gestao da segurança unidade 1

Prévia do material em texto

- -1
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
UNIDADE 1 – PRINCÍPIOS DE SEGURANÇA 
DA INFORMAÇÃO
Halley Wesley Alexandre Silva Gondim
- -2
Introdução
O ser humano, desde os primórdios da humanidade, busca estabelecer comunicação com os outros. Por meio de
pinturas nas cavernas, era possível repassar informações que, por sua vez, poderiam apontar animais perigosos
ou apenas retratar as rotinas do cotidiano do grupo. Ao longo do tempo, à medida em que o conhecimento
aumentava, houve a necessidade de se criar meios que pudessem armazenar tais informações. Porém, na mesma
proporção que a informação passou a ser importante, também encontramos ameaças que poderiam não só
destrui-las, como também expô-las ou modificá-las, causando inúmeros transtornos. É nesse contexto que surge
a Segurança da Informação. Seu objetivo principal é garantir que os dados estejam seguros (somente pessoas
autorizadas tenham acesso), disponíveis (ter acesso a qualquer momento) e que permaneçam íntegros (dados
não estejam corrompidos, sejam reais e válidos).
Em um contexto organizacional, é de suma importância conhecer os ativos (os bens mais preciosos da
organização) a fim de prevenir ou definir contramedidas para a sua proteção. Para que isso ocorra de maneira
satisfatória, existem normas/guias/leis que auxiliam na elaboração de políticas (regras) para atender aos
diferentes tipos de empresas. Em resumo, a Segurança da Informação se preocupa não só com os ativos de uma
organização, como também com informações de pessoas físicas.
Com base nesse contexto, você se preocupa em como seus dados pessoais são expostos nas redes sociais? Você
faz uso de aplicações que garantam a segurança (como antivírus)? Você já teve seus dados pessoais expostos?
Como se preocupa com as políticas de definições e senhas? Você costuma utilizar a Internet para fazer
transações bancárias? Como pode ver, todas essas questões giram em torno da Segurança da Informação. A
seguir, conheceremos um pouco mais a respeito desse universo da segurança dos dados.
1.1 Conceitos de Segurança da Informação
Quando nos referimos à Segurança da Informação, temos que ter em mente um conceito ainda mais básico.
Nesse contexto, o que é um dado? O que é uma informação? O que é um conhecimento? O conceito de dado é
usado quando se tem um armazenamento, mas não possui nenhum sentido para um humano (KIM; SOLOMON,
2014). Como exemplo, podemos pensar em uma planilha contendo diversos números e letras sem nenhuma
descrição. Imagine que as seguintes linhas dessa planilha foram extraídas (1975 – , 2004 – ,Tubarão O terminal
2011 – ). Ao se observar tais dados, não vemos nenhuma ligação entre eles. Logo, não possuemCavalo de guerra
nenhum sentido. Já a informação é quando damos sentido/contexto aos dados: a mesma planilha anterior com a
descrição que são filmes dirigidos por Steven Spielberg e que a primeira coluna é o ano e a segunda é o nome do
filme. Com isso, os dados passam a ter valor: a informação. Por fim, tem-se o conhecimento. Ao se analisar a
coleção de informações e suas interconexões, pode-se extrair informações ainda mais complexas, como, por
exemplo, que em 2011 Spielberg trabalhou na produção de dois filmes envolvendo robôs, Transformes: O lado
 e , que podem ter sofrido influência um do outro.oculto da lua Gigantes de Aço
- -3
Sabe-se que a humanidade, em toda a sua existência, nunca produziu tantos dados. A EMC estimou que no ano de
2020 teremos mais de 44 zettabytes de dados gerados em todo mundo, sem considerar os dados gerados pela
Internet das Coisas ( – IOT), oriundos de pequenos dispositivos, domésticos ou não. DentreInternet of Things
desse universo, os dados podem ser semiestruturados, estruturados e não estruturados (MARQUESONE, 2016).
Um dos mais importantes são os estruturados, que tratam de informações com um grande grau de contexto da
informação, como interconexões e chave-valor (nome: “maria”), muito comum em banco de dados. Eles usam o
conceito de ACID: atomicidade (que todas transações sejam feitas, ou nenhuma), consistência (interconexões e
regras da própria tabela sejam respeitadas), isolamento (uma transação não conhece a existência de outra) e,
por fim, durabilidade (garantia que as transações sejam armazenadas). Por outro lado, no extremo, tem-se dados
não estruturados, que podem ser representados por um texto, como um livro, em que os dados são mais difíceis
de se extrair e relacionar a outros. (KIM; SOLOMON, 2014)
Figura 1 - Internet das Coisas é o lugar em que todos aparelhos se comunicam e geram informações entre si.
Fonte: CykBe, Shutterstock, 2019.
Sabendo disso, devemos nos preocupar não só com os meios de armazenamento para atender a essa massiva
quantidade de dados, mas também em como garantir a sua segurança, visto que hoje é possível realizar tudo pela
Internet: transações bancárias, armazenamento de informações pessoais etc. A negligência para com essas
informações pode custar o sucesso de uma organização ou a exposição de uma pessoa. Nesse contexto, surge a
VOCÊ SABIA?
Em 2018, registrou-se o número de 6 bilhões de ameaças em todo mundo. Uma grande
empresa no ramo de segurança (Kaspersky) afirmou que 30% de todo o orçamento de TI
(Tecnologia da Informação) de uma organização é em média destinado à área de segurança.
Isso demonstra o quão importante e crítico é investir e manter a segurança de dados e
informações. (FORBES BRASIL, 2019)
- -4
informações pode custar o sucesso de uma organização ou a exposição de uma pessoa. Nesse contexto, surge a
Segurança da Informação (SI), que se preocupa em definir/gerir um conjunto de ações com o objetivo de
proteger todos os sistemas de informação (hardwares, softwares etc.) em conjunto com os dados. (GOODRICH;
TAMASSIA, 2013)
Ao longo da unidade e da disciplina, usaremos uma série termos especializados. Alguns estão listados a seguir
(clique nos termos para ler), mas novos termos ainda serão apresentados (KIM; SOLOMON, 2014).
Organização
Termo dado a empresas ou outras entidades que manipulam ou se relacionam com
informações.
Ativo
Tudo que é mais importante na organização. Em resumo, é algo que gera valor: podem ser
pessoas, informações ou até equipamentos.
Política
Regras estabelecidas de uma organização para manter algum padrão (norma/boas
práticas) ou critérios internos.
Gestão da
informação
Visa conhecer desde a entrada de uma informação em uma organização até o descarte.
Todo esse trabalho gira em torno dos ativos da organização.
Processo É um grupo de atividades relacionadas entre si.
Terceiro Organização ou pessoa que não tem ligação com o contexto.
Outros termos bastante explorados na SI são: ameaça, risco e vulnerabilidade. A figura a seguir ajuda na
compreensão de cada um deles.
Figura 2 - Na Segurança de Informação, risco, ameaça, vulnerabilidade e impacto são conceitos com relação entre 
si.
Fonte: KIM; SOLOMON, 2014, p. 92.
Vimos alguns conceitos-base que nortearão o nosso aprendizado. A seguir, conheceremos os alicerces da
Segurança da Informação. Por meio deles, é possível garantir que as informações/serviços estarão disponíveis a
qualquer momento, que elas possuem dados confiáveis e que somente pessoas autorizadas tenham acesso a elas.
Depois, ainda, veremos uma variação dos princípios da SI: o Hexagrama Parkeriano.
- -5
1.2 Princípios da Segurança da Informação
De acordo com a norma ISO 27001, a SI deve seguir e observar atentamente alguns princípios. Basicamente, são
divididos em três: disponibilidade, integridade e confidencialidade, termos que podem ser conhecidos pelo
acrônimo CID, ou também como o alicerce, triângulo ou a tríade da SI. A seguir, descrevemos cada um deles 
(KIM; SOLOMON, 2014), clique para ler:
• Disponibilidade
A qualidade está relacionada ao tempo que o serviço é oferecido ao usuário. Um exemplo bem simples é 
o transporte público. Se houver alguma paralisação dos motoristas, a disponibilidade de transporte será 
afetada drasticamente, causando desconforto e revolta. Caso a qualidade diminua (com o aumento de 
ocorrênciada indisponibilidade, por exemplo), há uma certa tendência de os usuários migrarem para 
outros serviços. Para se avaliar a qualidade desse princípio, temos que levar em consideração:
: tempo total a qual o serviço permanece acessível. Geralmente, as medidas para esse Utilização
princípio são calculadas levando em consideração a janela de um mês, podendo considerar horas, 
minutos e segundos.
: é o tempo sem acesso ao serviço. Ao contrário da utilização, quanto maior for esse número, Paralisação
pior é a qualidade oferecida.
: é obtida a partir do cálculo da (utilização) dividida pela (utilização + paralisação).Disponibilidade
: mesmo com todo o cuidado possível, sabe-se que falhas podem ocorrer. Para medir a Tempos médios
qualidade efetiva de um serviço, podemos considerar os tempos médios, que são:
• ( ): nesse contexto, estamos analisando a Tempo médio para falha Mean Time to Failure - MTTF
quantidade de tempo que ocorre entre as falhas. Se esse número tende a ser menor, é garantido que o 
serviço seja de baixa qualidade, pois demonstra que as ocorrências de falhas são muito comuns. 
Geralmente, pode-se falar, aqui, em vida útil de um serviço ou produto. Por exemplo, o tempo médio de 
uma correia dentada (usada no motor) para um automóvel gira em torno de 5 anos ou 100.000 km 
rodados. A partir daí, as falhas podem ser muito comuns e, em consequência, terá que se retificar o 
motor, caso arrebente.
• ( ): é o tempo necessário para restaurar o Tempo médio de reparo Mean Time to Repair – MTTR
sistema/serviço. No contexto anterior, da correia dentada, sabe-se que o tempo médio para falhas é de 5 
anos ou 100.000 km rodados – um tempo relativamente grande. Porém, caso a correia arrebente, o 
tempo de reparo levará dias, ou até semanas, pois exige o guinchamento do veículo e a retificação do 
motor. Logo, não é só ter um tempo médio entre falhas relativamente alto: deve-se definir medidas que 
facilitem a restauração do serviço de forma rápida e eficiente.
• ( ): é o tempo gasto para Objetivo de tempo de recuperação Recovery Time Objective – RTO
recuperar e retomar o sistema/serviço. Ainda no exemplo da correia dentada, caso o tempo de 
retificação do motor seja, por exemplo, de duas horas, sabe-se que deve se levar em consideração outros 
serviços em andamento, a disponibilidade de profissionais, e assim por diante. Pode-se levar dias para 
que o veículo retorne normalmente para o seu proprietário. Não basta ter um reparo rápido: tem-se que 
pensar no tempo total para que ele seja disponibilizado efetivamente ao usuário.
Quem já trabalhou com hospedagem de sites já deve estar familiarizado com esse termo de disponibilidade.
Algumas empresas podem oferecer, por exemplo, 99,93% de disponibilidade ao mês de seus serviços. No
contrato, ela garante que o tempo de reparo deve ser em torno de 30 minutos mensais.
•
- -6
• Integridade
Nesse princípio, deve-se garantir que os dados sejam válidos e que não sofram nenhuma alteração sem
autorização. Imagine você ter adquirido a viagem de seus sonhos por um site X. Porém, no dia do voo,
descobre que o destino foi alterado sem aviso. Pense no caos se nossas informações não respeitassem o
princípio da integridade. Um dia teríamos dinheiro na conta, já na outra estaríamos totalmente
endividados. Logo, não basta só garantir a disponibilidade de um serviço: devemos garantir que os dados
estejam armazenados da mesma forma na qual que foram inseridos, sem nenhum erro derivado
(HINTZBERGEN , 2018).et al
• Confidencialidade
Tendo nossos dados disponíveis e íntegros, devemos agora nos preocupar em garantir que somente
pessoas autorizadas tenham acesso a eles. Imagine a bolsa de valores, em casa cada pessoa (física ou
jurídica) é proprietária de um conjunto de ações. Porém, sem a confidencialidade, alguém poderia entrar
em sua conta e autorizar a sua venda. Ou, simplesmente, alguém poderia tomar posse de sua rede social,
obtendo informações pessoais e tendo acesso a toda sua rede de amigos. Isso é bastante grave, pois um
terceiro pode assumir a nossa identidade, causando inúmeros problemas. A confidencialidade é muito
crítica e, na mesma proporção que se criam meios de segurança, também aparecem novos tipos de
golpes (BEAL, 2008). E um desses golpes/ataques se dá por meio da Engenharia Social (aproveitar-se de
pessoas para obter informações importantes) (HINTZBERGEN , 2018). Para minimizá-lo, pode-seet al
treinar funcionários na utilização de padrões e processos na organização, definição de controles de
segurança para tecnologia da informação, aplicação de softwares adequados de proteção e diferentes
tipos de autenticação, como biométrica etc.
VOCÊ QUER VER?
A série , produzida pela Discovery Brasil, apresenta fatos reais mostrando osCrimes.com
diversos golpes e crimes digitais que aconteceram na Internet brasileira. Na série, é possível
desvendar as ações dos agentes criminosos e perceber como é difícil penalizar crimes digitais.
Vale conferir! Saiba mais em: <https://www.discoverybrasil.com/id/inspirado-em-crimes-
>.reais
•
•
https://www.discoverybrasil.com/id/inspirado-em-crimes-reais
https://www.discoverybrasil.com/id/inspirado-em-crimes-reais
- -7
Um outro exemplo de definição de princípio da SI é o Hexagrama Parkeriano (HINTZBERGEN et al, 2018). Apesar
de usar os mesmos princípios do CID, ele apresenta outros três atributos. Clique nos ícones para ler sobre eles:
Confidencialidade;
Posse ou controle (quando o usuário tem a posse ou domínio sobre a informação. Por exemplo, é possível fazer
uma portabilidade entre operadoras de celular para manter o mesmo número);
Integridade;
Autenticidade (forma de garantir que o usuário requisitante é realmente quem afirma ser);
Disponibilidade;
Utilidade (qual é a motivação da informação e para que ela será útil).
Como os autores da área afirmam, o Hexagrama Parkeriano é a apenas uma complementação do CID, e não uma
substituição.
1.3 Composição de um Sistema de Gestão de Segurança de 
Informação
Quando falamos sobre sistemas de gestão de SI estamos nos referindo a um conjunto de atividades 
(implementar, monitorar, operar, analisar e manter a SI) que são requeridas para uma organização a fim de
proteger não só a informação, mas também manter os princípios vistos na seção anterior, que são: 
confidencialidade, integridade e disponibilidade (HINTZBERGEN et al, 2018).
VAMOS PRATICAR?
Cite três exemplos de serviços que, caso sofram algum tipo de alteração nos princípios de
disponibilidade, integridade e confidencialidade, causarão grande prejuízo financeiro ou até
mesmo de vidas. Existe algum serviço que não será afetado caso algum deles seja removido?
Caso queria expandir a sua pesquisa e ler um bom livro que mostra todos os bastidores da
guerra cibernética, leia “Guerra cibernética: a próxima ameaça à segurança e o que fazer”, dos
autores Richard A. Clarke e Robert Knake.
- -8
Muitas organizações usam o ciclo PDCA (Plan, Do, Check, Act – ou Planejar, Executar, Checar e Agir) para
planejar e monitorar as ações definidas (HINTZBERGEN et al, 2018). Esse tipo de modelo é bastante funcional,
pois permite criar de ponta-a-ponta um ciclo de aplicação de boas práticas na Segurança da Informação. Como
referência, a própria ISO 27001:2005 também pregava o uso do modelo PDCA. Porém, na alteração registrada na
ISO 27001:2013, estabeleceu-se que cada entidade poderia usar o seu próprio ciclo de gestão, podendo ou não
ser baseado no PDCA. Nessa norma, para gerir um SI, deve-se estabelecer, implementar, manter e melhorar de
forma contínua o sistema de gerenciamento de SI. Vamos conhecer em mais detalhes cada um deles:
• Planejar (ISMS – Information Securit Management System): é a primeira fase na qual se deve 
desenvolver e documentar a política de Segurança da Informação. Esses objetivos devem estar alinhados 
com os definidos pela organização (alinhamento estratégico). Todas as medidas de segurança adotadas 
devem ter como base o risco (sobre os ativos) e o custo (HINTZBERGEN et al, 2018). Antes de mais nada,é imprescindível que, em uma organização, todos os seus ativos sejam mapeados (conhecidos). É 
importante identificar vulnerabilidades a fim de definir contramedidas ao risco a eles associados, 
conforme ilustra a figura.
VOCÊ O CONHECE?
Alan Turing (1912-1954) foi um matemático, criptoanalista e cientista britânico. Sem ele, não
estaríamos discutindo sobre a Segurança da Informação. Ele é conhecido como o pai da
computação moderna. Por meio de seu trabalho, Turing idealizou uma máquina (a máquina de
Turing) que se tornaria mais tarde o computador que temos hoje. Seu principal trabalho foi
quebrar o código criptografado da máquina Enigma (utilizada pelos alemães na segunda
guerra mundial). Você conhecer um pouco dessa história assistindo ao filme Jogo da Imitação
ou lendo a sua biografia (BERNARDO, 2015).
•
- -9
Figura 3 - As medidas de proteção contra ameaças podem ser por meio da prevenção, detecção, seguro e 
aceitação.
Fonte: HINTZBERGEN et al, 2018, p. 45.
Uma vez realizada essa etapa, o próximo passo é associar alguma pessoa a cada ativo, ou seja, definir papeis e
responsabilidades (HINTZBERGEN et al, 2018). Essas responsabilidades podem crescer junto ao tamanho da
organização. Como exemplo, temos seguintes cargos:
CISO
( r – Chefe de Segurança da Informação): é o cargo de nívelChief Information Security Office
mais elevado em uma organização. Seu objetivo é definir estratégias gerais de segurança.
ISO
( – Encarregado da Segurança da Informação): com base naInformation Security Officer
política da empresa, esse profissional está encarregado a desenvolver a própria política da
SI na unidade.
ISM
( – Gerente de Segurança da Informação): seu objetivo éInformation Security Manager
desenvolver as políticas relacionadas à SI na TI na organização.
- -10
Pode-se ter também os seguintes cargos: encarregado da Política de SI (Information Security Policy Officer) e
encarregado de Proteção de Dados (Data Protection Officer). As responsabilidades são atribuídas a certas
pessoas a fim de evitar a probabilidade de que mudanças não-autorizadas e que não tenham intenção sejam
desenvolvidas. Nesse contexto, deve-se observar quais pessoas tomam as decisões e as tarefas de execução com
controle (HINTZBERGEN et al, 2018).
• Uma vez planejadas, as ações devem ser colocadas em prática. Cada Executar (Implementar o ISMS):
política definida deve ser implementada observando as responsabilidades de cada um. A etapa de 
execução visa introduzir as políticas criadas no planejamento. A princípio, tais atividades não são 
estáticas. A partir do momento em que tais políticas não fazem mais efeito ou se mostram ineficientes, 
pode-se melhorá-las nos próximos passos.
• Nesse momento, deve-se usar os controles disponíveis (auditoria), ou seja, Checar (Monitorar ISMS):
realizar medições a fim de certificar que as políticas adotadas estão sendo executadas de forma 
satisfatória. Um relatório deve ser direcionado ao CISO e aos gerentes responsáveis da organização. Aqui, 
pode-se perceber se as políticas apresentaram um bom resultado.
• Nessa etapa, a preocupação é melhorar o processo, estabelecendo Agir (ajustar/manter ISMS):
correções e aprimorando as atividades. Uma vez identificada a sua necessidade, mudanças podem ser 
mais bem planejadas.
1.4 Normas, padrões e leis relacionadas à Segurança da 
Informação
As normas e padrões são um conjunto de boas práticas obtidas ao longo dos anos a partir de diversos casos de
usos que tiveram sucesso (HINTZBERGEN et al, 2018). Por meio dessa coletânea de práticas, é possível que
organizações trabalhem em conjunto com outras, falando a mesma língua. As boas práticas visam amadurecer os
processos a fim de garantir a Segurança da Informação e não cometer os mesmos erros. (KIM; SOLOMON, 2014)
CASO
Uma das maiores empresas de segurança do mundo anualmente disponibiliza alguns dados a
respeito de ameaças, vulnerabilidade e riscos em escala global. A Avast PC Trends Report 2017-
2019 assegura que a idade média dos PC é de 6 anos e que 55% de todo o software instalado
nas máquinas são desatualizados (fornecendo uma possível vulnerabilidade). Ao analisar os
dados de 2018, podemos notar que esse número era de 48%. Ou seja, ao passar do tempo, mais
dispositivos ficam desatualizados. O relatório também mostra quais são os softwares mais
desatualizados: a máquina virtual Java, Adobe Air, Adobe Schockave, VLC Media Player, iTunes,
Firefox, 7-zip, Winrar, QuickTime e Adobe Flash Player. Além desses dados, é possível observar
tendências de mercado: por exemplo, sobre os dados de 2019, 67% dos dispositivos são
notebooks ou tablets. (AVAST, 2019)
•
•
•
- -11
Em sua grande maioria, os padrões ou normas são mantidas/definidas por entidades organizacionais
internacionais. Para cada ramo do conhecimento, existe alguma norma ou padrão que melhor o caracteriza
(GALVÃO, 2015). Geralmente, uma norma é reconhecida pelo acrônimo do instituto/entidade seguido de algum
número – IEEE 830, por exemplo. Ou seja, mundialmente, se alguém se referir a IEEE 830, todos estarão falando
da mesma norma. Uma norma é descrita em formato textual, como um livro, e poucas são gratuitas. É importante
observar que nem todas as instruções definidas no documento deverão ser seguidas à risca. Uma organização
pode adaptar a norma para atender às suas necessidades. De acordo com a organização, pode-se priorizar certar 
áreas em relação a outras (SÊMOLA, 2014). Veremos a seguir algumas entidades e as suas normas relacionadas à
tecnologia da informação, clique nos termos para ler:
• NIST (Instituto Nacional de Padronização e Tecnologia – )National Institute of Standards and Technology
Possui publicações na série/família 800 que são diretamente ligadas à SI. Como exemplo, temos a 800-37
(define o gerenciamento de risco de uma organização), 800-46 (padrões e normas sobre o acesso
remoto), 800-53 (meio de se avaliar controle de segurança), 800-61 (métodos de tratamento de
incidentes), 800-78 (guia sobre criptografia), 800-85 (meios de tratamento de teste), 800-115 (métodos
para teste de avaliação de segurança), 800-118 (estratégias para o gerenciamento de senhas), 800-121
(padrões de segurança para Bluetooth), 800-122 (meios de se garantir a confidencialidade) e 800-128
(definição de gestão de Segurança da Informação). (HINTZBERGEN et al, 2018)
• ISO (Organização Internacional para Padronização – )Internacional Organization for Standardization
Mundialmente conhecida por oferecer inúmeros padrões às diferentes áreas da ciência. Nela, daremos
destaque para a área de estudo dessa disciplina, a Segurança da Informação. Nesse contexto, os padrões
da organização são bastante reconhecidos/respeitados por inúmeras entidades em todo mundo. Não é à
toa que as referências para a SI são as normas da ISO, em especial a 17799 e as da família 27000.
(HINTZBERGEN et al, 2018)
ISO 17799: por muito tempo, essa norma foi a responsável em ditar o padrão da Segurança da
Informação. Em sua grande maioria, uma norma é dividida em seções. Esta possui dez: Política e
segurança; Organização de segurança; Classificação e controle de ativos; Segurança de pessoal;
Segurança física e ambiental; Gerenciamento de comunicações e operações; Controle de acesso;
Desenvolvimento e manutenção de sistema; Gerenciamento de continuidade de negócios; e
Conformidade. (HINTZBERGEN et al, 2018)
ISO/IEC 27000: conhecida como a família que tem como objetivo definir desde os princípios da SI até os
meios para garantir a sua gestão. Podemos dividir as normas em três grandes grupos: Especificação de
requisitos, contendo as normas ISO/IEC 27001, ISO/IEC 27006 e ISO/IEC 27000; Descrição de diretrizes
gerais: ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 27007, ISO/IEC TR
VOCÊ QUER LER?
Para ter uma base sobre os tipos de algoritmos envolvidos na Segurança da Informação, pode-
se ler mente o livro “Desmistificando algoritmos” de Thomas Cormem, uma referência para o
assunto. Além dele, vale a leitura do livro “Os arquivos Snowden:a história secreta do homem
mais procurado do mundo”, escrito por Luke Harding, no qual é possível acompanhar o que
um agente de segurança da NSA (National Security Agency) expôs ao mundo sobre o grandioso
sistema de espionagem global.
•
•
- -12
gerais: ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 27007, ISO/IEC TR
27008, ISO/IEC 27013, ISO/IEC 27014, ISO/IEC TR 27016 e ISO/IEC 27021; e, por fim, o último grupo,
de descrição de diretrizes específicas para o setor: ISO/IEC 27010, ISO/IEC 270011, ISO/IEC 27017, ISO
/IEC 27018, ISO/IEC 27019 e ISSO 277799. Dentre elas, podemos destacar a ISO/IEC 27001 (Requisitos
para o gerenciamento de Segurança da Informação) a ISO/IEC 27002 (Código de práticas para o controle
da Segurança da Informação) (HINTZBERGEN et al, 2018). A 27002 é uma atualização da antiga ISO
17799. Na figura a seguir, é possível ver as seções definidas na 27002:2013.
Figura 4 - Ao todo, 18 seções compõem a norma da ISO/IEC 27002:2013.
Fonte: COELHO; ARAÚJO; BEZERRA, 2014, p. 40.
• W3C (World Wide Web)
Quem já trabalhou com páginas da Internet já ouviu falar dessa padronização. Há algum tempo, cada
navegador/empresa possuía a sua própria regra/versão do HTML. Em consequência, existiam inúmeras
incompatibilidades que geravam excessivo retrabalho por parte dos desenvolvedores. Em meio ao caos,
logo surgiram os padrões CSS (Cascading Style Sheets), SOAP (Simple Object Access Protocol), XML
(Extensible Markup Language), CGI (Common Gateway Interface), entre outros, que tiveram como
objetivo padronizar o ambiente web, a fim de facilitar o desenvolvimento e reduzir a incompatibilidade.
(HINTZBERGEN et al, 2018)
• IEEE (Institute of Electrial and Electronics Engineers)
A forma correta de se ler é: “I três E”. Assim como as demais, é bastante conhecida, inclusive dentro da
•
•
- -13
A forma correta de se ler é: “I três E”. Assim como as demais, é bastante conhecida, inclusive dentro da
própria área de Tecnologia da Informação. Normas que definem a Engenharia de Software são ditadas
por ela, como, por exemplo, a IEEE 830 e a IEEE 12207. Para a Segurança da Informação não é diferente.
Pode-se destacar a família IEEE 802, na qual se tem a 802.3 (com padrões definidos para Ethernet),
802.5 (redes, em particular em anel), 802.6 (MAN – Redes metropolitanas), 802.11 (LAN – em particular
para redes sem fio, nas quais você utiliza aparelhos como celulares e notebooks), 802.15.1 (bluetooth),
dentre outras. (HINTZBERGEN et al, 2018)
Por outro lado, em relação a leis, temos a GDPR (General Data Protection Regulation), que entrou em vigor na
União Europeia em 2018, a fim de garantir a proteção dos cidadãos a respeito da privacidade e dados (G1, 2018).
Da mesma forma, o Brasil definiu a LGPD (Lei Geral de Proteção de Dados – Lei n. 13.709, de 14 de agosto de
2018) – com um pouco de atraso, em comparação da regulamentação por parte de outros países, inclusive da
América Latina (MIGALHAS, 2018). A LGPD visa garantir o respeito à privacidade; liberdade de expressão;
inviolabilidade da intimidade, da honra etc. Na lei, existem artigos diretamente relacionados à SI, como, em
destaque, alguns itens do art. 6, segundo o qual as atividades de tratamento de dados pessoais deverão observar
os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas
finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo
com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais
de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
VAMOS PRATICAR?
Ao referenciar as principais normas e padrões, também não podemos deixar de lado o
principal guia do corpo de conhecimento da Engenharia de Software, o Swebok. Por meio dele
é possível conhecer os termos e o que é mais utilizado/recomendado para toda a área de
desenvolvimento de software – desde a análise de requisito até o seu gerenciamento (IEEE
COMPUTER SOCIETY, 2019). Baixe o guia e escreva, de forma sucinta, quais são as áreas
definidas.
- -14
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas. (BRASIL, 2018)
Além disso, a lei está preocupada em garantir a segurança de informações de crianças e adolescentes; o uso das
informações por parte de entidades públicas; transferência internacional de dados; responsabilidades e
ressarcimento de danos; entre outros.
Apesar de ter aparecido tardiamente, a LGPD vem com o objetivo de regulamentar essa área explorada há muito
tempo. Como não havia leis/regulamentos específicos, não se poderia cobrar responsabilidade de ninguém e
muito menos a segurança e a confidencialidade das informações dos usuários.
Síntese
Nesta unidade, tivemos a oportunidade de conhecer a importância da Segurança da Informação em nosso
contexto atual, a era da informação. Dentro desse universo vasto, estudamos os princípios e as normas/guias que
definem boas práticas para a garantia da segurança nas organizações. Por fim, vimos a Lei n. 13.709, que tem
como objetivo regulamentar a manipulação de informações no Brasil.
Nesta unidade, você teve a oportunidade de:
• compreender os conceitos de dado, informação e conhecimento;
• ver que o número de dados cresce exponencialmente e que devem, por isso, ser tomados medidas de 
segurança;
• conhecer alguns termos utilizados na SI, como risco, ameaça e vulnerabilidade;
• acompanhar que os princípios da SI são baseados em disponibilidade, integridade e confidencialidade;
• compreender o Hexagrama Parkeriano, definido como um princípio alternativo à SI;
• perceber que a composição de um Sistema de Gestão de Segurança da Informação pode abranger 
modelos PDCA (planejamento, execução, checagem e ação);
• conhecer as principais organizações e suas normas e as leis sobre SI.
VAMOS PRATICAR?
Leia na íntegra a LGPD. Assim, você poderá ter uma ideia melhor do que a normalização prevê
e o que nos espera no futuro a respeito do tema. Vale lembrar que desconhecer a lei não o
isenta da responsabilidade que a define. Logo, conhecer bem o seu conteúdo garantirá um
melhor tratamento das informações pelas quais você é responsável. A partir da lei, faça um
resumo do que diz o CAPÍTULO VII - DA SEGURANÇA E DAS BOAS PRÁTICAS: Seção I - Da
Segurança e do Sigilo de Dados e da Seção II - Das Boas Práticas e da Governança. (BRASIL,
2018)
•
•
•
•
•
•
•
- -15
Bibliografia
ABRUSIO, J. Com certo atraso, Brasil finalmente é inserido no rol de países com marcolegal em proteção de
dados. , 28 ago. 2018. Disponível em <Migalhas https://www.migalhas.com.br/dePeso/16,MI286385,61044-
Com+certo+atraso+Brasil+finalmente+e+inserido+no+rol+de+paises+com>. Acesso em: 08/09/2019.
AVAST. PC Trends Reports. , 9 abr. 2019. Disponível em: <Avast Blog https://blog.avast.com/pc-trends-
reports#2017-2019-trends>. Acesso em: 08/09/2019.
BEAL, A. : princípios e melhores práticas para a proteção dos ativos de informaçãoSegurança da Informação
nas organizações. São Paulo: Atlas, 2008.
BERNARDO, H. G. : a tragédia de um gênio. Lisboa: Chambel Multimedia, 2015.Alan Turing
BRASIL. Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais). Disponível em: <
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso 08/09/2019.
CLARKE, R. A; KNAKE, R. K. : a próxima ameaça à segurança e o que fazer. Rio de Janeiro:Guerra cibernética
Brasport, 2015.
COELHO F. E. S.; ARAÚJO, L. G. S. de; BEZERRA E. K. : NBR 27001 e NBRGestão da Segurança da Informação
27002. Brasília: Escola Superior de Redes, 2014.
CORMEN, T. H. . Rio de Janeiro, Elsevier, 2017.Desmistificando algoritmos
GALVÃO, M. da C. . São Paulo, Pearson, 2015.Fundamentos de Segurança da Informação
GOODRICH, M. T.; TAMASSIA, R. . Porto Alegre: Bookman, 2013.Introdução à segurança de computadores
GOMES, H. S. Lei da União Europeia que protege dados pessoais entra em vigor e atinge todo o mundo; entenda. 
, 25 mai. 2019. Disponível em: <G1 https://g1.globo.com/economia/tecnologia/noticia/lei-da-uniao-europeia-
que-protege-dados-pessoais-entra-em-vigor-e-atinge-todo-o-mundo-entenda.ghtml>. Acesso em: 08/09/2019.
HARDING, L. : a história secreta do homem mais procurado do mundo. Rio de Janeiro:Os arquivos Snowden
Leya, 2014.
HINTZBERGEN J. et al. : com base na ISO 27001 e na ISO 27002.Fundamentos de Segurança da Informação
Rio de Janeiro: Brasport, 2018.
IEEE COMPUTER SOCIETY. 2019.Guide to the Software Engineering Body of Knowledge (SWEBOK Guide).
Disponível em: <https://www.computer.org/education/bodies-of-knowledge/software-engineering>. Acesso
em: 08/09/2019.
KIM, D.; SOLOMON, M. G. . São Paulo: LTC, 2014.Fundamentos de segurança de sistemas de informação
MARQUESONE, R. : técnicas e tecnologias para extração de valor dos dados. São Paulo: Casa do Código,Big Data
2016.
SÊMOLA, M. . Rio de Janeiro, Elsevier, 2014.Gestão da Segurança da Informação
https://www.migalhas.com.br/dePeso/16,MI286385,61044-Com+certo+atraso+Brasil+finalmente+e+inserido+no+rol+de+paises+com
https://www.migalhas.com.br/dePeso/16,MI286385,61044-Com+certo+atraso+Brasil+finalmente+e+inserido+no+rol+de+paises+com
https://www.migalhas.com.br/dePeso/16,MI286385,61044-Com+certo+atraso+Brasil+finalmente+e+inserido+no+rol+de+paises+com
https://blog.avast.com/pc-trends-reports#2017-2019-trends
https://blog.avast.com/pc-trends-reports#2017-2019-trends
https://blog.avast.com/pc-trends-reports#2017-2019-trends
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
https://g1.globo.com/economia/tecnologia/noticia/lei-da-uniao-europeia-que-protege-dados-pessoais-entra-em-vigor-e-atinge-todo-o-mundo-entenda.ghtml
https://g1.globo.com/economia/tecnologia/noticia/lei-da-uniao-europeia-que-protege-dados-pessoais-entra-em-vigor-e-atinge-todo-o-mundo-entenda.ghtml
https://g1.globo.com/economia/tecnologia/noticia/lei-da-uniao-europeia-que-protege-dados-pessoais-entra-em-vigor-e-atinge-todo-o-mundo-entenda.ghtml
https://www.computer.org/education/bodies-of-knowledge/software-engineering
https://www.computer.org/education/bodies-of-knowledge/software-engineering
	Introdução
	1.1 Conceitos de Segurança da Informação
	1.2 Princípios da Segurança da Informação
	Disponibilidade
	Integridade
	Confidencialidade
	1.3 Composição de um Sistema de Gestão de Segurança de Informação
	1.4 Normas, padrões e leis relacionadas à Segurança da Informação
	NIST (Instituto Nacional de Padronização e Tecnologia – National Institute of Standards and Technology)
	ISO (Organização Internacional para Padronização – Internacional Organization for Standardization)
	W3C (World Wide Web)
	IEEE (Institute of Electrial and Electronics Engineers)
	Síntese
	Bibliografia