Politica de Segurança e Inventario e Ativos de Informação

Prévia do material em texto

Indaial – 2020
Política de Segurança 
e inventário e ativoS 
de informação
Prof.ª Neli Miglioli Sabadin
1a Edição
Copyright © UNIASSELVI 2020
Elaboração:
Prof.ª Neli Miglioli Sabadin
Revisão, Diagramação e Produção:
Centro Universitário Leonardo da Vinci – UNIASSELVI
Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri 
UNIASSELVI – Indaial.
Impresso por:
S113p
 Sabadin, Neli Miglioli
 Política de segurança e inventário e ativos de informação. / Neli 
Miglioli Sabadin. – Indaial: UNIASSELVI, 2020.
 174 p.; il. 
 ISBN 978-65-5663-071-7
1. Segurança da informação. – Brasil. Centro Universitário Leonardo 
Da Vinci.
CDD 004
aPreSentação
Caro acadêmico, estamos iniciando o estudo da disciplina Política 
de Segurança e Inventário e Ativos de Informação. Esta disciplina objetiva 
reconhecer os conceitos básicos de segurança da informação, além de 
apresentar as políticas para manter as informações íntegras e seguras. Por 
fim, conheceremos como se caracterizam os ativos de informação. 
Nesse contexto, o Livro Didático Política de Segurança e Inventário e 
Ativos de Informação está dividido em três unidades: Unidade 1 – Conceitos 
de Segurança da Informação; Unidade 2 – Política de Segurança e Inventário; 
e Unidade 3 – Inventário e Ativos de Informação.
Aproveitamos a oportunidade para destacar a importância de 
desenvolver as autoatividades, lembrando que estas não são opcionais. 
Elas objetivam a fixação dos conceitos apresentados. Em caso de dúvida na 
realização, sugerimos que você entre em contato com o seu tutor externo ou 
com a tutoria da UNIASSELVI, não prosseguindo sem ter sanado todas as 
dúvidas. 
Bom estudo! Sucesso na sua trajetória acadêmica e profissional! 
Neli Miglioli Sabadin
Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para 
você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novi-
dades em nosso material.
Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é 
o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um 
formato mais prático, que cabe na bolsa e facilita a leitura. 
O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagra-
mação no texto, aproveitando ao máximo o espaço da página, o que também contribui 
para diminuir a extração de árvores para produção de folhas de papel, por exemplo.
Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, 
apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilida-
de de estudá-lo com versatilidade nas telas do celular, tablet ou computador. 
 
Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para 
apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assun-
to em questão. 
Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas 
institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa 
continuar seus estudos com um material de qualidade.
Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de 
Desempenho de Estudantes – ENADE. 
 
Bons estudos!
NOTA
Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela 
um novo conhecimento. 
Com o objetivo de enriquecer seu conhecimento, construímos, além do livro 
que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você 
terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complemen-
tares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento.
Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo.
Conte conosco, estaremos juntos nesta caminhada!
LEMBRETE
Sumário
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO.............................. 1
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO....... 3
1 INTRODUÇÃO .................................................................................................................................... 3
2 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO ............................. 3
3 TRÍADE C.I.D OU C.I.A ..................................................................................................................... 5
3.1 CONFIDENCIALIDADE ............................................................................................................... 6
3.2 INTEGRIDADE ............................................................................................................................... 9
3.3 DISPONIBILIDADE ..................................................................................................................... 12
4 HEXADIANO PARKERIANO......................................................................................................... 15
RESUMO DO TÓPICO 1..................................................................................................................... 17
AUTOATIVIDADE .............................................................................................................................. 18
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL .... 19
1 INTRODUÇÃO .................................................................................................................................. 19
2 ATIVOS DE INFORMAÇÃO .......................................................................................................... 19
3 ACESSO À INFORMAÇÃO ............................................................................................................ 21
3.1 CONTROLE FÍSICO ..................................................................................................................... 21
3.2 SEGURANÇA LÓGICA ............................................................................................................... 24
3.3 CONVERGÊNCIA ENTRE A SEGURANÇA FÍSICA E A LÓGICA .................................... 26
3.4 COMPONENTE HUMANO ....................................................................................................... 27
3.5 CICLO DE VIDA DA INFORMAÇÃO ...................................................................................... 28
RESUMO DO TÓPICO 2..................................................................................................................... 31
AUTOATIVIDADE .............................................................................................................................. 32
TÓPICO 3 — VULNERABILIDADES, AMEAÇAS E RISCOS ................................................... 33
1 INTRODUÇÃO .................................................................................................................................. 33
2 ABORDAGEM .................................................................................................................................... 33
3 VULNERABILIDADES .................................................................................................................... 35
4 AMEAÇAS .......................................................................................................................................... 36
5 RISCO ................................................................................................................................................. 37
6 ATAQUE .............................................................................................................................................. 37
7 INCIDENTE DE SEGURANÇA DA INFORMAÇÃO .............................................................. 38
7.1 PROBABILIDADE E IMPACTO ................................................................................................. 38
LEITURA COMPLEMENTAR ............................................................................................................ 41
RESUMO DO TÓPICO 3.....................................................................................................................51
AUTOATIVIDADE .............................................................................................................................. 52
UNIDADE 2 — FUNDAMENTOS DE POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO ..... 55
TÓPICO 1 — PLANEJAMENTO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ..... 57
1 INTRODUÇÃO .................................................................................................................................. 57
2 PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO – PESI ......... 57
3 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO – SGSI.............................. 60
4 COMO IMPLEMENTAR O CICLO PDCA? ................................................................................. 64
5 O USUÁRIO FAZ A DIFERENÇA .................................................................................................. 66
6 ABRANGÊNCIA ................................................................................................................................ 67
7 VIOLAÇÃO DA POLÍTICA ............................................................................................................ 68
RESUMO DO TÓPICO 1..................................................................................................................... 70
AUTOATIVIDADE .............................................................................................................................. 71
TÓPICO 2 — ENTENDENDO A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO .......... 75
1 INTRODUÇÃO .................................................................................................................................. 75
2 POLÍTICAS, NORMAS E PROCEDIMENTOS ........................................................................... 75
3 POLÍTICAS DE SEGURANÇA – ISO 27000 ................................................................................ 77
4 BOAS PRÁTICAS PARA A CONSTRUÇÃO DA PSI ................................................................ 80
5 DIVULGAÇÃO DA POLÍTICA ...................................................................................................... 81
RESUMO DO TÓPICO 2..................................................................................................................... 83
AUTOATIVIDADE .............................................................................................................................. 84
TÓPICO 3 — CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ............ 87
1 INTRODUÇÃO .................................................................................................................................. 87
2 CRIAÇÃO E IMPLANTAÇÃO DA PSI ......................................................................................... 87
3 POLÍTICA DE SEGURANÇA ......................................................................................................... 88
4 POLÍTICA DE USO DE ESTAÇÃO DE TRABALHO ................................................................ 92
5 POLÍTICA DE USO DA INTERNET ............................................................................................. 93
6 POLÍTICA DE E-MAIL ..................................................................................................................... 95
7 POLÍTICA DE MESA LIMPA .......................................................................................................... 97
LEITURA COMPLEMENTAR .......................................................................................................... 100
RESUMO DO TÓPICO 3................................................................................................................... 105
AUTOATIVIDADE ............................................................................................................................ 106
UNIDADE 3 — INVENTÁRIO E ATIVOS DE INFORMAÇÃO .............................................. 109
TÓPICO 1 — CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO ......... 111
1 INTRODUÇÃO ................................................................................................................................ 111
2 INVENTÁRIO .................................................................................................................................. 111
3 CONHECENDO OS ATIVOS DE SEGURANÇA DA INFORMAÇÃO ............................... 113
4 PROPRIETÁRIO DO ATIVO ........................................................................................................ 115
RESUMO DO TÓPICO 1................................................................................................................... 123
AUTOATIVIDADE ............................................................................................................................ 124
TÓPICO 2 — PLANEJANDO O INVENTÁRIO DE ATIVOS EM SEGURANÇA 
 DA INFORMAÇÃO .................................................................................................. 127
1 INTRODUÇÃO ................................................................................................................................ 127
2 POR QUE CONSTRUIR UM INVENTÁRIO DE ATIVOS DE INFORMAÇÃO? .............. 127
3 MATRIZ DE RESPONSABILIDADE .......................................................................................... 129
4 MATRIZ DE RISCO ........................................................................................................................ 132
5 ANÁLISE SWOT .............................................................................................................................. 137
RESUMO DO TÓPICO 2................................................................................................................... 141
AUTOATIVIDADE ............................................................................................................................ 142
TÓPICO 3 — FERRAMENTAS PARA INVENTÁRIO DE ATIVOS DE SEGURANÇA 
 DA INFORMAÇÃO .................................................................................................. 145
1 INTRODUÇÃO ................................................................................................................................ 145
2 TRAGA SEU PRÓPRIO EQUIPAMENTO ................................................................................ 145
3 BOAS PRÁTICAS DE GERENCIAMENTO DE INVENTÁRIO DE TI................................ 148
4 MODELOS DE INVENTÁRIOS ................................................................................................... 150
LEITURA COMPLEMENTAR .......................................................................................................... 156
RESUMO DO TÓPICO 3................................................................................................................... 166
AUTOATIVIDADE ............................................................................................................................ 167
REFERÊNCIAS .................................................................................................................................... 169
1
UNIDADE 1 — 
FUNDAMENTOS DE SEGURANÇA 
DA INFORMAÇÃO
OBJETIVOS DE APRENDIZAGEM
PLANO DE ESTUDOS
A partir do estudo desta unidade, você deverá ser capaz de:
•	 saber	a	definição,	além	da	importância	dos	conceitos	básicos	de	segurança	
da	informação;
•	 identificar	 a	 importância	 da	 segurança	 das	 informações	 no	 contexto	
empresarial;
•	 conhecer	 a	 tríade	 de	 segurança	 da	 informação	 CID	 e	 o	 hexagrama	
parkeriano;
•	 identificar	e	diferenciar	o	que	são	riscos,	ameaças	e	vulnerabilidade	das	
informações.
Esta	 unidade	 está	 dividida	 em	 três	 tópicos.	 No	 decorrer	 da	 unidade,	
você	 encontrará	 autoatividades	 com	 o	 objetivo	 de	 reforçar	 o	 conteúdo	
apresentado.
TÓPICO	1	–	CONCEITOS	FUNDAMENTAIS	DE	SEGURANÇA	DA	
INFORMAÇÃO
TÓPICO	2	–	SEGURANÇA	DA	INFORMAÇÃO	NO	CONTEXTO	
ORGANIZACIONAL
TÓPICO	3	–	VULNERABILIDADES,	AMEAÇAS	E	RISCOS
Preparado para ampliarseus conhecimentos? Respire e vamos 
em frente! Procure um ambiente que facilite a concentração, assim absorverá 
melhor as informações.
CHAMADA
2
3
TÓPICO 1 — 
UNIDADE 1
CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA 
INFORMAÇÃO
1 INTRODUÇÃO
 
Para	 que	 possamos	 proteger	 nossas	 informações,	 é	 necessário	 saber	
quais	 são	 as	 ameaças,	 e	 o	 que	 deve	 ser	 protegido.	 O	 conhecimento	 sobre	
segurança	da	informação	deve	ser	responsabilidade	de	todos	em	uma	empresa.	
Independentemente	do	 tipo	de	 empresa,	 os	 riscos	 se	 assemelham.	A	partir	da	
segurança	aplicada	em	nossas	casas,	onde	mantemos	as	portas	fechadas	quando	
saímos,	ou	não	deixamos	pessoas	estranhas	entrarem,	com	as	 informações	nas	
empresas	 também	 devemos	 seguir	 alguns	 procedimentos.	 São	 as	 chamadas	
políticas	de	segurança	e,	neste	livro,	também	veremos	o	que	deve	ser	protegido.	
Como	 já	 sabemos,	 em	muitas	 empresas,	 as	 informações	 são	vitais	para	
sua	 sobrevivência.	 Ter	 em	mente	 que	 somos	 todos	 responsáveis,	 e	 que	 todos	
estamos	envolvidos,	seja	de	maneira	proativa	ou	apenas	seguindo	as	normas,	já	
são	maneiras	de	participar	do	processo	de	segurança	das	informações.
Começaremos,	nossos	estudos,	revisitando	alguns	conceitos	de	segurança	
da	informação,	para	que	seja	possível	identificar	as	diferenças	entre	os	riscos	e	as	
vulnerabilidades	das	informações.	
2 CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA 
INFORMAÇÃO
Como	já	comentado,	a	segurança	dos	dados	de	uma	empresa	é	um	dos	
grandes	desafios	da	tecnologia	da	informação.	A	empresa	e	os	indivíduos	podem	
sofrer	ameaças.	Para	minimizar	os	 riscos,	 ferramentas	e	políticas	de	segurança	
podem	assegurar	a	precisão,	a	integridade	e	a	segurança	dos	sistemas	e	recursos	
de	informação	(BARRETO	et al.,	2018).
Estar	 ciente	 do	 problema	 é	 o	 primeiro	 passo	 para	 tomar	 as	 medidas	
protetivas	 necessárias.	 	 Por	 isso,	 governos,	 entidades	 privadas,	 empresas	 e	
indivíduos	estão	cada	vez	mais	cientes	dos	desafios	e	das	ameaças	relacionadas	
às	 atividades	 on-line.	Ainda,	 a	 dependência	 das	 redes	 de	 computadores	 para	
a	 manutenção	 das	 informações	 e	 a	 sobrevivência	 dos	 negócios	 das	 empresas	
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
4
aumentam	 exponencialmente,	 ano	 após	 ano.	 Seguindo	 a	 mesma	 evolução,	 o	
impacto	 causado	pelas	 violações	de	 segurança	 abrange	desde	 inconveniências	
até	sérias	perdas	financeiras	e	insegurança	nacional	(BARRETO	et al.,	2018).
A	 segurança	 da	 informação	 é	 obtida	 a	 partir	 da	 implementação	 de	
um	conjunto	de	controles	adequados,	 incluindo	políticas,	processos,	
procedimentos,	 estruturas	 organizacionais	 e	 funções	 de	 software	 e	
hardware.	Esses	controles	precisam	ser	estabelecidos,	implementados,	
monitorados,	analisados	criticamente	e	melhorados,	garantindo	que	os	
objetivos	do	negócio	e	de	segurança	da	organização	sejam	atendidos.	
Convém	 que	 tudo	 seja	 feito	 em	 conjunto,	 com	 outros	 processos	 de	
gestão	do	negócio	(BARRETO	et al.,	2018,	p.	17).
	Para	entender	como	a	segurança	pode	ser	gerenciada,	diversos	conceitos	
importantes	 devem	 ser	 explicados,	 como	 “informação”,	 “vulnerabilidade”,	
“ameaça”,	“risco”	e	“exposição”,	pois	são	termos	que	são,	repetidamente,	usados	
para	 representar	 a	mesma	 coisa,	mesmo	 que	 tenham	diferentes	 significados	 e	
relações	entre	si.	É	importante	entender	a	definição	de	cada	palavra,	mas,	mais	
importante	 ainda,	 é	 entender	 as	 suas	 relações	 com	 outros	 conceitos	 (BAARS;	
HINTZBERGEN;	HINTZBERGEN,	2018).
Começamos	 com	 o	 conceito	 básico	 das	 informações	 no	 contexto	 da	
segurança	da	informação.	No	cenário	atual,	as	informações	se	constituem	como	
objetos	de	valor	para	 as	 empresas,	 e	 a	 tecnologia	da	 informação	 é	um	grande	
facilitador,	 tratando-se	 do	 armazenamento	 e	 transporte	 das	 informações.	 No	
contexto	organizacional,	a	informação	pode	estar	relacionada,	por	exemplo,	aos	
dados	armazenados	em	software	e	ao	uso	eficiente	(BARRETO	et al.,	2018).
Ainda,	 segundo	 Barreto	 et al.	 (2018),	 o	 conhecimento	 e	 a	 informação	
são	pontos-chave	para	 as	 organizações,	 e	merecem	uma	atenção	 especial	para	
a	correta	utilização	de	mecanismos	que	garantam	a	segurança,	uma	vez	que	a	
segurança	da	informação	tem,	como	propósito,	proteger	os	ativos	da	informação.
No	 cenário	 da	 segurança	 da	 informação,	 de	 acordo	 com	 Barreto	 et al. 
(2018,	p.	 14),	podemos	definir	um	ativo	de	 informação	como	“qualquer	objeto	
que	retém	partes	da	 informação	da	empresa	nas	suas	mais	diversas	 formas	de	
representação	 e	 armazenamento:	 impressas	 em	papel,	 armazenadas	 em	discos	
rígidos	 de	 computadores,	 armazenadas	 na	 nuvem	 ou,	 até	mesmo,	 retidas	 em	
pessoas”.
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
5
FIGURA 1 – ATIVOS DE INFORMAÇÃO
FONTE: Lyra (2015, p. 12)
Um	ativo	é	qualquer	coisa	que	tenha	valor	para	organização.	Portanto,	
podem	existir	diversos	tipos	de	ativos,	incluindo	a	própria	informação	
(contratos	 e	 acordos,	 documentações	 de	 sistema,	 bases	 de	 dados,	
manuais	de	usuário,	trilhas	de	auditoria,	planos	de	continuidade	etc.),	
pessoas	e	suas	qualificações/experiências,	ativos	de	software	(sistemas,	
aplicativos,	 ferramentas	 etc.),	 ativos	 físicos	 (mídias	 removíveis,	
equipamentos	 computacionais,	 equipamentos	 de	 comunicação	 etc.),	
serviços	(iluminação,	eletricidade,	refrigeração	etc.)	e	aqueles	que	são	
intangíveis,	como	é	o	caso	da	reputação	da	organização	(LYRA,	2015,	
p.	11).
Lyra	 (2015)	 afirma	 que,	 para	 o	 sucesso	 e	 a	 garantia	 da	 segurança	 da	
informação,	 devem	 existir	 identificação,	 controle	 e	 constante	 atualização	 dos	
diferentes	 tipos	de	 ativos	 (inventário).	Como	princípio	 básico,	 é	 recomendado	
que	 todo	ativo	seja	 identificado,	além	de	documentado	pela	organização.	Para	
cada	 um,	 deve-se	 estabelecer	 um	 proprietário	 responsável,	 que	 cuidará	 da	
manutenção	dos	controles,	estes	que	podem	ser	delegados	a	outros	profissionais,	
porém,	sempre	sob	a	responsabilidade	do	proprietário.
Agora	que	já	temos	definido	o	que	é	um	ativo,	vamos	relembrar	os	conceitos	
fundamentais	da	segurança	da	informação.	Um	dos	conceitos	mais	conhecimentos	
e	buscados	pelas	empresas	é	o	proposto	pela	tríade	Confidencialidade,	Integridade	
e	Disponibilidade	(Avaliability),	conhecida	por	C.I.D	ou	C.I.A.
3 TRÍADE C.I.D OU C.I.A
Quando	 planejamos	 um	 programa	 de	 segurança	 de	 informação,	 esse	
projeto	 pode	 ter	 objetivos	 simples,	 como	 usar	 senhas	 nos	 computadores,	 ou	
objetivos	 maiores,	 como	 um	 plano	 de	 contingência.	 Não	 é	 um	 projeto	 que	
tem	 começo,	meio	 e	fim,	 ou	uma	data	para	 acabar,	 é	um	processo	 contínuo	 e	
com	 um	 proposito.	 O	 propósito	 principal	 da	 segurança	 da	 informação	 é	
proteger	 (ou	 preservar)	 as	 propriedades	 de	 Confidencialidade,	 Integridade	 e	
Disponibilidade	da	informação.	Esse	propósito	também	é	conhecido	como	tríade	
Confidencialidade,	 Integridade	 e	 Disponibilidade	 (C.I.D)	 ou,	 em	 inglês,	 C.I.A	
(Condidentiality,	Integrity,	Avaliability).		
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
6
FIGURA 2 – TRÍADE C.I.D
FONTE: O autor
Conforme	apresentado,	veremos	cada	um	dos	itens	que	dão	sustentação	à	
segurança	da	informação.	Lembrando	que	todos	têm	igual	importância.
3.1 CONFIDENCIALIDADE
Confidencialidade	(Condidentiality),	para	Barreto	et al.	(2018),	é	a	capacidade	
de	um	sistema	de	impedir	que	usuários	não	autorizados	“vejam”	determinada	
informação	que	foi	delegada	somente	a	usuários	autorizados.
Para	 Baars,	 Hintzbergen	 e	 Hintzbergen	 (2018),	 a	 confidencialidade,	
também	 chamada	 de	 exclusividade,	 refere-se	 aos	 limites	 em	 termos	 de	 quem	
pode	obter	tal	tipo	de	informação.	Vale	ressaltar	que	ela	pode	variar	de	pessoa	
para	pessoa,	ou	nível	hierárquico.	Baars,	Hintzbergen	e	Hintzbergen	(2018,	p.	21)	
exemplificam	que	“os	executivos	podem	estar	preocupados	com	a	proteção	dos	
planos	estratégicos	de	sua	empresa	em	relaçãoaos	concorrentes;	as	pessoas,	por	
outro	 lado,	estão	preocupadas	com	o	acesso	não	autorizado	aos	 seus	 registros	
financeiros”.
Ainda,	ela	assegura	que	o	nível	necessário	de	sigilo	seja	aplicado	em	cada	
elemento	 de	 processamento	 de	 dados,	 evitando	 a	 divulgação	 não	 autorizada.	
Tudo	deve	prevalecer	enquanto	os	dados	estiverem	em	sistemas	e	dispositivos	na	
rede,	e	durante	a	sua	transmissão.		Esse	grau	de	confidencialidade	pode	ser	obtido	
através	da	criptografia	de	dados	à	medida	que	são	armazenados	e	transmitidos,	
monitoramento	 de	 redes,	 estrito	 controle	 de	 acesso,	 classificação	 dos	 dados	 e	
treinamento	de	pessoal	com	procedimentos	apropriados.	
Reforçando	 a	 definição,	 Kim	 e	 Solomon	 (2014,	 p.	 11)	 afirmam	 que	
proteger	dados	privados	é	o	processo	de	garantir	sua	confidencialidade.	Assim,	
as	organizações	precisam	usar	controles	de	segurança	apropriados,	específicos.	
Por	exemplo:
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
7
•	Definir	políticas,	padrões,	procedimentos	e	diretrizes	no	âmbito	da	
organização,	para	proteger	dados	confidenciais,	é	uma	instrução.
•	Adotar	um	padrão	de	classificação	de	dados	que	defina	como	tratá-
los	 em	 toda	 infraestrutura	 de	 TI.	 É	 o	 roteiro	 para	 identificar	 quais	
controles	são	necessários	para	manter	os	dados	seguros.
•	 Limitar	 o	 acesso	 a	 sistemas	 e	 aplicativos	 que	 hospedem	 dados	
confidenciais	para	uso	somente	de	usuários	autorizados.
•	 Usar	 técnicas	 de	 criptografia	 para	 ocultar	 dados	 confidenciais	 e	
mantê-los	invisíveis	aos	usuários	não	autorizados.
•	Criptografar	dados	que	cruzem	a	internet	pública.
•	 Criptografar	 dados	 armazenados	 em	 bancos	 e	 dispositivos	 de	
armazenamento.
Kim	e	Solomon	(2014)	reforçam	que	não	basta	enviar	dados	para	outros	
computadores	usando	uma	rede.	É	preciso	tomar	medidas	especiais	para	impedir	
que	 usuários	 não	 autorizados	 tenham	 acesso	 a	 dados	 confidenciais.	 Assim,	
é	 sugerida	a	 criptografia,	 como	prática	de	ocultar	dados	 e	mantê-los	 longe	de	
usuários	não	autorizados,	protegendo	as	informações	de	ponta	a	ponta.	
FIGURA 3 – PROCESSO DE ENCRIPTAÇÃO
FONTE: Kim e Solomon (2014, p. 9)
Como	podemos	observar,	há	a	transmissão	e	o	detalhamento	do	processo	
no	qual	ocorre	a	encriptação.	Segundo	Kim	e	Solomon	(2014,	p.	9),	“a	encriptação	
é	o	processo	de	transformar	dados	de	texto	claro	para	texto	cifrado.	Dados	em	
texto	 claro	 são	 aqueles	que	qualquer	um	pode	 ler.	Texto	 cifrado	 são	os	dados	
misturados	 que	 resultam	 da	 encriptação	 do	 texto	 claro”.	 Como	 vemos,	 as	
mensagens	são	encriptadas	após	o	envio,	e	só	são	descriptadas	quando	o	usuário	
recebe.
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
8
Conheça um pouco da segurança em redes de dados em: https://www.
projetoderedes.com.br/artigos/artigo_criptografia_simetrica.php.
DICAS
São	 exemplos	 de	 medidas	 de	 confidencialidade,	 segundo	 Baars,	
Hintzbergen	e	Hintzbergen	(2018):
 
•	 O	acesso	à	informação	é	concedido	com	base	na	“necessidade	de	conhecer”.	
Não	é	necessário,	por	exemplo,	que	um	funcionário	do	departamento	financeiro	
seja	capaz	de	ver	relatórios	de	discussões	com	clientes.	
•	 Os	funcionários	tomam	medidas	para	garantir	que	a	informação	não	vá	para	
pessoas	que	não	necessitem	dela.	Eles	asseguram,	por	exemplo,	que	nenhum	
documento	confidencial	seja	deixado	sobre	suas	mesas	enquanto	estão	ausentes	
(política	da	mesa	limpa).	
•	 O	 gerenciamento	 de	 acesso	 lógico	 assegura	 que	 pessoas	 ou	 processos	 não	
autorizados	 não	 tenham	 acesso	 a	 sistemas	 automatizados,	 base	 de	 dados	
e	 programas.	 Um	 usuário,	 por	 exemplo,	 não	 tem	 o	 direito	 de	 alterar	 as	
configurações	do	PC.	
•	 É	criada	uma	separação	de	funções	entre	a	organização	de	desenvolvimento	
do	 sistema,	 a	 organização	de	processamento	 e	 a	 organização	do	usuário.	O	
desenvolvedor	não	pode,	por	exemplo,	fazer	qualquer	modificação	nos	salários.		
•	 São	 criadas	 separações	 estritas	 entre	 o	 ambiente	 de	 desenvolvimento,	 o	
ambiente	de	teste	e	aceitação	e	o	ambiente	de	produção.	
Baars,	Hintzbergen	e	Hintzbergen	(2018)	ainda	sugerem	algumas	medidas	
no	processamento	e	uso	dos	dados,	para	garantir	a	privacidade	dos	funcionários	
da	empresa	e	de	terceiros	que	possam	estar	prestando	serviços,	como	o	uso	de	
uma	rede	dedicada	por	departamento.
Outra	 maneira	 de	 aumentar	 a	 confidencialidade,	 proposta	 por	 Baars,	
Hintzbergen	e	Hintzbergen	(2018),	refere-se	ao	uso	de	computadores	por	usuários	
finais.	 Ele	 sugere	 algumas	 de	 medidas,	 como	 uso	 de	 senhas,	 para	 garantir	 a	
confidencialidade	 da	 informação.	 Um	 exemplo	 é	 a	 autenticação	 dos	 usuários	
autorizados	por	meio	de	uma	combinação	entre	a	identificação	do	usuário	(ID),	
a	senha	e,	às	vezes,	um	“token	de	resposta	a	um	desafio”,	criando	uma	senha	de	
uso	único	one-time-password para	cada	sessão	de	login.	
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
9
FIGURA 4 – TOKEN
FONTE: Olhar Digital (2009, s.p.)
Fique por dentro da tecnologia de tokens em: https://olhardigital.com.br/fique_
seguro/noticia/entendendo-a-autenticacao-com-tokens/10049 e https://administradores.
com.br/noticias/entendendo-a-autenticacao-com-tokens.
DICAS
3.2 INTEGRIDADE
Integridade	 (Integrity),	 segundo	Barreto	 et al.	 (2018,	 p.	 14),	 refere-se	 ao	
“atributo	de	segurança	que	garante	que	a	informação	seja	alterada	somente	de	
forma	autorizada,	sendo	mantida,	assim,	correta	e	completa”.
A	 integridade,	 para	 Baars,	Hintzbergen	 e	Hintzbergen	 (2018),	 refere-se	
a	ser	correto	e	consistente	com	o	estado	ou	a	informação	pretendida.	Qualquer	
modificação	não	autorizada	de	dados,	seja	ela	proposital	ou	acidental,	configura	
uma	violação	da	integridade	dos	dados.	
Vale	ressaltar	que	dados	que	não	possuem	integridade	não	são	precisos,	
não	são	válidos	e	não	têm	utilidade.	Por	isso,	alterações	não	autorizadas	podem	
acabar	com	o	valor	dos	dados.	Sabotagem	e	corrupção	da	integridade	dos	dados	
são	 sérias	 ameaças	 para	 uma	 organização,	 especialmente	 se	 os	 dados	 forem	
críticos	para	operações	de	negócios	(KIM;	SOLOMON,	2014).
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
10
FIGURA 5 – INTEGRIDADE
FONTE: Kim e Solomon (2014, p. 4)
Para	auxiliar	o	entendimento,	Baars,	Hintzbergen	e	Hintzbergen	(2018,	p.	
54)	explicam	que	“é	esperado	que	dados	armazenados	em	disco	sejam	estáveis.	
Não	 se	 espera	 que	 eles	 sejam	 alterados	 aleatoriamente	 por	 problemas	 com	os	
controladores	de	disco”.	Seguindo	essa	linha,	também	se	espera	que	os	programas	
de	aplicação	sejam	confiáveis	e	que	salvem	as	 informações	perfeitamente,	 sem	
alterações.	
Baars,	 Hintzbergen	 e	 Hintzbergen	 (2018,	 p.	 54)	 explicam	 da	 seguinte	
forma:	“minha	definição	para	 integridade	da	 informação	vem	dos	dicionários.	
Integridade	 significa	 que	 a	 informação	 é	 completa,	 perfeita	 e	 intacta	 (não	
necessariamente	correta).	Significa	que	nada	está	faltando	na	informação,	ela	está	
completa	e	em	um	desejado	bom	estado”.	A	afirmação	dos	autores	se	aproxima	
de	dizer	que	a	informação	está	em	um	estado	correto.	
A	informação	pode	ser	incorreta	ou	não	autêntica,	mas	possuir	integridade,	
ou	ser	correta	e	autêntica,	mas	faltar	integridade.
	Ambientes	que	reforçam	e	fornecem	o	atributo	de	segurança	asseguram	
que	atacantes,	ou	erros	de	usuários,	não	comprometam	a	integridade	dos	sistemas	
ou	 dados.	 Quando	 um	 atacante	 insere	 um	 vírus,	 uma	 bomba	 lógica	 ou	 um	
backdoor	em	um	sistema,	a	integridade	é	comprometida.	Isso	pode,	por	sua	vez,	
afetar	negativamente	a	integridade	da	informação	contida	no	sistema	através	de	
corrupção,	modificação	maliciosa	ou	substituição	de	dados	por	dados	incorretos.	
Controle	 de	 acesso	 estrito,	 detecção	de	 intrusão	 e	hashing	 podem	 combater	 as	
ameaças.
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
11
Os	usuários,	normalmente,	afetam	o	sistema	ou	a	integridade	de	seus	dados	
por	erro	(embora	usuários	internos	também	possam	cometer	atosmaliciosos).	Por	
exemplo,	um	usuário	 com	disco	 rígido	 cheio	pode,	 involuntariamente,	 apagar	
arquivos	de	configuração	supondo,	equivocadamente,	que	não	haveria	problema	
ao	 apagar	 o	 arquivo	 boot.ini,	 por	 não	 se	 lembrar	 de	 tê-lo	 usado	 em	qualquer	
momento.	Ainda,	por	exemplo,	um	usuário	pode	 inserir	valores	 incorretos	em	
uma	aplicação	de	processamento	de	dados,	cobrando,	de	um	cliente,	$	3.000.000,00,	
em	vez	de	$	300,00.	
Modificar	 incorretamente	 dados	mantidos	 em	 banco	 de	 dados	 é	 outra	
forma	comum	de	os	usuários	corromperem	acidentalmente	os	dados,	um	erro	
que	pode	ter	efeitos	duradouros.	São	exemplos	de	medidas	de	integridade:		
•	 Mudanças	 em	 sistemas	 e	dados	 são	 autorizadas.	Por	 exemplo,	um	membro	
da	 equipe	 atribui	um	novo	preço	 a	um	artigo	no	website	 e	 outro	verifica	 a	
validade	desse	preço	antes	de	ser	publicado.
•	 Onde	possível,	são	criados	mecanismos	que	forcem	a	pessoa	a	usar	o	 termo	
correto.	 Por	 exemplo,	 um	 cliente	 é	 sempre	 chamado	 de	 “cliente”;	 o	 termo	
“freguês”	não	pode	ser	inserido	na	base	de	dados.
•	 As	ações	dos	usuários	são	gravadas	(logged),	de	forma	que	possa	ser	determinado	
quem	modificou	a	informação.	
•	 Ações	vitais	para	o	sistema,	como	a	instalação	de	novo	software,	não	podem	ser	
conduzidas	por	uma	só	pessoa.	Ao	segregar	funções,	posições	e	autoridades,	
ao	menos	duas	pessoas	 são	necessárias	para	 realizar	mudanças	que	 tenham	
graves	consequências.	
A	integridade	dos	dados	pode	ser	garantida,	em	grande	parte,	por	meio	
de	técnicas	de	criptografia,	protegendo	a	informação	de	acesso	ou	mudança	não	
autorizada.	Os	 princípios	 de	 política	 e	 de	 gestão	 para	 criptografia	 podem	 ser	
definidos	em	um	documento	de	políticas	separado.
Dê uma olhada no backdoor, ou “entrada secreta” em: https://www.
welivesecurity.com/br/2016/08/31/backdoor-e-trojan/. Ainda, veja a definição de detecção 
de intrusão em https://www.gta.ufrj.br/grad/16_2/2016IDS/conceituacao.html. Por fim, 
confira o que é hashing: https://www.devmedia.com.br/seguranca-da-informacao-para-
desenvolvedores-funcoes-de-hash/25008.
DICAS
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
12
3.3 DISPONIBILIDADE
Barreto	 et al.	 (2018)	 definem	 disponibilidade	 (Avaliability)	 como	 a	
quantidade	de	vezes	que	o	 sistema	 cumpriu	uma	 tarefa	 solicitada,	 sem	 falhas	
internas,	para	um	número	de	vezes	em	que	foi	solicitada	essa	tarefa.
Para	Baars,	Hintzbergen	e	Hintzbergen	(2018),	a	disponibilidade	possui	
algumas	 características,	 como	 oportunidade,	 continuidade	 e	 robustez.	 Para	
oportunidade,	 a	 informação	 está	 disponível	 sempre	 que	 necessário.	 Para	
continuidade,	a	equipe	pode	dar	sequência	aos	trabalhos	em	caso	de	uma	falha.
Para	 a	 característica	 de	 robustez,	 Baars,	 Hintzbergen	 e	 Hintzbergen	
(2018)	explicam	que	existe	capacidade	suficiente	para	permitir	que	toda	a	equipe	
trabalhe	no	sistema.	Por	exemplo,	tanto	uma	falha	de	disco	como	um	ataque	de	
negação	 de	 serviço	 causam	 violação	 da	 disponibilidade.	 Qualquer	 atraso	 que	
exceda	o	nível	de	serviço	esperado	para	um	sistema	pode	ser	descrito	como	uma	
violação	da	disponibilidade.	
A	 disponibilidade	 do	 sistema	 pode	 ser	 afetada	 pela	 falha	 de	 um	
dispositivo	 ou	 software.	 Dispositivos	 de	 backup	 devem	 ser	 utilizados	 para	
substituir	rapidamente	os	sistemas	críticos,	e	funcionários	devem	ser	qualificados	
e	 estar	 disponíveis	 para	 fazer	 os	 ajustes	 necessários	 para	 a	 restauração	 do	
sistema.	 Questões	 ambientais,	 como	 calor,	 frio,	 umidade,	 eletricidade	 estática	
e	contaminantes,	também	podem	afetar	a	disponibilidade	do	sistema.	Sistemas	
devem	 ser	 protegidos	 contra	 esses	 elementos,	 devidamente	 aterrados	 e	
monitorados	de	perto.	
Ataques	 de	 negação	 de	 serviço	 ou	Denial-of-Service	 (DoS)	 são	métodos	
populares	que	hackers	usam	para	interromper	a	disponibilidade	e	a	utilização	do	
sistema	de	uma	empresa.	Esses	ataques	são	montados	para	impedir	o	usuário	de	
acessar	recursos	e	informações	do	sistema.	Para	se	proteger,	apenas	os	serviços	e	
portas	necessárias	devem	estar	disponíveis	nos	sistemas,	e	sistemas	de	detecção	
de	intrusão	(Intrusion Detection Systems	–	IDS)	devem	monitorar	o	tráfego	da	rede	
e	a	atividade	das	máquinas.	Certas	configurações	de	roteadores	e	firewalls	também	
podem	reduzir	a	ameaça	de	ataques	e,	possivelmente,	impedi-los.	Exemplos	de	
medidas	de	disponibilidade	incluem:		
•	 A	gestão	(e	o	armazenamento)	de	dados	para	que	o	risco	de	perder	informações	
seja	mínimo.	
•	 O	dado	 é,	 por	 exemplo,	 armazenado	 em	um	disco	 de	 rede,	 e	 não	 no	 disco	
rígido	do	PC.		
•	 Os	procedimentos	de	backup	são	estabelecidos.	Os	requisitos	legais	de	quanto	
tempo	os	dados	devem	ser	armazenados	são	levados	em	conta.	A	localização	do	
backup	é	separada	fisicamente	do	negócio,	a	fim	de	garantir	a	disponibilidade	
nos	casos	de	emergência.	
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
13
•	 Os	 requisitos	 legais	 sobre	 quanto	 tempo	 os	 dados	 devem	 ser	 mantidos	
armazenados	 variam	 de	 país	 para	 país	 na	 União	 Europeia,	 nos	 EUA	 e	 em	
outros	 lugares.	 É	 importante	 checar	 as	 agências	 reguladoras	 individuais	 do	
governo	para	requisitos	específicos.	
Procedimentos	 de	 emergência	 são	 estabelecidos	 para	 garantir	 que	 as	
atividades	possam	ser	recuperadas,	o	mais	breve	possível,	após	uma	interrupção	
de	grande	escala.
Apresentaremos	algumas	sugestões	de	como	os	riscos	de	negócios	podem	
ser	evitados,	atendendo	aos	requisitos	de	segurança.
FIGURA 6 – MEDIDAS DE PROTEÇÃO
FONTE: O autor
No	contexto	da	 segurança	da	 informação,	 a	disponibilidade	é	 expressa	
como	a	quantidade	de	tempo	que	um	usuário	pode	usar	um	sistema,	aplicativo	
e	dados.	Medidas	 comuns	de	 tempo	de	disponibilidade	 incluem	as	 seguintes,	
segundo	Kim	e	Solomon	(2014):
•	 Tempo	de	utilização	–	A	quantidade	de	tempo	total	que	um	sistema,	aplicativo	
e	dados	ficam	acessíveis.	O	 tempo	de	utilização	 (ou	uptime)	 normalmente	 é	
medido	em	unidades	de	segundos,	minutos	e	horas,	dentro	de	determinado	
mês.
•	 Tempo	de	paralisação	–	A	quantidade	de	tempo	total	que	um	sistema,	aplicativo	
e	dados	não	ficam	acessíveis.	O	tempo	de	paralisação	(ou	downtime)	também	é	
medido	em	unidades	de	segundos,	minutos	e	horas	para	um	mês.
•	 Disponibilidade	–	Um	cálculo	matemático	no	qual	D	=	(Tempo	de	utilização	
total)	/	(Tempo	de	utilização	total	+	Tempo	de	paralisação).
•	 Tempo	médio	para	falha	(MTTF	–	Mean Time to Failure)	–	O	tempo	médio	para	
falha	é	a	quantidade	média	de	tempo	entre	falhas	para	determinado	sistema.	
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
14
Semicondutores	e	produtos	eletrônicos	não	quebram	e	possuem	um	MTTF	de	
muitos	anos	(por	exemplo,	25	anos	ou	mais).	Partes	físicas,	como	conectores,	
cabeamento,	ventiladores	e	fontes	de	alimentação,	possuem	um	MTTF	muito	
menor	(cinco	anos	ou	menos),	visto	que	o	uso	e	o	desgaste	podem	danificá-las.
•	 Tempo	médio	para	reparo	(MTTR	–	Mean Time to Repair)	–	O	tempo	médio	para	
reparo	é	a	quantidade	média	de	 tempo	necessária	para	reparar	um	sistema,	
aplicativo	ou	componente.	O	objetivo	é	colocá-lo	novamente	em	atividade,	o	
mais	rápido	possível.
•	 Objetivo	de	tempo	de	recuperação	(RTO	–	Recovery Time Objective)	–	O	objetivo	
de	tempo	de	recuperação	é	a	quantidade	de	tempo	necessária	para	recuperar	e	
tornar	um	sistema,	aplicativo	e	dados	disponíveis	para	uso	após	uma	parada.	
Planos	 de	 continuidade	 de	 negócios	 normalmente	 definem	 um	 RTO	 para	
sistemas,	aplicativos	e	acesso	a	dados	de	missão	crítica.
Como	medir	a	disponibilidade:
 
•	 Para	determinado	mês	de	30	dias,	a	quantidade	total	de	tempo	de	utilização	é:
ᵒ	 30	dias	×	24	horas/dia	×	60	minutos/hora	=	43.200	minutos
•	 Para	um	mês	de	28	dias	(fevereiro),	a	quantidade	total	de	tempo	de	utilização	
é:
ᵒ	 28	dias	×	24	horas/dia	×	60	minutos/hora	=	40.320	minutos
Usando	a	fórmula	Disponibilidade	=	(Tempo	de	utilização	total)/(Tempo	
de	utilização	 total	 +	Tempo	deparalisação),	 calcule	o	 fator	de	disponibilidade	
para	um	mês	de	30	dias	com	30	minutos	de	tempo	de	paralisação:
Disponibilidade	=	(43.200	minutos)/(43.200	minutos	+	30	minutos)	=	0,9993	
ou	99,93%.
Além	dos	princípios	já	conhecidos,	e	seguindo	os	padrões	internacionais	
sobre	segurança	da	 informação,	a	ISO/IEC	27002	aponta	apenas	três	princípios	
básicos	 da	 segurança	 da	 informação:	 Preservação	 da	 confidencialidade,	 da	
integridade	e	da	disponibilidade	da	informação.	No	entanto,	foram	adicionadas	
outras	propriedades:	a	autenticidade,	o	não	repúdio	e	a	legalidade.
Autenticidade:	 Garante	 a	 identidade	 de	 quem	 está	 enviando	 a	
informação,	ou	seja,	gera	o	não	repúdio	que	se	dá	quando	há	garantia	
de	 que	 o	 emissor	 não	 poderá	 se	 esquivar	 da	 autoria	 da	mensagem	
(Irretratabilidade).	Normalmente,	não	entra	como	um	dos	pilares	da	
segurança	da	informação.	É,	através	da	autenticidade,	que	se	garante	
que	a	informação	é	proveniente	da	fonte	anunciada,	ou	seja,	não	sofreu	
nenhuma	alteração	durante	o	processo.
Legalidade:	O	uso	da	tecnologia	da	informática	e	comunicação	deve	
seguir	as	leis	vigentes	do	local	ou	país.
Irretratabilidade	ou	Não	repúdio:	Visa	garantir	que	o	autor	não	negue	
ter	 criado	 ou	 assinado	 algum	 documento	 ou	 arquivo.	 Estabelecer	
um	programa	de	segurança	da	informação	na	empresa	deve	sempre	
passar	por	ações	que	norteiam	esses	princípios.	Tal	modelo	deve	estar	
amparado	 por	 um	 sistema	 de	 gestão	 de	 segurança	 da	 informação,	
que	 precisa	 ser	 planejado	 e	 organizado,	 implementado,	 mantido	 e	
monitorado	(OLIVEIRA,	2019,	s.p.).
TÓPICO 1 — CONCEITOS FUNDAMENTAIS DE SEGURANÇA DA INFORMAÇÃO
15
Agora	 que	 já	 conhecemos	 a	 tríade	 CID,	 o	 modelo	 de	 segurança	 mais	
conhecido	 é	 incapaz	 de	 cobrir	 todas	 as	 preocupações	 que	 os	 proprietários	 de	
dados	possam	ter	em	relação	à	segurança.	O	hexadiano	Parkeriano	contém	três	
atributos	adicionais,	além	dos	três	da	tríade	da	CID.
4 HEXADIANO PARKERIANO
O	modelo	 apresentado	 na	 tríade	 CID	 é	 um	modelo	 de	 segurança	 que	
existe	há	mais	de	20	anos.	A	 importância	dos	dados,	na	atualidade,	aumentou	
significativamente,	além	da	complexidade,	sem	falar	na	quantidade	de	dados	que	
é	armazenada	eletronicamente.	
Segundo	Pender-Bey	(2012),	tendências	tecnológicas,	como	armazenamento	
em	nuvem	e	registros	eletrônicos	de	saúde,	tornaram	a	proteção	de	dados	muito	
mais	complexa.	O	modelo	da	CID	está	muito	orientado	para	a	tecnologia,	não	se	
concentrando,	o	suficiente,	o	elemento	humano	na	segurança	da	informação.	
O	 modelo	 hexadiano	 Parkeriano	 (PH)	 foi	 desenvolvido	 com	 base	 no	
CID,	e	foram	adicionados	componentes	para	fornecem	um	modelo	abrangente	e	
completo,	protegendo	os	dados.
O	hexadiano	Parkeriano	é	um	modelo	de	 segurança	composto	por	 seis	
elementos	 de	 atributos	 de	 segurança.	 Originalmente,	 foi	 proposto	 por	 Donn	
Parker,	em	1998.	Os	seis	atributos	são,	segundo	Pender-Bey	(2012):
•	 Confidencialidade:	os	dados	podem	ser	mantidos	em	segredo	para	usuários	
não	autenticados.	Pode	ser	definida	como	a	qualidade	ou	estado	de	ser	privado	
ou	secreto,	conhecido	apenas	por	poucos.
• Integridade:	dados	que	estão	em	um	estado	intacto	até	quando	foram	criados.	
Pode	ser	definida	como	condição	intacta	ou	sem	marca;	solidez;	correspondência	
inteira	com	uma	condição	original;	a	qualidade	ou	estado	de	estar	completo	ou	
indiviso;	totalidade	material.
•	 Disponibilidade: acessar	e	usar	os	dados.	Pode	ser	definida	como	capaz	de	
ser	 utilizada	 para	 a	 realização	 de	 um	 propósito,	 imediatamente	 utilizável,	
acessível,	que	possa	ser	obtido.
• Autenticidade: confirmação	 de	 que	 uma	 reivindicação	 de	 propriedade	 dos	
dados	é	genuína.	Também	definida	como	válida,	verdadeira,	real,	genuína	ou	
digna	de	aceitação	ou	crença	por	motivo	de	conformidade	com	fato	e	realidade.
•	 Posse/Controle:	Quando	tem	sob	controle	próprio	acesso	aos	dados.	Também	
é	definido	como	um	estado	de	posse	ou	controle	ou	posse	de	alguém;	controle	
físico	 real	 da	 propriedade,	 distinto	 da	 custódia;	 algo	 de	 propriedade	 ou	
controlado.
•	 Utilitário:	É	a	capacidade	de	usar	propositadamente	esses	dados.	Em	outras	
palavras,	é	definido	como	útil,	adequado	para	algum	propósito.
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
16
Quando	Parker	propôs	o	nome	do	modelo,	segundo	Pender-Bey	(2012),	
ele	 queria	 mudar	 a	 maneira	 como	 a	 segurança	 da	 informação	 era	 avaliada	 e	
compreendida.	Para	Parker,	o	modelo	da	CID	consistia	em	uma	visão	incompleta	
e	 muito	 simplista	 para	 algumas	 aplicações.	 A	 segurança	 da	 informação	 não	
se	 concentrava	 suficientemente	 no	 papel	 que	 as	 pessoas	 têm,	 na	manutenção	
e	 na	 perda	 das	 informações.	Assim,	 Parker	 sugeriu	 que	 os	 elementos	 fossem	
analisados	 		nos	 seguintes	 agrupamentos:	 confidencialidade,	posse,	 integridade,	
autenticidade,	disponibilidade	e	utilidade.
Os	atributos	da	informação	são	atômicos,	ou	seja,	eles	não	são	divididos	
em	outras	partes	constituintes,	não	se	sobrepõem,	 já	que	se	referem	a	aspectos	
únicos	da	informação.	“Qualquer	violação	da	segurança	da	informação	pode	ser	
descrita	 como	 aquilo	 que	 afeta	 um	ou	mais	 desses	 atributos	 fundamentais	 da	
informação.	Confidencialidade,	integridade	e	disponibilidade	foram	mencionadas	
anteriormente”	(BAARS;	HINTZBERGEN;	HINTZBERGEN,	2018,	p.	27).
Finalizamos	nosso	 tópico	e	esperamos	que	você	 tenha	compreendido	a	
importância	de	 as	 informações	 estarem	corretas,	 acessadas	 somente	por	quem	
é	devido.	No	próximo	tópico,	apresentaremos	como	as	 informações	devem	ser	
mantidas.
17
Neste tópico, você aprendeu que: 
•	 Há	 muita	 importância	 do	 conhecimento	 dos	 conceitos	 de	 segurança	 da	
informação	para	a	proteção	dos	ativos.
•	 Os	ativos	de	informação	não	são	apenas	equipamentos,	mas	tudo	que	se	refere	
à	informação.
•	 Os	ativos	da	informação,	em	muitos	negócios,	têm	muito	valor.
•	 Há	importância	de	conhecer	os	princípios	de	segurança,	para	garantir	que	as	
políticas	possam	ser	desenvolvidas.
•	 Existem	 algumas	 medidas	 para	 a	 garantia	 dos	 princípios	 de	 segurança	 da	
informação.
•	 Há	métricas	de	disponibilidade	da	informação.
•	 Existe	 o	Hexadiano	 Parkeriano,	 uma	 forma	 de	 observar	 o	 novo	 cenário	 de	
segurança	da	informação.
RESUMO DO TÓPICO 1
18
1		O	processo	de	proteção	da	 informação	das	 ameaças	 se	 caracteriza	 como	
segurança	 da	 informação.	 Para	 que	 se	 sejam	 obtidos	 bons	 resultados,	 é	
necessário	conhecimento	sobre	o	assunto,	para	realizar	uma	boa	gestão	da	
segurança	da	informação.	Para	tanto,	deve	existir	suporte	a	cinco	aspectos	
principais:
I-		Somente	as	pessoas	autorizadas	têm	acesso	às	informações.
II-	As	informações	são	confiáveis	e	exatas.	Pessoas	não	autorizadas	não	podem	
alterar	os	dados.
III-	Garante	o	acesso	às	informações,	sempre	que	for	necessário,	por	pessoas	
autorizadas.
IV-	Garante	que,	em	um	processo	de	comunicação,	os	remetentes	não	se	passem	
por	terceiros	e	nem	que	a	mensagem	sofra	alterações	durante	o	envio.
V-	 Garante	 que	 as	 informações	 sejam	 produzidas	 respeitando	 a	 legislação	
vigente.
Os	aspectos	apresentados	correspondem,	correta	e	respectivamente,	à:
a)	(	 )	 Autenticidade	 -	 integridade	 -	 disponibilidade	 -	 legalidade	 -	
confidencialidade.
b)	(	 	 )	 Autenticidade	 -	 confidencialidade	 -	 integridade	 -	 disponibilidade	 -	
legalidade.
c)	(	 	 )	 Integridade	 -	 disponibilidade	 -	 confidencialidade	 -	 autenticidade	 -	
legalidade.
d)	(	 )	 Disponibilidade	 -	 confidencialidade	 -	 integridade	 -	 legalidade	 -	
autenticidade.
e)	(	 	 )	 Confidencialidade	 -	 integridade	 -disponibilidade	 -	 autenticidade	 -	
legalidade.
2	 Imagine	o	seguinte	cenário:	Um	hacker	consegue	acesso	a	um	servidor	web	
e,	com	isso,	ele	consegue	ver	um	arquivo	no	servidor	contendo	números	de	
cartões	 de	 crédito.	 Baseando-se	 nesse	 cenário,	 e	 analisando	 cada	 um	 dos	
princípios	 CIA	 (confidencialidade,	 integridade	 e	 disponibilidade),qual	
desses	princípios	o	hacker	violou	ao	acessar	o	arquivo	de	cartões	de	crédito?
3	 Em	 uma	 empresa	 de	 prestação	 de	 serviços,	 ao	 fim	 do	 expediente,	 na	
impressora	de	rede,	que	se	 localiza	no	corredor	da	empresa,	próxima	ao	
refeitório,	muitos	dos	documentos	impressos	não	são	buscados,	ou	sejam,	
ficam	na	impressora.	Ao	analisarmos	o	cenário,	quais	são	as	consequências	
em	relação	à	confiabilidade	da	informação?
a)	(			)	A	empresa	não	pode	garantir	a	integridade	da	informação.	
b)	(			)	A	disponibilidade	da	informação	não	é	mais	garantida.	
c)	(			)	A	confidencialidade	da	informação	não	é	mais	garantida.
d)	(			)	A	legalidade	da	informação	não	é	mais	garantida.
AUTOATIVIDADE
19
TÓPICO 2 — 
UNIDADE 1
SEGURANÇA DA INFORMAÇÃO NO CONTEXTO 
ORGANIZACIONAL
1 INTRODUÇÃO
Talvez,	a	pergunta	sobre	a	importância	da	segurança	da	informação	seja	
irrelevante,	dado	o	cenário	em	que	vivemos.	Grande	parte	das	informações	já	não	
se	encontra	mais	no	meio	físico,	estamos	apenas	no	formato	digital	e,	na	maioria	
das	vezes,	armazenada	em	uma	nuvem.
Se,	para	pessoas	comuns,	a	perda	de	um	celular	gera	grande	incômodo,	
imagine	a	perda	de	dados	para	uma	empresa.	Existem	diversos	motivos	para	que	
as	empresas	se	atentem	à	segurança	das	suas	informações,	como	uma	falha	em	
um	equipamento,	um	incêndio	ou,	até	mesmo,	o	sequestro	dos	seus	dados.
Neste	tópico,	vamos	falar	como	a	empresa	pode	se	precaver,	pois,	para	
muitas	empresas,	o	seu	maior	capital	é	a	regra	de	negócio	da	empresa,	a	fórmula	
de	algum	produto	ou	a	configuração	de	um	equipamento.	Agora,	 imagine	que	
uma	invasão	nos	servidores	tire	seus	sistemas	do	ar	e	faça	com	que	a	empresa	pare	
de	trabalhar	por	24	horas.	Apesar	de	ser	algo	comum,	a	situação,	com	certeza,	traz	
transtornos	financeiros,	operacionais	e,	talvez,	o	mais	difícil	de	recuperar,	que	é	a	
confiança	dos	clientes.
2 ATIVOS DE INFORMAÇÃO
Até	o	momento,	vimos	a	importância	das	informações	nas	empresas.	Neste	
tópico,	 conheceremos	a	 importância	da	 física.	É	 importante	 sabermos	que	esta	
não	começa	na	mesa	de	trabalho,	e	não	se	restringe	a	uma	sala.	Sua	amplitude	é	
bem	maior.
Antes	de	começarmos	a	falar	de	como	a	informação	deve	ser	protegida,	
vamos	 ampliar	 nosso	 leque,	 e	 vamos	 tratar	 dos	 ativos	 da	 informação.	 Talvez,	
na	 empresa	 em	que	 você	 trabalha,	 ou	 em	 algum	 assunto	 sobre	 contabilidade,	
você	 já	deve	ter	ouvido	falar	dos	ativos.	O	termo,	tratando-se	de	segurança	da	
informação,	 é	muito	utilizado.	Entende-se	“ativo”	como	qualquer	 componente	
(seja	humano,	tecnológico,	software	etc.)	que	ampara	um	ou	mais	processos	do	
negócio	de	uma	unidade	ou	área	do	negócio.
20
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Uma	 outra	 boa	 definição	 de	 ativo	 é	 tudo	 aquilo	 que	 tem	 valor	 para	 a	
empresa.	É	preciso	que	todos	os	ativos	relevantes	sejam	identificados,	além	de	
inventariados.	 Existe	 um	 pouco	 de	 confusão	 porque	 costumamos	 associar	 a	
expressão	“inventário	de	ativos”	ao	usual	inventário	de	hardware	e	software.
Quando	 o	 assunto	 é	 segurança	 da	 informação,	 por	 “inventário	 de	
ativos”,	 devemos	 compreender	 um	 conjunto	 mais	 abrangente	 de	 ativos,	 que	
contempla	sistemas,	pessoas,	ambientes	físicos	etc.	Antes	de	começarmos,	vamos	
contextualizar	o	que	são	ativos,	segundo	Souza	(2013,	s.p.):
O	departamento	 de	 TI	 não	 pode	 resumir	 os	 ativos	 a	 equipamentos	
de	 informática	 e	 softwares	 instalados	 no	 ambiente	 sob	 sua	
responsabilidade.	É	algo	muito	mais	abrangente,	que	envolve	tudo	o	
que	pode	ter	ou	fornecer	um	valor	para	uma	organização,	justamente	
porque	a	definição	de	um	ativo,	na	norma	ABNT	NBR	ISO/IEC	27002	
-	Código	de	Prática	para	a	Gestão	de	Segurança	da	Informação,	é	bem	
sucinta:	 Ativo:	 qualquer	 coisa	 que	 tenha	 valor	 para	 a	 organização.	
Portanto,	 é	 preciso	 localizar,	 e	 identificar	 todos	 esses	 ativos,	 que	
podem	estar	representados	em	diversas	formas,	de	acordo	com	a	ISO:
a)	Ativos	de	informação:	base	de	dados	e	arquivos,	contratos	e	acordos,	
documentação	 de	 sistema,	 informações	 sobre	 pesquisa,	 manuais	
do	 usuário,	material	 de	 treinamento,	 procedimentos	 de	 suporte	 ou	
operação,	 planos	 de	 continuidade	 do	 negócio,	 procedimentos	 de	
recuperação,	trilhas	de	auditoria	e	informações	armazenadas.
b)	 Ativos	 de	 software:	 aplicativos,	 sistemas,	 ferramentas	 de	
desenvolvimento	e	utilitários.
c)	 Ativos	 físicos:	 equipamentos	 computacionais,	 equipamentos	 de	
comunicação,	mídias	removíveis	e	outros	equipamentos.
d)	Serviços:	serviços	de	computação	e	comunicações,	utilidades	gerais,	
como	aquecimento,	iluminação,	eletricidade	e	refrigeração.
e)	Pessoas	e	suas	qualificações,	habilidades	e	experiências.
f)	Intangíveis,	como	a	reputação	e	a	imagem	da	organização.
Semelhante	à	definição	proposta,	Barreto	et al.	(2018)	afirmam	que	pode	
ser	considerado	um	ativo	tudo	que	possui	um	valor	para	empresa,	o	que	ela	quer	
proteger.
Os	ativos	são	elementos	fundamentais	da	segurança	da	informação	e	a	
razão	da	existência	dessa	preocupação.	O	valor	de	um	ativo	pode	estar	
no	próprio	ativo,	como	um	servidor,	ou	no	uso	que	se	faz	dele,	como	
em	um	 banco	 de	 dados,	 conforme	 leciona	Correa	 Junior	 (2011).	Os	
ativos	de	informação	podem	ser	divididos	nas	seguintes	categorias:
Informações:	 toda	 e	 qualquer	 informação	 que	 a	 empresa	 possui,	
digitalizada	ou	não.
Software:	 esse	 grupo	 de	 ativos	 contém	 todos	 os	 programas	 de	
computador	utilizados	nos	processos	de	acesso,	leitura,	transmissão	e	
armazenamento	das	informações	de	uma	empresa.
Hardware:	todos	os	elementos	físicos	que	apresentam	valor	importante	
para	 uma	 empresa	 no	 que	 diz	 respeito	 à	 informação,	 por	 exemplo,	
computadores	e	servidores.
Organização:	no	grupo,	estão	incluídos	os	aspectos	que	compõem	as	
estruturas	física	e	organizacional	das	empresas.
Usuários:	engloba	os	indivíduos	que	lidam	com	as	informações	no	seu	
dia	a	dia	de	trabalho	(BARRETO	et al.,	2018,	p.	17).
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
21
Agora	que	já	definimos	o	que	são	os	ativos	de	informação,	vejamos	como	
ocorrem	as	proteções	lógica,	física	e	humana	desses	ativos.
3 ACESSO À INFORMAÇÃO
Para	 garantir	 a	 devida	 segurança	 das	 informações	 e	 dos	 ativos	 de	 TI,	
temos	que	ter	em	mente	que	eles	estão	armazenados	em	algum	lugar,	e	que	esse	
lugar	precisa	atender	alguns	requisitos	para	a	garantia	da	segurança,	itens	que	
podem	até	passar	despercebidos,	como	paredes	e	portas.
Neste	tópico,	conheceremos	maneiras	de	proteção	dos	ativos	de	informação	
e	como	podemos	desenvolver	maneiras	de	restrição	dos	acessos	físico,	lógico	e	
humano.
3.1 CONTROLE FÍSICO
Além	de	garantimos	a	segurança	e	a	qualidade	das	nossas	informações,	
é	de	suma	importância	garantir	que	nossos	ativos	estejam	seguros.	A	segurança	
física	é	fundamental	ao	pensarmos	em	proteção	de	informações	e	continuidade	dos	
negócios.	O	objetivo	maior	é	impedir	perdas,	danos,	furto,	comprometimento	de	
ativos	e	a	interrupção	das	atividades	da	organização.	Para	tanto,	os	equipamentos	
necessitam	de	proteção	contra	ameaças	físicas	e	do	meio	ambiente.
Como	vimos	nas	definições	apresentadas	por	Souza	 (2013)	 e	Barreto	 et 
al.	 (2018),	 todos	os	ativos	possuem	um	certo	valor	e,	dependendo	desse	valor,	
além	das	ameaças	e	riscos	a	esses	ativos,	medidas	específicas	devem	ser	tomadas.	
Segundo	Baars,	Hintzbergen	e	Hintzbergen	(2018),	devido	à	importância	desses	
ativos,	 medidas	 de	 segurança	 física	 precisam	 ser	 tomadas	 para	 proteger	 a	
informação	de	 incêndio,	 furto,	vandalismo,	 sabotagem,	acesso	não	autorizado,	
acidentes	e	desastres	naturais.
O	 objetivo,	 com	 esse	 tipo	 de	 proteção,	 segundo	 Baars,	 Hintzbergen	 e	
Hintzbergen	(2018),	é	dificultar	o	acesso	das	pessoas	aos	ativos	que	necessitam	
ser	protegidos.	O	anel	 externo	 representa	a	 área	 em	 torno	das	 instalações.	No	
nível	em	questão,	a	proteção	se	refere	aos	acessos	que	circundam	as	instalações,	
por	barreiras	naturais	e	arquitetônicas,	comovegetação	densa	ou	um	rio.	 Já	as	
barreiras	arquitetônicas	são	aquelas	que	incluem	cercas	e	muros.	O	acesso	deve	
ser	permitido	apenas	para	pessoas	autorizadas,	de	modo	que	as	barreiras	sempre	
empreguem	uma	verificação	pessoal	e/ou	eletrônica.
22
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
FIGURA 7 – ANÉIS DE PROTEÇÃO
FONTE: Baars, Hintzbergen e Hintzbergen (2018, p. 107)
Para	Baars,	Hintzbergen	e	Hintzbergen	(2018),	o	segundo	nível	se	refere	
ao	prédio,	onde	o	controle	e	o	acesso	às	instalações	devem	acontecer,	uma	vez	que	
o	anel	externo,	em	alguns	cenários,	pode	não	acontecer.	Devem	existir	algumas	
maneiras	 de	melhorar	 a	 segurança	 dos	 prédios,	 e	 tornar	 seguras	 as	 aberturas	
nas	 instalações,	 como	 vidros	 resistentes,	 grades	 ou	 portas	 que	 não	 permitam	
o	 arrombamento.	Além	 dessas	medidas	 estruturais	mencionadas,	medidas	 de	
controle	de	entrada	física	podem	ser	adotadas.
Nesta	 etapa,	 pode	 ser	 aplicado,	 também,	 o	 gerenciamento	 do	 acesso	
eletrônico.	 Medidas,	 como	 o	 acesso	 eletrônico,	 que	 inclui	 sistemas	 de	 cartão,	
fechaduras	de	código	e	acesso	por	RFID	(ou	Tags),	são	muito	utilizados.
Leia mais sobre a técnica de RFID em https://www.filipeflop.com/blog/
controle-acesso-leitor-rfid-arduino/ e https://www.usinainfo.com.br/blog/projeto-arduino-
controle-de-acesso-rfid/.
DICAS
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
23
Além	do	RFID,	existem	outros	tipos	de	controle	de	acesso	que	não	podem	
ser	 penetrados,	 e	 podem	 complementar	 a	 segurança	 física.	 Segundo	 Baars,	
Hintzbergen	e	Hintzbergen	(2018):
•	 No	crachá	de	identificação,	colocar	uma	foto,	pois	isso	torna	a	cópia	um	pouco	
mais	difícil.	Também	ajuda	a	equipe	de	segurança	a	verificar	se	a	credencial	
pertence	ao	portador.		Lembrando	que	esse	crachá/credencial	deve	ser	único,	
ou	seja,	só	deve	ter	um	proprietário/usuário,	caso	contrário,	não	será	possível	
determinar	quem	acessou	o	edifício/sala.	
•	 Outra	prática	é	não	colocar	o	nome	da	empresa	ou	logotipo	na	credencial,	com	
utilização	em	estilo	neutro.	Em	caso	de	perda,	se	alguém	encontrar	a	credencial,	
seu	propósito	não	deve	estar	óbvio.	
•	 Deve-se	criar	a	cultura,	na	empresa,	do	uso	da	credencial,	e	de	forma	visível.	
Isso	 também	 deve	 se	 aplicar	 aos	 visitantes,	 para	 que	 a	 segurança	 e	 os	
funcionários	possam	detectar	e	abordar	qualquer	pessoa	que	não	esteja	usando	
uma	credencial.	
•	 Todas	essas	credenciais	 também	devem	exibir	uma	data	de	validade	 legível	
para	os	humanos,	ou	seja,	sem	a	necessidade	de	consulta	em	um	sistema.	
	Além	do	gerenciamento	do	acesso,	com	cartões/credenciais,	ele	também	
pode	ser	feito	por	biometria.	
A	biometria	se	refere	a	tecnologias	que	medem	e	analisam	características	
do	corpo	humano,	como	impressões	digitais,	retinas	e	íris	dos	olhos,	
padrões	de	voz,	padrões	faciais	e	medidas	das	mãos,	para	propósitos	
de	autenticação.	Características	biométricas	podem	ser	divididas	em	
duas	classes	principais:	fisiológicas,	que	são	relacionadas	à	forma	do	
corpo;	 e	 comportamentais,	 que	 são	 relacionadas	 ao	 comportamento	
da	pessoa	(BAARS;	HINTZBERGEN;	HINTZBERGEN,	2018,	p.	108).
Veja as diferentes formas de biometria: https://sites.google.com/site/
admtopicosdeinformatica/biometria/tipos-de-biometria e https://www.gta.ufrj.br/
grad/08_1/bio-voz/HMM.html.
DICAS
No	próximo	nível	do	anel	de	proteção	está	o	 local	de	trabalho,	as	salas	
dentro	das	instalações,	o	conhecido	“anel	interno”.	Na	parte	mais	interna,	chamado	
objeto,	é,	efetivamente,	o	ativo	que	deve	ser	protegido.	Medidas	protetivas,	como	
apenas	“esconder”	esses	locais,	não	são	suficientes	e	nem	eficientes.	Nada	adianta	
realizar	 uma	 reunião	 de	 portas	 fechadas,	 sobre	 um	 assunto	 importante,	 e	 as	
paredes	da	sala	permitem	ouvir	o	que	acontece	lá	dentro.	Ainda,	se	as	paredes	
são	de	vidro,	e	o	planejamento	está	sendo	apresentado	em	um	quadro	na	parede	
(BAARS;	HINTZBERGEN;	HINTZBERGEN,	2018).
24
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Vale	ressaltar	que	cada	espaço	de	trabalho	deve	ter	sua	função	específica,	e	
a	proteção	necessária	para	garantia	da	segurança.	Medidas	protetivas,	para	evitar	
as	ameaças,	devem	ser	 tomadas,	de	acordo	com	a	 sensibilidade	do	ativo	a	 ser	
protegido,	como	a	estrutura	da	sala	dos	servidores,	que	deve	possuir	estrutura	
específica	de	construção	e	de	refrigeração.
Silva	(2009)	destaca	os	aspectos	que	devem	ser	analisados	para	a	prevenção	
do	acesso	físico	não	autorizado,	ocasionando	danos	e	interferências	prejudiciais	
aos	 ativos.	A	 lista	 das	 ameaças,	 que	 devem	 ser	 consideradas	 na	 proteção	 dos	
ativos,	é:	
•	 Incêndios.
•	 Água	(chuvas,	enchentes).
•	 Atividades	sísmicas	(terremotos,	erupções	vulcânicas)	e	furacões.
•	 Sabotagens	e	vandalismos.
•	 Explosões.
•	 Materiais	tóxicos.
•	 Quedas	no	fornecimento	de	energia,	água	e	refrigeração.
•	 Desmoronamento	de	prédios.
•	 Falhas	de	equipamentos.
•	 Perdas	pessoais	(acidentes,	doenças	e	acesso	não	autorizado).
3.2 SEGURANÇA LÓGICA
Após	a	explicação	do	que	é	a	segurança	física	dos	sistemas	de	informação,	
de	maneira	bem	genérica,	podemos	dizer	que	é	tudo	que	não	é	físico,	como	as	
informações	são	protegidas	dentro	de	um	sistema,	seja	através	da	criptografia	de	
arquivos,	limitação,	controle	de	acesso	à	internet,	firewall	etc.
Antes	de	mais	nada,	é	preciso	que	haja	uma	convergência	entre	a	segurança	
física	e	a	lógica.	Nada	adianta	ter	todos	os	arquivos	protegidos	em	uma	sala	onde	
qualquer	um	pode	entrar,	por	exemplo.
Izquierdo	(2017,	s.p.)	afirma	que	a	proteção	que	ocorre	na	segurança	lógica	
é	 a	 que	 controla	 o	 acesso	 a	 aplicativos,	 “dados,	 sistemas	 operacionais,	 senhas	
e	arquivos	de	 log	por	meio	de	firewalls	de	hardwares	e	softwares,	 criptografia,	
antivírus,	outras	aplicações	contra	hackers	e	possíveis	invasões	às	fontes	internas	
da	empresa”.			
A	 segurança	 lógica	 permite	 que	 o	 acesso	 às	 informações	 seja	 liberado	
segundo	as	necessidades	de	uso	de	cada	usuário,	para	realização	das	tarefas,	com	
a	devida	identificação	com	senha	e	login.	Dessa	maneira,	evita-se	que	pessoas	não	
autorizadas,	ou	até	mesmo	funcionários,	realizem	funções	que	não	sejam	do	seu	
cargo	(IZQUIERDO,	2017).		
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
25
A	proteção	da	informação	vem	sendo	um	grande	desafio	para	as	empresas,	
e	 exige	 investimento,	 não	 só	 de	 equipamentos	 e	 estruturas,	 mas	 de	 pessoal	
treinado	e	atualizado	com	as	novas	tecnologias	de	segurança	da	informação	que	
surgem	diariamente.			
Estar	 atento	 aos	 riscos	 é	 o	 primeiro	 passo	 para	 a	 melhor	 segurança.	
Os	 riscos	 que	 uma	 empresa	 pode	 correr,	 por	 não	 ter	 uma	 boa	 estrutura	 de	
segurança	lógica,	são	muitos.	Podemos	listar,	por	exemplo,	o	acesso	de	terceiros	
a	 informações	sigilosas,	perdas	de	dados,	 falhas	na	 rede	causadas	por	 fraudes	
etc.	 Como	 consequências,	 temos	 a	 perda	 de	 confidencialidade,	 que	 acontece	
quando	 há	 quebra	 de	 sigilo	 e	 informações	 restritas	 apenas	 a	 determinados	
funcionários	 são	vazadas;	perda	de	 integridade,	que	 significa	que	uma	pessoa	
não	autorizada	consegue	ter	acesso	e	modificar	algum	dado	importante;	e	a	perda	
de	disponibilidade,	quando	pessoas	autorizadas	passam	a	não	conseguir	acessar	
uma	aplicação	(IZQUIERDO,	2017).		
Já ouviu falar em sequestro de dados ou ransomware? Conheça um pouco 
mais sobre o tema em https://www.security.unicamp.br/blog/99-ransomware-arquivos-
sequestrados/ e https://docs.microsoft.com/pt-br/windows/security/threat-protection/
intelligence/understanding-malware.
DICAS
Malware	 é	 o	 termo	 utilizado	 para	 descrever	 aplicativos	 e	 códigos	 mal	
intencionados.	Esses	programas	podem	causar	sérios	danos	e	interromper	o	uso	
normal	de	dispositivos.	Como	características,	um	malware pode	permitir	acesso	
não	autorizado,	usar	recursos	do	sistema,	roubar	senhas,	bloquear	você	do	seu	
computador,	pedir	um	resgate	e	muito	mais.	Vale	ressaltar	que	essa	prática	dos	
criminosos	 cibernéticos,que	 distribuem	 malware,	 tem	 motivação	 financeira.	
Utilizam	computadores	infectados	como	porta	de	entrada	para	iniciar	ataques,	
obter	credenciais	do	banco,	coletar	informações	que	podem	ser	vendidas	e	vender	
acesso	a	recursos	de	computação.
Os	 malwares	 podem	 ser	 classificados	 como	 mineradores	 de	 moedas	
virtuais,	explorações	e	kits	de	exploração,	phishing,	ransomware,	rootkits,	ataques	
de	cadeia	de	fornecedores,	scams	de	suporte	técnico,	cavalos	de	Tróia,	software	
indesejado	e	worms.
26
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
O objetivo do nosso livro são as políticas de segurança, por isso, para mais 
informações sobre a classificação, acesse: https://docs.microsoft.com/pt-br/windows/
security/threat-protection/intelligence/understanding-malware.
DICAS
Como	percebemos,	a	segurança	física	e	a	lógica	caminham	de	mãos	dadas,	
por	isso,	é	necessário	que	haja	uma	convergência	entre	as	duas	áreas,	a	fim	de	
obter	melhores	resultados	para	a	segurança	da	empresa.
3.3 CONVERGÊNCIA ENTRE A SEGURANÇA FÍSICA E A 
LÓGICA 
Ainda	é	comum	que	as	empresas	tratem	desses	assuntos	separadamente,	
porém,	com	a	convergência	dos	dois	departamentos,	algumas	ameaças	podem	
ser	 identificadas	e	controladas	de	forma	mais	rápida.	Além	da	diminuição	dos	
riscos	de	segurança,	há	economia	de	tempo	e	dinheiro.
A	 integração	 também	ajuda	nas	auditorias,	 já	que	é	possível	 ter	acesso	
ao	 controle	de	 todas	as	 atividades	que	acontecem	na	empresa,	melhorando	as	
investigações	e	o	rastreamento	de	possíveis	problemas.	Os	dois	departamentos	
trabalham	pelo	mesmo	objetivo,	ainda	que	de	formas	diferentes.	Por	isso,	realizar	
a	convergência	é	reconhecer	a	importância	de	todos	os	seus	componentes	para	
existirem	soluções	necessárias	à	segurança.	Quando	tudo	acontece,	a	comunicação	
entre	 departamentos	 diferentes	 melhora,	 e	 é	 possível	 que	 mais	 funcionários	
participem	da	tomada	de	decisão	(IZQUIERDO,	2017).		
Zaniquelli	(2010,	s.p.)	corrobora,	e	diz	que	as	convergências	física	e	lógica	
nada	mais	são	que	a	integração	de	ambas,	e	exemplifica:	“imagine	um	cenário	em	
que	tenhamos	câmeras	espalhadas	pela	empresa	inteira,	porém	apenas	as	câmeras	
são	ineficientes	para	fins	de	investigação,	ou	seja,	apenas	exibem	o	que	acontece	
naquele	momento,	sem	gravar	nada”.	Para	resolver	o	problema,	é	fundamental	a	
convergência.	É	necessário	começar	a	gravar	e	a	armazenar	os	dados.	Tudo	que	
for	filmado	deve	ser	armazenado	em	um	computador	com	HD	suficiente,	uma	
forma	de	convergir	segurança	física	e	lógica.	
Outro	exemplo	pode	ser	dado	em	relação	ao	controle	de	acesso:	imagine	
que	 uma	 empresa	 possua	 catracas	 físicas,	 dessa	 forma,	 há	 controle	 físico	 da	
entrada.	O	funcionário	passa	o	crachá	e	entra.	As	formas	de	 integração	seriam	
o	 registro	 e	 o	 armazenamento	 dos	 dados	 da	 entrada	 e	 saída	 do	 funcionário,	
permitindo	 a	 rastreabilidade	dos	 funcionários.	Assim,	 consegue-se	melhorar	 a	
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
27
eficiência	da	segurança.	É	possível	entregar	uma	credencial	a	um	funcionário	e,	
com	essa	credencial,	ele	pode	acessar	as	áreas	e	sistemas	que	foram	vinculados	
a	 ele.	Pode-se	verificar	 as	 áreas	que	 esse	 funcionário	passou,	 seus	horários	de	
acesso	e	tentativas	de	acesso	não	autorizadas	(ZANIQUELLI,	2010).
Zaniquelli	(2010)	reforça	que	os	criminosos	estão	sempre	bem	atualizados	
e	conseguem	utilizar	novos	meios	para	roubar	informações	das	empresas.	Muitas	
vezes,	 os	 criminosos	 utilizam	meios	 lógicos,	 como	 roubo	 de	 um	 computador,	
para,	posteriormente,	roubar	os	dados	lógicos.
A	convergência,	segundo	Zaniquelli	(2010),	deve	estar	integrada	com	os	
processos	da	 empresa,	para	 facilitar	 a	 administração	deles,	pessoas	 e	 sistemas	
de	 TI.	 Ela	 também	 ajuda	 a	 dificultar	 ataques	 e,	 ao	mesmo	 tempo,	 auxiliar	 na	
detecção,	correção	e	prevenção:
•	 Política	de	Segurança	da	Informação.
•	 Provisionamento	de	usuário	e	ativos.
•	 Monitoramento	e	auditoria.
•	 Resposta	a	incidentes.
•	 Plano	de	continuidade	de	negócios.
Como	vimos	até	agora,	não	basta	ter	várias	camadas	de	segurança	se	elas	
não	interagirem	entre	si,	por	isso,	são	os	seres	humanos	que,	efetivamente,	dão	
garantia	de	sucesso	ou	fracasso	nas	seguranças	física	e	lógica.
3.4 COMPONENTE HUMANO
Quando	 falamos	 em	 componente	 humano,	 estamos	 nos	 referindo	
aos	 riscos	 que,	 consciente	 ou	 inconscientemente,	 podem	 afetar	 os	 ativos	 de	
informação.	Nesta	etapa,	são	consideradas	todas	as	pessoas	que	possuem	acesso	
às	 informações.	No	grupo,	estão	incluídos	desde	quem	dá	manutenção	até	aos	
que	 simplesmente	utilizam	 (SILVA	NETTO;	SILVEIRA,	2007).	Para	Silva	Netto	
e	 Silveira	 (2007),	 é	 uma	 etapa	 da	 segurança	 da	 informação	 que	merece	muita	
atenção	e	a	mais	difícil	de	ser	avaliada,	pois	envolve	pessoas	com	características	
individuais.
Dentre	os	problemas	já	mencionados,	em	relação	à	individualidade	dos	
que	interagem	com	a	informação,	outro	ponto	é	a	engenharia	social.	Ela	busca	
explorar	a	falta	de	consciência	sobre	segurança	dentro	de	uma	organização.	Para	
conseguir	o	que	quer,	o	criminoso	que	utiliza	a	técnica	usa	expressões	corretas	
ou	nomes	de	pessoas	 conhecidas	 e	 seus	departamentos,	 enganando	ou	dando	
a	 impressão	de	que	é	um	colega.	 	Com	essa	 técnica,	um	engenheiro	social	 tira	
proveito	dos	pontos	 fracos	das	pessoas	para	 concretizar	 seus	 objetivos.	Como	
pontos	 de	 sucesso	 da	 técnica,	 podemos	 citar	 que	 grande	 parte	 das	 pessoas	
desconhece	o	conceito	de	engenharia	social	e	não	reconhece	um	engenheiro	da	
área.
28
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Conheça um pouco mais o tema e como ele é aplicado em https://www.
kaspersky.com.br/resource-center/threats/malware-social-engineering.
DICAS
Uma	 maneira	 de	 acesso	 indevido	 das	 informações	 é	 devido	 à	 forma	
incorreta	de	descarte.
3.5 CICLO DE VIDA DA INFORMAÇÃO
Quando	falamos	de	ativos	de	informação,	temos	que	ter	em	mente	todo	o	
processo,	desde	a	obtenção	até	o	descarte.	Esse	processo	é	composto	por	criação,	
obtenção,	 tratamento,	 distribuição,	 uso,	 armazenamento	 e	 descarte.	 Assim,	
podemos	dizer	que	essas	etapas	são	a	espinha	dorsal	da	 informação,	 segundo	
Lyra	(2015).
A	etapa	de	identificação	das	necessidades	e	dos	requisitos	é	chamada	de	
criação.	São	identificadas	as	necessidades	de	informação	dos	grupos	e	indivíduos	
que	integram	a	organização	e	seus	públicos	externos	(LYRA,	2015)
A	etapa	seguinte	é	a	obtenção,	na	qual	são	desenvolvidos	procedimentos	
para	 captura	 e	 recepção	 da	 informação,	 esta	 que	 pode	 ser	 proveniente	 de	
uma	 fonte	 externa,	 de	 qualquer	 mídia	 ou	 formato.	 Ainda,	 é	 preciso	 garantir	
que	 a	 informação	 seja	 genuína	 e	 que	 foi	 produzida	 por	 pessoas	 ou	 entidades	
autorizadas,	está	completa	e	compatível	com	os	requisitos	apontados	na	etapa	
anterior	(LYRA,	2015).
Na	 etapa	 do	 tratamento,	 é	 o	 momento	 de	 deixar	 a	 informação	 ser	
aproveitada.	 Segundo	Lyra	 (2015,	 p.	 20),	 “é	 comum	que	 a	 informação	precise	
passar	 por	 processos	 de	 organização,	 formatação,	 estruturação,	 classificação,	
análise,	 síntese,	 apresentação	 e	 reprodução,	 com	o	propósito	 de	 torná-la	mais	
acessível,	organizada	e	fácil	de	localizar	pelos	usuários”.
A	 garantia	 da	 integridade	 deve	 ser	 observada,	 especialmente,	 se	
estiverem	envolvidas	técnicas	de	adequação	do	estilo,	adaptação	de	linguagem,	
contextualização,	condensação	da	informação	etc.	Ainda	nesta	etapa,	Lyra	(2015,	
p.	20)	adverte:
TÓPICO 2 — SEGURANÇA DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL
29
O	 uso	 dessas	 técnicas	 deve	 levar	 em	 conta	 a	 preservação	 das	
características	 de	 quantidade	 e	 qualidade	 necessárias	 para	 que	 a	
informação	efetivamente	sirva.	No	caso	das	atividades	de	reprodução	
da	informação	para	posterior	distribuição,	as	questões	relacionadas	à	
preservação	da	confidencialidade	podem	adquirir	grande	relevância,	
uma	vez	que	a	existência	de	diversas	cópias	de	umamesma	informação,	
qualquer	que	seja	a	mídia	utilizada	(computador,	papel,	disquete,	fita	
de	áudio	ou	vídeo	etc.),	amplia	os	problemas	de	restrição	de	acesso	aos	
usuários	devidamente	autorizados.	
A	 etapa	 de	 distribuição,	 como	 o	 nome	 já	 informa,	 consiste	 em	 levar	 a	
informação	até	seus	consumidores.	Deve-se	garantir	que	a	informação	certa	seja	
entregue	a	quem	necessita	dela	para	a	tomada	de	decisão	(LYRA,	2015).
Na	etapa	do	uso,	os	princípios	de	integridade	e	disponibilidade	devem	
receber	 cuidado	 específico,	pois	 se	 a	 informação	 estiver	 corrompida,	difícil	 de	
localizar	ou	indisponível,	pode	atrasar	os	processos	decisórios	e	operacionais	da	
organização	(LYRA,	2015).
A	 etapa	 de	 armazenamento	 é	 o	 momento	 em	 que	 a	 informação	 é	
armazenada,	seja	em	um	banco	de	dados	compartilhado,	em	uma	anotação	de	
papel	para,	posteriormente,	ser	registrada	ou,	ainda,	em	uma	mídia	guardada	em	
uma	gaveta	(LYRA,	2015).
A	etapa	do	descarte	é	o	momento	em	que	o	ativo	de	informação	perde	seu	
uso,	podendo	cair	em	mãos	erradas.	Lyra	(2015,	p.	23)	afirma:
Quando	 uma	 informação	 se	 torna	 obsoleta	 ou	 perde	 a	 utilização	
para	a	organização,	ela	deve	ser	objeto	de	processos	de	descarte	que	
obedeçam	a	normas	legais,	políticas	operacionais	e	exigências	internas.	
Excluir,	 dos	 repositórios	 de	 informação	 corporativos,	 os	 dados	 e	 as	
informações	 inúteis	melhoram	 o	 processo	 de	 gestão	 da	 informação	
de	 diversas	 formas:	 economizando	 recursos	 de	 armazenamento,	
aumentando	 a	 rapidez	 e	 eficiência	 na	 localização	 da	 informação	
necessária,	 melhorando	 a	 visibilidade	 dos	 recursos	 informacionais	
importantes	etc.	Entretanto,	o	descarte	de	dados	e	informação	precisa	
ser	 realizado	 dentro	 de	 condições	 de	 segurança,	 principalmente	 no	
que	tange	ao	aspecto	da	confidencialidade	e,	em	menor	grau,	também	
de	disponibilidade.	No	que	tange	à	confidencialidade,	o	descarte	de	
documentos	e	mídias	que	contenham	dados	de	caráter	sigiloso	precisa	
ser	realizado	com	observância	de	critérios	rígidos	de	destruição	segura	
(por	exemplo,	uso	de	máquinas	fragmentadoras	para	documentos	em	
papel,	ou	de	softwares	destinados	a	apagar,	com	segurança,	arquivos	
de	um	microcomputador	que,	se	simplesmente	excluídos	do	sistema,	
poderiam	 ser	 facilmente	 recuperados	 com	 o	 uso	 de	 ferramentas	 de	
restauração	de	dados).
Vejamos	um	resumo	do	ciclo	de	vida	da	informação:
30
UNIDADE 1 — FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
QUADRO 1 – CICLO DE VIDA DA INFORMAÇÃO
FONTE: Armstrong et al. (2019, p. 590)
Vale	 reforçar	 que	 cada	 empresa	 deve	 definir	 políticas	 de	 descarte	 de	
informação,	pois	caso	 isso	não	seja	realizado,	pode	haver	uso	 indevido.	Veja	o	
exemplo	apresentado	por	Fontes	(2006,	p.	17):
Disputa	entre	academias	de	ginástica	chega	à	Justiça
A	concorrência	acirrada	entre	as	academias	de	ginástica	de	São	Paulo	
chegou	à	Justiça.	A	Companhia	Athletica	está	processando	a	academia	
Reebok	por	suposto	roubo	de	mala	direta,	o	que	caracteriza	crime	de	
concorrência	 desleal.	 Como	 parte	 do	 inquérito	 policial	 aberto	 pela	
Polícia	Civil	de	São	Paulo,	o	Instituto	de	Criminalística	da	Secretaria	
de	Segurança	Pública	do	Estado	elaborou	um	laudo	comprovando	que	
a	maioria	 dos	 nomes	de	 clientes	 da	Cia.	Athletica	 consta	 ‘de	 forma	
idêntica’	 no	 arquivo	 da	 Reebok	 apreendido	 pela	 polícia.	 A	 briga	
começou	quando	a	Reebok	inaugurou	sua	unidade	na	Vila	Olimpia,	
cerca	de	500	metros	da	Cia.	Athletica	do	Brooklin.	Vários	clientes	da	
Cia.	Athletica	reclamaram	do	fato	de	terem	recebido	correspondência	
da	 concorrente	 e	 queriam	 saber	 se	 a	 academia	 teria	 vendido	 seus	
dados	cadastrais.
Fontes	(2006)	alerta	que	toda	informação	tem	um	valor	para	a	organização	
e,	 por	 isso,	 deve	 haver	 cuidado	 em	 todas	 as	 etapas.	 Para	 uma	 empresa	 que	
presta	 serviço,	 o	 cadastro	 de	 clientes	 tem	 muito	 valor	 e	 deve	 ser	 protegido	
adequadamente.	 Por	 ingenuidade,	 talvez,	 muitas	 vezes,	 a	 organização	 só	 se	
preocupa	 com	 invasões	 mirabolantes,	 e	 acaba	 pecando	 com	 pequenas	 coisas,	
como	uma	listagem	de	clientes	jogada	no	lixo	ou	venda	de	equipamento/mídia	de	
armazenamento	sem	a	devida	destruição	da	informação	anteriormente	gravada.
Na	próxima	unidade,	veremos	um	pouco	mais	sobre	os	riscos,	ameaças	e	
vulnerabilidades	dos	ativos	de	informação.
31
RESUMO DO TÓPICO 2
Neste tópico, você aprendeu que: 
•	 Os	ativos	de	informação	precisam	de	certos	cuidados	para	serem	acessados.
•	 Deve-se	conhecer	como	os	ativos	estão	armazenados.
•	 A	segurança	lógica	merece	muita	importância.
•	 Não	há	como	desassociar	a	convergência	entre	as	seguranças	física	e	lógica.
•	 O	 componente	 humano	 é	 fundamental	 para	 a	 garantia	 da	 segurança	 da	
informação.
•	 As	 etapas	 do	 ciclo	 de	 vida	 da	 informação	 devem	 ser	 observadas,	 inclusive	
quando	ela	perde	utilidade.
32
1		Você	é	funcionário	de	uma	grande	empresa	e,	no	meio	do	expediente,	recebe	
uma	ligação	de	uma	pessoa	alegando	ser	do	departamento	de	suporte	e	que	
estão	precisando	 fazer	uma	atualização	no	sistema.	A	pessoa	pergunta	a	
sua	senha,	pois	precisa	fazer	a	conexão	remota.		Que	tipo	de	ameaça	é	essa?	
a)	(			)	Ameaça	natural,	pois	é	natural	esse	tipo	de	chamada.
b)	(	 	 )	Engenharia	 social,	pois	um	 funcionário	do	departamento	de	 suporte	
nunca	pergunta	a	sua	senha.	
c)	(			)	Ameaça	social,	pois	acaba	com	a	confiança	na	empresa.
d)	(			)	Ameaça	organizacional,	pois	as	organizações	usam	o	procedimento.
2		Na	 segurança	 física,	 utilizamos	 maneiras	 de	 proteger	 os	 equipamentos	
e	 informações	 contra	 agentes	 mal	 intencionados,	 ou	 usuários	 que	 não	
possuem	 autorização.	 Uma	 forma	 de	 resolver,	 de	 maneira	 simples,	 é	
implantar	recursos	de	identificação	de	funcionários,	como	crachás,	senhas	
e	cadastro	de	digitais.	Podem	ser	aplicadas	várias	zonas	de	expansão	(anéis	
de	proteção),	em	que	podem	ser	tomadas	diferentes	medidas.	O	que	não	é	
um	anel	de	proteção?
a)	(			)	Um	prédio.	
b)	(			)	Um	anel	intermediário.	
c)	(			)	Um	objeto.	
d)	(			)	Um	anel	externo.
3		Ao	analisar	a	estrutura	de	segurança	de	uma	empresa,	percebe-se	que	a	sala	
de	computadores	é	protegida	por	um	leitor	de	dispositivos	de	acesso,	e	que	
somente	os	funcionários	do	departamento	de	gestão	de	sistemas	possuem	
um	dispositivo	de	acesso.	Que	tipo	de	medida	de	segurança	é	essa?	
a)	(			)	Uma	medida	de	segurança	física.	
b)	(			)	Uma	medida	de	segurança	corretiva.
c)	(			)	Uma	medida	de	segurança	lógica.	
d)	(			)	Uma	medida	de	segurança	repressiva.
AUTOATIVIDADE
33
TÓPICO 3 — 
UNIDADE 1
VULNERABILIDADES, AMEAÇAS E RISCOS
1 INTRODUÇÃO
	Santos	(2018)	afirma	que	uma	empresa	só	é	capaz	de	resolver,	rapidamente	
e	de	maneira	assertiva,	as	ameaças,	quando	possui	conhecimento	total	sobre	seu	
negócio,	 e	 consegue	 responder:	Que	vulnerabilidades	possuo?	A	que	 ameaças	
estou	suscetível?	Quais	agentes	estão	envolvidos?	Quais	são	os	impactos	históricos	
e	possíveis	da	exploração	dessas	ameaças?
Para	que	possamos	desenvolver	políticas	e	controlar	nossos	ativos,	é	de	
suma	importância	saber	o	que	pode	nos	atingir.	Por	 isso,	precisamos	conhecer	
nossas	vulnerabilidades,	o	que	nos	ameaça	e	a	que	riscos	estamos	expostos.
2 ABORDAGEM
Exemplificando	um	pouco	melhor	esses	termos,	Santos	(2018)	menciona	
que	vulnerabilidade	também	pode	ser	chamada	de	falha	ou	fraqueza,	por	exemplo,	
uma	parede	rachada;	dentro	de	uma	rede,	podemos	encontrar	uma	“rachadura”	
ou	 falha;	 em	 um	 design	mal	 planejado;	 implementação	mal	 realizada;	 ou	 até	
em	controles	internos	de	um	sistema	mal	desenvolvido,	levando	a	rede	a	abrir	
pequenas	falhas	na	política	de	segurança.
Vulnerabilidades	 (internas)	 podem	 ser	 tratadas.	 Fraquezas	 podem	 ser	
identificadas	e,	até	mesmo,	eliminadas,	com	a	aplicação	de	ações	proativas	para	
correção	das	vulnerabilidades.
Ameaça	 é	 a	 possibilidade	 de	 um	 agente,	 interno	 ou	 externo,	 explorar	
acidentalmente	ou	propositalmente	uma	vulnerabilidade	específica.