Leitura Fundamental - Prevenção de perdas e fraudes

Prévia do material em texto

Prevenção de Perdas e Fraudes
W
B
A
0
5
0
7_
v1
_
0
2/236
Prevenção de Perdas e Fraudes
Autoria: Milton Mendes de Brito Filho
Como citar este documento: BRITO FILHO, Milton Mendes de. Prevenção de Perdas e Fraudes. Vali-
nhos: 2017.
Sumário
Apresentação da Disciplina 04
Unidade 1: Fundamentos de Segurança da Informação 06
Assista a suas aulas 27
Unidade 2: Normas Brasileiras ABNT 53
Assista a suas aulas 53
Unidade 3: Gestão de Riscos 61
Assista a suas aulas 80
Unidade 4: Plano de Continuidade do Negócio 88
Assista a suas aulas 108
2/236
3/2363
Unidade 5: Certifi cados Digitais 116
Assista a suas aulas 138
Unidade 6: Gerenciamento de Incidentes de Segurança da Informação 146
Assista a suas aulas 167
Unidade 7: Política de Segurança da Informação 175
Assista a suas aulas 194
Unidade 8: Prevenção de Fraudes Bancárias em Meios Eletrônicos 202
Assista a suas aulas 227
Sumário
Prevenção de Perdas e Fraudes
Autoria: Milton Mendes de Brito Filho
Como citar este documento: BRITO FILHO, Milton Mendes de. Prevenção de Perdas e Fraudes. Vali-
nhos: 2017.
4/236
Apresentação da Disciplina
A Internet está no cotidiano de grande par-
te da população e seria quase impossível 
imaginar a ausência dela e dos sistemas 
que funcionam com ela em nossas vidas. 
Afinal, com ela é possível comunicar-se, 
acessar sites de notícias, participar de cur-
sos a distância, executar serviços bancári-
os, realizar compras em lojas de comércio 
eletrônico, dentre outras atividades. 
Há muitos exemplos que comprovam o 
quanto a Internet facilita a vida das pessoas, 
mas é preciso lembrar que alguns cuidados 
são fundamentais e, para isso, é importante 
que estejamos conscientes dos riscos aos 
quais estamos expostos para que possamos 
tomar as medidas preventivas necessárias. 
As pessoas estão sujeitas aos riscos não só 
nas empresas em que trabalham, mas a todo 
o momento que utilizam a Internet, sendo 
que os riscos mais comuns são o acesso aos 
conteúdos impróprios ou ofensivos, conta-
to com pessoas mal-intencionadas, furto 
de identidade, perda de dados, invasão de 
privacidade, divulgação de boatos, dificul-
dade de exclusão dos dados etc. 
Nesta disciplina, serão apresentados os 
princípios de Segurança da Informação, 
as Normas ISO (código de boas práticas), 
os inúmeros riscos aos quais os usuários e 
empresas estão expostos e estudos com a 
abordagem do plano de continuidade do 
negócio (caso a empresa sofra um ataque 
de cracker). Também iremos abordar como 
construir uma Política de Segurança da In-
formação nas empresas, o ponto de partida 
para qualquer iniciativa de segurança, e os 
5/236
principais ataques criminosos às empresas 
de cartões de crédito e bancos, e como es-
tes estão protegendo-se através de tecno-
logias, processos e pessoas. Assim, dá-se 
a importância do estudo dos certificados 
digitais para se utilizar o Internet Banking e 
para realizar compras no comércio eletrôni-
co.
6/236
Unidade 1
Fundamentos de Segurança da Informação
Objetivos
1. O objetivo desta unidade é despertar 
o senso crítico do aluno em relação à 
importância de proteger uma infor-
mação e alertar os usuários diante dos 
riscos a que estão expostos. Para isso, 
utilizaremos os principais conceitos 
utilizados pelos profissionais da área 
de Segurança da Informação.
Unidade 1 • Fundamentos de Segurança da Informação7/236
Introdução
A informação é um ativo essencial para os 
negócios de uma empresa e, por isso, pre-
cisa ser protegida, já que com o aumento da 
concorrência entre as organizações, a infor-
mação tornou-se valiosa e exposta a amea-
ças e vulnerabilidades.
O estudo desta disciplina visa despertar a 
preocupação que devemos ter em relação 
à segurança da informação, motivada pelo 
escândalo mundial de espionagem, divul-
gado pelo antigo funcionário ex-técnico da 
Central Intelligence Agency (CIA), o ameri-
cano Edward Snowden ao prestar serviços 
terceirizados para a agência de seguran-
ça Nacional dos EUA (NSA) em meados de 
maio/junho de 2013. Esse fato fez com que 
o presidente dos Estados Unidos, na épo-
ca Barack Obama, sofresse pressão prin-
cipalmente pela oposição americana para 
que alterasse a lei de espionagem em mas-
sa em vigor desde a sua criação em 2001, 
com a aprovação e sanção em 06 de junho 
de 2015, ficando limitada à coleta em mas-
sa de dados, e-mails e registros telefônicos 
dos americanos pela NSA. Essa função de 
armazenamento tornou-se responsabili-
dade apenas das operadoras de telecomu-
nicações, que poderão acessar e divulgar 
as informações (registros telefônicos) so-
mente com mandato judicial. Tal decisão foi 
uma das mudanças mais representativas na 
lei de espionagem americana.
Em vista de buscar ferramentas para atu-
ação na Segurança da Informação, temos 
que ter o conhecimento dos cinco princípios 
básicos que norteiam a sua implementação, 
são estes: 
Unidade 1 • Fundamentos de Segurança da Informação8/236
• Confidencialidade: a informação deve 
ser protegida de acordo com o grau de 
sigilo de seu conteúdo, com o uso e o 
acesso somente às pessoas às quais 
são destinados. Ataques comuns: En-
genharia Social e “Shouldersurfing”.
• Integridade: a informação deve ser 
mantida na mesma condição em que 
foi disponibilizada pelo seu proprietá-
rio, visando protegê-la contra altera-
ções acidentais e indevidas. Ataques 
comuns ao serviço: erros de usuários, 
backdoors e vírus.
• Disponibilidade: a informação gera-
da ou adquirida por um indivíduo ou 
instituição estará disponível aos seus 
usuários no momento em que eles 
necessitem dela para qualquer finali-
dade. Ataques comuns: falhas de sof-
tware, hardware e DoS (Denial of Ser-
vice).
• Autenticidade: o receptor da infor-
mação deve verificar corretamente 
a respectiva origem. Um intruso não 
pode passar-se pelo remetente des-
sa mensagem, sem que o destinatário 
seja capaz de identificar essa ativida-
de ilícita. Ataques comuns: contas de 
e-mail e redes sociais.
• Não repúdio ou irrevogabilidade: Evi-
ta que uma pessoa ou entidade possa 
negar a autoria daquela ação. Está as-
sociada também a processos de assi-
natura digital, pois ao assinar um do-
cumento digitalmente garantimos a 
integridade e autenticidade com vali-
dade jurídica. Ataques comuns: roubo 
de dados.
Unidade 1 • Fundamentos de Segurança da Informação9/236
Para saber mais
Podemos destacar outros princípios importantes e complementares à Segurança da Informação, tais como: 
Legalidade – Garante a legalidade (jurídica) da informação e aderência de um sistema à legislação; caracterís-
tica das informações que possuem valor legal dentro de um processo de comunicação, no qual todos os ativos 
estão de acordo com as cláusulas contratuais e a legislação política institucional, nacional e internacional 
vigentes. Privacidade – Diferente do aspecto de confidencialidade, pois uma informação pode ser conside-
rada confidencial, mas não privada. Uma informação privada deve ser vista, lida e alterada somente pelo seu 
dono. Garante ainda que a informação não será disponibilizada para outras pessoas (nesse caso é atribuído o 
caráter de confidencialidade a informação). A privacidade também pode ser definida como a capacidade de 
um usuário realizar ações em um sistema sem que seja identificado. Auditoria – Rastreabilidade dos diversos 
passos que um negócio ou processo realizou ou pelo qual uma informação foi submetida, identificando os 
participantes, os locais e horários de cada etapa. Consiste no exame do histórico dos eventos dentro de um 
sistema para determinar quando e onde ocorreu uma violação de segurança.
Unidade 1 • Fundamentos de Segurança da Informação10/236
1. Aspectos em segurança da in-
formação nas empresas
1.1 FINALIDADE
Basicamente, a finalidade primordial é di-
minuir o quanto necessário o nível de ex-
posição da empresa aos riscos para que se 
possa estender a segurança aos serviços e 
produtos, e com isso resultar em uma maior 
satisfação dos clientes e na busca dasme-
tas do negócio. Os objetivos imediatos são:
• Redução da probabilidade de ocor-
rência de incidentes de segurança.
• Redução dos danos e perdas causados 
por incidentes de segurança ocorri-
dos.
• Recuperação dos danos, com menor 
prejuízo ao negócio em caso de de-
sastres ou incidentes.
1.2 MOTIVOS PARA IMPLANTA-
ÇÃO
Quanto aos motivos fundamentais para as 
empresas na implantação, destacamos: au-
mento na utilização das redes e sistemas 
computacionais, disponibilização crescen-
te de serviços na nuvem, aumento dos cri-
mes cibernéticos, crescimento do número 
de ameaças, aparecimento de novos ris-
cos para as empresas (uso de redes sociais, 
acessos remotos e utilização massiva de 
dispositivos móveis), espionagem indus-
trial, pirataria no uso de software, crescente 
Unidade 1 • Fundamentos de Segurança da Informação11/236
disponibilização de conteúdo hacker/cra-
cker na Internet e necessidade de atender 
regulamentações específicas da área.
As empresas protegem-se através de tec-
nologia, processos e pessoas. Na tecnolo-
gia utiliza-se o Firewall, VPN (Virtual Pri-
vate Network), IPS (Intrusion Prevention 
System), IDS (Intrusion Detection System), 
proxy, antivírus, controle de e-mail e nave-
gação, armazenamento e análise centrali-
zada de logs, gerenciamento centralizado 
de identidades, segregação de redes, aces-
sos e sistema de backup. Os processos são 
executados através de tratamento de inci-
dentes, auditoria, gerenciamento e monito-
ração constante, planos de contingência e 
recuperação de desastres, análise e geren-
ciamento de riscos. E, por fim, as pessoas, 
o elo mais frágil da segurança da informa-
ção, envolvidas através de políticas, proce-
dimentos, normas, instruções de trabalho e 
treinamentos.
Para saber mais
Vivemos numa era da informação em que a in-
formação tornou-se um dos ativos de valor ines-
timável para as empresas, e, por isso, temos que 
nos preocupar com, por exemplo, falhas humanas, 
funcionários mal treinados ou mesmo mal-inten-
cionados, espionagem, que poderão possibilitar a 
ocorrência de vazamento de informações impor-
tantes das empresas.
Unidade 1 • Fundamentos de Segurança da Informação12/236
1.3 IMPORTÂNCIA DA SEGU-
RANÇA DA INFORMAÇÃO
Segundo Fontes (2008), nas grandes empre-
sas a informação é o bem maior e ela deve 
ser protegida. Quando se pensa em vaza-
mento de informação, geralmente, a preo-
cupação é direcionada ao envio de arquivos 
por correio eletrônico, gravação de DVDs e 
acesso lógico indevido, infelizmente, pode-
mos esquecer-nos que a cópia indevida da 
informação pode acontecer pelo método 
mais simples: o papel. Muitas vezes o rou-
bo ocorre de forma simples, como papéis 
importantes jogados no lixo e que não pas-
saram por uma fragmentadora de papel ou 
esquecimento de documentos importantes 
impressos e deixados na impressora. 
Toda informação tem valor para a empresa, 
para a concorrência e para o mercado em 
que ela atua, portanto, um “vazamento” de 
dados, seja por erro ou por ações mal inten-
cionadas, pode comprometer a empresa no 
mercado, tornando-a insegura diante de 
clientes e de fornecedores. Fontes (2008) 
destaca as ações mais efetivas para evitar 
esse tipo de problema: acesso restrito à in-
formação, cópias de segurança, acesso res-
trito às cópias de segurança, destruição da 
informação não mais utilizada, registro dos 
acessos à informação e comprometimento 
dos usuários com a proteção da informação. 
Destacamos que qualquer empresa está su-
jeita a ter vazamentos de dados, porém, na 
maioria das vezes, o fato acontece com a 
participação de pessoas que atuam inter-
namente na empresa. 
Unidade 1 • Fundamentos de Segurança da Informação13/236
Para Mitnick e Simon (2003, p.16), a segu-
rança é um “processo e não um produto. Ela 
é comparada a um produto de teste, coloca-
-se e se vê o poder que o sistema tem”. Infe-
lizmente, muitos administradores de siste-
ma esquecem-se de que não basta apenas 
comprar e instalar o sistema e “deixar ro-
dando”, mas sim adequá-los às exigências 
requeridas. 
De acordo com a empresa de antivírus Eset 
(2013), os crackers aperfeiçoaram-se e es-
tão utilizando técnicas, aplicações e en-
genharia social criativas para obter infor-
mações pessoais e profissionais sobre uma 
pessoa. Grande quantidade de vítimas pu-
blicam nas redes sociais dados como CPF, 
RG, nomes dos familiares, fotos, locais que 
costumam frequentar etc., o que facilita a 
Para saber mais
A Segurança da Informação não é uma ciência 
exata, mas está contemplada na área de gestão 
de riscos. A maioria das pessoas acredita que esse 
campo resume-se à compra de equipamentos e 
sistemas caros, como firewalls, sistemas de de-
tecção de intrusos ou antivírus; outras acreditam 
que incluir a adoção de políticas de segurança é 
suficiente, mas nenhuma dessas abordagens é 
capaz de prevenir perdas se forem adotadas de 
forma isolada e inconsequente.
Unidade 1 • Fundamentos de Segurança da Informação14/236
coleta de informações pelos crackers. Para 
a maioria das pessoas, publicar informa-
ções como essas parecem inofensivas, mas, 
nas mãos de um engenheiro social, trans-
formam-se em ferramentas de manipula-
ção de fácil acesso. Convém destacar que 
um Engenheiro Social é definido como uma 
pessoa gentil, agradável, educada, simpáti-
ca, carismática, criativa, flexível, dinâmica, 
persuasiva e dona de uma conversa envol-
vente. É também possuidor de inteligência 
privilegiada, armazena várias informações 
pacientemente e consegue obter um con-
junto de informações úteis e, assim, ter con-
dições de realizar as fraudes que deseja. 
1.4 DESAFIOS PARA A ÁREA DE 
SEGURANÇA DA INFORMAÇÃO
Podemos destacar os principais desafios na 
área de Segurança da Informação: limitação 
de orçamento, quantidade de ameaças e a 
tecnologia empregada, falta de autonomia 
e imparcialidade da área de segurança, falta 
Link
Mais detalhes acerca da Segurança da Informa-
ção podem ser obtidos nas apostilas disponibili-
zadas pelo CERT (Centro de Estudos, Resposta e 
Tratamento de Incidentes de Segurança no Bra-
sil). Disponível em: <https://cartilha.cert.br/>. 
Acesso em: 27 nov. 2017.
Unidade 1 • Fundamentos de Segurança da Informação15/236
de conhecimento dos executivos em rela-
ção aos riscos, falta de pessoal capacitado, 
perda de profissionais-chave para o merca-
do, clientes sem contrato fixo, crescimento 
da companhia, quantidade e complexidade 
das redes e integrações e estar em confor-
midade com as normas e mercado.
1.5 PRINCIPAIS CONCEITOS DA 
SEGURANÇA DA INFORMAÇÃO
A Segurança da Informação refere-se à 
proteção existente sobre as informações 
de uma determinada empresa ou pessoa; 
destacamos abaixo os principais conceitos 
e termos utilizados pelos profissionais da 
área: 
• Adware: software que faz propaganda 
dirigida para o computador da vítima 
com ou sem o consentimento. Ras-
treia os hábitos do usuário na Internet 
e transmite essa informação para um 
servidor central de propagandas.
• Ameaça: qualquer fato que possa le-
var à exploração de uma vulnerabili-
Link
O Decreto Federal n° 7.845 de 14 de novembro de 
2012 regulamenta os procedimentos para cre-
denciamento de segurança e tratamento de in-
formação. Disponível em: <http://www.planal-
to.gov.br/ccivil_03/_Ato2011-2014/2012/
Decreto/D7845.htm#art60>. Acesso em: 17 
nov. 2017.
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm#art60
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm#art60
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm#art60
Unidade 1 • Fundamentos de Segurança da Informação16/236
dade, por exemplo, um crack, um ví-
rus, entre outros. Pode ser entendida 
como um perigo em potencial que 
ainda não foi efetivado. 
• Backdoor: é um programa escondido 
ou “camuflado” deixado por um intru-
so com a intenção de um futuro aces-
so à máquina-alvo para criar um ca-
minho alternativo, como uma “porta 
dos fundos”.
• Banker:é um código malicioso com o 
objetivo de capturar as informações 
bancárias de um usuário e enviar para 
o criminoso.
• Binder ou Joiner: é um software que 
embute dois ou mais executáveis em 
um único programa, geralmente, com 
o propósito de esconder um deles, 
logo, intencionando “abrir portas” do 
computador da vítima e obter acesso. 
• Bot, Botnet: um bot é um código ma-
licioso que, após infectar um compu-
tador, pode ser controlado remota-
mente pelo atacante. Uma botnet é a 
união de vários computadores infec-
tados por um mesmo bot. 
• Cavalo de Troia: esse malware foi as-
sim denominado devido a uma simila-
ridade encontrada na mitologia grega, 
dado que o cavalo de troia imita a es-
tratégia de se ocultar em programas 
aparentemente inofensivos, como um 
compactador de arquivos (Winzip), 
por exemplo. O cavalo de tróia não se 
replica como os vírus ao infectarem 
Unidade 1 • Fundamentos de Segurança da Informação17/236
os arquivos, eles mantêm-se ocultos 
e podem coletar informações ou abrir 
“brechas” no computador da vítima. 
• Crack: programa utilizado para que-
brar licenças de outros programas.
• Cracker: indivíduo com conhecimen-
tos elevados em computação e segu-
rança que os utiliza para fins crimino-
sos, destruição de dados ou interrup-
ção de sistemas, a fim de obter vanta-
gens financeiras. 
• DoS e DDoS: DoS (Denial of Service - 
Negação de Serviço) é o ataque feito 
por um criminoso que envia vários pa-
cotes na tentativa de tornar indispo-
nível um servidor ou computador co-
mum. Já o DDoS (Distributed Denial of 
Service - Negação de Serviço distribuí-
do) consiste em vários computadores 
que realizam um ataque DoS ao mes-
mo tempo, ou seja, além do computa-
dor criminoso, vários outros, conheci-
dos como zumbis, executam o ataque 
ao servidor-alvo.
• Exploit: o exploit é utilizado para ex-
plorar uma dada vulnerabilidade, a 
fim de conseguir algum nível de aces-
so indevido. Os exploits são partes de 
software, de dados ou uma sequência 
de comandos que exploram a vulnera-
bilidade.
Unidade 1 • Fundamentos de Segurança da Informação18/236
• Firewall: sistema utilizado para inter-
conectar duas ou mais redes, inspe-
cionar e controlar as conexões que en-
tram ou saem dessas redes. Ele pode 
filtrar os pacotes baseados em regras 
simples, conteúdo e na correlação de 
pacotes, bem como fornecer outras 
funcionalidades, tais como: NAT, pro-
xy, VPN etc.
• FootPrint: é a formação de ideias na 
tentativa de criar o perfil completo do 
alvo a ser atacado. O intuito é obser-
var a máquina-alvo para descobrir fa-
lhas que possam ser exploradas a par-
tir de configurações e senhas padrões. 
A partir do resultado é traçada a es-
tratégia de ataque e pode ser coloca-
da em prática de várias formas.
• Hacker: é um indivíduo com conhe-
cimentos elevados de computação e 
segurança que os utiliza para fins de 
diversão, interesse e desafio. Em ge-
ral, hackers não destroem dados, pos-
suem um código de ética e não bus-
cam ganhos financeiros. 
Link
Confira a indicação de sites com banco de dados 
de exploits e vulnerabilidades sobre incidentes de 
segurança em: <https://www.rnp.br/servicos/
seguranca> e <http://www.exploit-db.com>. 
Acesso em: 17 nov. 2017.
Unidade 1 • Fundamentos de Segurança da Informação19/236
• Hardening: é um processo de mape-
amento de falhas de segurança e mi-
tigação das mesmas através da exe-
cução de atividades corretivas, da 
implementação dos conceitos de se-
gurança que torna os sistemas mais 
seguros.
• Hoax: pode ser interpretado como en-
ganação, “pegadinha”, boato, enfim, 
qualquer fato inventado que tenha 
objetivo de prejudicar alguém ou uma 
empresa.
• HoneyPots (Potes de mel): são siste-
mas vulneráveis e expostos na Inter-
net que quando atacados registram 
as formas de ataques, ferramentas 
utilizadas, origem e frequência. O 
principal intuito é conhecer as ame-
aças reais. Podem ou não suportar os 
ataques, simular alvos indefesos ou 
simplesmente coletar as tentativas de 
ataques. 
• HoneyNets (Redes de mel): conjunto 
de HoneyPots formado por uma rede 
aparentemente vulnerável. Geral-
mente, além de vários tipos de ser-
vidores, conta também com siste-
mas que emulam dispositivos de re-
des como roteadores e servidores de 
acesso remoto. 
• IDS (Intrusion Detection System): sis-
tema de detecção de intrusos. Uma 
solução de software responsável por 
monitorar uma rede ou sistema e aler-
tar sobre eventos relacionados a in-
trusões. 
Unidade 1 • Fundamentos de Segurança da Informação20/236
• IPS (Intrusion Prevention System): sis-
tema de prevenção de intrusos, uma 
solução de software responsável por 
monitorar e proteger uma rede ou sis-
tema, com a finalidade de alertar e fil-
trar pacotes. 
• Invasão: Ataque bem-sucedido e que 
compromete algum sistema. É preciso 
que o invasor tenha controle parcial 
ou total do ambiente invadido.
• Malware: software capaz de se infil-
trar em um computador alheio de for-
ma ilícita com o intuito de causar al-
gum dano ou roubo de informações.
• Phishing Scam: qualquer e-mail não 
solicitado e que tenha como conteúdo 
texto ou links para fraudes. Exemplos 
incluem sorteios, nomes no SPC, atu-
alizações e correções. 
• Port Scanner: ferramenta utilizada 
por crackers e especialistas em segu-
rança que objetiva “varrer” uma má-
quina ou uma rede, enumera os siste-
mas ativos, protocolos e “portas aber-
tas”. O cracker usa essa ferramenta 
como ato inicial dos ataques.
• Proxy: sistema que faz a intermedia-
ção de determinadas conexões, geral-
mente, traduz IP interno em externo. 
Ao receber a requisição interna, o pro-
xy analisa o que se deve fazer (pode ser 
permitida ou negada) e depois abre 
uma segunda conexão, agora, com o 
ambiente externo. O proxy fica o tem-
po todo como intermediário entre as 
duas conexões.
Unidade 1 • Fundamentos de Segurança da Informação21/236
• Rootkit: programa com código mali-
cioso que busca esconder-se de sof-
twares de segurança e do usuário e, 
com isso, utilizar diversas técnicas 
avançadas de programação. 
• Sniffer: ferramenta utilizada por cra-
ckers e especialistas em segurança 
para monitorar e gravar pacotes que 
trafegam pela rede. 
• Spam Zombies: computadores de 
usuários finais que foram comprome-
tidos por códigos maliciosos em geral, 
como worms, bots, vírus e cavalos de 
troia. Esses códigos maliciosos, uma 
vez instalados, permitem que Spam-
mers utilizem a máquina para o envio 
de spam sem o conhecimento do usu-
ário. 
• Spam: termo usado para referir aos 
e-mails não solicitados com propósito 
comercial que, geralmente, são envia-
dos a um grande número de pessoas. 
• Spyware: consiste em um programa 
automático de computador, que re-
colhe informações sobre o usuário, os 
costumes e transmitem essas infor-
mações a uma entidade externa na 
internet sem o consentimento da víti-
ma e, por esse motivo, são conhecidos 
como programas espiões. 
• VPN (Virtual Private Network): é uma 
Rede Virtual Privada que geralmen-
te utiliza criptografia. Pode ser im-
plementada em modo de transporte 
ou túnel e utiliza vários protocolos, 
como o IPSec ou SSL. Permite a cone-
Unidade 1 • Fundamentos de Segurança da Informação22/236
xão segura de usuários conectados à 
Internet ao ambiente corporativo das 
empresas ou à conexão segura entre 
várias unidades.
• Vulnerabilidade: é uma falha que ex-
põe o sistema e pode comprometer o 
sistema como um todo ou parte dele. 
Uma vulnerabilidade pode ser explo-
rada. A vulnerabilidade é a fragilidade 
de um ativo que pode ser explorada 
por uma ameaça. Ao existir uma ame-
aça, a vulnerabilidade torna-se um 
risco em potencial.
• Worms ou Vermes: um worm é seme-
lhante a um vírus, mas difere-se pelo 
fato de não depender de estímulo ou 
intervenção para ser ativado. Mui-
tos vírus possuem a característica de 
worms e vice-versa.
Unidade 1 • Fundamentos de Segurança da Informação23/236
Glossário
Shouldersurfing: expressão usada para uma pessoa que tenta olhar por cimado ombro da vítima 
e roubar a senha, seja em terminais de bancos, shopping, teatros, ou outros locais públicos.
Spammers: pessoas que praticam o spam, ou seja, enviam diversos e-mails ou qualquer outro 
tipo de mensagem para as pessoas sem que elas tenham autorizado.
NAT (Network Address Translation): é um recurso que permite converter endereços IPs da rede 
interna em endereços da internet. Pode ser encontrado em Firewalls ou programas nativos do 
Windows, por exemplo, o Internet Conection Sharing (recurso que permite compartilhar a co-
nexão com a Internet entre vários computadores). Quando se conecta à internet através de um 
provedor de acesso, recebe-se apenas um endereço IP válido, isso permite que apenas um com-
putador acesse a Internet, porém, é possível compartilhar a conexão entre vários computadores 
da rede via NAT, dessa forma, o computador com o NAT configurado torna-se o principal na rede 
e os outros deverão ser autorizados.
Questão
reflexão
?
para
24/236
Baseado no que foi exposto nesta unidade, reflita se vale 
a pena investir na segurança de uma informação mes-
mo se o custo de implementação for maior do que o va-
lor financeiro envolvido.
25/236
Considerações Finais
• Analisamos o quão importante é mantermo-nos informados em relação à 
Segurança da Informação.
• Verificamos que riscos surgem a todo instante e devemos analisá-los e to-
mar as providências cabíveis em cada situação.
• Segurança eficaz e eficiente deve ser realizada através do envolvimento de 
todas as pessoas de uma empresa.
• Apesar de todo o esforço realizado, sempre haverá vulnerabilidades, tendo 
em vista em que não existe um ambiente completamente seguro.
Unidade 1 • Fundamentos de Segurança da Informação26/236
Referências
BEAL, Adriana. Segurança da Informação. 1. ed. São Paulo: Atlas, 2006. 
CERT. Cartilhas de Segurança disponibilizadas pelo CERT. Disponível em: <http://cartilha.cert.br>. 
Acesso em: 29 out. 2017.
FONTES, Edison. Segurança da Informação–O usuário faz a diferença. São Paulo: Saraiva, 2008.
GLOBO. Rússia estende residência de Snowden após perdão dos EUA a Manning. Disponível em: 
<https://g1.globo.com/mundo/noticia/russia-estende-residencia-de-snowden-apos-perdao-
-dos-eua-a-manning.ghtml>. Acesso em: 29 out. 2017.
MITNICK, Kevin D.; SIMON, William L. A Arte de Enganar. São Paulo: Pearson, 2003.
PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança da Informação. Rio de Janeiro: 
Brasport, 2006. 
SÊMOLA, Marcos. Gestão da Segurança da Informação-Uma visão executiva, 2 ed. Curitiba: Mo-
dulo, 2014.
SILVA, Antônio Everaldo Nunes. Segurança da Informação: Vazamento de Informações – As infor-
mações estão realmente seguras em sua empresa? Rio de Janeiro: Ciência Moderna, 2012.
http://cartilha.cert.br
https://g1.globo.com/mundo/noticia/russia-estende-residencia-de-snowden-apos-perdao-dos-eua-a-manning.ghtml
https://g1.globo.com/mundo/noticia/russia-estende-residencia-de-snowden-apos-perdao-dos-eua-a-manning.ghtml
27/236
Assista a suas aulas
Aula 1 - Tema: Fundamentos de Segurança da 
Informação. Bloco I
Disponível em: <https://fast.player.liquidplatform.com/
pApiv2/embed/dbd3957c747affd3be431606233e0f1d/
dbd97c7e9978587f3e32bbd5ceff8f9b>.
Aula 1 - Tema: Fundamentos de Segurança da In-
formação. Bloco II
Disponível em: <https://fast.player.liquidplatform.com/
pApiv2/embed/dbd3957c747affd3be431606233e0f1d/
b76722b3a3da6c7cca37da9aeaf75763>.
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/dbd97c7e9978587f3e32bbd5ceff8f9b
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/dbd97c7e9978587f3e32bbd5ceff8f9b
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/dbd97c7e9978587f3e32bbd5ceff8f9b
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/b76722b3a3da6c7cca37da9aeaf75763
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/b76722b3a3da6c7cca37da9aeaf75763
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/b76722b3a3da6c7cca37da9aeaf75763
28/236
1. A Segurança da Informação tem como objetivo a preservação de cinco 
princípios básicos, sendo que um deles fornece prova inegável que o usuário 
realizou uma determinada ação, não sendo permitido negar o ato. Assinale a 
alternativa que contempla esse princípio.
a) Integridade.
b) Confidencialidade.
c) Não repúdio.
d) Autenticidade.
e) Disponibilidade.
Questão 1
29/236
2. Assinale a alternativa correta. Problemas como a falta de treinamen-
to de funcionários, antivírus desatualizado, problemas de rede e falta de 
profissionais capacitados são caracterizados na Segurança da Informação 
como:
a) Invasões.
b) Proxy.
c) Bugs.
d) Vulnerabilidades.
e) Hoax.
Questão 2
30/236
3. Alguns softwares desenvolvidos por crackers possuem a função de co-
letar informações sobre atividades realizadas em um computador e são 
conhecidos como programas espiões. De que tipo de vírus estamos nos 
referindo?
a) Malware.
b) Trojan.
c) Antimalware.
d) Adware.
e) Spyware.
Questão 3
31/236
4. Qual dos itens abaixo NÃO representa ganhos obtidos com a implemen-
tação da Segurança da Informação:
a) Produzir melhores produtos e serviços.
b) Reduzir os níveis de riscos a patamares aceitáveis.
c) Implementação de segurança física de mecanismos que controlem o ambiente de modo a 
garantir seus princípios. 
d) Ambiente totalmente seguro.
e) Redução das perdas e impactos causados por incidentes.
Questão 4
32/236
5. Muito utilizados na área da Segurança da Informação, termos como 
“Hackers” e “Crackers” são usados para referir-se às pessoas com habili-
dades e conhecimentos avançados em computadores, porém, a imprensa 
erroneamente confunde os dois termos. Diante dos itens abaixo, marque 
a alternativa correta. 
a) O Cracker rouba a proteção para o vírus criado pelo Hacker. 
b) Hacker é um desenvolvedor de sistemas e o Cracker encontra bugs e vulnerabilidades e in-
forma ao Hacker.
c) Tanto os “Hackers” como os “Crackers” criam programas para proteção e ajudam os usuá-
rios a se protegerem dos vírus.
d) Hackers são pessoas más, roubam informações sigilosas, infectam computadores de suas 
vítimas com vírus, e Malwares e Crackers são pessoas boas, como analistas de suporte que 
ajudam os usuários e configuram suas máquinas.
e) Cracker é um criminoso virtual que utiliza a engenharia social para extorquir pessoas, e o 
Hacker é um entusiasta, sendo o seu principal objetivo quebrar sistemas de segurança pelo 
desafio.
Questão 5
33/236
Gabarito
1. Resposta: C.
O Não-Repúdio é o mecanismo que com-
prova o ato através de provas, por exemplo, 
um furto ser filmado e comprovado o autor, 
geralmente é usado judicialmente. Não tem 
nada haver com termodinâmica e leitura de 
temperatura.
2. Resposta: D.
Uma vulnerabilidade pode ser explorada e 
comprometer um sistema como um todo ou 
parte dele. Se existir uma ameaça a vulnera-
bilidade torna-se um risco em potencial.
3. Resposta: E.
O Spyware consiste em um programa au-
tomático de computador, que recolhe in-
formações sobre o usuário sem o consen-
timento e, por esse motivo, são conhecidos 
como programas espiões.
4. Resposta: D.
Não existe um ambiente totalmente seguro. 
A segurança é comparada a um produto de 
teste, coloca-se e vê-se o poder que o siste-
ma tem.
5. Resposta: E.
O Cracker é um indivíduo com conhecimen-
tos elevados de computação e segurança, 
que os utiliza para fins criminosos, destrui-
ção de dados ou interrupção de sistemas a 
fim de conseguir vantagens financeiras da 
vítima. O Hacker utiliza seus conhecimentos 
para fins de diversão, interesse e desafio. O 
Hacker não busca ganhos financeiros e de-
dicam boa parte do seu tempo a conhecer e 
modificar softwares e hardwares. 
34/236
Unidade 2
Normas Brasileiras ABNT
Objetivos
1. Tendo em vista que o objetivo de uma 
norma é orientar e, a partir disso, para 
nossocaso, criar um padrão de me-
lhores práticas no gerenciamento da 
informação, esta unidade visa apre-
sentar de modo sucinto e comentado 
os principais tópicos abordados na 
ISO/IEC 27002:2013.
Unidade 2 • Normas Brasileiras ABNT35/236
Introdução
As normas realizam uma contribuição fun-
damental para as nossas vidas, pois são 
responsáveis por padronizar produtos e 
serviços, sem as quais os produtos podem 
apresentar má qualidade, incompatibilida-
des e perigos, por exemplo, brinquedos para 
crianças fora dos padrões de segurança 
exigidos. Elas também oferecem um papel 
importante na melhoria das defesas de se-
gurança para as empresas: são fundamen-
tais para o fechamento de contratos, além 
de uma maneira creditável de demonstrar 
confiança aos clientes. Quando as empre-
sas não seguem as normas, as políticas de 
segurança e controle, tornam-se frágeis e 
ineficientes, o que “abre brechas” para uma 
possível ação judicial movida por algum 
funcionário insatisfeito. 
A norma é um documento estabelecido por 
consenso, aprovado por organismo reco-
nhecido, que fornece regras, diretrizes e ca-
racterísticas para atividades de uso comum 
e repetitivas. A família ISO/IEC 27000 são as 
normas que definem os requisitos para um 
Sistema de Gestão da Segurança da Infor-
mação (SGSI) (ISO/IEC 27000, 2013). O SGSI 
possui estudo nos riscos do negócio para 
estabelecer, implementar, operar, monito-
rar, revisar, manter e melhorar a segurança 
da informação. 
A ABNT (Associação Brasileira de Normas 
Técnicas) é o Fórum Nacional de Normaliza-
ção. As normas brasileiras, cujo conteúdo é 
de responsabilidade dos Comitês Brasileiros 
(ABNT/CB) e dos organismos de Normaliza-
ção Setorial (ABNT/ONS), são elaboradas 
Unidade 2 • Normas Brasileiras ABNT36/236
por Comissões de Estudo (CE), formadas por 
representantes dos setores envolvidos, de-
las fazem parte: produtores, consumidores 
e neutros (Universidades, laboratórios, por 
exemplo).
As normas da família 27000 são abrangen-
tes e as que se destacam são:
• ISO 27001: Padrão que define os re-
quisitos para um Sistema de Gestão 
de Segurança da Informação.
• ISO 27002: Padrão que substituiu, em 
2007, a ISO 17799:2005 (código de 
boas práticas).
• ISO 27003: Recomendações de defi-
nição e implementação de gestão de 
segurança da informação.
• ISO 27004: Mecanismos de mediação 
e de relatório de gestão de segurança 
da informação.
• ISO 27005: Abordagem para gestão 
de risco das informações em uma or-
ganização.
• ISO 27006: Certificação, auditoria e 
homologação da gestão de segurança 
da informação.
Para saber mais
Para as empresas que já seguem algumas nor-
mas, como a NBR ISO 9000 (Sistema de Gestão da 
Qualidade), a obtenção da ISSO 27000 torna-se 
mais fácil, pois a empresa já possui um melhor 
controle e qualidade em seus procedimentos. Po-
de-se dizer que a necessidade de certificação sur-
ge com o exemplo, como é o caso das importan-
tes e inspiradoras companhias Google, Microsoft 
e Apple influenciando outras empresas para se 
adequarem às conformidades e, assim, ganharem 
confiança e credibilidade.
Unidade 2 • Normas Brasileiras ABNT37/236
2. NORMA ISO/IEC 27002:2013
A NBR ISO/IEC 27002:2013 divide-se em 18 
seções. As seções de 1 a 4 determinam o es-
copo, as referências normativas, os termos 
e definições e a estrutura da própria norma. 
A partir da seção 5, entretanto, são aborda-
dos os controles de segurança da informa-
ção. É importante ressaltar que cada seção 
contém um controle e uma diretriz para im-
plementação. As outras seções acompa-
nhadas do respectivo número de categorias 
serão destacadas a seguir.
2.1 Seção 5 – Política de Segu-
rança da Informação
A Seção 5 é responsável pela política de 
segurança da informação com o intuito de 
fornecer uma base de apoio com as exigên-
cias do negócio, leis e regulamentações da 
organização. Para isso, deve-se produzir 
um documento com as políticas internas e 
comunicar aos funcionários, fornecedores, 
entre outros. É fundamental que esse docu-
mento seja aprovado pela direção, além de 
que o mesmo deve ser analisado com frequ-
ência e atualizado. Destacamos os pontos: 
• Controle: elaborar um documento 
com as políticas internas da organiza-
ção e aprovado pela direção. 
Link
A NBR ISO/IEC 27002:2013 pode ser conferida na 
íntegra em: <http://www.abntcatalogo.com.
br/norma.aspx?ID=306582>. Acesso em: 17 
nov. 2017.
Unidade 2 • Normas Brasileiras ABNT38/236
• Diretrizes para implementação: é im-
portante que o documento declare o 
comprometimento da organização 
para gerenciar a segurança da infor-
mação. 
2.2 Seção 6 – Organização da 
Segurança da Informação
A Seção 6 tem por objetivo estabelecer uma 
estrutura de gerenciamento para iniciar e 
controlar a implementação da segurança 
da informação dentro da organização. 
 Deve-se definir aspectos como a proteção 
de cada ativo, o cumprimento de proces-
sos e a separação das funções e contatos 
adequados. Nesta seção, são definidas as 
políticas de segurança relacionadas ao uso 
de dispositivos móveis com o intuito de ge-
renciar os riscos decorrentes da utilização e 
acesso remoto desses dispositivos.
Organização interna: geralmente as orga-
nizações atribuem a um gestor de seguran-
ça da informação a responsabilidade global 
Para saber mais
As normas oferecem um papel importante na me-
lhoria das medidas e ações relacionadas à defesa 
de segurança da informação de uma empresa, 
além de serem fundamentais para o fechamento 
de contratos, sendo uma maneira simples de de-
monstrar aos clientes que a empresa é confiável.
Unidade 2 • Normas Brasileiras ABNT39/236
pelo desenvolvimento e implementação da 
segurança da informação, entretanto, a res-
ponsabilidade por pesquisar e implemen-
tar os controles deverá permanecer com os 
gestores individuais. Uma política comum é 
a nomeação de um proprietário para cada 
ativo que se torna responsável pela prote-
ção diariamente. 
Controle: é importante que funções confli-
tantes e áreas de responsabilidades sejam 
separadas, a fim de reduzir o uso indevido 
dos ativos da organização.
Diretrizes para implementação: é funda-
mental que sejam tomados cuidados para 
impedir que uma única pessoa possa aces-
sar, modificar ou usar ativos sem a devida 
autorização ou detecção. 
Importante também mencionar a monitora-
ção de atividades, auditoria e gerenciamen-
to da supervisão. A Segregação de funções 
é um método utilizado para reduzir o risco 
de mau uso e de uso acidental dos ativos de 
uma organização. 
2.3 Seção 7 – Segurança em Re-
cursos Humanos
A Seção 7 é responsável por assegurar que 
funcionários internos e externos entendam 
as responsabilidades e estejam em confor-
midade com os papeis para os quais foram 
contratados. São definidos controles para 
serem aplicados antes, durante e no encer-
ramento ou mudança da contratação. A or-
ganização também deve informar ao candi-
Unidade 2 • Normas Brasileiras ABNT40/236
dato quais serão suas responsabilidades e 
qual o papel que será desempenhado. Essas 
regras valem também para os fornecedores 
ou terceiros, visto que todos devem estar 
cientes das ameaças relativas à segurança 
da informação e das responsabilidades.
Por fim, caso haja violação da segurança da 
informação, um processo disciplinar formal 
deve ser comunicado e aplicado e, no en-
cerramento da contração, todos os equi-
pamentos devem ser devolvidos, o acesso à 
empresa revogado e também levar em con-
sideração atualizações da política interna e 
treinamentos constantes, a fim de diminuir 
a exposição aos riscos. 
2.4 Seção 8 – Gestão de Ativos
A Seção 8 é responsável por identificar os 
ativos da organização e definir as respon-
sabilidades apropriadas para a proteção. A 
empresa deve manter um inventário atua-
lizado dos ativos, determinando quem são 
os proprietários designados e quais os usos 
aceitáveis e, ainda, é fundamental ter o con-
trole de quais ativos foram devolvidos após 
o encerramento das atividades.
Para garantir aproteção da informação de 
modificações ou divulgações não autoriza-
das, é necessário que a empresa tenha um 
processo adequado de classificação e trata-
mento das informações. E, por fim, a organi-
zação deve definir como será o tratamento 
de mídias visando prevenir acesso, divulga-
Unidade 2 • Normas Brasileiras ABNT41/236
ção, modificação, remoção ou destruição 
não autorizada das informações.
2.5 Seção 9 – Controle de Aces-
so
A Seção 9 tem o objetivo de limitar o aces-
so e os recursos de processamento da in-
formação. A organização deve estabelecer 
uma política de controle de acesso, na qual 
são estabelecidos mecanismos de controle 
para impedir que um usuário não autoriza-
do tenha acesso a sistemas e serviços. 
Para isso, é necessário que a organização 
tenha processos bem definidos para cadas-
tro e remoção de usuários, gerenciamen-
to de acessos privilegiados, concessão de 
senhas e ajustes de permissões de acesso. 
Para controlar o acesso, sistemas e aplica-
ções devem possuir mecanismos de prote-
ção, contando com procedimentos seguros 
de login e gerenciamento de senhas.
2.6 Seção 10 – Criptografia
Na Seção 10, o objetivo é assegurar o uso 
efetivo e adequado da criptografia, manten-
do-se nos princípios da confidencialidade, 
autenticidade e integridade da informação. 
Para tanto, é necessário que a organiza-
ção desenvolva e implemente uma política 
para o uso de controles criptográficos, bem 
como estabeleça uma política relacionada 
ao gerenciamento das chaves de criptogra-
fia, definindo o uso, a proteção e o ciclo de 
vida das mesmas. 
Unidade 2 • Normas Brasileiras ABNT42/236
2.7 Seção 11 – Segurança Física 
e do Ambiente 
Na Seção 11, o objetivo é prevenir o acesso 
físico não autorizado, danos e interferên-
cias; para tanto é necessário estabelecer os 
perímetros de segurança, os mecanismos 
de controle de entrada e saída dos ambien-
tes e assegurar que escritórios, salas e ins-
talações estejam seguros.
Vale lembrar a importância em projetar e 
aplicar a proteção contra desastres natu-
rais, ataques e acidentes, de modo a não 
comprometer o ambiente. Além das ins-
talações, os equipamentos da organiza-
ção devem ser protegidos contra ameaças, 
também devem passar por manutenções 
periódicas para assegurar a disponibilidade 
e integridade.
Link
A criptografia é a área da criptologia que trata 
dos princípios, dos meios e dos métodos de trans-
formação de documentos com o objetivo de mas-
carar o conteúdo, impedir modificações, uso não 
autorizado e dar segurança à confidência e à au-
tenticação de dados. Informações sobre Cripto-
grafia podem ser conferidas em: <https://www.
kaspersky.com.br/resource-center/defini-
tions/encryption>. Acesso em: 27 nov. 2017.
Unidade 2 • Normas Brasileiras ABNT43/236
2.8 Seção 12 – Segurança nas 
operações
A Seção 12 visa a garantia da operação se-
gura e correta dos recursos de processa-
mento da informação. Assim, ela dita que 
os procedimentos operacionais devem ser 
bem estabelecidos e documentados ao se-
parar os ambientes: desenvolvimento, teste 
e produção, de forma que um não interfira 
no outro. Quaisquer mudanças na orga-
nização que possa afetar a segurança das 
informações ali armazenadas, processadas 
ou trafegadas devem ser controladas, além 
disso, destaca as ações de identificação das 
alterações necessárias, planejamento e tes-
te das mudanças, avaliação dos impactos 
potenciais, entre outras atividades.
A organização deve estar protegida contra 
códigos maliciosos, portanto, é necessário 
implantar controles para detectar, prevenir 
e recuperar as informações, além de criar 
programas de conscientização dos usu-
Link
A Segurança Física é essencial para lidar com as 
ameaças à Segurança da Informação, poden-
do ser caracterizada pelo uso de barreiras físicas 
para evitar o acesso de pessoas não autorizadas 
a áreas em que se encontram dados e informa-
ções críticas da empresa. Maiores detalhes so-
bre Segurança Física podem ser conferidos em: 
<https://www.gestaodesegurancaprivada.
com.br/seguranca-fisica-e-logica-nas-or-
ganizacoes/>. Acesso em: 27 nov. 2017.
https://www.gestaodesegurancaprivada.com.br/seguranca-fisica-e-logica-nas-organizacoes
https://www.gestaodesegurancaprivada.com.br/seguranca-fisica-e-logica-nas-organizacoes
https://www.gestaodesegurancaprivada.com.br/seguranca-fisica-e-logica-nas-organizacoes
Unidade 2 • Normas Brasileiras ABNT44/236
ários. Demais controles operacionais são 
necessários, como a realização de backup 
das informações, proteção contra a perda 
de dados, o registro e monitoramento dos 
eventos importantes (logs) e a criação de 
procedimentos para instalações de softwa-
res, a fim de garantir a integridade dos sis-
temas operacionais. E por fim, a gestão das 
vulnerabilidades técnicas, com a função de 
prevenir que o sistema não seja comprome-
tido.
2.9 Seção 13 – Segurança nas 
comunicações
Na Seção 13, o objetivo é garantir a prote-
ção das informações, além de identificar e 
incluir mecanismos de segurança em qual-
quer acordo de serviços de rede, indepen-
dentemente se são serviços internos ou para 
terceiros. No caso de mensagens eletrôni-
cas, deve haver um item que estabeleça a 
proteção das informações transmitidas.
Por fim, a organização deve criar acordos de 
confidencialidade e de não divulgação das 
informações, tais acordos devem ser cons-
truídos com termos obrigatórios do ponto 
de vista legal.
2.10 Seção 14 – Aquisição, De-
senvolvimento e Manutenção 
de sistemas
A Seção 14 tem como objetivo garantir a 
segurança da informação nos processos de 
aquisição, desenvolvimento e manutenção 
Unidade 2 • Normas Brasileiras ABNT45/236
de sistemas. Durante os processos de de-
senvolvimento e de suporte, a segurança da 
informação deve estar presente no ciclo de 
vida dos sistemas. Para isso, deve ser criada 
e divulgada aos envolvidos uma política de 
desenvolvimento seguro.
Após ter a política, a organização deve ana-
lisar como a informação será trafegada, 
processada e armazenada de forma segura, 
estabelecendo procedimentos para contro-
le das mudanças no sistema e oferecendo 
ambientes seguros para o desenvolvimen-
to, que caso seja realizado por terceiros, 
as atividades devem ser supervisionadas e 
monitoradas pela organização.
Por fim, os dados utilizados nos testes de-
vem ser cuidadosamente selecionados, pro-
tegidos e controlados. O ideal é que dados 
fictícios sejam utilizados, porém, quando for 
necessário utilizar informações reais, é ne-
cessário que estas sejam protegidas contra 
remoção ou modificação.
2.11 Seção 15 – Relacionamento 
na cadeia de suprimento
A Seção 15 objetiva garantir a proteção dos 
ativos da organização que são acessíveis 
pelos fornecedores. Uma política para se-
gurança da informação nos relacionamen-
tos deve ser estabelecida e os requisitos de 
segurança acertados com os fornecedores 
que irão acessar, processar, armazenar, co-
municar ou prover componentes de infraes-
trutura para as informações da organização.
As entregas dos serviços de fornecedores 
também devem ser gerenciadas com moni-
toramento, análise e auditorias. 
Unidade 2 • Normas Brasileiras ABNT46/236
2.12 Seção 16 – Gestão de inci-
dentes de Segurança da Infor-
mação
Na Seção 16, o objetivo é tratar da gestão 
de incidentes de segurança da informação, 
destacando a importância de assegurar um 
enfoque efetivo e incluir a comunicação so-
bre fragilidades e eventos de segurança da 
informação. Isso significa que a organiza-
ção deve estabelecer as responsabilidades e 
os procedimentos, de forma a dar respostas 
rápidas, efetivas e ordenadas a incidentes, 
bem como estabelecer canais para rápida 
notificação dos eventos aos responsáveis. 
Caso funcionários ou terceiros encontrem 
fragilidades de segurança, estas devem ser 
notificadas à organização.
No caso de incidentes de segurança, os pro-
cedimentos já estabelecidos da organiza-
ção devem ser respeitados e as informações 
obtidas na análise e na resoluçãodevem 
ser utilizadas para reduzir a probabilidade 
e o impacto de futuros incidentes. Por fim, 
a organização deve ter procedimentos para 
identificar, coletar e preservar informações, 
visto que estas podem servir como evidên-
cias.
Para saber mais
Existem empresas que pouco investem em certi-
ficações da família ISO 27000 e em treinamentos 
para seus funcionários, além de não possuírem 
um departamento específico para reportar inci-
dentes de segurança. A falta de conhecimento 
na área e os altos custos são uma barreira para 
investimentos no setor de segurança da informa-
ção, por isso é necessário que a diretoria participe 
ativamente na sua gestão.
Unidade 2 • Normas Brasileiras ABNT47/236
2.13 Seção 17 – Aspectos da se-
gurança da informação na ges-
tão da continuidade do negócio
A Seção 17 tem como objetivo tratar dos as-
pectos da segurança na gestão da continui-
dade do negócio, para , é recomendado que 
os processos, procedimentos e controles 
para assegurar a continuidade da seguran-
ça da informação devam ser estabelecidos, 
documentados, implementados e mantidos 
pela organização. Tais controles devem ser 
verificados periodicamente de forma a ga-
rantir a continuidade em situações adversas. 
A organização deve, também, implementar 
recursos de processamento de dados com 
redundâncias suficientes para atenderem 
aos requisitos de disponibilidade, ou seja, 
manter em maior tempo possível os servi-
ços disponibilizados. 
2.14 Seção 18 – Conformidade
A seção 18 trata da conformidade com re-
quisitos legais, contratuais e menciona que 
a organização deve evitar a violação de 
quaisquer obrigações legais, estatutárias, 
regulamentares ou contratuais relaciona-
das à segurança da informação e de quais-
quer requisitos de segurança. Além disso, 
pondera-se a necessidade de identificação 
da legislação aplicável e dos requisitos con-
tratuais, além da garantia a conformidade 
com os direitos de propriedade intelectual. 
Todos os controles e processos da organiza-
ção devem estar em conformidade com as 
Unidade 2 • Normas Brasileiras ABNT48/236
leis, acordos, legislação e regulamentações 
pertinentes. 
E, por fim, a organização deve analisar cri-
ticamente a segurança da informação, de 
modo a garantir que está implementada e 
ativa de acordo com as políticas, procedi-
mentos já estabelecidos pela própria orga-
nização e de acordo com os aspectos legais 
do país. 
No que diz respeito ao controle, destaca-
mos os pontos: permitir que procedimen-
tos apropriados sejam implementados para 
garantir a conformidade com os requisitos 
legislativos e contratuais relacionados aos 
direitos de propriedade intelectual e uso de 
softwares proprietários (pertencem a uma 
empresa privada e detêm direitos de uso, 
edição e redistribuição) para assegurar que 
o direito autoral não esteja sendo violado. 
Além de manter a conscientização das po-
líticas e notificar a intenção de tomar ações 
disciplinares contra pessoas que violarem 
essas políticas.
Unidade 2 • Normas Brasileiras ABNT49/236
Glossário
Dispositivos móveis: é um dispositivo de computação portátil, geralmente, equipado com um 
método de entrada: tela sensível ao toque ou um mini teclado. Muitos dispositivos móveis por-
táteis possuem sistemas operacionais e podem executar aplicativos. Exemplos: notebook, smar-
tphones e tablets.
Logs: é o termo utilizado para descrever o processo de registro de eventos relevantes em um sis-
tema computacional. Esse registro pode ser utilizado para reestabelecer o estado original de um 
sistema, diagnosticar problemas ou ser utilizado para auditorias.
Softwares proprietários: são softwares que pertencem a uma empresa privada e detêm direitos 
de uso, edição e redistribuição. O software é pago e, com isso, o cliente tem direito às atualiza-
ções do produto e ao suporte técnico. Exemplo de software proprietário: Sistemas Operacionais 
Android do Google e o IOS da Apple.
Questão
reflexão
?
para
50/236
Suponha que uma empresa foi alvo de um cracker e necessita criar um documento 
de política de segurança interna para se adequar e treinar os funcionários. Como 
seria possível criá-lo se não existissem as normas?
51/236
Considerações Finais 
• Na Seção 6 (Organização da Segurança da Informação), a organização interna é fundamental 
para que funções conflitantes e áreas de responsabilidade sejam segregadas, a fim de reduzir 
as modificações não autorizadas e o uso indevido dos ativos da organização.
• Na seção 18 (Conformidade), o direito de propriedade intelectual é necessário para garantir a 
conformidade com os requisitos legislativos, regulamentares e contratuais relacionados aos 
direitos de propriedade intelectual e sobre o uso de produtos de softwares proprietários.
• As normas representam um importante instrumento sinalizador de direção para as empresas 
preocupadas com o negócio e a prestação das informações que as sustentam.
• As normas são apenas um ponto de partida, visto que nem todas as recomendações e contro-
les podem ou devem ser integralmente aplicados, visto que cada empresa possui uma meto-
dologia e deve buscar o que melhor adapta-se ao seu negócio.
Unidade 2 • Normas Brasileiras ABNT52/236
Referências 
FONTES, Edison. Políticas e Normas para a Segurança da Informação. São Paulo: Brasport, 2012.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS: Importância e Benefícios. Disponível 
em: <http://www.abnt.org.br/normalizacao/o-que-e/importancia-beneficios>. Acesso em: 
07.10.2017.
________. ABNT NBR ISO/IEC 27002:2013: Tecnologia da Informação – Técnicas de Segurança – 
Código de práticas para controles de segurança da informação. 
SEÇÕES DA NORMA ABNT NBR ISO/IEC 27002:2013. Disponível em: <https://www.profissionais-
ti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/>. <https://www.profissionaisti.com.
br/2010/03/conheca-a-nbr-isoiec-27002-parte-2/>. Acessos em: 08.10.2017
53/236
Assista a suas aulas
Aula 2 - Tema: Normas Brasileiras ABNT. Bloco I
Disponível em: <https://fast.player.liquidplatform.com/
pApiv2/embed/dbd3957c747affd3be431606233e0f1d/
8f827690ed7e4bedee2bf8bc3d63021f>.
Aula 2 - Tema: Normas Brasileiras ABNT. Bloco II
Disponível em: <https://fast.player.liquidplatform.com/
pApiv2/embed/dbd3957c747affd3be431606233e0f-
1d/8a41be218fc0407c4fc5e926f6bdc969>.
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8f827690ed7e4bedee2bf8bc3d63021f
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8f827690ed7e4bedee2bf8bc3d63021f
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8f827690ed7e4bedee2bf8bc3d63021f
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8a41be218fc0407c4fc5e926f6bdc969
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8a41be218fc0407c4fc5e926f6bdc969
https://fast.player.liquidplatform.com/pApiv2/embed/dbd3957c747affd3be431606233e0f1d/8a41be218fc0407c4fc5e926f6bdc969
54/236
1. Assinale a alternativa correta
De acordo com a norma NBR ISO/IEC 27002:2013, existe uma seção que trata a melhor forma de 
gerenciar riscos da infraestrutura de TI de uma empresa, incluindo a implementação de práticas 
e estruturas organizacionais para estabelecer proteções e procedimentos para segurança da in-
formação. Essa prática é denominada por:
a) Controle.
b) Ativo.
c) Política.
d) Recurso.
e) Evento.
Questão 1
55/236
2. Existe uma seção na norma NBR ISO/IEC 27002:2013 que contêm reco-
mendações para que sejam cumpridas obrigações legais na organização, 
além de implementar procedimentos adequados para garantir a conformi-
dade com os direitos de propriedade intelectual. 
Questão 2
Tal seção refere-se a(o):
a) Controle de Acesso.
b) Gestão de Incidentes de Segurança da Informação.
c) Gestão de Ativos.
d) Segurança nas operações.
e) Conformidade.
56/236
3. Assinale a alternativa correta.
Questão 3
A norma NBR ISO/IEC 27002:2013 estabelece que sejaconveniente que a tarefa de definir a clas-
sificação de um ativo e assegurar que esteja atualizado e no nível apropriado é de responsabili-
dade do:
a) Usuário do ativo.
b) Gerente.
c) Consumidor.
d) Proprietário do ativo.
e) Diretor executivo.
57/236
4. A norma NBR ISO/IEC 27002:2013 tem como objetivo garantir a operação 
segura e correta dos recursos de processamento da informação, inclusive, da 
administração de acesso gerenciado pelo controle de:
Questão 4
a) Segregação de funções.
b) Remoção de propriedade.
c) Manutenção dos equipamentos.
d) Entrega de serviços.
e) Gestão de capacidade.
58/236
5. Assinale a alternativa correta.
Questão 5
A Norma NBR ISO/IEC 27002:2013 refere-se a um conjunto de regras internacionais que auxi-
liam as empresas na gestão de seus negócios, porém, para uma empresa obter a certificação ISO 
é necessário que ela tenha: 
a) Maturidade.
b) Flexibilidade.
c) Idoneidade.
d) Competitividade.
e) Rigidez.
59/236
Gabarito
1. Resposta: A.
A norma NBR ISO/IEC 27002:2013 fornece 
diretrizes para práticas de gestão e normas 
de segurança da informação para as organi-
zações, incluindo a seleção, implementação 
e o gerenciamento de controles, levando 
em consideração os ambientes de risco da 
segurança da informação da organização.
2. Resposta: E.
A Seção Conformidade possui diretrizes 
para implementação especificas para pro-
priedade intelectual, dentre elas adquirir 
software por meio de fontes conhecidas e 
de reputação para assegurar que o direito 
autoral não está sendo violado.
3. Resposta: D.
Segundo a seção Gestão de Ativos, con-
vém que os ativos mantidos no inventário 
tenham um proprietário. De acordo com as 
diretrizes para implementação, é necessário 
que o proprietário do ativo seja responsável 
pelo próprio gerenciamento desse ativo ao 
longo do seu ciclo de vida.
4. Resposta: A.
Na Segregação de Funções (Seção Organi-
zação da Segurança da Informação) é im-
portante que sejam tomados certos cui-
dados para impedir que uma única pessoa 
possa acessar, modificar ou usar ativos sem 
a devida autorização ou detecção.
60/236
Gabarito
5. Resposta: D.
Para uma empresa, obter a norma NBR ISO/
IEC 27002:2013 é ter um diferencial compe-
titivo para a conquista de clientes que valo-
rizam a certificação, além de promoverem 
uma redução de custos com a prevenção de 
incidentes de Segurança da Informação.
61/236
Unidade 3
Gestão de Riscos
Objetivos
1. Apresentaremos uma breve explanação 
acerca de gerenciamento, classificação, 
análise e gestão de riscos. A partir des-
ses tópicos, você constatará que um dos 
grandes erros cometidos pelas pessoas, 
em geral, é acreditar que estão imunes 
aos riscos e, por se sentirem seguros, não 
se previnem.
Unidade 3 • Gestão de Riscos62/236
Introdução
Um criminoso nem sempre busca informa-
ções, já que a intenção pode ser, por exem-
plo, realizar ataques a outros computadores 
e, assim, esconder a real identidade e locali-
zação, além de propagar códigos maliciosos 
e disseminar spam. 
É preciso considerar não só para a empresa, 
mas também para o cotidiano de usuários 
comuns, os riscos aos quais estão expos-
tos, e, com isso, tentar reduzi-los através da 
adoção de uma postura preventiva e que a 
atenção com a segurança torne-se um há-
bito incorporado à rotina. 
Nesse sentido, a Unidade 3 descreve as ma-
neiras para gerenciar, identificar e analisar o 
risco: se este é possível de ser aceito ou não, 
e, por fim, divulgá-lo. Assim, desejamos de-
senvolver o seu senso crítico em relação aos 
riscos e às formas de tratamento. 
1. Modelo de Segurança
Um modelo de segurança organizacional é 
um “framework” constituído de várias en-
tidades, mecanismos de proteção, compo-
nentes físicos e lógicos, procedimentos e 
configurações para prover um nível de se-
gurança adequado ao ambiente, sendo que 
possuem características relevantes ao tipo, 
missão crítica e objetivos da empresa que o 
adotará.
Todo modelo deve possuir planejamento 
operacional para atender a rotina do ne-
gócio em questão, além de apresentar um 
caráter tático a médio prazo, e estratégico 
a longo prazo. Convém ressaltar que é im-
possível tornar uma estrutura segura de um 
dia para o outro. 
A implantação eficaz de um modelo de se-
gurança está diretamente associada a uma 
Unidade 3 • Gestão de Riscos63/236
metodologia top down, ou seja, deve iniciar 
e derivar na direção da alta gerência para os 
níveis inferiores hierárquicos.
A segurança deve ser trabalhada em todos 
os aspectos, seguindo-se o conceito de de-
fesa por perímetro, ou seja, todo elemento 
conectado a algum tipo de rede deve ter a 
segurança trabalhada. 
2. DETALHAMENTOS ACERCA 
DO RISCO
2.1 Gerenciamento de Risco
É o processo de identificar, estimar, tratar, 
reduzir o risco e implementar mecanismos 
para mantê-lo dentro dos níveis aceitá-
veis. Os riscos podem ser transferidos para 
empresas seguradoras, rejeitados (negli-
genciados), reduzidos ou assimilados. Um 
modo de reduzir riscos pode ser realizado 
através da implementação de medidas de 
contenção e salvaguardas. Caso a organi-
zação opte por ignorar o risco, isso poderá 
acarretar em fatalidades ao negócio. 
As etapas de gerenciamento de risco po-
Para saber mais
As principais ameaças para que o risco de vaza-
mento de informação corporativa materialize-se 
concentram-se não unicamente, mas, principal-
mente, nos seguintes fatores: o elemento huma-
no, a engenharia social, a espionagem e a tecno-
logia. Sendo assim, é importante que a empresa 
desenvolva um estudo do risco, definido como o 
processo global de análise e de avaliação do risco.
Unidade 3 • Gestão de Riscos64/236
dem despender de um tempo considerável 
das pessoas envolvidas nas diferentes áre-
as da empresa, assim, é importante que o 
processo seja amplamente entendido antes 
que a execução concretize-se.
2.2 Tipos de Riscos
Em relação aos tipos de riscos que as em-
presas podem submeter-se, destaca-se: 
Riscos de Ambiente: ocorre quando há for-
ças externas que possam afetar a viabili-
dade de negócio da empresa, incluindo os 
fundamentos que orientam a realização dos 
objetivos gerais e estratégicos que definem 
o modelo. São exemplos desses riscos: con-
corrência (ações dos concorrentes ou de 
novos operadores no mercado da empresa 
que podem prejudicar a vantagem competi-
tiva ou ameaçar a sua capacidade de sobre-
vivência); inovação tecnológica (a empresa 
não é capaz de superar avanços de tecnolo-
gia no modelo de negócio para alcançar ou 
manter uma vantagem competitiva); risco 
jurídico (alteração de leis podem ameaçar 
a capacidade da empresa para consumar 
operações importantes, aplicar acordos 
contratuais ou implementar estratégias e 
atividades específicas); regulamentação 
(alteração de regulamentos pode ameaçar 
a posição competitiva da empresa e a capa-
Link
Os Modelos de Gerenciamento de Riscos estão 
apresentados em: <https://escritoriodeproje-
tos.com.br/plano-de-gerenciamento-dos-
-riscos>. Acesso em: 27 nov. 2017.
https://escritoriodeprojetos.com.br/plano-de-gerenciamento-dos-riscos
https://escritoriodeprojetos.com.br/plano-de-gerenciamento-dos-riscos
https://escritoriodeprojetos.com.br/plano-de-gerenciamento-dos-riscos
Unidade 3 • Gestão de Riscos65/236
cidade de realização eficiente de negócios); 
ameaças naturais (essas ameaças não de-
vem ser subestimadas, deve-se considerar a 
ocorrência de inundação, incêndio, descar-
gas elétricas, vendaval, magnetismo, entre 
outros).
Riscos de Processo: são os riscos relaciona-
dos à efetividade dos processos da empresa 
e ocorrem quando a aquisição, gestão, re-
novação e disposição dos bens não estão 
claramente definidas ou estão mal alinha-
das com as estratégias de condução do mo-
delo de negócio. Podemos destacar os ris-
cos operacionais - levam em consideração 
a satisfação dos clientes, recursos huma-
nos, interrupção do negócio e desgaste da 
marca; riscos de autorização (liderança, li-
mite, autoridade, comunicação e desempe-nho); riscos de integridade (fraudes de ge-
renciamento, fraudes de empregados, atos 
ilegais, uso não autorizado e reputação); 
riscos de tecnologia da informação (acesso, 
relevância, integridade, disponibilidade e 
confidencialidade); riscos financeiros (moe-
da, crédito, taxa de juros e liquidez). Dentre 
os riscos de processo, um dos mais impor-
tantes e críticos são os riscos operacionais, 
pois trabalha com o risco de que as opera-
ções sejam ineficientes na execução do mo-
delo de negócio da empresa, satisfação dos 
clientes, custo, tempo e no desempenho.
Riscos de Informação para tomada de de-
cisões: nesses riscos, destacamos os ope-
racionais (definição de preços, obrigações 
contratuais, mensuração e relatórios ge-
renciais), financeiros (impostos, fundo de 
pensão, orçamento, planejamento, relató-
rios gerenciais e financeiros) e estratégicos 
(definição do ambiente, carteira de negócio, 
estrutura organizacional e planejamento). 
Unidade 3 • Gestão de Riscos66/236
Em relatório publicado pela World Economic 
Forum, aponta-se que a adaptação das em-
presas para as alterações climáticas foram o 
risco de maior impacto potencial em 2016.
2.3 Análise de Riscos
O valor de cada produto (computador, rote-
ador, mobiliário, por exemplo) é necessário 
para se obter uma análise de custo-benefí-
cio efetiva. Além disso, o preço dele deter-
minará o processo de seleção de medidas 
de salvaguarda adequado. 
Para determinar o valor da informação ou 
produto são utilizados dois métodos. O pri-
meiro denomina-se método quantitativo 
que analisa, numericamente, os efeitos dos 
riscos nos objetivos gerais do projeto. De-
ve-se considerar por meio de análises, a ex-
posição que o projeto tem aos riscos iden-
tificados. Pondera-se que os riscos a serem 
analisados no método quantitativo podem 
trazer maior prejuízo ou algum impacto sig-
Link
Um relatório anual revelou os maiores riscos glo-
bais no ano de 2016, cujos detalhes podem ser 
vistos em: <http://segurancadainformacao.
modulo.com.br/o-global-risks-report-re-
vela-os-maiores-riscos-globais-de-2016>. 
Acesso em: 27 nov. 2017.
http://segurancadainformacao.modulo.com.br/o-global-risks-report-revela-os-maiores-riscos-globais-de-2016
http://segurancadainformacao.modulo.com.br/o-global-risks-report-revela-os-maiores-riscos-globais-de-2016
http://segurancadainformacao.modulo.com.br/o-global-risks-report-revela-os-maiores-riscos-globais-de-2016
Unidade 3 • Gestão de Riscos67/236
nificativo ao projeto. O segundo é denomi-
nado de método qualitativo que prioriza a 
análise ou ação adicional através da ava-
liação e combinação da probabilidade de 
ocorrência e impacto dos riscos. A técnica 
Delphi é um exemplo de método qualitati-
vo, sendo constituída por um grupo de deci-
são, cujos membros votam anonimamente 
e cada um opina sobre a resposta do outro 
em relação a um determinado risco. No pro-
cesso de escolha de uma medida de prote-
ção para minimizar um risco específico, é 
necessário avaliar o custo, funcionalidade e 
efetividade.
Quanto às análises de riscos, estas são ba-
seadas nos processos de identificação, 
análise e avaliação do risco. A organização 
deve identificar as fontes de risco, eventos, 
causas e potenciais impactos, com o objeti-
vo de gerar uma lista de riscos baseada em 
eventos que podem afetar o negócio. Nessa 
etapa, deve-se utilizar ferramentas e técni-
cas adequadas, informações atualizadas e 
pessoas com conhecimento em gestão de 
empresa. A etapa de análise consiste no (re)
conhecimento do risco, devendo ser con-
sideradas as causas, fontes, consequência 
(positivas ou negativas) e a probabilidade 
de ocorrência de acordo com o tipo que se 
determinará o nível de risco. Finalmente, a 
avaliação contribui na tomada de decisões 
de acordo com os riscos, considerando, as-
sim, a tolerância aos mesmos, as questões 
regulatórias e legais. Os riscos que não são 
identificados nesse estágio podem repre-
sentar problemas futuros, pois não serão 
tratados. 
Unidade 3 • Gestão de Riscos68/236
2.4 Gestão dos Riscos
Para obter sucesso no modelo de seguran-
ça, o processo de gestão de risco deve fun-
cionar em um framework que provê a base 
estrutural e os recursos que devem perme-
ar todas as camadas da organização. Esse 
framework orienta a organização no ge-
renciamento efetivo dos riscos através da 
aplicação do processo de gestão de riscos 
em vários níveis e contextos específicos da 
organização. Ademais, ele deve assegurar 
que as informações de risco derivadas dos 
processos são adequadamente disponibi-
lizadas e utilizadas como base nos proces-
sos de tomada de decisão e na prestação de 
contas em todos os níveis da organização.
Para ser efetiva, a gestão de risco deve criar 
valor para a organização, ser parte integral 
dos processos, estruturada, dinâmica, inte-
rativa e facilitar a evolução contínua da or-
ganização. 
A direção deve articular uma política de 
gestão do risco e determinar indicadores 
de desempenho para os riscos alinhados 
ao negócio. Além disso, deve-se atribuir 
as responsabilidades de gestão aos níveis 
apropriados e comunicar os benefícios aos 
acionistas, assegurando-se a evolução con-
tínua do framework. 
Antes de se iniciar o projeto e implementa-
ção do framework, é importante entender o 
contexto interno e externo da organização, 
uma vez que estes podem influenciar signi-
ficativamente o projeto. O contexto interno 
pode ser entendido como sendo o capital, 
Unidade 3 • Gestão de Riscos69/236
tempo, pessoas, processos e tecnologia. Por 
outro lado, o externo representa o meio cul-
tural, político, regulatório e financeiro. 
Na Política de Gestão do Risco, deve-se es-
clarecer os objetivos e o comprometimento 
da organização. A gerência deve especificar 
as razões fundamentais para organizar os 
processos, métodos e ferramentas a serem 
utilizadas.
Deve-se instituir controles e auditorias para 
assegurar a efetiva e eficiente integração 
da gestão de riscos aos processos de negó-
cio da organização. Além disso, a organiza-
ção deve desenvolver meios práticos para 
alocar os recursos apropriados e necessá-
rios, tais como: pessoas, conhecimento, ex-
periência, competências e bases de conhe-
cimento, além de estabelecer mecanismos 
de geração de relatórios internamente. Por 
fim, os mecanismos existentes devem esta-
belecer procedimentos de comunicação e 
de geração de relatórios para os stakehol-
ders externos, incluindo a troca efetiva de 
informações para atender aos requisitos le-
gais, regulatórios e de governança corpora-
tiva. 
2.5 Implementação da Gestão 
de Risco
A organização deve definir o tempo e estra-
tégia para a implementação do framework, 
documentar as decisões e comunicar aos 
stakeholders, a fim de assegurar que o fra-
mework esteja apropriado ao negócio da 
organização. Deve-se assegurar que todos 
Unidade 3 • Gestão de Riscos70/236
os processos tenham aplicações aos níveis e 
às funções relevantes da organização como 
parte integrante das práticas e processos de 
negócio. 
2.6 Monitoramento e Revisão do 
Framework
Deve-se estabelecer fatores de cálculos de 
desempenho, medir o progresso e executar 
uma comparação do planejamento elabo-
rado, inicialmente, com a revisão constan-
te do framework, além disso, é fundamental 
informar os riscos e rever a sua efetividade. 
2.7 Desenvolvimento Contínuo 
do Framework
O desenvolvimento contínuo do framework 
baseia-se nas revisões e decisões que de-
vem ser tomadas para verificar o nível de se-
gurança adequado ao ambiente, tais como: 
a política e o plano de gestão de riscos. É 
importante lembrar que tais decisões de-
vem agregar melhorias à cultura das orga-
nizações. 
3. Processo para Gestão de Risco
O processo de gestão de risco deve ser parte 
integral da organização, fazer parte da cul-
tura, práticas e processos de negócio. A co-
municação e consulta com os stakeholders 
Unidade 3 • Gestão de Riscos71/236
externos são necessárias em todos os pro-
cessos de gestão de riscos, sendoque o pla-
no de comunicação deve ser desenvolvido o 
mais rápido possível e endereçar questões 
do risco, consequências e medidas neces-
sárias para gerenciá-lo. 
A consulta com os stakeholders externos é 
importante porque auxilia na definição do 
contexto em relação aos questionamentos 
e dúvidas acerca do processo de gestão de 
risco e assegura que os interesses dos stake-
holders foram entendidos e considerados, 
reúne diferentes áreas de conhecimento na 
análise de riscos e certifica que estes foram 
adequadamente identificados. No processo 
de gestão de risco é fundamental definir o 
escopo e critérios de riscos para as tarefas 
do processo. 
A organização deve desenvolver o critério a 
ser utilizado na avaliação da importância do 
risco e deve refletir sobre os valores, obje-
tivos e recursos. Alguns critérios devem ser 
derivados de questões regulatórias e legais. 
Pondera-se que o critério de risco deve ser 
consistente com a política de gestão de ris-
cos da organização, além de ter o seu desen-
volvimento no início do processo de gestão 
de riscos e avaliação contínua.
Link
O processo de Gestão dos Riscos é regido pela 
norma ABNT NBR ISO/IEC 31000:2009, cujos de-
talhes podem ser obtidos em: <http://www.ab-
ntcatalogo.com.br/norma.aspx?ID=57311>. 
Acesso em: 17 nov. 2017. 
http://www.abntcatalogo.com.br/norma.aspx?ID=57311
http://www.abntcatalogo.com.br/norma.aspx?ID=57311
Unidade 3 • Gestão de Riscos72/236
4. NORMA ISO/IEC 31000:2009
Esta norma destina-se a apresentação de 
como as organizações gerenciam, identifi-
cam, analisam e avaliam se o risco deve ser 
modificado a fim de atender os critérios de 
risco da organização. Todas as organizações 
gerenciam os riscos de alguma forma, po-
rém esta norma estabelece uma quantidade 
de princípios que precisa ser atendida para 
tornar a gestão de riscos eficaz. 
Ademais, a norma ISO/IEC 31000:2009 es-
tabelece que cada setor específico ou apli-
cação da gestão de riscos possui necessi-
dades particulares, percepções e critérios. 
Quando uma organização implementa e 
mantém a gestão dos riscos de acordo com 
essa norma possibilita à organização: au-
mentar a probabilidade de atingir os obje-
tivos; encorajar uma gestão proativa; estar 
atenta à necessidade de se adaptar, tratar 
os riscos da organização e melhorar a iden-
tificação de oportunidades e ameaças.
5. IMPACTOS NA EMPRESA
Quando um funcionário (ou prestador de 
serviços) é contratado por determinada 
empresa, geralmente, assina um termo de 
compromisso com as descrições de respon-
sabilidades em relação à função que exer-
cerá. Esse termo também descreve as res-
ponsabilidades do funcionário em manter o 
sigilo acerca das informações às quais terá 
acesso e a seguir as normas de segurança 
da informação e o padrão ético da organi-
zação. Também visa a proteção do funcio-
nário, da informação e, consequentemente, 
da empresa (FONTES, 2008).
Unidade 3 • Gestão de Riscos73/236
Silva (2012, p. 55) relata que:
Para saber mais
Toda empresa deve possuir uma classificação de confidencialidade da informação que pode ser dividida em 
pública, interna, confidencial ou secreta. Essa categorização permite o conhecimento das regras institucio-
nais por todas as pessoas que lidam com a informação, amenizando os impactos na empresa, caso ocorra 
algum tipo de situação emergencial (PEIXOTO, 2006).
Para diminuir os impactos na empresa é fundamental realizar a análise de 
riscos, que é entendido como o processo que os identifica e trata de forma 
sistemática e contínua. Também compreende a realização de quatro ativi-
dades básicas que são a análise e avaliação, tratamento, aceitação e, por 
fim, a comunicação do risco. 
Unidade 3 • Gestão de Riscos74/236
Segundo Beal (2006, p.12), o que define a análise de risco é o:
No gerenciamento dos riscos, é importante a implementação de um ambiente de controle efe-
tivo para serem planejados, implementados, monitorados, terem comprometimento da alta ad-
ministração, envolvimento das áreas de negócio, tecnologia e auditoria, além do monitoramento 
dos processos de gerenciamento dos riscos. 
Uso sistemático da informação (dados históricos, análise teórica e opini-
ões fundamentadas) para identificar fontes e estimar o risco”. Além disso, 
é dito como um “processo de comparação do risco estimado com determi-
nado critério de risco para determinar sua relevância.
Para saber mais
Infelizmente, percebe-se que, na prática, para alguns diretores de empresas o custo é o principal empecilho 
financeiro, um analista de segurança ou a área de projetos passa por grandes dificuldades para conseguir que 
o projeto de segurança seja aprovado, visto que os diretores preferem investir em outros setores da empresa a 
investir na segurança da informação, pois alegam que o referido projeto não gera explicitamente lucro e não 
tem retorno, recebendo importância após algum incidente de segurança (SILVA, 2012).
Unidade 3 • Gestão de Riscos75/236
Pesquisas recentes da consultora e correto-
ra de seguros “Aon” revelaram que os riscos 
cibernéticos representam a quinta maior 
preocupação de empresários em empresas 
privadas. Em resposta às ameaças, 53% das 
empresas adotaram análises de riscos para 
ataques, 33% transferiram os riscos para o 
mercado segurador e 12% aderiram a ou-
tras formas de transferência de risco, como 
seguros cativos. Foi relatado que quanto 
maior a empresa, mais significativo o im-
pacto do risco cibernético; organizações 
com receita superior a 1 bilhão de dólares 
colocaram o risco cibernético na segunda 
posição no ranking. Por fim, essas pesquisas 
apontaram outros riscos que preocupam os 
empresários, tais como: dano à reputação 
da marca, desaceleração econômica e re-
cuperação lenta, aumento da concorrência 
e mudanças regulatórias e legislativas.
Unidade 3 • Gestão de Riscos76/236
Glossário
Framework: sua definição é tratada de várias formas pelos autores da área de tecnologia. Em 
nosso estudo, entenderemos como um conjunto de classes específicas para determinada tarefa, 
ou seja, ao utilizar um framework criado por um programador, por exemplo, outro programador 
pode utilizá-lo para facilitar o seu trabalho e desenvolvê-lo. 
Salvaguardas: é a proteção concedida por uma organização referente à defesa e à segurança. 
Stakeholders: é uma pessoa ou um grupo que legitima as ações de uma organização e que tem 
um papel direto ou indireto na gestão e resultados. Do inglês, stake significa interesse, participa-
ção, risco, e holder significa aquele que possui. Assim, stakeholder também significa parte inte-
ressada ou interveniente.
Segurança em Profundidade ou Defesa por Perímetro: é um modelo que pode ser comparado a 
uma cebola que tem múltiplas camadas, ou seja, um ambiente segmentado a fim de proporcio-
nar diferentes níveis de segurança, como firewall externo, sistema de detecção de intrusos, sis-
tema de VPN, antivírus, firewall interno, política de segurança, entre outros. 
Empresas Seguradoras: são empresas responsáveis pela administração de gestão de riscos de 
outras entidades, a fim de protegê-las e garantir possíveis ressarcimentos em perdas financeiras.
Questão
reflexão
?
para
77/236
Se uma informação não possui valor financeiro, reflita 
quais seriam as motivações para uma empresa investir 
em tecnologia, processos e pessoas a fim de protegê-la.
78/236
Considerações Finais
• Todo modelo de segurança deve possuir um planejamento operacional para atender à ro-
tina do negócio. Importante ressaltar que é impossível tornar uma estrutura segura de um 
dia para o outro, pois deve ser trabalhada em todos os aspectos, seguindo-se o conceito de 
defesa por perímetro. 
• Vimos que nem sempre tratar o risco é a melhor solução, pois podem ser transferidos para 
empresas seguradoras e, caso a organização opte por ignorar o risco, essa ação poderá 
acarretar em fatalidades ao negócio.
• Além da norma ISO/IEC 27002:2013, a norma internacional ISO 31000:2009 possui um pa-
pel de destaque como