uma informação é autêntica ou 
verdadeira.
Integridade
Princípio em que as informações e dados serão armazenados e 
posteriormente acessados em sua forma original, sem alterações 
realizadas por terceiros, exceto com a devida autorização.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
10
É possível também, 
através da análise 
dos logs, identificar 
os usuários que 
tiveram o contato 
com a informação.
Mesmo manipulada, a informação deve manter todas as 
características originais estabelecidas pelo seu proprietário.
Auditoria
É a possibilidade de rastrear a informação pelos vários passos pelos 
quais a informação “transitou”, bem com o processamento que ela 
sofreu, identificando os locais, horários e usuários de cada passo. 
Assim é possível avaliar o histórico dos eventos em um sistema e 
determinar como ocorreu a falha de segurança.
É possível também, através da análise dos logs, identificar os 
usuários que tiveram o contato com a informação.
Privacidade
É a limitação do acesso às informações. É a garantia à preservação.
Legalidade
É a garantia de legalidade de uma informação de acordo com a 
legislação vigente.
Não Repúdio (Irretratabilidade – 
não pode ser desfeito)
Não há como “dizer não” sobre um sistema que foi alterado ou 
sobre um dado recebido, ou seja, um usuário não poderá negar 
falsamente a autoria de uma informação.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
11
Ameaças
Neste caso, a ameaça ocorre quando há uma ação sobre um 
sistema ou sobre um processo utilizando uma determinada 
vulnerabilidade e causa um problemaou consequência, tais como: 
divulgação indevida, roubo de identidade, prejuízo financeiro e 
prejuízo de visibilidade.
As ameaças podem ser: 
• De origem natural: ligados a eventos da natureza, como 
terremotos, tornados ou enchentes; 
• Involuntárias: erro humano causado por pessoas 
desconhecidas ou pela falta de energia elétrica;
• Voluntárias: em que hackers acessam sistemas com o 
intuito de disseminar de causar danos.
Tipos de Ameaça
• Ameaça Inteligente: Ocorre quando o invasor possui 
capacidade técnica e operacional para fazer uso das 
vulnerabilidades do sistema.
• Ameaça de Análise: Ocorre após um período de análise 
onde são descobertas as possíveis vulnerabilidades e as 
respectivas consequências da ameaça a um sistema.
Ataques
Um ataque pode ocorrer a partir de um furto a um sistema de 
segurança com o objetivo intuito de invadir sistemas, bancos de 
dados e serviços. Ele pode ser dividido em: 
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
12
• Ativo: onde os dados são alterados. 
• Passivo: onde os dados são liberados. 
• Destrutivo: onde os dados são destruídos ou o acesso a 
eles fica restrito. 
• Os ataques ocorrem somente em sistemas vulneráveis. 
Neste caso, a vulnerabilidade pode ser física, lógica ou 
engenharia social.
Tipos de Ataque
Cavalo de Troia:
O cavalo de troia ou trojan horse é um programa malicioso e vem 
disfarçado em outro software. Baixar programas da Internet sem 
o devido cuidado é uma ótima maneira de instalar um cavalo de 
troia. Estes programas instalam o cavalo de troia, que abre uma 
porta do equipamento e que será utilizada para invasão. Eles se 
dedicam a roubar senhas e outros dados sigilosos.
São exemplos de trojans: NetBus, Back Orifice e SubSeven.
Quebra de Senha
O cracker é um programa usado pelo hacker para descobrir uma 
senha de acesso a um sistema. 
O método mais comum consiste em testar sucessivamente várias 
sequencias de palavras até encontrar a senha correta.
Denial Of Service (DOS)
Este ataque consiste na sobrecarga de servidor com uma 
quantidade excessiva de solicitações de serviços. Há variações, 
como os ataques distribuídos de negação de serviço (DDoS). 
O cavalo de troia ou 
trojan horse é um 
programa malicioso 
e vem disfarçado 
em outro software.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
13
Neste caso, o invasor ataca muitos computadores e instala neles 
um software oculto, como o Tribal Flood Network ou o Trinoo. Estes 
programas, quando acionados, bombardeiam o servidor-alvo com 
solicitações e este, por sua vez, fica inoperante, em função do 
excesso de solicitações.
Mail Bomb
É a técnica de sobrecarregar um computador com e-mails. 
Normalmente, o agressor usa um programa para gerar um fluxo 
contínuo de e-mails e envia-los uma determinada caixa postal. A 
sobrecarga tende a provocar negação de serviço no servidor de 
e-mail (mail server).
Phreaking
É o uso não autorizado de linhas telefônicas, fixas ou celulares. Com 
o aumento da segurança por parte das companhias telefônicas, 
essas técnicas foram se tornando mais complexas e inteligentes. 
Hoje, o phreaking é uma atividade elaborada e que poucos hackers 
dominam.
Scanners de Portas
Eles são programas que buscam portas TCP abertas, no 
computador, por onde é efetuada a invasão. Uma forma de evitar 
que o usuário perceba a varredura é testar as portas por vários dias 
e em horários aleatórios.
Hoje, o phreaking 
é uma atividade 
elaborada e que 
poucos hackers 
dominam.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
14
Smurf
É outra forma de ataque de negação de serviço. O agressor envia 
uma rápida sequência de solicitações de Ping a um endereço de 
broadcast, usando spoofing (técnica de se fazer passar por outro 
equipamento). O cracker direciona as mensagens do servidor de 
broadcast para o endereço da vítima. Assim o alvo é “derrubado” 
pelo excesso de solicitações de Ping.
Sniffing
O sniffer é um programa ou dispositivo que analisa o tráfego da rede. 
Eles são muito úteis no gerenciamento de redes, porém, nas mãos 
de hackers permitem roubar senhas e outras informações sigilosas 
não criptografadas.
Spoofing
É a técnica de se fazer passar por outro equipamento da rede com o 
objetivo de acessar um sistema. Há variantes, como o spoofing de IP. 
O processo consiste em usar um programa que altere o cabeçalho 
dos pacotes IP. Desta forma, eles parecem vir de outra máquina. 
Scamming
Esta técnica tem o objetivo de colher senhas e números de contas 
bancárias através de e-mails falsos oferecendo serviços, simulando 
a página do banco.
O sniffer 
é um programa 
ou dispositivo 
que analisa o 
tráfego da rede. 
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
15
Controles de Segurança
Autenticar e Autorizar
Autorizar é permitir ou negar acesso a um sistema utilizando 
controles de acesso com o objetivo de criar perfis. Com esses perfis, 
é possível definir, por exemplo, as tarefas que serão realizadas por 
determinado usuário ou grupo de usuários. 
Autenticar é a comprovação do acesso de um usuário a um sistema, 
ou seja, se está sendo feito por ele mesmo Ela é importante, pois, 
limita o controle de acesso e autoriza somente determinadas 
pessoas acessarem uma informação.
Processo de Autenticação
Identificação positiva: Está relacionado a uma informação. Ocorre 
quando o usuário possui uma senha de acesso.
Identificação proprietária: O usuário possui algum instrumento 
durante a etapa de identificação, como um cartão ou um eToken.
Identificação Biométrica: Neste caso, o usuário se identifica através 
de uma parte do corpo, como impressão digital, Iris etc.
Em relação às senhas, uma dica importante é que você sempre 
crie senhas que possuam pelo menos oito caracteres, com letras, 
números e símbolos. Não utilize seu nome, sobrenome, nomes de 
animais de estimação, placas de carros, números de telefones ou 
datas que possam tenham relação com você. Procure alterá-las 
com frequência e faça com que sejam diferentes para cada serviço. 
Se você compartilha seu computador com outras pessoas, crie 
usuários com privilégios normais.
Se você 
compartilha seu 
computador com 
outras pessoas, 
crie usuários com 
privilégios normais.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
16
Não utilize, no 
caso de arquivos 
comprimidos, 
o formato 
executável.
Vírus
Prevenção:
• Instale e atualize, de preferência diariamente, um programa 
de antivírus confiável, assim como as assinaturas deles.
• Configure o antivírus para verificar os arquivos obtidos pela 
Internet, discos rígidos (HDs) e unidades removíveis, como 
CDs, DVDs e pen drives;
• Desabilite o “auto-execução” de arquivos anexados às 
mensagens do seu programa de leitura de e-mails;
• Não execute ou abra arquivos recebidos por e-mail ou por 
outras fontes, mesmo que venham de pessoas conhecidas. 
Caso seja necessário abrir o arquivo, certifique-se que ele 
foi analisado pelo programa antivírus;
• Utilize, na elaboraçãode documentos, formatos menos 
suscetíveis à propagação de vírus, tais como RTF, PDF ou 
PostScript;
• Não utilize, no caso de arquivos comprimidos, o formato 
executável. Utilize o próprio formato compactado, como, 
por exemplo, Zip ou Gzip.
Worms, Bots e Botnets
Prevenção:
• Siga todas as recomendações para prevenção contra vírus;
• Mantenha o sistema operacional e demais softwares 
sempre atualizados;
• Aplique todas as correções de segurança (patches) 
disponibilizadas pelos fabricantes para corrigir eventuais 
vulnerabilidades existentes nos Softwares utilizados;
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
17
• Instale um firewall pessoal, que em alguns casos pode 
evitar que uma vulnerabilidade existente seja explorada ou 
que um worm ou bot se propague.
Incidente de Segurança 
e Uso Abusivo na Rede
O incidente de segurança está relacionado a problemas ligados aos 
sistemas de computação ou às redes de computadores. Pode ser 
identificado por acessos não autorizados, mudanças no sistema 
sem prévia autorização ou sem conhecimento da execução, 
tentativas de acesso aos dados de um sistema etc.
O uso abusivo na rede está ligado a características específicas 
como envio de spams e correntes, distribuição de documentação 
protegida por direito autoral, uso indevido da internet para ameaçar 
e difamar pessoas, ataques a outros computadores etc.
Registros de Eventos (logs)
Os logs são registros de tarefas realizados por programas de 
computador. Normalmente os firewalls identificam estes logs. Os 
logs podem ser detectados no momento em que um invasor tenta 
acessar um computador e é impedido pelo firewall. A Verificação 
periódica dos logs do firewall e dos IDSs que estejam instalados 
no computador é de extrema importância, pois pode evitar ou 
minimizar as tentativas de ataques.
O incidente de 
segurança está 
relacionado a 
problemas ligados 
aos sistemas 
de computação 
ou às redes de 
computadores.
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
18
Notificações de Incidentes
Consiste em informar, por meio automatizado ou manual, o ataque 
a um sistema sejam por um programa ou invasor mal intencionado.
A informação deve conter logs completos com data, horário, fuso 
horário, endereço IP de origem, portas envolvidas, protocolo 
utilizado e qualquer outra informação que tenha feito parte da 
identificação do incidente.
Proposição:
Você foi convidado a elaborar um laudo e propor uma solução de melhoria 
para uma empresa na seguinte situação:
• Possui 8 trabalhadores sendo 2 diretores, 1 gerente e 5 
operadores de telemarketing.
• Possui 1 PC desktop com configuração para servidor de arquivos, 
5 PC desktop, 3 notebooks e 1 impressora com conexão wi-fi.
• Possui 1 roteador e todos os equipamentos se conectam à rede, 
via wi-fi.
Além deste cenário, você recebeu as fotos abaixo do ambiente de trabalho.
FIGURA 1 - CPD
Fonte: www.shutterstock.com
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
19
FIGURA 2 - Ponto de Atendimento e sala das PAs
FIGURA 3 - Roteador e conexões
Fonte: www.shutterstock.com
Fonte: www.shutterstock.com
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
20
Revisão 
A segurança da informação é uma ferramenta fundamental para 
todas as organizações. Isto porque a informação bem elaborada 
e bem estruturada e o conhecimento disseminado em todos os 
setores representa o maior patrimônio que uma empresa possui.
Por isto, é de extrema importância que esta informação seja muito 
bem protegida, levando em conta todos os itens que a compõe.
Sem a preservação desses fatores, não podemos afirmar que há 
esta garantia.
FIGURA 4
Segurança da Informação
co
nfi
de
nc
ia
lid
ad
e
In
te
gr
id
ad
e
A
ut
en
tic
id
ad
e
D
is
po
ni
bi
lid
ad
e
N
ão
 re
pú
di
o
Negligenciar qualquer um destes pilares é não levar em conta o 
grau de importância dos dados e do conhecimento. Isto gera o risco 
de perdas financeiras, além de lesar a imagem no mercado. 
Você se sentiria confortável em utilizar os serviços de um banco 
que sempre é alvo de hackers?
E este banco, por sua vez, o que faz com os prejuízos acumulados 
com os ataques?
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
21
Por isto devemos ter em mente que investimentos em segurança 
da informação são sempre bem vindos, pois minimizam os riscos 
das perdas nos mais diversos pontos.
Abaixo estão links e livros que podem ser consultados a respeito do tema:
• DOCUMENTÁRIO Hackers Completo Dublado. Postado por: 
Lucas –Ezystep. (49 min 04 seg.): son. Color. Port. Disponível em: 
<https://www.youtube.com/watch?v=g1FmSAqNg6U> Acesso 
em: 15 jan. 2016. 
• ENTREVISTA sobre segurança de redes sem fio wi-fi - www.
defhack.com.brDisponível. Postado por: Marcos Flávio Araújo 
Assunção. (11 min 57 seg.): son. Color. Port. Disponível em: 
<https://www.youtube.com/watch?v=bwtRBczONI4> Acesso em: 
15 jan. 2016.
• PIONTI, Rodrigo. Política de segurança da informação – 
conceitos, características e benefícios. Portal Profissionais TI (on-
line). Disponível em: <http://www.profissionaisti.com.br/2013/08/
politica-de-seguranca-da-informacao-conceitos-caracteristicas-e-
beneficios/> Acesso em: 15 jan. 2016.
• REVISTA ESPAÇO ACADÊMICO. nº42, 2004. Disponível em: 
<http://www.espacoacademico.com.br/042/42amsf.htm> 
Acesso em: 15 jan. 2016.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 1
22
Segurança 
em redes de 
computadores, 
sistemas 
operacionais 
e comércio 
eletrônico • A Importância da Segurança 
nos Sistemas 
Operacionais 
e Redes de 
Computadores
Introdução
Sistemas operacionais são softwares ou programas (ou um conjunto 
deles) que permitem ou proporcionam a comunicação do hardware 
com o “mundo exterior” além de gerenciar os recursos deste 
equipamento. Existem vários tipos de SO, cada um adequado ao tipo 
de equipamento que irá gerenciar. Podem ser mono ou multiusuário, 
mono ou multitarefa, funcionar em rede ou com acesso local. Sendo 
assim, temos algumas questões a avaliar:
1. Um Sistema Operacional pode ser contaminado ou 
atacado?
2. Se sim, o que fazer para prevenir um ataque?
3. Se um ataque ocorrer, como resolver?
4. Há alguma forma eficiente de proteger uma rede de 
equipamentos dos ataques?
5. Por que o termo “equipamentos” e não simplesmente 
“computadores”?
Muitas vezes este tema não é tratado com a devida importância. 
Isto porque vários profissionais, por associarem este assunto a 
situações simples do cotidiano, se esquecem que os temas fazem 
parte de um conjunto de estruturas complexas que servem às 
organizações e seus usuários, sejam eles internos (funcionários) ou 
externos (parceiros de negócios). 
Por isto é importante a devida atenção e compreensão dos 
conceitos e da forma como se relacionam. Veremos a seguir os 
principais conceitos e estabelecer uma relação entre eles, de modo 
que seja possível identificar fragilidades e tratá-las com a devida 
atitude e precisão.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
25
A Importância da 
Segurança nos Sistemas 
Operacionais e Redes de 
Computadores
De modo a compreender melhor este assunto, é importante 
introduzir alguns conceitos e o relacionamento entre eles. Vejamos 
então:
Kernel: É uma palavra da língua inglesa e significa "núcleo". Na 
Informática, o kernel é a parte principal do sistema operacional e 
sua função é interligar (fazer a mediação) do software ao hardware, 
estabelecendo uma comunicação adequada entreos recursos de 
hardware.
A arquitetura do kernel pode ser dos tipos monolítico, híbrido ou 
micronúcleo.
No Monolítico, os controladores de dispositivos e as extensões de 
núcleo são executadas no espaço de núcleo, com acesso completo 
ao hardware. No Híbrido é um micronúcleo que possui um código 
na região do núcleo para que as operações sejam executadas mais 
rapidamente. Já no Micronúcleo alguns processos são executados 
no núcleo e os demais são no espaço do usuário.
Sistema Operacional: É um programa que controla o computador 
independente do seu porte ou plataforma. O Sistema Operacional é 
responsável por alocar os recursos do hardware e organizar tarefas. 
Ele também proporciona uma interface para que o usuário tenha 
acesso aos recursos do computador de uma forma “amigável”. Eles 
podem ser projetados para funções específicas como controle de 
máquinas e sistemas distribuídos, dispositivos portáteis, redes.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
26
O SO estabelece os critérios de uso e a ordem de acesso dos 
recursos, não permitindo a violação de espaço de memória de 
processos concorrentes e tentativas de acesso simultâneo a 
um mesmo recurso (time sharing), gerenciando a proteção dos 
dispositivos. A figura abaixo mostra como o SO está posicionado.
FIGURA 1
Fonte: www.shutterstock.com 
Ele se divide em diversos tipos e os principais são:
Sistemas Monotarefas: Capazes de executar apenas uma tarefa de 
cada vez. 
Sistemas Multitarefas: Permite a realização de diversas tarefas 
“simultaneamente” em um processador. O que ocorre, na verdade 
é que ele divide o uso do processador entre as necessidades do 
sistema, de modo a permitir que todas as tarefas sejam executadas, 
compartilhando o tempo entre as tarefas (time sharing).
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
27
Sistemas Multiprocessadores: Conjunto formados pela gerência 
da combinação de 2 ou mais processadores, melhor adequando a 
distribuição dos processos à disponibilidade do sistema.
Sistemas embarcados: São direcionados para equipamentos de 
pequeno porte e aparelhos autônomos (computadores de bordo, 
centrais multimídia e sondas espaciais). Normalmente de trabalham 
com recursos limitados.
Sistema em tempo Real: Normalmente utilizados na indústria, 
com rapidez e exatidão em relação ao tempo de resposta e 
processamento de tarefas. Esses sistemas não podem falhar, já 
que muitos recursos prioritários dependem de seu funcionamento.
Conforme vimos, o Sistema Operacional é um software e por isto é 
passível de invasão ou ataque. Algumas dessas formas são: 
Bots: Se assemelha a um robô, e pode ser programado para 
desempenhar tarefas específicas no computador contaminado. O 
invasor se utiliza de um servidor IRC. Já que ele possui controle 
sobre o bot que determina rotinas perigosas para o equipamento 
contaminado. Dentre os objetivos do Bot podemos citar: Captar 
dados bancários e fazer com que o computador dissemine spam 
e phishing.
Backdoor: é um recurso usado por vários malwares com o objetivo de 
acessar remotamente o sistema ou uma rede infectada, explorando 
falhas em programas instalados, firewall e softwares desatualizados, 
abrindo portas do roteador. 
Alguns backdoors são explorados por sites maliciosos, pelas 
vulnerabilidades dos navegadores, garantindo que um cracker tenha 
acesso ao sistema, instalando outros malwares ou roubando dados.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
28
Compromised-Key Attack: São ataques realizados em chaves 
específicas de registro do SO. Quando o cracker tem acesso a 
estas chaves, ele pode gerar logs com a decodificação de senhas 
criptografadas e invadir serviços cadastrados e contas de usuários.
Rootkit.: É um software muitas vezes malicioso e que tem por 
objetivo esconder ou disfarçar alguns programas ou processos 
de métodos usuais de detecção, permitindo acesso exclusivo 
a um computador e suas informações. Existem programas que 
detectam a presença de rootkits. Alguns destes programas podem 
ser instalados gratuitamente de sites da internet. Porém, como todo 
problema, a melhor solução é a prevenção.
As ameaças citadas acima podem (e devem) ser evitadas com 
medidas simples, a saber:
• Possuir no computador programas de segurança (antivírus, 
anti-spyware, anti-rootkit etc);
• Manter os programas (aplicativos, utilitários e o sistema 
operacional) atualizados;
• Evitar arquivos de redes ponto a ponto;
• Evitar o download de cracks;
• Instalar, habilitar e configurar um firewall pessoal;
• Executar o sistema com privilégios limitados.
Por isto, a proteção do Sistema Operacional é tão importante 
quanto à proteção de outros softwares. Devemos ter todo o 
cuidado na prevenção de remoção destas e de outras ameaças.
Redes de Equipamentos: é um conjunto de dois ou mais 
equipamentos que utilizam um protocolo (conjunto de regras) em 
comum para compartilhar recursos. 
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
29
Utilizam-se de conexão, podendo ser: por cabo (fibra ótica, coaxial, 
ethernet ) ou wi-fi (ondas de rádio).
Qualquer tipo de dispositivo que possa enviar ou receber dados pode 
compor uma rede. Sendo assim, quando falamos em componentes 
de rede, dizemos que são nós, e não somente computadores.
São exemplos de Redes: Internet (WAN), Rede Local (LAN), Intranet, 
Rede Metropolitana (MAN) etc. 
As redes locais possuem várias topologias, sendo que cada uma 
possui particularidades, vantagens e desvantagens. Abaixo citamos 
as principais.
Topologias de redes
Ponto a Ponto: Ela é a mais simples. Une dois computadores 
através de um meio de transmissão qualquer. Dela, pode-se formar 
novas topologias, incluindo novos nós em sua estrutura.
FIGURA 2 - Ponto a ponto
Fonte: Adaptado do www.shutterstock.com
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
30
Barramento
Ela é de fácil expansão. Nela, todos os nós estão conectados a uma 
barra que é compartilhada entre todos os processadores, podendo 
o controle ser centralizado ou distribuído. O meio de transmissão é 
o cabo coaxial.
FIGURA 3 - Barramento
Fonte: Adaptado do www.shutterstock.com
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
31
Anel ou Ring 
Ela utiliza ligações ponto-a-ponto e transmitem em um único 
sentido. O sinal circula no anel até o destino. Ela é pouco tolerável à 
falha e a expansão pelo aumento do tempo entre o início e chegada 
do sinal ao nó destino.
FIGURA 4 – Anel ou Ring
Fonte: Adaptado do www.shutterstock.com
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
32
Estrela
Ela utiliza o switch para conectar e gerenciar a comunicação. Ele é 
um dos fatores determinantes na velocidade de transmissão, como 
também converte sinais transmitidos por protocolos diferentes.
FIGURA 5 – Estrela
Fonte: Adaptado do www.shutterstock.com
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
33
Árvore
Ela é basicamente uma série de barras interconectadas. Equivale 
a várias redes estrelas interligadas por meio de seus nós centrais. 
Esta topologia é muito utilizada na ligação de switch e repetidores.
FIGURA 6 – Árvore
Fonte: Adaptado do www.shutterstock.com
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
34
Híbrida
Ela é bem complexa, pois pode mesclar uma mistura de topologias, 
tais como as de anel, estrela, barra, entre outras, que possuem 
como características as ligações ponto a ponto e multiponto.
FIGURA 7 – Híbrida
Fonte: Adaptado do www.shutterstock.com
Conforme já foi dito, existem vários tipos de dispositivos em uma 
rede. São exemplos: terminais de computadores, impressoras,computadores, roteadores, pontes, repetidores, celulares, switch, 
HUB etc
Cada um dos tipos de redes e dispositivos citados possui 
vulnerabilidades que podem ser exploradas por um hacker ou um 
usuário mal intencionado. 
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
35
Alguns tipos de ataques são: 
Defacement: Também conhecido como “Deface”. É um tipo de ataque 
onde o invasor modifica o conteúdo e a aparência de uma página 
ou site da internet ou intranet. Normalmente, são realizados por 
hackers iniciantes ou usuários com pouco conhecimento técnico. 
As formas mais usadas na realização de um defacement são: 
• Explorar vulnerabilidades do servidor Web que hospeda o 
site; 
• Explorar vulnerabilidades de pacotes/linguagem de 
desenvolvimento do site;
• Explorar erros da aplicação Web; 
• Capturar login e senha de acesso do servidor Web e 
gerenciá-lo de forma remota.
DoS: É um ataque de negação de serviço ou em inglês Denial of 
Service. Os principais alvos são servidores web e o objetivo é fazer 
com que os recursos do sistema fiquem indisponíveis para os 
usuários. Na realidade, não é uma invasão do sistema, mas sim dá 
uma indisponibilidade por sobrecarga. Os ataques DoS são feitos 
normalmente de duas maneiras, a saber:
• fazer com que o Servidor reinicialize ou então utilizar ao 
extremo todos os recursos de processamento e memória. 
Sendo assim ele não consegue mais oferecer o serviço;
• fazer com que o meio de comunicação entre o Servidor e os 
usuários fique instável ou indisponível. Assim o serviço será 
negado.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
36
DdoS: É um ataque distribuído de negação de serviço ou em inglês 
Distributed Denial of Service. Neste tipo de ataque, um computador 
Master comanda, por meio de um programa malicioso, muitos 
computadores chamados de Zombies. Desta forma, o ataque é 
distribuído entre várias máquinas escravizadas.
São exemplos de vírus utilizados para estes tipos de ataque: 
"Slammer", "Codered", "MyDoom".
Scanners de Rede: São programas de varredura usados na detecção 
de vulnerabilidades em sistemas. São 2 os principais objetivos 
em procurar falhas de segurança que são: fortalecer os sistemas 
procurando e sanando 
Engenharia Social: Este é o tipo, tecnicamente mais simples, pois 
qualquer pessoa com o mínimo de noção de configuração técnica 
pode executar e, em contrapartida, é muito eficaz, pois atinge 
o elo mais fraco da segurança que são as pessoas. Consiste em 
explorar a ingenuidade das pessoas para se obter os acessos, 
senhas e dados sigilosos. A engenharia social não é uma técnica 
exclusiva da tecnologia, pois envolve apenas pessoas. Desta forma, 
o treinamento adequado faz a diferença na prevenção a este tipo de 
técnica.
Spoofing: É a técnica de se fazer passar por outra pessoa ou outro 
equipamento da rede, com o objetivo de acessar um sistema. Há 
variantes, como o spoofing de IP. O processo consiste em usar um 
programa que altere o cabeçalho dos pacotes IP. Desta forma, eles 
parecem estar vindo de outra máquina. 
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
37
Esta técnica também pode alterar o remetente da mensagem para 
que a vítima abra os e-mails infectados por softwares maliciosos. 
Isso acontece já que o e-mail infectado chega como se fosse 
enviado por alguém conhecido. Uma forma eficiente de evitar a 
infecção é não abrir e-mails suspeitos e em caso de dúvidas, passe 
o ponteiro do mouse (sem clicar) sobre links que estejam no corpo 
do e-mail. Desta forma, é possível visualizar o verdadeiro destino 
deste link.
Botnets:. Como o próprio nome já deixa claro, as botnets são 
basicamente redes de computadores infectados por bots 
semelhantes. Para quem propaga esse tipo de ameaça, ter centenas 
de computadores ligados com bots sob o seu comando é a maneira 
mais eficaz de espalhar os perigos propostos pelo aplicativo na 
tentativa de fraudar e enganar os usuários.
Vandalismo Virtual: Com o objetivo de facilitar o entendimento, é 
necessário, primeiramente, definir Vandalismo. Esta palavra significa 
hostilidade com as propriedades de terceiros. Normalmente, se 
manifesta publicamente com ataques a estas propriedades.
O vandalismo virtual ocorre quando um troll (como é chamado um 
vândalo deste tipo) modifica páginas de Internet. 
Segurança em comércio eletrônico
O comércio eletrônico tem se mostrado extremamente inovador 
e eficiente e já é visto como uma realidade consolidada, além de 
apresentar um grande potencial nos processos de negócio nos 
muitos setores da economia. Este crescimento, reforçado pelo 
aumento da velocidade e eficiência da Internet, tem chamado a 
atenção dos profissionais de TI para os aspectos de segurança e 
privacidade que são determinantes para a utilização deste tipo de 
comércio.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
38
Veremos aqui uma breve história do comércio eletrônico, bem como 
a evolução dos métodos de segurança.
Comércio: É o processo de comprar, vender e trocar produtos e 
serviços e existe desde os primórdios da civilização. O Comércio 
Eletrônico surgiu com a evolução da Internet e tem por objetivo o 
complemento das vendas, além de eliminar intermediários. Também 
são características deste tipo de comércio o aumento e melhoria da 
parceria de negócios e a diminuição de limites geográficos. 
Surpreendentemente, o comércio eletrônico não é só pela 
internet. Também ocorre por meio de aparelhos celulares e outros 
equipamentos eletrônicos. Ele é muito mais abrangente e envolve 
diversos tipos de negócios. É a automação das transações 
comerciais utilizando tecnologias de telecomunicações e 
informática. Sendo que a parte mais exposta deste tipo de comércio 
são as lojas virtuais. O Brasil cresceu 23% no último ano. Dentre 
as categorias com destaque estão viagens, setor automobilístico, 
varejo e classificados.
Tipos de comércio eletrônico
O comércio eletrônico é formado por diversas modalidades. Em 
qualquer destes tipos, o processo será on-line, ou seja, o cliente 
visualiza e escolhe o produto, coloca no “carrinho de compras” e 
efetua o pagamento no caixa.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
39
Os Tipos são:
• Empresa <-> Consumidor (Business to Consumer - B2C);
• Consumidor <–> Consumidor (Consumer to Consumer – 
C2C);
• Empresa <-> Empresa (Business to Business – B2B);
• Consumidor <–> Empresa (Consumer to Business – C2B);
• Consumidor <–> Administração (Consumer to 
Administration–C2A ou Consumer to Government – C2G);
• Empresa <–> Administração (Business to Administration – 
B2A ou Business to Government –B2G);
• Ponto <-> Ponto (Peer to Peer - P2P);
• M-Commerce (Mobile Commerce);
• S-Commerce (Social Commerce);
• Compra coletiva;
• T-Commerce (Television Commerce);
• F-Commerce - Facebook Commerce. 
A segurança no comércio eletrônico: 
O passo inicial para tratarmos de segurança no comércio eletrônico 
é identificar quais os principais tipos de ameaças que podem existir. 
Conforme já mencionamos, elas podem ser: acesso não autorizado 
(unauthorized access), Alteração de dados (data alteration), exposição 
de dados confidencias, monitorização (Monitoring), negação de 
serviço (Service Denial), perda ou destruição de dados, repúdio 
(Repudiation), spoofing e vulnerabilidade ou erros no software.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
40
Estas ameaças podem ser mitigadas ou reduzidas, adotando 
algumas medidas que podem ser: diminuir as informações 
necessárias no servidor web e limitar o público alvo e os meios de 
acesso às informações, adotando padrõesde segurança como, por 
exemplo, a autenticação e SSL (Secure Sockets Layer). A atualização 
dos sites deve ser constante assim como as atualizações de 
software de hospedagem de modo a manter a integridade dos 
dados do usuário.
Segundo Rafael Alves Florindo, 
A política de segurança é o ato de atribuir direitos e 
responsabilidades aos usuários de uma empresa e com 
as informações por eles tratadas. Ela também define 
as atribuições de cada um em relação à segurança dos 
recursos com os quais trabalham, devendo prever o 
que pode ou não ser feito na rede da empresa e o que 
será considerado inaceitável. 
A política de segurança da informação é o conjunto 
de diretrizes, normas e procedimentos que devem ser 
seguidos que tem por objetivo de dar a noção e orientar 
os funcionários, clientes, parceiros e fornecedores 
para o uso seguro do ambiente informatizado, com 
informações sobre como gerenciar, distribuir e proteger 
seus principais ativos. Na política de segurança 
também são definidas as penalidades às quais 
estão sujeitos aqueles que não cumprirem a política. 
(FLORINDO, 2014, portal on-line)
Com base no que foi exposto, entendemos que política de segurança 
da informação é um conjunto de ações que envolvem processos, 
tecnologia e pessoas, além do relacionamento entre estes três 
pilares.
Entre estes pilares, o que deve merecer maior atenção é o que se 
refere a pessoas, pois este depende de vários fatores subjetivos de 
difícil controle. Pessoas adoecem, têm sentimentos e dificuldades 
em lidar com eles, de relacionamentos e na maioria das vezes 
permite a interferência de fatores pessoais no ambiente profissional.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
41
Os principais mecanismos de segurança no comércio eletrônico 
são:
Firewall, IDS (Intrusion Detect System), Criptografia, Protocolos 
Regras de autenticação, Certificados digitais, Assinaturas digitais, 
Selos digitais, SSL.
A certificação digital é a tecnologia que provê mecanismos e 
segurança que garantem autenticidade, confidencialidade e 
integridade das informações eletrônicas. Os certificados digitais 
possuem informações como: dados do dono (nome, identificação, 
UF); nome da autoridade certificadora emissora do certificado; 
número de série do certificado; o período de validade do certificado; 
assinatura digital da autoridade certificadora. 
Fraudes em Comércio Eletrônico: Os invasores vêm concentrando 
na engenharia social, com o objetivo de fraudar o comércio 
eletrônico e internet banking já que é bem mais difícil invadir por 
quebra de senha e criptografia.
Segundo: o órgão CERT.BR (2014), a quantidade de ataques vem 
crescendo muito, ano a ano, conforme o gráfico abaixo.
FIGURA 8 – Total de Incidentes Reportados ao CERT.br por ano
Fonte: www.cert.br
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
42
FIGURA 9 – Incidentes Reportados ao CERT.br – Janeiro a 
Dezembro de 2014
Fonte: www.cert.br
A Internet, pela sua agilidade e abrangência, supera a mídia 
tradicional, reduzindo tempo de venda e facilitando acesso a 
informações adicionais. Com ela, as vendas cresceram, se utilizando 
de ferramentas para vender e comprar. 
O Brasil ocupa um dos primeiro lugares no ranking em ataques 
sofridos, ocorrendo mais de 30.000 milhões de reportados, sendo 
de Womrs e a servidores Web.
O gráfico abaixo, do mesmo órgão, mostra os tipos de ataques 
durante os meses do ano de 2014.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
43
A questão da segurança é uma das principais preocupações no 
desenvolvimento dos sistemas de pagamento virtual, que precisam 
assegurá-la sem comprometer a privacidade, pois os hackers estão 
constantemente tentando quebrar este tipo de segurança. Por isto, 
devemos ter todo o cuidado lembrando é claro da engenharia social, 
pois, esta afeta o elo mais fraco da corrente que são as pessoas.
Em função da grande variedade de tipos de ataques, é de 
fundamental importância que sejam aplicados métodos de 
prevenção e solução de problemas de segurança.
Estes métodos vão desde treinamentos adequados, evitando ou 
minimizando a engenharia social, até a instalação de softwares de 
proteção, como firewall e antivírus.
A informática em si, assim como os sistemas de informação, 
como ferramentas de gestão estratégica nas organizações, são de 
extrema importância, pois permitem que estas se tornem cada vez 
mais eficientes em um mercado extremamente competitivo.
Fazer com que a TI e seus sistemas estejam alinhados às estratégias 
de crescimento da empresa é um desafio. É fundamental salientar 
que a segurança é uma aliada fundamental e que, sem ela, todo 
esforço da equipe e da empresa pode ser perdido. A situação ideal 
é que ela já seja prevista durante o projeto do software, da área (ou 
departamento), porém na realidade atual do Brasil, nem sempre isto 
é possível. Muitas vezes, é necessário atuar quando a rotina já está 
em execução ou o departamento já está atuando.
Trataremos aqui de um tutorial simples para manter a segurança 
tanto nos Sistemas Operacionais quanto na rede empresarial. É 
importante observar que alguns tópicos são comuns na prevenção. 
Isto significa que devem se adequar à modalidade, ao nível e ao 
objeto da proteção.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
44
Passo 1: Identificar a área que será tratada conhecendo todos os 
relacionamentos dela com as demais na organização.
Passo 2: Identificar, conhecer e cadastrar todos os colaboradores 
(internos e externos) que atuam no departamento bem como o nível 
de acesso e o conhecimento que eles possuem dos sistemas.
Passo 3: Com as informações dos colaboradores (passo anterior), 
identificar aqueles que “tentam” acessar os Sistemas de forma 
diferente ou inadequada. É possível saber, através da observação do 
trabalho e dos logs de acesso. Verificar se alguma destas tentativas 
foi bem sucedida e em que data e hora.
Passo 4: Saber e relacionar quais são as queixas dos usuários em 
relação ao acesso aos sistemas (lentidão, queda de conexão, perda 
de informação, instabilidades etc)
Passo 5: Para cada um dos problemas identificados nos passos 3 e 
4, investigar a veracidade e o motivo do problema. Criar um relatório 
completo.
Passo 6: Com base neste relatório, traçar as estratégias de 
proteção, corrigindo as falhas que permitiram o erro e/ou a invasão. 
Poderão surgir problemas como picos ou falhas de energia, roteador 
wi-fi com acesso insuficiente, canal indevido no roteador, senhas 
fáceis, falhas de configuração do firewall, colaboradores com níveis 
altos de acesso e baixa confiabilidade, interferência de frequências, 
portas abertas desnecessariamente no Servidor, controle de acesso 
físico aos locais críticos (rack de switch, sala do servidor), etc.
Observação: Todos os passos e pontos devem ser documentados, 
de forma clara e objetiva. Assim, o conhecimento sobre o objetivo 
proposto é construído e será utilizado na manutenção e melhoria 
continua (PDCA).
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
45
Proposição:
Você foi convidado para avaliar as condições de segurança da informação 
em uma empresa de vendas de suprimentos de informática. 
Com base no que vimos nesta unidade, você deverá comparar o cenário 
atual da organização com as boas práticas aqui propostas. Após esta 
comparação, você deverá propor as soluções de melhoria e documentar 
estas soluções, sugerindo avaliações periódicas para manter tudo 
conforme sua proposta:
• Possui 15 trabalhadores sendo 2 diretores, 1 gerente de vendas, 
1 gerente administrativo, 5 vendedores de balcão, 5 vendedores 
para atendimento virtual (comércio eletrônico– website, SMS, 
whatsapp) e 1 serviços gerais;
• Possui 1 PC desktop com configuração para servidor de arquivos, 
10 PC desktop, 4 notebooks, 1 impressora com conexão wi-
fi e 1 impressora multifuncional sem conexão à rede (ligada ao 
servidor);
• Possui 1 roteador e todos os equipamentos se conectam à rede, 
via wi-fi.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
46
Revisão
A produção, o armazenamento e a utilização da informação passam 
por várias etapas e controles. A segurança da informação deve ser 
um ponto de fundamental importância em cada um dos controles 
que são elos desta corrente.
Vimos que a porção tecnológica é a base inicial para que a 
informação e o conhecimento sejam produzidos. Esta porção foi 
representada aqui pelos Sistemas Operacionais e pela Infraestrutura 
de Redes.
Observamos que existem várias formas, técnicas e personagens 
dedicados ao ataque, à invasão, à negação de serviços e ao roubo 
de informações.
A tríade “Processos, Pessoas e Tecnologia” deve sempre ser 
monitorada de modo que nada escape ao controle, já que isto 
poderia causa perdas incalculáveis, tanto financeiras quanto para a 
imagem da organização.
Devemos lembrar que a parte mais frágil desta tríade refere-se 
às pessoas, pois, possuem aspectos subjetivos que dificultam o 
controle. Neste caso, treinamentos e monitoramentos constantes 
fazem a diferença.
A engenharia social é uma das formas poderosas de ameaça, pois 
envolve e engana pessoas com o objetivo de obter informações 
sigilosas (logins, senhas, relatórios, manuais, acessos etc). Por isto, 
é um ponto estratégico a ser fortemente avaliado.
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 2
47
O comércio eletrônico (e-business), por sua vez, tem se mostrado, de 
forma crescente, uma ferramenta poderosa na comercialização de 
produtos e serviços. Este tipo de comércio utiliza a internet como 
meio principal de chegar aos clientes. Sendo a internet uma rede, 
ela também pode ser utilizada como meio de ataques e invasões. 
Por isto, procedimentos de segurança têm que fazer parte da rotina 
na sua utilização.
Por fim, observamos que as medidas de segurança são bastante 
comuns em todos os pontos e etapas na produção do conhecimento, 
desde a coleta dos dados, passando pela geração da informação, 
chegando ao conhecimento propriamente dito.
Abaixo, estão links e livros que podem ser consultados a respeito do tema.
CIPOLI, Pedro. O que é Engenharia Social? Portal Canaltech (on-line). 
Disponível em: http://corporate.canaltech.com.br/o-que-e/seguranca/O-
que-e-Engenharia-Social/. Acesso em: 15 jan.2016.
ENGENHARIA Social (Segurança da Informação). Postado por: Jefferson 
Costa. (17 min 53 seg.): son. Color. Port. Disponível em: <https://www.
youtube.com/watch?v=cK1k0NABPhs > Acesso em: 15 jan. 2016
SACCO, Luiz Antônio. Dicas de segurança no comércio eletrônico. Portal 
e-commerce Brasil (on-line). Disponível em: https://www.ecommercebrasil.
com.br/artigos/dicas-de-seguranca-comercio-eletronico/. Acesso em: 15 
jan. 2016.
Estudo das 
normas ISO 
27000 – 
Aplicação de 
normas, padrões 
internacionais e 
certificação
• Objetivos e 
funções - ISO/IEC 
27000
Introdução
Muitas vezes não tratamos as normas com a devida importância 
por entendermos ser algo dispensável. Ledo engano! 
As normas são criadas com base em acordos, cooperações, 
estudos e avaliações por um órgão com conhecimento e 
competência para tal. Elas sugerem um conjunto de boas práticas 
para execução e/ou produção em um determinado tema. O objetivo 
é fazer que aquilo que será produzido cumpra um padrão de 
qualidade e funcionamento. Este produto pode ser um software, 
eletrodoméstico, edifício, veículo, seminário, palestra etc.
Diante desse fato, é importante ter a devida atenção e compreensão 
dos conceitos que serão mostrados e a forma como se relacionam, 
de modo que sejam aplicados da melhor forma.
suporte
Realce
As normas da série ISO/IEC 27000 tratam do SGSI (Sistema de 
Gestão de Segurança da Informação). A segurança da informação 
não está exclusivamente associada ao conceito tecnológico, apesar 
de muitas pessoas acreditarem que seja desta forma. O SGSI é um 
modo de segurança para todos os tipos de dados e informações. 
Obviamente, está intimamente associado aos pilares da 
segurança da informação que são: confidencialidade, integridade, 
disponibilidade e autenticidade, já vistos anteriormente. 
A ISO (International Organization for Standardization) e a IEC 
(International Electrotechnical Commission compõem um 
sistema especializado de normatização mundial. Os organismos 
membros da ISO ou da IEC auxiliam no desenvolvimento de 
normas internacionais utilizando comitês técnicos definidos pela 
organização para tratar de assuntos técnicos. Estes comitês 
colaboram em áreas de interesse mútuo. 
Outras organizações internacionais, governamentais e ligadas a ISO 
e a IEC também podem atuar. 
Na área de TI, a ISO e a IEC criaram um comitê associando ISO/ IEC 
/ JTC1.
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
51
Objetivos e funções - 
ISO/IEC 27000
A norma ISO/IEC 27000, na realidade, é um conjunto de normas 
com várias séries, e cada uma delas tem uma função (ou objetivo) 
específica, porém todas elas tratam da criação, manutenção, 
melhoria, revisão, funcionamento e análise de um SGSI. 
As normas desta série estão relacionadas à segurança da 
informação. Este conceito está além dos pontos puramente ligados 
à informática. Ainda assim, estão lado a lado. O SGSI representa 
formas para a segurança para todos os tipos de dados, informações 
e do conhecimento produzido (ativos de TI). 
As diretrizes abrangem desde os primeiros passos na 
implementação de um SGSI, até áreas específicas, tais como 
orientações para empresas parceiras na certificação ou auditoria 
que também queiram implementar um SGSI. 
Critérios para certificação
As normas 27001 e 27002 devem ser usadas em conjunto. 
Elas são as mais conhecidas da família ISO 27000 sendo que o 
certificado da ISO 27002 é para profissionais da área. Seus códigos 
e orientações facilitam a obtenção do certificado ISO 27001, que é 
direcionado para empresas. Cada norma tem critérios diferentes 
para a certificação.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
52
Semelhante às normas ISO 9000 e ISO 14000, a norma 27001 
segue o padrão para a certificação de outros sistemas de gestão 
da ISO. Além da questão específica do sistema de gestão de 
segurança da informação, é necessário atenção ao funcionamento, 
monitoramento e melhoria do sistema. 
A certificação é realizada em duas partes: sendo que a primeira é 
uma revisão documental, a segunda é detalhada, semelhante a uma 
auditoria. Veremos mais sobre isto adiante.
A família ISO/IEC 27000 possui 
diversas normas relacionadas à SGSI. 
As mais conhecidas são:
• ISO/IEC 27000 – São informações básicas sobre as 
normas desta série (Vocabulários, objetivos e normas).
• ISO/IEC 27001 – Bases para a implementação de um 
SGSI em uma organização. Ela mostra a forma adequada 
de estabelecer um sistema de gestão de segurança da 
informação, avaliado e certificado de forma independente. 
Ela trata dos seguintes tópicos:
• compreensão das necessidades e a importância da 
política da segurança da informação;
• implantar e manter controles para gestão de riscos;
• acompanhar a performance, eficiência e eficácia da 
PSI;
• estimular melhoria contínua. (Ciclo PDCA).
Semelhante às 
normas ISO 9000e ISO 14000, a 
norma 27001 segue 
o padrão para a 
certificação de 
outros sistemas de 
gestão da ISO.
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
53
• ISO/IEC 27002 – Certificação profissional traz códigos 
de práticas para profissionais. Ela mostra diretrizes para 
práticas de gestão de segurança da informação e normas 
de segurança da informação para as organizações, 
inclusive a seleção, a implementação e o gerenciamento 
de controles, levando em conta os ambientes de risco da 
segurança da informação da organização. O resultado da 
análise de riscos irá determinar quais as ações de controle 
mais adequadas na gestão destes riscos. Esta norma está 
composta de tópicos e respectivos controles. Estes podem 
ou não ser implantados, dependendo do tipo, tamanho e 
necessidade da organização. Alguns destes tópicos são:
• organização da segurança da informação;
• gerenciamento de ativos;
• PSI (Política de Segurança da Informação);
• segurança de RH;
• gerenciamento de comunicações e operações;
• segurança física e de acesso;
• aquisição, desenvolvimento e manutenção de sistemas 
de informação;
• conformidade;
• gerenciamento de incidentes da segurança da 
informação;
• gerenciamento da continuidade de negócios.
• ISO/IEC 27003 – Diretrizes mais específicas para 
implementação do SGSI. Nele, concentram-se os aspectos 
críticos para a implantação e projeto bem sucedido de um 
SGSI, desde a concepção até a preparação da implantação, 
incluindo aí o processo de aprovação da direção.
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
54
• ISO/IEC 27004 – Normas sobre as métricas e relatórios 
do SGSI com o objetivo de avaliar a eficácia do SGSI 
implementado, além dos controles e/ou grupos de controles. 
É fundamental lembrar que as métricas e as respectivas 
avaliações são de extrema importância para conhecer, 
controlar e melhorar processos, políticas e procedimentos. 
Desta forma, é possível identificar problemas ou falhas de 
implantação e execução.
• ISO/IEC 27005 – Norma sobre gestão de riscos do 
SGSI. Estabelece diretrizes para o processo de gestão de 
riscos de segurança da informação. Deve permitir que o 
processo de segurança da informação ocorra de maneira 
eficaz, eficiente e sem interrupções ao longo do tempo. É 
fundamental que um gestor de riscos tenha uma visão de 
topo. Desta forma, a criação de processos integrados na 
gestão de riscos será facilitada. Além disso, o foco deve ser 
na prevenção. Veremos também que planos alternativos 
em caso de sinistro farão toda a diferença para a estratégia 
organizacional. 
• ISO/IEC 27006 – Norma sobre auditoria e certificação de 
SGSI, especificando requisitos e fornecendo orientações 
para empresas e/ou órgãos que prestem serviços de 
certificação e auditoria em um SGSI. Ela pode ser utilizada 
como referência para acreditação1, avaliação de pares 
ou outros processos de auditoria. A área de atuação 
de auditorias em Sistemas de Gestão de Segurança da 
Informação está entre a segurança física e lógica da 
informação até a adequação de conformidade com a 
legislação vigente e obrigações contratuais. 
1 Acreditação é um instrumento para geração de confiança para a atuação de 
organizações, em nível mundial, que desempenham tarefas de avaliação da 
conformidade.
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
55
Não promover auditorias poderá camuflar insuficiências do SGSI. 
Dependendo da profundidade destas insuficiências, estas poderão 
se converter em deficiências, gerando riscos para os dados e 
informações.
Nesta unidade não veremos a ISO/IEC 27005. Ela será vista 
posteriormente.
Relacionamento entre as normas da 
série ISO/IEC 27000
As Normas da série ISO/IEC 27000 tratam do “percurso” para 
o desenvolvimento de um Sistema de Gestão de Segurança da 
Informação (SGSI) nas Organizações de qualquer tamanho ou 
setor. Isto é muito importante, pois com a velocidade da produção 
de informações, é fundamental que o armazenamento e proteção 
sejam fatores determinantes ao sucesso das estratégias nestas 
organizações. Um SGSI abrange todas as atividades de gestão e 
suporte a esta gestão importantes para a segurança da informação.
Na atualidade, informação (gerando conhecimento) é um dos 
pilares para o sucesso. Com este aumento crescente, aumenta 
também dependência das empresas em relação aos Sistemas e 
Tecnologias da Informação. Sabendo do valor da informação, é 
fundamental que elas sejam produzidas e armazenadas de forma 
segura, eficiente e eficaz. 
O SGSI proporciona, dentre outras facilidades, a gestão dos riscos 
da segurança da informação garantindo que esta não seja negada, 
não se torne indisponível, não se perca (destruída ou danificada), 
não seja divulgada sem autorização ou roubada.
A informação é um dos ativos valiosos que envolvem a organização 
gerando valor para o negócio. Sendo assim, a proteção desta 
informação é de extrema importância, pois interfere diretamente na 
estratégia do negócio. 
A informação é um 
dos ativos valiosos 
que envolvem a 
organização gerando 
valor para o negócio.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
56
Análise de Risco é um dos instrumentos utilizados para garantir a 
segurança da informação. Esta análise deve identificar todos os 
riscos, mostrando as possíveis soluções para eliminar, transferir 
ou minimizar os riscos. As ameaças são ações, que quando 
exploradas, podem gerar vulnerabilidade e permitir ataques, 
provocando incidentes e comprometendo as informações, gerando 
perda de confidencialidade, disponibilidade e integridade.
As ameaças podem ser classificadas em três tipos: 
• ameaças físicas: decorrentes de fenômenos naturais; 
• ameaças tecnológicas: provocados por hackers, invasores, 
vírus, e também por falhas técnicas (hardware e software); 
• ameaças humanas: São as mais perigosas, provocadas 
por ladrões e espiões (gerando fraudes e roubos). 
Normalmente, passam pela engenharia social mencionada 
anteriormente. Segundo Araújo (2005) “(...) o fator humano 
é o principal desafio para se ter uma boa e segura conduta 
de Segurança da Informação”. (ARAÚJO, 2005, p. 5).
Com a evolução tecnológica e a facilidade de acesso às informações, 
é de responsabilidade das organizações adotar e implantar ações 
de proteção em relação às ameaças das quais são alvo.
Análise de Risco é 
um dos instrumentos 
utilizados para 
garantir a segurança 
da informação.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
57
É o objetivo da Gestão de Segurança de Informação manter 
a qualidade das informações tratando adequadamente da 
confidencialidade, integridade e disponibilidade. As normas da série 
ISO/IEC 27000 foram produzidas de modo a ser o padrão mundial 
para a Segurança da Informação. A série ISO 27000 constitui um 
padrão de certificação de sistemas de gestão promovido pela ISO, 
adequado à produção e implementação de Sistemas de Gestão 
de Segurança da Informação (SGSI), estabelecendo políticas 
de segurança e controles adequados. Como vimos, cada uma 
das normas da série ISO/IEC 27000 possui uma função que se 
relacionam. A família de normas da ISO/IEC 27000 possui padrões 
que estabelecem os requisitos para um SGSI e para sua certificação, 
prestando apoio e orientação aos processos e necessidades dociclo PDCA (Qualidade Total). A figura abaixo relaciona o SGSI ao 
ciclo PDCA.
FIGURA 1 - Comparativo entre o ciclo PDCA e os passos para 
implementação de um SGSI
Fonte: www.shutterstock.com
As normas da série 
ISO/IEC 27000 
foram produzidas 
de modo a ser o 
padrão mundial 
para a Segurança da 
Informação
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
58
Benefícios da Aplicação da Norma 
ISO/IEC 27000 e sua série
O volume de informações disponibilizadas às organizações, além 
de crescente, é de vital importância estratégica a elas. Visualizar 
os benefícios e relacioná-los ao cotidiano das empresas é fator 
determinante na implantação dos sistemas de segurança.
Os principais benefícios da norma ISO/IEC 27000 são: 
• estabelecer uma metodologia clara de Gestão da 
Segurança: é de extrema importância, pois a clareza facilita 
o entendimento e a disseminação do conhecimento;
• reduzir o risco de perda, roubo ou alteração da informação: 
já vimos que a informação é o principal ativo de uma 
organização. Perda de ativo implica em perdas financeiras, 
dentre outras;
• acessar as informações por meio de medidas de 
segurança: isto é fundamental, pois formas corretas e 
seguras no acesso à informação evitam que usuários não 
autorizados monitorem e/ou acessem indevidamente;
• aplicar a Gestão adequada de pessoas a todos os 
envolvidos na organização: já sabemos que o elo mais 
fraco no controle e gestão da segurança da informação 
é composto por pessoas. A correta gestão é fator 
determinante à segurança;
• aumentar a segurança em relação à gestão de processos: 
processos mal gerenciados podem gerar falhas e 
vulnerabilidades. Isto também implicará no risco de um 
acesso não autorizado e perda de informações;
O volume de 
informações 
disponibilizadas às 
organizações, além 
de crescente, é de 
vital importância 
estratégica a elas.
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
59
• aplicar a legislação sobre informação pessoal e 
propriedade intelectual: a legislação permite que 
pendências jurídicas sejam resolvidas aos olhos jurídicos. 
Com a devida clareza isto previne ataques por descuido ou 
falta de informação;
• controlar e verificar continuamente os riscos e os seus 
controles: isto faz parte dos processos de melhoria contínua 
que podem ser aplicados a qualquer área do conhecimento. 
Verificações constantes implicam em aprimoramento;
• garantir a confidencialidade e a qualidade comercial: o 
bom gerenciamento permite que a informação permaneça 
confidencial, gerando ótima visibilidade estratégica da 
organização.
Dificuldades para Implantação 
de um SGSI
Por tudo que vimos, entendemos que é muito importante o 
desenvolvimento, implantação e manutenção de um SGSI nas 
organizações. Porém não é tão simples quanto parece. 
Existem várias dificuldades que devem ser vencidas. Elas serão 
descritas abaixo:
• dificuldade na definição no escopo: muitas vezes, pelo 
levantamento insuficiente de requisitos e coleta de dados, 
a definição do escopo fica inadequada, podendo gerar 
revisões e dificuldades desnecessárias. Quando isto 
ocorre, tanto o desenvolvimento quanto a implantação do 
SGSI ficam prejudicados. Isto irá provocar o retrabalho e 
possíveis perdas para a organização;
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
60
• dificuldade em desenvolver uma abordagem sistemática, 
clara e simples na gestão dos riscos: a gestão dos riscos 
é uma área extremamente importante, pois é nela que 
os possíveis riscos são identificados e a forma de tratá-
los é definida de acordo com cada caso. Tratar isto com 
simplicidade e clareza pode ser a diferença entre o sucesso 
ou o fracasso na implantação do SGSI;
• dificuldade em testar os planos de continuidade do 
negócio: muitas vezes não há ambientes de simulação 
ou, quando existem, não são adequados. Desta forma, 
os testes dos planos de continuidade do negócio ficam 
incompletos, inconclusivos ou inexistentes, podendo gerar 
graves consequências em caso de uma crise;
• designar indevidamente a área de TI no desenvolvimento 
do projeto: por falta de definição ou compreensão 
por parte das outras, a área de TI fica encarregada do 
desenvolvimento do projeto e, como vimos, o SGSI não 
é exclusivo na gestão de informações de tecnologia. O 
gestor terá que buscar a integração das áreas e pessoas 
envolvidas nos processos e procedimentos. Desta forma, o 
SGSI será mais completo, coeso e abrangente;
• visão incorreta no estabelecimento dos parâmetros dos 
controles definidos na norma: isto ocorre quando a leitura 
e/ou interpretação da norma é ineficiente, podendo gerar 
retrabalho em fases críticas da implantação do SGSI. O 
gestor terá que ficar muito atento neste ponto, pois estudos 
mostram que o custo do “retrabalho” normalmente é maior 
do que o do próprio trabalho. Além do aumento financeiro, 
este retrabalho pode gerar problemas como refugo, custo 
de tempo perdido, redução da confiança por parte dos 
stakeholders, dentre outros;
suporte
Realce
suporte
Realce
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
61
• ausência da ação correta ao identificar e usar controles 
além da norma: ocorre quando a gestão da implantação não 
assume uma visão de topo. Ou seja, “o que será feito com 
assuntos e problemas não previstos na norma?”. Muitas 
vezes (na maioria dos casos), ocorrem situações não 
previstas e/ou definidas nas normas. E aí, como agir? Neste 
momento, o gestor terá que utilizar seus conhecimentos 
e experiências, além de contar com profissionais que 
possuam o conhecimento no problema que será tratado;
• pessoal e Orçamento com limitações: muitas vezes, 
principalmente no cenário econômico atual, será necessário 
a convivência da necessidade de desenvolver e implantar o 
SGSI com as restrições financeiras ou de pessoal. Mesmo 
com as adversidades, a equipe de gestão terá que encontrar 
soluções adequadas a este cenário. Além disto, sabemos 
que no relacionamento humano; por mais profissional 
que as pessoas busquem ser, sempre há conflitos e jogos 
de interesse. Isto pode dificultar o desenvolvimento e 
implantação do SGSI. Caberá ao gestor tratar este ponto, 
utilizando técnicas de motivação e de gestão de pessoas.
Cada um destes fatores tem implicações próprias e peculiares 
ao tipo e tamanho da organização onde o SGSI será implantado. 
Porém, independente da dificuldade, ela deve ser transposta, pois o 
objetivo final (Implantação consistente) deve ser cumprido.
suporte
Realce
suporte
Realce
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
unidade 3
62
Principais melhorias nas organizações 
com a implantação de um SGSI
Entendemos que, quando há uma proposta de novas implantações 
em uma organização, sejam estas implantações em qualquer área, 
elas vão trazer melhorias que justifiquem o projeto. Estas melhorias 
podem abranger várias ou todas as áreas da empresa. No nosso 
caso, as melhorias irão tratar de um assunto extremamente 
estratégico para a empresa, este se refere às informações e ao 
conhecimento: ferramentas de evolução e competitividade. 
Ao implantar o SGSI, esperam-se as seguintes melhorias:
• cumprimento dos objetivos organizacionais de segurança 
da informação; 
• satisfação dos requisitos de segurança de clientes e 
parceiros de negócios; 
• melhoria nos seus planos e atividades de curto e longo 
prazos;