Buscar

SEGURANÇA DE ATIVOS

SENAC FLORIANÓPOLIS

0
Dislike0
0
Dislike0
Comment0
User badge image

Fernanda Luna

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

LikeFooter
DislikeFooter

Gerência de Ativos

112 Materiais compartilhados

mobile

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

SEGURANÇA DE ATIVOS 
AULA 1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Prof. Luis José Rohlin
 
 
CONVERSA INICIAL 
Quando tratamos de segurança de ativos, na área de tecnologia da 
informação no mundo corporativo, estamos nos referindo ao conjunto de 
conhecimentos que foram obtidos ao longo da existência da corporação e 
estão organizados em determinada estrutura de armazenamento. Portanto, 
esse conjunto de informações possui valor financeiro associado, pois tem um 
impacto direto no funcionamento cotidiano da empresa. Assim, os ativos de 
informação podem ser definidos como o conjunto de bens tangíveis e 
intangíveis de propriedade de uma empresa, dos quais irá depender a sua 
operação, incluindo áreas financeiras, de gestão organizacional e de negócios. 
Figura 1 – Os ativos de informação 
 
Crédito: Whitemocca/Shutterstock. 
Para padronizar o processo de gestão da segurança dos ativos de 
informação, garantindo sua efetividade e a adoção de uma referência 
internacional, temos as normas publicadas pela ISO (International Organization 
for Standardization), que publicou uma série de normas associadas à 
segurança da informação: a série 27000. 
 
 
 
 
 
 
3 
Figura 2 – A norma ISSO 27000 
 
Crédito: Iso.org. 
Dentro da série 27000 temos a ISO 27002, que complementa a ISO 
27001 e define os requisitos para a elaboração e implementação da política de 
segurança corporativa, estabelece o processo de gerenciamento de ativos, 
classificação de dados, ciclo de análise da informação e gestão de 
informações. Dessa forma, a segurança de ativos é um tema relacionado à 
gestão estratégica do negócio, impactando diretamente nas atividades diárias 
da empresa. Assim, um ativo de informação corporativo é todo e qualquer bem 
que faça parte do processo de operação. 
TEMA 1 – ATIVOS DE INFORMAÇÃO 
Os ativos de informação são, por definição, os dados e bens – tangíveis 
ou intangíveis – de propriedade de uma empresa. Estes serão processados 
para gerar as informações que impactam nas operações cotidianas da empresa 
e no rumo de seu desenvolvimento e crescimento. Os ativos estarão alocados 
no departamento de tecnologia da informação, mas também incluem o conjunto 
de normas dos departamentos responsáveis pelas tecnologias utilizadas na 
operação do negócio e deverão ser utilizados em todos os processos de 
decisão da gestão. 
Outro aspecto associado à segurança dos ativos refere-se à avaliação 
da criticidade dos dados quanto ao seu impacto no negócio, ou seja, o quanto 
esses dados afetam a execução da atividade fim da empresa. Neste caso, 
esses dados podem estar ainda em seu local de origem, ou seja, um dado ou 
item que ainda não foi tratado. Quando os dados já foram tratados, isso quer 
dizer que uma informação foi gerada a partir de um resultado obtido, ou de um 
processo de negócio. Por fim, todo esse conjunto de dados poderá ser utilizado 
no processo de tomada de decisões da empresa. 
 
 
4 
Quanto à aplicação de normas no processo de segurança dos ativos, 
temos a ISO 27002, que trata da gestão de segurança. Ela inclui um item 
essencial que descreve as boas práticas para a gestão de segurança de 
tecnologia, para a segurança dos ativos e o tratamento das informações. Essas 
boas práticas incluem todo o ciclo de vida da informação, desde a coleta de 
dados até sua transformação, incluindo também o procedimento para sua 
validação e aplicação nos processos de tomada de decisões corporativas. A 
ISO 27002 é um complemento da 27001, publicada em 1996, e tem como 
objetivo estabelecer as regras de proteção dos ativos e como poderão fazer 
parte do processo de tomada de decisões de uma empresa. As melhores 
práticas para o processo de gestão devem incluir as diretrizes para os controles 
do fluxo de informação, definindo as regras de implementação e de 
gerenciamento desses processos. 
Algumas das dificuldades de empresas para estruturarem os ativos de 
informação ao longo tempo referem-se à demora em compreender e definir 
como será feito o processo de gerenciamento de informação, o que pode levar 
à perda de dados. Estes dados podem ser informações essenciais ao negócio, 
tais como quem são os clientes, quais são os produtos mais vendidos, quais 
são as formas de pagamento de seus clientes, qual a melhor estratégia de 
colocação de um produto no mercado, qual a estratégia mais eficiente de 
interação com seus clientes, entre outras. A implementação de uma 
estruturação de dados, com seu processamento, permitirá realizar uma análise 
do negócio, incluindo a elaboração de uma estratégia de marketing, de 
precificação do produto, de sobrevida de um produto e de sua colocação no 
mercado de forma estratégica e inovadora, avaliando como será aceito pelos 
clientes. 
Figura 3 – Os ativos de dados e o plano de marketing 
 
Crédito: Rawpixel.com/Shutterstock. 
 
 
5 
Para a aplicação das boas práticas de segurança, temos como 
referência a ISO 27000, de 1995, que estabelece um grupo de normas e 
diretrizes relacionadas à segurança da informação. A partir da definição do que 
é informação e do que é segurança da informação, a ISO 27000 pode ser 
utilizada com o objetivo de alinhar as responsabilidades de cada setor na 
gestão de segurança da informação. Assim, cada empresa – e cada setor – 
deverá fazer o estudo de seus dados, definindo uma forma de tratamento e 
armazenamento. 
Já a ISO 27002 define um conjunto de melhores práticas para 
implantação do sistema de gestão de segurança da informação. Cada setor da 
empresa será uma fonte de geração de informações e de dados, os quais 
devem ser tratados de acordo com regras claras e com a confidencialidade 
necessária. Por exemplo, a estratégia do departamento de marketing poderá 
variar em função das informações que possui, a partir das quais poderá definir 
a estratégia de colocação do produto no mercado, que não será 
necessariamente um bem físico. Essa base de dados pode incluir a pesquisa 
sobre as empresas concorrentes, sobre os clientes, qual é o posicionamento da 
empresa em relação aos concorrentes etc. Todo esse conjunto de dados será a 
base de informações para o sistema de gestão. 
Adotadas as melhores práticas para sistemas de gestão, a próxima 
etapa é o processo de controle de ativos. Esse processo inclui: a geração de 
todo e qualquer dado sobre um processos que foi realizado; a definição de 
quem será o responsável pelo resguardo e manutenção dos dados; quando 
será o momento em que os dados deverão ser revisados; e qual a validade 
desses arquivos. Por exemplo, o setor de tecnologia da informação seria o 
responsável por gerenciar o armazenamento dos dados e informações, e o 
departamento de vendas, ou de compras, que necessita manusear esses 
dados, deverá fazê-lo de forma estratégia e confidencial, de acordo com a 
estratégia da empresa em relação a seus clientes. 
Outro componente do sistema de gestão dos dados inclui a definição, 
implementação e gerenciamento de controles do fluxo de dados, que deverá 
estar focado nos setores e ambientes que possam apresentar riscos à 
segurança dos ativos. Assim, a implementação desses controles deverá 
garantir o alinhamento entre o setor de marketing, de compras, de vendas e o 
 
 
6 
setor financeiro, garantindo o gerenciamento do ciclo de vida do produto de 
acordo com a estratégia definida pela empresa. 
Temos ainda as diretrizes para o controle do fluxo de informações, que 
têm a segurança das redes como tópico principal, servindo tanto para 
empresas privadas quanto para empresas públicas, visto que o volume 
crescente do compartilhamento de informações e da troca de dados são 
desafios constantes. Ambas empresas públicas e privadas possuem 
informações estratégicas, e a segurança de redes irá implementar o controle de 
acesso e o bloqueio do tráfego de dados na rede, ou até mesmo a falsificação 
de credenciais. A implementação da segurança de redes é fundamentalpara 
evitar as fraudes eletrônicas, espionagem, sabotagem, vandalismo, hackers e 
ataques de negação de serviço. Nesse processo, é de fundamental importância 
a integração entre o processo de implementação e de gerenciamento. Por 
exemplo, se uma empresa possui uma equipe de programação própria, a 
codificação dos dados já deve incluir a segurança dos dados, e no processo de 
implementação deverá ser definida a segurança no processo de manuseio do 
código, definindo quem terá acesso a ele e principalmente quem irá realizar 
sua manutenção. 
TEMA 2 – POLÍTICA DE SEGURANÇA DE ATIVOS 
Um dos itens fundamentais da política de segurança de ativos é a 
compreensão de sua importância para o negócio da empresa, bem como a 
necessidade de sua existência. A política de segurança deverá incluir tudo o 
que é essencial para uma organização. Assim, a criação e definição do que 
será incluído na política de segurança irá variar de acordo com a atividade-fim 
da empresa. Portanto, para a elaboração da polícia de segurança, é necessário 
identificar quais são os principais requisitos de segurança, relacionados a essa 
atividade-fim, como deverá ser realizada sua manutenção, e a definição das 
metas e objetivos a serem alcançados. 
Esses requisitos deverão ser levantados na etapa de definição do 
escopo da política de segurança ou do levantamento de dados, incluindo todo 
os elementos necessários para atingir os objetivos da empresa. Nesse 
processo deve ser incluída a segurança de ativos que não sejam 
necessariamente elementos físicos, tais como os processos de trabalho 
relacionados ao capital humano, devendo ser definida a forma de 
 
 
7 
armazenamento dessas informações dentro do sistema de gestão de 
segurança da empresa. A política de segurança é, então, um conjunto de 
normas e regras que definirá as responsabilidades em relação ao manuseio 
dos dados, determinando as atribuições da cada um; de que maneira cada 
área da empresa irá processar as informações e dados; e a forma como 
ocorrerá o fluxo de dados por meio das diversas áreas da empresa. 
Para a elaboração da política de segurança, devemos abordar três 
tópicos distintos: os objetivos e estratégias globais da empresa, legislação e 
regulamentos pertinentes ao segmento de atuação da empresa, e os requisitos 
do negócio. No primeiro, tratamos dos objetivos da empresa, suas 
necessidades, o negócio-fim da empresa, também chamado core business, 
assim como as estratégias de posicionamento no mercado, sendo que essas 
definições dependerão dos diversos gestores e das lideranças da empresa. 
O item pertinente à legislação deve incluir todas e quaisquer regras que 
devem ser observadas para a execução do negócio no mercado onde estará 
atuando. Estabelecidos os regulamentos a serem seguidos, deverão ser 
definidas quais serão as penalidades aplicadas no caso de não cumprimento 
dessas regras e como será feita a aplicação dessa política. O último item, 
relativo aos requisitos do negócio, diz respeito a todos os elementos que sejam 
de fundamental importância para a sobrevivência do negócio, incluindo as 
estratégias para que ele funcione corretamente. Assim, a política de segurança 
tem como objetivo garantir que todas as políticas, dados e informações que a 
empresa gerou estejam seguras, pois é esse conjunto de dados e informações 
que faz com que a empresa tenha características únicas, diferenciando-a da 
concorrência no mercado em que atua. 
A próxima etapa será a análise e avaliação da segurança necessária 
para os ativos, avaliando a viabilidade dos investimentos necessários, de 
acordo com os danos que podem ser causados em caso de perda ou alteração 
dos dados. Assim, garante-se a eficiência das medidas de segurança, incluindo 
investimentos na manutenção dos sistemas de segurança. O primeiro item para 
avaliação do investimento será a determinação de como será implementado o 
sistema de segurança da informação, que irá depender da estrutura de cada 
empresa, atribuindo um valor em relação à importância daqueles dados para o 
mercado e qual seria o investimento aceitável para garantir a segurança 
dessas informações. 
 
 
8 
Outro aspecto a ser analisado em relação ao investimento em segurança 
é o suporte às decisões gerenciais da empresa. Ou seja, quando for necessário 
revisar o direcionamento do negócio, definindo as ações gerenciais 
apropriadas, essas decisões estratégicas poderão ser tomadas em tempo real, 
de maneira assertiva e eficiente, garantindo o sucesso da empresa no 
mercado. Teremos ainda a etapa de manutenção dos dados, na qual deverá 
ser prevista a periodicidade das mudanças nas bases de informação, bem 
como da inclusão de informações adicionais. 
Em seguida temos a definição dos processos de controle em relação aos 
ativos prioritários e à redução de riscos. Os ativos prioritários dizem respeito a 
tudo aquilo que pode afetar a imagem da empresa, sendo que cada empresa 
terá uma valorização diferenciada desses ativos, pois estão relacionados ao 
período de maturidade da empresa. Em relação à redução de riscos, devemos 
levar em consideração as decisões gerenciais da organização, que deverão 
considerar a valoração dos ativos e os riscos associados a cada um deles. 
Quando a política de segurança da empresa já atingiu um alto grau de 
maturidade, sendo seguida por toda a empresa, o processo de gestão de riscos 
e tratamento certamente será muito mais simples e fácil. 
A gestão de riscos se baseia em avaliar qual será o tempo necessário 
para a recuperação de uma informação, caso seja perdida ou removida 
propositalmente, ou ainda, quanto tempo a empresa poderá operar sem esses 
dados, sem que haja perda no negócio. E o gerenciamento de risco irá ocorrer 
a partir da identificação desse risco, e quais deverão ser os procedimentos a 
serem adotados para que esta falta não volte a acontecer. 
Os controles essenciais da gestão de segurança de ativos deverão 
incluir os dados e informações de pessoal e os registros da organização e da 
estratégia de produto e de mercado. A base de dados dos colaboradores, que 
contém as informações pessoais, deve ser tratada com a devida 
confidencialidade, pois o acesso a esses dados pelos demais colaboradores 
que não os da área de RH e gerência poderá causar muitos problemas nas 
diversas equipes, principalmente em relação à questão de remuneração dos 
colaboradores. 
Outros conjuntos de dados a serem incluídos no sistema de segurança 
são os registros gerais da organização, que indicarão a saúde financeira e de 
desempenho da empresa no mercado, bem como conterão as informações 
 
 
9 
sobre suas estratégias de mercado e projeções de crescimento. O outro 
conjunto de informações está relacionado à estratégia do produto e seu 
posicionamento no mercado, contendo dados como o tempo de criação de um 
produto interno e pela concorrência, direitos e propriedade intelectual. Assim, 
para esses três itens de controle, a política de segurança deverá definir como 
os dados serão processados e manipulados, de que forma serão registrados 
dentro da organização e como serão protegidos. 
Desse modo, a aplicação prática da segurança de ativos deverá incluir 
os controles, que garantirão diversos fatores essenciais ao seu sucesso. Um 
desses aspectos é a garantia de que a política de segurança será efetivamente 
aplicada em todo o seu conjunto, pois uma política de segurança corporativa 
poderá ser bastante complexa. Outro aspecto é definição das 
responsabilidades em relação aos controles e manuseio dos dados, que 
também deverão estar descritas na política de segurança. Por exemplo, um 
colaborador da área financeira da empresa terá a responsabilidade de manter e 
atualizar os dados sobre as operações de crédito, débito, pagamentos e 
recebimentos, garantindo que os ativos de informação de sua área sejam 
sempre precisos e confiáveis. Um atraso ou erro no lançamento de umatransação financeira pode comprometer a análise estratégica de investimento 
da empresa, por ter sido tomada baseada em uma informação incorreta. 
Outro fator crítico para a segurança de ativos é o treinamento e 
conscientização de todos os colaboradores sobre a importância do 
cumprimento das normas e práticas de segurança. Isso porque uma ação 
insegura, tal como a abertura de um arquivo desconhecido, pode permitir a 
execução de um malware e causar a perda ou alteração dos dados, ou seja, 
um dano aos ativos de informação. Durante o ciclo de vida dos ativos de 
informação, estes certamente serão alterados e atualizados muitas vezes, por 
isso deverão ser definidos os controles que serão aplicados no processamento. 
Esse processo de controle deverá garantir que as alterações dos dados sejam 
realizadas apenas pelo pessoal autorizado, preferencialmente com o registro 
de quais alterações foram realizadas e de quem as realizou. 
Os controles de segurança dos ativos também deverão incorporar os 
processos de gestão de vulnerabilidades, incluindo as medidas a serem 
tomadas para minimizar o efeito das eventuais ameaças e visando garantir a 
continuidade do negócio. Temos como exemplo a utilização dos softwares de 
 
 
10 
antivírus, pois sabemos que estamos sempre sujeitos a contaminação por 
algum tipo de vírus, e esta seria a medida preventiva básica. A implementação 
dos controles de segurança ainda deverá incluir a gestão de incidentes, que 
estabelecerá as medidas a serem adotadas na ocorrência de um incidente que 
afete a segurança dos ativos de informação. Todos esses controles de 
segurança deverão estar incluídos em um processo de melhoria contínua, pois 
a estrutura de dados e os diversos processos da empresa são modificados 
continuamente, em função de sua evolução no mercado, com a melhoria de 
processos e crescimento da operação. 
Para que a implementação da política de segurança tenha sucesso, 
devem ser observados alguns aspectos críticos. O primeiro é que a política de 
segurança seja clara e objetiva. Dessa forma, não haverá dúvida sobre a 
aplicação dessas regras e qual a sua finalidade, não dando margem para 
interpretações incorretas sobre elas. A política de segurança deverá incluir os 
processos de implementação, manutenção e monitoramento dos ativos de 
informação, sendo que esses processo envolverão, além dos profissionais da 
área de tecnologia, praticamente todos os colaboradores da empresa, pois 
todos em algum momento irão interagir com a base de ativos de informação. 
Outro fator de sucesso da política de segurança é o comprometimento 
da equipe gerencial, pois além de ter acesso aos ativos de maior valor, deve 
orientar suas equipes na aplicação das regras estabelecidas na política de 
segurança. Também é necessário um plano de divulgação das regras 
estabelecidas na política de segurança, para garantir que todos os 
colaboradores que irão interagir com os ativos de informação tenham pleno 
entendimento de sua importância e de como as regras devem ser aplicadas. 
Por fim, de acordo com o nível de complexidade da política de segurança, 
teremos um nível diferenciado de investimento nos mecanismos, ferramentas, 
tecnologias e processos de segurança para cada empresa. No entanto, é 
necessário identificar quais são os pontos críticos da política de segurança e 
seu impacto nos investimentos, de forma que eventuais restrições financeiras 
não comprometam os ativos de informação mais críticos. 
 
 
 
 
11 
TEMA 3 – GERENCIAMENTO DE ATIVOS 
Para elaborar o plano de gerenciamento de ativos, a primeira etapa é 
realizar sua classificação, a fim de poder identificar quais serão os requisitos de 
segurança para cada conjunto que apresente características semelhantes. 
Essa classificação poderá ser feita de maneira diferente para cada empresa, 
porém alguns modelos podem ser utilizados pela maioria delas, como veremos 
a seguir. 
Um primeiro tipo de ativo são as bases de dados e arquivos 
armazenados nos diversos recursos computacionais da empresa. Essas 
informações normalmente estarão no formato digital, e sistemas de 
armazenamento externo e de backup podem ser utilizados para recuperá-las 
caso ocorra algum incidente. Outro tipo de ativo são os softwares utilizados na 
operação dos negócios da empresa, ou seja, as ferramentas de trabalho das 
tarefas diárias dos colaboradores. Nesse caso, apenas o armazenamento em 
outro ambiente não seria suficiente para a recuperação do ativo em caso de 
incidente, pois é necessário o processo de instalação e configuração para que 
os sistemas se tornem operacionais novamente. Ou seja, temos uma 
característica diferente desse tipo de ativo quando comparado com os arquivos 
de dados, pois terá um processo de recuperação diferenciado e que impactará 
também em maior tempo de indisponibilidade quando da ocorrência de um 
incidente de segurança. 
O processamento e o armazenamento dos dados são realizados pelos 
equipamentos – computadores e servidores –, classificados como ativos 
físicos. Esses ativos físicos também deverão ser incluídos na política de 
segurança, pois a falha de um servidor, por exemplo, irá afetar 
significativamente a operação da empresa. Assim, o tempo de recuperação 
desses ativos será um fator crítico na continuidade do negócio, e a 
complexidade do ativo físico também impactará no investimento da política de 
segurança, pois exigirá um contrato de suporte com prazo de atendimento 
adequado ou até mesmo o investimento em um equipamento de reserva, a ser 
utilizado no caso de falha do equipamento principal. 
Outra categoria de ativos são os colaboradores e gestores da empresa, 
pois eles detêm os conhecimentos e habilidades necessários para a empresa 
operar em seu dia a dia. Nessa categoria de ativos também deve ser 
 
 
12 
considerada a qualificação desses profissionais. Assim, a perda de um 
colaborador, por um pedido de desligamento, irá impactar no desempenho do 
negócio da empresa de acordo com a sua importância no processo de 
negócios e de sua qualificação. Por exemplo, a reposição de um colaborador 
altamente qualificado, e que já detinha um grande controle do processo de 
negócio, poderá demandar um longo período de retomada da operação, pois 
demandará a qualificação de um novo profissional. O 
Outro tipo de categoria são os chamados ativos intangíveis, tais como a 
imagem da organização no mercado. Nesse caso, por exemplo, um site de 
comércio eletrônico que tenha uma falha de segurança e permita o vazamento 
dos dados de seus clientes, tais como números de cartão de crédito, poderá ter 
sua imagem prejudicada, levando inclusive à perda de clientes e ao 
encerramento de seu negócio, pois perderá totalmente sua credibilidade no 
mercado. 
Para garantir a segurança dos dados, deverão ser implementados os 
mecanismos que façam a proteção de toda a documentação referente aos 
processos de negócio, bem como as bases de dados que são utilizadas para a 
tomada de decisões referentes à atuação da empresa junto aos clientes. Nesse 
conjunto de ativos, que são os dados, temos ainda a base de informação de 
pessoal, que também são dados essenciais para a análise do desempenho do 
negócio, pois permitem avaliar a composição de custos e de recursos 
envolvidos no processo do negócio. Nessa base de dados, teremos a 
documentação referente aos processos de auditoria, que irá verificar o 
cumprimento das regras e normas da empresa, tanto em relação aos 
processos de negócio como da aplicação da política de segurança. 
Os ativos de software poderão apresentar maior complexidade em 
função das ferramentas que tenham sido desenvolvidas ou aperfeiçoadas para 
os processos de negócio de cada empresa. Esses ativos estão relacionados às 
tarefas cotidianas e às ações de tomada de decisão estratégica da empresa. 
Nesse conjunto de ativos, teremos as licenças de software utilizados pelos 
equipamentosdos colaboradores, os aplicativos que são executados nos 
servidores da empresa e as ferramentas de desenvolvimento. Para cada um 
deles temos uma estratégia de segurança diferenciada, pois impactam de 
maneira diferente o processo de negócio. 
 
 
13 
Quanto à segurança dos ativos físicos, devemos implementar os 
sistemas de controle de patrimônio para detectar a falta de algum deles. No 
entanto, além dos equipamentos de processamento de dados teremos também 
os equipamentos de comunicação de dados, que são os equipamentos de rede 
e os dispositivos de armazenamento. Nesse caso, por exemplo, existem 
sistemas para a realização de cópia de segurança (backup) em mídias 
externas, e estas também deverão estar contempladas na política de 
segurança dos ativos físicos. 
Outro tipo de ativo é o pessoal e sua capacitação e qualificação, que 
também fazem parte do processo de negócio. Além da equipe em si, a política 
de remuneração e o investimento no aperfeiçoamento das equipes também 
serão um fator de sucesso da empresa, e dessa forma, tornam-se um ativo. 
Assim, além de ser considerado um ativo, pois sua falta irá impactar no 
negócio, o pessoal também fará parte da própria política de segurança, pois 
suas atitudes podem pôr em risco todos os demais sistemas de segurança, 
sendo necessária sua capacitação quanto às regras de segurança, conforme 
vimos anteriormente. 
Por fim, quanto aos ativos relacionados à imagem da organização, esse 
valor de mercado dependerá também de outros fatores, tais como o tempo em 
que ela já atua no mercado, sua estratégia de posicionamento, como sua 
marca é reconhecida pelo mercado e pelos consumidores, e qual sua 
importância e influência no mercado. Havendo uma estimativa do valor do bem 
intangível, a partir de métricas adotadas pelo mercado, podemos avaliar qual 
será o nível de investimento justificável em relação às medidas de segurança 
para proteger esse ativo intangível. 
TEMA 4 – ATIVOS DE BENS 
Uma forma de organização do conjunto de ativos que pode ser utilizada 
para o processo de elaboração de uma política de segurança é a classificação 
dos ativos em três conjuntos distintos de ativos: dados, serviços e 
comunicação. 
O conjunto de dados irá incluir todos os dados relativos aos clientes, tais 
como a quantidade de clientes que a empresa possui, qual a forma de 
pagamento que eles utilizam, qual a frequência e preferência de produtos, 
entre outros. Na base de dados, teremos também outras informações do 
 
 
14 
negócio, tal como o plano de marketing, que definirá as estratégias de mercado 
e de produto. As informações de pessoal, que são a base de operação da área 
de recursos humanos da empresa, também farão parte do conjunto de ativos 
de dados, pois essas informações subsidiam as tomadas de decisão da 
empresa e permitem avaliar a relação entre os investimentos em pessoa e os 
resultados de produção e de desempenho, tanto individual quanto coletivo. 
O outro conjunto de ativos são os serviços e as plataformas envolvidas 
para sua entrega. Nesse conjunto está incluído, por exemplo, o site da 
empresa, que pode ser simplesmente uma plataforma de divulgação das 
informações da empresa, tal como produtos e canais, ou pode ser a plataforma 
de negócio, com vendas pela internet. Nos dois casos teremos uma política de 
segurança bastante distinta para cada, pois sua indisponibilidade terá um 
impacto bastante diferente entre elas. Ainda, teremos um nível de dependência 
bastante diferente em relação à conexão à internet. Uma empresa que tem 
apenas o site com as informações corporativas não terá grande impacto em 
seu negócio em caso de queda da conexão com a internet. Por outro lado, uma 
empresa que opera com o modelo de comércio eletrônico poderá ter grande 
prejuízo com uma falha na conexão. Ou seja, teremos dois valores bastante 
distintos em função do modelo de negócio para o mesmo ativo de serviços. 
Para disponibilizar o serviço teremos também outros componentes envolvidos, 
tais como o controlador de domínio, que permitirá a conexão dos clientes ao 
sistema, e os sistemas de gestão de negócio, como os softwares de ERP 
(Enterprise Resource Planning). 
Temos ainda o conjunto de ativos associados à comunicação, tanto a 
comunicação com os clientes como no processo de aquisição dos produtos. 
Um exemplo seria a identificação e registro das operações efetuadas pelos 
clientes, os chamados registros de login, que poderão ser consultados 
futuramente para verificação e validação das operações realizadas nos 
sistemas. Nessa base de ativos, teremos também os registros financeiros de 
todas as transações efetuadas, que poderão servir para a análise do perfil dos 
clientes, bem como para verificação do processo de pagamento das operações 
comerciais. No processo de comunicação, teremos ainda outras formas de 
ativos, tais como as mensagens eletrônicas, utilizando a plataforma de envio e 
recebimento de e-mail. Assim, elas também fazem parte dos ativos por 
 
 
15 
conterem informações sobre a percepção do cliente, por exemplo, pelo serviço 
do tipo ‘fale conosco’. 
Após o processo de coleta de dados e seu armazenamento nas 
plataformas adequadas, a próxima etapa será sua classificação. Os dados 
coletados em sua forma bruta precisam ser tratados para torná-los úteis no 
processo de gestão e de tomada de decisão pela direção da empresa. Assim, 
os dados brutos deverão ser organizados e classificados, tornando-se 
realmente um ativo de valor para a empresa, pois dessa forma garantirão uma 
base precisa e atualizada de informação aos processos de gestão. Assim, eles 
farão parte do processo de negócio. 
TEMA 5 – GESTÃO DA INFORMAÇÃO 
O processo de gestão da informação inicia-se com a classificação das 
informações para que sejam processadas, permitindo uma análise efetiva do 
desempenho do negócio. Esse processo contribuirá para que sejam 
identificadas as principais necessidades do negócio, as prioridades e o nível de 
importância dos ativos envolvidos no processo. Dessa forma poderemos avaliar 
qual será o nível de criticidade dos ativos, que serão gerados a partir do 
processamento das informações, para o andamento do negócio, bem como o 
nível de sensibilidade da operação em relação a eles. Havendo essa avaliação, 
poderemos definir qual deverá ser o nível de segurança a ser adotado, em 
função do nível de risco associado a uma eventual perda desses ativos, e quais 
serão as medidas de segurança. Por exemplo, os dados relativos à 
composição de custos de produção formam um conjunto de informações 
essenciais para a definição da estratégia de mercado e definição de preços, e 
teria uma classificação de alta criticidade para o negócio. Isso justifica a 
aplicação de medidas de segurança mais eficientes, com nível maior de 
investimento nos sistemas de controle e de segurança. 
O processo de análise da informação deverá contemplar a classificação 
e o processamento dessa informação. O ciclo de análise será um processo 
contínuo, pois as informações devem ser atualizadas continuamente, em uma 
periodicidade que dependerá da necessidade da renovação das informações 
em função do negócio da empresa. Por exemplo, uma empresa da área de 
tecnologia deverá ter um ciclo de atualização praticamente diário, pois é um 
mercado muito dinâmico. Por outro lado, uma empresa que atua no segmento 
 
 
16 
de máquinas industriais terá um ritmo de atualização de sua base de 
informações mais lento, pois o ciclo de mudança desse mercado não é tão 
intenso quanto na área de tecnologia da informação. 
Outra etapa do ciclo de análise da informação é a de controle, que visa 
garantir que todas as regras definidas na política de segurança estão sendo 
adotadas. Os mecanismos de controle também permitem verificar se os 
requisitos legais associados à proteção de dados estão sendo atendidos. O 
nível dos mecanismos de controle estarão associados aovalor desses ativos 
para a organização, de modo que os ativos mais críticos tenham um nível de 
controle mais rígido. Além do estabelecimento dos mecanismos de controle, é 
necessário definir quais serão as diretrizes a serem aplicadas nos diversos 
fluxos de compartilhamento, descrevendo quais serão as áreas ou 
colaboradores envolvidos no processo de manutenção e atualização das 
informações, normalmente associados ao setor da empresa onde estão 
alocados. Nesse aspecto, teremos ainda a definição da restrição de acesso, 
pois cada área da empresa deverá ter acesso apenas ao conjunto de 
informações que sejam pertinentes ao seu papel. Todas as medidas de 
segurança a serem adotadas deverão garantir as três dimensões da segurança 
da informação: confidencialidade, integridade e disponibilidade dos ativos de 
informação. 
Para o processo de gestão de informações, deveremos ter uma base de 
regras bem definidas, que estarão descritas na documentação apropriada, a 
chamada política de segurança. Essa documentação deverá descrever as 
medidas a serem adotadas para garantir a segurança dos ativos de 
informação, bem como as responsabilidades de todos os envolvidos nos 
processos de manutenção e manipulação dos dados, principalmente dos 
gestores de cada área da empresa. Outro aspecto a ser definido no sistema de 
gestão de informações são as regras de compartilhamento das informações 
com terceiros, pois poderá ser necessário que outras organizações tenham 
acesso às informações. Assim, as regras para esse compartilhamento deverão 
ser estabelecidas e acordadas entre as partes antes da liberação do acesso. 
Nesse caso, deveremos ainda ter mecanismos que garantam a restrição do 
acesso apenas aos dados que necessitam ser compartilhados, não permitindo 
o acesso às demais informações. 
 
 
17 
Finalmente, um aspecto essencial do processo de gestão da informação 
é a definição do valor da informação, pois é a partir desse valor que poderá ser 
avaliado o nível de criticidade e de investimento a fim de garantir a segurança 
dos ativos. Uma dificuldade encontrada nesse processo é o fato de que essas 
informações podem estrar distribuídas em diversos sistemas, pois o uso dos 
recursos de redes possibilita o acesso de diferentes sistemas a partir de um 
terminal conectado nessa rede, como se estivessem alocados em um único 
repositório. Dessa forma, é necessário identificar todas as informações 
distribuídas nos diversos recursos de armazenamento e de processamento 
para então definir as medidas de segurança. Assim, todas as informações 
apresentam um grau de valor para o negócio e requerem medidas de 
segurança de acordo com o valor de cada ativo de informação para o processo. 
NA PRÁTICA 
A segurança de ativos, na prática, se dará pela aplicação da política de 
segurança sobre todos os dados e informações da empresa, de forma a 
garantir sua integridade e disponibilidade. A primeira etapa para a elaboração 
da política de segurança é o levantamento dos ativos, identificando o 
envolvimento das diversas áreas envolvidas no processo de manutenção. 
Identificados os ativos e sua manutenção, deverá ser definido o papel de cada 
indivíduo nesse processo assim como as ações que cada um deles poderá 
executar na manutenção e atualização dos ativos de informação. Essas 
informações poderão estar armazenadas nos ambientes interno e externo, 
sendo aplicadas as medidas de segurança adequadas para cada um deles. 
Para a verificação da efetividade no processo de elaboração da política 
de segurança, podemos utilizar um checklist verificando-se as seguintes 
questões: 
• Existe um mapeamento de dados da organização? 
• Os atores responsáveis por esses ativos estão comprometidos e cientes 
de seu papel? 
• O envolvimento de todos na gestão de ativos está claro? 
• O documento/política de ativos está elaborado de forma a abranger 
todos os setores? 
 
 
18 
Dessa forma, tendo-se uma resposta afirmativa para todas essas 
questões, podemos ter maior certeza em relação à segurança dos ativos, 
desde que foram efetivamente tomadas as medidas adequadas para cada um 
dos itens abordados. Portanto, a segurança de ativos dependerá do 
conhecimento dos ativos envolvidos no processo de negócio; do mapeamento 
dos envolvidos na manutenção desses ativos, definindo-se claramente o papel 
e responsabilidades de cada um; e da elaboração de uma documentação clara, 
abrangente e eficiente contendo as regras a serem aplicadas na manutenção e 
atualização dos ativos. 
FINALIZANDO 
A segurança de ativos então irá contemplar a compreensão do porte da 
organização e como ela fará a manutenção e atualização de seus ativos de 
informação. Certamente as empresas de maior porte terão um conjunto maior 
de ativos, que exigirão medidas mais complexas. No entanto, mesmo as 
empresas de menor porte certamente terão um conjunto de ativos para os 
quais deverão ser adotadas as medidas de segurança, mesmo que em menor 
grau de complexidade. Assim, independentemente do porte da empresa, ela 
sempre terá um conjunto de ativos de informação essenciais para o processo 
de tomada de decisão e de operação do negócio. 
O conjunto de informações necessário para que as medidas de 
segurança sejam efetivas são a identificação e o mapeamento das atividades e 
dos responsáveis pelos diversos processos. Portanto, o conhecimento dos 
ativos essenciais para a operação do negócio, a formalização da política de 
segurança de ativos e a garantia da participação de todos os envolvidos nesse 
processo são fatores cruciais para garantir a efetividade da segurança no 
processo de implementação e manutenção dessas bases de informação, que 
são os ativos de alto valor para todas as empresas. 
 
 
 
 
 
 
 
 
 
 
 
SEGURANÇA DE ATIVOS 
AULA 2 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Prof. Luis José Rohlin
 
 
CONVERSA INICIAL 
Para a elaboração de um sistema de segurança de ativos, é necessário 
realizar o processo de análise de risco, o que permitirá determinar quais serão 
os mecanismos e ações a serem adotados para minimizar riscos. Essas 
medidas podem não garantir a segurança absoluta dos ativos de informação, 
pois sempre existirá possibilidade de uma falha humana, que pode levar a falta 
na segurança e inclusive perda desses ativos. Assim, para implementar e 
manter a segurança dos ativos, temos diversos componentes envolvidos 
nesses processos. 
A base de um sistema de segurança será sempre a política de 
segurança da empresa, o documento que contém as normas e regras de 
tratamento das informações e dados. Portanto, é um componente fundamental 
da segurança de ativos. Outro componente são softwares específicos de 
sistemas de segurança, tais como os antivírus, que estabelecem o nível básico 
de segurança e são amplamente utilizados no mercado, inclusive com soluções 
gratuitas. Teremos também os dispositivos de hardware específicos para 
segurança, como o firewall, uma barreira de segurança na conexão da rede 
local com a internet. Além do firewall temos outros equipamentos específicos 
de segurança, por exemplo, os sistemas de detecção de intrusão, IDS. Para a 
proteção dos dados, quando estão sendo transmitidos pela rede, temos 
mecanismos de criptografia, sistemas de chaves criptográficas públicas (Public 
Key Infrastructure – PKI) e a implementação de redes privadas virtuais, 
chamadas VPNs. 
Todos os aspectos envolvidos para garantir a segurança dos ativos 
devem ser levados em consideração, tal como as questões associadas aos 
riscos e os mecanismos a serem adotados para evitá-los. Um dos princípios 
que devem ser considerados é o de que nunca obteremos um sistema 100% 
seguro, pois ameaças à segurança e a dinâmica dos processos de negócio 
estão em constante evolução. 
Um ponto de partida para entendermos a evolução da segurança é a 
interconexão de redes, que aconteceu nos anos de 1980, permitindo a conexão 
das instituiçõesde pesquisa e órgão governamentais, e, posteriormente, outras 
corporações, o que veio se tornar a grande rede que é a internet. A internet foi 
crescendo exponencialmente, chegando ao ambiente residencial, propiciado 
 
 
3 
pelas tecnologias de banda larga. Outro fator que contribuiu para o crescimento 
da rede, e também demandou aumento da segurança, foram as aplicações 
para transações financeiras e comerciais, tais como o internet banking. Além 
do uso pessoal da rede, as corporações a utilizam para efetuar transações de 
negócios, o que exige alto grau de segurança no tráfego dessas informações. 
Assim, atualmente temos milhões de terminais conectados a essa rede, 
que estão sujeitos a diversas ameaças, sendo necessário adotar medidas 
mínimas de segurança para a conexão dos terminais à internet. 
Figura 1 – Os negócios mundiais conectados via Internet 
 
Crédito: Toria/Shutterstock. 
As medidas de segurança dos ativos a serem adotadas para minimizar 
riscos associados a seu compartilhamento via rede deverão considerar a 
evolução histórica dessas ameaças, orientando empresas e usuários a adotar 
uma postura de ações seguras quando conectados à rede. 
TEMA 1 – SEGURANÇA DE ATIVOS 
A segurança de ativos possui pontos essenciais que devem ser 
considerados na elaboração das medidas de segurança. O primeiro diz 
respeito à elaboração de uma análise da necessidade de segurança dos ativos. 
Nesse aspecto, devemos avaliar qual é o patrimônio a ser protegido, no caso, 
 
 
4 
todo o conjunto de informações associadas à operação da empresa. Essas 
informações poderão representar um diferencial competitivo da empresa no 
mercado, e, portanto, são um ativo de alto valor. Elas podem também estar 
associadas à credibilidade da empresa, pois os dados irão embasar seu 
posicionamento no mercado. Assim, o conjunto de dados e informações 
impactará na estratégia de colocação do produto no mercado, sendo utilizado 
para a definição de preços, da carteira de clientes, de metas de venda, entre 
outros. A coleta de dados do mercado ainda permitirá avaliar o cumprimento 
das responsabilidades de acordo com a legislação pertinente. Portanto, a 
segurança dos ativos garantirá a continuidade da operação da empresa e de 
suas atividades. 
Outros dois aspectos sobre a segurança dos ativos a serem avaliados 
são o custo da segurança em relação ao valor da informação e o custo da 
segurança em relação ao tempo da informação. Para avaliar o valor da 
informação, é necessário identificar o quanto ela é essencial naquele momento 
da empresa. Por exemplo, quando a empresa decide lançar um novo produto 
no mercado, essa informação terá um alto valor, pois caso o concorrente tenha 
acesso, todo o plano de lançamento do novo produto poderá ser prejudicado 
com uma ação de mercado desse concorrente. Já o tempo da informação está 
associado ao período de vida de um dado em que ele ainda tenha valor. Assim, 
no exemplo anterior, após o lançamento do novo produto, essa informação já 
não terá praticamente nenhum valor para a concorrência, não sendo mais 
justificável alocar grandes recursos de segurança para protegê-la. 
O processo de análises de risco consiste em identificar as possíveis 
brechas nos sistemas de segurança, além de avaliar os riscos intrínsecos ao 
processo de negócio e dos meios utilizados para sua execução. Em relação às 
falhas de segurança, podemos identificar diversas fontes de risco, associadas 
ao fator humano, ao software ou ao hardware. Identificadas as possíveis 
causas de falha da segurança, a partir do mapeamento de todas informações e 
processos do negócio, a próxima etapa será a definição da estratégia de 
segurança a ser adotada para proteger os ativos, avaliando o investimento 
financeiro a ser realizado para cada um deles, de acordo com o seu valor. 
 
 
 
5 
Figura 2 – A segurança dos ativos 
 
Crédito: Billion Photos/Shutterstock. 
TEMA 2 – RISCOS E SEGURANÇA DOS SISTEMAS 
Realizado o mapeamento dos riscos, deve-se também avaliar qual será 
seu impacto sobre os diversos sistemas da empresa, no processo de geração 
da informação e de manutenção dos dados. 
Figura 3 – A análise de riscos 
 
Crédito: AZVector/Shutterstock. 
Um dos riscos que certamente será mapeado é o vírus. O vírus é um 
software executável que pode alterar os dados ou até mesmo causar sua total 
destruição. Uma evolução desse tipo de software malicioso são os malwares, 
que têm como finalidade o roubo de dados. Os vírus representam grande 
ameaça à segurança das empresas, o que impacta em grande investimento em 
 
 
6 
medidas de segurança, e isso nem sempre é feito adequadamente. Assim, 
muitas empresas acabam ficando vulneráveis a essas ameaças, em função da 
limitação do investimento adequado nas ferramentas necessárias para a 
efetividade de seu sistema de segurança. 
A evolução e mudança das tecnologias também é um fator a ser 
considerado na análise dos riscos, pois o processo de mudança também se 
reflete no surgimento de novas ameaças, além da mudança nas ameaças já 
mapeadas, tornando-se um processo contínuo. Portanto, apenas a instalação 
de um software antivírus poderá se tornar uma medida obsoleta com a 
evolução dos vírus, sendo necessária a atualização desse software. Isso 
implica em investimento contínuo, com um contrato de manutenção dessa 
ferramenta. 
Outros riscos presentes na rede são os ataques dos hackers, que 
utilizam ferramentas tais como os cavalos de Troia ou farejadores de pacotes 
de rede, chamados de sniffer. Estes fazem a captura dos pacotes trafegados 
pela rede, buscando obter dados que possam ser utilizados pelos hackers para 
ganhos financeiros, por exemplo. Outro tipo de risco que pode ser explorado 
pelo hacker são servidores ou serviços mal configurados, permitindo que, por 
meio de ferramentas de varredura de serviços, chamados de port scan, 
possam ser identificados e explorados, para a obtenção de um acesso indevido 
pelo atacante. Outros riscos são o roubo de identidade (spoof), a quebra de 
senhas (password cracking) e a engenharia social. A engenharia social 
compreende as ações que visam convencer o usuário a fornecer as 
informações críticas, que possibilitarão ao hacker obter dados sensíveis do 
usuário, tais como credenciais de acesso aos sistemas. 
Em relação às medidas de segurança, a primeira recomendação está 
associada às senhas de acesso aos sistemas. Todos os usuários devem 
utilizar as chamadas senhas fortes, uma combinação de letras, números e 
caracteres especiais, para dificultar um ataque de tentativa e erro. Outra 
recomendação associada às senhas é a sua manutenção e registro, não 
devendo ser anotadas em algum lugar onde possam ser conhecidas por outros 
usuários. Além disso, devem ser modificadas periodicamente. Quando for 
necessária a transmissão de senhas, como no caso do acesso a um sistema 
por meio da rede, devemos nos certificar que ela está sendo criptografada pelo 
sistema de comunicação. Caso contrário, não havendo certeza de que existe 
 
 
7 
um mecanismo de criptografia sendo utilizado no acesso, deve-se evitar o 
acesso a esse sistema remotamente, principalmente por meio da internet. 
Outro fator de risco para a segurança dos ativos de informação são as 
atitudes dos usuários e colaboradores da empresa, sendo este certamente o 
maior desafio na implementação da segurança de ativos em uma corporação. 
Uma das medidas básicas associadas aos usuários é que o acesso às 
informações estratégicas da empresa deve ser restrito aos colaboradores que 
realmente necessitam utilizar essas informações. Além disso, é necessária a 
elaboração de uma política de capacitação dos usuários, para que possam 
utilizar os sistemas adotando as medidas necessárias para garantir a 
segurança dos dados que irão manipular. Essa capacitação estará baseada 
nas normas e procedimentos estabelecidos na política de segurança da 
empresa.Outra ameaça associada aos usuários são os e-mails, que poderão 
conter ameaças à segurança dos dados. A abertura de um e-mail contendo um 
malware poderá desencadear um ataque aos sistemas, ou permitir que o 
hacker obtenha acesso à rede ou ao equipamento do usuário. Normalmente 
esse tipo de ameaça é enviado por meio do mecanismo de spam, visando 
atingir o maior número de usuários possíveis, aumentando a probabilidade de 
sucesso do ataque ou da invasão do sistema. Assim, um dos mecanismos 
básicos para esse tipo de ataque são as ferramentas antispam. 
No entanto, além do uso dessas ferramentas, é necessária a 
conscientização dos usuários para que não abram e-mails vindos de fontes 
desconhecidas ou que caracterizem um spam. Estudos apontam que até 70% 
dos usuários que recebiam um spam acabavam abrindo-o, e até mesmo 
repassando-o, mesmo se tratando de informações não verídicas. Um dos 
cenários explorados por esse tipo de mecanismo é, por exemplo, em um 
momento de altos índices de desemprego, o envio de e-mails anunciando 
vagas de trabalho, direcionando os usuários para sites falsos, que solicitarão 
dados pessoais desses usuários. Esse é um exemplo clássico de utilização da 
chamada engenharia social. Portanto, além da criação das políticas de 
segurança, criadas a partir do mapeamento de seus processos e ativos de 
informação, existe a necessidade de um trabalho de conscientização dos 
colaboradores, para que estejam cientes de suas responsabilidades e 
consequência de suas ações. 
 
 
8 
A segurança física dos sistemas é outro elemento do sistema de 
segurança de ativos que por vezes acaba sendo negligenciada pelos 
administradores. A falha da segurança física ocorre quando qualquer 
colaborador pode ter acesso a todos os recursos e informações da empresa, 
não existindo a implementação de um controle de níveis de acesso. Esse tipo 
de falha poderá permitir até mesmo o roubo de equipamentos. Assim, os 
mecanismos de segurança física deverão garantir que o acesso físico fique 
restrito ao sistema que cada usuário realmente precisa acessar. Também 
deverá ser implementado o sistema de backup das informações, que poderá 
ser utilizado para restaurar as informações, em caso de ocorrência de algum 
desastre que leve à perda desses dados. 
Assim, as organizações que já possuem um mapeamento de todos os 
seus sistemas de geração de informação de dados e que já conseguiram 
determinar as funções de cada um dos colaboradores poderão definir quem 
terá acesso aos dados e qual o nível de acesso. Outros aspectos a serem 
definidos são o tipo de transação que cada usuário pode realizar, quais são os 
níveis de aprovação dos processos, tal como quem poderá aprovar um 
contrato. Por exemplo, quem faz o acesso aos arquivos utilizando assinaturas 
digitais, quem pode fazer transações bancárias, quais são os níveis transação 
para determinados valores financeiros etc.. 
Por fim, teremos os modelos de segurança e análise de riscos, que 
podem ser realizados via software. Este seria um modelo baseado apenas em 
uma aplicação sendo utilizada para a segurança de todos os dados e 
informações. Por outro lado, via hardware representa um nível maior de 
segurança, pois seria necessário um acesso físico aos sistemas de segurança 
das informações. No entanto, a combinação entre os dois modelos, software e 
hardware, seria a mais forma mais indicada para assegurar a segurança, pois 
teríamos uma primeira camada, via software, para garantir a segurança no 
manuseio de dados, e uma segunda camada, hardware, garantindo um 
mecanismo de restrição de acesso aos dados e dispositivos. Em ambos os 
casos, será necessária a configuração desses sistemas e dispositivos por um 
profissional especializado, tal como o administrador de rede, que é a pessoa 
indicada para essa finalidade. Sua responsabilidade é garantir que as regras de 
segurança sejam seguidas, além de manter o controle sobre todas as 
operações executadas com o uso da rede. 
 
 
9 
TEMA 3 – FIREWALL 
Um dos dispositivos empregados na segurança de ativos é o firewall, 
utilizado tanto nos computadores pessoais quanto na rede das diversas 
organizações, sendo o primeiro nível de segurança da rede. O firewall opera a 
partir de um conjunto predeterminado de regras, para que seja assegurado o 
primeiro nível de bloqueio de ameaças vindas da rede externa, na conexão 
com o mundo web. No firewall, temos um sistema de proteção contra acessos 
não autorizados. Um acesso não autorizado não será apenas de um indivíduo 
que esteja tentando o acesso à rede, tal como um hacker, mas também poderá 
ser a tentativa de instalação de um programa. Assim, o firewall deverá 
determinar qual é a confiabilidade desses programas e quando esses 
programas podem causar danos aos diversos sistemas. 
Outro aspecto do funcionamento do firewall é o controle de acesso ao 
identificar as ameaças, tal como um programa malicioso, avaliando já na 
primeira camada se ele representa um risco efetivo para o usuário. Outra 
função do firewall, obtida por meio das opções de configuração de cada 
equipamento, é o controle de qual tráfego poderá passar por ele, seja interno 
ou externo. Dessa forma, somente o tráfego autorizado irá atravessar o firewall, 
e o administrador da rede poderá implementar um controle de acesso 
centralizado. A operação do firewall no ambiente corporativo também poderá 
incluir o controle de acesso para determinados sites, o que é feito a partir de 
um conjunto de regras que determina quem são os usuários e o que eles 
poderão acessar. Assim, ao acessar um computador na rede da empresa, com 
seu usuário e senha, o usuário poderá ser identificado pelo firewall, ao tentar 
fazer um acesso à rede externa, que identificará quais são os aplicativos 
permitidos e quais as regras para o uso daquele sistema, para cada um dos 
usuários. O firewall permite controlar os serviços e aplicações permitidos, tais 
como aplicações de compra ou venda, quais páginas podem ser acessadas, 
entre outras. 
O firewall também faz o controle do fluxo dos serviços, que examinará 
qual o tipo de serviço está sendo acessado e em qual direção está 
acontecendo esse acesso. Assim poderemos ter a permissão de determinado 
serviço para os usuários da rede interna, mas esse mesmo serviço será 
bloqueado se a requisição vier da rede externa. Um exemplo clássico é o 
 
 
10 
serviço de acesso à web, que poderá ser permitido para todos os usuários da 
rede interna, que irão acessar os sites da internet. No entanto, esse tipo de 
tráfego será bloqueado caso seja solicitado por um usuário da internet em 
direção à rede interna da empresa. Já o controle de comportamento do tráfego 
determina como o serviço deve ser utilizado e por qual usuário pode ser usado. 
Por exemplo, uma aplicação de acesso ao sistema financeiro pode ser 
permitida apenas para colaboradores de determinadas áreas da empresa e 
apenas no horário comercial. Portanto, o firewall é o nosso primeiro nível de 
segurança, sendo uma barreira física entre a rede interna e a rede externa, 
devendo ser configurado para implementar as regras da política de segurança 
da empresa. 
Quanto à sua implementação, temos três tipos de firewall, que são: 
• filtragem de pacotes; 
• gateways de aplicação; 
• gateways de circuito. 
O equipamento de firewall é constituído de um hardware, dedicado 
preferencialmente para essa finalidade, que será o gateway da rede. Esse 
hardware deverá ser instalado em um ponto da rede de modo que todo o 
tráfego entre a rede interna e externa passe por meio dele. Para que o tráfego 
realmente seja encaminhado para o firewall, é necessário que todos os 
computadores da rede estejam configurados tendo o firewall como o gateway 
da rede. Para garantir a segurança do próprio firewall, é necessário que seja 
implementado com um hardware adequado, seguro e executando um sistema 
operacional confiável e estável.Sendo configurado como o gateway da rede, 
ele poderá interconectar as redes internas, chamadas sub redes, permitindo o 
controle de tráfego entre elas. Assim, o firewall poderá, por exemplo, bloquear 
o tráfego dos usuários da área administrativa para que não tenham acesso aos 
recursos da rede da área financeira ou de RH. 
A implementação básica do firewall é a filtragem de pacotes, que irá 
analisar todo o tráfego que representa as transações que ocorrem por meio da 
rede, cuja informação está contida nos pacotes que entram e saem dela. 
Quando uma estação da rede interna faz o acesso a um servidor web externo, 
teremos um pacote saindo para a rede externa, contendo essa solicitação. E 
quando o servidor envia a resposta, podemos ter diversos pacotes que 
 
 
11 
conterão as diversas partes da página web solicitada, que estarão vindo da 
rede externa para a rede interna. Ou seja, todo o tráfego de rede estará sempre 
contido em um ou mais pacotes, que serão trafegados pela rede. 
Figura 4 – A filtragem de pacotes 
 
Outra forma de implementação do firewall é como gateway de aplicação, 
em que o tráfego entre uma estação de trabalho na rede interna e uma estação 
na rede externa irá passar por esse gateway. Este irá operar na camada de 
aplicação, examinando qual tipo de serviço está sendo executado, qual tipo de 
dados está sendo trafegado, quais são os pacotes enviados e recebidos e qual 
tipo de transação está sendo efetuada. 
Figura 5 – Gateway de aplicação 
 
 
Na operação do firewall como gateway de circuito, em que o 
equipamento também estará posicionado entre a entrada e a saída da rede, 
teremos as transações sendo modificadas em relação às portas que estão 
sendo utilizadas para o encaminhamento de tráfego. Assim, poderemos ter 
 
 
12 
diversas combinações entre as portas de entrada e saída, de modo que a cada 
nova conexão com a rede externa o firewall abrirá uma nova porta de conexão, 
que é fechada após o processo de transmissão dos dados. Esse modelo 
aumenta a segurança da rede, pois as portas estão sendo mudadas 
constantemente em sua conexão externa, dificultando a tentativa de invasão do 
hacker. 
Figura 6 – Gateway de circuito 
 
Temos a implementação do firewall incluindo também a função de 
Proxy da rede. Nesse modelo, todo o tráfego é encaminhado primeiramente 
para o Proxy, que irá verificar as permissões do usuário e qual serviço está 
tentando acessar. Caso tenha permissão para realizar essa operação, os 
pacotes serão encaminhados para o roteamento e então para a rede externa. 
O tráfego de retorno da rede externa será examinado pelo firewall, conforme 
visto nos modelos anteriores. 
TEMA 4 – SISTEMAS OPEN SOURCE 
Muitas das ferramentas utilizadas atualmente em sistemas de segurança 
são baseadas nos sistemas de código aberto, chamados de open source. Um 
dos sistemas operacionais open source mais conhecidos e utilizados é o Linux, 
distribuído no modelo chamado de GNU. A disseminação das plataformas de 
código livre se deve ao fato de que o desenvolvedor poderá modificar a 
estrutura básica do sistema, adequando à sua necessidade. Outro aspecto 
fundamental da disseminação dessas plataformas é que não existe o custo de 
 
 
13 
licenciamento, ou seja, não requerem pagamento, sendo, portanto, softwares 
livres. 
Uma das principais características dos sistemas Linux é sua reconhecida 
estabilidade, pois trata-se de um código que foi desenvolvido inicialmente para 
computadores de grande porte, sendo posteriormente adequado para 
computadores com menores recursos. Esta é uma das outras grandes 
vantagens do Linux: não exige grandes recursos de hardware para sua 
instalação e operação. 
O sistema Linux permite maior controle de seus processos internos, o 
que aumenta sua eficiência em sistemas de segurança, pois o controle do 
tráfego é um requisito básico de um sistema da firewall, por exemplo. Como 
essa plataforma é amplamente utilizada pelos desenvolvedores de ferramentas 
customizadas, existem diversas comunidades que compartilham suas 
experiências e soluções desenvolvidas, formando uma grande rede de suporte, 
sem custos. Em função das características da grande flexibilidade, alta 
eficiência, possibilidade de customização e baixa exigência de hardware, os 
sistemas baseados em Linux foram amplamente disseminados no 
desenvolvimento de sistemas de segurança, o que também levou à formação 
de uma ampla rede de suporte e compartilhamento de informações e soluções. 
Assim, o investimento no desenvolvimento dos profissionais nessa área poderá 
ser reduzido, pois a ampla rede das comunidades de desenvolvedores permite 
essa capacitação com acesso gratuito aos conteúdos. Mas certamente a 
flexibilidade das plataformas open source é o fator de sucesso da 
disseminação de seu uso, em especial nas soluções de segurança, pois 
permite ao desenvolvedor elaborar a solução adequada para o cenário de sua 
empresa, com todas suas particularidades. 
Todavia, temos alguns pontos negativos na utilização dos sistemas open 
source. O primeiro deles é a dificuldade na configuração, pois sua flexibilidade, 
ao mesmo tempo em que permite elaborar uma solução customizada, exige 
grande conhecimento, pois a configuração é feita por meio de comandos 
específicos, sendo necessário conhecê-las e dominá-las. Assim, para que o 
profissional consiga atingir o nível de conhecimento necessário, será preciso 
um alto investimento na capacitação. Portanto, essa mão de obra especializada 
não é tão fácil de encontrar no mercado, o que pode representar um alto custo 
na contratação desse profissional. Ademais, como as tecnologias e ameaças 
 
 
14 
sofrem mudanças constantes, será necessário um investimento contínuo na 
capacitação do profissional, para que esteja apto a atualizar as soluções 
desenvolvidas. 
TEMA 5 – SISTEMAS DE DETECÇÃO DE INTRUSÃO 
Os sistemas de detecção de intrusão, chamados IDS (Intrusion 
Detection System), realizam a monitoração de segurança em tempo real, 
atuando de maneira complementar ao firewall. Não podemos esquecer que 
precisamos utilizar também as ferramentas de segurança de primeiro nível, a 
serem instaladas nos terminais dos usuários, que são os softwares de 
antivírus. Assim, o IDS irá complementar o sistema de segurança das 
empresas. Sua função básica é detectar atividades suspeitas, o que é feito pela 
análise do tráfego da rede, buscando identificar padrões que caracterizem 
algum tipo de ataque, de invasão física ou até mesmo o reconhecimento dos 
softwares maliciosos que buscam o roubo de informações. 
O IDS opera baseado na execução de uma aplicação que fará a análise 
dos pacotes que trafegam pela rede, mas a identificação dessas ameaças será 
feita baseada em padrões conhecidos. O grande desafio é executar essa tarefa 
em tempo real, não afetando o tráfego da rede. Dessa forma, o IDS deverá 
examinar o tráfego interno, pois um malware que consiga passar pelo firewall 
poderá executar uma ação maliciosa na rede interna, e assim o IDS terá a 
responsabilidade de detectar a ameaça. O IDS deverá também examinar o 
tráfego que vem da rede externa, pois existem ataques estruturados que 
podem ser feitos por um hacker, a partir da internet, e poderá não ser 
detectado pelo firewall. Neste caso, novamente, a detecção deverá ser feita 
pelo IDS. 
A análise do tráfego é feita pelo IDS de três formas diferentes: 
• signature detection; 
• behavior detection; 
• protocol anomaly detection. 
No modelo de detecção de assinatura (signature detection), é feita a 
busca de padrões típicos de códigos que caracterizam uma ameaça à 
segurança da informação. Para isso, o IDS deverá ter uma base de dados dos 
padrões de ameaças, buscando identificar se algum deles está presente no 
 
 
15 
tráfego examinado. Portanto, a base de dados deverá ser atualizada 
constantemente, pois novas ameaças são geradas todos os dias. Tal modo deoperação é bastante similar aos softwares antivírus, que também examinam os 
arquivos buscando identificar padrões que caracterizem uma sequência de 
código malicioso. Assim, a grande limitação desse modelo é a necessidade de 
manter um banco de dados atualizado de todos os padrões, que são as 
chamadas assinaturas. Quanto maior o banco de dados, maior será o tempo de 
processamento do IDS. 
Outro modelo de operação é a detecção de comportamentos que 
caracterizam uma ameaça à segurança, chamado behavior detection. Por 
exemplo, uma quantidade muito grande de requisições de acesso para um 
determinado servidor, em que as credenciais do usuário não estão sendo 
validadas, poderá caracterizar uma tentativa de acesso indevido, na qual o 
atacante está tentando descobrir quais são as credenciais válidas de certo 
usuário. Portanto, esse é um modelo de operação dinâmico, pois terá que 
avaliar as requisições feitas em determinado intervalo de tempo, comparando 
as transações. O modelo se demonstra mais eficiente que a simples detecção 
de assinaturas, pois uma requisição de acesso com as credenciais de usuário e 
senha será um padrão comum de rede, mas diversas requisições mal 
sucedidas em um curto intervalo de tempo caracterizarão uma tentativa de 
invasão. 
Outro modo de operação do IDS é por meio da análise dos pacotes e 
sua comparação com o padrão esperado para cada tipo de tráfego, de acordo 
com o protocolo que está sendo utilizado para aquela comunicação. Esse 
modelo é chamado protocol anomaly detection. Ele permitirá identificar uma 
ameaça que eventualmente não seja detectada por uma análise de assinatura 
ou do comportamento esperado do tráfego, sendo complementar aos outros 
dois modos de operação. Um exemplo de ataque baseado na alteração do 
protocolo HTTP foi o malware conhecido como code red, e, neste caso, apenas 
um IDS que esteja operando no modo de detecção de anomalias de protocolo 
detectaria essa ameaça. 
 
 
16 
 
NA PRÁTICA 
Nesta aula, vimos os possíveis mecanismos e ferramentas que podem 
ser empregados para implementar os diversos níveis de segurança e fizemos o 
levantamento do grau de investimento necessário para colocar em prática a 
política de segurança, a fim de garantir a proteção e a privacidade dos dados. 
A partir daí, é necessário definir quais são os caminhos, ferramentas e 
iniciativas que devem ser utilizadas para implementar uma política de proteção 
e privacidade realmente eficiente. 
Para isso, podemos elaborar um checklist de segurança, levantando os 
seguintes pontos: 
• Quem são os envolvidos nesses processos? 
• Quais são os softwares existentes? 
• Qual é o hardware envolvido e qual é a segurança física desejada? 
• Quais são as medidas preventivas? 
Apenas a adoção de medidas de segurança física e de pessoal pode ser 
insuficiente para garantir um processo efetivo de segurança. Assim, é 
necessário o uso de softwares e hardwares. Atualmente existem diversas 
ferramentas que podem ser empregadas para implementar as medidas 
preventivas e reativas, de forma que, caso haja uma falha, medidas sejam 
tomadas para bloquear a ação da ameaça. 
FINALIZANDO 
Feita a análise de toda a estrutura organizacional da empresa, 
mapeados os ativos de informação e definidos os requisitos de segurança, 
deveremos avaliar quais são as soluções tecnológicas que possam atender aos 
requisitos da política de segurança. Em seguida, identificadas as opções 
disponíveis no mercado, é necessário realizar o levantamento dos custos 
envolvidos para a implementação de cada uma delas, sendo que esses custos 
podem envolver a aquisição de hardware, de software e de mão de obra para 
instalação e configuração. Além disso, esses custos relacionados ao pessoal 
 
 
17 
especializado podem representar um custo recorrente, dependendo das 
soluções adotadas. 
A escolha pela solução a ser adotada estará baseada na avaliação de 
qual é efetivamente o valor dos ativos de informação para a empresa. Assim, 
uma operação que tenha um alto grau de dependência de sua base da dados, 
ou ainda, que tenha um processo de negociação baseado na comunicação de 
dados, certamente justificará maior investimento nas soluções de segurança. 
Contudo, por mais que as empresas ainda não tenham esse ato grau de 
digitalização dos processos, certamente elas o terão em um futuro muito 
próximo, de forma que a análise dos investimentos em sistemas de segurança 
dos ativos de informação deve ser incluído com a maior brevidade possível em 
seus planos de investimento. Caso contrário, a empresa poderá ser forçada a 
adotar medidas de segurança sem planejamento prévio, em função de um 
ataque, e esse investimento poderá ser muito mais alo do que o que seria 
realizado em um sistema de segurança preventivo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
SEGURANÇA DE ATIVOS 
AULA 3 
 
 
 
 
 
 
 
 
 
 
 
 
 
Prof. Luís Rohling 
 
 
CONVERSA INICIAL 
Para a elaboração das medidas de segurança dos ativos, temos que 
realizar uma análise dos riscos e das vulnerabilidades dos sistemas utilizados no 
negócio. Essa análise poderá ser realizada com base no mapeamento de todos 
os elementos e pessoas envolvidos nos processos de negócio da empresa e a 
verificação de quais são os riscos associados a cada um deles. E temos também 
as metodologias a serem adotadas para a análise desses riscos, respaldadas 
pelo conjunto de boas práticas a serem adotadas nesse processo. 
Em uma primeira etapa do processo de elaboração da segurança de 
ativos, teremos a identificação das vulnerabilidades, das possíveis ameaças, da 
probabilidade de elas acontecerem, dos impactos nos negócios e processos e 
as possíveis alternativas para a mitigação dessas ameaças. 
As vulnerabilidades encontradas nos sistemas podem estar associadas 
às questões de pessoal ou inerentes ao próprio sistema. Assim, um sistema 
poderá estar altamente vulnerável às possíveis ameaças por falhas na sua 
estrutura de codificação, que podem ser originadas por não ter sido utilizado o 
sistema de codificação adequado, ou a metodologia correta, ou ainda uma 
linguagem de programação vulnerável a ataques. Desse modo, o ataque de um 
hacker ou a ação de um vírus poderá identificar e explorar essas vulnerabilidades 
do sistema, conseguindo o acesso a ele. 
Além da identificação e quantificação das possíveis ameaças, também é 
necessário avaliarmos quais são as probabilidades de essas ameaças 
efetivamente acontecerem. Um exemplo de ameaças bem conhecidas e que têm 
se manifestado regularmente são os vírus e cavalos de troia, que representam 
ameaças permanentes aos diversos sistemas, presentes nas redes externas. No 
entanto, além dessas ameaças, temos também as ameaças internas. Essas 
poderão também incluir o roubo de dados, causado pela falta de um sistema 
efetivo para garantir a confidencialidade das informações. E essa 
confidencialidade dos dados deverá ser definida claramente na política de 
segurança da empresa. Uma falha na aplicação da política de segurança quanto 
à confidencialidade dos dados, ou até mesmo uma falha da própria política de 
segurança em relação a esta questão, representará uma vulnerabilidade crítica. 
O último item do processo de segurança de ativos é a identificação das 
alternativas para a mitigação das ameaças, que deverão ser avaliadas após a 
 
 
3 
realização do processo de análise das vulnerabilidades, mapeamento das 
ameaças e da probabilidade de ocorrência dessas ameaças, e, com base nisso, 
identificar quais serão os impactos de uma falha de segurança no processo de 
negócio da empresa. 
Assim, o processo de análise de riscos tem como objetivo mapear e tratar 
adequadamente as ameaças e as vulnerabilidades do ambiente, identificando os 
riscos e quantificando o impacto das ameaças, de forma a buscar um equilíbrio 
financeiro entre o impacto do risco e o custo da contramedida necessária. 
TEMA 1 –VULNERABILIDADES 
A análise de vulnerabilidades deverá ser realizada em todo o âmbito da 
empresa, incluindo todos os setores envolvidos no negócio, a sua estrutura e os 
seus processos. As vulnerabilidades, por definição, são as falhas existentes nas 
tecnologias, ambientes, processos ou pessoas. 
Uma primeira análise deverá ser realizada em relação aos equipamentos 
e tecnologias empregados, avaliando a eficiência, a forma da estrutura 
tecnológica empregada, como o processamento dos dados é realizado e deverá 
incluir também todos os demais fatores tecnológicos que impactam na operação 
da empresa e nos processos associados à sua atividade-fim. 
Quanto ao processo de análise de vulnerabilidades associadas ao 
ambiente, deverão ser considerados todos os espaços em que as equipes estão 
alocadas e sua estruturação. Esse ambiente empresarial incluirá todas as 
equipes e sua estrutura organizacional e todos os que estejam envolvidos nos 
processos associados ao fluxo de dados entre os diversos setores da empresa. 
Também deverá contemplar as equipes envolvidas no tratamento dos dados 
tanto no ambiente interno quanto no ambiente externo. 
O outro componente a ser analisado quanto às possíveis vulnerabilidades 
é aquele associado aos processos. Nesse aspecto, deverão ser considerados 
todos os processos existentes ao longo do tempo de vida da empresa, bem como 
o ciclo de um processo dentro de uma empresa. Essa análise incluirá também 
as questões burocráticas, a definição de metas e a identificação do grau de 
importância de cada setor em um processo. Nas teorias dos processos 
administrativos, temos os chamados gargalos dos processos, que representarão 
uma vulnerabilidade, por exemplo. Esses gargalos poderão ser identificados ao 
se realizar uma análise do ciclo da informação, identificando-se quem está 
 
 
4 
gerando uma informação e quem está tendo uma demanda de trabalho 
excessiva, quem está sendo sobrecarregado e, por esse motivo, deixando de 
produzir um resultado eficaz. Essa análise de processos é obtida com base na 
elaboração de um mapeamento de todo o ciclo do processo, identificando-se as 
pessoas e os setores envolvidos. Em paralelo a esse mapeamento, pode-se 
realizar uma análise de toda a demanda de trabalho gerada para os diversos 
setores. Assim, é possível controlar o direcionamento das demandas adicionais 
de atividades burocráticas, mantendo-se um controle que irá garantir que as 
necessidades da empresa, em relação ao fluxo de informação, sejam atendidas 
de uma maneira efetiva e precisa. 
Alguns exemplos de vulnerabilidades que podem ser encontradas nas 
empresas são: a falta de treinamento de funcionários, o bug em software, a falta 
de manutenção de hardware, a falta de extintores de incêndio, a inexistência ou 
um controle de acesso inadequado, entre outros. 
Nesse conjunto de exemplos, podemos identificar diversas falhas e 
vulnerabilidades relacionadas à questão de pessoal e de estrutura, sendo que 
todas essas ameaças devem estar sendo mapeadas dentro de seu contexto nos 
processos de negócio da empresa. 
O processo de análise de vulnerabilidade tem então por objetivo verificar 
a existência de falhas de segurança no ambiente, sendo esta uma ferramenta 
importante para a implementação de controles de segurança eficientes sobre os 
ativos da instituição. Como exemplos de controles, podemos ter os controles 
associados ao fator pessoal, que definem quais são as pessoas que podem ter 
acesso a determinados níveis de informação e a determinado conjunto de dados, 
quais são pessoas que podem manusear determinados dados, ou ainda, quem 
são os responsáveis pela coleta de dados, para criação ou geração dessa nova 
base de informação. 
A vulnerabilidade associada aos controles e ao processo de definição 
destes controles consiste em um mapeamento desses processos, definindo 
como será o fluxo de dados dentro da empresa. E esse fluxo deverá ser 
estabelecido de forma a garantir que a análise e o tratamento dos dados sejam 
feitos de forma correta. No processo de análise de vulnerabilidades, deverá ser 
realizada uma verificação detalhada do ambiente da instituição, para avaliar se 
esse ambiente fornece as condições de segurança compatíveis com a 
importância estratégica dos serviços realizados. Essa análise deverá 
 
 
5 
compreender as tecnologias, os processos, as pessoas e os ambientes. A 
análise do ambiente empresarial e de sua estrutura de pessoal deverá 
compreender diversos fatores, incluindo o processo de transição de dados entre 
os departamentos, principalmente em uma empresa de grande porte, como é a 
atuação do pessoal envolvido nesse fluxo, em relação à comunicação, bem 
como as ferramentas empregadas, principalmente quando se trata de uma 
transação financeira. 
Portanto, o processo de análise de ambiente será necessário até mesmo 
para que se faça um mapeamento físico da empresa ou que se estabeleça de 
maneira clara o fluxo de dados dentro da empresa, permitindo que a transição 
de informações ocorra de maneira mais organizada. Por exemplo, fazendo-se a 
análise de um repositório de dados e identificando qual será a última instância 
de decisão, poderá se estabelecer que aquela informação realmente é a decisão 
final, evitando-se dúvidas e questionamentos sobre a validade da informação. 
Uma vulnerabilidade na computação significa a existência de brecha em 
um sistema computacional, que também é chamado de bug. Como exemplo de 
um bug, poderíamos ter um cálculo feito de forma errada em uma determinada 
planilha, que foi alimentada com os dados e valores corretos. Assim, por mais 
que ela contivesse os valores corretos, como ela possui um bug, que seria uma 
fórmula confeccionada de maneira errônea, poderíamos ter consequências 
desastrosas para a atividade-fim da empresa. Se considerássemos, por 
exemplo, que em um departamento responsável pelo controle de entrada e saída 
de produtos, com base nos valores obtidos da linha de produção, ocorresse um 
lançamento errado nos dados das contas, de entrada ou de saída, poderia 
ocorrer erro de grandes proporções no resultado financeiro da empresa, e que 
poderia ser difícil de rastrear. 
O processo de análise de vulnerabilidade inclui, então, a análise do fluxo 
de informação, desde sua geração até a sua utilização. Isso inclui a análise de 
como a informação é compartilhada entre os setores da organização, como 
ocorre o tratamento desses dados e se esse processo é feito de forma correta. 
Assim, é necessário avaliar como essa informação é trabalhada, desde que a 
informação é gerada e ao longo de todo o seu fluxo. As pessoas também são 
ativos da informação, pois executam processos, o que leva à necessidade de 
também serem analisadas nesse contexto. Como elas podem apresentar 
também pontos falhos, é de fundamental importância conhecer todos os 
 
 
6 
envolvidos no processo e como deverão ser tratadas, de forma que tenham pleno 
conhecimento de suas responsabilidades em relação à segurança. Portanto, 
temos uma falha de segurança quando um colaborador desconhece a 
importância da segurança, bem como de suas obrigações e responsabilidades, 
e comete uma falha em um determinado processo que possa gerar graves 
consequências. Por exemplo, se uma pessoa que é responsável por fazer o 
levantamento do controle de estoque de um setor não o fizer corretamente, 
poderá ocasionar uma falha grave na linha de produção, por falta de insumos 
que foram contabilizados incorretamente. 
Outro componente a ser analisado quanto à sua vulnerabilidade é o 
ambiente, que inclui o espaço físico em que os processos são executados e onde 
as pessoas que fazem parte desses processos executam suas atividades. Assim 
devem ser analisados os espaços onde estão instalados todos os componentes 
de tecnologia, cobrindo toda a área física em que estão esses recursos. As 
principais vulnerabilidades associadas ao ambiente

Continue navegando

Materiais relacionados

290 pág.
iso 27001 e 27002

User badge image

Bruno Moreira

26 pág.
Plano de Auditoria de Sistemas para Segurança da Informação

UNIP

User badge image

Ady santana

60 pág.
Segurança da Informação

RISO

User badge image

tonilson frefire

290 pág.
Hans Baars, Kees Hintzbergen, Jule Hintzbergen, André Smulders - Fundamentos de Segurança da Informação_ com base na ISO 27001 e na ISO 27002-BRASPORT (2018)

IFSUL

User badge image

Iago Oliveira de Souza

Perguntas relacionadas

Question Icon

5) As carteiras de criptomoedas desempenham um papel crucial na segurança e na gestão dos ativos digitais. Entre as diversas carteiras disponíveis ...

User badge image

elton jr

Question Icon

Sobre a alocação de ativos, assinale a alternativa CORRETA: Alocação de ativos é uma estratégia praticada por diversos fundos de investimentos, po...

User badge image

Aprendendo Através de Exercícios

Question Icon

ativos cujo mecaanismo de ação é controlar a inflamação

User badge image

Aninha Costa

Question Icon

Para o departamento de Tecnologia da Informação, TI, a gestão dos seus ativos vai além do conjunto de Normas ISO/IEC 55.000, pois elas tratam apena...

User badge image

anderson jose diogo

Outros materiais