Fundamentos de Segurança da Informação

Prévia do material em texto

20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 1/37
SEGURANÇA E AUDITORIA DESEGURANÇA E AUDITORIA DE
SISTEMASSISTEMAS
FUNDAMENTOS DEFUNDAMENTOS DE
SEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃO
Autor: Me. Ariel da Silva Dias
R e v i s o r : J a i m e G r o s s G a r c i a
I N I C I A R
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 2/37
introdução
Introdução
No mundo dos negócios progressivamente competitivo, as informações são recursos
valiosos que precisam de proteção máxima. A segurança dessas informações é
essencial para gerenciar seus negócios e garantir que as informações vitais não
sejam comprometidas de forma alguma.
Proteger as informações é fundamental para a sobrevivência da sua empresa.
Portanto, você terá neste capítulo a conceitualização sobre risco, ameaça e
vulnerabilidade, verá também os pilares essenciais para a construção de um sistema
de informação seguro.
Neste capítulo, você conhecerá os pilares essenciais para a construção de um
sistema de informação seguro. A colocação adequada desses pilares é fundamental
para o desenvolvimento de qualquer tipo de mecanismo de segurança da informação
em seus negócios.
Bons estudos!
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 3/37
A segurança dos sistemas de informação é um assunto amplo no campo da
tecnologia da informação (TI) que se concentra na proteção de computadores, redes
e seus usuários.
Quase todas as empresas modernas, assim como muitas famílias e indivíduos,
justi�caram preocupações sobre os riscos digitais para o seu bem-estar. Essas
ameaças possuem todas as formas e tamanhos, incluindo roubo de informações
privadas de banco de dados, instalação de software malicioso em uma máquina e
interrupções intencionais de serviço.
A Internet mudou drasticamente desde sua origem. O número de dispositivos
conectados e trocando informações diariamente é muito maior do que há 5 ou 10
anos e, com isso, o número de ataques também aumentaram.
O mundo, então, precisa de pessoas que entendam da segurança de sistemas de
informação e que possam proteger os computadores de criminosos e terroristas.
Antes de entrarmos nos conceitos de segurança da informação, é importante
diferenciarmos os conceitos de dado e informação.
Segurança de Sistemas deSegurança de Sistemas de
InformaçãoInformação
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 4/37
Dado
Os dados são um fato bruto e desorganizado, precisam ser processados para torná-
los signi�cativos. Os dados podem ser simples e ao mesmo tempo desorganizados, a
menos que sejam organizados. Geralmente, os dados incluem fatos, observações,
números de percepções, caracteres, símbolos, imagem etc. (HINTZBERGEN et al.,
2018).
Os dados são sempre interpretados por um humano ou máquina para derivar
signi�cado. Portanto, os dados não têm sentido. Os dados contêm números,
instruções e caracteres em formato bruto.
Informação
Informação é um conjunto de dados processados de maneira signi�cativa de acordo
com o requisito especi�cado. As informações são processadas, estruturadas ou
apresentadas em um determinado contexto para torná-las signi�cativas e úteis
(HINTZBERGEN et al., 2018).
São dados processados que incluem dados que possuem contexto, relevância e
�nalidade. Também envolve manipulação de dados brutos.
A informação atribui signi�cado e melhora a con�abilidade dos dados. Ajuda a
reduzir a incerteza. Portanto, quando os dados são transformados em informações,
nunca há detalhes inúteis.
Podemos concluir que a informação é um resultado do dado processado. Por outro
lado, quando a informação é processada, temos o conhecimento. Por �m, do
conhecimento podemos tirar a sabedoria. Veja na Figura 1.1 esta relação entre
dados, informações, conhecimento e sabedoria.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 5/37
Então, podemos dizer que os dados são um fato bruto e desorganizado que precisam
ser processados para torná-los signi�cativos. Por outro lado, a informação é um
conjunto de dados processados de maneira signi�cativa, de acordo com o requisito
especi�cado.
Segurança das Informações
A segurança das informações tem a ver com a proteção das informações e dos
sistemas de informações contra uso, avaliação, modi�cação ou remoção não
autorizada. É semelhante à segurança dos dados, que tem a ver com a proteção de
dados contra hackers ou roubos (GALVÃO, 2015).
Uma vez que os dados se tornam informação, é quando precisa de proteção de
fontes externas. Essas fontes externas podem não estar necessariamente no
ciberespaço (cyberspace) (BUSSELL, 2019).
Cyberspace (ciberespaço)
O ciberespaço, também chamado de “o mundo amorfo”, é criado por links entre
computadores, dispositivos conectados na internet como servidores, roteadores e
outros componentes da infraestrutura.
Figura 1.1 - Relação entre dado, informação, conhecimento e sabedoria
Fonte: Elaborada pelo autor.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 6/37
Ao contrário da própria Internet, no entanto, o ciberespaço é o local produzido por
esses links. Na perspectiva de algumas pessoas, o ciberespaço é um local que existe
sem a regência ou gestão de um estado ou nação, logo, para estas pessoas, trata-se
de “uma terra sem lei”.
O termo ciberespaço foi usado pela primeira vez pelo autor americano-canadense
Gomes (1982) em uma história publicada na revista Omni. O autor descreveu o
ciberespaço como a criação de uma rede de computadores em um mundo cheio de
seres arti�cialmente inteligentes (GOMES, 2008).
Desde o surgimento da Internet, no entanto, os governos nacionais e seus analistas
mostraram a relevância das regulamentações nacionais e dos acordos internacionais
sobre o caráter do ciberespaço. Essas pessoas, sem corpo no ciberespaço, devem
acessar esse espaço através de sua forma corporal e, assim, continuam sendo
limitados pelas leis que governam sua localização física (STALLINGS, 2015).
O controle do ciberespaço é, portanto, importante, não apenas por causa das ações
de participantes individuais, mas porque a infraestrutura do ciberespaço é agora
fundamental para o funcionamento de sistemas de segurança nacionais e
internacionais, redes comerciais, serviços de emergência, comunicações básicas e
outras atividades públicas e privadas.
Como os governos nacionais veem ameaças em potencial à segurança de seus
cidadãos e à estabilidade de seus regimes no ciberespaço, eles agem para controlar o
acesso e o conteúdo.
Cybersecurity
Cybersecurity é a prática de proteger informações e dados de fontes externas na
Internet. Os pro�ssionais de segurança cibernética fornecem proteção para redes,
servidores, intranets e sistemas de computador. Também garantem que apenas
pessoas autorizadas tenham acesso a essas informações.
Em um ambiente de escritório, um indivíduo pode ir ao computador de outro,
instalar uma unidade �ash e copiar informações con�denciais. Isso se enquadra mais
na categoria de segurança da informação. Se alguém do outro lado do mundo
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 7/37
conseguir invadir a rede de outra empresa e violar seu sistema, essa empresa
precisará de uma melhor segurança cibernética.
Diferença entre Segurança da
Informação e Cybersecurity
Embora eles sejam frequentemente usados de forma intercambiável, há uma
diferença entre os termos cybersecurity e segurança da informação. Ambos têm a ver
com segurança e proteção dos sistemas de computadores contra violações e
ameaças à informação, mas também são muito diferentes.
Enquanto muitas pessoas ainda as considerama mesma coisa, na verdade elas não
são. Suas capacidades são diferentes. Ambos oferecem proteção contra informações
e dados roubados, acessados ou alterados, mas é aí que as semelhanças terminam.
As informações não precisam estar no computador para ser necessário um sistema
de segurança da informação. Mesmo se estiver armazenado em um arquivo, ele
precisa de boa segurança das informações. A segurança cibernética lida com a
proteção de dados e informações de fontes externas do ciberespaço ou da Internet.
Assim sendo, a segurança das informações tem a ver com proteger as informações
que geralmente se concentram nos pilares da segurança da informação (CIA -
con�dencialidade, integridade e disponibilidade; veremos logo mais estes
conceitos). Por outro lado, cibersegurança trata de proteger coisas vulneráveis por
meio das TIC (Tecnologias da Informação e Comunicação).
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 8/37
Na Figura 1.2, podemos ver no diagrama de Venn que o lado direito representa a
segurança cibernética (coisas vulneráveis por meio das TIC, inclui informações
físicas e digitais, além de não informações, como carros, semáforos,
eletrodomésticos etc.). Enquanto o lado esquerdo representa a segurança da
informação (que consiste em informações digitais e analógicas).
Observe que a segurança de TI é a proteção das tecnologias da informação.
Praticamente, não há diferença entre segurança de TIC e segurança de TI.
Como você pode ver na Figura 1.3 a seguir, os dois conjuntos estão sobrepostos. O
diagrama da Figura 1.3 ilustra a relação entre segurança de TIC, segurança
cibernética e informações.
Figura 1.2 - Diagrama relacionando Segurança da Informação e Cibersegurança
Fonte: Elaborada pelo autor.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 9/37
Observe na Figura 1.3 que a segurança cibernética (cibersegurança) inclui tudo e
todos que podem ser acessados através do ciberespaço. Assim, alguém poderia
argumentar que tudo neste mundo é vulnerável através das TIC. No entanto,
seguindo a de�nição de cibersegurança, devemos proteger o que deve ser protegido,
devido aos desa�os de segurança impostos pelo uso das TIC.
Riscos, Ameaças e Vulnerabilidades
É comum que termos como ameaças cibernéticas, vulnerabilidades e riscos sejam
confundidos. Este subcapítulo tem como objetivo de�nir cada termo, destacar como
eles diferem e como eles se relacionam.
Ameaças
Ameaças cibernéticas, ou simplesmente ameaças, referem-se às circunstâncias ou
eventos com potencial de causar danos por meio de seus resultados. Alguns
exemplos de ameaças comuns incluem um invasor roubando dados con�denciais de
seus aplicativos, ativistas políticos realizando ataque DDoS em seu site, um
administrador acidentalmente apagando todas as informações de um sistema de
Figura 1.3 - Segurança da Informação, Segurança de TIC e Cibersegurança
Fonte: Elaborada pelo autor.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 10/37
produção e uma tempestade inundando o data center de sua empresa (KIM;
SOLOMON, 2014).
As ameaças cibernéticas são atualizadas pelos atores de ameaças. Estes atores
geralmente se referem a pessoas ou entidades que podem potencialmente iniciar
uma ameaça. Embora desastres naturais, outros eventos ambientais e políticos
constituam ameaças, eles geralmente não são considerados atores de ameaças (isso
não signi�ca que tais ameaças devam ser desconsideradas ou menos importantes).
Ameaças comuns incluem coisas como:
Um ativista tenta roubar dados do seu site;
Um incêndio começa no seu datacenter;
Um administrador acidentalmente desativa a instância da AWS (serviço de
nuvem) do seu site;
Uma inundação atinge sua sede;
Um funcionário tenta vender seus segredos corporativos a um
concorrente.
saiba mais
Saiba mais
DDoS é um ataque de negação de serviço, o qual
 envolve vários dispositivos online conectados,
conhecidos coletivamente como botnet, usados
para sobrecarregar um site de destino com
tráfego falso. Acesse o artigo escrito por Santos e
Silva (2016) para saber um pouco mais sobre
ataque DDoS e como detectá-lo.
ACESSAR
https://www.inf.ufsc.br/~bosco.sobral/downloads/I2TS%202010%20CD%20Proceedings/www.i2ts.org/papers/full_portugues/78861.pdf
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 11/37
Ameaças cibernéticas também podem se tornar mais perigosas por causa dos
agentes de ameaças, alavancando uma ou mais vulnerabilidades em um sistema, que
é o que abordaremos a seguir.
Vulnerabilidades
Vulnerabilidades se referem a pontos fracos em um sistema. As vulnerabilidades
tornam as ameaças possíveis e potencialmente ainda mais perigosas. Um sistema
pode ser explorado por meio de uma única vulnerabilidade, por exemplo, uma única
vulnerabilidade de injeção de SQL pode fornecer ao invasor controle total sobre
dados con�denciais. Um invasor pode encadear várias explorações, explorando mais
de uma vulnerabilidade para explorar um sistema (GALVÃO, 2015).
Exemplos comuns de vulnerabilidades incluem:
Falta de controle de acesso predial adequado;
Script entre sites (XSS);
Injeção SQL;
Transmissão de texto não criptografado de dados con�denciais;
Falha ao veri�car a autorização para recursos con�denciais;
Falha ao criptografar dados con�denciais em repouso.
Vulnerabilidades são os pontos fracos que os agentes de ameaças aproveitam para
fazer o que estão tentando fazer.
Riscos
Os riscos geralmente são confundidos com ameaças, no entanto, há uma grande
diferença entre os dois. Podemos dizer que o risco refere-se à combinação da
probabilidade de uma ameaça e da perda/impacto de uma ameaça (geralmente em
termos monetários, no entanto deve-se notar que a quanti�cação de uma violação é
extremamente difícil) (GALVÃO,2015). Essencialmente, isso se traduz no seguinte:
risco = probabilidade da ameaça x impacto de uma ameaça (GALVÃO, 2015).
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 12/37
Portanto, um risco é um cenário que deve ser evitado, combinado com as perdas
prováveis resultantes desse cenário. A seguir, é apresentado um exemplo hipotético
de como pode surgir um risco:
A injeção de SQL é uma vulnerabilidade;
O roubo de dados con�denciais é uma das ameaças cibernéticas que a
injeção de SQL permite;
Os atacantes motivados �nanceiramente são um dos atores das ameaças;
O impacto de dados con�denciais roubados arcará com um custo
�nanceiro signi�cativo (perda �nanceira e de reputação) para os negócios.
Resumidamente, então, temos:
Uma ameaça é um cenário negativo que você deseja evitar;
Um ator de ameaças é o agente que faz uma ameaça acontecer;
Uma vulnerabilidade é uma fraqueza que pode ser explorada para atacar
você;
Um risco é um cenário negativo que você deseja evitar, combinado com a
probabilidade e o impacto;
A diferença entre uma ameaça e um risco é que uma ameaça é um evento
negativo por si só, onde um risco é o evento negativo combinado com sua
probabilidade e seu impacto.
Embora a diferença entre uma vulnerabilidade, uma ameaça e riscos cibernéticos
sejam geralmente entendidas, a diferença entre ameaças e riscos pode ser mais sutil.
Compreender essa diferença de terminologia permite uma comunicação mais clara e
uma melhor compreensão de como as ameaças in�uenciam os riscos. Obviamente,
quanti�car com precisão a potencial perda de uma ameaça é a parte mais difícil.
praticar
V P ti
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 13/37
p
Vamos Praticar
Durante seus estudos você viu o conceito de risco, ameaça e vulnerabilidade. Viu, por
exemplo, que existe diferenças entre estes três termos, por mais que algumas vezes
ocorramalguma confusão. De posse dos seus conhecimentos e do conteúdo estudado,
indique qual das alternativas a seguir é uma ameaça à segurança da informação.
a) Espionagem.
b) Sem excluir dados, descarte da mídia de armazenamento.
c) Senha padrão inalterada.
d) Não ter um antivírus.
e) Patches e atualizações mais recentes não concluídas.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 14/37
No mundo dos negócios progressivamente competitivo, as informações são um
recurso valioso que precisa de proteção máxima. A segurança das informações é
essencial para gerenciar seus negócios e garantir que as informações vitais não
sejam comprometidas de forma alguma (INFINIT-O, 2019).
A segurança das informações no mundo altamente produtor de dados está centrada
na "tríade da CIA" para garantir o armazenamento, o �uxo e a utilização segura e
suave de informação.
A tríade da CIA refere-se aos princípios fundamentais de segurança da informação,
que incluem Con�dencialidade, Integridade e Disponibilidade (CIA) - nada a ver com
a agência de espionagem.
A tríade da CIA compreende principalmente quatro camadas de segurança da
informação. Essas camadas representam como os sistemas fazem a comunicação e
como os dados �uem dentro dos sistemas.
Acesso a aplicativos
A camada de acesso ao aplicativo indica que o acesso aos aplicativos do
Princípios da SegurançaPrincípios da Segurança
de Sistemas dede Sistemas de
InformaçãoInformação
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 15/37
usuário deve ser restrito com base na necessidade de conhecimento.
Acesso à infraestrutura
A camada de acesso à infraestrutura indica que o acesso a vários
componentes da infraestrutura de informações (como servidores) deve ser
restrito com base na necessidade de conhecimento.
Acesso Físico
A camada de acesso físico indica que o acesso físico a sistemas, servidores,
centros de dados ou outros objetos físicos que armazenam informações
vitais deve ser restrito com base na necessidade de conhecimento.
Dados em movimento
A camada de dados em movimento indica que o acesso a dados deve ser
restrito enquanto estiver em processo de transferência (ou em
movimento).
Confidencialidade
O princípio da con�dencialidade diz que as informações devem permanecer fora dos
limites ou ocultas de indivíduos ou organizações que não tenham autorização para
acessá-las. Este princípio determina essencialmente que as informações devem ser
acessadas apenas por pessoas com privilégios legítimos (INFINIT-O, 2019; KOLBE,
2017).
É a garantia de que as informações não são divulgadas a indivíduos, grupos,
processos ou dispositivos não autorizados. Dados altamente con�denciais devem
ser criptografados para que terceiros não possam descriptografá-los facilmente.
Somente aqueles que estão autorizados a visualizar as informações têm acesso
permitido.
A con�dencialidade é um princípio fácil de violar. Por exemplo, se um funcionário de
uma organização permite que alguém veja a tela do seu computador, que no
momento pode estar exibindo algumas informações con�denciais, ele já pode ter
cometido uma violação da con�dencialidade.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 16/37
Integridade
O segundo princípio envolve a integridade da informação e trata que as informações
ou dados devem ter um nível de integridade que impeça a violação fácil.
A precisão e integridade das informações vitais devem ser protegidas. Os dados não
devem ser alterados ou destruídos durante a transmissão e armazenamento. Isso
envolve garantir que um sistema de informações não seja violado por nenhuma
entidade não autorizada. As políticas devem estar em vigor para que os usuários
saibam como utilizar adequadamente seu sistema (INFINIT-O, 2019; KOLBE, 2017).
Disponibilidade
O terceiro princípio orientador refere-se à disponibilidade de informações e ressalta
a importância de proteger as informações em um local onde entidades não
autorizadas não podem acessá-las e as violações de dados podem ser minimizadas.
Signi�ca que os usuários autorizados têm acesso rápido e fácil aos serviços de
informação. Os recursos e a infraestrutura de TI devem permanecer robustos e
totalmente funcionais o tempo todo, mesmo em condições adversas, como con�itos
no banco de dados ou falhas. Envolve a proteção contra códigos maliciosos, hackers
e outras ameaças que podem bloquear o acesso ao sistema de informações
(INFINIT-O,2019; KOLBE, 2017).
Algumas das maneiras típicas pelas quais as informações con�denciais vazam estão
relacionadas ao manuseio incorreto das informações disponíveis. Essas maneiras
podem incluir:
Roubo de equipamentos físicos, como PC, laptop, dispositivo móvel ou
papel;
Descarte incorreto de papel ou dados armazenados digitalmente;
Divulgação não autorizada ou negligente de controles de acesso ou chaves
de autenticação;
Vazamento de informações devido ao mau entendimento de um contrato
legal de con�dencialidade;
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 17/37
Informação incorreta devido a negligência;
Hacking ou violação ilegal da segurança de dados.
A ISO 7498-2 adiciona mais duas propriedades de segurança do computador que
são autenticação e prestação de contas ou não repúdio (INFINIT-O,2019; KOLBE,
2017).
Autenticidade
Esta medida de segurança é projetada para estabelecer a validade de uma
transmissão, mensagem ou um meio de veri�car a autorização de um indivíduo para
receber informações especí�cas. A autenticação evita a representação e exige que
os usuários con�rmem suas identidades antes de poderem acessar sistemas e
recursos. Isso inclui nomes de usuário, senhas, e-mails, biometria e outros.
Não repúdio
Este atributo garante que o remetente dos dados receba a prova da entrega e o
destinatário a prova da identidade do remetente, para que nenhuma das partes
possa negar o envio, o recebimento ou o acesso aos dados. Os princípios de
segurança devem ser usados para provar identidades e validar o processo de
comunicação.
Os princípios fundamentais da CIA permanecem inalterados ao longo do tempo, mas
as metodologias de conformidade para seguir esses princípios orientadores de
segurança da informação mudam continuamente com a evolução da tecnologia e o
constante desenvolvimento de novas vulnerabilidades e ameaças. Esforços
contínuos são essenciais para garantir a adesão aos princípios de con�dencialidade,
integridade e disponibilidade de informações em todos os momentos.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 18/37
praticarVamos Praticar
Durante os estudos você conheceu os pilares da segurança da informação chamados de
CIA ou CID: Con�dencialidade, Integridade e Disponibilidade. Este é um modelo projetado
para desenvolver uma política de segurança. Sobre os 3 conceitos deste modelo, é correto
a�rmar que:
a) integridade: as informações ou dados devem ter um nível de integridade que
impeça a violação fácil.
b) disponibilidade: veri�ca se os dados disponibilizados são acessados apenas por
um usuário autorizado.
c) con�dencialidade: veri�ca se os dados e os recursos estão disponíveis para os
usuários que precisam deles.
d) integridade:  pelo princípio da integridade, temos que ele veri�ca se os dados
con�denciais são acessados pelas pessoas a quem compete obtê-los.
e) con�dencialidade: as informações ou dados devem ter um nível de
con�dencialidade que impeça a violação fácil.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 19/37
A e�cácia dos controles de um sistema de informação é avaliada através de uma
auditoria, a qual  visa estabelecer se os sistemas de informação estão protegendo os
ativoscorporativos, mantendo a integridade dos dados armazenados e
comunicados, dando suporte aos objetivos corporativos de maneira e�caz e
operando com e�ciência.
Definição Formal
A auditoria de sistemas envolve a revisão e avaliação de controles e sistemas de
computadores, bem como seu uso, e�ciência e segurança na empresa que processa
as informações. Graças à auditoria de sistemas como alternativa ao controle,
acompanhamento e revisão, o processo e as tecnologias do computador são
utilizados com mais e�ciência e segurança, garantindo a tomada de decisões
adequada (GALVÃO, 2015).
Em resumo, a auditoria de sistemas consiste em:
Auditoria de SistemasAuditoria de Sistemas
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 20/37
Veri�cação de controles no processamento de informações e instalação de
sistemas, a �m de avaliar sua e�cácia e também apresentar algumas
recomendações e conselhos;
Veri�cação e julgamento das informações objetivamente;
Exame e avaliação dos processos em termos de informatização e
processamento de dados. Além disso, a quantidade de recursos investidos,
a rentabilidade de cada processo e sua e�cácia e e�ciência são avaliadas.
A análise e avaliação realizadas através da auditoria de sistemas devem ser
objetivas, críticas, sistemáticas e imparciais. O relatório �nal de auditoria deve ser
um exemplo claro da realidade da empresa em termos de processos e
informatização, para tomar melhores decisões e melhorar os negócios.
reflita
Re�ita
O processo de auditoria deve ser um arranjo cooperativo em que
todas as partes trabalham juntas para tornar sua organização mais
segura. Você não deverá vê-lo como adversário. Os auditores e a
organização auditada devem trabalhar para o mesmo objetivo: um
ambiente mais seguro (KIM; SOLOMON, 2014).
KIM, D.; SOLOMON, M. Fundamentos de segurança de sistemas
de informação. São Paulo: LTC, 2014.
Com base nesta a�rmação, re�ita quais as vantagens trazidas pela
auditoria e o porquê a organização e auditores devem trabalhar
juntos.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 21/37
Objetivos
A presença da tecnologia em cada vez mais áreas de negócios requer um sistema de
controle, monitoramento e análise, como auditoria de sistemas. Em primeiro lugar, é
necessário garantir segurança ao lidar com dados, proporcionando privacidade e
bom uso. Segundo, para tornar o sistema de computador um processo muito mais
e�ciente e lucrativo, permitindo detectar erros e tomar decisões imediatamente.
Assim, podemos dizer que os objetivos da auditoria de sistemas são:
Melhorar a relação custo-benefício dos sistemas de informação;
Aumentar a satisfação e a segurança dos usuários desses sistemas
informatizados;
Garantir con�dencialidade e integridade por meio de sistemas
pro�ssionais de segurança e controle;
Minimizar a existência de riscos, como vírus ou hackers, por exemplo;
Otimizar e agilizar a tomada de decisões;
Educar sobre o controle dos sistemas de informação, por se tratar de um
setor relativamente novo e em mudança, por isso é necessário educar os
usuários desses processos informatizados.
Portanto, a auditoria de sistemas é uma maneira de monitorar e avaliar não apenas o
próprio equipamento de computador. Seu campo de ação também gira em torno do
controle dos sistemas de entrada desses equipamentos (pense, por exemplo, em
códigos e códigos de acesso), arquivos e segurança dos mesmos etc.
Estratégias de Auditoria de TI
Há duas áreas para discutir aqui, a primeira é sobre a conformidade ou testes
substantivos e a segunda é "Como faço para obter as evidências para permitir que eu
audite o aplicativo e faça meu relatório para a gerência?".
O teste de conformidade reuniu evidências para testar se uma organização está
seguindo seus procedimentos de controle. Por outro lado, o teste substantivo reuniu
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 22/37
evidências para avaliar a integridade de dados individuais e outras informações. O
teste de conformidade dos controles pode ser descrito com o exemplo a seguir:
Uma organização possui um procedimento de controle que a�rma que todas as
alterações no aplicativo devem passar pelo controle de alterações. Como auditor de
TI, você pode ter a con�guração atual em execução de um roteador, bem como uma
cópia da geração -1 do arquivo de con�guração para o mesmo roteador executar
uma comparação de arquivos para ver quais eram as diferenças. Depois, você pode
pegar essas diferenças e procurar a documentação de controle de alterações de
suporte. Não se surpreenda ao descobrir que os administradores de rede, quando
são simplesmente regras de sequenciamento, esquecem de fazer a alteração através
do controle de alterações. Para testes substantivos, digamos, por exemplo, que uma
organização deve ter uma política/procedimento referente ao armazenamento
externo de �tas de backup. Um auditor de TI faria um inventário físico das �tas no
local de armazenamento externo e compararia esse inventário ao inventário da
organização, além de procurar garantir que todas �tas estejam presentes.
A segunda área lida com “Como faço para obter as evidências para permitir que eu
audite o aplicativo e faça meu relatório para a gerência?”. Não deve ser surpresa que
você precise:
Revisar a estrutura organizacional de TI;
Analisar as políticas e procedimentos de TI;
Revisar os padrões de TI;
Revisar a documentação de TI;
Entrevistar o pessoal apropriado;
Observar os processos e o desempenho dos funcionários.
Como comentário adicional da coleta de evidências, a observação do que um
indivíduo realmente faz versus o que deve fazer pode fornecer ao auditor de TI
evidências valiosas quando se trata de controlar a implementação e o entendimento
pelo usuário. Também a realização de um guia pode fornecer informações valiosas
sobre como uma função especí�ca está sendo executada.
Aplicação vs Controles Gerais
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 23/37
Os controles gerais se aplicam a todas as áreas da organização, incluindo a
infraestrutura de TI e os serviços de suporte. Alguns exemplos de controles gerais
são:
Controles contábeis internos;
Controles operacionais;
Controles administrativos;
Políticas e procedimentos de segurança organizacional;
Políticas gerais para o design e uso de documentos e registros adequados;
Procedimentos e práticas para garantir salvaguardas adequadas sobre o
acesso;
Políticas de segurança física e lógica para todos os datacenters e recursos
de TI.
Os controles de aplicativos se referem às transações e dados relacionados a cada
sistema de aplicativos baseado em computador, portanto, eles são especí�cos para
cada aplicativo. Os objetivos dos controles de aplicativos são de garantir a
integridade e a precisão dos registros e a validade das entradas feitas a eles.
Controles de aplicativos são controles sobre funções de entrada, processamento e
saída, e incluem métodos para garantir que:
Somente dados completos, precisos e válidos sejam inseridos e atualizados
em um sistema de aplicativo;
O processamento realiza a tarefa projetada e correta;
Os resultados do processamento atendem às expectativas;
Os dados são mantidos.
Como auditor de TI, suas tarefas ao executar uma auditoria de controle de
aplicativos devem incluir:
Identi�car os componentes signi�cativos do aplicativo; o �uxo de
transações através do aplicativo (sistema); e obter um entendimento
detalhado do aplicativo revisando toda a documentação disponível e
entrevistando o pessoal apropriado, como proprietário do sistema,
proprietário dos dados e administrador do sistema;
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 24/37
Identi�caros pontos fortes do controle do aplicativo e avaliar o impacto, se
houver, dos pontos fracos encontrados nos controles do aplicativo;
Desenvolver uma estratégia de teste;
Testar os controles para garantir sua funcionalidade e e�cácia;
Avaliar seus resultados de teste e qualquer outra evidência de auditoria
para determinar se os objetivos de controle foram alcançados;
Avaliar a aplicação em relação aos objetivos da gerência do sistema para
garantir e�ciência e e�cácia.
Revisões de Controle de Auditoria de TI
Após reunir todas as evidências, o auditor de TI a revisará para determinar se as
operações auditadas estão bem controladas e e�cazes. Agora é aqui que seu
julgamento e experiência subjetivos entram em cena. Por exemplo, você pode
encontrar uma fragilidade em uma área que é compensada por um controle muito
forte em outra área adjacente. É sua responsabilidade, como auditor de TI, relatar
essas duas descobertas em seu relatório de auditoria.
Entrega da Auditoria
Aqui está a lista completa do que deve ser incluído na sua documentação de
auditoria:
Planejamento e preparação do escopo e objetivos da auditoria;
Descrição e/ou orientações na área de auditoria com escopo;
Programa de auditoria;
Etapas de auditoria executadas e evidências coletadas da auditoria;
Se serviços de outros auditores e especialistas foram utilizados e suas
contribuições;
Resultados, conclusões e recomendações da auditoria;
Relação da documentação de auditoria com identi�cação e datas do
documento;
Uma cópia do relatório emitida como resultado do trabalho de auditoria;
Evidência da revisão da supervisão de auditoria.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 25/37
Quando você comunica os resultados da auditoria à organização, isso geralmente é
feito em uma reunião de encerramento, na qual você terá a oportunidade de discutir
com a gerência quaisquer conclusões e recomendações. Você precisa estar
absolutamente certo de:
Os fatos apresentados no relatório estão corretos;
As recomendações são realistas e econômicas, ou foram negociadas
alternativas com a gerência da organização;
As datas de implementação recomendadas serão acordadas para as
recomendações que você possui em seu relatório.
Sua apresentação nesta entrevista de encerramento incluirá um resumo executivo
de alto nível. Por qualquer motivo, uma imagem vale mais que mil palavras, assim
como alguns slides ou grá�cos do PowerPoint em seu relatório.
Seu relatório de auditoria deve ser estruturado para incluir:
Uma introdução (sumário executivo);
As descobertas �carão em uma seção separada e agrupadas por
destinatário pretendido;
Sua conclusão e opinião gerais sobre a adequação dos controles
examinados e quaisquer riscos potenciais identi�cados;
Resultados e recomendações detalhadas.
Finalmente, existem algumas outras considerações que você precisa conhecer ao
preparar e apresentar seu relatório �nal. Quem é o público? Se o relatório for
enviado ao comitê de auditoria, talvez não seja necessário ver as minúcias contidas
no relatório da unidade de negócios local. Você precisará identi�car os critérios
organizacionais, pro�ssionais e governamentais aplicados. Seu relatório deverá ser
oportuno a �m de incentivar ações corretivas imediatas.
Como um comentário �nal, se no decorrer de uma auditoria de TI você encontrar
uma descoberta materialmente signi�cativa, ela deve ser comunicada à gerência
imediatamente e não no �nal da auditoria.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 26/37
praticarVamos Praticar
Como vimos durante os estudos, a auditoria de segurança da informação é uma avaliação
técnica sistemática e mensurável de como a política de segurança da organização é
empregada. Faz parte do processo contínuo de de�nição e manutenção de políticas de
segurança e�cazes. Pode ser de�nida também como uma inspeção interna de aplicativos,
sistemas operacionais e infraestrutura quanto a falhas de segurança. Em relação a este
conceito, é correto dizer que:
a) O relatório �nal de auditoria deve ser um exemplo claro da realidade da empresa
em termos de processos e informatização.
b) A auditoria de sistemas visa veri�car e julgar as informações de modo subjetivo,
possibilitando que a empresa encontre soluções para os problemas de segurança.
c) A auditoria possibilita que o processo e as tecnologias relacionadas ao sistema de
informação sejam utilizados com mais e�ciência, porém não in�uencia na
segurança.
d) O auditor de sistema de informação tem o mesmo papel que o analista de
sistema, com a diferença que ele está preocupado com a segurança.
e) O auditor do sistema de informação está associado apenas a fase de elaboração
do projeto.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 27/37
As ameaças à segurança estão mudando e os requisitos de conformidade para
empresas e governos estão se tornando cada vez mais complexos. Superar tudo isso
sem uma política de segurança é como tapar os buracos com um pano, sempre
haverá um vazamento. Para que uma política de segurança seja e�caz, existem
algumas necessidades essenciais.
Características
A política de segurança da informação deve proteger a organização de todos os
lados, deve abranger todo o software, dispositivos de hardware, parâmetros físicos,
recursos humanos, informações/dados, controle de acesso, etc., dentro de seu
escopo. Se falarmos sobre dados como um objeto de ponta a ponta, eles abrangem:
criação, modi�cação, processamento, armazenamento e destruição/retenção de
dados. É preciso garantir que toda a organização (aquilo que ela recebe e aquilo que
ela produz) esteja contemplada na política de segurança da informação
(HINTZBERGEN et al., 2018).
A política de segurança da informação deve estar completamente de�nida;
Política de Segurança daPolítica de Segurança da
InformaçãoInformação
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 28/37
Deve haver um espaço para revisão e atualizações;
Deve incorporar a avaliação de riscos da organização;
Deve ser prática e possível de ser executada.
As organizações avançam com uma avaliação de riscos para identi�car os perigos e
riscos potenciais. É muito fácil escolher uma política de segurança da informação e
ajustá-la à empresa, mas diferentes organizações têm requisitos de conformidade
diferentes. Deve-se garantir que todos os riscos identi�cados sejam tratados na
política de segurança da informação.
Não basta falar e documentar minuciosamente a política de segurança da
informação, é preciso garantir que a política seja prática e executável. Ela deve
resolver os problemas de forma e�caz e deve ter um processo de negócio para
requisitos de urgência. Sem aplicabilidade e praticidade, ter uma política de
segurança da informação é tão bom quanto não ter nenhuma política.
Partes Essenciais da Política de
Segurança da Informação
Até aqui você viu um pouco sobre políticas de segurança da informação. A seguir,
será apresentado para você as partes essenciais do documento das políticas de
segurança de uma empresa.
Objetivo
O objetivo da política deve ser claramente de�nido no início do documento, após as
páginas introdutórias. O objetivo deve abranger principalmente algumas partes:
Manutenção da con�dencialidade: protegendo os recursos de pessoal não
autorizado;
Garantia de disponibilidade: disponibilidade de recursos para o pessoal
autorizado;
Manutenção da integridade: garante a correção dos recursos.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 29/37
Deverá de�nir os termos usados na política posteriormente e, por exemplo,
responder a estas questões: qual é o signi�cado da expressão “pessoa autorizada”
em relação à organização? Quais são asresponsabilidades do departamento de
segurança da informação? Que parte da gerência está buscando suporte e
responsabilidades por meio da política de segurança da informação?
Escopo
As empresas são enormes e podem ter muitas �liais, terceiros, contratos, etc. O
escopo do público ao qual a política de segurança da informação se aplica deve ser
mencionado claramente, além de de�nir o que é considerado fora do escopo, por
exemplo, uma informação.
A política de segurança pode obrigar que os ativos conectados à rede da empresa
tenham a atualização mais recente do Windows instalado. Isso também abrange os
sistemas aos quais o fornecedor/visitante se conecta à rede para qualquer
necessidade comercial ou �nalidade de demonstração? E se este for um PC Linux ou
Mac? Essas perguntas devem ser feitas e essa segregação precisa ser clara para o
que está dentro do escopo e o que está fora do escopo.
Classificação de Ativos
Esta seção é sobre tudo o que será coberto no ativo. Como o ativo será categorizado.
Como o ativo será classi�cado em várias categorias e como isso será reavaliado.
Quais são as responsabilidades detalhadas de uma equipe de segurança, equipe de
TI, usuário e proprietário de ativos? Quem é a parte autorizada a aprovar a
classi�cação do ativo? Estas são algumas perguntas que devem ser respondidas
nesta seção. Cuidados especiais devem ser tomados com o que deve ser abordado
aqui e com o que está na parte de gestão de ativos da apólice.
Gestão ou Gerenciamento de Ativos
O gerenciamento de ativos é basicamente a parte de TI do ativo. Ele cobrirá o ciclo
de vida de como o ativo será incorporado, instalado, mantido, gerenciado e retirado.
O ciclo de vida pode ter as principais partes de�nidas assim:
Integração e instalação de ativos (o que é necessário?);
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 30/37
Alocação de ativos (gerenciamento de estoque, quem usou o que e
quando);
Desalocação de ativos (quem pode autorizar isso?);
Garantia de manutenção anual.
Controle de Acesso
O controle de acesso é um tópico geral e toca todos os objetos, seja físico ou virtual.
A política deve ter várias seções e deve cobrir o gerenciamento de acesso para
todos. A organização precisa de controle biométrico para que os funcionários
entrem ou é aceitável usar cartões de acesso convencionais? Como o acesso é
controlado pelos visitantes? Qual é o modelo de sistema/controle de acesso usado
para conceder acesso aos recursos? A empresa segue controles de acesso
obrigatórios de acordo com as funções ou o acesso é concedido a critério da
gerência? Todas essas partes precisam ser cobertas aqui. “Quem tem acesso ao quê?
Quem a concede? Até quando? Por quê?”. Isso deve ser de�nido claramente nesta
seção.
Gerenciamento de Senha
Esta seção deve de�nir as diretrizes de senha para PC/laptop do usuário, senhas de
aplicativos, gerenciamento de senhas de dispositivos de rede, por exemplo, �rewall,
servidor, comutadores etc.
Os parâmetros a seguir devem ser aplicados quando o gerenciamento de senhas é
de�nido:
Complexidade da senha ativada;
Comprimento mínimo da senha;
Comprimento máximo da senha;
Alteração de senha no primeiro login;
Idade mínima da senha antes de alterar;
Idade máxima da senha;
Número de tentativas de senha inválidas de�nidas;
Duração do bloqueio e procedimento de desbloqueio;
Histórico de senhas mantido por quanto tempo?
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 31/37
Gerenciamento de Mudanças e Gerenciamento de
Incidentes
Aqui deve ser documentado como realizar uma mudança na organização. O
gerenciamento de alterações é necessário para garantir que todas as alterações
sejam documentadas e aprovadas pela gerência. As alterações podem ser
rastreadas, monitoradas e revertidas, se necessário. A maioria das organizações usa
um sistema de emissão de bilhetes para rastrear as alterações e registrar todos os
detalhes essenciais das alterações:
Justi�cativa de negócios;
Equipes envolvidas na mudança;
Quem fará a mudança?;
Qual é a mudança?;
Análise de impacto;
Análise de risco;
Procedimentos de teste;
Plano de reversão.
Um incidente, nesse caso, pode ser um roubo de dados ou um ataque cibernético. A
política de segurança da informação deve abordar o procedimento a ser seguido em
tais circunstâncias.
Quem declarará que um evento é um incidente?
Com quem entrar em contato em caso de incidente?
Como os funcionários podem identi�car e relatar um incidente?
Como um incidente é usado como uma lição?
Política de Mesa Limpa
Os funcionários podem deixar os ativos sem garantia durante o horário comercial?
Os ativos precisam de um bloqueio físico? A organização deixa os documentos onde
quiser? Você pode dar um comando de impressão e não o coletar imediatamente? O
que fazer com os protótipos, dispositivos e documentos que não são mais
necessários? As respostas a essas perguntas dependem de organização para
organização.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 32/37
Idealmente, os laptops podem �car sem segurança com uma trava de cabo
conectada. Os documentos que não são mais necessários devem ser fragmentados
imediatamente. A área da impressora precisa ser mantida limpa, coletando os
documentos impressos imediatamente, para que não atinjam indivíduos não
autorizados. Abordem-os sobre a política de segurança da informação e garanta que
os funcionários estejam seguindo estas diretrizes. Veri�cações aleatórias podem ser
realizadas para garantir que a política esteja sendo seguida.
Classificação de Dados/Informações
        Assim como a classi�cação de ativos, os dados também precisam ser
classi�cados em várias categorias: extremamente secretos, secretos, con�denciais e
públicos. Isso é feito para garantir que os objetos/dados com alto nível de sigilo não
sejam acessados por sujeitos de níveis mais baixos de segurança. A seção garantirá
que os dados sejam categorizados e quem é a parte autorizada a fazê-lo. Como os
dados serão categorizados e processados ao longo do seu ciclo de vida?
Política de uso da Internet
A Internet está cheia de coisas que podem não ser necessárias e até inapropriada
para ser visitada nas instalações do escritório, na rede do escritório e nos ativos
o�ciais. A política de segurança da informação deve de�nir como a Internet deve ser
restrita e o que deve ser restrito. Sua organização permite visualizar sites de mídia
social, YouTube e outros sites de entretenimento? Como o acesso é controlado?
Uma maneira é bloquear a categoria de base de sites no proxy da Internet.
Segurança Física
O que é abordado nesta seção é autoexplicativo. Todos os controles de segurança
física e procedimentos operacionais:
Monitoramento de CFTV;
Operação de guarda de segurança;
Sistema de segurança e incêndio instalado;
Barreiras de lança, arames farpados, detectores de metais, etc.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 33/37
A segurança física pode ter controles sem �m, mas isso exige uma avaliação séria do
que é necessário, de acordo com as necessidades da organização. O escritório
precisa de uma segurança de nível militar ou de nível de ferro-velho? Os controles
custam muito e, portanto, precisam ser escolhidos com sabedoria. O mesmo deve
ser documentado na política de segurança da informação.
praticarVamos Praticar
A política de segurança da informação deve proteger a organização de todos os lados. De
acordo com o conhecimento adquirido durante seus estudos, podemos a�rmar que a falta
de política de sistema de informação para controle de acesso é um(a):
a) Vulnerabilidade.
b) Indisponibilidade.
c) Ameaça.
d) Disponibilidade.
e) Phishing.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller34/37
indicações
Material
Complementar
L I V R O
Cibercultura e Virtualidade: desafios
para o desenvolvimento humano
Jane Farias Chagas Ferreira
Editora: Appris
ISBN: 978-85-819-2505-9
Comentário: O livro, de autoria de Jane Chagas Ferreira,
aborda as in�uências das Tecnologias de Informação e
Comunicação e das interações homem-máquina nos
processos de desenvolvimento humano. É uma ótima leitura
para compreender a relação humano-tecnologia no
ciberespaço.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 35/37
F I L M E
A rede social
Ano: 2010
Comentário: Como o estudante de Harvard, Mark
Zuckerberg, cria o site de rede social que �caria conhecido
como Facebook. Ele é processado por violação de segurança
e do direito de privacidade, também foi processado pelo
cofundador que mais tarde foi retirado do negócio. Este
�lme mostra claramente os conceitos de vulnerabilidade.
T R A I L E R
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 36/37
conclusão
Conclusão
Nesta aula, você viu os principais fundamentos da segurança da informação. Viu a
diferença entre cibersegurança e segurança da informação, aprendeu que uma
ameaça é um evento negativo que pode levar a um resultado indesejado, como dano
ou perda de um ativo, que vulnerabilidades são simplesmente fraquezas no sistema,
o que tornam as ameaças possíveis. Aprendeu também que os riscos geralmente são
confundidos com ameaças, mas são diferentes de uma maneira crucial. Um risco, de
forma simples, é a chance de algo negativo acontecer combinado com o quão ruim
seria se acontecesse.
Como recomendação �nal, releia os capítulos desta unidade os quais você teve mais
dúvida, pesquise nas referências sobre os temas aqui abordados.
referências
Referências
Bibliográ�cas
BUSSELL, J. Cyberspace. Encyclopedia Britannica. Disponível em:
https://www.britannica.com/topic/cyberspace. Acesso em: 20 out. 2019.
GALVÃO, M. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015.
https://www.britannica.com/topic/cyberspace
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 37/37
GOMES, G. Batista. A auditoria de segurança da informação como instrumento de
apoio à tomada de decisões, pela alta administração de organizações modernas.
Disponível em:
https://riuni.unisul.br/bitstream/handle/12345/4880/Artigo_GibsonGomes.pdf?
sequence=2&isAllowed=y. Acesso em: 20 out. 2019.
HINTZBERGEN J. et al. Fundamentos de Segurança da Informação: com base na
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.
INFINIT-O. The 5 Pillars of Information Security and How to Manage Them.
Resource Center. Disponível em: https://resourcecenter.in�nit-o.com/blog/the-5-
pillars-of-information-security-and-how-to-manage-them. Acesso em: 20 out. 2019.
KIM, D.; SOLOMON, M. Fundamentos de segurança de sistemas de informação.
São Paulo: LTC, 2014.
KOLBE, A. Sistemas de segurança da informação na era do conhecimento. Curitiba:
Intersaberes, 2017.
SANTOS, A.; SILVA, R. Detecção de Ataques DDoS com Grá�cos de Controle e
Bases de Regras Nebulosas. Disponível em: https://bit.ly/2FqHv2L. Acesso em: 12
nov. 2019.
STALLINGS, W. Criptogra�a e segurança de redes: princípios e práticas. 4. ed. São
Paulo: Pearson Education do Brasil, 2015.
https://riuni.unisul.br/bitstream/handle/12345/4880/Artigo_GibsonGomes.pdf?sequence=2&isAllowed=y
https://resourcecenter.infinit-o.com/blog/the-5-pillars-of-information-security-and-how-to-manage-them
https://www.inf.ufsc.br/~bosco.sobral/downloads/I2TS%202010%20CD%20Proceedings/www.i2ts.org/papers/full_portugues/78861.pdf