segurança de sistemas

Prévia do material em texto

Segurança de 
Sistemas
Segurança de Sistemas
Organizado por Universidade Luterana do Brasil
Universidade Luterana do Brasil – ULBRA
Canoas, RS
2015
Alexandre Timm Vieira
Márcia Baltar Vieira
Sérgio Vilanova
Conrado Ruch Jr 
William Alevate
Júlio Lindolfo Lorenz
ISBN: 978-85-68453-73-5
Dados técnicos do livro
Diagramação: Jonatan Souza
Revisão: Paula Fernanda Malaszkiewicz
Conselho Editorial EAD
Andréa de Azevedo Eick
Ângela da Rocha Rolla
Astomiro Romais
Claudiane Ramos Furtado
Dóris Gedrat
Honor de Almeida Neto
Maria Cleidia Klein Oliveira
Maria Lizete Schneider
Luiz Carlos Specht Filho
Vinicius Martins Flores
Obra organizada pela Universidade Luterana do Brasil. 
Informamos que é de inteira responsabilidade dos autores 
a emissão de conceitos.
Nenhuma parte desta publicação poderá ser reproduzida 
por qualquer meio ou forma sem prévia autorização da 
ULBRA.
A violação dos direitos autorais é crime estabelecido na Lei 
nº 9.610/98 e punido pelo Artigo 184 do Código Penal.
 
S456 Segurança de sistemas / Organizado por Universidade Luterana do 
Brasil. – Canoas: Ed. ULBRA, 2015. 
 230 p. : il. 
 
 
 
 1. Computação. 2. Segurança da informação. 3. Segurança de sistemas. 
 I. Universidade Luterana do Brasil. 
 
 
 CDU 681.3.056.5 
 
Dados Internacionais de Catalogação na Publicação – CIP
Setor de Processamento Técnico da Biblioteca Martinho Lutero – ULBRA/Canoas
Este livro proporciona o estudo e a compreensão dos conceitos funda-mentais de Segurança da Informação. O termo Segurança da Informa-
ção se aplica a todos os aspectos de proteção de informações e dados, 
estando intimamente relacionado com o de Segurança de Sistemas, in-
cluindo não apenas a segurança dos dados/informação, mas também a 
dos sistemas em si.
São abordados desde aspectos técnicos até a gestão da segurança 
da informação. Os aspectos técnicos envolvem desde segurança física do 
ambiente até ferramentas e técnicas utilizadas para ataques, criptogra-
fia, Firewalls e sistemas de detecção de intrusão. Os aspectos gerenciais 
abordam a política de segurança da informação, gestão de riscos, gestão 
de continuidade dos negócios e estratégias de cultura e conscientização, 
com ênfase nas normas internacionais ISO/IEC 27001, 27002, 27004 e 
27005, bem como na NBR 15999-1 e a ISO 22301.
Apresentação
 1 Conceituando a Segurança da Informação ............................1
 2 Política de Segurança da Informação ..................................23
 3 Cultura e Conscientização em Segurança da Informação ....44
 4 Análise e Avaliação de Risco ...............................................67
 5 Gestão da Continuidade de Negócios .................................97
 6 Criptografia ......................................................................121
 7 Aplicando Criptografia ......................................................142
 8 Segurança nos Ambientes Físicos ......................................166
 9 Firewall Teoria e Prática ....................................................191
 10 Ataque, Vulnerabilidade e Detecção de Intrusão ...............222
Sumário
Conceituando 
a Segurança da 
Informação1
1 Mestre em Engenharia Elétrica pela PUC-RS. Professor na ULBRA - Universidade 
Luterana do Brasil e Analista de Segurança da Informação no Banrisul - Banco do 
Estado do Rio Grande do Sul. Certificado MCSO, ISFS e ITIL.
Alexandre Timm Vieira1
Capítulo 1
2 Segurança de Sistemas
Introdução
Informação enquanto conceito remete a uma grande diver-
sidade de definições, do uso quotidiano ao mais técnico. O 
conceito de informação está intimamente ligado a dados, có-
digos, formas estruturadas, padrões, instruções, percepção 
e representação e, enquanto armazenada, é conhecimento 
acumulado que pode ser consultado, utilizado e transferido, 
servindo como um fornecedor de ensino e cultura para a so-
ciedade.
O domínio de informações corretas e qualificadas permite 
uma precisa tomada de decisões e o planejamento de estra-
tégias para os negócios. Sistemas de informações eficientes 
possibilitam que as corporações produzam mais, faturem mais 
e gerem mais empregos.
O processo de transmissão dessas informações, circulando 
em quantidade e com qualidade entre pessoas e empresas, 
possibilitam que todos se comuniquem mais rapidamente entre 
si, o que gera uma atividade econômica maior e um desen-
volvimento mais rápido da sociedade. Desde 550 a.C., Ciro, 
o Grande, rei da Pérsia, já projetava os primeiros sistemas 
para transmitir informações a distância por meio de pessoas 
e animais.
Nas últimas décadas, as comunicações de dados deram 
um grande salto tecnológico e continuam a se desenvolver ra-
pidamente. Desde o início da década de 1960, vários pesqui-
sadores desenvolveram paralelamente a ideia de informação 
viajando em pacotes, ou seja, blocos de dados transportando 
Capítulo 1 Conceituando a Segurança da Informação 3
informações, e os personagens-chave deste conceito foram 
Vinton Cerf e Robert Kahn, criadores da pilha de protocolos 
TCP/IP, o conjunto de regras que veio a ser implementado para 
controlar a comunicação ainda na ARPANET, que pouco de-
pois veio a se tornar a Internet (a rede de pacotes interligan-
do milhares de computadores compartilhando informações no 
mundo inteiro).
As transformações trazidas pela evolução das tecnologias 
de informação e do advento da Internet como um meio global 
de comunicação afetou a forma com a sociedade e as organi-
zações agem, dando início à Era da Informação e da Socieda-
de do Conhecimento, onde um dos aspectos mais importantes 
neste cenário é a Segurança das Informações.
Em nossa sociedade digital atual, é notório que cada vez 
mais presenciamos situações nas quais o termo Segurança de 
Informação está inserido. De vazamento de informações pes-
soais como fotos e vídeos, Engenharia Social e práticas de 
Cyberbullying (atos hostis para constranger pessoas), a golpes 
bancários, espionagem industrial até guerra cibernética, pode-
mos vê-la presente nas mais diversas situações.
Dessa forma, qual a melhor maneira de definir o que é a 
Segurança da Informação?
Segurança da Informação significa “proteger a informação 
dos vários tipos de ameaças”, ou seja, identificar medidas – 
proteções – que visam livrar a organização de situações de 
risco (ameaças) que possam comprometer os objetivos da ins-
tituição, trazendo danos ou prejuízos. Um exemplo de prote-
ção são os softwares antivírus e, de ameaça, são os vírus de 
4 Segurança de Sistemas
computadores. Dessa forma, “garante-se a continuidade dos 
negócios, minimizando o risco e maximizando o retorno sobre 
os investimentos e as oportunidades de negócios”.
Esta definição de segurança faz referência à norma inter-
nacional ISO/IEC 27002:, que no Brasil foi regulamentada 
pela ABNT e serve como um guia de melhores práticas para a 
gestão da Segurança da Informação, sendo consolidada em 
todo mundo como a principal referência em Segurança.
E quais os objetivos da Segurança da Informação?
Todas as ações em Segurança da Informação devem ser 
orientadas por esta tríade formada pelos aspectos de confiden-
cialidade, integridade e disponibilidade, conforme a Figura 1.
Joe Beck/ULBRA 
Figura 1 Objetivos da Segurança da Informação.
Manter a Confidencialidade das informações significa, 
basicamente, garantir o sigilo de forma que apenas as pessoas 
que devem ter conhecimento a seu respeito poderão acessá-
Capítulo 1 Conceituando a Segurança da Informação 5
-las. Diferentes tipos de informações terão diferentes níveis de 
confidencialidade.
Manter a Disponibilidade das informações é garantir que 
ela possa ser acessada por aqueles que dela necessitam, no 
momento em que precisam.
Manter a Integridade das informações envolve proteger as 
informações contra alterações em seu estado original.
Dentro desse conceito geral de Segurança da Informação e 
seus três objetivos básicos, identificamosos 4 pilares que sus-
tentam a segurança (Figura 2), sendo eles: a TECNOLOGIA, 
os PROCESSOS, as PESSOAS e o AMBIENTE.
TECNOLOGI
A
PROCESSOS PESSOAS AMBIENTE
SEGURANÇA DA INFORMAÇÃO
Figura 2 Os quatro pilares que sustentam a segurança da informação.
A TECNOLOGIA está relacionada com as soluções de 
segurança empregadas para suportar os processos delinea-
dos. São elas que facilitam a devida aplicação das políticas 
6 Segurança de Sistemas
de segurança e seu monitoramento. Incluem diversas funcio-
nalidades, desde a identificação dos usuários, criptografia de 
dados, defesa contra ameaças (como vírus), até a gestão da 
segurança.
Os PROCESSOS constituem a linha mestra da gestão da 
segurança no dia a dia. Compreendem desde a visão da cor-
poração, sua estratégia de segurança, a definição das políti-
cas, até os processos que colocam em prática as políticas, os 
procedimentos, a documentação de controle e os padrões de 
conformidade. Por meio de processos bem definidos, uma or-
ganização torna a segurança uma responsabilidade de todos e 
não apenas da área de segurança, pois determinam diretrizes 
do que é ou não permitido.
As PESSOAS são um dos elementos mais importantes na 
gestão da segurança, pois em essência são elas que executam 
e suportam os processos de uma corporação. Temos os quatros 
pilares, porém somente as Pessoas estão vinculadas ou partici-
pam nos primeiros três pilares, pois em última análise são elas 
que definem, criam, implementam e controlam os Processos, 
as Tecnologias e os Ambientes. Por esta razão, existe uma forte 
necessidade de que as Pessoas estejam conscientes e tenham 
uma cultura relacionada à Segurança da Informação, até por-
que, comumente se fala, que “as pessoas são o elo mais fraco 
da corrente...”. Será? O capítulo 3 irá abordar especificamen-
te o plano de conscientização das pessoas.
O AMBIENTE é a união desses três primeiros fatores que, 
em conjunto, formam uma estrutura de segurança da informa-
ção eficiente e de qualidade.
Capítulo 1 Conceituando a Segurança da Informação 7
Assim, é importante compreender que não adianta investir 
apenas em um dos pilares, deixando os outros de lado. Caso 
esses fatores não estejam em equilíbrio, deixará a segurança 
da informação instável, trazendo grandes prejuízos às organi-
zações. A Segurança não é apenas tecnologias, não é possível 
comprar um dispositivo que torne um ambiente totalmente se-
guro, assim como não é possível comprar ou criar um software 
capaz de tornar um computador seguro. A segurança é a dire-
ção em que se pode caminhar, mas nunca se chega de fato ao 
destino pelo fato dela não ser estática. É semelhante a tentar 
subir uma escada rolante infinita que desce: você poderá correr 
alguns degraus acima e então parar para recuperar o fôlego; 
após descansar, descobrirá que a escada rolante o levou para 
baixo até o mesmo ou além do ponto de início. Para se manter 
no mesmo nível, será preciso um esforço contínuo. Para avançar 
e conseguir maior segurança, será necessário um esforço ainda 
maior. E, como em uma escada rolante, não basta a quantida-
de do esforço, é necessário mover-se na direção correta.
Joe Beck/ULBRA 
Ou seja, a segurança da Informação é como processo cí-
clico. Não é um processo que termina e está pronto. Sempre 
8 Segurança de Sistemas
que termina uma fase, inicia-se uma nova fase de planeja-
mento, implementação, avaliação e melhoria. Em Segurança 
da Informação é assim: logo depois de terminarmos uma fase, 
alguém divulga uma nova vulnerabilidade e reiniciamos todo 
um novo ciclo.
“É como a saúde, as pessoas podem comprar livros e 
aprender sobre dietas, exercícios ou terapias, que são proces-
sos que as pessoas podem seguir em busca da saúde. A saúde 
é um tipo de estado ideal que nunca se consegue alcançar de 
maneira completa. Uma pessoa pode ser maravilhosamente 
saudável, mas nunca alcançará o estado de saúde perfeita. 
Também nunca se alcança um estado de segurança perfeita.“
Histórico da Segurança da Informação até 
o estágio atual
A preocupação com a informação e com o conhecimento atre-
lado a ela remonta a milênios. Isso pode ser observado no pro-
cesso de escrita de alguns povos, como no caso da civilização 
egípcia, na qual somente as castas “superiores” da sociedade 
tinham acesso aos manuscritos da época e poucas pessoas 
dominavam o processo de escrita e leitura propriamente dito.
Assim, a escrita por meio de hieróglifos do Egito antigo repre-
senta uma das várias formas utilizadas pelos antigos para prote-
gerem e, ao mesmo tempo, perpetuarem o seu conhecimento.
Mas foi no século passado que talvez tenhamos tido a 
grande ruptura de paradigma, onde a máquina eletromecâni-
Capítulo 1 Conceituando a Segurança da Informação 9
ca Enigma de criptografia com rotores desenvolvida por crip-
tógrafos alemães veio a ser usada para cifrar informações a 
partir de 1920. Esta máquina se tornou um fator determinante 
para o exército alemão proteger as comunicações durante a 
guerra, possibilitando que os comandantes do exército de Hi-
tler se comunicassem em absoluto sigilo.
Porém, quando estes códigos utilizados pelo exército Ale-
mão foram descobertos por Alan Turing (cientista de com-
putação britânico), isso possibilitou às forças aliadas, sob a 
liderança de Turing, desenvolver o COLOSSUS, o primeiro 
computador eletrônico do mundo utilizado na Segunda Guer-
ra Mundial para quebrar os códigos alemães ultrassecretos.
Como os códigos gerados pelo Enigma mudavam frequen-
temente, isso obrigou o projeto do COLOSSUS a incorporar 
recursos que possibilitassem uma decodificação rápida das 
mensagens, o que impulsionou o surgimento de novas solu-
ções que acabaram dando origem ao que temos hoje em ter-
mos de computação e ao fantástico crescimento dessa área 
em tão pouco tempo.
A preocupação com a segurança da informação sempre 
teve como principal objetivo proteger “as informações” do aces-
so de outras pessoas com o objetivo de manutenção do poder, 
de preservar benefícios, táticas e estratégias de guerra etc.
A segurança da Tecnologia da Informação começou a ser 
discutida quase simultaneamente aos primeiros resultados prá-
ticos da Internet, estabelecidos em 1969 pela até então chama-
da ARPANET. Logo após os primeiros passos dessa rede, pes-
quisadores de diversas linhas começaram a perceber que este 
10 Segurança de Sistemas
sistema de comunicação de informações entre computadores 
não era completamente seguro. Uma das primeiras referências 
à preocupação com a segurança se referia ao controle das 
senhas. Era um ponto crítico pois, embora o indivíduo feitor 
do ataque não possuísse ainda tecnologia ou conhecimentos 
suficientes para efetivá-lo através de meios mais elaborados, 
ele poderia perfeitamente tentar algo tão simples como adivi-
nhar uma senha.
Em 1973, Bob Metcalfe, um pesquisador da ARPA Compu-
ter Networks, alertava através da RFC 602 para a fragilidade 
das senhas, dizendo que um dos mais simples meios, e por-
tanto o primeiro a ser tentado, de invadir um sistema de com-
putadores interconectados ou não, era tentar o login usando 
uma conta conhecida de administrador e uma senha óbvia, 
como o nome ou sobrenome do administrador, nome do servi-
dor, datas importantes, números de telefone conhecidos e etc. 
Atualmente, mais de trinta anos depois do aviso de Metcalfe, 
muitos dos ataques ainda são conseguidos a partir da quebra 
de uma senha daquele tipo, visto que apesar das atuais tecno-
logias elaboradas de proteção e ocultação de senhas e base 
de senhas, pouco se pode fazer se um usuário, por exemplo, 
coloca seu próprio nome de usuário como senha. Curiosa-
mente, Metcalfe também é o criador da tecnologia Ethernet, 
que domina as redes de computadores até hoje, bem como 
fundador da extinta empresa 3COM.
Dessa época, também surgiu o primeiro vírus. De repente, 
na tela de todos os Mainframes IBM 360, começava a apa-
recer a mensagem “I am a creeper... catch me if you can!” 
Capítulo 1 Conceituandoa Segurança da Informação 11
(Sou uma trepadeira... agarre-me se puder!). Robert Thomas 
Morris é considerado o autor deste mítico vírus, que também 
deu lugar ao primeiro programa antivírus. Seu nome era muito 
lógico: “Reaper”, ou seja, ceifeiro.
Nas últimas décadas, a tecnologia evolui muito rapida-
mente. A segurança da informação vem acompanhando esta 
evolução e está preparada para os desafios atuais, dos quais 
destacamos o AUMENTO DA EXPOSIÇÃO DAS INFORMA-
ÇÕES, a CONVERGÊNCIA de meios de acessos, as DIFEREN-
ÇAS TECNOLÓGICAS as questões relacionadas com LEIS, 
REGULAMENTAÇÕES e NORMAS.
Quanto ao Aumento da Exposição das Informações, no ce-
nário da década de 60, as redes de comunicação de dados 
começaram a se proliferar, baseadas em computadores Main-
frames.
Estes eram máquinas grandes e poderosas que abrigavam 
informações centralizadas. Os usuários acessavam essas infor-
mações por terminais ligados diretamente ao Mainframe. Os 
dados viajavam de seus terminais pelo cabo até o Mainframe, 
que então distribuía esses dados para outros terminais. Esse 
era um método centralizado e muito simplificado de comuni-
cação, sendo mais fácil garantir a segurança das informações 
(Figura 3).
12 Segurança de Sistemas
Joe Beck/ULBRA 
Figura 3 Diagrama da infraestrutura centralizada de um Mainframe e 
seus terminais.
Com o passar dos anos, vieram as estações de trabalho 
e as informações começaram a ficar distribuídas. As fronteiras 
da segurança da informação foram se expandindo à medida 
que as informações começam a descentralizar dos Mainframes 
para as estações de trabalho que armazenam planilhas, docu-
mentos, mensagens de correio eletrônico, entre outras bases 
de informações descentralizadas. A complexidade para garan-
tir a segurança vai aumentando. Na medida que as empresas 
começaram a se conectar à Internet e fazer uso dela como 
ferramenta de negócios, os problemas de segurança explodi-
ram, pois os sistemas ficam expostos a um número infinitamen-
te maior de pessoas.
Como exemplo de Convergências, podemos pegar o se-
tor bancário que, há apenas alguns anos, apenas fazia pelo 
Capítulo 1 Conceituando a Segurança da Informação 13
computador operações bancárias. Hoje em dia, isso também é 
feito com diversos dispositivos, como smartphones, tablets, TVs 
e relógios inteligentes e, possivelmente, até de eletrodomésti-
cos como geladeiras. Isso faz com que uma quantidade cada 
vez maior de informações trafegue por diferentes meios, facili-
tando cada vez mais o acesso de pessoas mal-intencionadas.
Os Problemas Tecnológicos também pode usar como 
referência essas tecnologias convergentes para acesso a um 
banco (telefones, tablets e etc.) que foram desenvolvidas com 
pouca ou nenhuma preocupação com segurança, o que agra-
va muito a situação atual potencializando as fraudes bancárias. 
Elas são cenário de constante transposição de controles e de 
muitas falhas que surgem diariamente, demandando que uma 
área de segurança da informação se mantenha atualizada e 
preparada para lidar com novos problemas a todo momento, 
identificando qual o melhor padrão de criptografia que atenda 
desde um computador avançado até um relógio de pulso inte-
ligente com acesso a conta bancária, passando pelas formas 
de leitura de um cartão com chip, seja no smartphone de um 
cliente ou na estação de trabalho de um estabelecimento.
Questões relacionadas com conformidade a Leis, Regula-
mentos e Normas remetem a organizações como do Banco 
Central, às regras da CVM (Comissão de Valores Mobiliários), 
à Lei do Sigilo Bancário aos acordos internacionais como SOX 
e Basiléia II, que demonstram a preocupação dos governos e 
órgãos reguladores com fraudes e outros problemas relativos 
à confiabilidade e disponibilidade de informações, que podem 
colocar sob suspeita as ações de uma organização e condu-
zem à necessidade de controles de segurança e padrões 
14 Segurança de Sistemas
de auditoria. Alguns requisitos dessas leis se referem nitida-
mente à segurança da informação, como a disponibilidade 
de informações de sistemas de informação (logs), garantia de 
não repúdio de transações, sistemas menos suscetíveis a frau-
des, segregação de funções e controle rígido de acesso, entre 
outros.
Conjunto de Normas Internacionais ISO/
IEC 27000
A ISO – “International Organization for Standardization” é uma 
organização sediada em Genebra, na Suíça, que foi funda-
da em 1946. O propósito da ISO é desenvolver e promover 
normas que possam ser utilizadas igualmente por todos os pa-
íses do mundo. Cerca de 111 países integram essa importan-
te organização internacional especializada em padronização, 
cujos membros são entidades normativas de âmbito nacional. 
O Brasil é representado pela Associação Brasileira de Nor-
mas Técnicas – ABNT. A sigla IEC significa International Elec-
trotechnical Commission. É uma organização voltada para o 
aprimoramento da indústria da informação. Uma associação 
entre as duas instituições produz normas e padronizações in-
ternacionais.
A série ISO 27000 está relacionada com segurança da 
informação, estando em conformidade com outros padrões 
de sistemas de gerência ISO, como ISO 9001 (sistemas de 
gerência da qualidade) e ISO 14001 (sistemas de gerência 
ambiental), ambos em acordo com suas estruturas gerais e 
Capítulo 1 Conceituando a Segurança da Informação 15
de natureza a combinar as melhores práticas com padrões de 
certificação.
 Â ISO 27001 - Substituiu a norma BS 7799-2 para certi-
ficação de sistema de gestão de segurança da informa-
ção.
 Â ISO 27002 - Substituiu a ISO 17799 (Código de Boas 
Práticas).
 Â ISO 27003 - Orientação prática para a criação e im-
plementação de um sistema de gestão da segurança da 
informação em conformidade com a ISO 27001.
 Â ISO 27004 - Esta norma incide sobre os mecanismos 
de mediação e de relatório a fim de avaliar a eficácia do 
Sistema de Gestão de Segurança da Informação.
 Â ISO 27005 - Fornece as diretrizes para o processo de 
Gestão de Riscos de Segurança da Informação.
 Â ISO 27006 - Define critérios para as pessoas e empre-
sas que farão a certificação e auditoria do SGSI.
A ISO 27002 é um conjunto de recomendações para 
gestão da Segurança da Informação para uso de implemen-
tação ou manutenção da segurança nas organizações. Provi-
dencia uma base comum para o desenvolvimento de nor-
mas de segurança organizacional e das práticas efetivas de 
gestão da segurança.
A ISO/IEC 27002, por sua vez, substituiu a ISO 17799, 
que estava apoiada na parte 1 da BS7799 descrita anterior-
mente. Essa norma é publicada no Brasil pela ABNT com o 
16 Segurança de Sistemas
código NBR ISO 27002 e amplamente apoiada nas normas 
ISO/IEC 27002 (sendo uma tradução literal destas).
História da ISO/IEC 27001 e 27002:
 Â Código de Prática do Governo do Reino Unido – 1993
 Â BS 7799 Parte 1 – Norma Britânica – 1995
 Â BS 7799 Parte 2 – 1998
 Â BS 7799 Parte 1 e Parte 2 revisadas 1999 (Par consis-
tente)
 Â ISO/IEC 17799 (BS 7799-1:2000) – Dez/2000
 Â NBR ISO/IEC 17799:2001 – Ago/2001
 Â ISO/IEC 17799:2005 – Jul/2005
 Â NBR ISO/IEC 17799:2005 – Set/2005
 Â ISO/IEC 27001:2005 – Out/2005
 Â NBR ISO/IEC 27001:2006 - Abr/2006
 Â ISO/IEC 27002:2007 – Julho/2007
 Â NBR ISO/IEC 27002:2008
 Â ISO/IEC 27001:2013 – Set/2013
 Â ISO/IEC 27002:2013 – Set/2013
A norma foi revisada em junho de 2005 (modificações es-
truturais) e a última revisão foi feita em setembro de 2013 
(modificações estruturais e nos controles).
Mudanças entre a versão 2005 e 2013 da ISO/IEC 27002:
Número de seções - O número de seções aumentou de 
11 para 14 na nova versão. Alguns controles estavam inseri-
Capítulo 1 Conceituando a Segurança da Informação 17
dos em seções as quais não pertenciam; agora, o problema 
foi resolvido.
Número de controles - O número de controles diminuiu 
de 133 a 114. Isso se deve à eliminação de alguns controles 
que eram muito específicos ou desatualizados.
Estrutura de seções – A Criptografia se tornouuma se-
ção separada. Uma coisa semelhante aconteceu com as Rela-
ções com o Fornecedor, que se tornou uma seção separada. 
A seção Gerenciamento das operações e Comunicações foi 
dividida em Operações de Segurança e Segurança nas Co-
municações.
Mudanças entre a versão 2005 e 2013 da ISO/IEC 27002:
ISO/IEC 27002:2013 ISO/IEC 27002:2005
ISO/IEC 27002:2013 ISO/IEC 27002:2005
5) Políticas de Segurança
6) Organização da segurança da informação
7) Segurança em recursos humanos
8) Gestão de ativos
9) Controle de acessos
10) Criptografia
11) Segurança física e ambiental
12) Operações de Segurança
13) Segurança das comunicações
14) Sistema de aquisição, desenvolvimento e 
manutenção de sistemas de informação
15) Relações com fornecedores
16) Gestão de incidentes de segurança da 
informação
17) Aspectos de continuidade dos negócios, 
relativos à segurança da informação
18) Compliance
5) Política de Segurança
6) Organizando a Segurança da Informação
7) Gestão de Ativos
8) Segurança em Recursos Humanos
9) Segurança Física e do Ambiente
10) Gestão das Operações e Comunicações
11) Controle de Acesso
12) Aquisição, Desenvolvimento e Manutenção 
de Sistemas de Informação
13) Gestão de Incidentes de Segurança da 
Informação
14) Gestão da Continuidade do Negócio
15) Conformidade
ental
ça
caçõõe
1
1
1
olvimento e 1
es
1
1
1
18 Segurança de Sistemas
Recapitulando
A informação é um ativo que, como qualquer outro ativo im-
portante, é essencial para os negócios de uma organização e, 
consequentemente, necessita ser adequadamente protegida. 
Isso é especialmente importante no ambiente dos negócios, 
cada mais interconectado. Como resultado desse incrível au-
mento da interconectividade, a informação está agora exposta 
a um crescente número e uma grande variedade de ameaças 
e vulnerabilidades.
Segundo a ISO/IEC 27002, a Segurança da Informação 
é a proteção da informação de vários tipos de ameaças para 
garantir a continuidade do negócio, minimizar o risco ao ne-
gócio, maximizar o retorno sobre os investimentos e as oportu-
nidades de negócio.
A segurança é obtida a partir da implementação de um 
conjunto de controles adequados, incluindo políticas, proces-
sos, procedimentos estruturas organizacionais e funções de 
software e hardware. Esses controles precisam ser estabeleci-
dos, implementados, monitorados, analisados criticamente e 
melhorados onde necessário para garantir que os objetivos 
do negócio e de segurança da organização sejam atendidos. 
Convém que isso seja feito em conjunto com outros processos 
de gestão de negócio, segundo a ISO/IEC 27002.
A Segurança da Informação é garantida pela preservação 
de três aspectos essenciais, o CID:
 Â Confidencialidade
Capítulo 1 Conceituando a Segurança da Informação 19
 Â Integridade
 Â Disponibilidade
A confidencialidade se trata de garantir que se tenha aces-
so à informação somente quem tenha autorização para tal. 
Restringir acesso físico seria um exemplo de requisito de se-
gurança para informações impressas e medidas de proteção 
lógica seriam exemplos para informações em meio digital.
A integridade significa assegurar que a informação e os 
métodos de processamento se mantêm exatos e completos: 
proteções são aplicadas contra alteração não autorizada e er-
ros do meio de transporte, por exemplo.
A disponibilidade trata de garantir que sempre que usuários 
autorizados necessitem ter acesso a informações, isso aconteça 
efetivamente. As proteções são aplicadas, por exemplo, contra 
falhas dos equipamentos e ações de pessoas maliciosas.
Referências
ABNT - Associação Brasileira de Normas e Técnicas. Tecno-
logia da informação – Código de prática para a gestão 
da segurança da Informação. NBR ISO/IEC 27002:2013.
TANENBAUM, Andrew S.; WETHERALL, David. Redes de 
Computadores. Tradução de Daniel Vieira. Revisão Técni-
ca de Isaías Lima. 5. ed. São Paulo: Pearson Prentice Hall, 
2011.
20 Segurança de Sistemas
ANDRESS, Amanda. Surviving Security: How to Integrate Pe-
ople, Process, and Technology. 2. ed. Auerbach Publica-
tions, 2004.
SOUSA, Lindeberg Barros de Sousa. Redes de Computado-
res – Dados, Voz e Imagem. 4. ed. São Paulo: Editora Éri-
ca, 1999.
SUAVÉ, Jacques Philippe. MOURA, José Antão Beltrão. TEIXEI-
RA, Suzana de Queiroz Ramos. JÚNIOR, José Helvécio Tei-
xeira. Redes de Computadores – Serviços, Administração 
e Segurança. São Paulo: Makron Books, 1999.
KUROSE, James F. ROSS, Keith W. Redes de Computadores 
e a Internet: uma abordagem top-down. Tradução de Da-
niel Vieira. Revisão Técnica Wagner Luiz Zucchi. 6. ed. São 
Paulo: Pearson Education do Brasil, 2013.
WADLOW, Thomas A. Segurança de Redes – Projetos e ge-
renciamento de redes seguras. Tradução Fábio Freitas da 
Silva. Rio de Janeiro: Editora Campus, 2000.
BEAL, Adriana. Segurança da Informação: princípios e me-
lhores práticas para a proteção de ativos de informação 
nas organizações. São Paulo: Editora Atlas, 2005.
FERREIRA, Fernando Nicolau Freitas. ARAÚJO, Márcio T. Polí-
tica de Segurança da Informação. 2. ed. Editora Ciência 
Moderna, 2009.
Capítulo 1 Conceituando a Segurança da Informação 21
Atividades
 1) Com relação aos objetivos da Segurança da Informação, 
qual das respostas abaixo corresponde à Disponibilidade?
a) Garantia de que as informações e sistemas estarão de 
acordo com os preceitos da legislação em vigor.
b) Garantia de que as informações serão transferidas 
com segurança.
c) Garantia de que os sistemas e recursos sempre fiquem 
seguros.
d) Garantia de que as informações estejam disponíveis 
sempre que forem necessárias.
 2) Qual destes exemplos é uma ameaça à confidencialidade?
a) Uma caixa de correio eletrônico lotada
b) Exclusão acidental de dados
c) Utilização privada de dados
d) Falsificação de dados
 3) Qual são os pilares que mantêm o equilíbrio da Segurança 
da Informação?
a) Tecnologia, Confidencialidade, Integridade e Disponi-
bilidade
b) Confidencialidade, Integridade e Disponibilidade
c) Tecnologia, Processos, Pessoas e Ambiente
22 Segurança de Sistemas
d) Tecnologia, Confidencialidade, Processos e Pessoas
 4) Para que serve a Segurança da Informação? Em relação a 
essa pergunta, qual resposta abaixo é falsa?
a) Proteger as informações dos vários tipos de ameaças.
b) Garantir a Continuidade dos Negócios.
c) Maximizar riscos operacionais.
d) Identificar ameaças e as melhores proteções alinhadas 
aos negócios.
 5) Qual alternativa abaixo é um exemplo de ameaça?
a) Criptografia
b) Firewall
c) Anti-Virus
d) Vírus, worms e spyware
Gabarito
1) d 2) c 3) c 4) c 5) d
Política de Segurança da 
Informação12
1 Mestre em Engenharia Elétrica pela PUC-RS. Professor na ULBRA - Universidade 
Luterana do Brasil - e Analista de Segurança da Informação no Banrisul - Banco do 
Estado do Rio Grande do Sul. Certificado MCSO, ISFS e ITIL.
2 Mestre em Ciência da Computação pela UFRGS. Professora no SENAC-RS e no 
IBGEN – Instituto Brasileiro de Gestão de Negócios.
Alexandre Timm Vieira1
Márcia Baltar Vieira2
Capítulo 2
24 Segurança de Sistemas
Introdução
Se um profissional de Segurança da Informação for questiona-
do sobre o que deve ser feito de mais importante para proteger 
um ambiente de tecnologia, ele responderá, sem titubear, que 
é desenvolver uma boa política de segurança da informação. 
Se você pedir que mostre onde está publicada a política, é 
bastante provável que ele peça um prazo para apresentar essa 
política e a forma como é divulgada.
Uma política de segurança consiste em uma série de de-
cisões que irão, em conjunto, determinar a postura de uma 
organização com relação à segurança. Essa política de segu-
rança que deve determinar os limites de tolerância e os níveis 
de resposta às violações que possam ocorrer. Certamente, as 
políticas de segurança irão diferir de uma organização para 
outra. Por exemplo, em um departamento de uma universida-
de, as necessidades de segurança são bem diferentes daque-
las encontradas em grandes corporações, como por exemplo,em uma administradora de cartões de crédito que, por sua vez, 
difere consideravelmente de uma instituição militar. O impor-
tante a ser observado é que toda organização, independen-
temente de seu tipo, deve ter uma política de segurança bem 
definida, mesmo que seja somente para estabelecer ações a 
serem tomadas quando da ocorrência de eventos inaceitáveis.
Vários são os propósitos a serem atingidos com uma políti-
ca de Segurança da Informação. Entre eles, podemos destacar:
 Â Descrever o que está sendo protegido e por quê.
Capítulo 2 Política de Segurança da Informação 25
 Â Definir as prioridades sobre o que precisa ser protegido.
 Â Permitir o estabelecimento de um acordo explícito com 
as várias partes da corporação em relação ao valor da 
segurança.
 Â Fornecer à área de segurança a autoridade necessária 
para sustentar o “não” quando necessário.
Mas, se consensualmente a política de segurança é o re-
curso mais importante para tornar um ambiente seguro, por 
que muitas vezes ela é tão negligenciada? A política é impor-
tante, mas muitas vezes existem outras medidas de segurança 
de resultado mais imediato que se tornam prioridade; em ou-
tros momentos, dentro de muitas corporações, a política inter-
na e possíveis atritos entre áreas distintas podem influenciar na 
escrita da política, na determinação dos responsáveis, seja por 
explicitamente grupos quererem ou não assumir responsabili-
dades em regras e procedimentos. Por fim, uma boa política é 
um documento difícil de se organizar, principalmente quando 
é necessário que seja abrangente. Não é possível prever todos 
os casos e todos os detalhes.
Portanto, uma boa política hoje é melhor que uma exce-
lente política no próximo ano. Mesmo pequena, mas bem 
distribuída, é melhor que uma política forte que ninguém leu. 
Não adianta ter uma política muito grande, mas complexa 
de ser atualizada, podendo se tornar obsoleta com o passar 
do tempo.
26 Segurança de Sistemas
Como desenvolver uma política de 
Segurança da Informação
Primeiramente, é importante destacar que a política deve ser 
desenvolvida antes de um incidente de segurança, visto que 
se a criação dela for motivada por um incidente, a probabi-
lidade de ser focada em demasia naquela situação é muito 
grande.
Ao criar uma Política de Segurança da Informação, bus-
ca-se garantir a organização, uma postura de pró-atividade 
frente a incidentes de segurança e ameaças, permitindo que, 
por meio de um processo periódico de revisão da política, 
a organização possa acompanhar com velocidade as va-
riações do ambiente, ajustando os controles de segurança 
a fim de manter um nível de segurança adequado para os 
negócios.
Quem fará uso da política são todos os colaboradores da 
organização, podendo incluir estagiários e terceirizados, sen-
do que ela se aplica a todos os níveis hierárquicos, inclusive 
a cúpula estratégica da organização e, portanto, deve con-
tar com a participação desta no processo de elaboração. A 
aprovação da PSI deve ser feita até o maior nível hierárquico 
da organiza ção, garantindo o comprometimento desta com os 
objetivos estratégicos da organização alinhado às necessida-
des de negócio.
Capítulo 2 Política de Segurança da Informação 27
Escopo
Alinhado aos objetivos do negócio, devem-se identificar os 
pontos prioritários de atenção frente aos objetivos básicos da 
Segurança da Informação, que são a confidencialidade, dis-
ponibilidade e integridade das informações, como por exem-
plo, a prioridade ser a proteção de informações financeiras de 
clientes. Portanto, questões como controles no uso de correio 
eletrônico, acesso a dispositivos removíveis de armazenamento 
e os aplicativos de processamento dessas informações serão 
críticos e relevantes para serem contemplados na Política.
Uma boa estratégia para definição do escopo da Política 
de Segurança é analisar os resultados da aplicação de um 
Gerenciamento de Risco, conforme será descrito no Capítulo 
4 deste livro. Por meio dessa análise, garante-se um mapea-
mento claro de controles a serem contemplados na política 
de segurança alinhados com as principais ameaças e vulne-
rabilidades que mais causam impacto e oferecem riscos aos 
negócios estratégicos da corporação.
A necessidade da política também surge quando analisado 
por uma perspectiva de conformidade legal. Muitas organiza-
ções têm seu funcionamento controlado por entidades externas 
que impõem requisitos em relação à Segurança da Informa-
ção, portanto o desenvolvimento das políticas é ponto funda-
mental em uma série de normas e regulamentações, além de 
ser incentivado por normas internacionais de melhores práti-
cas. Esse fator é importante, pois o não desenvolvimento de 
políticas pode ser considerado negligência administrativa caso 
a organização seja processada por problemas de segurança 
28 Segurança de Sistemas
da informação que tenham causado danos a terceiros, como 
acionistas ou mesmo empregados.
Com essas bases de referências, deve-se definir o escopo 
da política. Tende-se a querer aplicar a política a toda a cor-
poração, mas esta alternativa mostra-se inviável com o tempo. 
Deve-se trabalhar com um escopo reduzido focando ambien-
tes menores, mas de grande importância, partindo aos poucos 
para todos os cenários da corporação.
Quem desenvolve a Política?
É fundamental que exista uma estrutura de gerenciamento da 
Segurança da Informação dentro da organização, estabeleci-
da para coordenar e analisar criticamente a implementação 
da segurança, indicando quem é responsável e presta contas 
pela segurança em todos os níveis da organização e quais 
as linhas hierárquicas existentes entre as funções de seguran-
ça, sendo responsabilidade desse departamento o desenvol-
vimento da Política de Segurança, garantindo o alinhamento 
com os princípios de segurança que a alta direção da empre-
sa considera importantes e fundamentais para o negócio da 
organização. Para o aprofundamento mais técnico da Política, 
é fundamental o envolvimento de profissionais das áreas de 
tecnologia, como infraestrutura de TI e desenvolvimento de 
sistemas, que serão os responsáveis pela implementação de 
grande parte dos controles e, por isso, terão a responsabilida-
de de detalhá-los.
Diferentes áreas da organização podem participar, contri-
buindo com informações relevantes, sendo conveniente en-
Capítulo 2 Política de Segurança da Informação 29
volver cooperação e colaboração de gerentes, usuários, ad-
ministradores, auditores, segurança física e patrimonial, área 
jurídica, recursos humanos e gestão de riscos.
Se o tamanho da organização não comporta um depar-
tamento de Segurança da Informação e a utilização de re-
presentantes de diferentes áreas, convém que as ações sejam 
conduzidas por um organismo de gestão adequado ou por um 
gestor individual.
A contratação de terceiros pode ser uma opção bastante 
conveniente, disponibilizando uma consultoria especializada 
em Segurança da Informação dentro da organização. Nem 
sempre o orçamento da instituição permite esse tipo de contra-
tação; portanto, para se manter atualizado com as tendências 
de mercado, acompanhar normas e métodos de avaliação e 
garantir apoio adequado quanto ao tratamento de incidentes 
de segurança, é conveniente manter contatos com especialis-
tas ou grupos de segurança externos.
Conteúdo da Política de Segurança
O conteúdo da política varia de acordo com o tipo e tamanho 
da organização, sendo fundamental seu alinhamento com a 
norma internacional ISO/IEC27002, abordada no primeiro 
capítulo deste livro. Sempre que cabí vel, os seguintes aspectos 
da norma devem ser abordados:
 Â Organização da segurança: Define a estrutura de ges-
tão adotada para administrar as questões de segurança 
da informação.
30 Segurança de Sistemas
 Â Classificação e controle dos ativos de informação: 
Orienta so bre realização de inventário dos ativos infor-
macionais, formas de clas sificação da informação con-
siderada crítica e responsabilidadespela ma nutenção 
dos controles necessários para protegê-la .
 Â Aspectos humanos da segurança: Definições sobre a po-
lítica de se gurança de pessoal, contemplando desde os 
processos de admissão e demissão, requisitos de segu-
rança aplicáveis a empregados e prestadores de serviço, 
além de treina mentos e conscientização em segurança.
 Â Segurança do ambiente físico: Proteção dos recur sos e 
instalações de processamento de informações críticas 
ou sensí veis do negócio contra acesso não autorizado, 
dano ou interferência.
 Â Segurança do ambiente lógico: Garantir a operação 
correta e segura dos recursos computacionais e proteger 
a integridade dos serviços.
 Â Segurança das comunicações: Proteção de dados e in-
formações durante o processo de comunicação.
 Â Prevenção e tratamento de incidentes: Prevenção, detec-
ção, notificação, investigação e tratamento de incidentes 
de segu rança, bem como para a emissão de relatórios 
a eles relacionados.
 Â Desenvolvimento/aquisição, implantação e manutenção 
de siste mas: Uso de controles de segurança em todas as 
eta pas do ciclo de vida dos sistemas, incluindo o padrão 
Capítulo 2 Política de Segurança da Informação 31
mínimo de segu rança a ser aplicado a todos os sistemas 
corporativos.
 Â Gestão da continuidade do negócio: Recomendações 
para que a or ganização se prepare para neutralizar as 
interrupções das atividades organizacionais e proteja os 
processos críticos na ocorrência de uma falha ou desastre.
 Â Conformidade: Preservação da conformidade com requi-
sitos legais e marcos regulatórios. O não cumprimento 
de obrigações legais pode implicar em grande prejuízo, 
em que o desenvolvimento da política deve contemplar 
tais necessidades e mostrar o comprometimento da or-
ganização em atingir os objetivos por elas levantados. 
Nesse aspecto, também devem ser previstos procedimen-
tos a serem adotados em caso de violação da política de 
se gurança e descrição das punições a que estão sujeitos 
os infratores (as quais podem ir de uma simples adver-
tência à demissão e ação judicial). Alguns exemplos de 
requisitos legais e regulatórios são a lei das S/A, código 
civil, resoluções do Banco Central, normas da CVM e 
acordos como Sarbanes-Oxley e Basiléia I e II.
Responsabilidades
Uma política de segurança da informação deve identificar e 
atribuir as responsabilidades em todos os níveis organizacio-
nais, definindo e explicando aos diversos colaboradores quais 
as suas responsabilidades. Cada classe de colaborador pode 
apresentar níveis distintos de responsabilidades e privilégios e 
32 Segurança de Sistemas
estes devem estar claramente delimitados na política, como 
por exemplo:
 Â Responsabilidades gerais: Aplicada a todos os colabo-
radores.
 Â Responsabilidades de Administradores de Sistemas/
Operações: Tratarão das informações sobre os usuá-
rios e terão privilégios especiais de controle total aos 
sistemas, necessitando a definição de responsabilidades 
específicas.
 Â Responsabilidades de terceirizados: Com acesso a am-
bientes específicos, necessitam de autorizações e res-
ponsabilidades especiais.
 Â Responsabilidades para convidados: Convém prever co-
laboradores do tipo convidados, que não têm acesso 
aos ambientes da organização, mas possam vir a ser 
concedidos de forma reduzida por prévia notificação e 
por períodos determinados.
Essas responsabilidades bem definidas criam uma cultura 
de segurança, atuando com aquele que normalmente é consi-
derado o elo mais fraco: as pessoas.
Organização da Política de Segurança
Desenvolver a política, como já pôde ser percebido até o mo-
mento, implica bastante trabalho, reunindo as pessoas certas 
para buscar aprovação dos processos modelados e da políti-
Capítulo 2 Política de Segurança da Informação 33
ca escrita, mas isso pode refletir em muitas reuniões e muitas 
indefinições. Portanto, é preciso saber tomar decisões flexíveis 
para moldá-la de acordo com as necessidades da organiza-
ção. A seguir, são abordadas algumas recomendações para o 
estabelecimento da política na organização:
A política deve ter uma abrangência ampla, não incluindo 
nada específico. Afirme generalidades, mantendo seu foco nas 
questões de princípio, por exemplo: para manter a generali-
dade dos princípios, em lugar de mencionar na política o “uso 
de antivírus”, é preferível usar expressões como “combate de 
código malicioso”.
Trate a política e suas regras como regras absolutas com 
força de lei. Não faça nada que possa violar a política e não 
permita que ocorram violações.
Utilize uma linguagem clara e objetiva, evitando duplas in-
terpretações, como por exemplo, a regra “Uso pessoal mínimo 
durante o horário comercial normal” dá margem para qual o 
significado de “mínimo” concretamente.
Apesar de a política ser tratada como lei, o uso de uma 
linguagem complexa e demasiadamente formal pode tornar 
sua leitura complicada e maçante, portanto é importante fa-
zer uma escolha cabível entre a alta formalidade e uma lin-
guagem mais próxima à realidade da instituição e de seus 
colaboradores. O estilo adotado deve ser mantido em toda 
a política.
34 Segurança de Sistemas
Um exemplo de organização da Política de Segurança a 
Informação são os itens contidos na Política de Segurança 
da Informação do Instituto do Patrimônio Histórico e Artístico 
Nacional do Ministério da Cultura, elaborada pelo seu Co-
mitê Gestor de Tecnologia da Informação e disponibilizada 
publicamente em: <http://www.iphan.gov.br/baixaFcdAnexo.
do?id=4010>.
Estrutura
É por meio da Política de Segurança da Informação que as 
estratégias de proteção das informações da organização serão 
definidas, sempre baseadas nas necessidades de proteção que 
a organização necessita, e passada para todas as áreas envol-
vidas nas mais diversas esferas.
Elas servirão como linha mestra de todas as atividades de 
segurança das informações que são desempenhadas na orga-
nização.
A política deve ser estruturada de forma de forma a refletir 
os objetivos estratégicos da organização que se manterão por 
longo prazo, bem como os objetivos táticos e operacionais 
que refletem as rotinas diárias e podem sofrer mudanças em 
curto prazo, conforme ilustra a Figura 1.
Capítulo 2 Política de Segurança da Informação 35
Joe Beck/ULBRA 
Figura 1 Estrutura da Política de Segurança
Objetivos estratégicos – Refletem a visão estratégica da 
alta direção e servirão como base para que as normas e os 
procedimentos mantenham coerência com as diretrizes or-
ganizacionais (missão, visão, valores, objetivos), com a estra-
tégica corporativa e com as diretrizes de segurança em geral 
existentes na organização. Um exemplo de diretriz estratégica 
é “Proteger as informações e sistemas contra a modificação, 
destruição, acesso ou divulgação não autorizada pela orga-
nização”.
Objetivos táticos - Especificam as normas e regras no pla-
no tático, refletindo as escolhas tecnológicas e os controles 
que deverão ser implementados para alcançar a estratégica 
definida nas diretrizes. Um exemplo de norma tática é “Não 
36 Segurança de Sistemas
é permitida a utilização de software não adquirido oficialmen-
te pelo Banrisul, bem como suas cópias, ou de qualquer ou-
tro software”.
Objetivos operacionais – Os procedimentos e rotinas ope-
racionais detalham, no plano operacional, as configurações 
de um determinado produto ou funcionalidade que devem ser 
realizada para implementar os controles e as tecnologias esta-
belecidas nas normas, bem como detalham atividades passo 
a passo que normalmente envolvem a interação entre áreas e/
ou pessoas. Um exemplo de procedimento operacional é “Os 
colaboradores que identificarem a necessidade da construção 
de um Plano de Continuidade de Negócio - PCN, devem entrar 
em contato por correio eletrônico para gestaoPCN@dominio.
com.br. Um analista será designado para orientar o solicitante.”
Estudo de Caso
A seguir, é apresentado o caso Randal Schwartz, real e polê-
mico, percursor para as políticasde segurança da informação.
Randal Schwartz foi um homem famoso por suas impor-
tantes contribuições às comunidades de programação, par-
ticularmente seus discursos na Practical Extraction and Report 
Language (linguagem Perl). De maneira geral, Schwartz teve 
uma influência benéfica na Internet.
Apesar de suas contribuições, Schwartz permanece na linha 
divisória entre hacker (bom) e Cracker (mau). No outono de 
1993, ele trabalhou para a Intel em Oregon. Pela sua capaci-
dade como administrador de sistema, Schwartz foi autorizado 
Capítulo 2 Política de Segurança da Informação 37
a implementar certos procedimentos de segurança. Ele mais 
tarde explicaria, dando seu próprio testemunho:
Parte de meu trabalho envolvia certificar de que os sis-
temas de computador eram seguros, prestar atenção a 
ativos de informações, porque é aí onde a empresa in-
teira reside - o produto da empresa é o que está dentro 
desses discos. Isso é o que as pessoas estão produzindo. 
Elas estão sentadas à frente de suas estações de traba-
lho. Então, proteger essas informações era meu trabalho, 
examinar a situação, ver o que precisava ser corrigido, o 
que precisava ser alterado, o que precisava ser instalado 
e o que precisava ser alterado de tal maneira que as in-
formações fossem protegidas.
Os seguintes eventos se tornaram conhecidos:
 Â No dia 28 de outubro de 1993, um administrador de 
sistema na Intel observou processos pesados sendo exe-
cutados em uma máquina sob seu controle.
 Â Por meio do exame desses processos, o administrador 
de sistema concluiu que o programa sendo executado 
era o conhecido Crack, um utilitário comum utilizado 
para decifrar senhas em sistemas UNIX. Esse utilitário 
estava sendo aplicado às senhas da rede da Intel e de 
pelo menos uma outra empresa.
 Â Mais exames revelaram que os processos estavam sendo 
executados por Schwartz ou por alguém utilizando seu 
login e sua senha.
38 Segurança de Sistemas
 Â O administrador de sistema entrou em contato com um 
superior que confirmou que Schwartz não estava autori-
zado a quebrar as senhas da rede da Intel.
 Â No dia 12 de novembro de 1993, esse administrador de 
sistema forneceu um depoimento que era suficiente para 
sustentar um mandato de busca na casa de Schwartz.
 Â O mandato de busca foi fornecido e Schwartz foi poste-
riormente detido, acusado sob um obscuro estatuto de 
crime de informática do Oregon.
O caso é polêmico e estranho. Você tem um programador 
qualificado e famoso encarregado de manter segurança inter-
na para uma empresa grande. Ele se ocupa com procedimen-
tos para testar a segurança de rede e acaba sendo detido por 
causa do seu trabalho. Pelo menos inicialmente, o caso apa-
rece dessa maneira. Infelizmente, esse não é o fim da história. 
Schwartz não tinha autorização para decifrar esses arquivos de 
senha e houve evidências de que ele violou outras diretivas de 
segurança de rede na Intel.
Por exemplo, Schwartz uma vez instalou um script de shell 
que permitia a ele acessar à rede da Intel a partir de outras 
localizações. Esse script abriu um minúsculo furo no firewall da 
Intel. Outro administrador de sistema descobriu esse progra-
ma, congelou a conta de Schwartz e o confrontou. Schwartz 
concordou que instalar o script não foi uma boa ideia e con-
cordou ainda em reprimir a utilização dele. Algum tempo mais 
tarde, esse mesmo administrador de sistema descobriu que 
Schwartz tinha reinstalado e renomeado o programa, assim 
jogando o administrador de sistema para fora dos trilhos.
Capítulo 2 Política de Segurança da Informação 39
O que tudo isso significa? Randal Schwartz provavelmente 
quebrou a diretiva da Intel muitas vezes. Entretanto, o depoi-
mento sugere que essa diretiva nunca foi explicitamente colo-
cada para Schwartz. Pelo menos, não lhe foi fornecido nenhum 
documento que proibia expressamente sua atividade. Mas 
também parece claro que Schwartz excedeu sua autoridade.
Vendo o caso objetivamente, algumas conclusões podem 
ser imediatamente deduzidas. Na época, ferramentas como 
o Crack eram relativamente novas no campo da segurança 
e mesmo sendo um procedimento louvável para identificar 
senhas fracas, aquelas que podem ser facilmente decifradas, 
essa prática intrusiva de decifrar senhas pode não ser tão acei-
ta universalmente como um procedimento benéfico (pelo me-
nos não na Intel) e, claramente, se uma Política de Segurança 
estivesse estabelecida e divulgada internamente na instituição 
e em termos de usuários no processo de contratação, a Intel 
teria o embasamento legal claro para sustentar o descumpri-
mento no uso correto dos recursos da instituição.
Recapitulando
Uma política de segurança da informação prove uma orienta-
ção e o apoio da organização para a segurança da informa-
ção de acordo com os requisitos do negócio e com as leis e 
regulamentações pertinentes.
Convém que a alta direção estabeleça uma clara orien-
tação da política, alinhada com os objetivos de negócio, e 
40 Segurança de Sistemas
demonstre apoio e comprometimento com a segurança da 
informação por meio da publicação e manutenção de uma 
política de segurança da informação para toda a organização.
Recomenda-se que uma política de segurança siga as refe-
rências da norma internacional ISO/IEC27002 e, sempre que 
possível, os seus objetivos de segurança devem ser abordados:
 Â Organização da segurança.
 Â Classificação e controle dos ativos de informação.
 Â Aspectos humanos da segurança .
 Â Segurança do ambiente físico.
 Â Segurança do ambiente lógico.
 Â Segurança das comunicações.
 Â Prevenção e tratamento de incidentes.
 Â Desenvolvimento/aquisição, implantação e manutenção 
de siste mas.
 Â Gestão da continuidade do negócio.
 Â Conformidade.
Referências
ABNT - Associação Brasileira de Normas e Técnicas. Tecno-
logia da informação – Código de prática para a gestão 
da segurança da Informação. NBR ISO/IEC 27002:2013.
Capítulo 2 Política de Segurança da Informação 41
SUAVÉ, Jacques Philippe. MOURA, José Antão Beltrão. TEIXEI-
RA, Suzana de Queiroz Ramos. JÚNIOR, José Helvécio Tei-
xeira. Redes de Computadores – Serviços, Administração 
e Segurança. São Paulo: Makron Books, 1999.
KUROSE, James F. ROSS, Keith W. Redes de Computadores 
e a Internet: uma abordagem top-down. Tradução de Da-
niel Vieira. Revisão Técnica Wagner Luiz Zucchi. 6. ed. São 
Paulo: Pearson Education do Brasil, 2013.
WADLOW, Thomas A. Segurança de Redes – Projetos e ge-
renciamento de redes seguras. Tradução Fábio Freitas da 
Silva. Rio de Janeiro: Editora Campus, 2000.
BEAL, Adriana. Segurança da Informação: princípios e me-
lhores práticas para a proteção de ativos de informação 
nas organizações. São Paulo: Editora Atlas, 2005.
FERREIRA, Fernando Nicolau Freitas. ARAÚJO, Márcio T. Polí-
tica de Segurança da Informação. 2. ed. Editora Ciência 
Moderna, 2009.
Atividades
 1) Qual alternativa a seguir não reflete os objetivos de uma 
Política de Segurança da Informação?
a) Demonstrar o apoio da Alta Gestão para com as me-
lhores práticas de Segurança da Informação.
b) Definir responsabilidades gerais e específicas na Ges-
tão de Segurança da Informação.
42 Segurança de Sistemas
c) Estabelecer consequências caso as definições de Se-
gurança da Informação sejam violadas.
d) Definir orientações para que a organização esteja em 
conformidade com leis, requisitos regulamentares e/
ou contratuais.
e) Alinhar as melhores práticas de Segurança da Informa-
ção com os objetivos e estratégias do cliente externo.
 2) Quais as três categorias em que está estruturada a Política 
de Segurança?
a) Diretrizes, Normas e Procedimentos.
b) Táticas, Procedimentos e Instruções.
c) Táticas, Procedimentos e Operações.
d) Diretrizes, Procedimentos e Instruções.
e) Todas as alternativas estão incorretas.
 3) Ao criarmos uma Política de Segurança da Informação, 
além de garantirmos organização e postura proativa frente 
a incidentes, por que devemos realizar um processo perió-
dico de revisãodessa política?
 4) É sabido que é de extrema relevância existir uma estrutura 
de gerenciamento da Segurança da Informação dentro da 
organização, estabelecida para coordenar e analisar criti-
camente a implementação da Segurança. Porém, a quem 
se deve destinar os aspectos técnicos da Política de Segu-
rança?
Capítulo 2 Política de Segurança da Informação 43
a) Alta direção da empresa.
b) Gerentes dos principais setores da empresa.
c) Profissionais das áreas de tecnologia, como infraestru-
tura de TI e desenvolvimento de sistemas.
d) Profissionais terceirizados, especializados em infraes-
trutura de rede.
e) Todas as alternativas estão incorretas.
 5) O conteúdo da Política de Segurança de uma organização 
varia de acordo com seu tipo e tamanho, sendo funda-
mental um alinhamento com a norma internacional ISO/
IEC27002. Porém, é recomendado abordar alguns aspec-
tos da norma, como por exemplo, a Conformidade. Quais 
características podemos descrever sobre esse aspecto?
Gabarito
1) e 2) a
3) Para que a organização possa acompanhar com veloci-
dade as variações do ambiente, ajustando os controles 
de segurança a fim de manter um nível de segurança 
adequado para os negócios.
4) c
5) Preservação da conformidade com requisitos legais e 
marcos regulatórios.
??????????
Capítulo ?
Cultura e 
Conscientização 
em Segurança da 
Informação12
Cultura e Conscientização em Segurança...
1 Mestre em Engenharia Elétrica pela PUC-RS. Professor na ULBRA - Universidade 
Luterana do Brasil - e Analista de Segurança da Informação no Banrisul - Banco do 
Estado do Rio Grande do Sul. Certificado MCSO, ISFS e ITIL.
2 Superintendente da Unidade de Infraestrutura de TI no Banrisul – Banco do Estado 
do Rio Grande do Sul
Alexandre Timm Vieira1
Sérgio Vilanova2
Capítulo 3
Capítulo 3 Cultura e Conscientização em Segurança... 45
Introdução
Uma das principais razões pela qual a segurança da infor-
mação é difícil de ser implementada é pelo fato de a gene-
ralidade dos gestores reduzirem a segurança a um problema 
meramente tecnológico. A tecnologia é, claramente, um dos 
componentes essenciais a uma estratégia de segurança, mas 
por si só não resolve nada.
Para demonstrar que a segurança da informação exige 
bem mais que uma abordagem exclusivamente tecnológica, a 
edição de 2013 do Global State of Information Security revela 
que as organizações afirmaram dispor de antivírus e diversas 
outras tecnologias para proteção contra as principais ameaças 
(Figura 1).
Joe Beck/ULBRA 
Figura 1 Tecnologias para Proteção da Informação.
A título indicativo, no entanto, os problemas com malware 
(vírus) constituem o tipo de incidente responsável pelo maior 
número de prejuízos, como indica o relatório de 2013 da Ka-
46 Segurança de Sistemas
persky (empresa desenvolvedora do conhecido software antiví-
rus), no qual 66% das empresas avaliadas são vítimas de vírus 
(Figura 2).
Joe Beck/ULBRA 
Figura 2 Tipos de ataques.
Desses incidentes com vírus, 12% causaram perda de da-
dos sensíveis aos negócios e outros 23% também causaram 
perda de dados, apesar de serem informações não sensíveis. 
Os 30% restantes não causaram perdas, mas podem causar 
lentidão e indisponibilidade dos serviços de TI.
Se a solução para segurança fosse puramente tecnológica, 
esses resultados seriam significativamente diferentes. Os resul-
tados provam, sem margem para dúvidas, que a segurança 
da informação vai muito para além das soluções tecnológicas, 
mas por um triângulo que, para além da tecnologia, envolva 
as pessoas e os processos.
Capítulo 3 Cultura e Conscientização em Segurança... 47
No livro “Surviving Security: How to Integrate People, Pro-
cess, and Technology”, Amanda Andress explica bem essa inte-
ração entre processos, pessoas e tecnologias, nessa ordem de 
importância. Os processos (políticas e procedimentos) definem 
como uma organização encara a segurança, como os seus 
funcionários devem atuar e como determinadas situações de-
vem ser tratadas. Sem processos definidos, nenhuma organiza-
ção pode afirmar dispor uma sólida implantação de seguran-
ça da informação, pura e simplesmente porque os processos 
são a base sobre a qual se constrói a segurança.
Segundo Andress, as pessoas são o segundo componente 
mais importante da segurança. Elas são geralmente conside-
radas o elo mais fraco numa infraestrutura de segurança, co-
locando muitas vezes em risco o tempo, a energia e o dinheiro 
despendido para avaliar, adquirir e implementar uma solução 
de segurança. A educação dos usuários e a sua sensibilização 
para a segurança, recompensando-os quando seguem os pro-
cedimentos, desempenha um papel importante e da máxima 
importância.
Por fim, vem a tecnologia, o componente importante em 
uma infraestrutura de segurança da informação, mas pouco 
eficiente sem processos bem definidos e colaboradores cons-
cientizados sobre a segurança. Os investimentos em tecnolo-
gia terão pouco valor se as pessoas não receberem treinamen-
to adequado sobre o que e como fazer.
Há muito tempo os criminosos já sabem que a maneira 
mais fácil de burlar um sistema de segurança da informação é 
explorar as pessoas. Técnicas simples – como se fazer passar 
48 Segurança de Sistemas
por pessoal de TI ou da empresa – podem ser usadas para se 
obter acesso a informações sem deixar suspeitas. Entre as em-
presas entrevistadas pelo relatório “Muito além de Compliance 
- Pesquisa Global sobre Segurança da Informação” da Ernst & 
Young, de 2008, 85% das empresas analisadas confirmaram 
que conduzem testes de invasão pela Internet regularmente, 
mas apenas 19% responderam que recorrem à engenharia so-
cial para testar seus funcionários.
Por que ter “cultura e conscientização em 
Segurança da Informação”?
Existem vários “porquês” para essa questão, que passam por 
razões pessoais, profissionais e/ou legais ou contratuais, todos 
envolvendo cuidados com a exposição de informações, das 
mais simples até as mais sigilosas.
Em termos pessoais, temos que ter cuidado ao passar in-
formações em meios eletrônicos de comunicação, quando en-
tramos em redes sociais, respondemos mensagens de correio 
eletrônico, acessamos nossas contas nos sistemas de Internet 
Banking e assim por diante. Também relacionadas a questões 
pessoais, temos de orientar nossos filhos e familiares a terem 
os mesmos cuidados.
Em termos profissionais, precisamos cuidar desde as infor-
mações que possam vir a ser usadas pelos concorrentes, como 
também aquelas que, por alguma questão legal ou moral, ne-
cessite que tenhamos cautela e maior cuidado com o seu uso. 
Capítulo 3 Cultura e Conscientização em Segurança... 49
Também temos de cuidar os recursos e os ativos de tecnologia 
que a empresa coloca à disposição para a realização de nos-
sas atividades, além de orientar os colegas, estejam eles em 
qualquer nível de delegação.
Esses cuidados devem fazer parte de nossa vida pessoal e 
profissional, pois por erro ou distração podemos perder um 
pen drive contendo todas as nossas fotos do verão ou tornar 
disponível informações pessoais de cliente ou contas em que 
estamos trabalhando.
Porém, talvez o que hoje nos remeta a observar com maior 
rigor esses cuidados com a segurança da informação são os 
crescentes avanços nas ações fraudulentas usadas por crimi-
nosos, como os “hackers”, que buscam obter informações das 
pessoas para cometer atos ilícitos através dos meios eletrôni-
cos de comunicação.
A cada ano, o número de softwares maliciosos aumenta e 
o número de ataques a computadores pessoais, contas ban-
cárias, dados e informações tem se tornado uma preocupação 
geral das empresas de softwares, dos bancos, lojistas etc., mas 
o fundamental é que devemos encarar isso como uma preo-
cupação pessoal.
Por mais que se invista em tecnologias e sistemas de pro-
teção, essa “guerra” contra os criminosos virtuais não parece 
estar perto do fim e todas as armas disponíveis para se pro-
teger devem ser utilizadas. Todos os programas de proteção,atualizações e correções devem estar instalados nos computa-
dores, pois a cada minuto surge uma nova ameaça que pode 
explorar uma vulnerabilidade dos sistemas. Cuidados com a 
50 Segurança de Sistemas
escolha e proteção de senhas, acessos a sites, a mensagens 
de e-mail, também fazem parte desse modelo que visa dar 
proteção.
Assim, é preciso adotar uma cultura que se torne consci-
ência de segurança da informação.
Mas o que fazer?
Em geral, encontramos muitas referências técnicas relacio-
nadas a questões de segurança da informação, em especial 
sobre Processos, Tecnologias, Ambientes e sobre os riscos e 
cuidados associados às atribuições e atividades das pessoas. 
Mas quando o assunto é “Cultura e Conscientização”, existem 
poucas referências.
O que diz a norma ISO/IEC27002?
Em termos práticos, encontramos muito poucas referências 
sobre cultura e conscientização na norma; ela basicamente 
orienta que existam ações, porém não apresenta maiores de-
talhes ou, até mesmo, conceitos a serem observados.
No item “6.1.2.”, temos o subitem “f” – “Promova de for-
ma eficaz, a educação, o treinamento e a conscientização pela 
segurança da informação, por toda a organização”.
No item “8.2.2 – Conscientização, educação e treinamen-
to em segurança da informação”, temos os seguintes aponta-
mentos:
Capítulo 3 Cultura e Conscientização em Segurança... 51
 Â Controle
 Â Diretrizes de Implementação
 Â Informações Adicionais
Em uma área de Segurança da Informação de uma insti-
tuição, a tecnologia desempenha um papel vital na segurança 
da informação, mas também é preciso focar em programas 
de cultura, conscientização e treinamento para que a área 
tenha eficácia operacional. As pessoas em uma instituição 
devem ser tão cruciais quanto qualquer outro componente 
da segurança da informação – assim, ajudarão a impedir a 
ocorrência de incidentes e possibilitarão uma resposta eficaz e 
oportuna sempre que necessário.
Implementando um processo de cultura 
e conscientização de segurança da 
informação na organização
Este tópico é mais voltado a profissionais da área de Seguran-
ça da Informação que busquem implementar em sua organi-
zação um processo de Cultura e Conscientização.
É claro que isso vai depender do porte da empresa e da na-
tureza de suas atribuições. Os controles, leis, normas e proce-
dimentos variam de acordo com o ramo de atividade e do foco 
que a empresa atua. Uma empresa que atua exclusivamente 
com comércio eletrônico (sites de vendas) terá preocupações 
e cuidados distintos de uma loja que só usa a parte de TI para 
52 Segurança de Sistemas
controle de estoque, faturamento e registro das compras efe-
tuadas na loja. Os cuidados nas indústrias são diferentes dos 
aplicados nos meios bancários, que por sua vez diferem da 
área governamental. Empresas multinacionais precisam aten-
der às regulamentações de seus países de origem ou, no caso 
das empresas brasileiras que possuem ações na bolsa ameri-
cana, precisam atender a legislações externas, como é o caso 
da Sabanes Oxley (SOX).
Certa vez, assisti uma apresentação, em um evento de se-
gurança, que tratava de do nível de proteção e sigilo que é 
preciso em uma escola de samba do Rio de Janeiro para que 
as informações do enredo e das fantasias não vazem antes dos 
desfiles ou do momento apropriado. Nesse caso, não se trata 
de TI, mas da estratégia que os organizadores devem montar 
todo ano para garantir a segurança das informações, afinal 
cada escola conta com milhares de participantes, sendo im-
portante o nível de segregação da informação em cada uma 
das estruturas da escola.
Poderíamos separar as ações em dois níveis: um de cunho 
INTERNO, voltado aos profissionais que trabalham na empre-
sa, sejam eles empregados, estagiários ou contratados exter-
nos, e um de cunho EXTERNO, voltado para clientes e empre-
sas parceiras, no qual estariam compreendidos um conjunto de 
atividades (entre campanhas, cursos e avaliações) e materiais 
associados, planejados para promover e manter uma situa-
ção onde todos tenham uma mesma base nivelada sobre 
Segurança de Informação, bem como competências es-
pecíficas conforme sua área de atuação, proporcionando 
um alto nível de conhecimento e consciência sobre segurança.
Capítulo 3 Cultura e Conscientização em Segurança... 53
Este programa de treinamento e conscientização de segu-
rança deverá ser um processo contínuo que visa mudar o 
modo como pessoas pensam e agem, possibilitando um am-
biente de segurança positivo na instituição, fazendo com que os 
funcionários ajam instintivamente e sejam proativos de modo 
que promovam as boas práticas de segurança da informação.
Objetivos
O programa de conscientização visa mudar o modo como os 
colaboradores de sistema pensam e agem, de forma que a 
segurança da informação se torne parte das atividades de ne-
gócios da empresa, fazendo com que os colaboradores:
 Â Aumentem a conscientização, percebendo o que signifi-
ca Segurança da Informação para a organização;
 Â Saibam como aplicar as ações de segurança em seu 
ambiente de trabalho;
 Â Entendam que as informações armazenadas nos siste-
mas são um recurso importante e valioso;
 Â Adquiram uma cultura de diálogo e participação nos 
assuntos relacionados, auxiliando no reconhecimento 
de problemas e incidentes, permitindo uma resposta de 
acordo;
 Â Entendam a política de segurança, padronização dos 
sistemas e princípios da organização;
Enfim, percebam que eles também são responsáveis pela 
segurança da informação, conhecendo a direção estratégica e 
54 Segurança de Sistemas
estabelecendo vínculos constantes entre objetivos de seguran-
ça e ações diárias.
Benefícios
Os benefícios de um programa de treinamento e conscienti-
zação de segurança da informação para uma instituição vem 
de assegurar que incidentes de segurança sejam reduzidos em 
número e escala e, consequentemente, acabar melhorando 
as práticas de trabalho e garantir que a segurança será uma 
parte integrada aos produtos e serviços oferecidos.
Benefícios do programa de treinamento e conscientização 
em segurança da informação:
 Â Aumento da confiança dos clientes e acionistas na capa-
cidade da instituição em fornecer qualidade de produtos 
e serviços;
 Â Garantir a melhor continuidade dos negócios;
 Â Melhor proteção das informações confidenciais de pes-
soas não autorizadas, concorrentes ou ladrões;
 Â Menor custo à segurança de TI por erros não intencionais;
 Â Melhoria no astral dos colaboradores, pois funcionários 
gostam de trabalhar para garantir a segurança e quali-
dade nas organizações;
 Â Quantificar o nível de maturidade da segurança no que-
sito pessoas.
 Â Aderência à Política de Segurança da Informação.
Capítulo 3 Cultura e Conscientização em Segurança... 55
Definição do escopo
O escopo define basicamente a abrangência do programa de 
conscientização, no qual idealmente ele deve ser endereçado 
a todos os colaboradores da instituição (sejam funcionários, 
estagiários e terceirizados), pois para construir um nível consis-
tente de segurança em todas as partes de uma organização, é 
importante que não tenha nenhum elo fraco na corrente.
Mas a definição de escopo é um dos principais fatores de 
sucesso ou fracasso do programa de conscientização, no qual 
o tamanho do escopo é a principal regra para avaliar se ele 
está correto: quanto maior o escopo, maior a probabilidade 
de insucesso no projeto, portanto é fundamental agrupar as 
pessoas em áreas alinhadas com a estratégia da organização, 
identificando-as de acordo com o(s) macroprocesso(s) de ne-
gócio que elas suportam.
O enfoque do programa de conscientização poderá variar 
de acordo com o escopo identificado, refletindo áreas mapea-
das alinhadas com os processos de negócios.
Portanto, alguns cuidados serão tomados para atingir o ob-
jetivo do programa, assim como:
 Â Estar alinhado com as atividades de cada área mapea-
da e os impactos que a área traz aos negócios da orga-
nização, podendo, dessaforma, priorizar as áreas mais 
críticas.
 Â Reconhecer as ameaças e riscos associados aos negó-
cios, podendo, dessa forma, direcionar o material para 
as questões de segurança corretas, como priorizar uso 
56 Segurança de Sistemas
correto de recursos, cuidados com engenharia social, 
ataques de phishing por email etc.
 Â Levar em consideração a cultura já estabelecida e tra-
balhar atividades que são comuns à instituição e, es-
pecificamente, a cada área, garantindo, dessa forma, 
que o material produzido esteja alinhado ao ambiente e 
cultura da instituição.
O diagrama da Figura 3 ilustra as ações que poderão ser 
desenvolvidas conforme os escopos distintos envolvidos no 
programa de conscientização.
Macroprocesso
de Negócio X
Macroprocesso de 
Negócio ...
Macroprocesso de 
Negócio Y
Área A Área... Área n
Competências Específicas em 
Segurança da Informação
Competências Gerais em 
Segurança da Informação
AÇÕES
• Curso presencial
• Curso a distância (online)
• Prova de avaliação
• Campanha impressa 
(folders, cartazes etc.)
• Campanha digital (site, 
vídeos, e-mails etc.)
• Uso de desafios com 
premiações
• Distribuição de brindes
• Cartilha
Figura 3 Mapeamento do Escopo do Programa de Conscientização.
Para cada escopo previsto, serão definidas as competên-
cias necessárias a serem abordadas e um conjunto de ações 
entre cursos presenciais ou a distância (por meio de ferramen-
tas de ensino a distância), possibilidade de aplicação de testes 
Capítulo 3 Cultura e Conscientização em Segurança... 57
de avaliação, campanhas impressas e digitais, utilização de 
desafios com premiações, distribuição de brindes e confecção 
de cartilha impressa ou digital.
Material produzido
A abordagem do programa de conscientização pode seguir 
duas linhas: baseada na ênfase do bom comportamento ou 
na punição do não cumprimento da política. A linha prefe-
rencial escolhida será da comunicação positivista, na qual se 
enfatizam os benefícios ao indivíduo e à instituição quando 
o comportamento está adequado à política de segurança da 
empresa, colocando as palavras sempre de forma positiva, 
não usando frases que tenham conotação negativa.
A condução de treinamentos deverá ser de forma lúdica e 
efetiva, por meio de um ciclo de aprendizagem entre funda-
mentos teóricos e práticas vivenciais, em que se estabelecem 
relações entre a teoria e a rotina de trabalho do dia a dia, 
verificando com o grupo os sentimentos e processos que acon-
teceram. Lembrando sempre que a intenção não é reprimir, e 
sim treinar o comportamento e demonstrar os benefícios trazi-
dos com a mudança de comportamento.
Em consequência disso, as ações produzidas de materiais 
específicos podem produzir diferentes abordagens de ensino e 
de distribuição de conteúdos citados abaixo.
• Cursos
Para treinamentos, devem ser utilizados convites estilizados e 
personalizados para os colaboradores, formalizando o curso a 
58 Segurança de Sistemas
ser realizado, como horário e local do treinamento. Os mate-
riais didáticos produzidos poderão ser disponibilizados em um 
site específico do treinamento. Poderão ser aplicados questio-
nários e avaliação individual para que sejam contabilizados 
desempenhos. Para que o colaborador aplique de forma mais 
eficaz as medidas de segurança abordadas no curso, deverá 
ser entregue um certificado de conclusão, servindo como fator 
motivacional e promovendo o mesmo a um agente de segu-
rança da informação.
• Campanhas
Cartazes com dicas de segurança poderão ser fixados em qua-
dros de aviso (com itens curtos que chamem a atenção). Distri-
buição de folhetos ou brochuras com dicas de segurança, in-
clusive utilizando o contracheque de cada colaborador, poder 
ser um veículo de informação, sendo impresso nele lembretes 
de segurança. Também deverão ser fornecidos trabalhos, pes-
quisas e artigos para leitura voltados à Segurança da Informa-
ção e, principalmente, Engenharia Social, que atinge direta-
mente todos os funcionários, por meio dos jornais e revistas 
internas da empresa. Também é eficaz a impressão de adesi-
vos para situações específicas, como por exemplo, etiquetas 
para o telefone com mensagens tais como “A pessoa que está 
ligando é quem ela diz ser?”. Toda precaução e divulgação 
quanto à segurança são válidos. Assim como as ameaças, os 
lembretes também devem ser constantes!
Capítulo 3 Cultura e Conscientização em Segurança... 59
• Desafios, premiações e brindes
Fugir da mesmice de programas tradicionais (que já se tor-
naram bastante familiares, fazendo assim com que comecem 
a serem ignorados), faz com que fiquem mais “enraizadas” 
as mensagens na mente de cada um. Portanto, com o auxílio 
do site na Internet/Intranet poderão ser criados desafios re-
lacionados com a campanha e treinamento que destaquem 
a importância da segurança e estimulem a participação dos 
funcionários por meio do recebimento de brindes, como por 
exemplo, mouse pads (personalizados com mensagens), cha-
veiros, canetas e até “biscoitos da sorte” com lembretes que 
chamem a atenção quanto à segurança. Para os melhores co-
locados nos desafios, podem ser definidos prêmios especiais, 
como camisetas e agendas personalizadas relacionadas com 
segurança. A agenda pode conter dicas e procedimentos so-
bre segurança da informação, em conformidade com a políti-
ca de segurança, por meio de diferentes mensagens impressas 
em cada folha, a cada dia do ano. Esses brindes e prêmios 
especiais servem de motivação para que o funcionário aplique 
de forma mais eficaz as medidas de segurança das informa-
ções, por estar colaborando significativamente na diminuição 
dos incidentes sofridos.
Fatores de Sucesso e indicadores de 
desempenho
Como forma de avaliar o sucesso do programa de treinamen-
to e conscientização, devem ser estabelecidos alguns fatores 
de sucesso:
60 Segurança de Sistemas
 Â Contabilização do número de incidentes envolvendo a 
segurança da informação na organização, no que tange 
à confidencialidade, disponibilidade e integridade das 
informações. Identificação os resultados antes e depois 
da aplicação de ações de conscientização.
 Â A avaliação dos colaboradores sobre as ações realizadas.
 Â O número de colaboradores atingidos.
Recapitulando
Não adianta termos inúmeras ferramentas de proteção sem 
treinamento e educação dentro de uma organização. Segun-
do as estatísticas apresentadas anteriormente, a maioria dos 
incidentes de segurança é causada por colaboradores internos.
Isso vai desde o download de material pornográfico, conta-
minação por vírus, até vazamento de informações sigilosas. Se 
a organização não tiver uma boa metodologia de treinamento 
para segurança da informação, esses são apenas alguns dos 
riscos aos quais se está sujeito.
Uma pesquisa realizada em 2008 no Brasil pela KPMG 
(http://www.kpmg.com.br) mostra que o número de crimes 
virtuais triplicou dentro das empresas. Mesmo com os dados 
alarmantes, ainda há quem não se proteja. De acordo com o 
especialista em Segurança de Informação da consultoria Ep-
sec, Denny Roger – palestrante internacional e autor de mais 
de 100 projetos na área –, o que não faltam são casos de 
Capítulo 3 Cultura e Conscientização em Segurança... 61
crimes praticados dentro de empresas brasileiras. Em um dos 
exemplos citados pelo consultor, uma empresa do setor quími-
co teve suas planilhas de custo e produção vendidas para a 
concorrência. Em três meses, a empresa perdeu 75% da fatia 
de mercado que ocupava. Para Denny Roger, o maior desafio 
das empresas é a conscientização. “O computador não faz 
nada sozinho. Nosso maior desafio é conscientizar as pesso-
as”, finaliza o consultor em Segurança da Informação. A Figu-
ra 4 ilustra as principais causas que levam os funcionários a 
terem condutas impróprias que passem por cima da política de 
segurança por falta de conscientização. O gráfico representa 
um estudo feito pela KPMG entre 2005 e 2006 com 4056 
funcionários de empresas norte-americanas.
Joe