GES_SEG_01_PDF_2016

Prévia do material em texto

Gestão da Segurança da Informação
Créditos
Centro Universitário Senac São Paulo – Educação Superior a Distância
Diretor Regional 
Luiz Francisco de Assis Salgado
Superintendente Universitário 
e de Desenvolvimento 
Luiz Carlos Dourado
Reitor 
Sidney Zaganin Latorre
Diretor de Graduação 
Eduardo Mazzaferro Ehlers
Diretor de Pós-Graduação e Extensão 
Daniel Garcia Correa
Gerentes de Desenvolvimento 
Claudio Luiz de Souza Silva 
Luciana Bon Duarte 
Roland Anton Zottele 
Sandra Regina Mattos Abreu de Freitas
Coordenadora de Desenvolvimento 
Tecnologias Aplicadas à Educação 
Regina Helena Ribeiro
Coordenador de Operação 
Educação a Distância 
Alcir Vilela Junior
Professor Autor 
Alaíde Barbosa Martins
Alexandre de Aguiar Amaral 
Edquel Bueno Prado Farias
Vinícius Moll
Revisor Técnico 
João Carlos Neto
Técnico de Desenvolvimento 
Ozeas Vieira Santana Filho
Rodrigo Moura Galhardo
Coordenadoras Pedagógicas 
Ariádiny Carolina Brasileiro Silva 
Izabella Saadi Cerutti Leal Reis 
Nivia Pereira Maseri de Moraes 
Otacília da Paz Pereira
Equipe de Design Educacional 
Alexsandra Cristiane Santos da Silva 
Ana Claudia Neif Sanches Yasuraoka 
Angélica Lúcia Kanô 
Anny Frida Silva Paula 
Cristina Yurie Takahashi 
Diogo Maxwell Santos Felizardo 
Flaviana Neri 
Francisco Shoiti Tanaka 
Gizele Laranjeira de Oliveira Sepulvida 
Hágara Rosa da Cunha Araújo 
Janandrea Nelci do Espirito Santo 
Jackeline Duarte Kodaira 
João Francisco Correia de Souza 
Juliana Quitério Lopez Salvaia 
Jussara Cristina Cubbo 
Kamila Harumi Sakurai Simões 
Katya Martinez Almeida 
Lilian Brito Santos 
Luciana Marcheze Miguel 
Mariana Valeria Gulin Melcon 
Mônica Maria Penalber de Menezes 
Mônica Rodrigues dos Santos 
Nathália Barros de Souza Santos 
Rivia Lima Garcia 
Sueli Brianezi Carvalho 
Thiago Martins Navarro 
Wallace Roberto Bernardo
Equipe de Qualidade 
Ana Paula Pigossi Papalia 
Josivaldo Petronilo da Silva 
Katia Aparecida Nascimento Passos
Coordenador Multimídia e Audiovisual 
Ricardo Regis Untem
Equipe de Design Audiovisual 
Adriana Mitsue Matsuda 
Caio Souza Santos 
Camila Lazaresko Madrid 
Carlos Eduardo Toshiaki Kokubo 
Christian Ratajczyk Puig 
Danilo Dos Santos Netto 
Hugo Naoto Takizawa Ferreira 
Inácio de Assis Bento Nehme 
Karina de Morais Vaz Bonna 
Marcela Burgarelli Corrente 
Marcio Rodrigo dos Reis 
Renan Ferreira Alves 
Renata Mendes Ribeiro 
Thalita de Cassia Mendasoli Gavetti 
Thamires Lopes de Castro 
Vandré Luiz dos Santos 
Victor Giriotas Marçon 
William Mordoch
Equipe de Design Multimídia 
Alexandre Lemes da Silva 
Cristiane Marinho de Souza 
Emília Correa Abreu 
Fernando Eduardo Castro da Silva 
Mayra Aoki Aniya 
Michel Iuiti Navarro Moreno 
Renan Carlos Nunes De Souza 
Rodrigo Benites Gonçalves da Silva 
Wagner Ferri
Gestão da Segurança da Informação
Aula 01
Conceitos sobre segurança
Objetivos Específicos
• Alinhar os conceitos de segurança da informação para a gestão e continuidade 
dos negócios.
Temas
Introdução
1 Conceitos sobre informação e segurança 
2 Segurança aplicada no desenvolvimento de software
Considerações finais
Referências
Alexandre de Aguiar Amaral
Edquel Bueno Prado Farias
Professores Autores
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
2
Introdução
Olá, aluno! Seja bem-vindo à jornada do conhecimento na qual abordaremos questões 
sobre Gestão da Segurança da Informação e que envolvem a informação, conceitos e 
aplicações fundamentais sobre o tema. Também discutiremos a importância da implementação 
desses conteúdos no desenvolvimento de software.
Assim, convido você a refletir sobre esses conceitos no que diz respeito aos seguintes 
questionamentos que permeiam a segurança da informação: o que é e como proteger as 
informações? Do que essas informações devem ser protegidas? 
Nesta aula, vamos abordar temas que respondem a esses e outros questionamentos e 
que refletem em sua aplicabilidade por meio do desenvolvimento de software. 
Bons estudos!
1 Conceitos sobre informação e segurança 
A informação pode ser considerada como o ativo mais valioso de uma organização. A partir 
da informação é obtido o conhecimento, que pode proporcionar um diferencial competitivo. 
Sendo assim, garantir a segurança, a integridade e o controle de acesso à informação é vital 
para uma organização (SÊMOLA, 2014).
Outro aspecto importante que devemos considerar refere-se à disseminação da 
informação e os diferentes meios em que ela pode ser transmitida e armazenada. No 
passado, os dados eram gravados e acessados diretamente do meio em que estavam escritos. 
Hoje, eles são armazenados nos mais diversos formatos e locais. Além disso, eles podem ser 
acessados por diferentes dispositivos (notebooks, smartphones e tablets). Nesse cenário se 
tornaram imprescindíveis o desenvolvimento e a utilização de mecanismos que garantam a 
segurança da informação, a fim de evitar roubo, uso indevido ou até mesmo sua destruição 
(KIM; SOLOMON, 2014).
Mas, o que de fato é informação e segurança da informação? 
Segundo a norma ABNT NBR ISO/IEC 27002:2005, a informação pode existir 
de diversas formas. Dentre elas, podemos citar a escrita em papel ou armazenada 
eletronicamente e transmitida por meios eletrônicos, a exemplo do e-mail. Uma vez 
que a informação se tornou um ativo estratégico e essencial para os negócios de uma 
organização, garantir sua segurança é primordial. 
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
3
Agora com a noção do que é, e qual a importância da informação, podemos 
definir o que é a segurança da informação. A mesma norma define que a segurança 
da informação consiste em proteger a informação de diferentes tipos de ameaças, 
visando à garantia da continuidade do negócio, com maximização do retorno sobre 
os investimentos (ROI – Return On Investment) e as oportunidades de negócio (ABNT, 
2005). 
Para Sêmola (2014), a segurança da informação é a área do conhecimento que tem como 
foco a proteção contra acessos não autorizados, alterações indevidas ou indisponibilidade da 
informação. Segundo o autor, o processo de proteção da informação deve ser ininterrupto 
e ordenado, seguindo uma sequência denominada de ciclo de vida da informação. A Figura 
1, a seguir, apresenta os quatro momentos do ciclo de vida da informação, considerando os 
conceitos de segurança.
Figura 1 – Ciclo de vida da informação
Autenticidade
Armazenamento
Manuseio
Integridade
Disponibilidade
Co
nfi
de
nc
ial
ida
de
Descarte
Transporte
Legalidade
Fonte: Sêmola (2014, p. 11).
Além do ciclo de vida, a Figura 1 apresenta os três princípios essenciais da segurança da 
informação: confidencialidade, integridade e disponibilidade. De acordo com Kim e Solomon 
(2014), esses princípios devem ser garantidos para que a informação seja considerada segura. 
Mas, o que dizem estes princípios? Em Harris (2013), vamos encontrar a resposta a seguir:
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
4
• Integridade: significa a garantia da exatidão, confiabilidade das informações e 
sistemas, impedindo qualquer alteração não autorizada;
• Confidencialidade: somente pessoas devidamente autorizadas devem ter acesso à 
informação. Garante o nível necessário de sigilo em cada função de processamento de 
dados, ao mesmo tempo em que impede a divulgação não autorizada da informação;
• Disponibilidade: a informação deve estar disponível para a pessoa autorizada, quando 
solicitada. Garantir a disponibilidade envolve permitir o acesso seguro aos dados e 
recursos somente a usuários autorizados. Portanto, é necessário que os dispositivos 
de rede, computadores e aplicações apresentem um nível admissível de desempenho 
e que tenham a capacidade de recuperação de eventuais interrupções (e.g., falhas 
de hardware de rede) de modo rápido e seguro, não afetando a produtividade da 
organização.
Apresentaremos agora algumas definições e terminologias de segurança da informação 
queserão muito úteis durante esta nossa jornada de conhecimento, de acordo com a ISO/
IEC TR 18044: 2004. São elas: evento de segurança da informação, incidente de segurança da 
informação e risco. A seguir, faremos o detalhamento de cada uma delas.
• Evento de segurança da informação: ocorrência em um sistema, serviço ou rede, 
que sugere uma presumível violação na política de segurança, uma falha de controles 
ou ainda uma ocorrência previamente ignorada, que possa ser relevante para a 
segurança da informação. 
• Incidente de segurança da informação: eventos de segurança da informação 
indesejados ou imprevistos, com grande perspectiva de afetar as operações do 
negócio e ameaçar a segurança da informação (ISO/IEC TR 18044:2004).
• Risco: considerado como a probabilidade de que algo ruim aconteça a um bem, por 
exemplo, um incidente de segurança da informação (KIM; SOLOMON, 2014).
Crimes cibernéticos atingem diariamente 77 mil brasileiros, o prejuízo anual é de R$ 
104 bilhões. No mundo, o número de vítimas diárias é de 1 milhão. O prejuízo anual, em 
dólares, é de US$ 388 bilhões. Segundo estudos das empresas McAfee, Intel e do Centro de 
Estratégia de Estudos dos Estados Unidos, a escala de perdas por crimes e interrupção de 
negócios contra o total de valores transacionados na internet é algo em torno de 15% a 20% 
(ARMSTRONG, 2015).
1.1 Noções de segurança computacional
A informação não está mais trancada em um cofre ou restrita a um escritório físico ou 
prédio, ela está no mundo virtual, e pode estar sendo compartilhada com os colaboradores, 
parceiros de negócio e clientes. Hoje, a informação em forma digital está armazenada em 
dispositivos físicos ou em transmissão via internet. Assim, a sua proteção lógica e física se 
torna fundamental. 
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
5
De forma geral, podemos categorizar a segurança em três grupos, conforme descrito 
por Sêmola (2014): a segurança física, que se constitui de regras e controle de acesso aos 
dispositivos que armazenam ou transmitem a informação; a segurança lógica, que traz 
mecanismos de controle e proteção contra acessos indevidos à informação nos meios de 
comunicação de dados; e a segurança humana, que define formas de prevenção e minimização 
das possibilidades de incidentes causados por colaboradores ou terceirizados. 
A partir dessas informações, podemos definir como fazer (organização) e o que fazer 
(ações e técnicas) para prover a segurança da informação; ou seja, como criar meios de 
controles no contexto da segurança da informação.
Sabendo que o objetivo, em essência, é o de preservar os três princípios da segurança 
da informação, vamos agora analisar alguns meios para alcançá-los. São eles: criptografia, 
controle de acesso e backup. Na sequência, detalharemos cada um deles.
A criptografia é o método ou ciência que torna uma mensagem incompreensível 
para terceiros, permitindo apenas que o emissor e o destinatário que tenham a chave de 
encriptação possam decifrar e ler a mensagem com clareza (KIM; SOLOMON, 2014). Uma 
aplicação da criptografia está na utilização de Rede Privada Virtual (VPNs - Virtual Private 
Network) que permite o uso da internet (rede pública), garantindo a privacidade (FOROUZAN, 
2012). 
Segundo Kim e Solomon (2014) e Harris (2013), o controle de acesso é outro modo 
de se manter a confidencialidade. Os controles de acesso são atributos de segurança, que 
têm como finalidade definir de que modo os usuários e sistemas de comunicação interagem, 
permitindo o acesso somente a quem foi dada a permissão. O controle de acesso e a 
criptografia proporcionam a confidencialidade e a integridade dos dados. Porém, há incidentes 
que afetam a disponibilidade dos dados, necessitando de outras soluções para mitigar e/ou 
diminuir o impacto causado. Dentre elas está o backup de dados.
O backup é um instrumento que permite a cópia de um ou mais diretórios de um 
computador para outros discos internos ou externos de armazenamento, sendo que existem 
diversos métodos para a realização de backup. Contudo, devem ser considerados os aspectos 
de recuperação e os requisitos de retenção, pois eles são essenciais para se implementar uma 
solução bem-sucedida (GNANASUNDARAM; SHRIVASTAVA, 2012). 
Acesse o link disponível na Midiateca e conheça mais sobre as definições das formas de 
implementação de backups.
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
6
1.2 Vulnerabilidade, ameaças e classificação dos ataques
Nos últimos anos temos observado o aumento expressivo de vulnerabilidades dos 
sistemas, por consequência o surgimento de constantes ameaças e ataques. Há alguns pontos 
que podemos considerar, na tentativa de entendermos a razão desse aumento. Dentre eles 
destacamos o aumento da complexidade dos sistemas, profissionais com baixo ou nenhum 
conhecimento dos mecanismos de segurança, além da pressão do mercado para se reduzir 
o tempo de produção, denominada TTM (Time To Market), de novos ou versões de sistemas 
(software e hardware). Um exemplo desse último ponto pode ser observado nas empresas 
voltadas para a produção dos dispositivos móveis, como smartphones e tablets. Em função 
da redução do tempo para planejar, desenvolver e principalmente testar os sistemas, o 
surgimento de vulnerabilidades se torna inevitável (STAMP, 2011). 
De acordo com Mitre (2015), o site CVE Details apresenta estatísticas e quais 
vulnerabilidades foram identificadas em diferentes sistemas desde 1999. As estatísticas 
mostram que o surgimento de novas vulnerabilidades tem crescido e estão presentes 
nos diversos sistemas, inclusive aqueles desenvolvidos por grandes corporações, 
incluindo Google, Apple, IBM, Microsoft, HP, Cisco, Adobe, Oracle, dentre outras.
Mas, então, qual é a definição de vulnerabilidade, ameaça e ataque? 
Ao analisar as definições de Harris (2013), Peltier (2010) e Sêmola (2014), podemos 
compreender que uma vulnerabilidade advém de fragilidades de um ativo ou grupo de 
ativos que podem ser exploradas por uma ou mais ameaças. Vulnerabilidades podem surgir 
na ausência de uma proteção ou falha nos processos de segurança, software, controles 
internos do sistema ou ainda em sua implementação. Ameaça é um risco potencial associado 
à exploração de uma vulnerabilidade, que pode resultar em dano para um sistema ou 
organização.
De acordo com Sêmola (2014), as ameaças podem ser classificadas segundo sua origem, 
conforme apresentado na Figura 2:
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
7
Figura 2 – Classificação das ameaças
Causadas por fenômenos da natureza
Ex.: inundações, tornados, raios etc.
NATURAIS
Causadas por uma ação relacionada ao desconhecimento ou à 
ocorrência de um acidente
Ex.: erro humano, incêndio não intencional etc.
HUMANAS ACIDENTAIS OU INVOLUNTÁRIAS
Causadas de forma deliberada por algum “atacante”. 
Ex.: sabotagem, terrorismo, invasão de redes e computadores 
etc.
HUMANAS INTENCIONAIS OU VOLUNTÁRIAS
Fonte: Adaptada de Sêmola (2014).
Segundo Peltier (2010), uma ameaça envolve três aspectos principais: o agente (quem), a 
motivação (o porquê) e os resultados (o impacto), sendo que ela explora uma vulnerabilidade, 
geralmente através de um ataque. Podemos então considerar que um ataque é a consumação 
de uma ameaça, utilizando técnicas que violam as políticas de segurança de um sistema em 
razão da existência de uma vulnerabilidade. 
Stallings (2008) classifica um ataque como ativo e passivo; sendo que ataque ativo é aquele 
responsável por modificar um recurso do sistema ou comprometer sua operação, considerada 
normal; e o ataque passivo tem por objetivo apenas observar (coletar) informações sem afetar 
sua operação: um exemplo é a análise de tráfego de rede por um atacante.
Dentro desse escopo de tipo ativo e passivo, há ainda quatro categorias de ataques, de 
acordo com Kim e Solomon (2014), conforme detalhado no Quadro 1.
Quadro1 – Categorias de ataques
Categoria Descrição Tipo
Fabricações Criação não autorizada de dados (falsificação). Ativo
Interceptações Escuta da transmissão para captura de dados. Passivo
Interrupções
Desativação de uma via de 
comunicação, visando o bloqueio 
da transmissão de dados.
Ativo
Modificações
Alteração ou adulterações de 
dados em arquivos ou pacotes 
transmitidos pela rede (internet).
Passivo
 Fonte: Adaptado de Kim e Solomon (2014).
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
8
A seguir apresentamos alguns ataques à informação e aos sistemas (CERT.br, 2015):
• Códigos maliciosos (malware): código ou software designado para danificar, roubar 
ou comprometer um sistema computacional. Alguns tipos específicos de softwares 
maliciosos são:
 ▫ Vírus de macro: infectam os documentos manipulados por aplicativos como 
Word e Excel. 
 ▫ Cavalo de Troia: também conhecido como trojan, um código malicioso 
que se apresenta como um programa inofensivo. Porém, uma vez instalado 
no computador da vítima, permite o controle da máquina infectada 
remotamente. 
 ▫ Spyware: software que coleta dados de um computador sem o conhecimento 
e consentimento do usuário.
 ▫ Exploit: software de computador ou uma sequência de comandos que 
explora as vulnerabilidades de um sistema computacional.
• Sniffers: conhecidos como softwares “farejadores”, que espionam a comunicação, 
capturando e analisando o tráfego de dados em uma rede.
• Port scanner: softwares que buscam identificar portas de comunicação abertas de 
um computador.
• Backdoor: ou “porta dos fundos”, é uma lacuna, normalmente depositada de forma 
intencional pelo programador, que permite a invasão ao sistema. 
• DoS (Denial of Service): é um ataque que interrompe total ou parcialmente o acesso 
a um sistema/aplicação para usuários autênticos. Esse é o tipo de ataque fácil de 
realizar, e um dos mais poderosos contra a disponibilidade do sistema ou informação. 
Os ataques à segurança da informação estão cada vez mais sofisticados, exatamente por 
isso é importante conhecê-los para se proteger. Acesse a Midiateca para conhecer a Cartilha de 
Segurança para Internet, que trata sobre os ataques na internet.
Agora que sabemos o que, como e do que se proteger, vem a seguinte pergunta: como 
aplicar estes conceitos no desenvolvimento de software? No tópico a seguir, trataremos 
desse assunto.
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
9
2 Segurança aplicada no desenvolvimento de software
Normalmente um software é desenvolvido para, em primeiro lugar, ser funcional, sendo 
que os requisitos de segurança são colocados em segundo plano. Porém, funcionalidade e 
segurança deveriam ser planejadas de forma integrada em cada uma das fases do ciclo de 
vida de desenvolvimento de software (HARRIS, 2013, p. 1081).
Temos que entender que um modelo de ciclo de vida de desenvolvimento de software é 
dividido em diferentes fases. A seguir, apresentamos as principais fases do desenvolvimento, 
bem como os aspectos relacionados à segurança (SOMMERVILLE, 2011; PRESSMAN, 
2011; HARRIS, 2013). São eles: levantamento, desenvolvimento, implantação, operação e 
manutenção no sistema e eliminação. Detalharemos cada um deles a seguir:
a. Levantamento: definição da necessidade de um novo sistema. É quando se constituem 
os requisitos relacionados à segurança da informação. Deve ser analisado em qual 
ambiente o sistema irá operar, bem como identificar as possíveis vulnerabilidades 
e ameaças em potencial nesse ambiente. Nesse ponto alguns questionamentos 
referentes à segurança devem ser feitos: qual é o nível de proteção que o sistema 
precisará fornecer? Será necessária a proteção dos dados que serão armazenados 
(banco de dados) ou transmitidos?
b. Desenvolvimento: é quando se cria um novo sistema. Nesta fase é possível 
considerarmos os seguintes aspectos da segurança da informação:
 ▫ Segurança no ambiente de desenvolvimento: o uso de controle de acesso, 
backup dos códigos-fonte armazenados nos servidores de versionamento, 
documentos, diagramas, entre outros, e a criptografia dos dados armazenados 
e da comunicação (desenvolvedores que trabalham em home office);
 ▫ Segurança da aplicação em desenvolvimento: diferentes aspectos podem 
ser considerados nesse ponto, como a segregação dos ambientes de 
desenvolvimento de teste e produção, garantia da confidencialidade e 
integridades dos códigos-fonte por meio de definições de permissões e o 
uso de software de controle de versão (CVS).
c. Implantação: quando o novo sistema é configurado no ambiente de produção. Aqui, a 
segurança da informação deve aplicar e avaliar os mecanismos de controle de acesso; 
a criptografia dos dados armazenados e em trânsito; a manutenção da atualização 
dos softwares instalados nos servidores (quando houver) e estações de trabalho.
d. Operação/manutenção do sistema: quando se analisa a utilização do sistema e 
as alterações necessárias para manter o atendimento aos requisitos. No tocante 
à segurança da informação é importante realizar Testes de Penetração (Pen Test) 
periódicos. O objetivo desses testes é identificar vulnerabilidades no sistema. Uma 
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
10
determinada versão da linguagem de programação, API (Application Programming 
Interface), do banco de dados ou servidor utilizado no desenvolvimento pode ser 
segura hoje. Porém, amanhã ela pode estar comprometida em função da descoberta 
de uma vulnerabilidade.
e. Eliminação/desativação: momento em que o sistema é removido do ambiente de 
produção. Nessa fase alguns aspectos da segurança devem ser levados em conta. 
Dentre eles está a definição se os dados serão migrados, arquivados ou destruídos do 
sistema operante.
Conforme pudemos notar, para garantir um ambiente de desenvolvimento e a produção 
de um sistema seguro é necessário considerar um amplo conjunto de conhecimentos, 
controles, ferramentas e processos. Os ambientes de Tecnologia da Informação são, na maior 
parte, grandes, complexos e distribuídos, de modo que a aplicação da segurança no ciclo de 
vida no desenvolvimento de software não ocorre ou não é realizada de forma padronizada. 
Isso potencializa as ações dos atacantes em seus propósitos maliciosos. 
Logo, podemos concluir que a implementação dos aspectos de segurança é de suma 
importância, contudo ela não é uma tarefa trivial (HARRIS, 2013).
Considerações finais
Chegamos ao término desta aula, tendo apresentado as diferentes terminologias 
relacionadas à segurança da informação; incluindo as ameaças e os desafios para se alcançar a 
segurança da informação. Aprendemos que as vulnerabilidades dos sistemas têm aumentado 
consideravelmente e têm sido exploradas por diferentes ataques. 
Por isso, implementar os mecanismos de segurança no ambiente e no desenvolvimento 
de um sistema deixa de ser um requisito não funcional, mas algo imprescindível. Quando 
negligenciados, isso pode incorrer em sérios prejuízos para uma organização no tocante à 
produtividade, competitividade e continuidade dos negócios. 
Referências
ARMSTRONG, Peter. Brasil na rota de crimes cibernéticos. 2015. Disponível em: <http://www.
cnseg.org.br/fenseg/servicos-apoio/noticias/brasil-na-rota-de-crimes-ciberneticos.html>. 
Acesso em: 20 out. 2015.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002 – Tecnologia da informação 
– Técnicas de segurança – Código de prática para a gestão de segurança da informação. Rio de 
Janiro: ABNT, 2005.
CERT.br. Cartilha de Segurança para Internet. 2015. Disponível em: <http://cartilha.cert.br/>. 
Acesso em: 22 nov. 2015.
Senac São Paulo - Todos os Direitos Reservados
Gestão da Segurança da Informação
11
FOROUZAN, Behrouz. Data communications and networking. 5. ed. New York: McGraw-Hill, 
2012.
GNANASUNDARAM, Somasundaram; SHRIVASTAVA, Alok. Information Storage and 
Management: Storing, Managing, and ProtectingDigital Information in Classic, Virtualized, and 
Cloud Environments. 2. ed. [s. L.]: John Wiley & Sons, 2012. 428 p.
HARRIS, Shon. CISSP All-in-One Exam Guide. 6. ed. New York: McGraw-Hill Osborne Media, 
2013.
ISO. ISO/IEC TR 18044: 2004. Information technology. Security techniques. Information security 
incident management. 2004. Disponível em: <http://www.iso.org/iso/catalogue_detail.
htm?csnumber=35396>. Acesso em: 30 nov. 2015.
KIM, David; SOLOMON, Michel. Fundamentos de segurança de sistemas de informação. São 
Paulo: LTC, 2014. 
MITRE. Current CVSS Score Distribution For All Vulnerabilities. 2015. Disponível em: <http://
www.cvedetails.com>. Acesso em: 23 nov. 2015.
PELTIER, Thomas. Information Security Risk Analysis. 3. ed. Boca Raton: CRC press, 2010.
PRESSMAN, Roger. Engenharia de software: uma abordagem profissional. 7. ed. Porto Alegre: 
AMGH, 2011. 780p.
SÊMOLA, Marcos. Gestão da segurança da informação. Rio de Janeiro: Campus, 2014. 
SOMMERVILLE, Ian. Engenharia de software. 9. ed. São Paulo: Pearson Education, 2011. 
STALLINGS, Willian. Criptografia e segurança de redes: princípios e práticas. 4. ed. São Paulo: 
Pearson, 2008. 
STAMP, Mark. Information security: principles and practice. 2. ed. San José: Wiley, 2011. 606 p.
	Introdução
	1 Conceitos sobre informação e segurança 
	2 Segurança aplicada no desenvolvimento de software
	Considerações finais
	Referências