Apostila de Segurança da Informação

Prévia do material em texto

SEGURANÇA DA INFORMAÇÃO
SERGIO DUQUE CASTILHO
OURINHOS - SP
JUNHO/2011
1
Sumário
1 SEGURANÇA DA INFORMAÇÃO....................................................................................3
2 LEIS ......................................................................................................................................16
3 PESQUISA DE SEGURANÇA DA INFORMAÇÃO ......................................................20
4 NORMAS..............................................................................................................................24
5 CLASSIFICAÇÃO DA INFORMAÇÃO..........................................................................34
6 ROSI......................................................................................................................................40
7 DESCARTE E SANITIZAÇÃO DE MÍDIAS...................................................................46
8 CONTROLE DE ACESSO.................................................................................................60
9 SEGURANÇA PARA TELEINFORMÁTICA E COMUNICAÇÕES...........................63
10 VISÃO DA GOVERNANÇA DE TI..............................................................................78
2
1 Segurança da Informação
1.1 Introdução
Por que é tão importante proteger as informações nos dias de hoje? Será possível 
manter a segurança de uma organização, onde as informações são ativos de extrema 
importância para sua sobrevivência?
Devido às organizações estarem fortemente ligadas a Tecnologias (servidores, 
internet, banco de dados, e-comerce, etc), os riscos que trazem essas Tecnologias são riscos 
para o negócio, e as falhas na proteção dos ativos da informação correlacionados com 
essa Tecnologia, transformam-se em perdas financeiras, comprometem a imagem da 
empresa e reduzem a eficiência operacional, chegando ao extremo de levar a encerrar suas 
operações. 
Restrita no passado para áreas de nicho, como bancária, aeroespacial ou aplicações 
militares a segurança digital cresce lentamente mas segura, tornando-se assunto de todos.
As organizações têm a necessidade de criar e manter um ambiente tecnológico no 
qual os processos de negócio possam funcionar de forma correta e segura. Significa 
assegurar a confidencialidade e privacidade dos dados na organização, bem como a sua 
integridade. Para que esses objetivos sejam alcançados, não devemos dar ênfase apenas a 
implantação de hardware e software, mas a realização eficiente do processo de 
Gerenciamento de Risco de TI1 , no qual todos os riscos devem ser identificados e 
minimizados. 
1.2 Informação
É um conjunto de dados que representam um ponto de vista. 
 Dados não são informações, estes após uma analise ou processo geram informação. 
A informação possui significado e causa impacto em grau maior ou menor, tornando o 
elemento essencial da extração e criação do conhecimento. 
1 TI – Tecnologia da Informação
3
• conhecimento só pode ser formado a partir da exposição do 
individuo a informação. 
• Os aspectos da geração de conhecimento a partir da informação é o 
principal interesse das organizações. 
• Expor colaboradores a informação gera conhecimento, melhora a 
tomada de decisão e proporciona valor aos negócios, Como pode 
ser visto na figura 3.
• Proporcionar valor contribui diretamente para o lucro. 
• É possível afirmar que a informação é um bem, um ativo da 
organização e deve ser preservada e protegida. 
• É possível encontrar informação na forma escrita, impressa, 
armazenada em arquivos( discos, cds, etc) e até transitando nos 
meios de comunicação. 
 
Figura 1 Valor da Informação
 
1.3 A importância da informação
Atualmente, as informações tornam-se o objeto de maior valor para as empresas. O 
avanço da informática e das redes de comunicação nos mostra um novo cenário, no qual os 
objetos do mundo real estão representados por bits e bytes, sem deixar de ter o mesmo valor 
que os objetos reais e, na maioria das vezes, o valor é ainda maior. 
Segundo alguns estudos realizados, apenas 6% das empresas que sofrem um desastre 
informático sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Algumas 
4
pesquisas, ainda que mais moderadas, confirmam essa tendência ao indicar que duas de cada 
cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir.
1.4 Segurança da informação
É a proteção da informação, de diversos tipos de ameaças, para garantir a 
continuidade dos negócios, minimizar os danos e maximizar o retorno do investimento e as 
oportunidades de negócio. 
Segundo a NBR 27001, segurança da informação consiste na preservação da 
confidencialidade, integridade e disponibilidade da informação. Também suplementa, outras 
propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, 
podem estar incluídas. 
Para a Academia Latino Americana de Segurança da Informação, as empresas estão 
expostas a ameaças constantes em seus ativos, o que pode representar prejuízos inestimáveis. 
As vulnerabilidades em nossos sistemas de informação podem representar problemas de 
grande impacto negativo para a empresa, a importância de compreender os conceitos 
necessários para que se possa combatê-los e defender as informações de possíveis ataques é 
uma forma de sobrevivência para a empresa.
A segurança da informação tem a finalidade de proteger as informações registradas, 
independente de onde estejam situadas: impressas em papel, nos discos rígidos dos 
computadores ou até mesmo na memória das pessoas que as conhecem.
E elementos são: as informações, os equipamentos que oferecem suporte a elas e as 
pessoas que as utilizam.
A necessidade de segurança já excede o limite da produtividade e da funcionalidade, 
de forma que a velocidade e a eficiência tornam-se uma vantagem competitiva nos processos 
de negócios e a falta de segurança nos meios tecnológicos que permitem essa velocidade e 
eficiência, muitas vezes pode acarretar prejuízos inestimáveis.
5
Figura 2 Elementos que fazem Parte da Comunicação.
Aumentar o nível de segurança de sistemas de informação é um desafio para 
qualquer organização. O primeiro passo neste empenho é avaliar a exposição atual da 
organização e decidir que passos esta devem seguir. Tomar decisões e, encontrar soluções 
pode ser a parte mais difícil do processo de assegurar os sistemas de informação.
Existem alguns riscos em relação a segurança que devem ser considerados como: a 
falta de classificação da informação quanto ao seu valor, o controle de acesso mal definido, 
dificuldade de controle do administrador, a Internet, o tráfego de informações e senhas pela 
rede, e-mails enviados, qualquer conexão entre redes pode ser considerada um risco.
Não se pode garantir total segurança, pois não existe segurança a prova de hackers. 
“A segurança é complexa, envolvendo aspectos humanos, sociais e tecnológicos” (GEUS; 
NAKAMURA). Por esse motivo cabe a organização definir o nível necessário de segurança, 
mas assumindo os riscos.
Administrar a segurança de uma organização, não é uma tarefa fácil, pois a segurança 
é inversa a produtividade. Para minimizar os riscos o administrador restringe o acesso dos 
usuários aos serviços e dessa forma afeta a sua produtividade
6
1.5 Ativos
De acordo com a NBR 27001, tudo que constitui valor para a organização é 
considerado ativo.
“Um ativo é todo elemento que compõe o processo da comunicação, partindo da 
informação, seu emissor, o meio pelo qual ela é transmitida, até chegar a seu receptor ” 
(MICROSOFT TECHNET BRASIL). E ainda informa que, os ativos são elementos que 
precisam ser protegidos, pois constituem valor para as empresas e, por esse motivo precisam 
de umaproteção adequada para que seus negócios não venham a ser prejudicados. 
Os elementos que fazem parte do que chamamos de ativos são três: As informações, 
os equipamentos que oferecem suporte a elas, as pessoas que as utilizam. 
Tabela 1 Grupos de Ativos
A. Informações:
Neste grupo de ativos, tudo que contêm informação registrada, em meio eletrônico ou 
físico. Exemplo: documentos, relatórios, correspondências, patentes, código de programação, 
planilhas de remuneração de funcionários, etc.1
B. Equipamentos que oferecem Suporte 
B.1 Software:
Este grupo de ativos é formado pelos programas usados na execução dos processos, 
por exemplo: o acesso, a leitura, o trânsito e o armazenamento das informações. Alguns 
exemplos são: sistemas operacionais (Unix, Windows, Linux, sistemas informatizados, 
7
aplicativos específicos etc.), programas de correio eletrônico e sistemas de suporte, entre 
outros. 
B.2 Hardware:
Equipamentos tecnológicos que oferecem suporte à informação durante sua 
utilização, trânsito e armazenamento. Por exemplo: os computadores, os servidores, os 
mainframes, os meios de armazenamento, os equipamentos de conectividade, roteadores, 
switchs,etc. 
B.3 Organização: 
Componentes da estrutura física e organizacional das empresas. 
Exemplos de estrutura organizacional : a estrutura departamental e funcional, o 
quadro de alocação dos funcionários, a distribuição de funções e os fluxos de informação da 
empresa. 
Exemplos de ambiente físico: salas e armários onde estão localizados os 
documentos, sala de servidores de arquivos.
C. Usuários: 
O grupo usuários são os indivíduos que utilizam os equipamentos da empresa e que 
trabalham com a informação, desde a alta direção até os usuários finais da informação, 
incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como técnicos, 
operadores e ministradores de ambientes tecnológicos .
1.6 Princípios básicos da segurança da informação
Proteger os ativos significa defende-los das ameaças que podem prejudicar sua 
funcionalidade: corrompendo-a, tendo acesso a ela de forma indevida, ou eliminando-a ou 
furtando-a. Existem três princípios básicos usados como base para proteção desses ativos:
• Integridade: 
• Confidencialidade
• Disponibilidade da informação.
8
1.6.1 Integridade da informação:
O princípio da integridade nos permite garantir que a informação não tenha sido 
alterada em seu conteúdo. Um exemplo de falta de integridade ocorre quando a informação é 
corrompida, falsificada ou roubada.
Como seria se o quadro de salários dos funcionários fosse alterado acidentalmente ou 
propositalmente? Esse é um exemplo de dano que a empresa sofre com a falta de integridade 
das informações. 
1.6.2 Confidencialidade da informação:
O princípio da confidencialidade da informação assegura o acesso apenas das pessoas 
autorizadas à informação que será compartilhada. São informações que precisam ser 
mantidas em sigilo, a quebra desse sigilo pode acarretar danos inestimáveis. Exemplo: 
número e senha do cartão de crédito, da conta bancária,etc
1.6.3 Disponibilidade das informações:
O princípio da disponibilidade das informações garante que a informação possa ser 
acessada no momento em que for solicitada. A configuração segura de um ambiente é 
fundamental. Fazer cópias de segurança – backup também é importante.
1.7 Ameaça
Ativos sempre terão vulnerabilidades, que podem submetê-los as ameaças. As 
ameaças são agentes que exploram os pontos fracos ou vulnerabilidades (falhas na 
segurança), provocando perdas ou danos aos ativos, afetando os negócios da empresa.
As ameaças podem colocar em risco a integridade, a confidencialidade e a 
disponibilidade das informações. Ameaças estão ligadas a causas que representam riscos, são 
elas:
• Causas naturais ou não-naturais 
• Causas internas ou externas 
9
Figura 3 Princípios Básicos da Segurança da Informação
1.7.1 Tipos de ameaças
As ameaças estão divididas em três grandes grupos:
• Ameaças naturais – condições da natureza que podem provocar danos aos 
ativos como fogo, inundação, terremotos. 
• Intencionais – são ameaças premeditadas, fraudes, vandalismo, sabotagens, 
espionagem, invasões e furtos de informações. 
• Involuntárias – são ameaças procedentes de atitudes inconscientes de 
usuários, por vírus eletrônicos, causados pela falta de conhecimento na 
utilização dos ativos, como erros e acidentes.
Tabela 2 Principais ameaças às informações das empresas
10
1. Virus
2. Divulgação de senhas
3. Hackers
4. Funcionários insatisfeitos 
5. Acessos indevidos
6. Vazamento de informações
7. Erros e acidentes 
8. Falhas na segurança física
9. Acessos remotos indevidos
10. Superpoderes de acesso
12. Pirataria
13. Lixo informático
14. Divulgação indevida
15. Roubo/Furto
16. Fraudes
1.8 Vulnerabilidade
Os pontos fracos ou vulnerabilidades são os meios pelos quais as ameaças, afetam a 
confidencialidade, a disponibilidade e a integridade das informações de uma empresa. Pode-
se esperar que, à medida que a tecnologia avança, mais expostas ficam as informações. Por 
esse motivo é importante conhecer a estrutura geral de como se classificam as 
vulnerabilidades ou pontos fracos, responsáveis pelos danos causados por uma série de 
ameaças. 
1.8.1 Vulnerabilidades físicas 
 Encontra-se no ambiente em que estão sendo armazenadas ou gerenciadas as 
informações. 
Exemplo:
• Instalações inadequadas do espaço de trabalho
• Ausência de recursos para o combate a incêndios
• Disposição desorganizada dos cabos de energia e de rede
• Não-identificação de pessoas e de locais, entre outros. 
• Computadores: podem sofrer danos internacionais ou naturais. 
• Meios de transmissão. 
• Ambiente: incêndio, inundação, terremoto.
Figura 4 Pontos Fracos ou Vulnerabilidades
11
1.8.2 Vulnerabilidades naturais 
 São aqueles relacionados às condições da natureza que podem colocar em 
risco as informações.
Exemplo:
• Ambientes sem proteção contra incêndios
• Locais próximos a rios propensos a inundações
• Infra-extratora incapaz de resistir às manifestações da natureza, como 
terremotos, maremotos, furacões, etc. 
1.8.3 Vulnerabilidades de hardware 
 Defeitos de fabricação ou configuração dos equipamentos da empresa que 
possibilitem o ataque ou a alteração dos mesmos.
Exemplo: 
• A ausência de atualizações de acordo com as orientações dos fabricantes dos 
programas utilizados 
• A conservação inadequada dos equipamentos. 
1.8.4 Vulnerabilidades de softwares 
Possibilitam a ocorrência de acessos indevidos aos sistemas de computador.
A configuração e a instalação indevidas dos programas de computador;
• Os aplicativos;
• Os sistemas operacionais.
1.8.5 Vulnerabilidades dos meios de armazenamento 
Se os meios que armazenam as informações não forem utilizados de forma adequada, 
seu conteúdo fica vulnerável a uma série de ameaças que poderão afetar a integridade, a 
disponibilidade e a confidencialidade das informações.
12
Exemplo: 
• Prazo de validade e expiração 
• Defeito de fabricação 
• Local de armazenamento em locais insalubres ou com alto nível de umidade, 
magnetismo ou estática, mofo, etc.
• Computadores: podem sofrer danos internacionais ou naturais. 
• Meios de transmissão. 
• Pessoa: por natureza tendem a divulgar informações(conversa informal). 
• Processos: falta de regra especifica nas empresas em relação a informação. 
• Ambiente: incêndio, inundação, terremoto.
1.8.6 Vulnerabilidades de comunicação 
Os meios que transitem as informações, seja por cabo, satélite, fibra óptica ou ondas 
de rádio, também necessitam de segurança. 
A falha na comunicação faz com que uma informação fique indisponível para os seus 
usuários, ou fique disponível para pessoas que nãodeveriam ter acesso a ela, permitindo que 
sejam alteradas, afetando sua integridade.
A ausência de sistemas de criptografia nas comunicações; 
A má escolha dos sistemas de comunicação para envio de mensagens.
1.8.7 Vulnerabilidades humanas
Estão relacionadas aos danos que as pessoas podem causar às informações e ao 
ambiente tecnológico que lhes oferece suporte. 
Exemplo:
• Senhas fracas;
• Falta de uso de criptografia na comunicação;
13
• Compartilhamento de identificadores como nome de usuário.
• Pessoa: por natureza tendem a divulgar informações(conversa informal). 
• Processos: falta de regra especifica nas empresas em relação a informação.
1.9 Impacto
Refere-se a perdas ou prejuízo, causado nos negócios ou pessoas devido a um 
incidente de Segurança da Informação., podendo causar perdas financeiras, danos a imagem 
de pessoas ou empresas,
Exemplo: perda de cliente, perda de produtividade, danos morais.
Fica evidente que o grau de ameaça e de vulnerabilidade influenciam diretamente a 
pobabilidade de ocorrer um impacto. Assim se uma empresa atuar diretamente nestes pontos, 
irá diminuir a probabilidade de ocorrer um impacto.
1.10 Risco
“Risco é a probabilidade de que as ameaças explorem os pontos fracos causando 
perdas ou danos aos ativos e impactando os negócios, ou seja afetando: a confidencialidade, 
a integridade e a disponibilidade da informação”. (ACADEMIA LATINO AMERICANA 
DE SEGURANÇA DA INFORMAÇÃO;2010; P.2)
Os riscos aumentam à medida que as ameaças conseguem explorar as 
vulnerabilidades provocando danos nos ativos. Esses danos podem ocasionar a perda da 
confidencialidade, a integridade ou a disponibilidade da informação causando impactos no 
negócio da empresa.
RISCO = AMEAÇA + VULNERABILIDADE.
1.11 Excelência operacional das empresas 
 As organizações que focam a excelência operacional, oferecem produtos de 
qualidade em relação ao mercado. 
A padronização das operações é uma forte característica. 
14
Tudo isso é suportado por uma gama de informações em organizadas e disponíveis. 
O que podia ocorrer se o sistema de informação que compõem os processos de suprimento e 
atendimento estiverem fora do ar, se os procedimentos ficarem indisponíveis. 
Figura 5 Ciclo de segurança 
Não resta a menor duvida de que possuir um sistema de gestão de segurança da 
informação que mantém a disponibilidade, a integridade e a confidencial idade das 
informações é uma necessidade. 
Um sistema de gestão de segurança da informação SGSI o primeiro passo é definir 
em que direção seguir etapas do planejamento 
Definição do Escopo>> Política para SGSI>> Analise de Risco >> Tratamento do 
Risco. 
15
2 Leis 
A evolução da internet não trouxe apenas benefícios para a sociedade, como 
globalização, comercio eletrônico, acesso a informações entre outras, vieram 
também os crimes virtuais e diversas expressões algumas utilizadas de forma 
equivocada como: ‘crimes de informática’, ‘crimes tecnológicos’, ‘crimes 
cibernéticos’, crimes virtuais etc. O termo adotado foi: “crimes informáticos”, este 
termo traduz, de forma ampliativa, os crimes cometidos contra ou utilizando sistemas 
informativos.
A Organização para Cooperação Econômica e Desenvolvimento da ONU 
(Organização das Nações Unidas) define o conceito de crimes informáticos como: 
“qualquer conduta ilegal não ética, ou não autorizada, que envolva processamento 
automático de dados e/ou transmissão de dados”.
O juiz Guilherme Guimarães Feliciano, define crimes informáticos como: 
“recente fenômeno histórico-sócio-cultural caracterizado pela elevada incidência de 
ilícitos penais (delitos, crimes e contravenções) que têm por objeto material ou meio 
de execução o objeto tecnológico informático (hardware, software, redes, etc.)” .
Para combater os crimes informáticos ou punir quem os comete, foram criadas 
algumas leis como: A Lei 11.277 de 7 de fevereiro de 2006, que acrescentou ao 
Código de Processo Civil o artigo 285-A, artigo 285-B, artigo 285-C, Artigo 154-A, 
artigo 163, artigo 163-A, entre outros, descritos a seguir:
• Artigo 285-A (Código Penal).
Acesso não autorizado a rede de computadores, dispositivo de comunicação 
ou sistema informatizado.
Acessar, mediante violação de segurança, rede de computadores, dispositivo 
de comunicação ou sistema informatizado, protegidos por expressa restrição de 
acesso: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único - Se o agente se vale de nome falso ou da utilização de identidade 
de terceiros para a prática do crime, a pena é aumentada de sexta parte.
Comete o crime quem acessa uma rede de computadores (que não é apenas a 
Internet, pode ser uma rede de computadores conectados entre si, como uma rede 
16
coorporativa ou de governo) violando alguma medida de segurança, em rede ou 
sistema informatizado ou dispositivo de comunicação que contenha expressa 
restrição de acesso.
• Artigo 285-B (Código Penal).
Obtenção, transferência ou fornecimento não autorizado de dado ou 
informação.
Obter ou transferir, sem autorização ou em desconformidade com autorização 
do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema 
informatizado, protegidos por expressa restrição de acesso, dado ou informação 
neles disponível:
Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único - Se o dado ou informação obtida desautorizadamente é 
fornecida a terceiros, a pena é aumentada de um terço.
Esse novo crime também busca proteger os dados eletrônicos (por exemplo, 
fotos pessoais, um trabalho acadêmico ou artístico, etc.) de ser obtido ou transferido 
sem autorização para terceiros.
Mas quando exatamente ocorre esse crime? .Diferentemente do crime anterior, 
esse acontece quando ocorre a transferência ou obtenção do dado eletrônico sem a 
autorização do titular da rede de computadores ou do proprietário, ou do dispositivo 
de comunicação ou sistema informatizado.
• Artigo 285-C (Código Penal). 
Nos crimes definidos neste Capítulo somente se procede mediante representação, 
salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de 
serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de 
economia mista e subsidiárias."
O parágrafo acima determina que os dois crimes anteriores (Art. 285-A e 285-B), só 
procedem se houver representação da pessoa ofendida, isso quer dizer, que polícia ou o 
Ministério Público não podem processar por conta própria.
• Artigo 154-A (Código Penal).
17
Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais 
contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo 
nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de 
seu representante legal.
Pena - detenção, de 1 (um) a 2 (dois) anos, e multa.
Parágrafo único - Se o agente se vale de nome falso ou da utilização de identidade de 
terceiros para a prática do crime, a pena é aumentada da sexta parte.
Esse crime busca punir uma conduta tornou-se muito comum nos dias atuais, a 
divulgação de fotos e informações pessoais (dados da receita federal comercializados por 
camelôs por exemplo).
Comete o crime quem divulga as fotos ou dados sem a permissão dos donos (ou 
representantes legais dos donos) das fotos ou dados.
• Artigo 163 (Código Penal).
Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Esse artigo já existe no Código Penal, apenas acrescentamos o "dado eletrônico" para 
protegê-lo de dano.
• Artigo 163-A (Código Penal).
Inserção ou difusão de código malicioso.
Inserir ou difundir código malicioso em dispositivo de comunicação, rede de 
computadores, ou sistema informatizado.
Pena - reclusão, de 1 (um)a 3 (três) anos, e multa.
Esse crime comete quem difunde vírus ou o insere em rede de computadores. Note-se 
que esse crime, tal como os demais, não existe em modalidade culposa, apenas dolosa, o que 
quer dizer que aquele que recebe o vírus e sem perceber passa a distribuí-los, não comete 
crime (não existe dolo na conduta).
18
Parágrafo 1º - Se do crime resulta destruição, inutilização, deterioração, alteração, 
dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de 
dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena - reclusão, de 2(dois) a 4 (quatro) anos, e multa.
Parágrafo 2º - Se o agente se vale de nome falso ou da utilização de identidade de 
terceiros para a prática do crime, a pena é aumentada de sexta parte".
 
 
19
3 Pesquisa de Segurança da Informação 
A modulo technology for risk management : 
Fundada em 1985 a modulo é especializada em tecnologia para gestão de risco. 
250 profissionais permanentemente atualizados. 
Pesquisa realizada com cerca de 600 profissionais atuantes na área de segurança e 
tecnologia da informação. 
Pesquisa nos seguintes setores: 
Visão por segmento 
Organização do governo são as menos quantificadas, 56% não sabem dizer em 
quanto ficou o prejuízo, no comercio 26% no financeiro 24% e no industrial 36% 
Quando identificado o problema, no setor financeiro os causadores são os 
fraudadores já no setor industrial são os ex-funcionários. O setor financeiro é o que mais 
tomam providencia legal e possuem planejamento de segurança. 
20
Problemas que geram perdas financeiras. 
*= 54% 
devido a falha 
na política de 
segurança, 
falta de 
conscientização ou treinamento dos colaboradores. 
Estruturação da área de segurança da informação 
21
Empresas com CSO 
• Financeiro 27% 
• Telecomunicações 23% 
Empresas com departamento de segurança. 
• Financeiro 56% 
• Telecomunicações 50% 
• Comercio 39% 
• Serviços 35% 
Nível de conhecimento sobre normas e legislação. 
• Possui conhecimento 43% 
• Possui pouco conhecimento 25% 
• Possui Conhecimento mas não adotou medidas 24% 
• Não possui 8% 
Empresas que possuem procedimento metodologia formalizado 
• 65% Não possuem e 35% possuem 
Valor gasto com capacitação de funcionários: 
• 29% até R$1000,00 
• 19% até R$2000,00 
• 28% acima de R$5000,00 
• 24% até R$5000,00 
Profissionais da equipe que possuem certificação: 
45% nenhuma 
22
21% 
MCSO-Modulo Certified Security Officer ( 
exame R$500,00 , Curso R$2850,00) 
14% Outros 
9% 
CISSP-Certified Informat System security 
Professional. Mantida pelo (ISC)² 
4% 
CISM-Certified Information Security 
Manager®, criado pela ISACA 
7% 
CISA- Certified Information System 
Auditor 
Principais Medidas 
3.1 Origem dos eventos de segurança da Informação
As origens dos problemas de segurança podem ser dividida em três categorias 
conforme tabela.
Natural Fenômenos Meteorológicos
Acidental Erros de Usuários ou Falhas nos Sistemas
Intencional Invasões,Terrorismo Ideologicos ou 
criminoso
Espionagem e Inteligência competitiva
Chantagem e extorsão
23
4 Normas
As normas e metodologias são as melhores práticas em segurança da informação e 
governança de TI, reconhecidas mundialmente e bastante utilizadas. A busca por padrões de 
mercado e as dificuldades das áreas de TI, tornam essas normas e metodologias necessárias 
para que as empresas possam sustentar seus próprios modelos e estruturas de controle, já que 
as transformações tecnológicas exigem constantes atualizações desses modelos.
Atualmente a tecnologia da informação está enraizada em todas as empresas, da mais 
simple a mais complexa, passando por todos os tamnhos, ajudando a dirigir os negócios. O 
sucesso da empresa depende da alta disponibilidade das informações, da segurança e 
desempenho dos serviços de TI. Esta dependência foi quem determinou o desenvolvimento 
de normas que propõem práticas para implantação de sistemas de gestão dos serviços de TI
4.1 Histórico 
4.1.1 ABNT ISO/IEC 27002 / 17799
• ISO/IEC 27002:2005- Information technology -- Security techniques -- Code 
of practice for information security management
• ISO/IEC- 17799- Information Technology- Security tec- Code of Pratice for 
Inf. Security Management. 
São provavelmente as mais conhecidas normas sobre segurança da informação, seu 
surgimento teve início com a preocupação em gerar uma série de procedimentos sobre 
segurança da informação na Inglaterra, mais especificamnete no DTI- Department of Trade 
and Industry. 
Um grupo criado em 1987 tinha a missão de criar um conjunto de critérios que 
pudesse proporcionar a validação da segurança da informação e um código de boas praticas 
que orientasse na implementação das ações, este trabalho gerou uma norma em 1989. 
24
Este código orientava na aplicação das ações de segurança da informação, mas ainda 
era difícil validar essas ações ou assegurar que estavam sendo realizadas. Para isso foi criada 
uma lista de verificações, surgindo assim as normas: 
• BS-7799-1 
• BS-7799-2 
Inúmeras melhorias foram implementadas e passou a ser utilizada fora da Inglaterra, 
contribuindo com a ISO ( International Organization for Standard ) . Em 2000 a BS-7799-1 
foi lançada como ISO 17.799 Information technology -- Security techniques -- Code of 
practice for information security management
Porém a segunda parte, ou seja a BS-7799-2 não foi transformada em ISO, gerando 
um demanda por normas internacionais. 
A British Standard adequou a BS-7799-2 aos padrões ISO (9000 e 14000),passando a 
ser usada como norma para certificação de segurança da informação em 2002. Formando um 
instrumento para orientação na implantação de um Sistema de Gestão de segurança da 
informação (SGSI). 
Em 2007 a ISO 17799 foi renomeada para ISO 27.002 denominada:
• ABNT-NBR ISSO/IEC 27002 Tecnologia da informação – Técnicas de 
segurança – Código de Prática para a gestão da segurança da informação.
Esta norma oferece diretrizes e princípios gerais para iniciar implementar e manter a 
melhor Gestão de SI e as definições básicas do que é a Segurança da Informação, o sua 
necessidade e como estabelecer os requisitos de segurança.
4.1.2 ISO/IEC 27001 – SGSI - Sistemas de Gestão de Segurança da 
Informação (ISMS - Information Security Management System)
E uma norma internacional utilizada como padrão para os sistemas de gestão 
de segurança da informação, foi publicada pelo International Organization for 
Standardization (ISO) e pelo International Electrotechnical Commision (IEC)
25
A Norma 27001 foi idealizada para cobrir todos os tipos de organizações , pois seus 
requisitos são genéricos.
O Sistema de Gestão de Segurança da Informação (SGSI), define como serão 
reduzidos os riscos para segurança da informação através da aplicação planejada de 
objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas.
Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma cadeia 
de decisões tomadas para gerenciar a segurança da informação, incluindo pessoas, infra-
estrutura e negócios, diminuindo os riscos a um nível aceitável, ao mesmo tempo que 
mantém em ponto de vista os objetivos do negócio e as expectativas do cliente. 
Um SGSI é um sistema de gestão análogo a um Sistema da Qualidade e como tal é 
passível de certificação. Esta certificação se dá a partir das evidências (documentos e 
práticas) do conjunto de controles implantados e que devem ser continuamente executados e 
devidamente registrados. 
Segundo a NBR 27001(2006), o SGSI é projetado para certificar a seleção de 
controles de segurança apropriados e ajustados para proteger os ativos de informação, o 
modelo conhecido como "Plan-Do-Check-Act” (PDCA),é aplicado para estruturar todos os 
processos do SGSI. O sistema de gestão da segurança da informação consiste na parte do 
sistema de gestão global, fundamentada na abordagem de riscos do negócio, para 
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a 
segurança da informação.
26
Durante o processo de estabelecimento e gerenciamento a organização deve:
Definir o escopo e os limites do SGSI nos termos das características do negócio da 
organização, sua localização, ativos e tecnologia. A definição do escopo inclui o 
levantamento dos ativos que serão envolvidos, tais como: Equipamentos; sistemas; nome da 
organização; estrutura de comunicação (Internet, correio eletrônico); pessoas; serviços; infra-
estrutura de rede interna e externa e classificação da informação.
À medida que evolui, o projeto deve ser revisado e detalhado (ciclo PDCA). Esta 
revisão é baseada no escopo do projeto, pois a declaração do escopo é um documento que 
contém a base para as futuras decisões. A delimitação do escopo é extremamente necessária, 
pois quanto maior o escopo maior a complexidade do SGSI a ser implementado.
4.1.3 ISO/IEC 27003 – Guia de Implementação do Sistema de 
Gerenciamento de Segurança da Informação.
Denominada como: ISO/IEC 27003:2010 Information technology — Security 
techniques — Information security management system implementation guidance.
Foi publicada no início de fevereiro 2010, a fim de fornecer um guia para a 
implementação de controles relacionados com a gestão de um SGSI, permitindo fazer um 
planejamento claro sobre como implementar e definir uma estratégias segurança relacionada 
com o negócio de uma empresa de acordo com os requisitos da ISO 27001.
27
A sequência mostrada na figura a seguir mostra um guia baseado na 27003 com as 
principais fases para implementação de um sistema de gestão de segurança da informação.
4.1.4 ISO / IEC 27004 Tecnologia da informação - Técnicas de 
segurança - Gestão de segurança da informação - Medição
Esta norma abrange medidas de gestão da segurança da informaçã, geralmente 
conhecido como métricas de segurança. A norma foi publicada em dezembro de 2009.
A norma se destina a ajudar as organizações a medir, gerar relatório sobre a 
sistemática de segurança da informação e portanto, melhorar a eficácia dos seus Sistemas de 
Gestão de Segurança da Informação.
Oferece orientação sobre o desenvolvimento e a utilização de medidas e de medição, 
a fim de avaliar a eficácia de um sistema de gestão implementado de segurança da 
informação (SGSI) e controles ou grupos de controles, como especificado na ISO/IEC 
27001. Isso pode incluir a política, a informação de gestão de riscos de segurança, objetivos 
de controle, processos e procedimentos para apoiar sua revisão, ajudando a determinar se 
qualquer um dos processos do SGSI ou controles precisam ser mudados ou melhorados.
BS ISO / IEC 27004 dá as seguintes recomendações sobre as atividades como base 
para uma organização cumprir os requisitos de medição especificadas na norma ISO/IEC 
27001:
28
1. Medidas de desenvolvimento (isto é, medidas básicas, medidas derivadas e 
indicadores
2. Implementação e operação de um Programa de Medição de Segurança da 
Informação
3. Coletar e analisar dados
4. Desenvolvimento de resultados de medição
5. Comunicação dos resultados de medição desenvolvidos para as partes 
interessadas
6. Utilizando os resultados de medição, fatores que contribuem para ISMS 
decisões relacionadas
7. Utilizando os resultados de medição para identificar as necessidades para 
melhorar o SGSI implementado incluindo seu escopo, políticas, objetivos, 
controles, processos e procedimentos
8. Facilitar a melhoria contínua do Programa de Medição de Segurança da 
Informação.
Um dos fatores que irão impactar a capacidade da organização para alcançar a 
medição é o seu tamanho. Geralmente o tamanho e a complexidade do negócio, em 
combinação com a importância da segurança da informação afetam o grau de medida 
necessária, tanto em termos do número de medidas a serem selecionados e a frequência da 
recolha e análise de dados. Para as PME (Pequenas e Médias Empresas), o programa de 
medição menos abrangente de segurança serão suficientes, enquanto que as grandes 
empresas irão implementar e operar vários programas de medição de Segurança da 
Informação.
A única informação do Programa de Medição de Segurança pode ser suficiente para 
uma organização de pequeno porte, enquanto que para as grandes empresas à necessidade de 
vários programas de medição de Segurança da Informação.
29
A orientação fornecida por esta Norma irá resultar na produção de documentação que 
irá contribuir para demonstrar que a eficácia de controle está sendo medido e avaliado.
Esta norma é bem detalhada em termos de mecânica de processos de medição. Ela 
laboriosamente descreve como coletar "medidas básicas", a agregação de uso e cálculos 
matemáticos para gerar "medidas derivadas", e então aplicar técnicas de análise e critérios de 
decisão para criar "indicadores", utilizada para ajudar no SGSI. Infelizmente, ele não oferece 
muita orientação sobre quais medidas básicas, medidas derivadas ou indicadores pode 
realmente valer a pena em todo esse esforço.
Embora seja consensual que a orientação pragmática sobre métricas de segurança é 
extremamente necessário pela profissão e que complementam os padrões ISO27k restantes, 
este foi um projeto longo e difícil para a ISO / IEC JTC1/SC27. Em parte, isso ocorre porque 
o campo de métricas de segurança é bastante imaturo. Como com a norma ISO / IEC 27003, 
centenas de páginas de comentários dos organismos nacionais foram recebidos ainda na fase 
final FCD e poucos foram resolvidas antes da publicação. Parece provável que muitos 
comentários terão de ser revistos em uma revisão pós-publicação da norma, embora isso não 
está planejado ...
4.1.5 ISO / IEC 27005 Tecnologia da informação – Técnicas de 
Segurança – Gerenciamento de Risco em Segurança da Informação
Conhecida internacionalmente como ISO/IEC 27005 Information technology – 
Security Techniques - Information security risk management, esta norma suporta os 
conceitos gerais especificados na norma ISO/IEC 27001 e é projetado para auxiliar a 
implementação satisfatória de segurança da informação com base em uma abordagem de 
gestão de risco, esta norma ajuda a organização a definir seu modelo de gerenciamento de 
risco.
É aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, 
agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos 
que poderiam comprometer a segurança de informação da organização.
Trata-se de um padrão pesado, embora a parte principal tem apenas 24 páginas, 
sendo o resto em sua maioria, anexos com exemplos e informações adicionais para os 
usuários.
30
Embora a norma defina risco como "uma combinação das conseqüências que se 
seguem derivadas da ocojrrência de um evento indesejado e da probabilidade de ocorrência 
do evento", o processo de análise de risco descritos na norma indica a necessidade de 
identificar os ativos de informação em risco, as ameaças potenciais ou fontes de ameaças, as 
vulnerabilidades potenciais e as potenciais consequências (impactos), se os riscos se 
materializar. Exemplos de ameaças, vulnerabilidades e impactos estão tabulados nos anexos, 
embora incompleta, estes podem ser úteis para os riscos relativos de ativos de informação 
sob avaliação. 
É clara a verificação que sistemas de segurança automatizados ferramentas de 
avaliação de vulnerabilidade sãoinsuficientes para a análise de risco, sem levar em conta 
outras vulnerabilidades além das ameaças e impactos: a simples existência de certas 
vulnerabilidades não significa necessariamente que sua organização enfrenta riscos 
inaceitáveis se as ameaças correspondentes ou impactos de negócios são insignificantes em 
determinadas situação particulares.
A norma inclui uma seção e anexo sobre a definição do âmbito e limites da gestão de 
riscos de segurança que deve ser o foco do SGSI.
A norma não especifica, recomenda ou mesmo nomeia um método específico, 
sistemático e rigoroso de análise de riscos até mesmo a criação do plano de gerenciamento 
de riscos.
O padrão deliberadamente permanece agnóstico2 sobre os métodos de avaliação 
quantitativa e qualitativa de risco, essencialmente, recomendando que os usuários escolham 
os métodos que melhor lhes convêm. Observe o plural - 'métodos' - o que implica que 
diferentes métodos podem ser utilizados, uma avaliação de risco de alto nível pode ser 
seguida por um aprofundamento na análise de risco nas áreas de alto risco. Os prós e contras 
dos métodos quantitativos de avaliação de risco são um pouco confuso nesta norma.
2 Questões metafísicas inacessíveis ao espírito humano por não serem passíveis de análise pela razão.
31
4.1.6 ISO / IEC 27006 A tecnologia da informação - Técnicas de 
segurança – Requisitos para organismos que prestem serviços de 
auditoria e certificação de sistemas de informação de gestão de 
segurança
Esta norma especifica os requisitos e fornece orientação para organismos que 
prestam auditoria e certificação de um sistema de gestão de segurança da informação (SGSI), 
além dos requisitos contidos na ISO/IEC 27001. É destinada principalmente a apoiar a 
acreditação de organismos de certificação que fornecem certificação em SGSI, sendo que as 
exigências contidas nesta norma precisam ser demonstradas em termos de competência e 
confiabilidade por qualquer organismo de certificação.
Estas certificações incluindo reuniões de informação, reuniões de planejamento, 
análise de documentos e acompanhamento de itens que não estão em conformidades com a 
norma. Organizar e participar como palestrante em cursos de formação, desde que, estes 
cursos digam respeito à gestão da segurança da informação e sistemas de gestão relacionados 
a auditoria. Os organismos de certificação devem limitar-se à prestação de informações 
genéricas e conselhos que estão disponíveis no domínio público.
As atividades de auditoria têm o único objetivo de determinar uma certificação, no 
entanto, tais atividades não deve resultar na prestação de recomendações ou conselhos, e sim 
agregar valor durante as auditorias de certificação e visitas de vigilância, através da 
identificação de oportunidades de melhoria sem recomendar soluções específicas.
O organismo de certificação deve ter critérios para a formação de equipes de 
auditoria que garante:
• O conhecimento do padrão do SGSI e outros documentos normativos 
pertinentes;
• A compreensão da segurança da informação;
• A compreensão da avaliação e gestão de riscos a partir da perspectiva de 
negócios;
• Conhecimento técnico da atividade a ser auditada;
• Conhecimento geral dos requisitos regulamentares pertinentes para ISMSs;
32
• Conhecimento de sistemas de gestão;
• A compreensão dos princípios de auditoria com base na ISO 19011;
• Conhecimento do SGSI revisão eficácia e avaliação da eficácia de controle.
Mas especificamente esta norma informa as características necessárias para a um 
profissional ou empresa que fornece certificação do SGSI, incluindo uma visão das 
competências dos auditores.
33
5 Classificação da informação
5.1 Introdução
O processo de classificação da informação consiste em identificar quais são os níveis 
de proteção que as informações demandam e estabelecer classes e formas de identificá-las. 
Além de determinar os controles de proteção necessários a cada uma delas
O fato de algumas informações demandarem mais proteções que outras cria dois 
cenários indesejáveis que as organizações buscam evitar:
Informações sensíveis ou críticas sem níveis de proteção adequado, geralmente 
incidentes de segurança que trazem prejuízos e comprometem a eficácia das operações;
Informações que não precisam de proteção, sendo protegidas de forma excessiva, 
consumindo recursos de forma desnecessária e direcionando erroneamente o escasso 
orçamento de segurança 
5.2 Proteção
 Quando adotamos uma visão de proteção focada unicamente nas ameaças e nas 
vulnerabilidades que um local o um sistema possuem, corremos um grande risco de não 
estarmos protegendo a informação mais criticas e sensíveis ao longo de todo o seu ciclo de 
vida. Esses ciclos possuem diversas fases, desde a criação e o descarte, passando pela 
manipulação, processamento, armazenamento etc. A melhor forma de protegermos as 
informações é justamente pela adoção de uma abordagem que analisa as demandas de 
segurança pela ótica do próprio ativo e suas necessidades. Dessa forma, podemos combinar 
diversos mecanismos e obtermos níveis de proteção uniformes independentes da forma como 
a informação está sendo usada 
34
5.3 Economia
Quando maior o nível de proteção que um controle oferece. Maiores são os custos 
financeiros em termos de aquisição e manutenção. Controles costumam trazer custos 
indiretos como perda de produtividade e outras inconveniências.
 Benefícios
O Processo de classificação da Informação traz diversos benefícios para uma 
organização. Dos benefícios mais tangíveis e mensuráveis podemos dizer :
5.3.1 Conscientização
O Programa de Classificação da Informação requer o envolvimento de praticamente 
de todas as pessoas dentro da organização. Esse envolvimento faz com que as pessoas 
tenham uma dimensão maior das dificuldades de proteger os ativos de informação e da 
infinidade de situações que podem comprometer essa proteção.
Responsabilidades – A Classificação da Informação necessita de uma divisão e 
atribuição de responsabilidades para poder trabalhar. Essas responsabilidades dizem a 
respeito a quem deve classificar, quem deve proteger e que cuidados os usuários devem 
tomar , entre outras coisas. A definição desses papeis distribui o peso da proteção entre os 
colaboradores de uma organização, fazendo com que todos fiquem responsáveis por ela.
 Níveis de proteção – A atribuição de responsabilidades e melhora da consciência dos 
colaboradores faz com que eles mesmos tragam situações que demandam proteção e que , 
muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteção. 
Ninguém conhece melhor o fluxo das informações que as pessoas que fazem uso delas
 Tomadas de decisões – Quando as informações são bem categorizados no ponto de 
vista da segurança, o processo de tomada de decisões, sejam relacionadas a Gestão de SI ou 
a própria organização, é extremamente beneficiada.
 Uso dos recursos – Recursos desperdiçado em um controle normalmente fazem falta 
em um outro lugar no qual, a organização terá uma situação inversa, isto é , falta de controle 
de informações criticas que estão armazenadas junto com outras que não precisam de 
proteção.
35
• Exemplos
As informações são classificadas mediante sua necessidade de sigilo. Porém uma 
organização também pode elaborar procedimentos para classificá-las perante suas 
necessidades de integridades e disponibilidades
 Decreto 4.553 – Casa Cível níveis de classificação em nível federal
 Cada nível de classificação é criado visando a um tipo de informação, temos que 
desenvolver critérios para avaliar uma informação 
 Exemplos de Rótulos
Governo Brasileiro Empresas Privadas3
Ultra-Secreto Irrestrita
Secreto Protegida
Confidencial Confidencial
Reservado Restrita
Irrestrita: Informação Pública (incluindo informações consideradas públicas pela 
legislação, ou através de uma política de divulgação de rotina). Disponível ao público, todos 
os funcionários, empreiteiros, subempreiteiros e agentes.
Protegida: Informação que é sensível para a empresa e precisa de ser protegida. 
Acesso autorizado (para funcionários, fornecedores, subcontratados e agentes). É uma 
informação necessária para realizar uma função ou trabalho: "need-to-know".
Confidencial: Informação mais sensível que está disponível apenas para uma função 
específica ou grupo específico de pessoas.
Restringido: Informação que é altamente sensível e está disponível apenas para 
indivíduos específicos (ou posições específicas).
3 Este padrão é utilizado pelo Public Sector CIO Council (PSCIOC, 2004) do Canadá.
36
5.4 Conceitos
5.4.1 Política de Classificação da Informação 
A Classificação da Informação deve ser constituída por uma política , nesse caso a 
Política de Classificação da informação é o nome utilizado para refenciar o conjunto de 
normas , procedimento e instruções existente na política de Segurança da Informação
Por meio do uso dessa política é que definimos quais os tipos de classificação 
existentes, com seus respectivos critérios de avaliação e proteção, além das 
responsabilidades associados ao processo como um todo. O conjunto de documentos que tem 
apoio direto de alta direção da organização , permitira mostrar comprometimento e definirá 
todo o funcionamento das atividades relacionadas à Classificação da informação
Need-to-Know – Define a necessidade que uma pessoa possui , devido à rotina diária 
de trabalho e desempenho de suas funções, de acessar determinadas informações. Essa 
terminologia foi criado no ambiente militar / governo, podemos utiliza-las para fazer 
referência . A necessidade que usuários de uma organização possuem de acessar certas 
informações. Esse conceito é fundamental ara entendermos Least privilege
Least Privilege – São todas as pessoas devem ter todos os direitos de acesso 
necessários para o desempenho de suas funções . Porém , nada mais que o mínimo deve ser 
permitido , Quando maior a exposição maiores serão os riscos associados a ela. O conceito 
de need-to-know , postulando que o conceito de privilégio mínimo é garantir a todos os 
usuários que não tenham acesso a nada que não faça parte de seu nedd-to-know.
5.4.2 Classificação, Desclassificação e Reclassificação.
Os dois procedimentos básicos da Classificação da Informações são a Classificação e 
a Desclassificação das informações
Classificações – Atribuir um nível de classificação a um informação , Faz com que as 
informações passe a se sujeitar às proteções especificas pelo nível de classificação 
escolhido . Algumas organizações optam por criar um nível de classificação onde, a partir da 
implementação do progrma de CI, todas as informações da organização passam a se 
37
enquadrar nesse nível. Não existe o estado “ não-classificado” , eliminando o processo de 
classificaçõe e desclassificação. Nesse caso o procedimento de reclassificação é permitido.
Reclassificação – Alteração no nível classificação de um informação . São nível de 
proteção mais baixa, de forma a evitar o comprometimento da confidencialidade
Desclassificação – Remoção do nível de proteção. Aplicável apenas quando o estado 
“não-classificado” for previsto . Pode ser feita de forma automática, o prazo cairia de alguns 
anos para o níveis mais baixos de classificação até décadas para os mais altos no setor 
governamental
5.4.3 Papéis de Responsabilidades
Uma das principais funções da Classificação da informação é definir e atribuir 
responsabilidades relacionadas a segurança diversas pessoas dentro de uma organização . 
Esses papeis e responsabilidades variam de acordo com a relação que a pessoa tem com a 
informação em questão.
Proprietário da Informação – É responsabilidade do proprietário atribuir os níveis de 
classificação que uma informação demanda. Dessa forma ele também será participado do 
processo de escolha dos níveis de proteção e será também exposto ao processo de balancear 
as necessidades de proteção, com a facilidade de uso e o orçamento disponível para se 
investir em controles.
Exemplo : O papel de dono normalmente deve ser exercido por um gerente da área 
cujas informações são de sua responsabilidade direta
Umas das responsabilidades do dono são a classificação /reclassificação 
/desclassificação das informações, definir requisitos de proteção para cada nível de 
classificação,, autorizar pedidos de acesso a informações de sua propriedade e autorizar a 
divulgação de informações
Custodiante – É aquele que zela pelo armazenamento e preservação de informações 
que não lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de 
Arquivos ou cofres para armazenamento de ativos valiosos .
Existe dois tipos de Custodiante :
38
a) O proprietário de Aplicação – Um profissional de perfil técnico responsável pela 
administração e funcionamento de algum sistema , cabe a ele protegê-las e garantir que 
enquanto eles se encontrem sob sua responsabilidade os requisitos da classificação em 
termos de proteção estejam sendo obedecidos.
b) O proprietário do Processo - É a pessoa responsável pelo processo de negócio, um 
exemplo é um processo de emissão de nota fiscal , que são informações sendo geradas e 
processadas ao longo do seu funcionamento.
Equipe de segurança – é o ponto de apoio das unidades de negócios de forma de 
desenvolver, implementar e monitorar estratégias de segurança que atendem aos objetivos da 
organização, responsável pela avaliação e seleção de controles apropriados para oferecer as 
informações os níveis de proteção exigidos por cada classificação . Esse equipe não pode 
assumir a total responsabilidade pela proteção, já que deve ser compartilhada por todos. 
Cabe ela sim selecionar os melhores controles, conscientizar os usuários a respeito do seu 
uso, administrá-los e monitorá-las, além de verificar se todos na organização colaboram com 
as medidas.
Gerente de Usuários – Responde pela ação de grupos de usuários de sua 
responsabilidade, além dos funcionários reponde pela ação dos visitantes, prestadores de 
serviços que fazem o uso de informações da organização
Desempenha outro papel fundamental que é a solicitação, transferência e revogação 
de IDs de acesso para os seus funcionários.
Usuário Final – Pessoal que faz uso constante das informações e o que mais tem 
contato com elas , é o responsável pelo seguimento das recomendações de segurança.
39
6 ROSI
Antes de gastar dinheiro em um produto ou serviço, tomadores de decisão querem 
saber que o investimento é financeiramente justificado. Segurança da Informação não é 
diferente - ela tem de fazer sentido para os negócios. 
O que os gerentes ou empresários precisam são métricas de seguras que mostram 
como o impacto das despesas em segurança vão retornar. Não há nenhum possibilidade de 
implementação de uma solução se o seu verdadeiro custo é maior do que a exposição ao 
risco. Sonnenreich et all apresentam um modelo para calcular o valor financeiro das despesas 
de segurança, indicando as técnicas para obtenção das informações necessários para 
estabelecer um modelo.
O Retorno Sobre investimento (ROI), foi criado para resolver estratégias de 
investimento alternativas. Por exemplo, uma empresa pode usar o ROI como um fator para 
decidir se vai investir em desenvolver uma nova tecnologia ou estender as capacidades do 
seu parque com a tecnologia existente.
Re _ _ _
_ _
torno esperado Custo do Investimento
ROICusto do Investimento
−=
Uma equação simples para calcular o Retorno Sobre o Investimento Segurança da 
informação (ROSI) é como se segue:
( _ _ )*(Pr _ _ Pr ) _ _
_ _
Custo do Incidente obabilidade de evinir Custo de Solução
ROSI
Custo de Solução
−=
O exemplo a seguir mostra o funcionamento desta equação.
Supondo um aempresa que fature R$ 100.000/mes. A mesma foi infectada por 4 
virus em um ano, causando uma parada de 1 dia a cada evento. A probabilidade de prevenir 
40
este incidente através do escaner de virus é de 75%. o custo de solução é de 5.000,00 qual o 
retorno sobre o investimento?
R$100.000/22 = R$4.545/dia*4 = R$ 18.180,00
Dividir o faturamento messal pelo número de dias trabalhados e multiplicar pelo 
número de dias em que a empresa ficou inoperante, chega-se ao valor aproximado de 
R$18.000,00 (dezoito mil reais).
A probabilidade de prevenir o evento é de 75%
18.180*0,75 5.000 / 5.000 1,727ROSI = − =
O custo com o escaner de virus parece valer a pena mesmo com uma probabilidade 
de 75% de detecção, pois existe um retorno sobre o investimento de 173% em um ano.
Chegar com valor significativo como no exemplo para o calculo do ROSI não é tao 
simples. Não existe um modelo padrão para determinar o risco financeiro associado ao 
incidente de segurança, nem mesmo um modo de mitigar o risco. 
Existem algumas técnicas para medir exposição ao risco, mas não são precisas e 
variam muito para empresas diferentes.
Existe como de calcular o ROSI se os dados subjacentes são impreciso? 
Aparentemente sim, já que algumas indústrias tiveram sucesso usando as métricas 
imprecisas do ROI por décadas. O indústria da publicidade é um exemplo. Anúncios são 
pagos com base no número de telespectadores potenciais, que é muitas vezes extrapoladas a 
partir de dados de circulação e demografia. Os compradores de anúncios supõe que o 
verdadeiro número de espectadores de anúncios está diretamente correlacionado com o 
número de potenciais espectadores, se a base espectador duplica, aproximadamente o dobro 
de pessoas provavelmente verá o anúncio. Portanto, mesmo que nunca venhamos a saber o 
verdadeiro número de espectadores, os compradores de anúncios podem, contudo, fazer 
decisões de compra baseados em outras medições mais confiáveis.
Se o método para a determinação do ROSI puder ser repetido e obter resultados 
consistentes, então pode servir como uma ferramenta útil para comparar soluções de 
segurança baseadas em valor relativo. Na ausência de precisão, uma abordagem alternativa é 
41
a de encontrar medições consistentes para os factores do ROSI que retornam resultados 
comparavelmente significativos.
6.1 Quantificação da Exposição ao Risco
É importante para a empresa quantificar e mitigar os riscos para justificar o ROSI. 
Em circunstâncias normais, as soluções de segurança não criam diretamente qualquer valor 
tangível, ao contrário, elas evitam as perdas. A perda pode ser evitada se for conhecida pela 
a empresa. 
Um método analítico simples de calcular a exposição ao risco é multiplicar o custo 
projetado de um incidente de segurança (Single Loss Exposure, or SLE) com a sua taxa 
anual estimada de ocorrência (Annual Rate of Occurrence ARO). O valor resultante é 
chamado de perda anual por exposição (Annual Loss Exposure ALE).
*ALE SLE ARO=
Embora não existam métodos padronizados para estimar SLE ou ARO, existem 
tabelas que dão valores médios estatísticos de danos com base em relatórios do mundo real. 
Essas tabelas são criadas a partir de dados de reclamação de seguro, a pesquisa acadêmica, 
ou pesquisas independentes.
Infelizmente, os métodos utilizados para calcular estes custos variam de empresa para 
empresa. Por exemplo, uma empresa pode valorizar um laptop roubado pelo seu custo de 
substituição. Outra pode levar em consideração a perda de produtividade e tempo de suporte 
de TI, e outro ainda pode levar em consideração os custos de perda de propriedade 
intelectual. Como resultado, algumas empresas avaliam um roubo de laptop de RS $ 3000; 
outras podem colocá-lo como R$ 100.000. O número final é mais susceptível de ser 
influenciado por fatores de negócio (quanto o segura irá reembolsar, quais são as 
implicações fiscais, este impacto vai gerar uma grande perda no preço das ações) do que pela 
realidade financeira.
Um custo potencialmente significativa é a perda de informações altamente 
confidenciais.como sua propriedade intelectual, uma violação de segurança. O roubo de 
informações pode criar uma perda significativa para os negócios, mesmo não impactando a 
produtividade. O custo de um incidente de segurança neste caso é o valor estimado da 
propriedade intelectual que está em risco.
42
6.2 Perda de Produtividade
É possível realizar uma avaliação do tempo de paralisação para estimar a perda de 
produtividade associada com um incidente que ainda não tenha acontecido. Se uma 
organização quiser prever o impacto de um vírus, ela pode realizar uma avaliação do tempo 
de inatividade. O resultado seria um intervalo de perda de produtividade potencial, o que 
poderia ser usado para calcular um ROSI máximo e mínimo para uma solução de prevenção 
de um vírus. Uma ferramenta útil para este tipo de análise é uma simulação Monte Carlo, 
que automatiza o processo de variar um certo número de variáveis, ao mesmo tempo e 
retorna uma gama de resultados potenciais.
Outra avaliação útil é sobre o tempo de inatividade quando se examina o impacto 
geral da segurança na produtividade organizacional.
O Retorno sobre o Investimento de Segurança equação assume um novo significado 
se a perda de produtividade diária for usada como a figura de exposição ao risco. A idéia é 
que uma organização altamente segura terá menos incidente de segurança, menores falhas 
técnicas e portanto menos perda de produtividade.
A produtividade é importante porque a segurança vem quase sempre às custas de 
conveniências. A maioria das soluções de segurança acabam criando obstáculos que os 
funcionários precisam de saltar para fazer seus trabalhos. Dependendo do tamanho e 
frequência destes obstáculos, o custo perda de produtividade pode aumentar muito. A Tabela 
6.1 mostra como o tempo pode facilmente ser perdido devido a problemas criados pelas 
soluções próprias destinadas a corrigir problemas de segurança.
Perda de produtividade pode ter um sério impacto sobre a o custo do investimento em 
segurança. Apenas dez minutos de inatividade por dia por funcionário pode adicionar uma 
quantidade significativa de custo
Exemplo: Uma empresa com 20 funcionários que aplicou um sistema de filtragem de 
e-mail que gera 15 minutos de perda de produtividade por dia por funcionário em um ano 
(240 dias úteis) terá 800 horas perdidas.
43
_ _ 20*15*240 40.000 800total de perda ou horas por ano= =
Supondo de R$ 11,50 o custo da hora por funcionário,
800*11,50 $9.200,00R=
Terá portanto uma perda adicional de R$ 9.200,00 por ano
Tabela 6.1 Fatores que afetam a produtividade
Problema
Tempo médio de Para-
da (em Minutes)
Falhas de aplicação e do sistema 10
E-mail filtragem, classificação e spam 15
Eficiência de largura de banda e a transferência real 10
Ineficientes e ineficazes políticas de segurança 10
Execução de políticas de segurança 10
Relacionados com o sistema: fora de operação e upgrades para TI 10
Os patches de segurança para sistemas operacionais e aplicativos 10
Topologia de rede inseguras e ineficientes 15
Vírus, verificação de vírus 10
Worms 10
Cavalo de Tróia 10
Spyware, 10
Anúncios pop-up 10
Problemas de compatibilidade de hardware e software15
Permissões baseadas em problemas de segurança (usuário / senha) 15
Desorganização do sistema de arquivos 10
Dados corrompidos ou inacessíveis 15
Informações hackeadas ou roubado e dados 15
Backup / restauração 15
Uso de problemas de aplicativos 15
Somando ao custo da solução a perda de produtividade, pos se trata de um custo 
adicional, o novo ROSI ficará da seguinte forma:
18.180*0,75 (5.000 9.200) /(5.000 9.200) 0,03ROSI = − + + = −
Ou seja, não compensa o investimento.
Investimentos em segurança são feitas após análise adequada dos requisitos de 
segurança, avaliações de risco, desempenho do produto, fornecedor e mais importante, o 
alinhamento do plano de segurança para os objetivos gerais do negócio.
44
A segurança deve ser considerada como um negócio capacitador não como um 
inibidor. Justificar o custo da segurança é uma questão de garantir que a tecnologia permitirá 
que a política de segurança e procedimentos está alinhada diretamente com os objetivos de 
negócio. 
Nenhum evento ou solução de segurança é isolado dos outros.
45
7 Descarte e Sanitização de Mídias
Decisões de descartar Informação ou sanitizar dispositivos de armazenamento 
ocorrem durante todo o ciclo de vida do sistema. Quando uma midia é descartada, é 
responsabilidade do dono da informalção armazenada, ou de um departamento (normalmente 
o departamento de T.I), sanitizar a midia (apagar todos os dados nela contidos).
A informação armazenada na mídia possui uma classificação de segurança que 
muitas vezes revisitada e revalidada ao longo da vida do sistema, e as alterações necessárias 
para a classificar confidencialidade pode ser alterada. Uma vez que a qualificação de 
segurança estiver concluída, o proprietário do sistema pode então projetar um processo de 
higienização que irá garantir uma protecção adequada das informações do sistema.
Muita da informação não está associado com um sistema específico, mas está 
associado com as comunicações de negócios internos, normalmente sobre o papel. As 
organizações devem rotular estes meios de comunicação com suas classificações de 
funcionamento interno e associar um tipo de sanitização.
Fatores críticos que afetam o descarte de informações e sanitização de mídia são 
decididos no início do desenvolvimento de um sistema. Os requisitos iniciais do sistema 
devem incluir especificações de hardware e software, bem como documentos de 
interconexões de rede e fluxo de dados que irão ajudar o proprietário da informação a 
identificar os tipos de mídia utilizados no sistema. As especificações devem ser feitas 
durante a fase de especificação de quais tipos mídia serão usadas para criar, capturar 
armazenar ou transferêrir de informações utilizadas pelo sistema. Esta análise, equilibrando 
as necessidades de negócio e de risco à confidencialidade, irá formalizar os meios de 
comunicação que serão considerados para o sistema em conformidade com FIPS 200, 
Minimum Security Requirements for Federal Information and Information Systems..
Sanitização das mídias e disponibilização das informações geralmente é mais intensa 
durante a fase de eliminação no ciclo de vida do sistema ou da própria informação. No 
entanto, durante a vida de um sistema de informação, muitos equipamentos contendo dados 
serão transferidos para fora do controle da organização. Esta atividade pode ocorrer por 
46
motivos de manutenção, atualizações de sistema, ou durante uma atualização de 
configuração.
Sanitização de mídia é um elemento chave para garantia de confidencialidade ou seja 
preservar restrições de acesso e divulgação de informações, incluindo os meios para proteger 
a privacidade pessoal e das. Uma fonte muitas vezes rica de informação são os lixos, os 
“dumpster diving” ou mergulhadores de contêineres se especializam em reviar papeis 
descartados por enpresas. As mídia impressas fluem para dentro e fora das organizações 
muitas vezes sem controle através de lixeiras em formulário de papel. Esta vulnerabilidade 
potencial pode ser mitigado através da compreensão adequada de onde a informação está 
armazenada, o que é informação e como protegê-la.
7.1 Tipos de Mídia
Existem dois tipos primários de mídia comunmente utilizados:
Cópia fisica: é a representação fisica da informação. Impressões em papel, 
impressora, fax e fitas, estes tipos de midia costumam ser menos controladas. Informações 
jogadas nas lixeiras e contêineres de lixo expõe uma vulnerabilidade significativa para os 
“dumpster diving”, e funcionários curious, levando a divulgações acidentais de informação.
Cópia eletronica: são os bits e bytes contidos em discos rígidos, memória de acesso 
aleatório (RAM), Read-Only Memory (ROM), discos, dispositivos de memória, telefones, 
aparelhos de computação móvel, equipamentos de rede, e muitos outros tipos.
7.2 Tendências das mídias de armazenamento
As tecnologias utilizadas na computação e armazenamento de dados mudam muito e 
rapidamente. Novas tecnologias procuram aumentar a taxa de tranferencia e diminuir o 
tamanho. Essas novas tecnologias necessitam melhores praticas de sanitização para purgar os 
dados nelas contidos.
Para ter uma idéia, os discos flexíveis(flop disk), podem ter sua informação 
recuperada após ter sido totalmente sobrescrito com zeros. Já os discos rígidos produzidos a 
partir de 2001, maiores que 15 GB podem ser purgados com uma única regavação devido a 
dencidade das mídias, segundo o nist(2008) e Hughes(2007).
47
Nos EUA existem várias leis que dizem respeito a confidencialização dos dados e 
sanitização em dispositivos de armazenamento Ex: Health Information Portability and 
Acountability (ato de portabilidade e Responsabilidade de informações sobre saúde), uma 
empresa qe se encontra em descumprimento com as praticas de segurança da HiPAA poderá 
sofrer uma multa de U$250.000 e enfrentar 10 anos de prisão.
7.3 Tecnologias Emergentes
Armazenamento holográfico: Armazena dados em uma imagem 3D, é criada 
passando o laser através de cristais sensíveis que mantém os padrões de luz. Os 
pesquisadores acreditam que blocos de dados com 1cm³ podem armazenar 10GB
SSD Solid –State drive (unidade de armazenamento de estado sólido), armazenam 
dados em circuito integrado semicondutores. A família SSD 320 da Intel tem capacdade de 
40, 80 , 120, 160, 300 e 600GB, já a IBM está testando um dispositivo SSD de 4 Terabyte.
Memória molecular. Armazenamentos de dados usando uma proteína chamada 
bacteriorodopsina. Um laser pode alterar a proteína para bR (0 estado) para Q (1 estado), o 
que torna uma porta ideal de armazenamento e dados, ou flip-flop. Memória molecular é 
barata de produzir e pode operar sobre uma ampla gama de temperaturas comparando com a 
memória de semicondutor. Uma molécula muda de estado dentro de microssegundos; os 
passos combinados para ler ou escrever demora cerca de 10 milissegundos. Isso pode parecer 
lento. No entanto, como o armazenamento holográfico, este dispositivo obtém páginas de 
dados em paralelo, de modo uma velocidade de transferência 10 Mbps é possível.
7.4 Tipos de Sanitização
A chave para decidir a forma de gerenciar mídia em uma organização é a primeiro 
considerar a informação, então o tipo de mídia. A segurança da informação juntamente com 
com fatores ambientais devem conduzir as decisões sobre como lidar com a mídia.
Novamente, a chave é a primeira pensar em termos de confidencialidade da 
informação, em seguida, por tipo de mídia. Nas organizações algumas informação podem 
não estar associado a qualquer sistema de classificação. Esta informação em muitos casos 
são comunicações internas, tais comomemorandos, artigos ou apresentações. Em alguns 
casos esta informação pode ser considerada sensível. Exemplos podem ser as cartas internas 
48
disciplinares, negociações financeiras ou salário, ou atas de reuniões de estratégia. As 
organizações devem rotular estes meios de comunicação interno com suas classificações de 
funcionamento interno e associar um tipo de sanitização.
Existem diferentes tipos de sanitização para cada tipo de mídia. Inicialmente a 
sanitização de mídia pode ser dividida em quatro categorias: eliminação, limpeza, expurgo e 
destruição. 
7.4.1 Eliminação
As mídias são jogadas fora sem nenhum tratamento especial dado a ela, pois as 
informações contidas não teriam nenhum impacto sobre a missão da organização ou seja, 
sua eliminação não resultaria em danos aos ativos organizacionais, não resultaria em perda 
financeira ou seria, não resultaria em prejuízo para todos os indivíduos. 
A eliminação não é tecnicamente um tipo de sanitização mas é um método válido 
para manuseio de mídia contendo informações não confidenciais, ela é mencionado para 
indicar que as organizações simplesmente eliminaram as mídia.
A eliminação é o ato de descartar a mídia sem considerações de sanitização. Isso 
geralmente é feito através da reciclagem de papel que contém informações não 
confidenciais, mas pode também incluir outras mídias.
7.4.2 Limpeza Digital
O processo de destruição de dados de é recomendado para os seguintes casos:
• Os sistemas de computadores pessoais, o usuário se procupa em proteger seus dados 
contra roubo de identidade, assegurando que todos os dados pessoais são eliminados 
antes do computador ser vendido ou reutilizado.
• Projetos que envolvem um pequeno número de unidades de disco rígido
• Situações em que há baixo risco de ataque avançado de laboratório de recuperação 
de dados
49
A limpeza digital não deve permitir que a informação possa ser recuperada através 
utilitários de recuperação de arquivos como “keyboard attack”. A regravação é um método 
aceitável para a limpeza digital de mídia de armazenamento.
Existem harware e software que reescrevem o conteudo das midias com dados não 
sensíveis. Este processo pode incluir a substituição não só do local de armazenamento lógico 
de um arquivo (s) (por exemplo, a tabela de alocação de arquivos), mas também pode incluir 
todos os locais endereçáveis. O objectivo do processo de segurança é substituir os dados 
gravados por dados aleatórios. Substituições não pode ser usada para as mídias danificadas 
ou não gravável.
O tipo de mídia e tamanho pode influenciar na sanitização, estudos têm demonstrado 
que a maior parte dos meios de armazenamento de hoje podem ser eficazmente sanitizado 
por uma única regravação.
7.4.3 Purgar
Purgar a informação é um processo de sanitização de mídia que protege a 
confidencialidade das informações contra um ataque de laboratório. Para algumas mídias a 
mídia limpeza é suficiente para purgar as informações contidas. No entanto, para unidades 
de disco ATA fabricado depois de 2001 (mais de 15 GB) os termos limpesa digital e purga 
convergem..
Opurgar as informações é um processo de processo de destruição recomendado para 
os seguintes casos:
• Computadores de empresa ou qualquer computador que contém informações 
de funcionários, informações de clientes ou quaisquer outros dados sensíveis.
• Quando a responsabilidade pelo tratamento e descarte adequado da informação 
sensível é uma preocupação
• Projetos que envolvem um grande número de discos rígidos
• O processo de destruição deve ser capaz de proteger contra tentativas 
sofisticadas de laboratório para recuperação de dados
50
Um ataque de laboratório envolveria uma ameaça com os recursos e conhecimentos 
para utilizar sistemas não padronizados para realizar tentativas de recuperação de dados em 
mídia fora do seu ambiente operacional normal. Este tipo de ataque envolve o uso de 
equipamentos de processamento de sinal e pessoal especialmente treinado.
Executar o comando “Secure Erase” (apenas para drives ATA) e desmagnetização 
são exemplos de métodos aceitáveis para purgar as informações. Desmagnetização de 
qualquer disco rígido normalmente destrói a unidade bem como o firmware que gerencia o 
dispositivo (trilha de localização). A desmagnetização é expor os meios magnéticos de um 
forte campo magnético, a fim de interromper os domínios magnéticos gravados. Um 
desmagnetizador é um dispositivo que gera um campo magnético utilizado para esterilizar 
meios magnéticos. Desmagnetizadores são classificados com base no tipo (energia, isto é, 
baixa ou alta energia) de meios magnéticos podem purga. 
Desmagnetizadores operam utilizando uma ímã permanente forte ou uma bobina 
eletromagnética. A desmagnetização pode ser um método eficaz para purgar mídias 
danificadas, mídia com capacidades de armazenamento excepcionalmente grandes, ou para a 
rápida sanitização de disquetes. A desmagnetização não é eficaz para purgar mídia não 
magnéticos, tais como mídias ópticas como discos compactos (CD DVD, etc).
7.4.4 Destruição
Destruição dos meios de armazenamento é a última forma de sanitização. Depois que 
as mídia são destruídos, eles não podem ser reutilizados como inicialmente previsto. A 
destruição física pode ser realizada utilizando uma variedade de métodos, incluindo a 
desintegração, a incineração, pulverização, trituração e fusão.
Se a destruição é decidida devido à classificação de alta segurança da informação ou 
devido a factores ambientais, qualquer meio residual deve ser capaz de resistir a um ataque 
de laboratório.
Incineração, desintegração, pulverização e fusão: Estes métodos de higienização 
projetados para destruir completamente as mídias. Eles são normalmente são realizadas por 
terceiros transformando em sucata metálica, essas atividades são realizadas de foorma eficaz, 
e com segurança.
51
Fragmentação: São trituradores de papel que podem ser usados para destruir mídias 
flexíveis, tais como disquetes, uma vez as mídias são fisicamente removidos de suas 
embalagens externas. O tamanho do fragmento deve ser pequeno o suficiente para que haja 
segurança razoável em proporção ao nível de confidencialidade de modo que a informação 
não pode ser reconstruída.
Meios de armazenamento ópticos incluindo discos compactos (CD, CD-RW, CD-R, 
CD-ROM), discos ópticos (DVD), e magneto-óptica (MO) devem ser fragmentado ou 
pulverização,
7.5 Fatores que Influenciam as Decisões de Sanitização
Vários fatores quando a tomada de decisões de sanitização devem ser considerados 
juntamente com a classificação da informação e da confidencialidade do sistema. O custo 
versus benefício de um processo de sanitização de mídia deve ser entendido antes de uma 
decisão final. Por exemplo, pode não ser rentável desmagnetizar uma mídia de baixo custo, 
tais como disquetes. A destruição pode ser a solução recomendada quato comparado com o 
custo efetivo de uma formação (considerando, monitoramento, validação, etc) para destruir a 
mídia basta a documentação.
Indicada por uma avaliação do risco existente, a organizações podem aumentar o 
nível da sanitização aplicada se achar que é necessário.
As organizações devem considerar os seguintes fatores ambientais. Note que a lista 
não é completa:
• Que tipos (por exemplo, óptica não regravável, magnético) e tamanho (por 
exemplo, megabyte, gigabyte e terabyte) de armazenamento de mídia que a 
organização necessita sanitizar?
• Qual é a confidencialidade dos dados armazenados na mídia?
• Será que a mídia precisa ser processada em uma área controlada?
• processo de higienização será realizado dentro da organização ou terceirizada?
• Qual é o volume previsto de mídia a ser sanitizada, por tipo de mídia? 
52
• Qual é adisponibilidade de equipamentos de sanitização e ferramentas?
• Qual é o nível de especialização do pessoal, os equipamentos de higienização e 
as ferramentas necessárias?
• Quanto tempo vai levar sanitização?
• Que tipo de sanitização vai custar mais considerando, treinamento, ferramenta, 
validação e reentrada da mídia no fluxo de suprimentos?
As organizações podem usar o fluxograma da Figura 6 para ajudá-las na tomada de 
decisões de sanitização de acordo com a classificação da confidencialidade das informações 
contidas. O processo de decisão baseia-se na confidencialidade da informação, e não o tipo 
de mídia. Quando as organizações decidem que tipo de sanitização é melhor cada caso 
individual, então o tipo de mídia e a técnica utilizada vai influenciar para atingir o objetivo 
sanitização.
7.6 As decisões de Sanitização durante o ciclo de vida do sistema
A necessidade e os métodos para conduzir a sanitização das mídias devem ser 
identificadas e desenvolvidas antes de chegar a fase de eliminação das mesmas, durante o 
ciclo de vida do sistema. No início do desenvolvimento do sistema, quando o plano inicial de 
segurança é desenvolvido, controles de sanitização de mídia são documentados e 
implantados. 
Uma das principais decisões que afetarão a capacidade de conduzir uma sanitização é 
escolher qual mídia será utilizada no sistema. Embora esta seja mais uma decisão de 
negócio, os proprietários de sistemas devem entender desde cedo que esta decisão afeta os 
tipos de recursos necessários para higienização durante todo o resto do ciclo de vida do 
sistema.
As organizações devem tomar cuidado na identificação de meios para sanitização. 
Muitos itens usados conterão diversas formas de mídia que podem exigir diferentes métodos 
de higienização. Por exemplo, um computador pode conter uma unidade de disco rígido, 
RAM e ROM, e dispositivos móveis contêm memória volátil, bem como a memória não 
volátil removível na forma de um módulo SIM (Subscriber Identity).
53
7.6.1 Identificação da necessidade de Sanitização
Um dos primeiros passos para tomar é decidir se e quando existe a necessidade de 
sanear mídia.
54
Figura 6 Fluxograma de sanitização
Em todos os pontos no ciclo de vida do sistema, mídias que contêm as representações 
das informações contida no sistema são geradas. Estas mídia pode assumir diferentes formas, 
tais como impressões simples de dados, captura de tela, ou memória cache de atividades do 
usuário e das organizações. Este entendimento vai permitir que as organizações identifique 
quando há uma necessidade de realizar higienização adequada para a eliminação de mídia. 
Estas decisões sobre o descarte adequado pode ser tão simples como garantir a colocação de 
trituradores de papel nas áreas de trabalho durante o sistema em estado estacionário 
atividades ou de endereço destruindo equipamentos eletrônicos no final do seu ciclo de vida.
7.6.2 Reutilização de Mídia
Uma decisão-chave em sanitização é se as mídias estão planejadas para reutilização 
ou reciclagem. Muitas vezes, algumas formas de mídia são reutilizadas para conservar 
recursos de uma organização.
Se as mídias não estão destinadas a ser reutilizadas dentro ou fora da organização 
devido a danos armazenados ou outra razão, o método mais simples e com melhor custo-
benefício de controle pode ser destruição.
7.7 Controle da Mídia
Um fator que influencia uma decisão sanitização organizacional é quem tem o 
controle e acesso à mídia. Este aspecto deve ser considerado quando a mídia deixa a 
organização. O controle da mídia pode ser transferido quando esta é devolvida a partir de um 
contrato de locação, está sendo doada ou revendida para ser reutilizado fora da organização. 
Os seguintes são exemplos de controlo:
55
7.7.1 Sob Controle da Organização 
As mídias que estão sendo entregue para a manutenção ainda são considerados sob 
controle da organização se os acordos contratuais em vigor com a organização e o provedor 
de manutenção especificamente prevê a confidencialidade da informação.
Manutenção quando realizada nas locações de uma organização, sob a supervisão da 
organização, por um fornecedor de serviço de manutenção também está sob o controle da 
organização.
7.7.2 Não está sob controle Organização
A mídia que estão sendo trocados por garantia, desconto de custo, ou outros fins 
específicos, onde não serão devolvidos à organização são considerados fora de controle 
organizacional.
7.8 Documentação
É fundamental que uma organização mantenha um registro de suas sanitizações para 
documentar qual mídia foi higienizada, quando e como foi realizado o processo. Muitas 
vezes quando uma organização é suspeita de perder o controle da informação, é por causa do 
registro inadequada manutenção de sanitização da mídia.
As organizações devem assegurar que os funcionários de que gerenciam ou 
supervisionam o controle de sanitização estão incluídos na documentação do processo, a fim 
de estabelecer uma responsabilização adequada e controle de estoque.
Um formulário de exemplo para as organizações é apresentado na tabela 3.
Tabela 3 Formulário para documentação de sanitização
Organização: _______________________________________________________
Descrição do item: ___________________________________________________
Marca / Modelo: _____________________________________________________
Número de Série (s) / Número de Propriedade (s): ___________________________
 Backup feito da Informação: Sim ( ) Não ( )
Se Sim, Localização Backup: ___________________________________________
Método: Eliminação ( )
Limpesa digital ( )
56
 Purgar ( ) 
 Destruição ( ) 
Conduzido por: ________________
Validado por: _________________
Método de sanitização utilizado:__________________________________________
Destino Final: Reutilizada internamente ( )
Reutilizada Externamente ( )
 Devolvido ao fabricante ( )
 Outros: _________________________________
Tabela 4 Matriz de Sanitização
Tipo de Mídia Limpeza Digital Purgar Destruição Física
Cópias Físicas
Papel e microfichas Destruição física. Destruição física. Utilizar picotadores com corte trans-
versal que produzem partículas de 1 x 
5 milímetros de tamanho.
Destruir as microfichas (microfilmes, 
microfichas ou outros negativos de 
fotos reduzidas de imagens) através 
da queima. Quando o material é quei-
mado, o resíduo deve ser reduzido a 
cinzas
Dispositivos móveis
Telefone Celular Excluir manualmente to-
das as informações, 
como as chamadas reali-
zadas, números de telefo-
ne, em seguida, executar 
os procedimentos defini-
dos pelo fabricante.
Mesmo que Limpeza Digi-
tal.
Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
Personal Digital Assistant 
(PDA) (Palm, PocketPC, outros 
)
Excluir manualmente to-
das as informações e em 
seguida executar um 
hard reset de acordo com 
o fabricante para levar o 
PDA ao estado de fábri-
ca.
Mesmo que Limpeza Digi-
tal.
Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
Dispositivos de Rede
Routers (home, home office e 
empresarial)
Execute um reset total 
para redefinir o roteador 
com as configurações pa-
drão de fábrica.
Mesmo que Limpeza Digi-
tal.
Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
Equipamentos
Copiadoras Execute um reset total 
para redefinir a copiado-
ra com as configurações 
padrão de fábrica.
Mesmo que Limpeza Digi-
tal.
Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
Discos Magnéticos
Floppies Sobrescrever a mídia 
usando software aprova-
do pela agência de e vali-
dação ou pela empresa.
Desmagnetizadores Desintegrar, pulverizar ou incinerar 
pela queima os floppiesem um inci-
nerador autorizado.
57
Disco Rígido Sobrescrever mídia usan-
do tecnologias / 
métodos / ferramentas 
aprovado e validado.
1. Purgar usando o software 
“Secure Erase” da Universi-
dade da Califórnia, San Die-
go local CMRR (UCSD).
2. Purgar o disco rígido por 
um desmagnetizador auto-
mático ou desmontar a uni-
dade de disco rígido e pur-
gar os discos. **
3. Limpar mídia usando tec-
nologias e ferramentas apro-
vadas.
** A desmagnetização qual-
quer disco rígido tornará a 
unidade permanentemente 
inutilizada.
Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
Fitas Magnéticas
Fita Cassette ou Magnetic Ta-
pes
Apagar as fitas magnéti-
cas por regravação (subs-
tituição) ou desmagneti-
zação. Apagar uma fita 
magnética por regrava-
ção (substituição) pode 
ser impraticável para a 
maioria das aplicações 
uma vez que o processo 
ocupa o quipamento por 
períodos de tempo exces-
sivos.
Desmagnetizar usando um 
desmagnetizador aprovado.
Purga por desmagnetização: 
Purge a fita magnética em 
qualquer desmagnetizador 
que limpe o sinal suficiente-
mente para impedir a repro-
dução. Purga por desmagne-
tização é um processo mais 
fácil
Incinerar pela queima das fitas em um 
incinerador autorizado.
Etapas preparatórias, como remover a 
fita do rolo ou cassete antes da des-
truição, são desnecessários. No entan-
to, a separação dos componentes (a 
fita e as bobinas ou cassetes) podem 
ser necessários para cumprir os requi-
sitos de uma instalação de destruição 
ou para a reciclagem de medidas.
Discos Ópticos
Cds e DVDs Destruição física. Destruição física. Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.Use dispositi-
vos trituradores ou desintegradores 
que reduzem a uma dimensão nomi-
nal de cinco milímetros 5 mm (25 
mm2).
Memorias
Compact Flash Drives, SDD Sobrescrever mídia usan-
do tecnologias, métodos 
e ferramentas aprovado e 
validado.
Destruição física. Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
Dynamic Random Access 
Memory (DRAM)
Purgar a DRAM desli-
gando o equipamento e 
removendo a bateria.
Mesmo que limpeza digital Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
Erasable Programmable ROM 
(EPROM)
Realizar de um expurgo 
utilizando luz ultravioleta 
de acordo com as reco-
mendações do fabricante, 
mas aumentar a exigên-
cia de tempo por um fa-
tor de 3.
2. Sobrescrever mídia 
usando tecnologias, mé-
todos e ferramentas apro-
vado e validado.
Mesmo que limpeza digital Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
RAM Purgar a DRAM desli-
gando o equipamento e 
removendo a bateria.
Mesmo que Limpeza Digi-
tal.
Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
ROM Destruição física. Destruição física. Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
58
USB Removable Media (Pen 
Drives, Flash Drives, Memory 
Sticks) 
Sobrescrever mídia usan-
do tecnologias, métodos 
e ferramentas aprovado e 
validado.
Mesmo que Limpeza Digi-
tal.
Desintegrar, pulverizar ou incinerar 
pela queima dos equipamentos em um 
incinerador autorizado.
59
8 Controle de acesso
O controle de acesso é um dos principais componentes do segurança da informação 
cujo objetivo principal é identificar o indivíduo ou usuário. Pode ser definido de varias 
formas, tais como: 
• Uma política: Conjunto de Regras que delimita operações de entrada a um 
determinado componente;
• Componente de software: Sistemas Operacionais, que dão permissões a arquivos e 
recursos, tais como Windows NT 4.0, Windows 2000 Active Directory, ou a família 
Novell NetWare com Novell Directory Services (NDS);
• Componentes de hardware: Cartões inteligentes, Tokens, dispositivos biométricos, 
roteadores, etc..
Tais definições são utilizadas para o mesmo objetivo, conceder ou negar privilégios 
ou acesso sobre determinado recurso ou aplicação. Existem três modelos básicos de controle 
de acesso do ponto de vista do sistema de tecnologia da informação:
MAC: Controle de Acesso Obrigatório (mandatory access control);
DAC: Controle de Acesso discricionário (discretionary access control);
RBAC: Controle de Acesso Baseado em Perfil de Usuario (role-based access 
control);
8.1 Controle de Acesso Obrigatório (MAC)
Controle de acesso geralmente utilizados em sistemas operacionais tais como: UNIX, 
Linux, sistemas baseados no Windows NT operacional da Microsoft, Open BSD dentre 
outros. Pode ser projetado de acordo com cada aplicação. Suas configurações de controle são 
codificadas pelo sistema operacional e não podem ser modificadas pelo usuário ou 
proprietário, apenas pelo “root” ou super usuário. Este tipo de controle apresenta vários níveis 
60
de privilégios de acesso definidos em vários níveis de acesso, e pode ser aplicada a todos os 
objetos.
8.2 Controle de Acesso Discricionário (DAC)
Controle de acesso onde o principal foco é o usuário ou um aplicativo criado pelo 
proprietário, tendo controle sobre um determinado objeto (Pastas, Arquivos, dentre outros). 
Ao contrario do MAC ele não oferece controle codificados, ou seja, ele não é 
automaticamente criado pelo Sistema Operacional.
8.3 Controle de Acesso Baseado em Perfil de Usuário (RBAC)
O conceito RBAC consiste na criação de grupos de usuários, sendo que cada grupo 
possuirá seus determinados privilégios de acesso, fazendo com que cada membro de 
determinado grupo tenha permissão de acesso somente ao que diz respeito ao seu grupo.
Isto permite uma centralização da função de controle de acesso, com indivíduos ou 
processos que estão sendo cadastrados, permitindo o acesso à rede e aos recursos definidos. 
Este tipo de controle de acesso exige mais custo de desenvolvimento, mas é superior ao 
MAC sendo mais flexível e capaz de ser redefinido com mais facilidade. RBAC também 
pode ser usado para conceder ou negar acesso a um determinado roteador ou protocolo 
exemplo: File Transfer Protocol (FTP), Telnet, entre outros.
8.3.1 Benefícios do RBAC
O modelo RBAC permite um ganho expressivo de produtividade administrativa, já 
que a mesma está relacionada com as permissões que são liberadas aos colaboradores para o 
acesso aos recursos, revisão e seleção para remoção de acessos que não são mais necessários 
do ponto de vista organizacional.
Segundo Ferraiolo (2003), o RBAC reforça a política de segurança corporativa e 
aprimora a segurança e integridade dos sistemas.
Além disto, o RBAC é capaz de impedir que a Política de Segurança implantada na 
organização seja violada, pois este modelo consegue mapear todas as estruturas 
organizacionais e de negócios da empresa, sendo assim todos os sistemas e informações 
61
presentes na empresa podem ser controladas de maneira mais rigorosa ficando suscetível a 
uma Política de Controle de Acesso.
No RBAC os usuários que tem mais por delegar quais são as responsabilidades que 
cada usuário terá dentro do seu ambiente de trabalho, além de informar ao mesmo qual serão 
as medidas tomadas em caso de descumprimento das regras estabelecidas para os usuários.
62
9 Segurança para Teleinformática e 
Comunicações
Segurança é uma necessidade básica dos seres humanos, especialmente na era da 
globalização, a mobilidade e dependência crescente de tecnologias de informação e 
comunicação pelas nações, a necessidade de segurança está se tornando cada vez mais 
pronunciada. Junto com a evolução das telecomunicações, novos tipos de ameaças à 
segurança têm surgido
O aumento da vulnerabilidade está forçando empresas a tomar medidas para evitar 
danos e minimizar o risco residual de segurança nas telecomunicações.Como os serviços de computação e telecomunicações evoluíram e fazem parte da 
vida diária nas ICT - Informação e Tecnologias das Comunicações, a segurança está sendo 
falada não só entre os especialistas, mas também nos governos, prestadores de serviços e 
pelos consumidores. Em todo o mundo, o governo e a indústria tornaram-se dependentes de 
redes de telecomunicações para suportar o negócio em todos os sectores econômicos mais 
importantes. Ao mesmo tempo, por causa da evolução tecnológica, política, regulamentação, 
atendimento ao cliente e implantações tecnológicas rápidas para atender as demandas do 
mercado, a rede pública de telefonia comutada ou RPTC está se tornando mais vulnerável a 
violações de segurança.
Que importância uma linha telefônica pode ter? Qual é o custo de uma chamada 
telefônica? Qual é o valor de uma chamada não atendida? Quanto você pagaria por 100% 
(cem por cento), de confiabilidade nas telecomunicações? Isso é mesmo possível?
Os meios de comunicação formam o aparato mais crítico que exige medidas de 
segurança de informações que está distribuído em todo o mundo na forma de redes de 
telecomunicações. Empresas e consumidores em geral estão conectados a três tipos de rede 
pública comutada não confiáveis: a rede pública de telefonia comutada, a rede de telefonia 
móvel e rede de longa distância (WAN) ou Internet. Telefones tradicionais conectam-se a 
RPTC para permitir chamadas de voz, modem e comunicações de fax, vídeo e 
teleconferências. Telefones celulares conectados a redes móveis para permitir comunicação 
63
de dados e voz em movimento. Computadores conectados as WANs ou na Internet para 
comunicação de dados e acesso à informação. Embora quase todas as empresas protejam 
suas redes internas com firewalls e tecnologias relacionadas, a responsabilidade central de 
possibilitar a comunicação pública está com as operadores de telecomunicações. 
Durante o planejamento dos procedimentos de segurança, é importante que seja um 
processo bem pensado desde o início do projeto da rede, sua operação, implementação e 
utilização. Durante a execução do processo de desenvolvimento de novas redes, a segurança 
deve ser sempre um elemento de trabalho inicial e não um pensamento para o futuro.
Acredita-se que a necessidade de segurança em telecomunicação exija um alto 
investimento e que sua implementação requer pessoal altamente qualificado. No entanto, 
isso pode não ser o caso frequênte. Os principais ingredientes do sucesso são o bom senso, 
bom planejamento, procedimentos organizacionais, diretrizes, um corpo técnico qualificado 
que habilmente observa os requisitos de segurança e disciplinada. A segurança não é um 
estado estático, mas um processo contínuo. A criação e implementação de uma diretriz de 
segurança efetiva de telecomunicações não precisa ser necessariamente cara.
Segurança de Comunicação significa que a informações fluirá apenas entre os pontos 
finais autorizados. Esta dimensão trata de medidas para controlar os fluxos de tráfego de 
rede para a prevenção do desvio de tráfego ou interceptação.
9.1 Private Branch Exchange (PBX)
A partir do armário de fios, grandes feixes de cabos se caminham para o equipamento 
da companhia telefônica.
Uma grande empresa utiliza um “Private Branch Exchange” (PBX) ou “Private 
Automatic Branch Exchange» (PABX). Um PBX substitui os grandes feixes de fios entre a 
operadora e a empresa privada. Os PBX proporciona comutação eletrônica de chamadas 
dentro do edifício. Uma maneira simples de pensar em um PBX é considerá-lo um 
computador de uso especial com todo o apoio às necessidades de um minicomputador. 
O PABX determina para onde as chamadas são destinados, a números de telefone 
internos ou externos e se conecta ao Escritório Central da empresa de telefonia local 
utilizando linhas “tronco”, pares de fio ou fibra. O número de linhas-tronco do PABX 
64
conectado ao Serviço Central determina o número máximo de ligações externas e internas 
(inbound ou outbound). Que o sistema é capaz de suportar em um dado 
9.2 Escritório central da companhia telefônica
Nos primeiros dias do telefone, tornou-se óbvio que cada pessoa não poderia ser 
ligada a todas as outras pessoas que eventualmente possam querer chamar. Isso resultaria em 
um labirinto impossível de fios. Para ligar para alguém novo, primeiro será preciso passar 
um fio de seu telefone para o outro telefone.
Para simplificar este problema, todas as linhas telefônicas foram direcionadas para 
um prédio central e em seguida, os telefonistas plugavam fisicamente a sua linha telefônica 
na central, fazendo conexão. Estes edifícios eram localizados em vários lugares ao redor da 
cidade e eram o lugar central de onde as conexões eram feitas. Eventualmente, a comutação 
automática tornou-se mais fácil, mas os edifícios que ainda eram necessários para mudar as 
chamadas. Em anos mais recentes com o advento dos circuitos de estado sólido, o espaço 
necessário para estes edifícios encolheu drasticamente. Pequenos edifícios sem janelas, 
geralmente com a grama bem aparada, e uma logomarca de telefone na porta da frente é 
uma pequena empresa telefônica.
O Escritório Central oferece um serviço similar ao seu PABX, passando sua chamada 
para outro local, para outro Escritório Central, ou para uma operadora de longa distância do 
Ponto de Presença (POP). A empresa de longa distância, em seguida, encaminha a chamada 
através de sua central de comutação a um distante Escritório Central e até a um telefone 
afastado.
Isso tudo parece muito simples. Afinal de contas, serviço de telefonia tem sido 
utilizada ha bem mais de 100 anos e sua tecnologia é bem conhecida. O que poderia dar 
errado?
65
9.3 Considerações necessárias para a Segurança em 
Teleinformática
9.3.1 Avaliação de Riscos
Com o conhecimento básico básico de como o sistema de telefone funciona, quais 
são os riscos para estes componentes? Existem os riscos naturais:
Tempestades de gelo e nevascas. O gelo pode revestir cabos amarrados em postes 
de telefone e, se o peso é grande o suficiente, pode levá-los para baixo.
Trovoadas e Relâmpago. Chuva severa pode enfraquecer o solo ao redor de um 
poste, o que pode ser a causa para se curvarem quando há ventos fortes. Relâmpago pode 
ocorrer nos postes de telefone e enviar uma grande quantidade de energia pela linha abaixo, 
queimando fios e equipamentos ao longo do caminho.
Tornados. Uma poderosa força destrutiva que pode arrebentar linhas telefônicas e 
até arrancar postes. Áreas de risco são os principais candidatas para as linhas enterradas.
Furacões e inundações. Pode cobrir uma grande área de terra e não só derrubar uma 
rede de telefone, mas também evitar que a equipe de manutenção resolva prontamente os 
problemas.
9.3.2 E os perigos gerados pelo homem:
Quebras de linhas enterradas. Às vezes é necessária intervenção de emergência 
(tais como a reparação de um gasoduto principal quebrados). Às vezes a limpeza do lixo 
para fora das valas ao lado da estrada. Às vezes, uma pessoa bem-intencionada apenas 
realiza escavações sem pedir licença (inclusive em sua própria propriedade). Em qualquer 
destes casos, existe a possibilidade de que o cabo minúsculo vai ser desenterrado e cortado.
Acidentes . Às vezes uma pessoa pode se perder em uma curva fechada quebrar um 
poste telefônico. Se esta é sua linha só para o escritório central, o serviço está indisponível 
até que o poste seja substituído.
66
Falha do escritório Central. Um problema em um escritório central pode 
rapidamente desligar as telecomunicações, a menos que você esteja ligado a uma segunda 
Central Telefônica
9.3.3 Os perigos da Sala de Equipamentos telefônicos
Temperaturas: que são muito quente, muito frio, afetam duramente aos 
equipamentos de comutação telefônica.As temperaturas extremas estressam os circuitos 
impressos. As grandes variações de temperatura (quente para o frio) a expansão e contração 
das placas de circuito, pode enfraquecer componentes ao longo do tempo.
Umidade tem um efeito sobre o crescimento do mofo no seu equipamento.
Falta de Energia Elétrica vai definitivamente parar um PBX. Os telefones públicos 
e linhas diretas para fora deve estar ainda em funcionamento uma vez que o circuito de 
telefone tenha sua própria energia
Entrada de Água nas linhas em sua sala PBX poderia escorrer água para o seu 
equipamento. O mesmo vale para os painéis de cabo. Tubos suspensos ao longo das paredes 
externas poderiam congelar,e quebrar no descongelamento. Vazamento de compressores de 
ar condicionado no último piso também são um problema.
Segurança . Esta sala não está configurada para acomodar turistas e eles não 
deveriam ser permitidos dentro. Mantenha a porta fechada o tempo todo.
Fogo. Este equipamento gera calor e está em perigo de incêndio Os extintores de 
incêndio podem causar danos aos equipamentos. Normalmente esta sala é autônoma e um 
fogo lento de partida pode passar despercebido. Gás de supressão de incêndio é caro, mas 
pode salvar o seu equipamento
Todas as empresas deve encontrar um bom equilíbrio entre o custo do serviço 
telefônico de confiança e do custo de downtime4. Em uma época de orçamentos apertados (o 
que é sempre), você deve balancear o custo dos serviços contratados e a potencial perda 
pelo serviço de telefonia. Por mais confiável que você deseja que o sua rede telefônica possa 
ser, mais você deve gastar para mantê-lo dessa maneira. O serviço telefônico é um ponto 
4 Downtime. Tempo de indisponibilidade do sistema.
67
central para a condução dos negócios na maioria das empresas. Uma falha aqui isola clientes 
e fornecedores da sua empresa.
Toda rede de telefone é projetada para transportar o tráfego de cerca de 10 por cento 
de todos os telefones em uma determinada área. Isto é aproximadamente sua carga em 
horário de pico. Quando ocorre um desastre em uma grande área, esta capacidade é 
rapidamente esgotada pelas chamadas de pessoas de todos os lugares para verificar se seus 
entes queridos estão bem. A rede de telefonia celular não se sae melhor porque elas também 
usam linhas de telefones fixos e tem o seu próprio limite de capacidade. No ambiente 
empresarial de hoje em ritmo acelerado, por quanto tempo sua empresa pode dar ao luxo de 
ficar sem serviço de telefone?
Os incidentes que podem acontecer a sua linha de comunicações dedicadas são 
muitos. Em qualquer lugar ao longo de seu caminho o fio pode ser quebrado, equipamentos 
de comutação podem ficar sem energia, ou os problemas podem ainda ocorrer dentro de seu 
prédio. O alto nível de confiabilidade das comunicações telefônicas é invejado. Mas deve-
se assegurar que sua empresa analisou os riscos à sua linha de telecomunicações e as 
medidas tomadas para reduzir a probabilidade de fracasso foram realizadas. 
Organizações que dão suporte as necessidades de teleinformática devem estabelecer e 
seguir uma política de segurança razoável e consistente para seus usuários. Idealmente, a 
organização deve fornecer o teletrabalhador de um sistema para ser utilizado em sua 
residência configurado com a mesma política e as diretrizes empregadas para os funcionários 
no escritório. Políticas variam de acordo com as necessidades organizacionais, mas alguns 
recursos básicos da política são comuns a maioria das organizações. Esta seção descreve 
algumas considerações fundamentais para uma política de segurança em teleinformatica que 
pode ser usada como uma base para um documento de acordo com as necessidades da 
organização.
9.3.4 Controlando o acesso ao sistema
Se os usuários precisarem acessar remotamente os sistemas internos da empresa, 
certifique-se que o processo de “login” usa um mecanismo adequadamente forte para validar 
a identidade de um usuário. Em alguns casos utilizar uma combinação de identificação 
68
pessoal e senha pode ser adequado, se as senhas são suficientemente fortes. Existem três 
métodos de autenticação de usuários:
1. O que eles sabem (por exemplo, identificação do usuário, senha, número de 
identificação pessoal)
2. O que eles têm (cartão inteligente ou um de gerador de senha)
3. O que eles são (por exemplo, o padrão de retina ou geometria da mão).
Os mecanismos de autenticação mais forte empregam geralmente mais do que um 
dos métodos de autenticação acima. Por exemplo, os cartões inteligentes são realmente um 
esquema de autenticação de dois fatores que permite o acesso com base no que o usuário 
sabe (a senha necessária para acessar o cartão inteligente) e o que o usuário tem (o cartão 
inteligente). As opções de autenticação incluem:
Senhas fortes. Programas de quebra de senha estão amplamente disponíveis na 
Internet.
Geradores de senha. Com este sistema, cada usuário recebe um gerador de senhas 
que se parece muito com uma calculadora de bolso.
Biometria. Os sistemas biométricos podem identificar e autenticar os usuários com 
base no que eles são.
9.3.5 Proteger Sistema Interno
Acesso Restrito. Privilégios de acesso devem ser implementados no nível máximo 
exigido (ou seja, negar o acesso a todos os sistemas, em seguida, permitir o acesso a apenas 
as exigidas e ao nível mínimo exigido). O nível de acesso pode ser diferente quando 
comparando o teletrabalho com o normal.
Firewalls e gateways seguros. Um gateway ou firewall seguro é utilizado para 
bloquear ou filtrar o acesso entre duas redes, muitas vezes entre uma rede interna de 
confiança e uma rede externa (pública) não confiável como a Internet.
69
Localização de Recursos. Se possível, os recursos necessários por teletrabalhadores 
devemser colocado em um DMZ5, a fim de melhor controlo de acesso à rede interna. Este 
pode ser um viável
Criptografia. Se um colaborador ou teletrabalhador precisa transferência de dados 
sigilosos, a criptografia pode ser necessária. Software de criptografia ou criptografia baseada 
em hardware fornece uma forte proteção contra a espionagem eletrônica.
9.3.6 Proteger Sistemas de Teletrabalho Residencial
As organizações podem implementar contramedidas diversas para garantir a proteção 
dos ativos de informação quando um colaborador utiliza teletrabalho em sua residência.
Política de Segurança. As organizações devem implementar uma política de 
segurança para seu ambiente específico teletrabalho. As regras devem definir as razões 
específicas, expectativas, e os benefícios do teletrabalho dentro de sua organização. Os 
indivíduos devem demonstrar a compreensão dos padrões de atendimento e a importância de 
ter as medidas de proteção.
Termo de Responsabilidade. Os funcionários devem assinar uma declaração de 
reconhecimento das condições de utilização do ambiente de teletrabalho. Este 
reconhecimento também deve ser aprovado pelo supervisor do empregado para garantir o 
devido acesso remoto.
Criptografia de dados. Os dados podem ser mantidos encriptados no disco rígido. 
Isso protege a sua confidencialidade, e algumas tecnologias podem ajudar na detecção de 
tentativas de mudança nos arquivos.
Disponibilidade do Sistema Residencial. Além da implementação de tecnologia 
contra falha ou roubo de um computador doméstico, o mesmo pode não ser compatível com 
as configurações do escritório. Por exemplo, o computador em casa pode usar um sistema 
operacional diferente. Esta e outras circunstâncias podem complicar a configuração, suporte 
de software, resolução de problemas ou repar. As organizações devem garantir que esta 
divercidade.
5 A zona desmilitarizada (DMZ) é um termo de rede para utilizado em uma sub-rede que estápor trás do firewall 
da organização, mas não faz parte da rede principal. A finalidade principal de um DMZ é isolar as máquinas que 
necessitam ser acessadas a partir do exterior da rede da organização.
70
9.3.7 Cabeamento Externo
A primeira regra de cabeamento externo é "cabeamento e a retro escavadeiras não 
se misturam!" Uma corrente é tão forte quanto seu elo mais fraco. Seu PABX é 
perfeitamente protegido em sua sala, o da companhia telefônica no Escritório Central 
também é seguro. Mas o fio no meio é exposto às devastações do tempo, homens e 
máquinas.
Cabeamento externo, que corre a partir do cabo de sua sala de central telefônica para 
a companhia telefônica Central, deve ser a sua maior preocupação. O fio sai do seu prédio 
para o ponto de acesso de uma empresa de telefonia ao longo da estrada, geralmente em um 
poste. Em seguida, o fio corre pelo campo (normalmente ao longo de uma estrada ou 
ferrovia) a um escritório central. Na cidade, ele pode correr através de tubulações 
subterrâneas para a Central Telefônica. Você não tem controle sobre onde o fio corre e 
nenhuma capacidade para protegê-lo! Em algumas áreas, você ainda vai ter cabos correndo 
separado para se preocupar: uma para a companhia telefônica local e um correndo para a 
Operadora de serviço de longa distância.
Um termo usado por algumas pessoas da área de telefonia é a "última milha". A 
última milha é sobre o fio de telefone que vem da estrutura da Central da empresa (e 
geralmente é mais do que uma milha). Isso também é conhecido como o "acesso local" ou o 
"assinante". Esta parte do cabeamento é o maior problema. É frequentemente realizados em 
postes de telefone (suscetível a tempestades e veículos desgovernados) ou no subsolo.
9.3.8 Usando Rede sem fio Pública (LANs)
É importante notar que as LANs sem fio instaladas em aeroportos, hotéis e outros 
estabelecimentos apresentam alto riscos de segurança. Normalmente, não deve desabilitar 
qualquer sistema de criptografia ou controle de acesso em seu laptop antes de conectar-se a 
uma rede local pública. Caso isso aconteça, qualquer informação enviada sem criptografia e 
os dados do seu laptop podem estar sujeitos a testes e acessos de outros clientes conectados à 
rede local. Portanto, as seguintes recomendações devem ser seguidas:
• Não use uma LAN pública com o seu laptop relacionad0 com o trabalho a menos 
que seja absolutamente necessário.
71
• Use uma VPN, caso contrário todas as mensagens podem ser interceptadas.
• Use um firewall pessoal e assegure que as suas definições estão fixados a máxima 
proteção.
• Ao sair da LAN, imediatamente restaurar todas as configurações de segurança.
• Examine o laptop para vírus e spyware.
9.4 Plano de Mitigação de risco para o sistema de 
Telecomunicações
Com estes riscos em mente, juntamente com a devida consideração dos circuitos 
prioritários identificados, podemos montar um plano de mitigação para reduzir a 
probabilidade de uma ameaça ou o seu impacto caso ocorra. A chave para mitigação de 
telecomunicações é a redundância. A redundância dos equipamentos, em caso que uma 
máquina tenha que ser reparada. Redundância nas rotas de comunicações em caso de um 
cabo é cortado ou interrompido. Redundância em métodos de comunicação, como rádios, 
telefones celulares ou via satélite comunicações irá fornecer pelo menos o apoio de 
comunicações básicas.
9.4.1 Plano de mitigação para cabeamento
Caminhos múltiplos para a "última milha". Investigue o caminho do sua sala de 
equipamentos telefônicos até o Instituto Central. Peça a companhia telefônica para fazer 
outra conexão de seu PABX, através da parede do edifício em um ponto distante do outro 
ponto saída e em uma rota diferente para um outro Gabinete Central. Tenha certeza que sua 
equipe de fiação em casa entenda o que você está pedindo, antes de começar.
Caminhos múltiplos para IXC. Investigue o caminho de sua sala de equipamentos 
telefônico para o seu provedor de serviços de presença. Evite a mesma rota utilizada para o 
seu serviço local telefônico.
Do poste a sua parede, se o cabo é subterrânea, garantir que ele está claramente 
marcada com "Não cavar" indicadores ou outros obstáculos para manter o equipamento de 
escavação de distância (ou pelo menos atrasar até que o cabo pode ser marcado).
72
9.4.2 Plano de Mitigação para a Sala de Equipamento Telefônico. 
Pense na sua sala de comunicações como uma sala de informática. As necessidades 
ambientais e de segurança são quase idênticos.
Fonte de alimentação ininterrupta (UPS). Quando você perde energia elétrica, é 
isso que vai manter seu PBX ativo até a energia externa ser restaurada ou até que os 
geradores elétricos de suas instalações. Faça um teste de perda de energia para ver qual o 
equipamento não está ligado ao no-break. Se o aparelho não é essencial ou demorado para 
reiniciar, tire-o no-break. Quanto menos máquinas no no-break, melhor. Ao realizar o teste 
de energia, ver quanto tempo as baterias podem suportar a carga. Certifique-se o no-break é 
mantido corretamente por sua empresa de serviços.
Quando o furacão Hugo atingiu o sudeste dos Estados Unidos em 1989, segiu 
centenas de milhas para o interior, com enorme quantidade de chuva e vento. Havia assim 
muitas árvores derrubadas pela tempestade que em algumas áreas foram dias para a energia 
elétrica ser restabelecida. Mesmo as baterias de emergência na Central Telefônica foram 
finalmente descarregada. Assim, não dependem exclusivamente do seu no-break para de 
energia de emergência. Considere outras fontes de energia também.
Fonte de alimentação ininterrupta (UPS)Um alerta de incêndio , alarme e sistemas 
de gás de supressão de fogo são altamente recomendados.
Access Security. Esta sala é normalmente autônoma. Deve ser bloqueado como 
ninguém tem qualquer negócios para passear nesta sala. O administrador do sistema 
telefônico pode normalmente exercer as suas funções de administração de comutação via 
terminal através da rede.
Investigação Estrutural. Embora raramente pode escolher a sala, uma inspeção 
cuidadosa pode identificar os problemas. Os canos de água que corre ao longo das paredes 
ou ao longo do teto são uma potencial fonte de problemas. Eles podem congelar ou 
vazamento. Eles devem ser observados cuidadosamente. Considere instalação de um escudo 
de plástico preso a um dreno colocado sob eles para pegar a condensação ou vazamentos. 
Um condicionador de ar montado no teto pode causar um vazamento telhado. As paredes 
externas pode estressar equipamentos com o calor ou frio da temperaturas da parede.
73
Variabilidade da temperatura. Seu equipamento deve ficar dentro de uma 
temperatura específica e a faixa de umidade para a vida máxima e manter a cobertura pelo 
contrato de serviços. 
Alarmes para umidade, temperatura, fogo e elétrico. Um banco de alarmes 
ajudará que você monitore a condição da sala. Estes alarmes devem soar dentro da sala, bem 
como no posto de guarda de segurança já que a sala é normalmente autônoma. A detecção 
precoce reduz a probabilidade de danos significativos. Incluem equipamentos de paginação 
automática para a notificação das horas extras da equipe de suporte de problemas. Considere 
a instalação de software de desligamento automático para seu equipamento. Isso sinaliza o 
hardware para se desligar graciosamente em caso de problema
Backups de Dados. Como um computador, o comutador telefonico e dispositivos 
configuráveis tem necessidade de fazer backup de seus dados de configuração sempre que 
houver alterações. Armazenar cópias destes arquivos de forma segura para fora do local .
Housekeeping. Manter a porta trancada ajudará a impedir que outras pessoas usem o 
espaço como um local de armazenagem. Nadadeve ser armazenado nesta sala que não 
pertencem ao equipamento. Isto irá reduzir a quantidade de combustíveis disponíveis a um 
incêndio. Não deixe que isto
9.4.3 Métodos Alternativos de Comunicação 
Devem existir procedimentos escritos para mudar rapidamente o roteamento de 
tráfego IXCs para o serviço de telefonia local, no caso de seu IXCs tenha grandes problemas. 
Quão difícil é fazer isso, e depois ligá-lo novamente? É mais fácil (ou barato) para fazer isso 
através da divisão da carga entre duas transportadoras e, em seguida, transferir a totalidade 
carga para a transportadora funcional? Outros itens a serem considerados incluem:
 Você tem telefones celulares e modems de telefones celulares para comunicação 
quando o sistema de telefonia está inoperante?
Desenvolver procedimentos escritos sobre como trabalhar com a companhia 
telefônica para mudança em números de telefone específicos ou todas as chamadas recebidas 
para um site da empresa diferente.
74
 Você tem funcionários que são "ham" operadores de rádio? É bom ter canais 
alternativos quando os primários não estão disponíveis. Em uma situação de emergência em 
toda a zona, comunicações de rádio também vão ficar congestionada. Conversas de rádio 
não são seguras e qualquer pessoa com o equipamento adequado pode ouvi-las. As 
comunicações por rádio também é lenta e não é adequado para grandes volumes de dados.
Outras alternativas incluem comunicações por satélite e microondas, ambos 
suscetíveis a problemas se a antena foi desviado por uma tempestade ou um terremoto
9.4.4 Itens para o Plano de Apoio
A maioria das empresas de recuperação de emergência contrata seu equipamento 
telefônico através da mesmo empresa que presta serviços desses equipamentos. Um 
problema surge se houver mais de uma empresa de serviços envolvidas. Uma alternativa é 
organizar com uma empresa a entrar no local, caso o sua sala de equipamento telefônicos 
seja destruída e criar um trailer adjacente ao seu prédio com um comutador telefônico 
pronto. Para apoiar esta iniciativa, as empresas costumam passar os cabos para frente do 
edifício para uma rápida conexão.
Outra consideração é que os telefones públicos não vão através do seu PBX. São 
linhas diretas para a fora de serviço, portanto se o seu PABX está inoperante, use os 
telefones públicos. Mantenha uma lista de onde estão e seus números de telefone.
Os telefones celulares também são comuns. Tráfego de celular pode ser um pouco 
limitado em uma área de emergência ampla, como as torres locais ficam saturadas com 
chamadas. Use isso como um canal alternativo de comunicação, não como o backup 
primário.
A filial é um lugar ideal para transferir operações para até que desastre seja 
recuperado. A chave é o quão longe a facilidade de backup está localizado a partir do local 
afetado. Deve ser longe o suficiente para não ser afetado pela mesma catástrofe. Não há 
distância quilometragem definida, mas deve pelo menos ser em uma rede de energia 
diferente e Central Telefônica. Se for longe demais, então você também deve fornecer 
alojamento para as pessoas deslocadas.
75
Um problema é como transferir para esse local em uma crise. Se for durante um 
desastre de trânsito, como viagens aéreas podem ser interrompidos, e dirigir-se até lá pode 
ser difícil. Um aspecto do ataque ao World Trade Center em setembro de 2001 foi que todas 
as viagens aéreas foram encerradas. Empresas lutavam para ativar fora do local de desastre e 
no momento foi difícil o deslocamento do pessoal-chave e material para o local. Ninguém 
tinha se planejado para um desligamento completo do sistema de transporte aéreo.
Itens a considerar depois de um desastre:
 Não faça chamadas desnecessárias apenas para emergências.
 Quando chamado, pode ser necessário esperar vários minutos para obter um tom de 
discagem. Não aperte o gancho, porque cada vez que você faz, você é colocado no fim da 
linha para o próximo tom de discagem disponível.
 Quando você recebe um tom de discagem, disque rapidamente o seu número. Num 
tempo de serviço de telefonia de baixo disponibilidade, o tom de discagem é oferecido por 
um tempo muito mais curto.
9.5 Testes dos planos de segurança
Os planos são escritos por pessoas com a melhor das intenções, mas, a menos que 
sejam testados, você nunca vai saber o que você não conhece. Testando um plano com 
lacunas e omissões expostos nas etapas do processo. Aponta os números de telefone de 
emergência incorreta e equipamentos de emergência que não existe mais. 
Teste de exercícios são uma ótima maneira de treinar as pessoas sobre o que fazer. O 
que mais praticam suas medidas de emergência, mais rápido ele será capaz de realizá-las 
como elas se tornam ações familiar em vez de algo novo. Sempre que possível, incluir seus 
provedores de serviço de emergência. Eles serão um grande fonte de informações de 
recuperação.
Ao testar o seu plano, incluir alguns dos seus prestadores de serviços do contrato. 
Eles podem ser capazes de apontar algumas lacunas no seu planejamento ou coisas que 
podem ser feitas com antecedência para fazer a ajuda para você muito mais fácil.
76
Além disso, ao longo do tempo, seus fluxos de comunicação vão mudar. Como isso 
ocorre, atualizar o seu teste em conformidade.
A empresa moderna depende de telecomunicações para desempenhar o seu papel no 
mercado. Como em qualquer recursos, precisamos estar familiarizado com o seu papel 
dentro de nossa operação e como a sua ausência vai nos afetar.
A redundância é a melhor defesa contra um desastre remover sua habilidade de 
comunicar-se com clientes e fornecedores. Um conhecimento profundo das necessidades de 
telecomunicações da sua organização irá ajudá-lo a projetar o plano com maior custo-
benefício para proteger contra a sua ausência.
77
10 Visão da Governança de TI
Governança de TI se concentra especificamente em sistemas de tecnologia da 
informação, o seu desempenho e gestão de riscos.
Os principais objetivos da Governança de TI devem assegurar que os investimentos 
em TI gerem valor ao negócio, e para mitigar os riscos que estão associados a TI. Isto pode 
ser feito através da implementação de uma estrutura organizacional com papéis e regras bem 
definidas para a responsabilidade da informação, processos de negócios, aplicações e infra-
estrutura.
Governança de TI deve ser encarada em como a tecnologia cria valor que se encaixa 
na estratégia de governança corporativa geral da organização, este processo não pode ser 
visto como uma disciplina por si só. Ao adotar essa abordagem, todas as partes interessadas 
seriam obrigadas a participar do processo decisório. Isso cria uma aceitação crítica de 
responsabilidade partilhada e garante que as decisões relacionados são feitas e impulsionadas 
pelo negócio e não vice-versa.
10.1 Por que a governança é necessário
Governança de TI é necessário para garantir que os investimentos em TI gerem 
recompensa valor e atenuação de riscos, evitando assim o fracasso pois a TI é fundamental 
para o sucesso organizacional
• Prestação eficaz e eficiente de bens e serviços
• Especialmente quando a TI é projetada para trazer a mudança em uma organização.
Este processo de mudança, comumente referido como "a transformação do negócio", 
é agora o facilitador principal dos novos modelos de negócios, tanto nos setores privado 
como no público. Transformação de negócios oferece muitas recompensas, mas também tem 
gera muitos riscos, que podem interromper as operações e ter consequências inesperadas. O 
dilema torna-se como equilibrar riscos e recompensas e quando usá-lo para permitir a 
mudança organizacional.
78
10.2 Melhores Práticas de Governança
Apesar dos esforços da indústria de softwarepara identificar e adotar as melhores 
práticas no desenvolvimento de projetos de TI, ainda há um alto índice de fracasso e 
objetivos falhos. A maioria dos projetos de TI não cumprem os objetivos da organização
A principal prática recomendada é implementar uma estrutura organizacional, 
incluindo um framework de governança eficaz, com papéis bem definidos e 
responsabilidades para as partes interessadas de TI incluindo os acionistas e auditores.
Esse quadro garante que investimentos em TI estão alinhados e entregues de acordo 
com os objetivos e estratégias corporativas, sem este enquadramento, os projetos de TI são 
mais suscetíveis ao fracasso. Mas muitas organizações não levam em conta a importância da 
governança de TI.
Elas levam seus projetos de TI sem entender o que os requisitos da organização são 
para o projeto e como este projeto esta relacionado com os objetivos da organização.
Identificar os objetivos organizacionais de TI é outra prática importante para a 
governança de TI. Historicamente, os gerentes seniores vêem os projetos de TI sob a 
perspectiva limitada de entrada e saída de objetivos . Esta perspectiva ineficiente e ineficaz 
originou-se diretamente com a falta de experiência técnica destes gestores para lidar com a 
complexidade de tais projetos. 
A organização para ser bem sucedida deve considerar os seguintes fatores que levam 
a melhores práticas: ferramentas e alto nível, garantia de independência, gestão de recursos, 
alinhamento estratégico.
• Alto nível das ferramentas - processos, papéis e responsabilidades, os requisitos de 
informação e estruturas organizacionais – garantir o investimento em TI deve estar 
alinhado com as estratégias globais da organização, maximizando a aplicação em TI 
de forma a disponibilizar oportunidades.
• Garantia de independência - no caso de auditorias devem ser realizadas de uma 
maneira imparcial e objetiva, para fornecer aos gestores com uma avaliação justa do 
projeto de TI que está sendo auditada.
79
• Gestão de recursos, - por meio de avaliações regulares, garante que a TI tem recursos 
suficientes, competentes e eficientes para atender às demandas da organização.
• O alinhamento estratégico - uma compreensão compartilhada entre administração da 
organização e do departamento de TI, permite que a diretoria e a administração 
entendam a questões estratégicas de TI.
10.3 A importância do desempenho e métricas para 
Governança de TI
Métricas de desempenho é a base para a boa e rigorosa governação de TI. Para que 
uma organização tenha uma boa governação, deve ser capaz de ver onde o verdadeiro valor 
está sendo adicionado em seus projetos de TI. Ter um conjunto bem definido de métricas de 
desempenho fornece a gestão, meios de medir o sucesso e determinar que áreas precisam ser 
focadas parta melhorar a eficácia e a eficiência dos projetos de TI. Sem métricas de 
desempenho seria difícil avaliar o progresso que os projetos de TI estão fazendo para 
alcançar seus objetivos. Os benefícios de métricas de desempenho incluem:
• Melhoria da qualidade dos serviços de TI ao longo do tempo,
• Redução de riscos em TI ao longo do tempo de entrega, 
• Redução dos custos de fornecimento de serviços de TI ao longo do tempo.
Existem dois tipos de métricas de desempenho, (1) métricas de desenvolvimento que 
são usados para medir o desempenho dos projetos de TI em desenvolvimento e (2) métricas 
de serviços que são usados para medir o sucesso do curso do serviços de TI.
Para métricas de desempenho e desenvolvimento, um conjunto pré-definido de 
medidas são utilizados para acompanhar o desenvolvimento do projeto e permitir que a 
organização acompanhe o projeto em todas as fases do ciclo de vida. Para métricas de 
serviço, geralmente, os custos de serviço são atribuídos ao programa baseando uma medida 
da atividade de serviços de TI usada pelo programa.
Uma pessoa nunca seria capaz de listar todos as diferentes métricas utilizadas para 
medir a TI de forma eficaz, mas as seguintes métricas são comuns na maioria das 
80
organizações e, dependendo de quando e onde se recolhem os dados, pode ser usado tanto 
para o desenvolvimento de projetos como serviços:
• Os custos de TI por categoria e por atividade. A organização pode ver o montante 
investido em cada.
• Números da equipe de TI e custos analisados por atividade. A organização pode medir 
o valor adicionado de cada atividade em comparação com a quantidade de recursos 
comprometidos.
• Incidentes de risco relacionados a operabilidade da TI (número e valor). A 
organização pode medir o quão bem o risco está sendo tratada identificando os riscos, 
a sua mitigação, bem como o custo de não mitigá-los; essas medidas devem ser 
levadas ao conhecimento da administração.
10.4 ITIL 
10.5 Introdução
Apresentado no final dos anos 80 pela CCTA (Central Computing and 
Telecommunications Agency ou Agencia Central de Computação e Telecomunicação), atual 
OGC (United Kingdom´s Office Of Government Commerce ou Escritório de Comércio do 
Governo do Reino Unido), é a entidade que desenvolveu e regulamenta a utilização do ITIL 
(Information Technology Infrastructure Library) .Servindo inicialmente como um guia de 
melhores práticas do Governo Britânico
Trata-se de um framework de domínio público para gestão de serviços de TI cujo 
foco principal é o controle e melhoria contínua da qualidade dos serviços de TI da 
organização, do cliente e do negócio, traz documentadas as melhores práticas para o 
fornecimento e suporte de serviços de Tecnologia da Informação, tornando-se referência 
para a Gestão de Serviços.
81
O ITIL atualmente desperta grande interesse no mercado, milhares de empresas ao 
redor do mundo já adotaram suas melhores práticas no Gerenciamento de Serviços de TI 
devido a grande dependência da TI para os negócios.
Inicialmente tratava-se de uma série com mais de mais de 40 manuais sobre gestão de 
serviços, composta por 26 módulos. Esta biblioteca ficou conhecida como ITIL 1,0. Entre 
2000 e 2004, devido à melhoria contínua de serviços e a adaptação às situações atuais no 
ambiente de TI o ITIL 1.0 foi modernizado e combinadas em oito manuais principais, dando 
origem a ITIL 2.0. No início do verão de 2007 ITIL 3.0 foi publicado. Estabelecendo uma 
estrutura completamente nova composto por três grandes áreas: ITIL Núcleo de Publicações, 
ITIL Orientação Complementar e Suporte ITIL Web Services.
O núcleo de publicações do ITIL central é formado por um conjunto de cinco 
manuais que ilustram um modelo de ciclo de vida da estratégia de serviços, design de serviço 
e até à melhoria contínua de serviços.
10.6 Serviço segundo o ITIL
Segundo o ITIL um serviço de IT é um meio de entregar valor agregado aos clientes, 
ajudando-os a alcançar os resultados desejados sem que tenham a responsabilidade pelos 
custos e riscos específicos. Hoje um serviço não é apenas um produto como hardware, 
software etc, devido a uma maior dependência do negócio em TI esta visão não é suficiente. 
A empresa quer um parceiro ou um setor que cuide deste serviço e ofereça um 
funcionamento da TI como um serviço. As principais diferenças entre os produtos e serviços 
pode ser descrito como se segue:
• Os serviços não são tangíveis: Um serviço não está fisicamente tangível e, portanto, 
não pode ser entregue como um produto.
• Os serviços são produzidos e consumidos, ao mesmo tempo: O serviço é entregue no 
momento do pedido. Se por exemplo, um usuário chama o serviço de atendimento 
para relatar um incidente, a maneira de lidar com este relatório de incidente é o 
serviço.
82
• Os serviços são inconsistentes: Os serviços são prestados por máquinas e pessoas. As 
pessoas não são máquinase oferecer um serviço de acordo com seu humor atual e suas 
capacidades. 
• O utilizador participa na produção de serviços: É impossível para um serviço ser 
utilizado sem uma ação específica de um utilizador que desencadeia a prestação de 
serviços.
10.6.1 Visão Geral da Estratégia de Serviço 
A Estratégia de Serviço fornece instruções sobre como posicionar e definir serviços 
como ativos estratégicos sustenta o ciclo de vida de serviços com as políticas e diretrizes 
úteis, bem como processos no contexto das fases do ciclo de vida do desenvolvimento do 
serviço, Esta estratégia é dividida nas seguintes fases: Criação de Valor, Ativos de Serviço, 
Provedor de Tipos de Serviço, Estratégia de Processos de Serviços
10.6.2 Melhoria de Serviço Continuada
A melhoria contínua do serviço (MCS) (CSI Continual Service Improvement) 
fornece instruções de forma a instrumentalizar a criação e manutenção valor agregado na 
forma de melhorias de serviços. Ele combina os princípios, práticas e métodos de gestão da 
qualidade, melhorias de gestão e processo para otimizar a qualidade do serviço. Estas 
instruções estão diretamente ligadas durante as concepção de serviços, estratégia e fases de 
transição. A melhoria contínua é dividida em três segmentos: Proprietário do serviço; 
Diretrizes externas e internas; e finalmente Processos de melhoria contínua do serviço.
• Proprietário do serviço: O princípio da propriedade é fundamental para qualquer 
estratégia de melhoria. MCS é a melhor prática e fundamental para uma 
implementação bem sucedida. O processo garante que um determinado gerente é 
responsável pela aplicação e implementação desta prática. O gerente de MCS se torna 
o dono do serviço e é o consultor para este tópico central.
• Diretrizes externas e internas: Em qualquer organização, existem duas áreas 
principais: os aspectos de natureza externa e aspectos internos. Os aspectos de 
natureza externa como leis, sistemas de regulamentos, a concorrência, as necessidades 
dos clientes externos ou a economia. Os aspectos internos como as estruturas 
83
organizacionais, filosofia, bem como as capacidades necessárias para aceitar 
mudanças ou projetos para uma conclusão bem sucedida. Em muitos casos estes 
aspectos internos tendem a ser um obstáculo para levar a organização para frente
• Processos de melhoria contínua do serviço: Um grande volume de dados relativos à 
qualidade do serviço é coletado como parte da prestação de serviços e de 
monitoramento. A maioria dessas informações é usada internamente pela TI. Apenas 
uma pequena parcela é de relevância para o negócio. A empresa exige que o prestador 
de serviços produza uma comparação com dos anos anteriores e aos incidentes de 
retrabalho. A tarefa, portanto, não é apenas para mostrar ou não se as diretrises foram 
cumpridos, mas apresentar um relatório que mostra ligações como: o que aconteceu, 
que medidas foram tomadas posteriormente, o que está sendo feito para garantir que 
no futuro estes incidentes não gere impacto sobre o negócio. 
Uma abordagem ideal para a implementação de um negócio focado relato de serviço 
é tomar o tempo para definir e acordar as diretrizes e normas com o negócio e o 
projeto de serviço. Isto inclui: os grupos-alvo e pontos de vista de seus negócios, 
acordo sobre o que deve ser medido e para quem o relatório deve ser enviado, base 
para todos os cálculos, acesso aos relatórios e o meio de entrega, rever as reuniões 
para melhorar o relatório de serviço.
Por conseguinte, os relatórios podem ser elaborados de modo olhem para os 
resultados de serviço, de qualidade processo ou funções individuais.
• Sete estágios para o processo de melhoria contínua: O conceito de medida é 
fundamental para o MSI. Estes estágios não só englobam o sistema de gestão, mas 
também o ciclo de vida de todo o serviço:
 Fase 1: Definição: "O que Deve ser medido?"
 Fase 2: Definição: "O que Pode ser medido?"
 Fase 3: Medida dos dados
 Estágio 4: Processamento
 Fase 5: Análise dos dados
 Etapa 6: Apresentação da informação
84
 Fase 7: Implementação de ações corretivas
 
COBIT 
http://www.itil.org/en/vomkennen/cobit/index.php
Figura 10.1 Ciclo de vida do serviço
10.7 COBIT
Cujo significado é Control Objectives for Information and Related Technology ou 
simplesmente COBIT, trata-se de um framework internacionalmente reconhecido para 
Governança de TI ou seja, para garantir a qualidade, segurança e conformidade em 
tecnologia da informação. Neste contexto COBIT não define os requisitos devem ser 
cumpridos, mas se concentra principalmente no que tem ser implementado.
85
http://www.itil.org/en/vomkennen/cobit/index.php
Desenvolvido originalmente em 1993 pelo “Information Systems Audit and Control 
Association, ISACA”. A partir do ano 2000 o desenvolvimento e a atualização de COBIT 
passou a ser responsabilidade do “IT Governance Institute” uma organização irmã da 
ISACA. 
Ao longo dos anos COBIT deixou de ser uma ferramenta para auditores de TI para se 
tornar uma ferramenta para o Controle de TI do ponto de vista corporativo, também é usado 
como um modelo para assegurar o cumprimento das exigências legais quando necessárias 
para a TI.
COBIT foi criado seguindo as linhas do COSO (Committee of Sponsoring 
Organizations of Tradeway Commission), cujo controle destina-se a garantir a integração da 
governança de TI dentro da governança corporativa, estima-se que 95% das grandes 
empresas utilizam o COBIT, no todo ou em parte.
COBIT proporciona boas práticas sob a forma de um quadro e processos que implica 
em atividades em uma estrutura lógico e fácil de usar. As boas práticas propostas incorporam 
claramente mais controle do que a aplicação. Essas práticas dão suporte para melhorar o 
investimento de capital dentro do ambiente de TI e garantir a prestação de serviços, bem 
como um referencial de avaliação em caso de irregularidades ocorridas.
Para conseguir cumprir os requisitos de negócio um sistema interno de 
monitoramento e controle, ou uma estrutura interna, devem ser implementados pela 
administração. O framework COBIT fornece uma ajuda unindo as necessidades do negócio 
relacionado a TI com as atividades de processo, a identificação dos principais recursos de TI 
com a definição dos objetivos de controle a serem levados em conta.
O COBIT orienta os processos de TI em 34 passos, subdivididos em planejamento, 
implantação, entrega e monitoramento, estabelecendo de uma visão integrada da T como 
mostra a figura 10.2. Neste contexto, os modelos ajudam a identificar os recursos essenciais 
para o sucesso dos processos, como por exemplo aplicações, informações, infra-estrutura e 
pessoal.
86
10.7.1 Planejar e Organizar
Este domínio cobre estratégias e táticas relacionadas com a definição de como a TI 
pode melhor e contribuir para a consecução dos objetivos corporativos.
Além disso, a implementação da visão estratégica deve ser planejada, comunicada e 
gerida de acordo com vários pontos de vista.
Finalmente, é preciso haver uma organização adequada e infra-estrutura tecnológica. 
Este domínio tipicamente responde às questões de gestão a seguir:
• A TI e os processos da empresa possuem os mesmos objetivos?
• A empresa utilização muito bem os recursos de TI?
• Será que todos na organização entendem os objetivos de TI?
• São os riscos estão sendo gerenciados?
• A qualidade dos sistemas informáticos são suficientes para satisfazer os requisitos da 
empresa?
87
Figura 10.2 Passos principais do processo
10.7.2 Adquirir e Implementar
Soluções de TI têm de ser identificadas, desenvolvidas ou adquiridas, implementadas 
e integradas nos processos de negócio, a fim de melhorar a estratégiade TI. Este processo 
abrange também modificações e manutenção de sistemas existentes, garantindo que as 
soluções continuam a refletir os objetivos corporativos. O domínio tipicamente responde às 
questões de gestão a seguir:
• Será que os resultados de novos projetos cumprem os requisitos das empresas com um 
alto nível de probabilidade?
• Os novos projetos podem ser concluídos no prazo e dentro do orçamento?
• Será que a função dos novos sistemas foram implementadas corretamente, uma vez 
que foram concluídas?
• As mudanças implementadas são realizadas sem que tenham qualquer efeito 
prejudicial desnecessária sobre os processos de negócios atuais?
10.7.3 Entregar e Suporte
Este domínio trata da efetiva entrega dos serviços necessários, prestação de serviços 
abrangentes, a gestão de segurança e continuidade dos negócios, suporte de serviços para 
usuários e gerenciamento de dados e instalações. Ele geralmente responde às questões de 
gestão a seguir:
• São os serviços de TI entregues em conformidade com as prioridades da empresa?
• São os custos de TI otimizados?
• Os usuários podem utilizar os sistemas de TI de forma segura e produtiva?
• O nível de confidencialidade, integridade e disponibilidade são adequados?
88
10.7.4 Monitorar e avaliar
Todos os processos de TI devem ser regularmente avaliados em termos de qualidade 
e aderência aos requisitos de monitoramento. Este domínio trata da gestão de desempenho, 
monitoramento dos controles internos, conformidade com os regulamentos e garantia de 
governabilidade. Ele geralmente responde às questões de gestão a seguir:
• O desempenho de TI é medido, a fim de identificar problemas antes que seja tarde?
• Será que a gestão assegurar e os controles internos são eficazes e eficientes?
• O desempenho da TI está ligado aos objetivos corporativos?
• O risco, controle e desempenho são medidos e relatórios são gerados?
• São utilizados controles adequados de integridade, confidencialidade e disponibilidade 
no local para segurança da informação?
10.7.5 COBIT como framework para controle de Segurança da 
Informação
No COBIT a entrega e suporte de serviço deve garantir a segurança os sistemas, a 
necessidade de manter a integridade da informação e proteger os ativos requer um 
processo de gestão de segurança, este processo inclui o estabelecimento e manutenção de 
funções de segurança, responsabilidades em TI, políticas, normas e procedimentos de 
segurança.
A gestão de segurança também inclui a realização de monitoramento e testes 
periódicos, implementação de ações corretivas para falhas de segurança identificadas ou 
incidentes. A Gestão eficaz da segurança protege todos os ativos de TI para minimizar o 
impacto nos negócios de vulnerabilidades de segurança e incidentes.
O controle sobre o processo de TI certifica que os sistemas de segurança 
satisfaçam os requisito de negócio para TI e mantenham a integridade da informação, a 
infra-estrutura de processamento e minimize o impacto das vulnerabilidades e incidentes 
de segurança é fundamental.
89
Concentrando-se na definição da política de segurança para TI, nos planos, 
procedimentos, monitoramento, detecção, comunicação, resolução de vulnerabilidades 
de segurança e incidentes é conseguido compreendendo os requisitos de segurança, 
vulnerabilidades e ameaças através dos processos:
• Gerenciar identidades de usuários e autorizações de forma padronizada
• Teste de segurança medido regularmente 
• Verificar o número de incidentes que danificam a reputação da organização com o 
público
• Número de sistemas em que os requisitos de segurança não são cumpridos
• Número de violações de segregação de funções
90
	1 Segurança da Informação
	1.1 Introdução
	1.2 Informação
	1.3 A importância da informação
	1.4 Segurança da informação
	1.5 Ativos
	1.6 Princípios básicos da segurança da informação
	1.6.1 Integridade da informação:
	1.6.2 Confidencialidade da informação:
	1.6.3 Disponibilidade das informações:
	1.7 Ameaça
	1.7.1 Tipos de ameaças
	1.8 Vulnerabilidade
	1.8.1 Vulnerabilidades físicas
	1.8.2 Vulnerabilidades naturais
	1.8.3 Vulnerabilidades de hardware
	1.8.4 Vulnerabilidades de softwares
	1.8.5 Vulnerabilidades dos meios de armazenamento
	1.8.6 Vulnerabilidades de comunicação
	1.8.7 Vulnerabilidades humanas
	1.9 Impacto
	1.10 Risco
	1.11 Excelência operacional das empresas
	2 Leis
	3 Pesquisa de Segurança da Informação
	3.1 Origem dos eventos de segurança da Informação
	4 Normas
	4.1 Histórico
	4.1.1 ABNT ISO/IEC 27002 / 17799
	4.1.2 ISO/IEC 27001 – SGSI - Sistemas de Gestão de Segurança da Informação (ISMS - Information Security Management System)
	4.1.3 ISO/IEC 27003 – Guia de Implementação do Sistema de Gerenciamento de Segurança da Informação.
	4.1.4 ISO / IEC 27004 Tecnologia da informação - Técnicas de segurança - Gestão de segurança da informação - Medição
	4.1.5 ISO / IEC 27005 Tecnologia da informação – Técnicas de Segurança – Gerenciamento de Risco em Segurança da Informação
	4.1.6 ISO / IEC 27006 A tecnologia da informação - Técnicas de segurança – Requisitos para organismos que prestem serviços de auditoria e certificação de sistemas de informação de gestão de segurança
	5 Classificação da informação
	5.1 Introdução
	5.2  Proteção
	5.3  Economia
	5.3.1  Conscientização
	5.4 Conceitos
	5.4.1 Política de Classificação da Informação
	5.4.2 Classificação, Desclassificação e Reclassificação.
	5.4.3 Papéis de Responsabilidades
	6 ROSI
	6.1 Quantificação da Exposição ao Risco
	6.2 Perda de Produtividade
	7 Descarte e Sanitização de Mídias
	7.1 Tipos de Mídia
	7.2 Tendências das mídias de armazenamento
	7.3 Tecnologias Emergentes
	7.4 Tipos de Sanitização
	7.4.1 Eliminação
	7.4.2 Limpeza Digital
	7.4.3 Purgar
	7.4.4 Destruição
	7.5 Fatores que Influenciam as Decisões de Sanitização
	7.6 As decisões de Sanitização durante o ciclo de vida do sistema
	7.6.1 Identificação da necessidade de Sanitização
	7.6.2 Reutilização de Mídia
	7.7 Controle da Mídia
	7.7.1 Sob Controle da Organização
	7.7.2 Não está sob controle Organização
	7.8 Documentação
	8 Controle de acesso
	8.1 Controle de Acesso Obrigatório (MAC)
	8.2 Controle de Acesso Discricionário (DAC)
	8.3 Controle de Acesso Baseado em Perfil de Usuário (RBAC)
	8.3.1 Benefícios do RBAC
	9 Segurança para Teleinformática e Comunicações
	9.1 Private Branch Exchange (PBX)
	9.2 Escritório central da companhia telefônica
	9.3 Considerações necessárias para a Segurança em Teleinformática
	9.3.1 Avaliação de Riscos
	9.3.2 E os perigos gerados pelo homem:
	9.3.3 Os perigos da Sala de Equipamentos telefônicos
	9.3.4 Controlando o acesso ao sistema
	9.3.5 Proteger Sistema Interno
	9.3.6 Proteger Sistemas de Teletrabalho Residencial
	9.3.7 Cabeamento Externo
	9.3.8 Usando Rede sem fio Pública (LANs)
	9.4 Plano de Mitigação de risco para o sistema de Telecomunicações
	9.4.1 Plano de mitigação para cabeamento
	9.4.2 Plano de Mitigação para a Sala de Equipamento Telefônico.
	9.4.3 Métodos Alternativos de Comunicação
	9.4.4 Itens para o Plano de Apoio
	9.5 Testes dos planos de segurança
	10 Visão da Governança de TI
	10.1 Por que a governança é necessário
	10.2 Melhores Práticas de Governança
	10.3 A importância do desempenho e métricas para Governança de TI
	10.4 ITIL
	10.5 Introdução
	10.6 Serviço segundo o ITIL
	10.6.1 Visão Geral da Estratégia de Serviço
	10.6.2 Melhoria de Serviço Continuada
	10.7 COBIT
	10.7.1 Planejar e Organizar
	10.7.2 Adquirir e Implementar
	10.7.3 Entregar e Suporte
	10.7.4 Monitorar e avaliar
	10.7.5 COBIT como framework para controle de Segurança da Informação