ISFS

Information Security
Foundation (based on ISO/IEC 27001)

Realização Curso credenciado por

Dificuldade
Atualizado em:

INICIANTE INTERMEDIÁRIO AVANÇADO

30/09/2024

Slide: 1
Aviso de marcas registradas e direitos autorais

• Todos os direitos reservados. Nenhuma parte deste material poderá ser

reproduzida ou transmitida em qualquer ou por qualquer meio sem a
permissão escrita da TIEXAMES Consultoria e Treinamento Ltda.
• Algumas marcas registradas podem aparecer no decorrer deste curso. O uso
destas marcas e logotipos é apenas para fins editoriais, em benefício
exclusivo do dono da marca registrada, sem intenção de infringir as regras
de sua utilização.

Slide: 2
Este curso é preparatório para certificação ISFS

• Conhecida pela sigla ISFS

• Information Security Foundation.
• “S” = “Standard” (norma ISO/IEC 27001)
• É essencialmente um exame de fundamentos em
segurança da informação.
• O título do programa foi renomeado em 2017
para incluir referência à norma ISO/IEC 27001
para se tornar mais “atrativo” para o mercado.
• Porém o exame e o conteúdo deste curso estão mais
relacionados com a norma ISO/IEC 27002 e
bibliografia de referência.
Slide: 3
Objetivos do curso

• Este curso apresenta a boas práticas de manuseio de

informações de acordo com as normas ISO/IEC 27001 e
27002:2022.
• Conceitos
Durante de
este curso você irá estudar:
informação e importância da confiabilidade das informações.

Definições e tipos de ameaças e riscos.

Política de segurança e estabelecimento da segurança da informação.

Medidas físicas, técnicas e organizacionais.

Aspectos relacionados à legislação e regulamentação nacional e internacional.

Slide: 4
Conteúdo programático alinhado com o novo exame

• O conteúdo 0 Apresentação do curso e introdução às normas da família ISO/IEC 27000 0%

Informação e segurança
deste curso está 1 Conceitos relacionados à informação, aspectos de confiabilidade e segurança da 27.5%
distribuído em 4 informação na organização
módulos Ameaças e riscos
12.5%
2 Definição de ameaça, riscos e análise de riscos; relacionamento entre ameaças e
englobando o riscos e confiabilidade da informação.
currículo do Controles de segurança
Entendendo o que são controles de segurança, controles organizacionais,
novo exame: 3
controles de pessoas, controles físicos, controles técnicos
52.5%

Legislação e regulamentação
4 Legislação e regulamentos, e normas aplicáveis no contexto de segurança da 7.5%
informação.
Peso (%) no
exame

Slide: 5
Esse curso faz parte da trilha de formação para DPOs

Information Privacy and Data Privacy and Data

Security Protection Protection
Foundation Foundation Professional É obrigatório passar nos 3 exames
para receber o título de DPO do
EXIN.
ISFS PDPF PDPP

Não existe sequência obrigatória

entre os 3 exames.

Slide: 6
Segurança da Informação x Privacidade de dados
• O conceito de
Segurança da
Informação pode
se referir a todos
os tipos de
informação,
incluindo dados Segurança da
pessoais. informação Privacidade
Envolve coleção de dados
Preservação das pessoais, uso e eliminação de
propriedades CID dados pessoais de maneira
autorizada, qualidade dos dados,
acesso às informações pessoais
CID
Confidencialidade

Proteção das informações pessoais

Slide:
Slide 77
Esse treinamento pode
servir como entrada no
mundo de segurança da
informação

Fonte:
https://www.cybersecuritydegrees.com/
faq/prepare-career-cyber-security/

Slide: 8
 Domínios de
conhecimento

Fonte: https://app.box.com/s/sj5xaz8a1461e7u7si3ip1361r070fed/file/805307019155
Slide: 9
Seção

Programa de qualificação em
segurança da informação do EXIN

Slide: 10
Sobre o EXIN
• O EXIN (Examination Institute for Information Science) é
uma organização global e independente que desenvolve e
mantém exames profissionais na área de TI.
• Sua missão é melhorar a qualidade do setor de TI, de
profissionais de TI e usuários de TI, por meio de testes e
certificações independentes.
• O EXIN fornece exames baseados em frameworks,
melhores práticas e normas.
• Tem reconhecimento no mundo todo em mais de 125
países.
• Possui mais de 40 anos de experiência, envolvendo vários
especialistas.
Para mais informações, consulte:
www.exin.com

Slide:
Slide 11
11
Níveis no programa de qualificação do EXIN
para segurança da informação

ISME
Expert

Professional ISMP

Foundation ISFS

Slide: 12
Exame EXIN Information Security Foundation (ISFS)

60 minutos 40 questões de Acerto mínimo de 26 Exame remoto gravado ou

de duração múltipla escolha questões (65%) para passar ao vivo com fiscal

• Nível de dificuldade: fácil, mas não deve

ser subestimado.
• Idiomas disponíveis: diversos, incluindo
o português.
• Taxa do exame: consulte na aba
informações de exame.

Slide: 13
Referência bibliográfica para o exame ISFS
Literatura para o exame
velho em portuguÊs
(baseado nas normas
versão 2013)
Hintzbergen, J., Hintzbergen, K.,
Smulders, A. e Baars, H.
Fundamentos de Segurança da
Informação: com base na ISO 27001
e ISO 27002 Brasport, 1ª edição,
2018
Comprar no site da Amazon
Literatura para o
exame novo somente
em inglês
(baseado nas normas
versão 2022)
Baars, H., Hintzbergen, J., and
Hintzbergen, K. Foundations of
Information Security – Based on ISO
27001 and ISO 27002 Van Haren
Publishing: 4th fully revised edition,
2023
Comprar no site da Vanharen
Slide: 14
Seção

Introdução às normas da
família ISO/IEC 27000

Slide: 15
Organizações envolvidas nas normas ISO/IEC 27000
ISO /IEC
• ISO – International Organization for
Standardization www.iso.org
• A ISO é a maior desenvolvedora e publicadora de
normas internacionais.
• A ISO é uma rede de institutos de normas
nacionais de 164 países (um membro por país),
com sede em Genebra, que coordena o sistema.
O Brasil é representado pela ABNT (Associação
Brasileira de Normas Técnicas).
No Brasil esta norma foi traduzida pela ABNT recebendo a seguinte identificação:
ABNT NBR ISO/IEC 27001:2022
27001: 2022
• IEC – International Electrotechnical
Commission www.iec.ch
• A IEC é uma organização irmã da ISO que
prepara e publica normas internacionais para
tecnologias elétricas, eletrônicas e relacionadas.
• A ISO e a IEC atuam em conjunto no
desenvolvimento de normas relacionadas à área
de tecnologia por meio de comitês técnicos.
Slide: 16
Família de normas ISO/IEC 27000

• A família ISO/IEC 27000 Visão geral e vocabulário de SI

27000 é composta de 27001 Requisitos para o SGSI (Sistema de Gestão de Segurança da Informação)

mais de 40 normas 27002 Código de prática para controles de segurança da informação

relacionadas a 27003 Guia de implementação do SGSI

segurança da 27004 Medição do SGSI

informação. 27005 Gestão de riscos de segurança da informação

27006 Requisitos para partes que irão fornecer auditoria e certificação de SGSIs

27701 Requisitos, Diretrizes e Controles para SGPI (Sistema de Gestão de

• As principais normas Privacidade da Informação)
desta família são: ....
Veja a relação de normas desta família no site iso27001security.com

Slide: 17
Principais normas para o contexto do DPO

Sistema de gestão da
SGPI privacidade da informação

ISO/IEC
27701

Sistema de gestão da
segurança da informação

SGSI ISO/IEC ISO/IEC Código de prática /

27001 27002 controles
requisitos

Slide: 18
Visão dos requisitos da ISO/IEC 27001:2022
PLAN DO CHECK ACT
Contexto da Planejamento Avaliação do
Melhoria (10)
Liderança (5) Apoio (7) Operação (8) desempenho (9)
organização (4) (6)

Ações para Planejamento e Não

Entendendo a Liderança e Recursos (7.1) Monitoramento,
contemplar riscos controle conformidade e
organização e seu compro- medição, análise
e oportunidades operacional (8.1) ações corretivas
contexto (4.1) metimento (5.1) e avaliação (9.1)
(6.1) (10.1)
Competência
Entendendo as Objetivos da Avaliação de
(7.2)
necessidades e Política (5.2) segurança da riscos de Auditoria interna Melhoria
expectativas das informação e segurança da (9.2) contínua (10.2)
partes planos para Conscientiza- informação (8.2)
interessadas (4.2) alcançá-la (6.2) ção (7.3)
Papéis, Tratamento de Analise crítica
responsabilidade riscos de pela Direção (9.3)
Determinando o Comunicação
e autoridades Planejando as Segurança da Act Plan
escopo do SGSI (7.4)
organizacionais (5.3) mudanças (6.3) Informação (8.3)
(4.3)

Informação Check Do
Sistema de gestão documentada
da segurança da (7.5)
informação (4.4) Slide: 19
 Resultado de imagem para ISO-27001

ISO/IEC 27001 x 27002 x 27701

ISO/IEC 27701
ISO/IEC 27002:2022
ISO/IEC 27001:2022 1. Escopo
2. Referências normativas
1. Escopo 3. Termos e definições
1. Escopo
2. Referências normativas 2. Referências normativas 4. Conceitos Gerais
3. Termos e definições 3. Termos e definições 5. Requisitos SGPI (27001)
4. Contexto da organização 4. Estrutura do documento 6. Diretrizes SGPI (27002)
5. Liderança 5. Controles organizacionais 7. Diretrizes (Controladores)
6. Planejamento 8. Diretrizes (Operadores)
6. Controles de pessoas
7. Suporte 9. ANEXOS (A,B, C, D, E, F)
7. Controles físicos
8. Operação
9. Avaliação 8. Controles tecnológicos Aplicáveis para
10. Melhoria LGPD e GDPR
Anexo A

Slide: 20
ISFS
Information Security
Foundation (based on ISO/IEC 27001)

Realização Curso credenciado por

Dificuldade
Atualizado em:

INICIANTE INTERMEDIÁRIO AVANÇADO

30/09/2024

Slide: 1
Módulo 1
Peso no exame
27.5%

•Conceitos de Informação
e segurança

Slide:
Slide 22
Módulo 1 – Tópicos
• Este módulo cobre:
• 1.1 Conceitos de informação
• Definição de informação e diferença entre dados e informação
• Meios de processamento e armazenamento de informações
• 1.2 Aspectos de confiabilidade da informação
• Tripé CID (Confidencialidade, Integridade e Disponibilidade)
• Accountability e auditability
• 1.3 Protegendo as informações na organização
• Políticas de segurança da informação.
• Segurança da informação ao trabalhar com fornecedores
• Funções e responsabilidades relacionadas à segurança da informação.
Slide:
Slide 33
Seção 1.1

Conceitos de informação

Slide:
Slide 44
Definição de informação
Informação
• Informação é o dado que tem significado em algum contexto
para quem o recebe.
Fonte: Foundations of Information Security, Van Haren.
Exemplo 1
Fulano de tal, portador do CPF 111.111.111-79,
com data de nascimento em 01/02/1985, tem
realizado 4 cursos na TIEXAMES na área de
segurança & privacidade desde 2019.
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Exemplo 2
Para produzir 25 litros da nossa melhor cerveja são
necessários:
• Malte Pilsen BWS - 5kg
• Lúpulo Spalter Select (5,4% Ácido Alfa) - 24g
• Fermento Fermentis S-04 (alta fermentação) - 11,5g
• Água para adicionar o malte - 18l
• Água para Extração do Extrato Residual - 20l
Slide:
Slide 55
Dado e informação
MELHOR de acordo com
PRÁTICA a ITIL®

• Informação é a compreensão dos relacionamentos entre dados.

• A informação pode responder a uma das quatro perguntas:

Quem? O quê? Quando? Onde? Por quê? Como?

Slide:
Slide 66
Tipos de dados

Segurança da informação se preocupa com todos os tipos de dados e regulamentações associadas

Dado Pessoal Dados Pessoal Sensível Dados de negócio

• informação relacionada a • Dado pessoal sobre origem • Estão relacionados a

pessoa natural identificada ou
identificável (Fonte: LGPD, Art.
5, I)
• Exemplos: Primeiro nome,
Sobrenome, CPF, e-mail,
endereço,
Precisam ser processados de acordo com a LGPD
racial ou étnica, convicção
religiosa, opinião política,
filiação a sindicato ou a
organização de caráter
religioso, filosófico ou político,
dado referente à saúde ou à
vida sexual, dado genético ou
biométrico, quando vinculado
a uma pessoa natural. (Fonte:
LGPD, Art. 5, II)
operações comerciais, como
estratégias de negócios,
informações financeiras,
segredos comerciais, etc.
• Esses dados não são
necessariamente ligados a
uma pessoa, mas são críticos
para as empresas.
Podem estar sujeitos a
outras regulamentações

Slide: 7
Como a informação é derivada?

Dados Informação
É o resultado de
São uma série de
aplicar contexto
fatos discretos.
aos dados.

DADOS
Informática é o
processo usado
converter dados
em informação.

Slide:
Slide 88
Aplicando contexto aos dados
INFORMAÇÃO

DADOS

Dados podem ser processados pela TI, mas se tornam

informação quando adquirem certo significado.
Slide:
Slide 99
 Formas da informação

Armazenada A forma da
eletronicamente (discos, informação vai impor
1 banco de dados, planilhas,
etc.) restrições às medidas
necessárias para sua
Impressa ou
escrita em papel 5 A informação 2 Apresentada
em filmes/fotos
proteção.
pode existir sob
diversas formas

Verbal (conversas ou
apresentações) 4 3 Transmitida pelo
correio ou por meios
eletrônicos
Slide:
Slide 10
10
Para lidar com as informações, a organizações contam com
um Sistema de informação
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• Um Sistema de
Informação descreve
o processamento, o
armazenamento e a
transferência de
informações.
• Não é
necessariamente a A maioria das organizações usa Entretanto, temos que
mesma coisa que um um sistema de informação considerar que informações
sistema de TI. automatizado por softwares. podem ou não estar sendo
processadas por sistemas de TI.

Slide:
Slide 11
11
O que compõe um Sistema de informação?
MELHOR de acordo com o livro Foundations of
• No contexto da PRÁTICA Information Security

segurança da
informação, um
sistema de
informação é o
resultado da Regras Meios
combinação dos Estes quatro elementos
seguintes garantem que as informações
estarão disponíveis para os
elementos: processos de negócio da
Pessoas Procedimentos organização.

Slide:
Slide 12
12
A Tecnologia da informação (TI) suporta um sistema de
informação
MELHOR de acordo com o livro Foundations of
• Tecnologia da informação ou TI é usada para: PRÁTICA Information Security

Transferir Coletar
Tecnologia da
informação
≠
Sistema de
Armazenar Processar informação

Slide:
Slide 13
13
Gestão da informação
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Gestão da informação
A gestão da informação descreve o meio pelo qual uma organização
planeja, coleta, organiza, utiliza, controla, dissemina e descarta suas
informações de forma eficiente, e através da qual garante que o valor
dessa informação seja identificado e explorado em toda a sua
extensão.
Fonte: Foundations of Information Security, Van Haren.

Quando você traduz essa definição para o português, pode dizer que
este campo interdisciplinar se baseia em e combina habilidades e
recursos de:
• Biblioteconomia e ciência da informação.
• Tecnologia da informação.
• Gerenciamento de registros.
• Arquivamento e administração geral.

Slide: 14
Informação como um ativo

Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas

envolvidas na suas operações são informações, que como outros ativos importantes, têm valor para o
negócio da organização e, consequentemente, requerem proteção contra vários riscos.

Fonte: ISO/IEC 27002: 2013

Um ativo pode ser Pode ser usado para

qualquer coisa de produzir alguma coisa.
propriedade de um
indivíduo ou organização Pode ser algo que será
que tem valor. vendido para gerar receita.

Slide:
Slide 15
15
Ativos típicos de uma empresa
Exemplos de ativos tangíveis

Informação
Estoque de
Prédios matéria-prima

A informação é um ativo intangível que é

reconhecido claramente como um gerador
de valor para uma organização.
Pessoas Computadores
(funcionários)
Slide:
Slide 16
16
Seção 1.3

Aspectos da confiabilidade da
informação

Slide:
Slide 17
17
Confiabilidade da informação
• Nesta seção, serão abordados os seguintes tópicos:
• O que é segurança da informação?
• Confiabilidade da informação:
• Confidencialidade
• Integridade
• Disponibilidade

Slide:
Slide 18
18
O que é segurança da informação?

Segurança da informação
É a preservação de confidencialidade, integridade e
disponibilidade da informação.

Fonte: ISO /IEC 27000:2018

Além disso, outras propriedades, como autenticidade, responsabilidade,

não repúdio e confiabilidade também pode estar envolvidas.

Podemos dizer que a segurança da informação é a proteção de

informações de uma ampla gama de ameaças, a fim de garantir a
continuidade dos negócios, minimizar o risco de negócios e maximizar o
retorno sobre investimentos e oportunidades de negócios.

Slide:
Slide 19
19
Como alcançamos a segurança da informação?
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

Segurança Organizacional

• A segurança da informação é Segurança de Pessoas

alcançada pela implementação de
um conjunto adequado de
controles, incluindo: Segurança Física

• Políticas
• Processos Segurança Lógica /
tecnologia
• Procedimentos
• Estrutura organizacional
• Funções de software e hardware Sistemas de
informação |
DADOS

Slide:
Slide 20
20
Razões para se investir em segurança da informação

• Uma boa segurança da informação:

• Previne a perda de dados
• Assegura a privacidade
• Protege a propriedade intelectual da organização
• Minimiza perdas financeiras a partir de incidentes
de segurança
• Garante a continuidade do negócio durante um
desastre
• Maximiza o retorno de investimentos em novos
projetos e oportunidades de negócios

Slide:
Slide 21
21
O que precisamos proteger?
Devemos proteger todos os dados
com o mesmo nível de segurança?
Não!

• Quais dados e informações fornecem mais valor

para a organização?
• Como a organização será impactada se estes dados
e informações forem perdidos ou danificados?
• O quão importante eles são para os processos de
negócio da organização?
• Se eles forem perdidos ou danificados, podemos
recuperá-los com facilidade?

Slide:
Slide 22
22
Slide 22
Aspectos da confiabilidade da informação

• A confiabilidade da informação é
determinada por três aspectos:
• Confidencialidade
• Integridade
• Disponibilidade CID
Confidencialidade

Tripé da segurança da informação

Slide:
Slide 23
23
Confidencialidade – Definição
Confidencialidade
Propriedade que a informação não é disponibilizada
ou divulgada a indivíduos, entidades ou processos
não autorizados.
Fonte: ISO/IEC 27000:2018

São características relacionadas à confidencialidade:

• Exclusividade – Dados disponíveis exclusivamente para os CID
usuários autorizados a acessá-los.
Confidencialidade
• Privacidade – Consiste em limitar o acesso às informações
pessoais.

Slide:
Slide 24
24
Confidencialidade – Como pode ser quebrada?
• A confidencialidade pode ser quebrada
de diversas formas:
• Uma pessoa com acesso autorizado a
uma informação confidencial pode
repassá-la a outra pessoa que não está CID
autorizada.
Confidencialidade

• Alguém pode obter sem autorização uma

cópia de um documento confidencial.

• Alguém pode conseguir uma senha ou

invadir um sistema e ler informações às
Slide:
Slide 25
quais não deveria ter acesso. 25
Confidencialidade – Outros exemplos de quebra

Executivos podem discutir Conversas no elevador Colaboradores podem compartilhar

estratégias de negócio durante um podem revelar informações informações confidenciais em suas
voo e alguém sentado próximo confidenciais da empresa. redes sociais.
pode escutar.

Slide:
Slide 26
26
Confidencialidade – Exemplos de medidas de proteção
MELHOR de acordo com o livro Foundations of
• São exemplos de medidas para proteger a confidencialidade. PRÁTICA Information Security
• Acesso à informação condicionado à necessidade de informação.
• Funcionários que garantam que as informações não serão exibidas para quem
não precisa delas, como por exemplo não deixando documentos confidenciais
em suas mesas quando estiverem fora (política de mesa limpa).
• Gerenciamento de acesso lógico para que pessoas ou processos não
autorizados não tenham acesso a sistemas automatizados, bases de dados e
programas.
CID
• Segregação de funções nos aplicativos.
Confidencialidade
• Separações rígidas entre os ambientes de desenvolvimento, de teste e
aceitação e de produção.
• No processamento e na utilização de dados, tomar medidas para garantir a
privacidade de pessoal e de terceiros.
• Uso de computadores por usuários finais rodeado por medidas para que o
sigilo das informações seja garantido.
Slide:
Slide 27
27
Integridade – Definição
Integridade
Propriedade da exatidão e completeza da
informação.

Fonte: ISO/IEC 27000:2018

CID
São características de integridade:
Confidencialidade
• Completeza: os dados estão completos, inteiros.
• Correção/Corretude: garante que os dados são verdadeiros e exatos.
• Precisão: as saídas de dados podem ser reproduzidas de forma consistente.
• Validade: os dados atendem aos critérios de aceitação (de exatidão, precisão, tempo de
vida, etc.)
• Verificação: é possível verificar que os dados foram cadastrados, armazenados,
recuperados, transferidos e exibidos corretamente.

Slide:
Slide 28
28
Integridade – Exemplo
Quando um usuário do departamento
de compras envia um documento de
contrato via e-mail para um fornecedor e
este documento é interceptado por um
hacker e alterado antes de chegar no
Hacker
destinatário, o que acontece com a
integridade deste documento?

Servidor Servidor
de e-mail de e-mail

Comprador Fornecedor

Slide:
Slide 29
29
Integridade – Autenticidade e não repúdio

• Também podem
ser vistas como Autenticidade
características
que sustentam a
integridade:
Propriedade que garante que
a informação é proveniente
da fonte anunciada e que
não foi alvo de mutações ao
longo de um processo.
Não repúdio
Propriedade que garante a
impossibilidade de negar a
autoria em relação a uma
transação anteriormente
feita.

Slide:
Slide 30
30
Integridade – Exemplos de medidas de proteção
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• São exemplos de medidas de proteção da integridade:

• Autorização para mudanças nos sistemas e em dados.
• Sempre que possível, convém serem construídos mecanismos
para forçar as pessoas a usar o termo correto.
• Registro de ações dos usuários (logs) de forma que possa ser
determinado quem fez uma mudança na informação.
• Ações vitais do sistema, como aprovar um pagamento, não CID
podem ser realizadas por apenas uma pessoa (segregação de
funções). Confidencialidade
• A integridade dos dados pode ser assegurada também através
de técnicas de criptografia, o que protege a informação de
acesso ou alteração sem autorização.

Slide:
Slide 31
31
 Disponibilidade – Definição
Disponibilidade

Propriedade de ser acessível e utilizável sob

demanda por uma entidade autorizada.

Fonte: ISO/IEC 27000:2018

São características de disponibilidade:

• Prontidão: os sistemas de informação precisam estar
disponíveis quando necessários. CID
• Continuidade: o pessoal precisa continuar a trabalhar no caso
de uma falha. Confidencialidade
• Robustez: necessário ter capacidade suficiente para permitir
que todo o pessoal no sistema possa trabalhar.

Fonte: Foundations of Information Security, Van Haren.

Slide:
Slide 32
32
Disponibilidade – Exemplos de medidas de proteção
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
• São exemplos de medidas de proteção para disponibilidade:
• Gerenciamento e armazenamento de dados de forma que a
probabilidade de perder a informação seja mínima.
• Procedimentos de backup considerando os requisitos de
quanto tempo os dados devem ser armazenados.
• Criação de procedimentos de emergência para garantir que
as atividades possam ser retomadas o mais rapidamente
possível após uma interrupção de larga escala. CID
Confidencialidade

Slide:
Slide 33
33
 Adicionando responsabilidade e Auditabilidade ao CID

Responsabilidade / Auditabilidade
No passado, permaneceu com Prestação de contas (Auditability)
o Triângulo da CID era o (Accountability)
coração da segurança da
informação.

Com o surgimento da
obrigação de empresas para
prestar contas pela governança
corporativa, os conceitos de
Responsabilidade ou Prestação
de Contas (Accountability) e
Auditabilidade (Auditability)
CID
tornaram-se importantes junto
com o triangulo do CID.
Confidencialidade
Slide: 34
Tripé da segurança da informação
Adicionando responsabilidade e Auditabilidade ao CID
Accountability
• A prestação de contas, em
termos de ética e governança, é
equiparada a responsabilidade,
culpabilidade, responsabilidade e
expectativa de prestação de
contas.
• Como aspecto da governança,
tem sido central nas discussões
relacionadas aos problemas do
setor público, contextos sem fins
lucrativos e privados e individuais
(fonte: Wikipedia).
Auditability
• A auditabilidade depende da
obtenção de acesso ao tipo de
informação necessária para
montar uma auditoria, e os
registros solicitados serem bem
organizados, completos e
conformidade com as normas
contábeis.
• As áreas cobertas no escopo de
uma auditoria incluem avaliação
de controles de qualidade e
gerenciamento de riscos.
Slide: 35
Seção 1.3

Protegendo a informação na
organização

Slide:
Slide 36
36
Protegendo a informação na organização
• Nesta seção, serão abordados os seguintes tópicos:
• Os objetivos e o conteúdo de uma política de segurança da informação.
• Como garantir a segurança da informação ao trabalhar com fornecedores.
• Funções e responsabilidades relacionadas à segurança da informação.

Slide:
Slide 37
37
Começando com uma política de segurança da informação

• Por meio da política de segurança da

informação, a alta administração dá
suporte e direção para pensar em
como lidar com a segurança da
informação em toda a organização.

Slide: 38
O que é uma política de segurança da informação (PSI)?
• É um documento que registra os princípios e as
diretrizes de segurança adotados pela
organização, a serem observados por todos os
seus integrantes e colaboradores e aplicados a
todos os sistemas de informação e processos
corporativos.
• Contém diretrizes que determinam as linhas
mestras que devem ser seguidas pela
organização para que sejam asseguradas a
segurança dos recursos computacionais e suas
informações.
• Convém ser escrita como um resumo de fatos-
chave. Slide:
Slide 39
39
Tópicos abordados em uma PSI
• A PSI pode extrapolar Principais tópicos abordados em uma PSI:
o escopo abrangido • Definição de segurança de informações e de sua importância
pelas áreas de • Declaração do comprometimento da alta administração com a PSI
sistemas de • Objetivos de segurança da organização

informação e pelos • Definição de responsabilidades gerais na gestão de segurança de

informações
recursos • Orientações sobre análise e gerência de riscos
computacionais. • Princípios de conformidade dos sistemas computacionais com a PSI
• Padrões mínimos de qualidade que esses sistemas devem possuir
• Princípios de supervisão constante das tentativas de violação da segurança
• Ela não precisa ficar de informações
restrita à área de TI. • Consequências de violações de normas estabelecidas na política de
segurança
• Princípios de gestão da continuidade do negócio
• Plano de treinamento em segurança de informações
Slide:
Slide 40
40
Outras políticas de tópicos específicos
ISO/IEC 27002
Recomendações

No nível mais baixo, • Controle de acesso • Backup

convém que a política de • Classificação e tratamento da
segurança da informação informação
seja apoiada por políticas • Segurança física e do ambiente
de tópicos específicos. • Tópicos orientados aos usuários finais:
• Uso aceitável dos ativos
• Mesa Limpa e Tela Limpa
• Transferência de informações
• Dispositivos móveis e trabalho
remoto
• Restrições sobre o uso e
instalação de software
• Transferência da informação
• Proteção contra códigos maliciosos
• Gerenciamento de vulnerabilidades
técnicas
• Controles criptográficos
• Segurança nas comunicações
• Proteção e privacidade da informação
de identificação pessoal
• Relacionamento na cadeia de
suprimento

Slide:
Slide 41
41
Práticas para criação da PSI
ISO/IEC 27002
Recomendações

• Esta política convém ser:

• Redigida em conformidade com os requisitos
do negócio, bem como com a legislação e com
a regulamentação pertinentes.
• Aprovada pela alta direção (CEO ou Board).
• Publicada para todos os funcionários e todas
as partes externas relevantes, tais como
clientes e fornecedores.
• Em forma de folheto
• Em versão completa na intranet
Slide:
Slide 42
42
Bases para uma PSI
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

Os seguintes itens formam a base para criar documentos de políticas:

Regulamentos Procedimentos Diretrizes Normas

• São mais detalhados • Descrevem em • Fornecem • Definem padrões

que um documento detalhes como orientações • A ISO/IEC 27001 é
de políticas medidas particulares • Não são obrigatórias, uma norma para
• São obrigatórios devem ser realizadas mas servem como configurar a
• O não cumprimento • Exemplo: política de consulta segurança da
pode levar a mesa limpa informação na
procedimentos organização
disciplinares

Slide:
Slide 43
43
Revisão das PSIs
ISO/IEC 27002
Recomendações
• As políticas de segurança da informação convém ser revistas em
intervalos planejados ou caso ocorram mudanças significativas, para
garantir a sua contínua pertinência, adequação e eficácia.
• Cada política convém ter um “dono” com responsabilidade gerencial
para aprovar o desenvolvimento, revisão e avaliação das políticas.
• A revisão convém incluir a avaliação de oportunidades de melhoria
das políticas da organização e da abordagem do gerenciamento de
segurança da informação em resposta a mudanças no ambiente
organizacional, circunstâncias de negócios, condições legais ou
ambiente técnico.
• A revisão das políticas de segurança da informação convém levar em
conta os resultados da revisões da alta administração.
• A aprovação da alta administração para uma política revisada
convém ser obtida.
Slide:
Slide 44
44
Uma boa segurança da informação exige um SGSI

• O SGSI (Sistema de Gestão de Segurança

da Informação) consiste nas políticas,
procedimentos, diretrizes, recursos e
Partes Partes
atividades associados, gerenciados
interessadas Planejar o SGSI interessadas
coletivamente por uma organização, a fim Manter e
(PLAN)
ajustar o SGSI
de proteger seus ativos de informação. (ACT)
• Não necessariamente inclui um sistema
automatizado.
• O SGSI é uma abordagem sistemática para
estabelecer, implementar, operar,
monitorar, revisar, manter e melhorar a
segurança das informações de uma Verificar o SGSI Implementar o
organização a fim de alcançar os objetivos Expectativas e (CHECK) SGSI
Segurança da
(DO)
de negócios. requisitos de informação
Segurança da gerenciada
• Esta abordagem baseia-se em na informação
avaliação de risco e níveis de aceitação
de risco da organização projetados para
tratar e gerenciar os riscos com eficácia
Slide: 45
Usando o PDCA para estabelecer um SGSI
• Planejar (projetar o SGSI)
• Na fase de projeto, uma política de segurança da informação é
desenvolvida e documentada. Planejar o SGSI
Manter e
(PLAN)
• Aqui os objetivos de segurança da informação, os processos e ajustar o SGSI
(ACT)
procedimentos relevantes são definidos; estes garantem que os
riscos sejam gerenciados.
• Esses objetivos devem, é claro, apoiar a objetivos de negócio da
organização.
• As medidas de segurança podem ser adotadas no com base em Verificar o SGSI Implementar o
uma análise de risco e uma análise de custo/benefício. (CHECK) SGSI
(DO)
• A fase de planejamento aplica-se não apenas à política
principal, mas também a todas as políticas de apoio,
documentos e regulamentos subjacentes.

Slide: 46
Usando o PDCA para estabelecer um SGSI
• Fazer (implementar o SGSI)
• Nesta fase, a política de segurança da informação e os
procedimentos e medidas são implementadas. Planejar o SGSI
Manter e
(PLAN)
• As responsabilidades são atribuídas a cada sistema de ajustar o SGSI
(ACT)
informação e/ou processo.

Verificar o SGSI Implementar o

(CHECK) SGSI
(DO)

Slide: 47
Usando o PDCA para estabelecer um SGSI
• Verificar (monitorar e verificar o SGSI)
• Nesta fase, os controles são realizados por meio de
autoavaliação (auditoria interna) e, sempre que Planejar o SGSI
Manter e
possível, são realizadas medições para verificar se a ajustar o SGSI (PLAN)
segurança da informação política está sendo executada (ACT)
corretamente.
• Um relatório de auditoria é emitido para a
administração responsável e para o Chief Information
Security Officer (CISO).
Verificar o SGSI Implementar o
(CHECK) SGSI
(DO)

Slide: 48
Usando o PDCA para estabelecer um SGSI
• Agir (manter e ajustar o SGSI)
• Nesta fase final, são realizadas correções e tomadas
medidas preventivas, com base sobre os resultados da Planejar o SGSI
Manter e
auditoria interna. ajustar o SGSI (PLAN)
(ACT)
• O SGSI é atualizado à luz de qualquer descobertas.
• O ciclo PDCA é um ciclo contínuo.

Verificar o SGSI Implementar o

(CHECK) SGSI
(DO)

Slide: 49
Processos operacionais e a informação
• Planejar uma boa segurança da informação exige
conhecer os processos de negócio e entender como
eles usam as informações e os riscos associados.
• É importante entender que uma organização nem
sempre irá funcionar em silos, ou seja, os processos
podem cruzar diversos departamentos.
Existem essencialmente 3 tipos de processos de negócio:
São a parte principal da cadeia de valor
que gera receita para a organização.
Primários Exemplo: processo de fabricação de
portas.

Desenvolvem a estratégia ou fornecem

governança.
Estratégicos Exemplo: processo de planejamento
estratégico.

Suportam os processos acima.

De apoio Exemplos: processos de RH, compras,
(suporte) vendas, TI.

Slide: 50
O mapeamento de processos é importante para entender
como as informações são usadas

• Entendendo o
processo em
um nível mais
baixo você
conseguirá
observar o uso
de
informações
ao longo das
atividades.

Slide:
Slide 51
51
Segregação de funções é importante nos processos
• Tarefas e responsabilidades devem ser segregadas para evitar a chance de ou mudanças não intencionais, ou
o uso indevido dos ativos da organização.
• Na segregação de funções, é realizada uma revisão para saber se uma pessoa realiza a tomada de decisões,
tarefas executivas ou de controle.
• Também é determinado se a pessoa precisa de acesso a Informação.
• O acesso desnecessário aumenta o risco de informações serem intencionalmente ou usados, alterados ou
destruídos não intencionalmente.
• Isso é chamado de princípio da “necessidade de saber”.

Identifica processos de Atribui

Determina Implementa Monitora e Melhora
negócio responsabilidades
papéis controles de revisa continuamente
acesso
Slide: 52
Importância da gerência do negócio na segurança da
informação
• A má gestão pode fazer com que a segurança da
informação seja negligenciada ou potencial uso indevido
dos ativos da organização.
• Se o pessoal não estiver ciente de sua segurança da
informação responsabilidades, eles podem causar danos
consideráveis ​a uma organização.
• Portanto, a gerência do negócio deve entender seu papel
na segurança da informação e empreender ações com o
objetivo de garantir que todos os funcionários estejam
cientes e cumpram seus requisitos de segurança da
informação responsabilidades. Papel da gerência do
negócio na SI

Slide: 53
Lidando com a transferência de informações para
fornecedores
• Nem todas as atividades que são importantes para uma
organização são processadas pela organização em si.
• Se um processamento de dados for executado por um terceiro, é Organização
importante documentar os requisitos que a parte deve cumprir.
Fornecedor
• É importante mapear cada processador terceirizado, determinar
quais informações ele pode receber e ter um acordo para a troca
de informações.
• Importante também que os funcionários estejam cientes para
quem eles podem transferir as informações para fora da
organização.
• Aumentar a conscientização nessa área é uma importante medida
de segurança.
Acordos de
troca de
informações

Slide: 54
Segurança da informação quando usar serviços cloud
• A organização deve estabelecer e comunicar
a política específica do tópico sobre o uso de
serviços em nuvem para todas as partes
interessadas relevantes.
• A organização deve definir e comunicar
como pretende gerir os riscos de segurança
da informação associados à utilização de
serviços cloud.
• Em esperamos que a ISO 27017 pode ser
usada como apoio para isso.

Slide: 55
Estabelecendo os processos de segurança da informação
na organização
• A segurança da informação pode muitas pessoas e pode ter vários Alta administração (CEO)
processos.
• A forma como a segurança da informação é gerenciada depende sobre
o tamanho de uma organização, os objetivos de negócios e as Gerente de SI
obrigações legais que um organização deve atender.
• Em uma pequena organização, a segurança da informação pode ser
investida em uma ou poucas pessoas.
• Em uma grande organização com muito risco, como um banco, um
grande equipe de especialistas altamente treinados cuidará da
segurança da informação.
• O ideal é uma equipe composta por funcionários de recursos humanos
(RH), gestão de instalações, finanças, resposta a emergências e TI serão
responsáveis ​pela segurança da informação. Equipe de SI
• Esta equipe é dirigido por um gerente de segurança que é colocado
contato com a alta administração.
Slide: 56
Papéis mais importantes na segurança da informação
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• Dependendo do Chief
Information
Chefe da Segurança da Informação
tamanho da Security Officer Está no nível de gerência mais alto da organização e desenvolve a
(CISO) estratégia de segurança geral para todo o negócio.
organização, pode
haver uma série de Diretor/Executivo da Segurança da Informação
funções ou Information
Security Officer
Desenvolve a política de uma unidade de negócios com base
na política de segurança da informação da empresa e garante
posições para as (ISO)
que ela seja observada.
várias
responsabilidades Information Gerente da Segurança da Informação
Desenvolve a política de segurança da informação
Security
da segurança da Manager (ISM) dentro da organização de TI e garante que ela
informação. seja observada.

Obs.: além desses papéis especificamente voltados à segurança da informação,

uma organização pode ter um Information Security Policy Officer (SPO) ou um
Data Protection Officer (DPO). Slide:
Slide 57
57
ISFS
Information Security
Foundation (based on ISO/IEC 27001)

Realização Curso credenciado por

Dificuldade
Atualizado em:

INICIANTE INTERMEDIÁRIO AVANÇADO

30/09/2024
Módulo 2
Peso no exame
12.5%

Ameaça e risco

Slide 2
Módulo 2 – Tópicos
Este módulo cobre:
2.1 Conceitos de relacionados a ameaça e risco
• Conceitos de ameaça, vulnerabilidade, risco e incidente
2.2 Tipos de ameaças e danos
• Exemplos de ameaças e danos
2.3 Gerenciamento de riscos
• Processo de gerenciamento de riscos, análise de riscos, contramedidas (controles)
2.4. Estratégias para lidar com riscos

Slide 3
Seção 2.1

Conceitos relacionados a
ameaça e risco

Slide 4
Visão geral dos principais conceitos deste módulo

Explora Com certa Podendo gerar Quando se materializa Provoca dependendo da extensão

Vulnera- Potencial Dano /

Ameaça Probabilidade Incidente Desastre
bilidade impacto Exposição

Elementos de um risco

Slide 5
Exemplificando

Ladrão Residência

Furto

Agente de Ameaça Vulnerabilidades

ameaça

Um ladrão pode conseguir entrar na

RISCO casa e furtar bens de valor.
Slide 6
Ameaça e Agente de Ameaça
Ameaça
Potencial causa de um incidente indesejado
que pode resultar em dano a um sistema ou
organização.
Fonte: ISO /IEC 27000:2018
Uma ameaça se torna realidade quando ocorre um
incidente.
A entidade que tira vantagem de uma
vulnerabilidade é conhecida como um agente de
ameaça (por exemplo, um hacker).
Exemplos de ameaças:
• Acesso não autorizado a arquivos
• Travamento de servidor
• Invasão na rede por hackers
• Tempestade
• Funcionário cometendo erro não intencional
• Funcionário irritado
• Terrorismo e guerra
Slide 7
Vulnerabilidade
Vulnerabilidade
Fraqueza de um ativo ou controle que pode ser
explorada por uma ou mais ameaças.
Fonte: ISO /IEC 27000:2018
A vulnerabilidade é caracterizada pela
ausência ou fraqueza de medidas pelas quais
a fraqueza pode ser explorada.
Exemplos:
• Desktop sem proteção de senha
• E-mails enviados sem nenhum tipo de
criptografia.
• Portas abertas no firewall.
• Antivírus desatualizado.
• Baixo nível de segurança física que permite
qualquer um entrar na sala do servidores
ou nas estações de trabalho.
Slide 8
Risco

Risco Risco Ameaça

É a probabilidade de um
agente de ameaça tirar
proveito de uma
vulnerabilidade e do
impacto no negócio
correspondente.
Fonte: livro Foundations of
Information Security
Vulnerabi- Probabili- Potencial
lidade dade impacto
O risco amarra a ameaça, vulnerabilidade e chance de
exploração ao resultante impacto no negócio.
Exemplos:
• Se um firewall tem várias portas abertas, então há uma probabilidade
maior de um intruso utilizar alguma porta para acessar a rede de uma
forma não autorizada.
• Se os usuários não são informados sobre os processos e
procedimentos, então há uma probabilidade maior de um funcionário
cometer um erro intencional ou não, que pode acabar destruindo
dados.

Slide 9
Exemplos de riscos
Ativo Ameaça Vulnerabilidade Qual risco existe?
Cabos na sala de Rompimento Cabos passando fora de dutos Inoperância de algum
servidores computador ou servidor

Pen drive ou HD Contaminação por vírus Antivírus e desatualizado Inoperância de sistemas ou

lentidão na rede
Servidor de arquivos Dados serem apagados ou Acesso lógico no servidor por funcionários Informações serem perdidas ou
danificados que não necessitam tal acesso alteradas

Servidor de internet Invasão por acesso externo a Servidor internet ligado diretamente à Acesso de intrusos à rede
rede rede interna da empresa interna, podendo roubar ou
alterar informações
Roteador Interrupção do fornecimento Instabilidade na rede elétrica Pode ficar inoperante
de energia

Slide 10
Exposição

Exposição Exemplos:
• Se houver uma política de senha fraca e essa política não for aplicada, a
É um estado no qual o dano
é sofrido nas mãos de um
organização corre o risco de ser exposta ao uso não autorizado de senhas
agente de ameaça. com todas as suas consequências.
• Se uma organização não tem seu cabeamento testado/verificado de
tempos em tempos e também não faz a prevenção contra incêndios de
forma proativa, ela corre o risco de sofrer danos por incêndio.

Fonte: livro Foundations of

Information Security

Site https://haveibeenpwned.com/
mostra se a senha já foi exposta.
Incidentes e desastres
Incidente de segurança da
Quando uma ameaça se

Incidente
informação manifesta/materializa.
Indicado por um simples ou por uma Exemplo: um hacker conseguiu invadir a rede
série de eventos de segurança da da empresa.
informação indesejados ou inesperados,
que tenham uma grande probabilidade
de comprometer as operações do Um incidente grave que ameaça a
negócio e ameaçar a segurança da continuidade do negócio.

Desastre
informação. Exemplo: uma pessoa ou evento que
corrompe uma base de dados de um
Fonte: ISO /IEC 27000:2018
sistema importante fazendo com que
vários processos de negócio parem de
funcionar.

Slide 12
Seção 2.2

Tipos de ameaça

Slide 13
Tipos de ameaças
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

As ameaças podem ser divididas em:

Ameaças humanas Ameaças não-humanas

Intencionais Eventos não-humanos

Não intencionais

Slide 14
Ameaças humanas: intencionais e não-intencionais
As pessoas podem intencionalmente causar danos aos sistemas de informação, por várias
razões. Exemplos:
• Funcionário revoltado pode destruir dados ou danificar ativos.
• Um cracker invade a rede para causar um prejuízo.

Intencionais Engenharia social

Um engenheiro social tira proveito dos pontos fracos das pessoas para realizar seus
objetivos. Exemplo:
• Alguém se passa por um atendente da central de serviços solicitando a sua senha para obter o
acesso a um sistema.

Não As pessoas também podem causar danos de forma não intencional.

intencionais Exemplo: pressionar acidentalmente o botão excluir e descuidadamente confirmar.

Slide 15
Ameaças não-humanas

• Há também eventos não-humanos que

ameaçam uma organização.
• Estes incluem influências externas, tais
Sala de
como:
servidores está
• Quedas de raios, incêndios, inundações e em um lugar
tempestades. apropriado no
• Grande parte dos danos causados prédio?
dependerá da localização do
equipamento nas instalações.

Slide 16
Tipos de danos (ou consequências)
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Danos resultantes da ocorrência das ameaças
podem ser classificados em dois grupos:

Diretos Danos Indiretos

Têm consequência direta sobre o negócio
quando uma ameaça ocorre.
Exemplos:
• Infraestrutura destruída por um incêndio.
• Servidor travado por um vírus.
• Dados apagados por um cracker.
São consequentes de perdas que podem surgir após a
ameaça ocorrer.
Exemplos:
• Provedor incapaz de cumprir um contrato porque sua
infraestrutura foi destruída pelo incêndio.
• Atraso na entrega de produtos por conta do
travamento do servidor de nota fiscal.
• Perda de clientes devido a perda de dados.
Slide 17
Seção 2.3

Gerenciamento de riscos

Slide 18
Gerenciamento de riscos
Gerenciamento de riscos
Atividades coordenadas para dirigir e controlar uma Estabelecer
organização em relação aos riscos. contexto

Fonte: ISO /IEC 27000:2018

Monitorar Identificar
os riscos os riscos
• É o processo de planejar, organizar, liderar, controlar as
atividades de uma organização a fim de minimizar os
efeitos dos riscos sobre o lucro e o capital da Gerenciamento
organização.
de riscos
• É um processo contínuo que se aplica a todos os
aspectos dos processos operacionais, como também a Tratar os Analisar os
novos projetos. riscos riscos

• O Diretor de Segurança da Informação (CISO – Chief of

Fonte: baseado na
Information Security Officer) tem a responsabilidade de Avaliar os
ISO/IEC 27005:2011
acompanhar este processo. riscos

Slide 19
Gerenciamento de riscos na ISO/IEC 27005
A figura abaixo apresenta as atividades do processo
gerenciamento de riscos.
A ISO/IEC 27005 fornece orientação para o
gerenciamento de riscos da segurança da
informação, incluindo conselhos sobre:
• Identificação
• Análise
• Avaliação
• Tratamento
• Aceitação
• Comunicação
• Monitoramento e revisão de riscos.

Fonte: ISO/IEC 27005:2019

Slide 20
Estabelecendo o contexto para avaliação de riscos

É essencial que uma Existem três principais fontes de requisitos de segurança:

organização
identifique seus Requisitos para segurança da informação
requisitos de
segurança para O conjunto de princípios, Legais, estatutários,
estabelecer o Avaliação dos riscos para a
objetivos e requisitos de regulamentares e
organização
contexto do negócios contratuais
gerenciamento de
riscos. Podemos gerenciar riscos Podemos levar em conta a São requisitos obrigatórios.
relacionados a manipulação, estratégia de negócio global Exigências impostas pela
processamento, da organização e seus LGPD, por exemplos.
armazenamento, objetivos.
comunicação e
arquivamento de
informações do negócio.
Slide 21
Avaliação de riscos
Avaliação de riscos
É o processo de identificação, análise e avaliação
(evaluation) de riscos.
Fonte: ISO /IEC 27000:2018

• O objetivo de avaliação de riscos é esclarecer quais

ameaças são relevantes para os processos operacionais
e identificar os riscos associados.
• A avaliação de riscos é usada para garantir que as
medidas de segurança serão implementadas de uma
forma rentável e oportuna, e, consequentemente,
fornecer uma resposta eficaz às ameaças.
Fonte: ISO/IEC 27005:2019

Slide 22
Avaliação de riscos - Objetivos
MELHOR de acordo com o livro Foundations of
A avaliação de riscos tem quatro objetivos PRÁTICA Information Security
principais:
• Identificar ativos de informação e seu valor
• Determinar ameaças e vulnerabilidades
Medidas de
• Determinar o risco de que as ameaças se Medidas de segurança Medidas de
tornem uma realidade e interrompam o segurança com bom segurança
processo operacional muito rigorosas custo/benefício e ineficazes
eficazes
• Determinar o equilíbrio entre os custos de um
incidente e os custos de uma medida de
segurança

Slide 23
Análise de riscos
Durante a análise de riscos, para compreender a Observe que a análise de riscos é uma
natureza do risco e determinar o nível do risco, atividade do gerenciamento de riscos:
podem ser aplicadas dois tipos de metodologias:

Análise de
riscos

Qualitativa Quantitativa
▪ Baseada em números
▪ Baseada em cenários
▪ Com objetivo de
▪ Subjetiva
obter dados
financeiros
Slide 24
Análise de riscos qualitativa
• Aqui os números e valores monetários não são atribuídos a
componentes e perdas.
• É usada para criar uma lista priorizada de riscos e determinar as
respostas.
• Geralmente se faz uma avaliação de probabilidade e impacto (por
exemplo, alto, médio e baixo).
• Principais técnicas de apoio: Delphi, brainstorming, storyboard,
grupos de discussão, pesquisas, questionários, listas de
verificação, reuniões um a um e entrevistas.
• Utilizam-se pessoas que possuem experiência e conhecimento das
ameaças que estão sendo avaliadas.

Slide 25
Análise de riscos qualitativa - escalas
Na análise qualitativa os riscos podem julgados em duas escalas:
• Probabilidade: quão frequente uma ameaça pode ocorrer.
• Impacto: efeito de uma ameaça ocorrer e afetar um ativo – expresso em termos tangíveis
e intangíveis.

Escala de probabilidade Escala de impacto

Alta Muito provável que a ameça ocorra Alto Afeta uma uma missão crítica do
dentro do próximo ano negócio
Média Possível que ameaça ocorra dentro do Médio Perda limitada a uma unidade do
próximo ano negócio ou a um objetivo do negócio

Baixa Muito improvável que a ameaça Baixo Não afeta o funcionamento do

ocorra dentro do próximo ano negócio

Slide 26
Análise de riscos qualitativa - nível do risco
Matriz de probabilidade / impacto
Esta matriz faz a Impacto
combinação de Baixo Médio Alto

Probabilidade
probabilidade e impacto,
Alta Médio Alto Alto
determinando o
prioridade/nível do risco Média Baixo Médio Alto
Baixa Baixo Baixo Médio

Escala de nível do risco

Cor Nível do risco Ação
Esta tabela descreve Vermelho Alto Requer ação imediata
as ações para cada
Laranja Médio Pode requerer ação, precisa continuar a
nível de risco monitorar
Amarelo Baixo Não requer ação neste momento

Slide 27
Exemplo de análise de riscos qualitativa
A tabela de exemplo a seguir mostra o nível do risco derivado da combinação de
probabilidade x impacto
Probilidade / Nível do
Ativo Ameaça Vulnerabilidade Risco
Impacto risco
Cabos na sala Rompimento Cabos passando fora Inoperância de Baixa / Alto Médio
de servidores de dutos algum
computador ou
servidor
Pen drive ou Contaminação por Antivírus estar Inoperância de Alta / Alto Alto
HD vírus desatualizado sistemas ou
lentidão na rede
Servidor de Invasão por acesso Servidor internet Acesso de intrusos Média / Alto Alto
internet externo à rede ligado diretamente à à rede interna,
interna rede interna da podendo roubar
empresa ou alterar
informações
Slide 28
Análise de riscos quantitativa
• Utiliza uma escala com valores numéricos (e não as escalas descritivas usadas na
análise qualitativa) tanto para impacto quanto para a probabilidade, usando dados
de diversas fontes.
• Sua qualidade depende da exatidão e da integralidade dos valores numéricos e da
validade dos modelos utilizados.
• Na maioria dos casos, utiliza dados históricos dos incidentes que ocorreram no
passado.
• Uma desvantagem é a falta de tais dados sobre novos riscos ou sobre fragilidades
da segurança da informação.
• Uma análise de riscos puramente quantitativa é praticamente inviável em alguns
casos por falta de dados.
• Recomenda-se aplicar esta abordagem apenas para riscos com alta prioridade
(alto impacto e alta probabilidade).

Slide 29
Análise de custo-benefício
Os custos anuais associados às medidas de segurança
são comparados com as perdas potenciais que
ocorreriam caso as ameaças se tornem realidade.
Exemplo:
• Um servidor custa R$ 100.000,00
• As medidas de segurança para este servidor custam R$
150.000,00
• Conclusão: as medidas de segurança são muito caras.
• A conclusão está certa ou errada? Custo Benefício
• Depende...

Slide 30
Expectativas de perdas
Na análise quantitativa geralmente são calculadas as
expectativas de perdas para ajudar na escolha das estratégias de
riscos.
Expectativa de perda única
SLE
(Single Loss Expectancy)
• É uma quantidade que é atribuída a um único
evento que representa a perda potencial da
empresa se uma ameaça específica estiver para
acontecer.
• SLE = valor do ativo x fator de exposição.
• Exemplo: Um armazém tem valor patrimonial
de R$ 500.000 e a porcentagem de perda em
caso de um incêndio é de 25%.
Logo, o SLE = 500.000 x 0,25 = R$ 125.000
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Expectativa de perda anual
ALE
(Annualized Loss Expectancy)
• É uma quantidade que é atribuída a vários
eventos relacionados a uma ameaça
durante um ano.
• ALE = SLE x taxa anual de ocorrência.
• Exemplo: historicamente tem ocorrido um
incêndio a cada 10 anos. Logo, o ALE =
125.000 x 0,10= R$ 12.500
Slide 31
 Expectativas de perdas – Exemplo
A tabela abaixo contém exemplos de riscos e o ALE calculado para cada risco.
Uma vez que você tem o ALE para cada risco, pode ser determinado quais riscos tratar
primeiro.
Valor do Taxa anual ALE
Ativo Risco Fator exposição SLE
ativo ocorrência
Prédio Incêndio $700.000 0.60 $420.000 0.20 $ 84.000
Servidor Disco corrompido $50.000 0.50 $25.000 0.20 $ 5.000
Dados Roubo $200.000 0.90 $180.000 0.70 $ 126.000
sensíveis

Slide 32
Tratamento de riscos
• A avaliação de riscos produz uma lista de ameaças
e suas importâncias relativas.
• O próximo passo é analisar cada ameaça grave e
encontrar uma ou mais medidas que podem
reduzir estas ameaças.
• As medidas podem ter o objetivo de:
• Reduzir a chance de ocorrência do evento
• Minimizar as consequências
• Uma combinação das duas

Fonte: ISO/IEC 27005:2019

Slide 33
Medida de segurança
• Uma medida (ou contramedida) é posta em prática Medidas de segurança modificam
para evitar ou mitigar o risco potencial. um risco
• Pode ser uma configuração de software, um dispositivo
de hardware ou um procedimento administrativo que
elimina a vulnerabilidade ou reduz a probabilidade de
que um agente de ameaça seja capaz de explorar uma Risco
vulnerabilidade.
• Também pode ser sinônimo de controle de segurança.
• Exemplos de medidas:
• Forte gerenciamento de senhas
• Guarda de segurança na entrada da empresa
• Controle de acesso à sala de servidores
• Treinamento para conscientizar os funcionários sobre
segurança
Slide 34
Seção 2.4

Estratégias para lidar com riscos

Slide 35
Estratégias para lidar com riscos
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

Durante o tratamento de riscos,

estratégias para lidar com riscos devem
ser escolhidas: Estratégias para riscos

Evitar Reduzir Aceitar

(prevenir) o (mitigar) o
Transferir (Suportar ou
risco o risco reter) o risco
risco

A escolha de cada estratégia vai depender dos critérios estabelecidos pela organização.

Slide 36
Evitar o risco
• Também conhecida como prevenir ou eliminar riscos.
• As medidas são tomadas para que a ameaça seja neutralizada a um grau que já não
leve a um incidente.
• Por natureza, as medidas são preventivas.
• Adotada para os riscos relacionados a ativos de informação mais críticos para o Reduzir
negócio. (mitigar) o
risco
• O tipo de negócio também pode exigir a escolha desta estratégia para a maioria
dos riscos críticos.
• Exemplos de medidas relacionadas:
• Não permitir que a rede da empresa tenha conexão com à internet.
• Realizar um teste rigoroso no site de e-commerce antes de liberar para o público.
• Não permitir que todos funcionários tenham a acesso à internet.
• Não realizar uma atividade ou não adotar uma tecnologia também é uma forma de
evitar um risco.

Slide 37
Reduzir o risco
• Também conhecida como mitigar o risco.
• As medidas são tomadas para que as ameaças não se manifestem ou,
se o ocorrerem, o dano seja minimizado.
• A maioria das medidas tomadas na área de segurança da informação de
Reduzir
uma organização neutra a riscos é uma combinação de medidas: (mitigar) o
• Preventivas risco
• Detectivas
• Repressivas
• Exemplos de medidas relacionadas:
• Instalar firewall
• Instalar câmeras de vigilância em áreas seguras
• Controlar a entrada de pessoas no prédio
• Instalar detectores de fumaça
• Instalar antivírus
Slide 38
Transferir o risco
• A organização pode decidir por terceirizar uma atividade ou
compartilhar com outra entidade para que esta assuma parte
do ônus associado a um risco.
• Exemplos de medidas relacionadas:
• Contratar um serviço de cloud computing Reduzir
• Terceirizar o atendimento do help-desk (mitigar) o
risco
• Contratar um seguro contra incêndio para as instalações do data center

Slide 39
Aceitar o risco
• Também conhecida como suportar ou reter o risco.
• A aceitação dos riscos poderia ser:
• Pelo fato dos custos das medidas de segurança excederem os possíveis danos.
• Mas também pode ser que a gerência decidiu não fazer nada, mesmo que os custos não
sejam realmente maiores do que os possíveis danos.
Reduzir
• Geralmente se aplica aos riscos residuais. (mitigar) o
• Importante que a organização tenha critérios definidos para a escolha desta risco
estratégia.
• As medidas para suportar riscos que uma organização toma na área de segurança da
informação são geralmente de natureza repressiva.
• Exemplos de medidas relacionadas:
• Usar o extintor em caso de incêndio
• Recuperar o backup em caso de perdas
• Indisponibilizar o website em caso de ataques

Slide 40
ISFS
Information Security
Foundation (based on ISO/IEC 27001)

Realização Curso credenciado por

Dificuldade
Atualizado em:

INICIANTE INTERMEDIÁRIO AVANÇADO

30/09/2024

Slide 1
Módulo 3
Peso no exame
52,5%

Controles de segurança

Slide 2
Módulo 3 – Tópicos
Este módulo está dividido em 5 partes:
• Parte 1 – Entendendo os controles de segurança
• Parte 2 – Controles organizacionais
• Parte 3 – Controle de pessoas
• Parte 4 – Controles físicos
• Parte 5 – Controles técnicos (ou de tecnologia)

Slide 3
Parte 1

Entendendo os controles de
segurança

Slide 4
 Importância dos controles de segurança
• Os controles de segurança
são medidas ou ações para

Avaliação de
evitar, combater ou

Tratamento
minimizar a perda ou

de riscos
indisponibilidade de ativos

riscos
Política SI
de informação devido a

Escopo
ameaças que atuam sobre
as suas correspondentes
Implementação
vulnerabilidades. de controles
• Geralmente após uma
análise de riscos que um Controle
Critérios Medidas
conjunto de controles
apropriados são
selecionados.

Efetividade
Efeitos
potenciais
Slide 5
De onde vem os controles de segurança da informação?
Eles podem vir do Anexo A da ISO/IEC 27001 ou
a partir de outros Frameworks
O anexo A da ISO/IEC 27001:2022
São Anexo A contém uma lista de controles
detalhados NIST aplicáveis à maioria das
ISO/IEC 27001
na organizações.

O detalhamento e orientações de
COBIT ITIL implementação são encontradas na
ISO/IEC 27002:2022.
ISO/IEC
27002:2022
CMMI Etc.
Declaração
de
Aplicabilidade
Slide 6
Tipos de medidas de segurança
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

Os controles de 1 Preventivas Para prevenir incidentes de segurança.

segurança podem estar
Visam a reduzir a probabilidade de
relacionados aos 2 Redutivas uma ameaça ocorrer.
seguintes tipos de
São dirigidas para detectar
medidas: 3 Detectivas incidentes.

Visam a limitar um incidente.

4 Repressivas
São destinadas a recuperar o prejuízo
5 Corretivas causado por um incidente.
Nota: Essa classificação ao lado segue a
literatura do exame. A ISO/IEC Para minimizar os impactos de alguns
6 Contratar seguros incidentes de perdas de ativos.
27002:2022 adota apenas os tipos
Preventivo, Detectivo e Corretivo Quando não há fortes motivos para
7 Aceitação
investir em outras medidas.
Slide 7
Tipos de medidas - Gráfico MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

1 Prevenção

Incidente

3 Detecção 6 Seguro 7 Aceitação

4 Repressão

5 Recuperação

Slide 8
Medidas preventivas
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Torna impossível o surgimento de uma ameaça.
Exemplos de medidas:
• Instalar uma rede DMZ (desmilitarizada). Prevenção

• Separar redes.
Incidente
• Manter portas do prédio fechadas para evitar que pessoas
estranhas entrem.
Detecção Seguro Aceitação
• Visitantes devem ser proibidos de acessar zonas com informações
sigilosas. Repressão

• Colocar informações sigilosas em um cofre após o horário de Recuperação

expediente.
• Exigir que todas as mudanças na infraestrutura de TI passem por
um controle rigoroso para prevenir a liberação de falhas em
produção.
• Criptografar dados.
Slide 9
Medidas redutivas
MELHOR de acordo com o livro Foundations of
Visa a reduzir a probabilidade de uma ameaça PRÁTICA Information Security

ocorrer e/ou minimizar o possível dano que possa

ocorrer.
Isto também é conhecido como mitigação de risco. Prevenção

Exemplos de medidas: Incidente

• Somente permitir o acesso remoto à rede interna da

empresa através de uma VPN (Virtual Private Network) . Detecção Seguro Aceitação

• Fechar portas do firewall. Repressão

• Limitar o acesso à internet na empresa para somente Recuperação

algumas pessoas.
• Educar os funcionários em relação a abrir anexos de e-mails
suspeitos.

Slide 10
Medidas de detecção
MELHOR de acordo com o livro Foundations of
Pode ser uma opção quando as consequências PRÁTICA Information Security

diretas de um incidente não são muito grandes ou

há tempo para minimizar o dano esperado.
Importante assegurar que cada incidente possa Prevenção
seja detectado o mais rápido possível.
Incidente

Exemplos de medidas: Detecção Seguro Aceitação

• Instalar um sistema de detecção de intrusão (Intrusion Repressão

Detection System – IDS). Recuperação

• Instalar cameras de vigilância que detectam movimentos.

• Instalar um alarme ligado ao detector de fumaça.
• Realizar a varredura por vírus automaticamente.

Slide 11
Medidas repressivas
MELHOR de acordo com o livro Foundations of
Quando um incidente de segurança ocorrer, algo tem PRÁTICA Information Security

que ser feito para minimizar as consequências ou para

conter a continuação ou repetição do incidente.
Prevenção

Exemplos de medidas: Incidente

• Usar o extintor se um incêndio ocorrer

• Tornar indisponível um servidor web após uma invasão Detecção Seguro Aceitação

• Fazer um back-up periódico (visão do autor do livro de Repressão

referência para o exame) Recuperação

Slide 12
Medidas de correção (recuperação)
MELHOR de acordo com o livro Foundations of
Caso ocorra um incidente, há sempre algo PRÁTICA Information Security

que deve ser recuperado.

As medidas corretivas reparam o que foi
danificado ou recuperam um serviço. Prevenção

A extensão do dano depende das medidas Incidente

repressivas que foram tomadas.

Detecção Seguro Aceitação
• Exemplo: Quanto mais velho o back-up, maior
a perda. Repressão

Exemplos de medidas: Recuperação

• Restaurar o back-up
• Retornar a um situação estável anterior (roll-back)
• Arranjos standby (contingência ou plano B) também
podem ser vistos como medidas corretivas.
• Colocar as pessoas para trabalhar em outro local em caso
de um evento de desastre.
• Reinstalar um aplicativo em um servidor na nuvem caso o
servidor interno fique indisponível.
Slide 13
Contratar seguros como uma medida
MELHOR de acordo com o livro Foundations of
Para eventos que não podem ser totalmente PRÁTICA Information Security

evitados e suas consequências não são aceitáveis,

nós analisamos os métodos que podem aliviar as
consequências.
Prevenção
Também é uma forma de mitigação de riscos e de
transferir parte do impacto financeiro. Incidente

Detecção Seguro Aceitação

Exemplos de medidas: Repressão

• Seguro contra incêndios. Recuperação

• Seguro contra roubo de equipamentos

Slide 14
Aceitação como uma medida
MELHOR de acordo com o livro Foundations of
Quando todos os riscos foram identificados, a PRÁTICA Information Security

gestão responsável pode decidir por não

implementar certas medidas de segurança.
Prevenção

Esta estratégia é usada quando: Incidente

• Os custos não são proporcionais aos riscos apresentados e

aos possíveis danos que possam resultar dos possíveis Detecção Seguro Aceitação
eventos.
Repressão
• Não há medidas adequadas para mitigar o risco.
Recuperação

Slide 15
Vinculando as medidas de segurança ao ciclo de vida do incidente
• O ciclo do incidente tem as seguintes fases: Medidas possíveis Ciclo de vida do incidente
ameaça, incidente, dano e recuperação
• As medidas de segurança são destinadas a um Redutiva Ameaça
determinado momento do ciclo do incidente.
Preventiva
• As medidas são tomadas a fim de assegurar a
disponibilidade, integridade e Incidente
Yes
Detectiva
confidencialidade das informações da Arranjos
empresa. stand-by
Repressiva
• Após um incidente é necessário recolher podem ser
provas de acordo com procedimentos Dano acionados
internos. aqui
• Certifique-se de que todas as medidas
tomadas sejam registradas para ajudar a
analisar o incidente em si e para aprender Corretiva Recuperação
com a resposta ao incidente da segurança da Yes
Avaliativa
informação.
Slide 16
Categorias de controles de segurança na ISO/IEC 27002:2022

ISO/IEC 27002:2022
ISO/IEC 27001:2022
1. Escopo
1. Escopo 2. Referências normativas
2. Referências normativas 3. Termos e definições São 93 controles na
3. Termos e definições
4. Contexto da organização
4. Estrutura do documento ISO/IEC 27002
5. Controles organizacionais
5. Liderança
6. Planejamento 6. Controles de pessoas
distribuídos em 4
7. Suporte 7. Controles físicos categorias
8. Operação 8. Controles tecnológicos
9. Avaliação
10. Melhoria
Anexo A (93 controles)

Os controles do Anexo A são

detalhados na ISO/IEC 27002. Controles Controles de Controles Controles
Organizacionais Pessoas Físicos Tecnológicos
(37) (8) (14) (34)
Slide 17
Parte 2

Controles organizacionais

Slide 18
Segregação de funções
• Tarefas e responsabilidades devem ser segregadas para evitar a chance de ou
mudanças não intencionais, ou o uso indevido dos ativos da organização.
• Na segregação de funções, é realizada uma revisão para saber se uma pessoa
realiza a tomada de decisões, tarefas executivas ou de controle.
• Também é determinado se a pessoa precisa de acesso a Informação.
• O acesso desnecessário aumenta o risco de informações serem
intencionalmente ou usados, alterados ou destruídos não
intencionalmente.
• Isso é chamado de princípio da “necessidade de saber”.
Responsabilidades

Slide 19
Inteligência de ameaças
• O gerenciamento de ameaças e vulnerabilidades garante que
as vulnerabilidades sejam descobertas e fechado em tempo
hábil.
• A inteligência de ameaças está à frente deste processo.
• Aqui a organização não espera uma mensagem do fornecedor
informando que uma vulnerabilidade foi encontrada e que
um patch está sendo liberado. A própria organização
investiga ativamente se novas vulnerabilidades surgiram foi
encontrado:
• Surgiram novas técnicas de ataque desconhecidas?
• Quais medidas podem ser tomadas para se proteger?
• Ao realizar essas atividades por si só, uma empresa pode
responder de forma muito mais adequada a novas
vulnerabilidades e métodos de ataque e, finalmente, a
resiliência total do empresa aumenta

Slide 20
Segurança da informação no gerenciamento de projetos
• A segurança da informação deve ser parte integrante de todos os projetos dentro da organização e deve ser incluída na
atividade de iniciação do projeto e em todas as fases subseqüentes do o projeto.
• Na verdade, o que queremos alcançar é Security-by-Design.
• Quando as entregas do projeto são definidas, uma avaliação de risco deve fazer parte do design inicial.
• Ao final do projeto, antes da entrega final, a segurança deve ser testada e verificada.

Requisitos de Requisitos de
segurança são Segurança da informação no segurança são
validados antes gerenciamento de projetos testados depois
de construir de construir

Slide 21
Inventário de informações e ativos associados
• Uma das primeiras etapas na configuração de um SGSI é criar um
inventário de ativos de informação.
• Muitas vezes isso é feito usando um Banco de Dados de
Gerenciamento da Configuração(BDGC).
• É um passo importante para garantir que as medidas corretas serão
tomadas: os ativos são a base para a identificação dos riscos e,
portanto, para as medidas que ser tomadas para mitigar os riscos.
BDGC
• Exemplo simples de inventário de ativos de informação

Nome do ativo Descrição Dono do ativo Importância do Dados pessoais que Regras de acesso ao
ativo no CID o ativo contém ativo

Slide 22
Uso aceitável ativos de informação e outros ativos
• Toda empresa deseja que suas informações e ativos
sejam tratados com cuidado.
• Convém que regras para o uso aceitável das
informações, dos ativos associados com a informação e
dos recursos de processamento da informação sejam
identificadas, documentadas e implementadas.

Slide 23
Devolução de ativos
• Para a proteção do conhecimento, um processo
adequado deve ser mantido para garantir que quando
alguém sai da organização, todos os seus direitos são
revogados e todos os ativos são retornados à
organização.

Slide 24
Classificação das informações
• Essa classificação é usada para definir os diferentes
níveis de sensibilidade em que as informações podem Exemplo de classificação de informações
ser estruturados.
Ativo de Informação Classificação
• A classificação é o ato de atribuir a classificação
apropriada - como secreta, confidencial ou público – a Manual de treinamento do
Público
uma informação específica. funcionário
• Esse esquema é criado pela própria organização. Relatórios financeiros internos Interno
• O proprietário de um ativo de negócio atribui uma Dados do cliente (ex. endereços,
Confidencial
classificação apropriada ao ativo de informação de números de telefone)
acordo com um lista acordada de classificações.
Estritamente
Planos estratégicos de negócios
Confidencial
Estritamente
Senhas de acesso a sistemas
Confidencial
Políticas de RH Interno
Patentes e propriedade Estritamente
intelectual Confidencial
Newsletter da empresa Público
Slide 25
Rotulagem de informações
• Se um ativo tiver uma classificação, ele receberá uma marca ou rótulo.
• Isso pode ser colocado fisicamente e visivelmente no ativo de negócio, como no
monitor do computador e na transmissão cabos, ou dentro deles, como é o caso de
documentos digitais, bancos de dados, registros e mensagens.
• Uma medida para documentos pode ser que a classificação seja visível em um
determinado lugar no documento.
• Praticamente todos os governos nacionais usam um sistema de sigilo hierárquico
que atribui um nível de sensibilidade aos dados.
• Geralmente é: Altamente secreto, Secreto, Confidencial e Restrito.

Slide 26
Transferência de informações
• Sem expectativas claramente documentadas, um funcionário ou contratado
pode compartilhar informações confidenciais com a parte errada sem
percebendo o efeito prejudicial que isso pode ter sobre a posição competitiva de
seus próprios empresa.
• Para evitar que as informações cheguem a terceiros a quem não se destinam, é
importante fazer acordos internos e externos sobre a troca de informações.
• O acordo deve especificar com que frequência as informações devem ser
compartilhadas e de que forma.
• É importante evitar que informações sejam trocadas entre pessoas em empresas
diferentes (possivelmente concorrentes).
• Aumentar a conscientização nessa área é uma importante medida de segurança.

Slide 27
Controle de acesso
• Os controles de acesso são uma combinação de controles de acesso lógico
relacionados a sistemas de informação e controles de acesso físico.
• Uma avaliação de riscos poderia ser usada para determinar quão restritos esses
controles de acesso devem ser de forma a limitar os riscos identificados
relacionados com o acesso aos ativos.
• Convém que uma política de controle de acesso seja estabelecida,
documentada e revisada com base nos requisitos de segurança corporativa e
de informação.
• As autorizações são normalmente concedidas pela pessoa responsável pelo
ativo.
• A autorização é constituída por um conjunto de permissões:
• Permissão apenas para ler um arquivo
• Permissão para ler e alterar
• Permissões para realizar pagamentos a fornecedores

Slide 28
 Como é feita a concessão de acesso

Conceder acesso a
usuários autorizados Identificação Autenticação Autorização
1 2 3
envolve uma série de
etapas que incluem a
identificação,
autenticação e a Uma pessoa apresenta a sua O sistema verifica se o usuário faz O sistema verifica os recursos aos
identificação única, por exemplo, parte do sistema e então solicita uma quais o acesso tem direito com
autorização do senha. Se senha conferir com o base nas permissões anexadas ao
um número de conta ou nome de
usuário para acessar usuário. usuário registrado, então o usuário é usuário autenticado
um recurso. autenticado.

Slide 29
Gerenciamento de identidade
O gerenciamento de acesso do usuário incorpora as atividades
necessárias para evitar que os ativos sejam acessados ​por usuários
não autorizados e para garantir que eles sejam acessíveis apenas para
usuários autorizados.
Para isso, é necessário ter as seguintes atividades:
• Registro e cancelamento de registro do usuário;
• Provisionamento de acesso do usuário;
• Gestão de direitos de acesso privilegiado;
• Gestão de informações de autenticação secreta de usuários;
• Revisão dos direitos de acesso do usuário;
• Remoção ou ajuste dos direitos de acesso.

Slide 30
Informação de autenticação
• Deve haver um processo para aconselhar o pessoal sobre como criar senhas
seguras e como armazenar senhas seguras.
• A organização precisa ter procedimentos e ferramentas para garantir
senhas ou números de identificação pessoal (PINs).
• As senhas padrão de fábrica nos sistemas devem ser desativadas e
substituídas para novos usuários e senhas.

Slide 31
Direitos de acesso
• Ao configurar um sistema de controle de acesso, deve-se levar em consideração
quem precisa de acesso à informação.
• Restringir o acesso à informação é sempre um ato de equilíbrio.
• Restringindo o acesso à informação com muito rigor geralmente leva os usuários a
serem impedidos de realizar suas tarefas.
• Por outro lado, não estabelecer restrições suficientes no acesso à informação
significa que há uma chance maior de que pessoas não autorizadas tenham acesso
a informações às quais não deveriam ter acesso.

Slide 32
Formas de controle de acesso lógico
• Um número de diferentes
conceitos estão disponíveis para
implementar o controle de
acessos dentro de um sistema
automatizado.
Os principais tipos de controle de acesso são:
• O tipo de controle de acesso
que deve ser aplicado a um
ativo necessita ser determinado Controles de acesso
pelo proprietário do ativo.
• Uma vez que o tipo de controle
de acesso é escolhido, este Discricionário Mandatório Baseado em papéis Baseado em
precisa ser implementado pelo requisitos
desenvolvedor do sistema ou
administrador do sistema.

Slide 33
Formas de controle de acesso lógico

Controle de Acesso Discricionário(CAD) Controle de Acesso Baseado em Papéis(CABP)

• Um proprietário de dados e usuários individuais • As atribuições são baseadas no papel do
são capazes de definir quais acessos serão individuo na organização.
permitidos aos seus dados, independentemente
• Exemplo: o gerente do projeto tem acesso a todas
da política, com seus próprios critérios.
as informações do seu projeto. Já os membros
• O controle de acesso é feito no próprio objeto a tem acesso limitados.
ser protegido (arquivo, diretório, módulo de um
aplicativo, etc.).
Controle de Acesso Baseado em
Controle de Acesso Mandatório (CAM) Requisitos(CABR)
• Permissões são derivadas de uma política.
• Cada individuo recebe requisitos de acesso
• Exemplo: uma politica pode afirmar que um individualizados.
usuário pode acessar um diretório somente se ele
• É mais flexível que a CABP.
está trabalhando no projeto relacionado.

Slide 34
Planejamento e preparação para incidentes de segurança da informação

• Toda organização deve estar preparada para incidentes de segurança.

• Incidentes de segurança podem surgir de ações humanas inconscientes e
ações humanas conscientes (tanto de dentro do organização ou de fora).
• Os incidentes de segurança também podem ter um impacto técnico ou
natural causa.
• Para estar bem preparado, deve haver procedimentos em vigor nos quais
o direito responsabilidades são atribuídas.

Slide 35
Definindo um incidente de segurança da informação

Quando você começa a configurar o gerenciamento de incidentes, primeiro é importante

determinar o que você quer dizer com incidentes de segurança.

Incidente de segurança da informação

Indicado por um simples ou por uma série de eventos de
segurança da informação indesejados ou inesperados, que
tenham uma grande probabilidade de comprometer as operações
do negócio e ameaçar a segurança da informação.

Fonte: ISO /IEC 27000:2018

Slide 36
Exemplos de incidentes de segurança
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• Alguém esqueceu um • Uma porta que deve ser mantida

documento confidencial na trancada foi deixada aberta
impressora
• Um funcionário violou uma política
• Um arquivo com informações de segurança
pessoais desapareceu
• O monitor do PC está mostrando
• Há um cheiro estranho na sala mensagens estranhas.
onde a trituradora de papel é
mantida

Slide 37
Objetivos do processo de gerenciamento de incidentes

Gerenciamento de incidente de
segurança da informação
Detectar
Processos para detectar, relatar, avaliar,
responder, tratar e para aprender com incidentes
de segurança da informação. Aprender Relatar
Fonte: ISO /IEC 27000:2018

Objetivos do gerenciamento de incidentes:

• Garantir que os incidentes e as deficiências relacionadas
aos sistemas de informação são conhecidas para que Tratar Avaliar
medidas possam ser tomadas em tempo hábil.
• Obter informações sobre os incidentes e para aprender
lições com eles para o futuro. Responder

Slide 38
Tipos de escalação de incidentes
MELHOR de acordo com o livro Foundations of
Podem existir dois tipos de repasse de PRÁTICA Information Security

incidentes:
• Escalação funcional (horizontal) Informação/suporte
• Incidente é repassado para quem tem mais (Escalação hierárquica)
conhecimento para lidar com ele.
Central
de serviço

• Escalação hierárquica (vertical)

• Quando é necessário alguém com mais
autoridade para tomar uma decisão.

Conhecimento
(Escalação funcional)

Yes

Slide 39
Notificação de eventos de segurança da informação
• Convém que todos os funcionários e partes externas sejam alertados
sobre sua responsabilidade de notificar qualquer evento de segurança
da informação o mais rapidamente possível.
• Convém que eles também estejam cientes do procedimento para notificar os eventos de segurança da
informação e do ponto de contato, ao qual os eventos devem ser notificados.
• Situações a serem consideradas para notificar um evento de segurança da informação incluem:
• controle de segurança ineficaz
• violação da disponibilidade, confidencialidade e integridade da informação
• erros humanos
• não-conformidade com políticas ou diretrizes
• violações de procedimentos de segurança física
• mudanças descontroladas de sistemas
• mau funcionamento de software ou hardware
• violação de acesso.

Slide 40
Motivos para relatar incidentes de segurança

• A área responsável poderá responder rapidamente.

• Notificação de incidentes de segurança é essencialmente uma
forma de aprender com eles de modo a evitar que incidentes
semelhantes voltem a ocorrer.
• Relatórios de incidentes também são úteis ao realizar uma
análise de risco.
• Pode ser que as medidas tomadas até agora não sejam suficientes
para evitar alguns incidentes.
• Relatar um incidente não tem como propósito ser uma forma
de punir o autor desse incidente.

Slide 41
Formulário para relatar incidentes de segurança
MELHOR de acordo com o livro Foundations of
• Um formulário de relato de incidentes convém, no PRÁTICA Information Security
mínimo, permitir que as seguintes informações
sejam preenchidas:
• Data e hora
• Nome da pessoa que está reportando
• Localização (onde está o incidente?)
• Descrição do incidente (vírus, roubo, arrombamento,
perda de dados, etc.)
• Efeito do incidente
• Como o incidente foi descoberto
• E, se possível, mais as seguintes informações:
• Tipo de sistema (desktop, impressora, servidor de e-
mail, etc.)
• Número/nome do sistema, se houver
• Quem mais foi informado
Slide 42
Procedimentos para lidar com incidentes
MELHOR de acordo com o livro
PRÁTICA Foundations of Information
Security

• As instruções sobre o que fazer em caso de um incidente são geralmente formalizadas em procedimentos
publicados.
• Tal procedimento pode incluir:
• A análise do incidente, descrevendo a causa.
• Quais medidas devem ser tomadas para minimizar as consequências do incidente.
• Determinar se são necessárias medidas corretivas para evitar que o incidente ocorra novamente e, em caso
afirmativo, quais são estas medidas.
• Quais partes devem ser informadas em caso de um incidente – estas poderiam ser aquelas que estão afetadas
ou que ajudam a resolver o incidente.
• O que é relatado sobre o incidente e para quem.
• Procedimento de escalação no caso da situação se agravar ou não for resolvida em tempo hábil.

Slide 43
Definindo níveis de severidade para os incidentes
• Crítico
• Um problema relacionado a um processo de negócio que causa a perda total de uma missão crítica serviço em um
ambiente ao vivo ou de produção.
• Alto
• Uma Severidade Alta é atribuída a um Incidente que está causando uma perda significativa de serviço e nenhuma
solução alternativa está disponível.
• Médio
• Uma Severidade Média é atribuída a um Incidente que não está causando nenhuma perda, ou apenas uma perda
muito pequena perda no serviço.
• Baixo
• Uma Severidade Baixa é atribuída a uma questão relativa à operação de um produto ou a uma alteração sugerida
para um produto ou para a documentação do produto.

Slide 44
Coletando provas (em incidentes)
• A organização deve estabelecer e implementar
procedimentos para a identificação, coleta, aquisição e
preservação de evidências relacionadas à segurança da
informação eventos.
• O objetivo é garantir uma gestão consistente e eficaz das
evidências relacionados ao incidente.
• É sempre importante encontrar a lacuna entre a
necessidade de voltar aos negócios o mais rápido possível
e, por outro lado, ter a possibilidade de encontrar o
causador agente e levá-lo à justiça.

Slide 45
Prontidão da TI para continuidade de negócio
• Dependendo da extensão do
incidente e do seu impacto no 1
negócio, pode ser necessário invocar
um plano de continuidade de negócio Identificam-se processos e serviços de
negócio críticos para a organização.
(PCN).
• Para elaborar PCNs e planos de
recuperação de TI, é necessário ter 2
um processo de Gerenciamento de Consequências de desastres, incidentes
Continuidade de Negócio (GCN). e falhas são avaliadas em uma Análise
de Impacto no Negócio (AIN).

Elabora-se um plano de continuidade 3

com as informações exigidas pelos
processos e serviços críticos do
negócio.

Slide 46
Segurança da informação com fornecedores
Algumas das principais formas recomendadas incluem:
• Monitorar, revisar e auditar regularmente a entrega de serviços dos
fornecedores para garantir a conformidade com os termos e condições de
segurança da informação.
• Certificar os fornecedores por meio de um organismo independente, como a
ISO 27001 para o sistema de gestão de segurança da informação e a ISO 9001
para o sistema de gestão da qualidade.
• Gerenciar mudanças nos serviços dos fornecedores, considerando a
criticidade das informações, sistemas e processos envolvidos, e reavaliar os
riscos.
• Atualizar os Acordos de Nível de Serviço (SLAs) conforme necessário,
especialmente em caso de mudanças nos serviços oferecidos pelos
fornecedores.
• Incluir cláusulas nos contratos que estabeleçam a responsabilidade do
fornecedor pela conformidade dos subcontratados com a política de
segurança da organização.
Slide 47
Outros controles organizacionais na ISO/IEC 27002:2022
• Políticas de segurança da informação
• Papéis e responsabilidades pela segurança da
informação
• Responsabilidades de gestão
• Contato com autoridades
• Contato com grupos de interesse especial
• Abordagem da segurança da informação nos
contratos com fornecedores
• Segurança da informação no relacionamento
com fornecedores
• Gerenciando a segurança da informação na
tecnologia da informação e comunicação (TIC)
cadeia de suprimentos
• Monitoramento, revisão e gerenciamento de
mudanças dos serviços do fornecedor
• Segurança da informação para uso de serviços
em nuvem
• Requisitos legais, estatutários, regulamentares e
contratuais
• Direitos de propriedade intelectual
• Proteção de registros (Logs )
• Privacidade e Proteção de Dados Pessoais (DP)
• Análise crítica independente da segurança da
informação
• Conformidade com as políticas, regras e padrões
de segurança da Informação:
• Procedimentos operacionais documentados
Slide 48
Parte 3

Controles de pessoas

Slide 49
Seleção de candidatos
• Quando uma pessoa se candidata a um emprego que envolve trabalhar
com informações confidenciais, então referências, identidade e
diplomas devem ser verificados.
• Em alguns países é possível obter um certificado de boa conduta.
• Se uma pessoa cometeu um crime, isso pode ser trazido à luz,
tornando obrigatório o preenchimento de uma “ficha limpa”.
• Esses certificados podem ser emitidos pelo Departamento de Justiça ou
alguma outra organização no seu país.

Slide 50
Termos e condições de contratação
• Toda organização deve ter necessidades específicas de segurança da informação anotadas
em política e procedimentos e essas regras devem ser mencionadas em acordos
contratuais com pessoal.
• Dessa forma, o pessoal sabe quais são suas obrigações de segurança da informação e as
responsabilidades são.
• Essas obrigações devem mencionar:
• Se houver manipulação de informações confidenciais, um NDA deve ser assinado.
• Processo disciplinar em caso de violação.
• Regras e regulamentos relativos ao tratamento de informações de terceiros.
• Respeitar as leis e regulamentos, como leis de privacidade, leis de direitos autorais,
etc.
• Como lidar com ativos, informações e equipamentos da organização.

Slide 51
Conscientização, educação e treinamento em segurança da
informação
• Uma das medidas mais eficazes para a segurança da informação é que o pessoal
tenha que participar de um treinamento de conscientização de segurança ao
entrar no emprego.
• Este curso pode ser parte de seu treinamento de integração.
• Após o treinamento de integração, também deve haver cursos de
conscientização para pessoas que se transferem para outro cargo dentro da
organização com diferentes responsabilidades.

Slide 52
Responsabilidades após encerramento ou mudança da
contratação
• Pode ser necessário que, após rescisão ou mudança de emprego, algumas
responsabilidades de segurança da informação ainda se apliquem ao pessoal
envolvido, por exemplo, garantir a confidencialidade do conhecimento sobre
procedimentos de segurança ou outros segredos dentro da organização.
• Se for esse o caso, isso deve ser abordado nos acordos de confidencialidade e
também talvez nos termos e condições de emprego e em contratos com
fornecedores e pessoal externo.

Slide 53
Acordos de confidencialidade ou não divulgação
• Em todos os casos, todo o pessoal com uma posição que envolva confidencialidade
deve assinar um acordo de confidencialidade (NDA).
• Um acordo de confidencialidade pode conter:
• Declarações sobre a proteção de informações
• Período em que as informações não devem ser divulgadas
• A propriedade da informação
• Como e quando a informação confidencial pode ser usada
• Como a pessoa deve relatar sobre divulgação não autorizada
• Processo disciplinar ou ações em caso de violação.

Slide 54
Trabalho remoto
• Qualquer organização que permita o teletrabalho dos seus colaboradores só o deve
fazer com base numa avaliação dos riscos que isso representa.
• É necessário ter uma política de teletrabalho, que pode conter:
• Autorização e autenticação, usando autenticação multifator;
• Provisão para segurança de equipamentos e equipamentos, anti-malware,
segurança de endpoint (laptop, computador pessoal, etc.);
• Segurança da informação em teletrabalho;
• Aspectos de segurança física do trabalho em um local diferente;
• Como proteger as comunicações;
• Como usar tecnologias de acesso remoto como desktops virtuais e VPN;

Slide 55
Relato de eventos de segurança da informação
• A equipe da empresa pode desempenhar um papel importante na detecção de deficiências na segurança e perceber
incidentes de segurança.
• Eles são, afinal, os primeiros a ver incidentes como:
• Alguém deixou um documento confidencial na impressora.
• Um arquivo com informações pessoais desapareceu.
• Há um odor incomum na sala onde a destruidora de papel é mantida.
• Uma porta que deveria estar trancada foi deixada aberta.
• m colega está se comportando de forma irregular.
• O monitor do PC está exibindo mensagens estranhas.
• O PC não é bloqueado ao sair do escritório.

Slide 56
Parte 4

Controles físicos

Slide 57
Anéis de proteção
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
As medidas de
segurança física
podem ser O anel externo: área em torno
colocadas em Cerca Anel externo das instalações da
organização.
prática observando

Sensibilidade da informação
os anéis de Parede Edifício / O edifício / construção: acesso
proteção. externa
construção às instalações.

Parede Local de O local de trabalho: as salas

trabalho
interna dentro das instalações,
também conhecido como anel
interno.
Armário Objeto O objeto: o ativo que deve
/ cofre
estar protegido.

Slide 58
Anel externo
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• Circunda o estabelecimento comercial e pode

ser protegido por
Anel externo
• Barreiras naturais
• Densa vegetação ou um rio.
• Barreiras arquitetônicas Edifício /
construção
• Cercas ou muros.
• Deve permitir somente o acesso a pessoas Local de
trabalho
autorizadas.
• Verificação pessoal.
• Verificação eletrônica.
Objeto

Slide 59
Edifício / Construções
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• Inclui medidas de arquitetura, tais

Anel externo
como:
• Janelas
Edifício /
• Portas construção
• Outras aberturas importantes.
Local de
• Convém que as medidas estejam trabalho
em consonância com o nível de
proteção exigido pela organização.
Objeto

Slide 60
Controles de entrada física
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• A área entre o anel externo e os estabelecimentos

comerciais (anel interno) pode ser usada para
vigilância por um guarda de segurança e para serviços auxiliares, tais como estacionamento.
• Convém que essas áreas tenham a iluminação adequada e, possivelmente, câmeras de vigilância.
• Existem várias opções disponíveis para gerenciar o acesso a estabelecimentos comerciais:
• Guardas de segurança
• É a medida mais cara
• Pode ser complementada com sensores e câmeras monitorados remotamente.
• Gerenciamento eletrônico de acesso
• Uso de fechaduras com sistemas de cartão RFID e de código.
• Uso de crachás com foto
• Único para cada proprietário.
• Convém não colocar nome da empresa ou logotipo.
• Convém serem usados de forma visível.

Slide 61
Controles de entrada física em salas especiais

Para salas especiais,

medidas de autenticação Algo que Algo que Algo que é parte de
você sabe você possui você (biometria)
rigorosas também podem
ser utilizadas – além dos
crachás de identificação –
onde são necessárias
medidas de segurança
adicionais, utilizando:
um código PIN um cartão magnético impressão

Slide 62
Protegendo escritórios, salas e instalações
MELHOR de acordo com o livro Foundations of
É importantes manter pessoas não autorizadas longe dos locais PRÁTICA Information Security
onde os ativos estão localizados.
• Podem ser utilizadas as medidas já apresentadas
anteriormente. Anel externo

• Convém não indicar as finalidades de certos locais.

Edifício /
Quando os locais são usados ​para processar informação construção
confidencial, é importante assegurar que não seja possível que
pessoas do lado fora consigam espreitar.
Local de
• Conversas em salas de reuniões trabalho
• Não podem ser audíveis no lado de fora.
• Ninguém pode visualizar o que está sendo apresentado
• Se a informação é processada eletronicamente, proteger a Objeto
sala de radiação eletromagnética.

Slide 63
Outras medidas para áreas seguras
Proteção contra ameaças externas e
ambientais
• Convém haver medidas de proteção física para se
proteger contra quaisquer ameaças externas, tais
como incêndios, inundações, explosões e etc..
• É indicado procurar aconselhamento especializado
sobre esta questão.
Trabalhando em áreas protegidas
• Cada espaço de trabalho pode ter sua própria
função específica e assim estaria sujeito às suas
próprias medidas de segurança.
Exemplo: em um edifício público, como uma prefeitura,
pode-se entrar nas áreas públicas do edifício, mas os
escritórios não são acessíveis para todos.
Slide 64
Segurança em equipamentos
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

Localização e proteção do equipamento

Anel externo
• Para salas no térreo e outras salas especiais, vários
tipos de métodos de detecção de intrusos podem ser
Edifício /
introduzidos. construção
• O método mais utilizado é o infravermelho passivo.
• Convém que o acesso a salas especiais seja Local de
trabalho
monitorado, preferencialmente incluindo essas salas
como parte do sistema geral de controle de acesso
das instalações.
• Convém que mídias, como fitas de back-up sejam Objeto
armazenadas em locais diferentes da sala dos
servidores para evitar situações de desastre.

Slide 65
Segurança em equipamentos
Armários resistentes a fogo e
armários de segurança
• São formas simples de armazenar
objetos.
• Precisam ser trancados se
manterem informações sensíveis.
• Armários resistentes a fogo são
indicados para armazenar fitas de
back-up, documentos em papel e
dinheiro.
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Sala de servidores e Umidade
de rede • Qualquer sala dedicada a
• Merecem um atenção equipamentos (usada para
separada. impressoras, redes e etc.)
convém controlar a umidade.
• Observar controles de
umidade e calor. • Garantir que não há tubulações
de água e equipamentos de
aquecimento central instalados
nestas salas.
• Se houver refrigeração com uso
de água, as tubulações precisam
ser inspecionadas regularmente.
Slide 66
Segurança em equipamentos
Proteção contra incêndio
• Há requisitos obrigatórios de proteção contra
incêndios que devem ser cumpridos.
• O incêndio é uma ameaça que sempre pode
ocorrer e pode começar de várias maneiras:
• Curto-circuito, caldeiras defeituosas, através da
ação humana, equipamento defeituoso e etc..
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Sinalização
• A fim de sinalizar a presença do fogo, alarmes
de fumaça são normalmente utilizados e são
tipicamente ligados a um sistema separado.
• É muito importante que os alarmes de fumaça
sejam verificados regularmente.
• Convém realizar regularmente exercícios de
incêndios e de evacuação para que todo mundo
esteja familiarizado com o som do alarme e os
procedimentos de evacuação.
Slide 67
Segurança em equipamentos
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Agentes de extinção de incêndios
• Eliminam o fogo.
• Os vários agentes de extinção de incêndios incluem:
• Gases inertes tais como: dióxido de carbono e argônio (um tipo
de gás nobre).
• Inergen (nome da marca) e Argonite (nome de marca) - estes
são conhecidos como sistemas de inundações.
• Espuma - à base de água, não é adequado para a eletricidade.
• Pó - adequado para eletricidade, mas danifica metais.
• Água - não adequado para eletricidade.
• Areia - adequado para óleo.

Slide 68
Segurança em equipamentos
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

Energia de emergência Resfriamento

• Em salas de servidores é aconselhável a • Em salas de servidores, o ar tem de ser
utilização de várias fontes de alimentação resfriado e o calor produzido pelo
independentes. aparelhos deve ser transportado para fora.
• Outras: baterias ou uma fonte de alimentação • Este ar também precisa ser desumidificado
ininterrupta (UPS-Uninterruptible Power Supply). e filtrado.
• É aconselhável ter também um gerador para
fornecer energia de emergência para qualquer falha
que dure mais tempo do que aquele que a bateria
possa suportar.
• Importante que os geradores sejam testados
regularmente.

Slide 69
Segurança em equipamentos
Segurança de cabeamento
• Os cabos precisam ser dispostos de tal maneira
que nenhuma interferência entre os cabos
separados possa ocorrer.
• A interferência ocorre quando os cabos de rede
recebem ruído e energia estática de outros cabos
de energia que estão paralelos.
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Manutenção de equipamentos
• Convém ser realizada por pessoal autorizado com
treinamentos apropriados.
• O pessoal autorizado também deve estar ciente
de eventuais requisitos decorrentes de apólices
de garantia.
• Uma parte da manutenção consiste em
inspecionar e testar equipamentos antes de
introduzi-los no ambiente operacional.
• Convém que um plano de testes esteja
configurado e avaliado para ativos importantes.
Slide 70
Segurança em equipamentos
MELHOR de acordo com o livro Foundations of
Remoção de ativos PRÁTICA Information Security

• Convém ser claro para os funcionários de uma organização como

eles devem lidar com mídias de armazenamento
• Incluem PCs, laptops, smartphones, cartões de memória, pen-drives,
discos rígidos, etc.
• Medidas específicas podem ser aplicadas a certos equipamentos.
• Exemplo: eliminação de informações confidenciais quando um
funcionário é desligado da empresa.
• É importante, caso um funcionário deixe a empresa, que todos os
seus equipamentos sejam devolvidos e as informações contidas
neles excluídas.
• Convém haver procedimentos claros para quando tal equipamento
for perdido ou roubado.

Slide 71
Segurança em equipamentos
MELHOR de acordo com o livro Foundations of
Segurança de equipamentos e ativos fora do PRÁTICA Information Security

escritório
Orientações de segurança importantes:
• Não deixar equipamento ou mídias abandonados
• Convém que seja seguida a orientação do fabricante do
equipamento a respeito do manuseio da mídia e do
equipamento
• Manter um registro de quem está com o
equipamento/ativo
• Convém que controles e orientações adicionais estejam
disponíveis a respeito de como lidar com equipamentos e
ativos, dependendo da localização e a respeito do
formato de armazenamento dos dados.

Slide 72
Segurança em equipamentos
Eliminação segura ou reutilização de
equipamentos
• Convém que as medidas de segurança
incluam a eliminação dos formatos de mídia,
criptografar os portadores de mídia ou limpar
a mídia nos portadores caso os dados já não
tenham mais relevância.
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
Equipamentos desacompanhados de
usuários
• Evitar que pessoas não autorizadas acessem
serviços/ativos, por exemplo:
• Encerrar sessões ativas quando terminar
• Efetuar o log-off de aplicativos ou serviços de
rede quando eles não são mais necessários
• Bloquear a tela/acesso por um mecanismo de
segurança
Slide 73
Parte 5

Controles de tecnologia

Slide 74
Dispositivos de Endpoint do Usuário
• É aconselhável ter regras para dispositivos endpoints de usuário (laptops, tablets,
celulares, etc.) quando usados para trabalho na empresa.
• Ocorrem muitos incidentes que envolvem dispositivos endpoint, especialmente
quando eles são usados ​fora da empresa ou quando são muito fáceis de transportar.
• Laptops são roubados de carros todos os dias.
• Dispositivos com informações comerciais importantes, confidenciais ou críticas não
devem ser deixados desacompanhado.
• Muito melhor é não armazenar informações confidenciais em dispositivos móveis.
• Adote uma política de segurança que descreva técnicas como pegada zero,
tunelamento, proteção contra malware, controle de acesso, restrição de instalação
de software, registro de dispositivos, criptografia, backups, patches, proteção e
treinamento de usuários.
• Os usuários NÃO devem usar seus dispositivos móveis em locais públicos e outras
áreas desprotegidas.

Slide 75
Direitos de acesso privilegiado
O gerenciamento de usuários e acessos privilegiados incorpora as atividades necessárias para impedir que os ativos sejam
acessados ​por usuários não autorizados e garantir que eles sejam apenas acessível para usuários autorizados.

Para isso, é necessário ter as seguintes atividades:

• Registro e cancelamento do registro do usuário;
• Provisionamento de acesso de usuários;
• Gestão de direitos de acesso privilegiado;
• Gerenciamento de informações secretas de autenticação de usuários;
• Revisão dos direitos de acesso do usuário;
• Remoção ou ajuste de direitos de acesso;
• O log (registros) deve estar em vigor.

Slide 76
Restrição de acesso à informação
• Ao configurar um sistema de controle de acesso, deve-se levar em
consideração quem precisa de acesso à informação.
• Restringir o acesso à informação é sempre um ato de equilíbrio.
• Os procedimentos de logon seguro também fazem parte dos controles
de acesso a sistemas e aplicativos.
• Para ajudar os usuários a detectar se alguém está usando sua conta, uma
mensagem pode ser exibido após o login bem-sucedido, o que indica a
última vez que houve uma conexão bem-sucedida login e também
mostra todas as tentativas malsucedidas de login.
• Um bom sistema de gerenciamento de senhas pode ajudar um usuário a
manter suas senhas.

Slide 77
Controle de acesso ao código-fonte
• Para manter os aplicativos e sistemas protegidos contra alterações
não autorizadas ou acidentais também é importante ter controles
de acesso rígidos ao código-fonte e informações relacionadas (como
projetos de alto nível, requisitos, especificações, planos de teste).
• Outro motivo para ter um controle de acesso estrito ao código-fonte
é proteger qualquer propriedade intelectual propriedade que é
usada para desenvolver sistemas e aplicativos.
• O acesso ao código-fonte deve basear-se apenas nas necessidades e
o registro de auditoria deve estar disponível para monitorar todas as
alterações no código-fonte.

Slide 78
Autenticação segura
• A autenticação do usuário deve ser secreta.
• Normalmente, diz respeito ao nome de usuário e senha na tela do computador, cujas janelas são mostradas ao mesmo
tempo.
• O nome de usuário geralmente é um endereço de e-mail ou um número de funcionário.
• As senhas precisam ser difíceis de serem descobertas. Algumas dicas:
• Crie uma senha de pelo menos doze caracteres.
• Use uma combinação de maiúsculas, minúsculas, números e caracteres especiais (@, #, &, ?, !, +, -, €, %, etc.).
• Crie a chamada frase secreta (em vez de uma senha), que consiste em quatro ou mais palavras escritas juntas.
• Não use informações pessoais na senha que possam ser facilmente rastreadas por outras pessoas (por exemplo,
seu nome, endereço ou local de nascimento).
• Não use palavras óbvias, muito menos palavras que possam ser associadas a você (como hobbies).
• Consulte o site “ ' para ver se a senha aparece nas listas de senhas invadidas.
• Use uma senha diferente para cada serviço.

Slide 79
Gerenciamento de capacidade

• É necessário identificar e monitorar os requisitos de capacidade

dos sistemas de TI da organização para evitar a distorção
indesejada devido à falta de banda larga, espaço em disco,
alocação de memória e poder de processamento.
• Gerenciamento de capacidade é também sobre como definir e
monitorar o espaço de banco de dados e de desempenho e
consumo de memória.
• Um cuidado especial deve ser tomado para sistemas de missão
crítica.
• Na ITIL há um processo definido para o gerenciamento da
capacidade.

Slide 80
Proteção contra malware, phishing e spam

Phishing Spam Malware

Slide 81
Gestão de vulnerabilidades técnicas
• Uma vulnerabilidade técnica é uma fraqueza em um sistema de computador
que permite que um invasor para atacar o sistema de computador
vulnerável.
• Existem muitas vulnerabilidades encontradas por hackers éticos ou por
coincidência.
• Todo sistema de computador tem vulnerabilidades, às vezes conhecido e às
vezes desconhecido pelo proprietário.
• É importante que o quanto antes quando uma vulnerabilidade é conhecida,
medidas apropriadas sejam tomadas para impedir que invasores explorando
a vulnerabilidade.

Slide 82
Gestão de configuração
• Um bom processo de gestão de configuração fornece uma visão geral
de quais sistemas/programas existem e qual versão eles têm, mas
também quais configurações de segurança existem e quais
configurações de rede.
• No momento em que uma vulnerabilidade é encontrada, é possível
procurar rapidamente onde essa vulnerabilidade ocorre em todos os
lugares.
• O gerenciamento de configuração visa ter uma visão geral de todos
os ativos da organização. Essa visão geral é crucial para outros
processos, como gerenciamento de incidentes, gerenciamento de
patches e gerenciamento de mudanças.

Slide 83
Exclusão de informações
• Se a informação não for mais necessária, ela deve ser excluída,
independentemente de onde ou como a os dados são armazenados.
• As informações que não são mais necessárias dentro da organização devem ser
removidas para evitar divulgação acidental dessas informações, mas também para
usar ou processar involuntariamente informações incorretas.
• As informações podem ocorrer em dispositivos, em mídia de armazenamento ou
sistemas de TI.
• Algumas informações podem não ser removidas devido, por exemplo, à legislação,
mas também é possível que dentro da legislação, política ou acordos contratuais
informações devem ser removidas se não forem mais necessárias.

Slide 84
Mascaramento de dados
• O mascaramento de dados deve ser usado de acordo com a política da
organização, como por exemplo, no contexto da segurança de acesso, mas a
legislação também pode garantir que os dados o mascaramento é a única
maneira de processar ou armazenar dados confidenciais.
• Se dados confidenciais precisam ser protegidos contra divulgação não
autorizada ou porque isso dados consistem, por exemplo, em dados pessoais
sensíveis, então o uso de técnicas que mascarar os dados ou técnicas de
pseudonimização ou anonimização devem ser consideradas.

Slide 85
Prevenção de vazamento de dados
• Vazamentos de dados podem ocorrer em dispositivos, redes, onde os dados são trocados e onde as pessoas trabalham
com dados.
• A prevenção de vazamentos de dados garante que o risco de vazamentos de dados é minimizado.
• Do ponto de vista pessoal, os vazamentos de dados são inevitáveis.
• Para reduzir o risco de violação de dados, deve-se considerar o seguinte:
• Identificar e classificar todos os dados sensíveis;
• Avaliar o risco de partes externas;
• Monitoramento de todo o tráfego de rede;
• Monitoramento de todos os dados;
• Usar ferramentas para evitar a cópia, transferência ou upload de dados;
• Proteção de terminais;
• Senhas fortes;
• Criptografia de dados em repouso e em trânsito;
• Configurar e manter o controle de acesso lógico;
• Educação e treinamento do usuário.

Slide 86
Back-up de informações

• O propósito de fazer back-ups (ou cópias de segurança) é

manter a integridade e a disponibilidade dos serviços de
informação e de computação.
• As consequências da perda de informação dependem da idade
da informação que pode ser recuperada a partir do back-up.
• Por isso é importante considerar o intervalo entre os back-
ups.
• Quanto tempo podemos nos permitir para mais uma
vez gerar a informação que foi perdida.
• É importante que o back-up seja testado regularmente.
• Além de realmente fazer e testar back-ups, também é
necessário considerar como os back-ups são manipulados.

Slide 87
Redundância dos recursos de processamento de
informações
Para lidar com incidentes, podemos ter redundância dos recursos de
processamento de informações:
• Local redundante: pode conter uma cópia do centro de computação.
• Local quente sob demanda: um ou mais caminhões contendo todos os
equipamento necessários para um centro de computação temporário.
• Espaços de trabalho alternativo: os funcionários podem trabalhar em
uma sala alternativa se necessário.
• Medidas de pessoal: os planos podem considerar substituir pessoas em
caso de desastre.

Slide 88
Logs
• Com o aumento de ataques de malware, mas também mau comportamento
intencional e não intencional dos usuários, é necessário ter capacidade de
registrar eventos e gerar evidências.
• Sistemas de informação e infraestrutura de TI geram informações de log para
muitas atividades, às vezes como um relatório de status normal, às vezes por
causa de uma atividade de um usuário ou administrador, mas também
informações resultantes de circunstâncias imprevistas ou erros.
• Um log descreve o que acontece nos sistemas.
• Um log deve exibir o seguinte, os chamados 5 Ws:
• (WHAT) O que aconteceu?
• (WHEN) Quando isso aconteceu?
• (WHERE) Onde isso aconteceu?
• (WHO) Quem esteve envolvido?
• (WHERE) De onde isso veio?

Slide 89
Atividades de monitoramento
• Logs e monitoramento vão de mãos dadas.
• Se não houver registro, o monitoramento não poderá ocorrer.
• Monitoramento de redes, hardware, sistemas, aplicativos e bancos de dados, em todos os lugares onde os usuários
(interativamente) e aplicativos executam ações serve para poder detectar se um incidente.
• O que monitorar:
• Ações de administrador;
• Processos e sistemas críticos e arquivos de configuração;
• Acesso a servidores, bancos de dados, redes e aplicativos;
• Tráfego de entrada e saída;
• Log de ferramentas de segurança;
• Utilização de recursos.

Slide 90
Fazendo uso de criptografia

Criptografia Kryptós Gráphein

• Foi muito usada pelos romanos para transmitir mensagens

militares.
• A principal razão para usar a criptografia é que ela é
muitas vezes vista como um meio para manter a
informação confidencial.
• Dependendo da capacidade de um sistema criptográfico, a
criptografia pode ser utilizada para outros fins também:
• Manter a integridade, autenticidade e não repúdio.

Slide 91
Tipos de criptografia
A fim de fazerem uso de um
sistema de criptografia, tanto
o remetente quanto o
destinatário devem usar o Tipos de
mesmo algoritmo acordado. Criptografia

De um modo geral, existem

três formas de algoritmos Simétrica Assimétrica Hash (ou one-way)
criptográficos.

Slide 92
Sistema simétrico de criptografia
• Nesse sistema é fundamental que a chave esteja protegida.
• A mesma chave é utilizada tanto pelo receptor quanto pelo emissor.
• Isso torna o sistema vulnerável caso a chave não esteja bem protegida pelo remetente ou destinatário.
• O risco de a chave ser comprometida aumenta com mais partes envolvidas na troca de mensagens usando
a mesma chave.

Compartilham
Remetente a mesma chave Destinatário
(=5)

Entrada Saída
“KQTW”
“FLOR” Descriptografa “FLOR”
Criptografa
Texto cifrado

Principal característica: existe um algoritmo e uma chave secreta que o

remetente e o destinatário compartilham.
Slide 93
Sistema assimétrico de criptografia
O algoritmo funciona com os chamados pares de chaves:
• A chave privada é responsável pela descriptografia e apenas a chave pública pode criptografar a
mensagem.
• A chave pública pode ser conhecida no mundo todo, enquanto a chave privada é mantida em segredo.
• Por isso é também conhecido como criptografia de chave pública.

Chaves
Remetente diferentes são Destinatário
usadas

Entrada
Chave
Chave secreta Saída
pública “KQTW”
“FLOR” Descriptografa “FLOR”
Criptografa

Texto cifrado

Principal característica: chaves diferentes são usadas ​para a criptografar e para descriptografar.

Slide 94
Sistema assimétrico de criptografia – Formas de uso

O sistema assimétrico pode ser utilizado de duas maneiras.

Criptografar mensagens destinadas para

Assinar a mensagem com a chave
uma pessoa com a sua própria chave
privada
pública

Usando a chave pública do destinatário pode- Apenas o detentor da chave privada associada
se verificar se a mensagem foi originada do com esta chave pública será capaz de
proprietário da chave privada correspondente. descriptografar a mensagem.

Remetente Criptografa com

Remetente Assina com chave pública
chave privada

Descriptografa com
Destinatário
Verifica autenticidade chave privada
Destinatário Slide 95
com chave pública
Assinatura digital
• Criada usando criptografia assimétrica.
• É um método para confirmar se a informação digital foi Remetente Assina com
produzida ou enviada por alguém – como na assinatura por chave privada
escrito em documentos em papel.
• Geralmente consiste em duas chaves: uma privada para
assinar o documento e outra pública para verificar a validade Verifica autenticidade
do documento. Destinatário
com chave pública

• O objetivo é garantir a autenticidade, não repúdio e

integridade.
Estrutura de um documento com
• Em alguns países é considerada igual a uma assinatura por certificado digital
escrito.
• No Brasil, foi instituída em 2001 uma infraestrutura de chaves
públicas visando à identificação de pessoas físicas e jurídicas por Mensagem
meio de assinatura digital.
• E desde 2005 o Poder Judiciário passou a aceitar documentos Chave Assinatura
eletrônicos desde que assinados digitalmente. pública digital
Slide 96
Infraestrutura de Chave Pública (ICP)
Hierarquia simplificada
• Embora a criptografia assimétrica é também referida como
da ICP Brasil
criptografia de chave pública, não é o mesmo que Infraestrutura de
Chave Pública (PKI – Public Key Infrastructure).
• Uma ICP é baseada em criptografia de chave pública e inclui muito Autoridade Certificadora Raiz
mais do que apenas a criptografia.
• Uma característica de uma ICP é a de que através de acordos,
procedimentos e uma estrutura organizacional, há o fornecimento de
garantias a respeito de quais pessoas ou sistemas pertencem a uma AC - Autoridade Certificadora
chave pública específica.
• A ICP é muitas vezes gerenciada por uma autoridade independente e
confiável.
• Uma ICP é uma solução para alcançar o não-repúdio. AR - Autoridade de Registro

http://www.iti.gov.br/icp-brasil/estrutura

Slide 97
Componentes de uma ICP
Autoridade
Certificados emididos e Autoridade de
Certificadora revogados Validação (AV)
(AC)
Emissão e
Verifica a
controle de
validade do
certificados
certificado
públicos

Solicita emissão de certificado O certificado é

Certificado
válido?
público

Autoridade de Certificado
público
Registro (AR)
Chave pública Verificação de
Chave privada usuário

Solicita certificado
Pedido
(assinado com
Loja
Usuário Certificado
assinatura
público digital)
Slide 98
Sistema de criptografia Hash (ou one-way)
• É um método considerado irreversível.
• É utilizado principalmente para determinar se os dados se alteraram.
• A mensagem é convertida em hash:
• Uma sequência de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, que
permite a visualização em letras e números (0 a 9 e A a F).
• Usando um algoritmo conhecido, o destinatário pode verificar se a mensagem tem o valor de hash correto.
Se os dois valores de hash coincidirem, a mensagem está inalterada.
• O hash também pode ser utilizado para confirmar que duas mensagens, senhas, por exemplo, são as
mesmas. “03ac674216f3e15c761ee1a5
e255f067953623c8b388b4459
“1234” e13f978d7c846f4”

Criptografia
Usuário informa SHA 256
uma senha em
um website
“03ac674216f3e15c761ee1a5
e255f067953623c8b388b4459
e13f978d7c846f4”
Senha armazenada
no banco de dados
Slide 99
Política de criptografia
O uso de criptografia tem
de ser cuidadosamente
analisado e definido em um
documento de política.
Esta política é a base para
determinar como aplicar a
criptografia no âmbito dos
sistemas de informação da
organização.
Convém que este documento contenha, pelo menos, as
seguintes informações:
Para que fins a organização utiliza a criptografia
•Considerar aspectos legais
Quais são os tipos de criptografia que a organização usa, e em que
aplicativos
•Ajuda a evitar incompatibilidades
Controle e gerenciamento de chaves
•É importante manter as chaves seguras
•Possuir políticas de gerenciamento de chaves
Back-up
•É Importante determinar como os dados originais serão acessados
Controle
•Medidas para limitar o uso indevido da criptografia
Slide 100
Gerenciamento de chaves de criptografia
• Convém que as chaves criptográficas sejam protegidas
contra alteração, perda e destruição.
• Convém que as chaves secretas e pessoais sejam protegidas contra divulgação
não autorizada.
• Convém que o equipamento utilizado para gerar e arquivar as chaves seja
protegido fisicamente.
• Registro dos pares de chaves: que par foi emitido para quem e quando.
• Controle de expiração de chaves.
• O que deve ser feito quando uma chave for comprometida.
• Evitar o uso da mesma chave em sistemas diferentes.

Slide 101
Outros controles técnicos na ISO/IEC 27002:2022
• Sincronização do Relógio
• Uso de Programas Utilitários Privilegiados
• Gestão da Instalação de Software em Sistemas
Operacionais
• Segurança de Redes
• Segurança dos Serviços de rede
• Segregação de Redes
• Desenvolvimento terceirizado
• Separação de ambientes de desenvolvimento, teste e
produção
• Controle de Gerenciamento de Mudanças
• Informações de Teste
• Proteção de Sistemas de Informação durante testes de
auditoria

• Filtragem da Web
• Ciclo de vida de desenvolvimento seguro
• Requisitos de segurança do aplicativo
• Arquitetura de sistema seguro e princípios de
engenharia
• Codificação Segura
• Testes de Segurança em Desenvolvimento e Critérios
de Homologação

Slide 102
ISFS
Information Security
Foundation (based on ISO/IEC 27001)

Realização Curso credenciado por

Dificuldade
Atualizado em:

INICIANTE INTERMEDIÁRIO AVANÇADO

23/01/2024
Módulo 4
Peso no exame
7.5%

Legislação e regulamentos

Slide 2
Módulo 5 – Tópicos

Este módulo cobre:

5.1 Importância da legislação e regulamentação para confiabilidade da informação
5.2 Direitos de propriedade intelectual
5.3 Privacidade das informações pessoais
5.4 Proteção de registros da organização e documentos em órgãos públicos
5.5 Prevenção contra uso indevido de recursos de processamento de informação e
instalações de TI
5.6 Organizações e normas relacionadas à segurança da informação
5.7 Auditorias para garantir a conformidade com leis e regulamentos.

Slide 3
Leis e regulamentos impõem a implementação de medidas
de segurança

Algumas medidas (controles) serão opcionais enquanto

outras serão obrigatórias por lei/regulamento

Medidas
• Organizacionais
Análise de riscos Ameaças Riscos • Pessoas Requisitos obrigatórios
• Físicos
podem vir na forma de leis
• Técnicos
trabalhistas, requisitos de
segurança relacionados à TI,
direitos de propriedade
intelectual, leis de direitos
Medidas opcionais autorais, privacidade,
criptografia de dados e leis
Ao planejar um SGSI, você terá que de proteção, entre outros.
considerar toda a legislação obrigatória! Medidas requeridas
por lei ou
regulamento Slide 4
Principais áreas de legislação e regulamentos

É importante compreender que a não Dependendo do setor que empresa atua, ele já pode estar bastante
adoção de medidas razoáveis ​de familiarizada com os regulamentos ou ser algo totalmente novo para
segurança expõe uma empresa não ela.
apenas para cibercriminosos, mas
também pode incorrer em pesadas Legislação que tem Regulamentos que tem
multas ou penalidades dos relação com SI relação com SI
reguladores, ações judiciais por
negligência e exposição indesejada na
mídia que podem afetam Privacidade dos dados Para instituições financeiras
negativamente a imagem, a marca e, (LGPD, GDPR, etc.) (BACEN)
em última análise, o valor da empresa.
Fiscal (SOX) Para hospitais e área de saúde
(Resoluções do Conselho Federal
de Medicina, Lei Nº 13.787
Finanças
sobre integridade de
prontuários)
Trabalhista
Para empresas que negociam
ações em bolsa de valores
Slide 5
(CVM)
Considerando regulamentos nas políticas e procedimentos da empresa
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• Toda empresa precisa observar legislação local, regulamentos e

obrigações contratuais cabíveis ao seu negócio.
• A produção de uma política interna dentro de uma organização é a
forma para se estar em conformidade.
• Procedimentos para a aplicação prática devem ser desenvolvidos
para orientar melhor os funcionários.
• Recomenda-se procurar aconselhamento
jurídico de advogados da organização ou de advogados qualificados.

Slide 6
Considerando a legislação em diferentes países
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

• Organizações multinacionais precisam

observar regulamentos e leis locais e
internacionais.
• Se uma organização for transmitir dados
para outros países, também precisa
observar as legislações entre os países.

Slide 7
Handbook de leis de proteção de dados no mundo

Consulte o site
http://dlapiperdataprotection.com/

Slide 8
Considerando regulamentos no setor público
• A regulamentação aplicável para um órgão do governo é
geralmente específica de cada país e pode incluir regras de
segurança para informações especiais (sensíveis ou
classificadas).
• Informações especiais é um termo para as informações que
precisam de proteção extra com base em sua natureza sensível
que decorre de seu potencial impacto ou risco para a
segurança nacional.
• Por exemplo, a Comissão Europeia tem cinco níveis de
classificação de informações especiais: UE Ultra Secreto, UE
Secreto, UE Confidencial, UE Restrito e UE Conselho/Comissão.
• A OTAN (NATO - North Atlantic Treaty Organization) também tem Cosmic Top Secret, Focal
cinco níveis com termos um pouco diferentes: Ultra Secreta Top Secret, NATO Secret,
Cósmica, Ultra Secreta Focal, OTAN Secreto, OTAN Confidencial e NATO Confidential and NATO
OTAN Restrito. Restricted.
• Veja os graus de classificação no Brasil.

Slide 9
Algumas leis relacionadas à proteção de dados
Lei de registros públicos
Regulamenta o armazenamento de registros públicos (registro civil de pessoas,
empresas, títulos, imóveis, etc.). Ver lei 6.015/73
Lei de proteção de dados Regulamenta o tratamento de informações relacionadas a pessoas. As pessoas
pessoais passam a ter direitos sobre os seus dados.

É uma alteração do código penal para tornar mais fácil lidar com crimes
Lei de crimes cibernéticos cometidos por meio da tecnologia de informação avançada. Ver lei 12.737/12

Lei de acesso público à Regulamenta o acesso dos cidadãos às informações públicas no país. Ver manual
informação governamental da lei de acesso à informação para estados e municípios.

Regulamenta práticas para companhias de capital aberto com ações negociadas

Lei Sarbanes-Oxley
na bolsa de Nova Iorque.

Slide 10
Direitos de propriedade intelectual (DPI)

Propriedade intelectual
Refere-se às invenções em Marcas
todas as atividades do domínio
humano.
Programas de Licenças de
computador código-fonte

Direitos de cópias
de documentos Patentes

Slide 11
Direitos de propriedade intelectual (DPI)
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

As seguintes recomendações podem ser consideradas para proteger material com DPI:
• Publicar uma política relacionada à conformidade com direito de propriedade intelectual ou material com
direitos autorais.
• Manter uma política de conscientização para proteção de direitos de propriedade intelectual.
• Direitos de propriedade intelectual incluem direitos autorais para programas de computadores,
documentos, direitos de projetos, marcas, patentes e licenças de código- fonte.
• Apenas comprar programas de computador de fornecedores bem conhecidos.
• Se código-fonte aberto é usado, o formulário de licença associada precisa ser respeitado e observado.
• Manter um registro de ativos para identificar requisitos de todos os ativos em relação à proteção de
direitos de propriedade intelectual.
• Os programas de computador que estão sujeitos a direitos de propriedade intelectual são normalmente
fornecidos com base em um contrato de licença.

Slide 12
Proteção de registros organizacionais
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security
• Registros e documentos importantes da organização
precisam ser protegidos contra perda, destruição e
falsificação de acordo com requisitos estatutários e
regulatórios.
• Registros precisam ser classificados por tipo.
• Deve-se considerar estratégias e políticas para
• Retenção de dados
• Que pode ser baseada por tipo de dado
• Armazenamento
• Para diferentes mídias
• Processamento
• Descarte
• É necessário comunicar as políticas para os funcionários da
organização.

Slide 13
Proteção e privacidade de informações de identificação
pessoal (IIP)
• Muitas organizações coletam vários dados relacionados à identificação de uma pessoa (cliente/usuário),
conhecidos como Informações de Identificação Pessoal (IIP).
• Exemplos de dados pessoais: Número do CPF

Número Dados de conta

da CNH bancária

Número Credenciais de
do RG autenticação

Dados relacionados à
saúde e à biometria

• As organizações têm obrigações legais a cumprir relacionadas à privacidade de dados pessoais.

• Também há responsabilidade ética.

Slide 14
Proteção e privacidade de informações de identificação
pessoal (IIP)
Situação na Europa Situação nos EUA Situação no Brasil
• A regulamentação está bem • Não há uma lei única • Há varias leis dispersas tratando
desenvolvida com a GDPR. comparável com o GDPR. de privacidade.
• Todos os países membros da • É adotada uma abordagem • Destacam-se:
União Europeia (UE) são também setorial para a legislação de • Lei geral de proteção de dados
signatários da Convenção proteção de dados, baseando- (LGPD)
Europeia dos Direitos Humanos se na combinação de • Lei de cadastro positivo
(CEDH). legislação, regulamentos e • Lei de acesso à informação
• O artigo 8 da CEDH estabelece que autorregulação em vez de • Marco civil da internet
qualquer pessoa tem direito ao regulamentações no nível
• Artigo 5.º da constituição
respeito da sua vida privada e governamental.
familiar, do seu domicílio e da sua
correspondência. • A legislação de privacidade
tende a ser adotada em uma
base “quando necessária”.

Slide 15
Privacidade e proteção de dados por país

http://heatmap.forrestertools.com/

Slide 16
Considerações sobre a proteção da privacidade dos dados
pessoais
MELHOR de acordo com o livro Foundations of
• Toda organização deve ter uma política para a proteção dos PRÁTICA Information Security
dados pessoais e esta política deve ser conhecida por todos que
lidam com esses dados.
• Uma boa prática é nomear uma pessoa que será responsável
pela proteção destes dados e que fornecerá apoio aos gestores,
usuários e prestadores de serviços no exercício das suas
funções nesta área.
• DPO ou encarregado de proteção de dados
• Também deve haver medidas técnicas e organizacionais em
vigor para proteger os dados pessoais.
• É um ponto importante que o cidadão possua o direito de
inspecionar seus dados registrados, desta forma as
organizações devem ter uma política e procedimentos em vigor
para isto.

Slide 17
Prevenção do uso indevido de recursos de TI
• O uso de recursos de TI para fins particulares ou de Como os empregadores acham que seus
forma não autorizada é tratado como uso indevido funcionários gastam seu tempo – geradores
destes recursos. de perda de produtividade mais citados
• Um levantamento feito pela empresa Networks pelo gerentes de RH:
Unlimited (especializada em monitoramento de
sistemas) com uma companhia americana de 120
empregados mostrou que os funcionários passaram,
em um ano, 2.400 horas em sites de esportes e de
compras, isso sem falar em 250 horas gastas com sites
pornográficos.

Pesquisa conduzida online dentro dos EUA pela

empresa Harris com 2.175 gerentes de RH entre
fevereiro e março de 2015.

Slide 18
Prevenção do uso indevido de recursos de TI
MELHOR de acordo com o livro Foundations of
PRÁTICA Information Security

Práticas de prevenção:
• Estabelecer na política de segurança da organização como os
colaboradores podem utilizar esses recursos.
• Um código de conduta pode ser acordado com os funcionários
acerca do uso adequado dos recursos de TI.
• Atividades não autorizadas podem ser observadas por
monitoramento e os gerentes podem tomar medidas
disciplinares ou legais.
• O uso dos recursos pode ser monitorado, incluindo o e-mail
corporativo, desde que o funcionário tenha conhecimento
disto.

Slide 19
Prevenção do uso indevido de recursos de TI
• Existe legislação relacionada a crimes
realizados usando computadores em
diversos países.
• Obter acesso não autorizado em um sistema de
computador é punido por lei, ainda que o
sistema não tenha nenhuma segurança.
• Sempre se deve consultar especialistas
jurídicos a fim de verificar se as políticas e
códigos de conduta estão alinhados às leis
do país. Apelidada de "Lei Carolina Dieckmann", a Lei
12.737/2012 altera o Código Penal para tipificar
como infrações uma série de condutas no
ambiente digital, principalmente em relação à
invasão de computadores, além de estabelecer
punições específicas, algo inédito até então.

Slide 20
 Organizações que estabelecem padrões para segurança da
informação
ISO
• Federação mundial de
organismos nacionais de
normatização de cerca de 100
países, com um organismo de
normatização representando
cada país membro.
• Normas ISO são mais comuns
na Europa que NIST e ANSI.
• Inclui normas da família
ISO/IEC 27001, 22301
(continuidade de negócio),
20000 (serviços de TI), 29100
(framework de proteção de
dados pessoais)
NIST (National Institute of ANSI (American National
Standards and Technology) Standards Institute)
• Unidade do Departamento de • Principal organização para
Comércio dos EUA. fomento do desenvolvimento
• A série NIST 800 é um conjunto de padrões de tecnologia nos
de documentos que descreve EUA.
políticas, procedimentos e • É similar a ABNT no Brasil.
diretrizes para a segurança de
computadores do governo
federal dos EUA.
• Criou o framework para Cyber
Segurança (CSF), que inclui
vários padrões para tratar
riscos deste tipo.
Slide 21
Organizações e normas de segurança da informação

IEEE (Institute of Electrical and OWASP(Open Web Application

PCI (Payment Card Industry)
Electronics Engineers) Security Project)
• Uma organização profissional • Um projeto de segurança de • É um padrão de segurança de
importante que desenvolve e aplicativos de código aberto. informações para organizações que
publica uma série de padrões • Será explorado no próximo slide. lidam com cartões de crédito de
técnicos, muitos dos quais têm marca dos principais sistemas de
implicações para a segurança da cartões.
informação.
• Desenvolveu padrões para
protocolos de rede, criptografia de
wi-fi, criptografia de discos rígidos,
engenharia de sistemas e
inteligência artificial, entre outros.

Slide 22
OWASP (Open Web Application Security Project)
• É um projeto de segurança para aplicações de código aberto.
• Sua comunidade inclui corporações, organizações
educacionais e indivíduos de todo o mundo.
• Esta comunidade trabalha para criar artigos, metodologias,
documentação, ferramentas e tecnologias livremente www.owasp.org
disponíveis.
• A OWASP Foundation é uma organização sem fins lucrativos
que suporta e gerencia os projetos e infraestrutura do OWASP.
• O OWASP é também um órgão de normas emergentes, com a
publicação de sua primeira norma em Dezembro de 2008, a
OWASP Application Security Verification Standard (ASVS).
• Seu objetivo é normatizar a gama de cobertura e o nível de rigor
disponíveis no mercado quando se trata de realizar verificação de
segurança a nível de aplicativos.

Slide 23
OWASP Top 10
O OWASP Top 10 é um documento padrão de conscientização para desenvolvedores e
segurança de aplicativos da web. Ele representa um amplo consenso sobre os riscos de
segurança mais críticos para aplicativos da web:
1. Injeção .
2. Autenticação quebrada .
3. Exposição de dados confidenciais .
4. Entidades externas XML (XXE) .
5. Controle de acesso quebrado .
6. Configuração incorreta de segurança .
7. Cross-Site Scripting XSS .
8. Desserialização insegura .
9. Usando componentes com vulnerabilidades conhecidas .
10. Registro e monitoramento insuficientes .

Fonte: https://owasp.org/www-project-top-ten/
Considerando o cumprimento de leis e regulamentos nas
auditorias regulares do SGSI
• São úteis como um meio de avaliar periodicamente medidas,
processos e procedimentos de segurança.
• Podem ser aplicadas para testar se as medidas de segurança
estão em conformidade com requisitos definidos, tais como
normas da empresa, leis e regulamentos.
• São aplicadas para avaliar se as medidas de segurança estão
alinhadas com os requisitos de segurança específicos
identificados para um sistema de informação, e se essas
medidas foram implementadas e são mantidas de forma
eficaz.
• Também ajudam a verificar se essas medidas estão
funcionando conforme especificado e esperado.