Apostila de Segurança da Informação

Prévia do material em texto

SEGURANÇA DA INFORMAÇÃO
SERGIO DUQUE CASTILHO
OURINHOS - SP
JUNHO/2011
1
Sumário
1 SEGURANÇA DA INFORMAÇÃO....................................................................................3
2 LEIS ......................................................................................................................................16
3 PESQUISA DE SEGURANÇA DA INFORMAÇÃO ......................................................20
4 NORMAS..............................................................................................................................24
5 CLASSIFICAÇÃO DA INFORMAÇÃO..........................................................................34
6 ROSI......................................................................................................................................40
7 DESCARTE E SANITIZAÇÃO DE MÍDIAS...................................................................46
8 CONTROLE DE ACESSO.................................................................................................60
9 SEGURANÇA PARA TELEINFORMÁTICA E COMUNICAÇÕES...........................63
10 VISÃO DA GOVERNANÇA DE TI..............................................................................78
2
1 Segurança da Informação
1.1 Introdução
Por que é tão importante proteger as informações nos dias de hoje? Será possível 
manter a segurança de uma organização, onde as informações são ativos de extrema 
importância para sua sobrevivência?
Devido às organizações estarem fortemente ligadas a Tecnologias (servidores, 
internet, banco de dados, e-comerce, etc), os riscos que trazem essas Tecnologias são riscos 
para o negócio, e as falhas na proteção dos ativos da informação correlacionados com 
essa Tecnologia, transformam-se em perdas financeiras, comprometem a imagem da 
empresa e reduzem a eficiência operacional, chegando ao extremo de levar a encerrar suas 
operações. 
Restrita no passado para áreas de nicho, como bancária, aeroespacial ou aplicações 
militares a segurança digital cresce lentamente mas segura, tornando-se assunto de todos.
As organizações têm a necessidade de criar e manter um ambiente tecnológico no 
qual os processos de negócio possam funcionar de forma correta e segura. Significa 
assegurar a confidencialidade e privacidade dos dados na organização, bem como a sua 
integridade. Para que esses objetivos sejam alcançados, não devemos dar ênfase apenas a 
implantação de hardware e software, mas a realização eficiente do processo de 
Gerenciamento de Risco de TI1 , no qual todos os riscos devem ser identificados e 
minimizados. 
1.2 Informação
É um conjunto de dados que representam um ponto de vista. 
 Dados não são informações, estes após uma analise ou processo geram informação. 
A informação possui significado e causa impacto em grau maior ou menor, tornando o 
elemento essencial da extração e criação do conhecimento. 
1 TI – Tecnologia da Informação
3
• conhecimento só pode ser formado a partir da exposição do 
individuo a informação. 
• Os aspectos da geração de conhecimento a partir da informação é o 
principal interesse das organizações. 
• Expor colaboradores a informação gera conhecimento, melhora a 
tomada de decisão e proporciona valor aos negócios, Como pode 
ser visto na figura 3.
• Proporcionar valor contribui diretamente para o lucro. 
• É possível afirmar que a informação é um bem, um ativo da 
organização e deve ser preservada e protegida. 
• É possível encontrar informação na forma escrita, impressa, 
armazenada em arquivos( discos, cds, etc) e até transitando nos 
meios de comunicação. 
 
Figura 1 Valor da Informação
 
1.3 A importância da informação
Atualmente, as informações tornam-se o objeto de maior valor para as empresas. O 
avanço da informática e das redes de comunicação nos mostra um novo cenário, no qual os 
objetos do mundo real estão representados por bits e bytes, sem deixar de ter o mesmo valor 
que os objetos reais e, na maioria das vezes, o valor é ainda maior. 
Segundo alguns estudos realizados, apenas 6% das empresas que sofrem um desastre 
informático sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Algumas 
4
pesquisas, ainda que mais moderadas, confirmam essa tendência ao indicar que duas de cada 
cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir.
1.4 Segurança da informação
É a proteção da informação, de diversos tipos de ameaças, para garantir a 
continuidade dos negócios, minimizar os danos e maximizar o retorno do investimento e as 
oportunidades de negócio. 
Segundo a NBR 27001, segurança da informação consiste na preservação da 
confidencialidade, integridade e disponibilidade da informação. Também suplementa, outras 
propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, 
podem estar incluídas. 
Para a Academia Latino Americana de Segurança da Informação, as empresas estão 
expostas a ameaças constantes em seus ativos, o que pode representar prejuízos inestimáveis. 
As vulnerabilidades em nossos sistemas de informação podem representar problemas de 
grande impacto negativo para a empresa, a importância de compreender os conceitos 
necessários para que se possa combatê-los e defender as informações de possíveis ataques é 
uma forma de sobrevivência para a empresa.
A segurança da informação tem a finalidade de proteger as informações registradas, 
independente de onde estejam situadas: impressas em papel, nos discos rígidos dos 
computadores ou até mesmo na memória das pessoas que as conhecem.
E elementos são: as informações, os equipamentos que oferecem suporte a elas e as 
pessoas que as utilizam.
A necessidade de segurança já excede o limite da produtividade e da funcionalidade, 
de forma que a velocidade e a eficiência tornam-se uma vantagem competitiva nos processos 
de negócios e a falta de segurança nos meios tecnológicos que permitem essa velocidade e 
eficiência, muitas vezes pode acarretar prejuízos inestimáveis.
5
Figura 2 Elementos que fazem Parte da Comunicação.
Aumentar o nível de segurança de sistemas de informação é um desafio para 
qualquer organização. O primeiro passo neste empenho é avaliar a exposição atual da 
organização e decidir que passos esta devem seguir. Tomar decisões e, encontrar soluções 
pode ser a parte mais difícil do processo de assegurar os sistemas de informação.
Existem alguns riscos em relação a segurança que devem ser considerados como: a 
falta de classificação da informação quanto ao seu valor, o controle de acesso mal definido, 
dificuldade de controle do administrador, a Internet, o tráfego de informações e senhas pela 
rede, e-mails enviados, qualquer conexão entre redes pode ser considerada um risco.
Não se pode garantir total segurança, pois não existe segurança a prova de hackers. 
“A segurança é complexa, envolvendo aspectos humanos, sociais e tecnológicos” (GEUS; 
NAKAMURA). Por esse motivo cabe a organização definir o nível necessário de segurança, 
mas assumindo os riscos.
Administrar a segurança de uma organização, não é uma tarefa fácil, pois a segurança 
é inversa a produtividade. Para minimizar os riscos o administrador restringe o acesso dos 
usuários aos serviços e dessa forma afeta a sua produtividade
6
1.5 Ativos
De acordo com a NBR 27001, tudo que constitui valor para a organização é 
considerado ativo.
“Um ativo é todo elemento que compõe o processo da comunicação, partindo da 
informação, seu emissor, o meio pelo qual ela é transmitida, até chegar a seu receptor ” 
(MICROSOFT TECHNET BRASIL). E ainda informa que, os ativos são elementos que 
precisam ser protegidos, pois constituem valor para as empresas e, por esse motivo precisam 
de umaproteção adequada para que seus negócios não venham a ser prejudicados. 
Os elementos que fazem parte do que chamamos de ativos são três: As informações, 
os equipamentos que oferecem suporte a elas, as pessoas que as utilizam. 
Tabela 1 Grupos de Ativos
A. Informações:
Neste grupo de ativos, tudo que contêm informação registrada, em meio eletrônico ou 
físico. Exemplo: documentos, relatórios, correspondências, patentes, código de programação, 
planilhas de remuneração de funcionários, etc.1
B. Equipamentos que oferecem Suporte 
B.1 Software:
Este grupo de ativos é formado pelos programas usados na execução dos processos, 
por exemplo: o acesso, a leitura, o trânsito e o armazenamento das informações. Alguns 
exemplos são: sistemas operacionais (Unix, Windows, Linux, sistemas informatizados, 
7
aplicativos específicos etc.), programas de correio eletrônico e sistemas de suporte, entre 
outros. 
B.2 Hardware:
Equipamentos tecnológicos que oferecem suporte à informação durante sua 
utilização, trânsito e armazenamento. Por exemplo: os computadores, os servidores, os 
mainframes, os meios de armazenamento, os equipamentos de conectividade, roteadores, 
switchs,etc. 
B.3 Organização: 
Componentes da estrutura física e organizacional das empresas. 
Exemplos de estrutura organizacional : a estrutura departamental e funcional, o 
quadro de alocação dos funcionários, a distribuição de funções e os fluxos de informação da 
empresa. 
Exemplos de ambiente físico: salas e armários onde estão localizados os 
documentos, sala de servidores de arquivos.
C. Usuários: 
O grupo usuários são os indivíduos que utilizam os equipamentos da empresa e que 
trabalham com a informação, desde a alta direção até os usuários finais da informação, 
incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como técnicos, 
operadores e ministradores de ambientes tecnológicos .
1.6 Princípios básicos da segurança da informação
Proteger os ativos significa defende-los das ameaças que podem prejudicar sua 
funcionalidade: corrompendo-a, tendo acesso a ela de forma indevida, ou eliminando-a ou 
furtando-a. Existem três princípios básicos usados como base para proteção desses ativos:
• Integridade: 
• Confidencialidade
• Disponibilidade da informação.
8
1.6.1 Integridade da informação:
O princípio da integridade nos permite garantir que a informação não tenha sido 
alterada em seu conteúdo. Um exemplo de falta de integridade ocorre quando a informação é 
corrompida, falsificada ou roubada.
Como seria se o quadro de salários dos funcionários fosse alterado acidentalmente ou 
propositalmente? Esse é um exemplo de dano que a empresa sofre com a falta de integridade 
das informações. 
1.6.2 Confidencialidade da informação:
O princípio da confidencialidade da informação assegura o acesso apenas das pessoas 
autorizadas à informação que será compartilhada. São informações que precisam ser 
mantidas em sigilo, a quebra desse sigilo pode acarretar danos inestimáveis. Exemplo: 
número e senha do cartão de crédito, da conta bancária,etc
1.6.3 Disponibilidade das informações:
O princípio da disponibilidade das informações garante que a informação possa ser 
acessada no momento em que for solicitada. A configuração segura de um ambiente é 
fundamental. Fazer cópias de segurança – backup também é importante.
1.7 Ameaça
Ativos sempre terão vulnerabilidades, que podem submetê-los as ameaças. As 
ameaças são agentes que exploram os pontos fracos ou vulnerabilidades (falhas na 
segurança), provocando perdas ou danos aos ativos, afetando os negócios da empresa.
As ameaças podem colocar em risco a integridade, a confidencialidade e a 
disponibilidade das informações. Ameaças estão ligadas a causas que representam riscos, são 
elas:
• Causas naturais ou não-naturais 
• Causas internas ou externas 
9
Figura 3 Princípios Básicos da Segurança da Informação
1.7.1 Tipos de ameaças
As ameaças estão divididas em três grandes grupos:
• Ameaças naturais – condições da natureza que podem provocar danos aos 
ativos como fogo, inundação, terremotos. 
• Intencionais – são ameaças premeditadas, fraudes, vandalismo, sabotagens, 
espionagem, invasões e furtos de informações. 
• Involuntárias – são ameaças procedentes de atitudes inconscientes de 
usuários, por vírus eletrônicos, causados pela falta de conhecimento na 
utilização dos ativos, como erros e acidentes.
Tabela 2 Principais ameaças às informações das empresas
10
1. Virus
2. Divulgação de senhas
3. Hackers
4. Funcionários insatisfeitos 
5. Acessos indevidos
6. Vazamento de informações
7. Erros e acidentes 
8. Falhas na segurança física
9. Acessos remotos indevidos
10. Superpoderes de acesso
12. Pirataria
13. Lixo informático
14. Divulgação indevida
15. Roubo/Furto
16. Fraudes
1.8 Vulnerabilidade
Os pontos fracos ou vulnerabilidades são os meios pelos quais as ameaças, afetam a 
confidencialidade, a disponibilidade e a integridade das informações de uma empresa. Pode-
se esperar que, à medida que a tecnologia avança, mais expostas ficam as informações. Por 
esse motivo é importante conhecer a estrutura geral de como se classificam as 
vulnerabilidades ou pontos fracos, responsáveis pelos danos causados por uma série de 
ameaças. 
1.8.1 Vulnerabilidades físicas 
 Encontra-se no ambiente em que estão sendo armazenadas ou gerenciadas as 
informações. 
Exemplo:
• Instalações inadequadas do espaço de trabalho
• Ausência de recursos para o combate a incêndios
• Disposição desorganizada dos cabos de energia e de rede
• Não-identificação de pessoas e de locais, entre outros. 
• Computadores: podem sofrer danos internacionais ou naturais. 
• Meios de transmissão. 
• Ambiente: incêndio, inundação, terremoto.
Figura 4 Pontos Fracos ou Vulnerabilidades
11
1.8.2 Vulnerabilidades naturais 
 São aqueles relacionados às condições da natureza que podem colocar em 
risco as informações.
Exemplo:
• Ambientes sem proteção contra incêndios
• Locais próximos a rios propensos a inundações
• Infra-extratora incapaz de resistir às manifestações da natureza, como 
terremotos, maremotos, furacões, etc. 
1.8.3 Vulnerabilidades de hardware 
 Defeitos de fabricação ou configuração dos equipamentos da empresa que 
possibilitem o ataque ou a alteração dos mesmos.
Exemplo: 
• A ausência de atualizações de acordo com as orientações dos fabricantes dos 
programas utilizados 
• A conservação inadequada dos equipamentos. 
1.8.4 Vulnerabilidades de softwares 
Possibilitam a ocorrência de acessos indevidos aos sistemas de computador.
A configuração e a instalação indevidas dos programas de computador;
• Os aplicativos;
• Os sistemas operacionais.
1.8.5 Vulnerabilidades dos meios de armazenamento 
Se os meios que armazenam as informações não forem utilizados de forma adequada, 
seu conteúdo fica vulnerável a uma série de ameaças que poderão afetar a integridade, a 
disponibilidade e a confidencialidade das informações.
12
Exemplo: 
• Prazo de validade e expiração 
• Defeito de fabricação 
• Local de armazenamento em locais insalubres ou com alto nível de umidade, 
magnetismo ou estática, mofo, etc.
• Computadores: podem sofrer danos internacionais ou naturais. 
• Meios de transmissão. 
• Pessoa: por natureza tendem a divulgar informações(conversa informal). 
• Processos: falta de regra especifica nas empresas em relação a informação. 
• Ambiente: incêndio, inundação, terremoto.
1.8.6 Vulnerabilidades de comunicação 
Os meios que transitem as informações, seja por cabo, satélite, fibra óptica ou ondas 
de rádio, também necessitam de segurança. 
A falha na comunicação faz com que uma informação fique indisponível para os seus 
usuários, ou fique disponível para pessoas que nãodeveriam ter acesso a ela, permitindo que 
sejam alteradas, afetando sua integridade.
A ausência de sistemas de criptografia nas comunicações; 
A má escolha dos sistemas de comunicação para envio de mensagens.
1.8.7 Vulnerabilidades humanas
Estão relacionadas aos danos que as pessoas podem causar às informações e ao 
ambiente tecnológico que lhes oferece suporte. 
Exemplo:
• Senhas fracas;
• Falta de uso de criptografia na comunicação;
13
• Compartilhamento de identificadores como nome de usuário.
• Pessoa: por natureza tendem a divulgar informações(conversa informal). 
• Processos: falta de regra especifica nas empresas em relação a informação.
1.9 Impacto
Refere-se a perdas ou prejuízo, causado nos negócios ou pessoas devido a um 
incidente de Segurança da Informação., podendo causar perdas financeiras, danos a imagem 
de pessoas ou empresas,
Exemplo: perda de cliente, perda de produtividade, danos morais.
Fica evidente que o grau de ameaça e de vulnerabilidade influenciam diretamente a 
pobabilidade de ocorrer um impacto. Assim se uma empresa atuar diretamente nestes pontos, 
irá diminuir a probabilidade de ocorrer um impacto.
1.10 Risco
“Risco é a probabilidade de que as ameaças explorem os pontos fracos causando 
perdas ou danos aos ativos e impactando os negócios, ou seja afetando: a confidencialidade, 
a integridade e a disponibilidade da informação”. (ACADEMIA LATINO AMERICANA 
DE SEGURANÇA DA INFORMAÇÃO;2010; P.2)
Os riscos aumentam à medida que as ameaças conseguem explorar as 
vulnerabilidades provocando danos nos ativos. Esses danos podem ocasionar a perda da 
confidencialidade, a integridade ou a disponibilidade da informação causando impactos no 
negócio da empresa.
RISCO = AMEAÇA + VULNERABILIDADE.
1.11 Excelência operacional das empresas 
 As organizações que focam a excelência operacional, oferecem produtos de 
qualidade em relação ao mercado. 
A padronização das operações é uma forte característica. 
14
Tudo isso é suportado por uma gama de informações em organizadas e disponíveis. 
O que podia ocorrer se o sistema de informação que compõem os processos de suprimento e 
atendimento estiverem fora do ar, se os procedimentos ficarem indisponíveis. 
Figura 5 Ciclo de segurança 
Não resta a menor duvida de que possuir um sistema de gestão de segurança da 
informação que mantém a disponibilidade, a integridade e a confidencial idade das 
informações é uma necessidade. 
Um sistema de gestão de segurança da informação SGSI o primeiro passo é definir 
em que direção seguir etapas do planejamento 
Definição do Escopo>> Política para SGSI>> Analise de Risco >> Tratamento do 
Risco. 
15
2 Leis 
A evolução da internet não trouxe apenas benefícios para a sociedade, como 
globalização, comercio eletrônico, acesso a informações entre outras, vieram 
também os crimes virtuais e diversas expressões algumas utilizadas de forma 
equivocada como: ‘crimes de informática’, ‘crimes tecnológicos’, ‘crimes 
cibernéticos’, crimes virtuais etc. O termo adotado foi: “crimes informáticos”, este 
termo traduz, de forma ampliativa, os crimes cometidos contra ou utilizando sistemas 
informativos.
A Organização para Cooperação Econômica e Desenvolvimento da ONU 
(Organização das Nações Unidas) define o conceito de crimes informáticos como: 
“qualquer conduta ilegal não ética, ou não autorizada, que envolva processamento 
automático de dados e/ou transmissão de dados”.
O juiz Guilherme Guimarães Feliciano, define crimes informáticos como: 
“recente fenômeno histórico-sócio-cultural caracterizado pela elevada incidência de 
ilícitos penais (delitos, crimes e contravenções) que têm por objeto material ou meio 
de execução o objeto tecnológico informático (hardware, software, redes, etc.)” .
Para combater os crimes informáticos ou punir quem os comete, foram criadas 
algumas leis como: A Lei 11.277 de 7 de fevereiro de 2006, que acrescentou ao 
Código de Processo Civil o artigo 285-A, artigo 285-B, artigo 285-C, Artigo 154-A, 
artigo 163, artigo 163-A, entre outros, descritos a seguir:
• Artigo 285-A (Código Penal).
Acesso não autorizado a rede de computadores, dispositivo de comunicação 
ou sistema informatizado.
Acessar, mediante violação de segurança, rede de computadores, dispositivo 
de comunicação ou sistema informatizado, protegidos por expressa restrição de 
acesso: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único - Se o agente se vale de nome falso ou da utilização de identidade 
de terceiros para a prática do crime, a pena é aumentada de sexta parte.
Comete o crime quem acessa uma rede de computadores (que não é apenas a 
Internet, pode ser uma rede de computadores conectados entre si, como uma rede 
16
coorporativa ou de governo) violando alguma medida de segurança, em rede ou 
sistema informatizado ou dispositivo de comunicação que contenha expressa 
restrição de acesso.
• Artigo 285-B (Código Penal).
Obtenção, transferência ou fornecimento não autorizado de dado ou 
informação.
Obter ou transferir, sem autorização ou em desconformidade com autorização 
do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema 
informatizado, protegidos por expressa restrição de acesso, dado ou informação 
neles disponível:
Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único - Se o dado ou informação obtida desautorizadamente é 
fornecida a terceiros, a pena é aumentada de um terço.
Esse novo crime também busca proteger os dados eletrônicos (por exemplo, 
fotos pessoais, um trabalho acadêmico ou artístico, etc.) de ser obtido ou transferido 
sem autorização para terceiros.
Mas quando exatamente ocorre esse crime? .Diferentemente do crime anterior, 
esse acontece quando ocorre a transferência ou obtenção do dado eletrônico sem a 
autorização do titular da rede de computadores ou do proprietário, ou do dispositivo 
de comunicação ou sistema informatizado.
• Artigo 285-C (Código Penal). 
Nos crimes definidos neste Capítulo somente se procede mediante representação, 
salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de 
serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de 
economia mista e subsidiárias."
O parágrafo acima determina que os dois crimes anteriores (Art. 285-A e 285-B), só 
procedem se houver representação da pessoa ofendida, isso quer dizer, que polícia ou o 
Ministério Público não podem processar por conta própria.
• Artigo 154-A (Código Penal).
17
Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais 
contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo 
nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de 
seu representante legal.
Pena - detenção, de 1 (um) a 2 (dois) anos, e multa.
Parágrafo único - Se o agente se vale de nome falso ou da utilização de identidade de 
terceiros para a prática do crime, a pena é aumentada da sexta parte.
Esse crime busca punir uma conduta tornou-se muito comum nos dias atuais, a 
divulgação de fotos e informações pessoais (dados da receita federal comercializados por 
camelôs por exemplo).
Comete o crime quem divulga as fotos ou dados sem a permissão dos donos (ou 
representantes legais dos donos) das fotos ou dados.
• Artigo 163 (Código Penal).
Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Esse artigo já existe no Código Penal, apenas acrescentamos o "dado eletrônico" para 
protegê-lo de dano.
• Artigo 163-A (Código Penal).
Inserção ou difusão de código malicioso.
Inserir ou difundir código malicioso em dispositivo de comunicação, rede de 
computadores, ou sistema informatizado.
Pena - reclusão, de 1 (um)a 3 (três) anos, e multa.
Esse crime comete quem difunde vírus ou o insere em rede de computadores. Note-se 
que esse crime, tal como os demais, não existe em modalidade culposa, apenas dolosa, o que 
quer dizer que aquele que recebe o vírus e sem perceber passa a distribuí-los, não comete 
crime (não existe dolo na conduta).
18
Parágrafo 1º - Se do crime resulta destruição, inutilização, deterioração, alteração, 
dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de 
dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena - reclusão, de 2(dois) a 4 (quatro) anos, e multa.
Parágrafo 2º - Se o agente se vale de nome falso ou da utilização de identidade de 
terceiros para a prática do crime, a pena é aumentada de sexta parte".
 
 
19
3 Pesquisa de Segurança da Informação 
A modulo technology for risk management : 
Fundada em 1985 a modulo é especializada em tecnologia para gestão de risco. 
250 profissionais permanentemente atualizados. 
Pesquisa realizada com cerca de 600 profissionais atuantes na área de segurança e 
tecnologia da informação. 
Pesquisa nos seguintes setores: 
Visão por segmento 
Organização do governo são as menos quantificadas, 56% não sabem dizer em 
quanto ficou o prejuízo, no comercio 26% no financeiro 24% e no industrial 36% 
Quando identificado o problema, no setor financeiro os causadores são os 
fraudadores já no setor industrial são os ex-funcionários. O setor financeiro é o que mais 
tomam providencia legal e possuem planejamento de segurança. 
20
Problemas que geram perdas financeiras. 
*= 54% 
devido a falha 
na política de 
segurança, 
falta de 
conscientização ou treinamento dos colaboradores. 
Estruturação da área de segurança da informação 
21
Empresas com CSO 
• Financeiro 27% 
• Telecomunicações 23% 
Empresas com departamento de segurança. 
• Financeiro 56% 
• Telecomunicações 50% 
• Comercio 39% 
• Serviços 35% 
Nível de conhecimento sobre normas e legislação. 
• Possui conhecimento 43% 
• Possui pouco conhecimento 25% 
• Possui Conhecimento mas não adotou medidas 24% 
• Não possui 8% 
Empresas que possuem procedimento metodologia formalizado 
• 65% Não possuem e 35% possuem 
Valor gasto com capacitação de funcionários: 
• 29% até R$1000,00 
• 19% até R$2000,00 
• 28% acima de R$5000,00 
• 24% até R$5000,00 
Profissionais da equipe que possuem certificação: 
45% nenhuma 
22
21% 
MCSO-Modulo Certified Security Officer ( 
exame R$500,00 , Curso R$2850,00) 
14% Outros 
9% 
CISSP-Certified Informat System security 
Professional. Mantida pelo (ISC)² 
4% 
CISM-Certified Information Security 
Manager®, criado pela ISACA 
7% 
CISA- Certified Information System 
Auditor 
Principais Medidas 
3.1 Origem dos eventos de segurança da Informação
As origens dos problemas de segurança podem ser dividida em três categorias 
conforme tabela.
Natural Fenômenos Meteorológicos
Acidental Erros de Usuários ou Falhas nos Sistemas
Intencional Invasões,Terrorismo Ideologicos ou 
criminoso
Espionagem e Inteligência competitiva
Chantagem e extorsão
23
4 Normas
As normas e metodologias são as melhores práticas em segurança da informação e 
governança de TI, reconhecidas mundialmente e bastante utilizadas. A busca por padrões de 
mercado e as dificuldades das áreas de TI, tornam essas normas e metodologias necessárias 
para que as empresas possam sustentar seus próprios modelos e estruturas de controle, já que 
as transformações tecnológicas exigem constantes atualizações desses modelos.
Atualmente a tecnologia da informação está enraizada em todas as empresas, da mais 
simple a mais complexa, passando por todos os tamnhos, ajudando a dirigir os negócios. O 
sucesso da empresa depende da alta disponibilidade das informações, da segurança e 
desempenho dos serviços de TI. Esta dependência foi quem determinou o desenvolvimento 
de normas que propõem práticas para implantação de sistemas de gestão dos serviços de TI
4.1 Histórico 
4.1.1 ABNT ISO/IEC 27002 / 17799
• ISO/IEC 27002:2005- Information technology -- Security techniques -- Code 
of practice for information security management
• ISO/IEC- 17799- Information Technology- Security tec- Code of Pratice for 
Inf. Security Management. 
São provavelmente as mais conhecidas normas sobre segurança da informação, seu 
surgimento teve início com a preocupação em gerar uma série de procedimentos sobre 
segurança da informação na Inglaterra, mais especificamnete no DTI- Department of Trade 
and Industry. 
Um grupo criado em 1987 tinha a missão de criar um conjunto de critérios que 
pudesse proporcionar a validação da segurança da informação e um código de boas praticas 
que orientasse na implementação das ações, este trabalho gerou uma norma em 1989. 
24
Este código orientava na aplicação das ações de segurança da informação, mas ainda 
era difícil validar essas ações ou assegurar que estavam sendo realizadas. Para isso foi criada 
uma lista de verificações, surgindo assim as normas: 
• BS-7799-1 
• BS-7799-2 
Inúmeras melhorias foram implementadas e passou a ser utilizada fora da Inglaterra, 
contribuindo com a ISO ( International Organization for Standard ) . Em 2000 a BS-7799-1 
foi lançada como ISO 17.799 Information technology -- Security techniques -- Code of 
practice for information security management
Porém a segunda parte, ou seja a BS-7799-2 não foi transformada em ISO, gerando 
um demanda por normas internacionais. 
A British Standard adequou a BS-7799-2 aos padrões ISO (9000 e 14000),passando a 
ser usada como norma para certificação de segurança da informação em 2002. Formando um 
instrumento para orientação na implantação de um Sistema de Gestão de segurança da 
informação (SGSI). 
Em 2007 a ISO 17799 foi renomeada para ISO 27.002 denominada:
• ABNT-NBR ISSO/IEC 27002 Tecnologia da informação – Técnicas de 
segurança – Código de Prática para a gestão da segurança da informação.
Esta norma oferece diretrizes e princípios gerais para iniciar implementar e manter a 
melhor Gestão de SI e as definições básicas do que é a Segurança da Informação, o sua 
necessidade e como estabelecer os requisitos de segurança.
4.1.2 ISO/IEC 27001 – SGSI - Sistemas de Gestão de Segurança da 
Informação (ISMS - Information Security Management System)
E uma norma internacional utilizada como padrão para os sistemas de gestão 
de segurança da informação, foi publicada pelo International Organization for 
Standardization (ISO) e pelo International Electrotechnical Commision (IEC)
25
A Norma 27001 foi idealizada para cobrir todos os tipos de organizações , pois seus 
requisitos são genéricos.
O Sistema de Gestão de Segurança da Informação (SGSI), define como serão 
reduzidos os riscos para segurança da informação através da aplicação planejada de 
objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas.
Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma cadeia 
de decisões tomadas para gerenciar a segurança da informação, incluindo pessoas, infra-
estrutura e negócios, diminuindo os riscos a um nível aceitável, ao mesmo tempo que 
mantém em ponto de vista os objetivos do negócio e as expectativas do cliente. 
Um SGSI é um sistema de gestão análogo a um Sistema da Qualidade e como tal é 
passível de certificação. Esta certificação se dá a partir das evidências (documentos e 
práticas) do conjunto de controles implantados e que devem ser continuamente executados e 
devidamente registrados. 
Segundo a NBR 27001(2006), o SGSI é projetado para certificar a seleção de 
controles de segurança apropriados e ajustados para proteger os ativos de informação, o 
modelo conhecido como "Plan-Do-Check-Act” (PDCA),é aplicado para estruturar todos os 
processos do SGSI. O sistema de gestão da segurança da informação consiste na parte do 
sistema de gestão global, fundamentada na abordagem de riscos do negócio, para 
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a 
segurança da informação.
26
Durante o processo de estabelecimento e gerenciamento a organização deve:
Definir o escopo e os limites do SGSI nos termos das características do negócio da 
organização, sua localização, ativos e tecnologia. A definição do escopo inclui o 
levantamento dos ativos que serão envolvidos, tais como: Equipamentos; sistemas; nome da 
organização; estrutura de comunicação (Internet, correio eletrônico); pessoas; serviços; infra-
estrutura de rede interna e externa e classificação da informação.
À medida que evolui, o projeto deve ser revisado e detalhado (ciclo PDCA). Esta 
revisão é baseada no escopo do projeto, pois a declaração do escopo é um documento que 
contém a base para as futuras decisões. A delimitação do escopo é extremamente necessária, 
pois quanto maior o escopo maior a complexidade do SGSI a ser implementado.
4.1.3 ISO/IEC 27003 – Guia de Implementação do Sistema de 
Gerenciamento de Segurança da Informação.
Denominada como: ISO/IEC 27003:2010 Information technology — Security 
techniques — Information security management system implementation guidance.
Foi publicada no início de fevereiro 2010, a fim de fornecer um guia para a 
implementação de controles relacionados com a gestão de um SGSI, permitindo fazer um 
planejamento claro sobre como implementar e definir uma estratégias segurança relacionada 
com o negócio de uma empresa de acordo com os requisitos da ISO 27001.
27
A sequência mostrada na figura a seguir mostra um guia baseado na 27003 com as 
principais fases para implementação de um sistema de gestão de segurança da informação.
4.1.4 ISO / IEC 27004 Tecnologia da informação - Técnicas de 
segurança - Gestão de segurança da informação - Medição
Esta norma abrange medidas de gestão da segurança da informaçã, geralmente 
conhecido como métricas de segurança. A norma foi publicada em dezembro de 2009.
A norma se destina a ajudar as organizações a medir, gerar relatório sobre a 
sistemática de segurança da informação e portanto, melhorar a eficácia dos seus Sistemas de 
Gestão de Segurança da Informação.
Oferece orientação sobre o desenvolvimento e a utilização de medidas e de medição, 
a fim de avaliar a eficácia de um sistema de gestão implementado de segurança da 
informação (SGSI) e controles ou grupos de controles, como especificado na ISO/IEC 
27001. Isso pode incluir a política, a informação de gestão de riscos de segurança, objetivos 
de controle, processos e procedimentos para apoiar sua revisão, ajudando a determinar se 
qualquer um dos processos do SGSI ou controles precisam ser mudados ou melhorados.
BS ISO / IEC 27004 dá as seguintes recomendações sobre as atividades como base 
para uma organização cumprir os requisitos de medição especificadas na norma ISO/IEC 
27001:
28
1. Medidas de desenvolvimento (isto é, medidas básicas, medidas derivadas e 
indicadores
2. Implementação e operação de um Programa de Medição de Segurança da 
Informação
3. Coletar e analisar dados
4. Desenvolvimento de resultados de medição
5. Comunicação dos resultados de medição desenvolvidos para as partes 
interessadas
6. Utilizando os resultados de medição, fatores que contribuem para ISMS 
decisões relacionadas
7. Utilizando os resultados de medição para identificar as necessidades para 
melhorar o SGSI implementado incluindo seu escopo, políticas, objetivos, 
controles, processos e procedimentos
8. Facilitar a melhoria contínua do Programa de Medição de Segurança da 
Informação.
Um dos fatores que irão impactar a capacidade da organização para alcançar a 
medição é o seu tamanho. Geralmente o tamanho e a complexidade do negócio, em 
combinação com a importância da segurança da informação afetam o grau de medida 
necessária, tanto em termos do número de medidas a serem selecionados e a frequência da 
recolha e análise de dados. Para as PME (Pequenas e Médias Empresas), o programa de 
medição menos abrangente de segurança serão suficientes, enquanto que as grandes 
empresas irão implementar e operar vários programas de medição de Segurança da 
Informação.
A única informação do Programa de Medição de Segurança pode ser suficiente para 
uma organização de pequeno porte, enquanto que para as grandes empresas à necessidade de 
vários programas de medição de Segurança da Informação.
29
A orientação fornecida por esta Norma irá resultar na produção de documentação que 
irá contribuir para demonstrar que a eficácia de controle está sendo medido e avaliado.
Esta norma é bem detalhada em termos de mecânica de processos de medição. Ela 
laboriosamente descreve como coletar "medidas básicas", a agregação de uso e cálculos 
matemáticos para gerar "medidas derivadas", e então aplicar técnicas de análise e critérios de 
decisão para criar "indicadores", utilizada para ajudar no SGSI. Infelizmente, ele não oferece 
muita orientação sobre quais medidas básicas, medidas derivadas ou indicadores pode 
realmente valer a pena em todo esse esforço.
Embora seja consensual que a orientação pragmática sobre métricas de segurança é 
extremamente necessário pela profissão e que complementam os padrões ISO27k restantes, 
este foi um projeto longo e difícil para a ISO / IEC JTC1/SC27. Em parte, isso ocorre porque 
o campo de métricas de segurança é bastante imaturo. Como com a norma ISO / IEC 27003, 
centenas de páginas de comentários dos organismos nacionais foram recebidos ainda na fase 
final FCD e poucos foram resolvidas antes da publicação. Parece provável que muitos 
comentários terão de ser revistos em uma revisão pós-publicação da norma, embora isso não 
está planejado ...
4.1.5 ISO / IEC 27005 Tecnologia da informação – Técnicas de 
Segurança – Gerenciamento de Risco em Segurança da Informação
Conhecida internacionalmente como ISO/IEC 27005 Information technology – 
Security Techniques - Information security risk management, esta norma suporta os 
conceitos gerais especificados na norma ISO/IEC 27001 e é projetado para auxiliar a 
implementação satisfatória de segurança da informação com base em uma abordagem de 
gestão de risco, esta norma ajuda a organização a definir seu modelo de gerenciamento de 
risco.
É aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, 
agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos 
que poderiam comprometer a segurança de informação da organização.
Trata-se de um padrão pesado, embora a parte principal tem apenas 24 páginas, 
sendo o resto em sua maioria, anexos com exemplos e informações adicionais para os 
usuários.
30
Embora a norma defina risco como "uma combinação das conseqüências que se 
seguem derivadas da ocojrrência de um evento indesejado e da probabilidade de ocorrência 
do evento", o processo de análise de risco descritos na norma indica a necessidade de 
identificar os ativos de informação em risco, as ameaças potenciais ou fontes de ameaças, as 
vulnerabilidades potenciais e as potenciais consequências (impactos), se os riscos se 
materializar. Exemplos de ameaças, vulnerabilidades e impactos estão tabulados nos anexos, 
embora incompleta, estes podem ser úteis para os riscos relativos de ativos de informação 
sob avaliação. 
É clara a verificação que sistemas de segurança automatizados ferramentas de 
avaliação de vulnerabilidade sãoinsuficientes para a análise de risco, sem levar em conta 
outras vulnerabilidades além das ameaças e impactos: a simples existência de certas 
vulnerabilidades não significa necessariamente que sua organização enfrenta riscos 
inaceitáveis se as ameaças correspondentes ou impactos de negócios são insignificantes em 
determinadas situação particulares.
A norma inclui uma seção e anexo sobre a definição do âmbito e limites da gestão de 
riscos de segurança que deve ser o foco do SGSI.
A norma não especifica, recomenda ou mesmo nomeia um método específico, 
sistemático e rigoroso de análise de riscos até mesmo a criação do plano de gerenciamento 
de riscos.
O padrão deliberadamente permanece agnóstico2 sobre os métodos de avaliação 
quantitativa e qualitativa de risco, essencialmente, recomendando que os usuários escolham 
os métodos que melhor lhes convêm. Observe o plural - 'métodos' - o que implica que 
diferentes métodos podem ser utilizados, uma avaliação de risco de alto nível pode ser 
seguida por um aprofundamento na análise de risco nas áreas de alto risco. Os prós e contras 
dos métodos quantitativos de avaliação de risco são um pouco confuso nesta norma.
2 Questões metafísicas inacessíveis ao espírito humano por não serem passíveis de análise pela razão.
31
4.1.6 ISO / IEC 27006 A tecnologia da informação - Técnicas de 
segurança – Requisitos para organismos que prestem serviços de 
auditoria e certificação de sistemas de informação de gestão de 
segurança
Esta norma especifica os requisitos e fornece orientação para organismos que 
prestam auditoria e certificação de um sistema de gestão de segurança da informação (SGSI), 
além dos requisitos contidos na ISO/IEC 27001. É destinada principalmente a apoiar a 
acreditação de organismos de certificação que fornecem certificação em SGSI, sendo que as 
exigências contidas nesta norma precisam ser demonstradas em termos de competência e 
confiabilidade por qualquer organismo de certificação.
Estas certificações incluindo reuniões de informação, reuniões de planejamento, 
análise de documentos e acompanhamento de itens que não estão em conformidades com a 
norma. Organizar e participar como palestrante em cursos de formação, desde que, estes 
cursos digam respeito à gestão da segurança da informação e sistemas de gestão relacionados 
a auditoria. Os organismos de certificação devem limitar-se à prestação de informações 
genéricas e conselhos que estão disponíveis no domínio público.
As atividades de auditoria têm o único objetivo de determinar uma certificação, no 
entanto, tais atividades não deve resultar na prestação de recomendações ou conselhos, e sim 
agregar valor durante as auditorias de certificação e visitas de vigilância, através da 
identificação de oportunidades de melhoria sem recomendar soluções específicas.
O organismo de certificação deve ter critérios para a formação de equipes de 
auditoria que garante:
• O conhecimento do padrão do SGSI e outros documentos normativos 
pertinentes;
• A compreensão da segurança da informação;
• A compreensão da avaliação e gestão de riscos a partir da perspectiva de 
negócios;
• Conhecimento técnico da atividade a ser auditada;
• Conhecimento geral dos requisitos regulamentares pertinentes para ISMSs;
32
• Conhecimento de sistemas de gestão;
• A compreensão dos princípios de auditoria com base na ISO 19011;
• Conhecimento do SGSI revisão eficácia e avaliação da eficácia de controle.
Mas especificamente esta norma informa as características necessárias para a um 
profissional ou empresa que fornece certificação do SGSI, incluindo uma visão das 
competências dos auditores.
33
5 Classificação da informação
5.1 Introdução
O processo de classificação da informação consiste em identificar quais são os níveis 
de proteção que as informações demandam e estabelecer classes e formas de identificá-las. 
Além de determinar os controles de proteção necessários a cada uma delas
O fato de algumas informações demandarem mais proteções que outras cria dois 
cenários indesejáveis que as organizações buscam evitar:
Informações sensíveis ou críticas sem níveis de proteção adequado, geralmente 
incidentes de segurança que trazem prejuízos e comprometem a eficácia das operações;
Informações que não precisam de proteção, sendo protegidas de forma excessiva, 
consumindo recursos de forma desnecessária e direcionando erroneamente o escasso 
orçamento de segurança 
5.2 Proteção
 Quando adotamos uma visão de proteção focada unicamente nas ameaças e nas 
vulnerabilidades que um local o um sistema possuem, corremos um grande risco de não 
estarmos protegendo a informação mais criticas e sensíveis ao longo de todo o seu ciclo de 
vida. Esses ciclos possuem diversas fases, desde a criação e o descarte, passando pela 
manipulação, processamento, armazenamento etc. A melhor forma de protegermos as 
informações é justamente pela adoção de uma abordagem que analisa as demandas de 
segurança pela ótica do próprio ativo e suas necessidades. Dessa forma, podemos combinar 
diversos mecanismos e obtermos níveis de proteção uniformes independentes da forma como 
a informação está sendo usada 
34
5.3 Economia
Quando maior o nível de proteção que um controle oferece. Maiores são os custos 
financeiros em termos de aquisição e manutenção. Controles costumam trazer custos 
indiretos como perda de produtividade e outras inconveniências.
 Benefícios
O Processo de classificação da Informação traz diversos benefícios para uma 
organização. Dos benefícios mais tangíveis e mensuráveis podemos dizer :
5.3.1 Conscientização
O Programa de Classificação da Informação requer o envolvimento de praticamente 
de todas as pessoas dentro da organização. Esse envolvimento faz com que as pessoas 
tenham uma dimensão maior das dificuldades de proteger os ativos de informação e da 
infinidade de situações que podem comprometer essa proteção.
Responsabilidades – A Classificação da Informação necessita de uma divisão e 
atribuição de responsabilidades para poder trabalhar. Essas responsabilidades dizem a 
respeito a quem deve classificar, quem deve proteger e que cuidados os usuários devem 
tomar , entre outras coisas. A definição desses papeis distribui o peso da proteção entre os 
colaboradores de uma organização, fazendo com que todos fiquem responsáveis por ela.
 Níveis de proteção – A atribuição de responsabilidades e melhora da consciência dos 
colaboradores faz com que eles mesmos tragam situações que demandam proteção e que , 
muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteção. 
Ninguém conhece melhor o fluxo das informações que as pessoas que fazem uso delas
 Tomadas de decisões – Quando as informações são bem categorizados no ponto de 
vista da segurança, o processo de tomada de decisões, sejam relacionadas a Gestão de SI ou 
a própria organização, é extremamente beneficiada.
 Uso dos recursos – Recursos desperdiçado em um controle normalmente fazem falta 
em um outro lugar no qual, a organização terá uma situação inversa, isto é , falta de controle 
de informações criticas que estão armazenadas junto com outras que não precisam de 
proteção.
35
• Exemplos
As informações são classificadas mediante sua necessidade de sigilo. Porém uma 
organização também pode elaborar procedimentos para classificá-las perante suas 
necessidades de integridades e disponibilidades
 Decreto 4.553 – Casa Cível níveis de classificação em nível federal
 Cada nível de classificação é criado visando a um tipo de informação, temos que 
desenvolver critérios para avaliar uma informação 
 Exemplos de Rótulos
Governo Brasileiro Empresas Privadas3
Ultra-Secreto Irrestrita
Secreto Protegida
Confidencial Confidencial
Reservado Restrita
Irrestrita: Informação Pública (incluindo informações consideradas públicas pela 
legislação, ou através de uma política de divulgação de rotina). Disponível ao público, todos 
os funcionários, empreiteiros, subempreiteiros e agentes.
Protegida: Informação que é sensível para a empresa e precisa de ser protegida. 
Acesso autorizado (para funcionários, fornecedores, subcontratados e agentes). É uma 
informação necessária para realizar uma função ou trabalho: "need-to-know".
Confidencial: Informação mais sensível que está disponível apenas para uma função 
específica ou grupo específico de pessoas.
Restringido: Informação que é altamente sensível e está disponível apenas para 
indivíduos específicos (ou posições específicas).
3 Este padrão é utilizado pelo Public Sector CIO Council (PSCIOC, 2004) do Canadá.
36
5.4 Conceitos
5.4.1 Política de Classificação da Informação 
A Classificação da Informação deve ser constituída por uma política , nesse caso a 
Política de Classificação da informação é o nome utilizado para refenciar o conjunto de 
normas , procedimento e instruções existente na política de Segurança da Informação
Por meio do uso dessa política é que definimos quais os tipos de classificação 
existentes, com seus respectivos critérios de avaliação e proteção, além das 
responsabilidades associados ao processo como um todo. O conjunto de documentos que tem 
apoio direto de alta direção da organização , permitira mostrar comprometimento e definirá 
todo o funcionamento das atividades relacionadas à Classificação da informação
Need-to-Know – Define a necessidade que uma pessoa possui , devido à rotina diária 
de trabalho e desempenho de suas funções, de acessar determinadas informações. Essa 
terminologia foi criado no ambiente militar / governo, podemos utiliza-las para fazer 
referência . A necessidade que usuários de uma organização possuem de acessar certas 
informações. Esse conceito é fundamental ara entendermos Least privilege
Least Privilege – São todas as pessoas devem ter todos os direitos de acesso 
necessários para o desempenho de suas funções . Porém , nada mais que o mínimo deve ser 
permitido , Quando maior a exposição maiores serão os riscos associados a ela. O conceito 
de need-to-know , postulando que o conceito de privilégio mínimo é garantir a todos os 
usuários que não tenham acesso a nada que não faça parte de seu nedd-to-know.
5.4.2 Classificação, Desclassificação e Reclassificação.
Os dois procedimentos básicos da Classificação da Informações são a Classificação e 
a Desclassificação das informações
Classificações – Atribuir um nível de classificação a um informação , Faz com que as 
informações passe a se sujeitar às proteções especificas pelo nível de classificação 
escolhido . Algumas organizações optam por criar um nível de classificação onde, a partir da 
implementação do progrma de CI, todas as informações da organização passam a se 
37
enquadrar nesse nível. Não existe o estado “ não-classificado” , eliminando o processo de 
classificaçõe e desclassificação. Nesse caso o procedimento de reclassificação é permitido.
Reclassificação – Alteração no nível classificação de um informação . São nível de 
proteção mais baixa, de forma a evitar o comprometimento da confidencialidade
Desclassificação – Remoção do nível de proteção. Aplicável apenas quando o estado 
“não-classificado” for previsto . Pode ser feita de forma automática, o prazo cairia de alguns 
anos para o níveis mais baixos de classificação até décadas para os mais altos no setor 
governamental
5.4.3 Papéis de Responsabilidades
Uma das principais funções da Classificação da informação é definir e atribuir 
responsabilidades relacionadas a segurança diversas pessoas dentro de uma organização . 
Esses papeis e responsabilidades variam de acordo com a relação que a pessoa tem com a 
informação em questão.
Proprietário da Informação – É responsabilidade do proprietário atribuir os níveis de 
classificação que uma informação demanda. Dessa forma ele também será participado do 
processo de escolha dos níveis de proteção e será também exposto ao processo de balancear 
as necessidades de proteção, com a facilidade de uso e o orçamento disponível para se 
investir em controles.
Exemplo : O papel de dono normalmente deve ser exercido por um gerente da área 
cujas informações são de sua responsabilidade direta
Umas das responsabilidades do dono são a classificação /reclassificação 
/desclassificação das informações, definir requisitos de proteção para cada nível de 
classificação,, autorizar pedidos de acesso a informações de sua propriedade e autorizar a 
divulgação de informações
Custodiante – É aquele que zela pelo armazenamento e preservação de informações 
que não lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de 
Arquivos ou cofres para armazenamento de ativos valiosos .
Existe dois tipos de Custodiante :
38
a) O proprietário de Aplicação – Um profissional de perfil técnico responsável pela 
administração e funcionamento de algum sistema , cabe a ele protegê-las e garantir que 
enquanto eles se encontrem sob sua responsabilidade os requisitos da classificação em 
termos de proteção estejam sendo obedecidos.
b) O proprietário do Processo - É a pessoa responsável pelo processo de negócio, um 
exemplo é um processo de emissão de nota fiscal , que são informações sendo geradas e 
processadas ao longo do seu funcionamento.
Equipe de segurança – é o ponto de apoio das unidades de negócios de forma de 
desenvolver, implementar e monitorar estratégias de segurança que atendem aos objetivos da 
organização, responsável pela avaliação e seleção de controles apropriados para oferecer as 
informações os níveis de proteção exigidos por cada classificação . Esse equipe não pode 
assumir a total responsabilidade pela proteção, já que deve ser compartilhada por todos. 
Cabe ela sim selecionar os melhores controles, conscientizar os usuários a respeito do seu 
uso, administrá-los e monitorá-las, além de verificar se todos na organização colaboram com 
as medidas.
Gerente de Usuários – Responde pela ação de grupos de usuários de sua 
responsabilidade, além dos funcionários reponde pela ação dos visitantes, prestadores de 
serviços que fazem o uso de informações da organização
Desempenha outro papel fundamental que é a solicitação, transferência e revogação 
de IDs de acesso para os seus funcionários.
Usuário Final – Pessoal que faz uso constante das informações e o que mais tem 
contato com elas , é o responsável pelo seguimento das recomendações de segurança.
39
6 ROSI
Antes de gastar dinheiro em um produto ou serviço, tomadores de decisão querem 
saber que o investimento é financeiramente justificado. Segurança da Informação não é 
diferente - ela tem de fazer sentido para os negócios. 
O que os gerentes ou empresários precisam são métricas de seguras que mostram 
como o impacto das despesas em segurança vão retornar. Não há nenhum possibilidade de 
implementação de uma solução se o seu verdadeiro custo é maior do que a exposição ao 
risco. Sonnenreich et all apresentam um modelo para calcular o valor financeiro das despesas 
de segurança, indicando as técnicas para obtenção das informações necessários para 
estabelecer um modelo.
O Retorno Sobre investimento (ROI), foi criado para resolver estratégias de 
investimento alternativas. Por exemplo, uma empresa pode usar o ROI como um fator para 
decidir se vai investir em desenvolver uma nova tecnologia ou estender as capacidades do 
seu parque com a tecnologia existente.
Re _ _ _
_ _
torno esperado Custo do Investimento
ROICusto do Investimento
−=
Uma equação simples para calcular o Retorno Sobre o Investimento Segurança da 
informação (ROSI) é como se segue:
( _ _ )*(Pr _ _ Pr ) _ _
_ _
Custo do Incidente obabilidade de evinir Custo de Solução
ROSI
Custo de Solução
−=
O exemplo a seguir mostra o funcionamento desta equação.
Supondo um aempresa que fature R$ 100.000/mes. A mesma foi infectada por 4 
virus em um ano, causando uma parada de 1 dia a cada evento. A probabilidade de prevenir 
40
este incidente através do escaner de virus é de 75%. o custo de solução é de 5.000,00 qual o 
retorno sobre o investimento?
R$100.000/22 = R$4.545/dia*4 = R$ 18.180,00
Dividir o faturamento messal pelo número de dias trabalhados e multiplicar pelo 
número de dias em que a empresa ficou inoperante, chega-se ao valor aproximado de 
R$18.000,00 (dezoito mil reais).
A probabilidade de prevenir o evento é de 75%
18.180*0,75 5.000 / 5.000 1,727ROSI = − =
O custo com o escaner de virus parece valer a pena mesmo com uma probabilidade 
de 75% de detecção, pois existe um retorno sobre o investimento de 173% em um ano.
Chegar com valor significativo como no exemplo para o calculo do ROSI não é tao 
simples. Não existe um modelo padrão para determinar o risco financeiro associado ao 
incidente de segurança, nem mesmo um modo de mitigar o risco. 
Existem algumas técnicas para medir exposição ao risco, mas não são precisas e 
variam muito para empresas diferentes.
Existe como de calcular o ROSI se os dados subjacentes são impreciso? 
Aparentemente sim, já que algumas indústrias tiveram sucesso usando as métricas 
imprecisas do ROI por décadas. O indústria da publicidade é um exemplo. Anúncios são 
pagos com base no número de telespectadores potenciais, que é muitas vezes extrapoladas a 
partir de dados de circulação e demografia. Os compradores de anúncios supõe que o 
verdadeiro número de espectadores de anúncios está diretamente correlacionado com o 
número de potenciais espectadores, se a base espectador duplica, aproximadamente o dobro 
de pessoas provavelmente verá o anúncio. Portanto, mesmo que nunca venhamos a saber o 
verdadeiro número de espectadores, os compradores de anúncios podem, contudo, fazer 
decisões de compra baseados em outras medições mais confiáveis.
Se o método para a determinação do ROSI puder ser repetido e obter resultados 
consistentes, então pode servir como uma ferramenta útil para comparar soluções de 
segurança baseadas em valor relativo. Na ausência de precisão, uma abordagem alternativa é 
41
a de encontrar medições consistentes para os factores do ROSI que retornam resultados 
comparavelmente significativos.
6.1 Quantificação da Exposição ao Risco
É importante para a empresa quantificar e mitigar os riscos para justificar o ROSI. 
Em circunstâncias normais, as soluções de segurança não criam diretamente qualquer valor 
tangível, ao contrário, elas evitam as perdas. A perda pode ser evitada se for conhecida pela 
a empresa. 
Um método analítico simples de calcular a exposição ao risco é multiplicar o custo 
projetado de um incidente de segurança (Single Loss Exposure, or SLE) com a sua taxa 
anual estimada de ocorrência (Annual Rate of Occurrence ARO). O valor resultante é 
chamado de perda anual por exposição (Annual Loss Exposure ALE).
*ALE SLE ARO=
Embora não existam métodos padronizados para estimar SLE ou ARO, existem 
tabelas que dão valores médios estatísticos de danos com base em relatórios do mundo real. 
Essas tabelas são criadas a partir de dados de reclamação de seguro, a pesquisa acadêmica, 
ou pesquisas independentes.
Infelizmente, os métodos utilizados para calcular estes custos variam de empresa para 
empresa. Por exemplo, uma empresa pode valorizar um laptop roubado pelo seu custo de 
substituição. Outra pode levar em consideração a perda de produtividade e tempo de suporte 
de TI, e outro ainda pode levar em consideração os custos de perda de propriedade 
intelectual. Como resultado, algumas empresas avaliam um roubo de laptop de RS $ 3000; 
outras podem colocá-lo como R$ 100.000. O número final é mais susceptível de ser 
influenciado por fatores de negócio (quanto o segura irá reembolsar, quais são as 
implicações fiscais, este impacto vai gerar uma grande perda no preço das ações) do que pela 
realidade financeira.
Um custo potencialmente significativa é a perda de informações altamente 
confidenciais.como sua propriedade intelectual, uma violação de segurança. O roubo de 
informações pode criar uma perda significativa para os negócios, mesmo não impactando a 
produtividade. O custo de um incidente de segurança neste caso é o valor estimado da 
propriedade intelectual que está em risco.
42
6.2 Perda de Produtividade
É possível realizar uma avaliação do tempo de paralisação para estimar a perda de 
produtividade associada com um incidente que ainda não tenha acontecido. Se uma 
organização quiser prever o impacto de um vírus, ela pode realizar uma avaliação do tempo 
de inatividade. O resultado seria um intervalo de perda de produtividade potencial, o que 
poderia ser usado para calcular um ROSI máximo e mínimo para uma solução de prevenção 
de um vírus. Uma ferramenta útil para este tipo de análise é uma simulação Monte Carlo, 
que automatiza o processo de variar um certo número de variáveis, ao mesmo tempo e 
retorna uma gama de resultados potenciais.
Outra avaliação útil é sobre o tempo de inatividade quando se examina o impacto 
geral da segurança na produtividade organizacional.
O Retorno sobre o Investimento de Segurança equação assume um novo significado 
se a perda de produtividade diária for usada como a figura de exposição ao risco. A idéia é 
que uma organização altamente segura terá menos incidente de segurança, menores falhas 
técnicas e portanto menos perda de produtividade.
A produtividade é importante porque a segurança vem quase sempre às custas de 
conveniências. A maioria das soluções de segurança acabam criando obstáculos que os 
funcionários precisam de saltar para fazer seus trabalhos. Dependendo do tamanho e 
frequência destes obstáculos, o custo perda de produtividade pode aumentar muito. A Tabela 
6.1 mostra como o tempo pode facilmente ser perdido devido a problemas criados pelas 
soluções próprias destinadas a corrigir problemas de segurança.
Perda de produtividade pode ter um sério impacto sobre a o custo do investimento em 
segurança. Apenas dez minutos de inatividade por dia por funcionário pode adicionar uma 
quantidade significativa de custo
Exemplo: Uma empresa com 20 funcionários que aplicou um sistema de filtragem de 
e-mail que gera 15 minutos de perda de produtividade por dia por funcionário em um ano 
(240 dias úteis) terá 800 horas perdidas.
43
_ _ 20*15*240 40.000 800total de perda ou horas por ano= =
Supondo de R$ 11,50 o custo da hora por funcionário,
800*11,50 $9.200,00R=
Terá portanto uma perda adicional de R$ 9.200,00 por ano
Tabela 6.1 Fatores que afetam a produtividade
Problema
Tempo médio de Para-
da (em Minutes)
Falhas de aplicação e do sistema 10
E-mail filtragem, classificação e spam 15
Eficiência de largura de banda e a transferência real 10
Ineficientes e ineficazes políticas de segurança 10
Execução de políticas de segurança 10
Relacionados com o sistema: fora de operação e upgrades para TI 10
Os patches de segurança para sistemas operacionais e aplicativos 10
Topologia de rede inseguras e ineficientes 15
Vírus, verificação de vírus 10
Worms 10
Cavalo de Tróia 10
Spyware, 10
Anúncios pop-up 10
Problemas de compatibilidade de hardware e software15
Permissões baseadas em problemas de segurança (usuário / senha) 15
Desorganização do sistema de arquivos 10
Dados corrompidos ou inacessíveis 15
Informações hackeadas ou roubado e dados 15
Backup / restauração 15
Uso de problemas de aplicativos 15
Somando ao custo da solução a perda de produtividade, pos se trata de um custo 
adicional, o novo ROSI ficará da seguinte forma:
18.180*0,75 (5.000 9.200) /(5.000 9.200) 0,03ROSI = − + + = −
Ou seja, não compensa o investimento.
Investimentos em segurança são feitas após análise adequada dos requisitos de 
segurança, avaliações de risco, desempenho do produto, fornecedor e mais importante, o 
alinhamento do plano de segurança para os objetivos gerais do negócio.
44
A segurança deve ser considerada como um negócio capacitador não como um 
inibidor. Justificar o custo da segurança é uma questão de garantir que a tecnologia permitirá 
que a política de segurança e procedimentos está alinhada diretamente com os objetivos de 
negócio. 
Nenhum evento ou solução de segurança é isolado dos outros.
45
7 Descarte e Sanitização de Mídias
Decisões de descartar Informação ou sanitizar dispositivos de armazenamento 
ocorrem durante todo o ciclo de vida do sistema. Quando uma midia é descartada, é 
responsabilidade do dono da informalção armazenada, ou de um departamento (normalmente 
o departamento de T.I), sanitizar a midia (apagar todos os dados nela contidos).
A informação armazenada na mídia possui uma classificação de segurança que 
muitas vezes revisitada e revalidada ao longo da vida do sistema, e as alterações necessárias 
para a classificar confidencialidade pode ser alterada. Uma vez que a qualificação de 
segurança estiver concluída, o proprietário do sistema pode então projetar um processo de 
higienização que irá garantir uma protecção adequada das informações do sistema.
Muita da informação não está associado com um sistema específico, mas está 
associado com as comunicações de negócios internos, normalmente sobre o papel. As 
organizações devem rotular estes meios de comunicação com suas classificações de 
funcionamento interno e associar um tipo de sanitização.
Fatores críticos que afetam o descarte de informações e sanitização de mídia são 
decididos no início do desenvolvimento de um sistema. Os requisitos iniciais do sistema 
devem incluir especificações de hardware e software, bem como documentos de 
interconexões de rede e fluxo de dados que irão ajudar o proprietário da informação a 
identificar os tipos de mídia utilizados no sistema. As especificações devem ser feitas 
durante a fase de especificação de quais tipos mídia serão usadas para criar, capturar 
armazenar ou transferêrir de informações utilizadas pelo sistema. Esta análise, equilibrando 
as necessidades de negócio e de risco à confidencialidade, irá formalizar os meios de 
comunicação que serão considerados para o sistema em conformidade com FIPS 200, 
Minimum Security Requirements for Federal Information and Information Systems..
Sanitização das mídias e disponibilização das informações geralmente é mais intensa 
durante a fase de eliminação no ciclo de vida do sistema ou da própria informação. No 
entanto, durante a vida de um sistema de informação, muitos equipamentos contendo dados 
serão transferidos para fora do controle da organização. Esta atividade pode ocorrer por 
46
motivos de manutenção, atualizações de sistema, ou durante uma atualização de 
configuração.
Sanitização de mídia é um elemento chave para garantia de confidencialidade ou seja 
preservar restrições de acesso e divulgação de informações, incluindo os meios para proteger 
a privacidade pessoal e das. Uma fonte muitas vezes rica de informação são os lixos, os 
“dumpster diving” ou mergulhadores de contêineres se especializam em reviar papeis 
descartados por enpresas. As mídia impressas fluem para dentro e fora das organizações 
muitas vezes sem controle através de lixeiras em formulário de papel. Esta vulnerabilidade 
potencial pode ser mitigado através da compreensão adequada de onde a informação está 
armazenada, o que é informação e como protegê-la.
7.1 Tipos de Mídia
Existem dois tipos primários de mídia comunmente utilizados:
Cópia fisica: é a representação fisica da informação. Impressões em papel, 
impressora, fax e fitas, estes tipos de midia costumam ser menos controladas. Informações 
jogadas nas lixeiras e contêineres de lixo expõe uma vulnerabilidade significativa para os 
“dumpster diving”, e funcionários curious, levando a divulgações acidentais de informação.
Cópia eletronica: são os bits e bytes contidos em discos rígidos, memória de acesso 
aleatório (RAM), Read-Only Memory (ROM), discos, dispositivos de memória, telefones, 
aparelhos de computação móvel, equipamentos de rede, e muitos outros tipos.
7.2 Tendências das mídias de armazenamento
As tecnologias utilizadas na computação e armazenamento de dados mudam muito e 
rapidamente. Novas tecnologias procuram aumentar a taxa de tranferencia e diminuir o 
tamanho. Essas novas tecnologias necessitam melhores praticas de sanitização para purgar os 
dados nelas contidos.
Para ter uma idéia, os discos flexíveis(flop disk), podem ter sua informação 
recuperada após ter sido totalmente sobrescrito com zeros. Já os discos rígidos produzidos a 
partir de 2001, maiores que 15 GB podem ser purgados com uma única regavação devido a 
dencidade das mídias, segundo o nist(2008) e Hughes(2007).
47
Nos EUA existem várias leis que dizem respeito a confidencialização dos dados e 
sanitização em dispositivos de armazenamento Ex: Health Information Portability and 
Acountability (ato de portabilidade e Responsabilidade de informações sobre saúde), uma 
empresa qe se encontra em descumprimento com as praticas de segurança da HiPAA poderá 
sofrer uma multa de U$250.000 e enfrentar 10 anos de prisão.
7.3 Tecnologias Emergentes
Armazenamento holográfico: Armazena dados em uma imagem 3D, é criada 
passando o laser através de cristais sensíveis que mantém os padrões de luz. Os 
pesquisadores acreditam que blocos de dados com 1cm³ podem armazenar 10GB
SSD Solid –State drive (unidade de armazenamento de estado sólido), armazenam 
dados em circuito integrado semicondutores. A família SSD 320 da Intel tem capacdade de 
40, 80 , 120, 160, 300 e 600GB, já a IBM está testando um dispositivo SSD de 4 Terabyte.
Memória molecular. Armazenamentos de dados usando uma proteína chamada 
bacteriorodopsina. Um laser pode alterar a proteína para bR (0 estado) para Q (1 estado), o 
que torna uma porta ideal de armazenamento e dados, ou flip-flop. Memória molecular é 
barata de produzir e pode operar sobre uma ampla gama de temperaturas comparando com a 
memória de semicondutor. Uma molécula muda de estado dentro de microssegundos; os 
passos combinados para ler ou escrever demora cerca de 10 milissegundos. Isso pode parecer 
lento. No entanto, como o armazenamento holográfico, este dispositivo obtém páginas de 
dados em paralelo, de modo uma velocidade de transferência 10 Mbps é possível.
7.4 Tipos de Sanitização
A chave para decidir a forma de gerenciar mídia em uma organização é a primeiro 
considerar a informação, então o tipo de mídia. A segurança da informação juntamente com 
com fatores ambientais devem conduzir as decisões sobre como lidar com a mídia.
Novamente, a chave é a primeira pensar em termos de confidencialidade da 
informação, em seguida, por tipo de mídia. Nas organizações algumas informação podem 
não estar associado a qualquer sistema de classificação. Esta informação em muitos casos 
são comunicações internas, tais comomemorandos, artigos ou apresentações. Em alguns 
casos esta informação pode ser considerada sensível. Exemplos podem ser as cartas internas 
48
disciplinares, negociações financeiras ou salário, ou atas de reuniões de estratégia. As 
organizações devem rotular estes meios de comunicação interno com suas classificações de 
funcionamento interno e associar um tipo de sanitização.
Existem diferentes tipos de sanitização para cada tipo de mídia. Inicialmente a 
sanitização de mídia pode ser dividida em quatro categorias: eliminação, limpeza, expurgo e 
destruição. 
7.4.1 Eliminação
As mídias são jogadas fora sem nenhum tratamento especial dado a ela, pois as 
informações contidas não teriam nenhum impacto sobre a missão da organização ou seja, 
sua eliminação não resultaria em danos aos ativos organizacionais, não resultaria em perda 
financeira ou seria, não resultaria em prejuízo para todos os indivíduos. 
A eliminação não é tecnicamente um tipo de sanitização mas é um método válido 
para manuseio de mídia contendo informações não confidenciais, ela é mencionado para 
indicar que as organizações simplesmente eliminaram as mídia.
A eliminação é o ato de descartar a mídia sem considerações de sanitização. Isso 
geralmente é feito através da reciclagem de papel que contém informações não 
confidenciais, mas pode também incluir outras mídias.
7.4.2 Limpeza Digital
O processo de destruição de dados de é recomendado para os seguintes casos:
• Os sistemas de computadores pessoais, o usuário se procupa em proteger seus dados 
contra roubo de identidade, assegurando que todos os dados pessoais são eliminados 
antes do computador ser vendido ou reutilizado.
• Projetos que envolvem um pequeno número de unidades de disco rígido
• Situações em que há baixo risco de ataque avançado de laboratório de recuperação 
de dados
49
A limpeza digital não deve permitir que a informação possa ser recuperada através 
utilitários de recuperação de arquivos como “keyboard attack”. A regravação é um método 
aceitável para a limpeza digital de mídia de armazenamento.
Existem harware e software que reescrevem o conteudo das midias com dados não 
sensíveis. Este processo pode incluir a substituição não só do local de armazenamento lógico 
de um arquivo (s) (por exemplo, a tabela de alocação de arquivos), mas também pode incluir 
todos os locais endereçáveis. O objectivo do processo de segurança é substituir os dados 
gravados por dados aleatórios. Substituições não pode ser usada para as mídias danificadas 
ou não gravável.
O tipo de mídia e tamanho pode influenciar na sanitização, estudos têm demonstrado 
que a maior parte dos meios de armazenamento de hoje podem ser eficazmente sanitizado 
por uma única regravação.
7.4.3 Purgar
Purgar a informação é um processo de sanitização de mídia que protege a 
confidencialidade das informações contra um ataque de laboratório. Para algumas mídias a 
mídia limpeza é suficiente para purgar as informações contidas. No entanto, para unidades 
de disco ATA fabricado depois de 2001 (mais de 15 GB) os termos limpesa digital e purga 
convergem..
Opurgar as informações é um processo de processo de destruição recomendado para 
os seguintes casos:
• Computadores de empresa ou qualquer computador que contém informações 
de funcionários, informações de clientes ou quaisquer outros dados sensíveis.
• Quando a responsabilidade pelo tratamento e descarte adequado da informação 
sensível é uma preocupação
• Projetos que envolvem um grande número de discos rígidos
• O processo de destruição deve ser capaz de proteger contra tentativas 
sofisticadas de laboratório para recuperação de dados
50
Um ataque de laboratório envolveria uma ameaça com os recursos e conhecimentos 
para utilizar sistemas não padronizados para realizar tentativas de recuperação de dados em 
mídia fora do seu ambiente operacional normal. Este tipo de ataque envolve o uso de 
equipamentos de processamento de sinal e pessoal especialmente treinado.
Executar o comando “Secure Erase” (apenas para drives ATA) e desmagnetização 
são exemplos de métodos aceitáveis para purgar as informações. Desmagnetização de 
qualquer disco rígido normalmente destrói a unidade bem como o firmware que gerencia o 
dispositivo (trilha de localização). A desmagnetização é expor os meios magnéticos de um 
forte campo magnético, a fim de interromper os domínios magnéticos gravados. Um 
desmagnetizador é um dispositivo que gera um campo magnético utilizado para esterilizar 
meios magnéticos. Desmagnetizadores são classificados com base no tipo (energia, isto é, 
baixa ou alta energia) de meios magnéticos podem purga. 
Desmagnetizadores operam utilizando uma ímã permanente forte ou uma bobina 
eletromagnética. A desmagnetização pode ser um método eficaz para purgar mídias 
danificadas, mídia com capacidades de armazenamento excepcionalmente grandes, ou para a 
rápida sanitização de disquetes. A desmagnetização não é eficaz para purgar mídia não 
magnéticos, tais como mídias ópticas como discos compactos (CD DVD, etc).
7.4.4 Destruição
Destruição dos meios de armazenamento é a última forma de sanitização. Depois que 
as mídia são destruídos, eles não podem ser reutilizados como inicialmente previsto. A 
destruição física pode ser realizada utilizando uma variedade de métodos, incluindo a 
desintegração, a incineração, pulverização, trituração e fusão.
Se a destruição é decidida devido à classificação de alta segurança da informação ou 
devido a factores ambientais, qualquer meio residual deve ser capaz de resistir a um ataque 
de laboratório.
Incineração, desintegração, pulverização e fusão: Estes métodos de higienização 
projetados para destruir completamente as mídias. Eles são normalmente são realizadas por 
terceiros transformando em sucata metálica, essas atividades são realizadas de foorma eficaz, 
e com segurança.
51
Fragmentação: São trituradores de papel que podem ser usados para destruir mídias 
flexíveis, tais como disquetes, uma vez as mídias são fisicamente removidos de suas 
embalagens externas. O tamanho do fragmento deve ser pequeno o suficiente para que haja 
segurança razoável em proporção ao nível de confidencialidade de modo que a informação 
não pode ser reconstruída.
Meios de armazenamento ópticos incluindo discos compactos (CD, CD-RW, CD-R, 
CD-ROM), discos ópticos (DVD), e magneto-óptica (MO) devem ser fragmentado ou 
pulverização,
7.5 Fatores que Influenciam as Decisões de Sanitização
Vários fatores quando a tomada de decisões de sanitização devem ser considerados 
juntamente com a classificação da informação e da confidencialidade do sistema. O custo 
versus benefício de um processo de sanitização de mídia deve ser entendido antes de uma 
decisão final. Por exemplo, pode não ser rentável desmagnetizar uma mídia de baixo custo, 
tais como disquetes. A destruição pode ser a solução recomendada quato comparado com o 
custo efetivo de uma formação (considerando, monitoramento, validação, etc) para destruir a 
mídia basta a documentação.
Indicada por uma avaliação do risco existente, a organizações podem aumentar o 
nível da sanitização aplicada se achar que é necessário.
As organizações devem considerar os seguintes fatores ambientais. Note que a lista 
não é completa:
• Que tipos (por exemplo, óptica não regravável, magnético) e tamanho (por 
exemplo, megabyte, gigabyte e terabyte) de armazenamento de mídia que a 
organização necessita sanitizar?
• Qual é a confidencialidade dos dados armazenados na mídia?
• Será que a mídia precisa ser processada em uma área controlada?
• processo de higienização será realizado dentro da organização ou terceirizada?
• Qual é o volume previsto de mídia a ser sanitizada, por tipo de mídia? 
52
• Qual é a