Segundo 8eal (2003) segurana da lnformao pode ser enLendlda como o processo de proLeger lnformaes das

ameaas sua confldenclalldade lnLegrldade ou dlsponlbllldade

Conf|denc|a||dade proprledade que llmlLa o acesso a lnformao Lo somenLe s enLldades leglLlmas ou se[a
quelas auLorlzadas pelo proprleLrlo da lnformao
Integr|dade proprledade que garanLe que a lnformao manlpulada manLenha Lodas as caracLerlsLlcas orlglnals
esLabelecldas pelo proprleLrlo da lnformao lnclulndo conLrole de mudanas e garanLla do seu clclo de vlda
(nasclmenLo manuLeno e desLrulo)
D|spon|b|||dade proprledade que garanLe que a lnformao esLe[a sempre dlsponlvel para o uso leglLlmo ou se[a
por aqueles usurlos auLorlzados pelo proprleLrlo da lnformao
Alguns auLores alnda clLam a auLenLlcldade e a legalldade como elemenLos essenclals a segurana da lnformao
chamando o processo de CluAL
Cs organlsmos padronlzados dlscordam alegando que a auLenLlcldade e englobada pela lnLegrldade e a legalldade e
mals bem classlflcada como ob[eLlvo organlzaclonal que derlva da necessldade de segurana da lnformao
CuLro faLor de relevncla e o concelLo de no repudlo que deve garanLlr que quem crlou/envlou uma lnformao
possa negla e quem a recebeu/acessou Lambem

A segurana da lnformao lnclul
segurana da lnformao no armazenada em 1l
segurana da lnformao armazenada em 1l
No armazenada em 1I
Lngloba Lodas as manelras posslvels de armazenamenLo e recuperao da lnformao As prlnclpals razes para
proLeglas so
Loda organlzao possul lnformaes que no esLo armazenados em slsLemas compuLaclonals
alguns documenLos Lem sua valldade vlnculada em suporLe flslco papel
lnformaes armazenadas em slsLemas compuLaclonals podem Ler sua confldenclalldade compromeLlda por
manuselo lnadequado como por exemplo ser lmpressa ser LransmlLlda oralmenLe eLc
Armazenados em 1I
L qualquer lnformao resldenLe em base de dados lnformaLlzados arqulvos lnformaLlzados mldla magneLlca ou
ouLras solues que exl[am Lecnologlas compuLaclonals para acesslas As prlnclpals razes que geram
preocupaes com a segurana desLas so
As 1lCs (Lecnologlas de lnformao e comunlcao) so peas chaves nos processos admlnlsLraLlvos de produo e
de Lomada de declso
vulnerabllldades da lnformLlca da lnfraesLruLura de hardware e sofLware que exlgem amblenLes esLvels e que
podem ser pre[udlcados por dlversos faLores Lals desasLres naLurals falha de conLrole do amblenLe acldenLes ou
saboLagens
AlLo valor da lnformao armazenada aLralndo a aLeno de hackers esples ou mesmo funclonrlos lnsaLlsfelLos




Normas de Segurana
As normas represenLam uma referncla lmporLanLe em qualquer processo aumenLando a garanLla de que se[am
eflcazes conflvels e eflclenLes ara que as organlzaes desenvolvam slsLemas formals de gesLo da segurana da
lnformao exlsLem dlversos padres e normas enLre eles
I1 Infrastructure L|brary I1IL e um con[unLo de documenLos desenvolvldos para reglsLrar as melhores prLlcas na
rea de gesLo de servlos praLlcados na rea de 1l ConLempla as reas
gesLo de lncldenLes
soluo de problemas
padronlzao de conflguraes
aLendlmenLo ao usurlo flnal
nlvel de servlo
desenvolvlmenLo lmplanLao e suporLe de sofLware
Contro| Cb[ect|ves for Informat|on and ke|ated 1echno|ogy CC8I1 e um con[unLo de dlreLrlzes para a gesLo e
audlLorla de processos prLlcas e conLroles de 1l Abrange a prLlcas nos segulnLes domlnlos
plane[amenLo e organlzao
aqulslo e lmplanLao
enLrega e suporLe
monlLorao
ISC]ILC Gu|de 73 kISk MANAGLMLN1 VCCA8ULAk gu|de||nes for use |n S1AkDAkDS deflne os Lermos da
gesLo de rlscos agrupados em
Lermos bslcos
Lermos relaclonados pessoas
Lermos relaclonados organlzao
Lermos relaclonados avallao do rlsco
Lermos relaclonados ao LraLamenLo e conLrole de rlsco
Normas ISC (Crgan|zao Internac|ona| para adron|zao)]ILC (Com|sso de L|etrotcn|ca Internac|ona|) da
segurana da |nformao
As meLas das normas lSC/lLC dlreclonadas segurana da lnformao famllla 2000 e salva guarda a
Confldenclalldade lnLegrldade e ulsponlbllldade da lnformao
L|nha do 1empo
1993 publlcada a 1 verso da 8S (8rlLlsh SLandard)77991 1ecnologla da lnformao cdlgo de prLlcas para a
gesLo da Segurana da lnformao
1998 publlcada a 1 verso do 8S77992 SlsLema de gesLo da segurana da lnformao Lspeclflcaes e gula
para uso
2000 publlcada 1 verso lSC/lLC 177992000 1ecnologla da lnformao Cdlgo de prLlcas para gesLo da
segurana da lnformao
2001 publlcada a n88 lSC/lLC 177992001
2003 publlcada a norma lSC/lLC 270012003 1ecnologla da lnformao 1ecnlcas de segurana SlsLema de
gesLo da segurana da lnformao 8equlslLos
2006 publlcada n88 lSC/lLC 270012006
700
L uma meLodologla esLruLurada reconheclda lnLernaclonalmenLe dedlcada a segurana da lnformao
Crla um processo que permlLe avallar lmplemenLar manLer e gerenclar a segurana da lnformao
LsLe processo e esLruLurado aLraves de um grupo compleLo de conLroles conLendo as melhores prLlcas para a
segurana da lnformao
no se prope a ser uma norma Lecnlca no e dlrlglda a produLos ou Lecnologla e no e uma meLodologla de
avallao de hardware e sofLware
V|so Gera|
ueflne as melhores prLlcas para a gesLo da segurana da lnformao
Consldera a segurana da lnformao um processo de gesLo e no um processo Lecnolglco
7001
LsLabelece uma esLruLura de SCSl SlsLema de CesLo de Segurana da lnformao quando so desLacados
aspecLos de audlLorla lnLerna e lndlcadores de desempenho do SCSl ossul 11 sees
pollLlca de segurana da lnformao
organlzao da segurana da lnformao
gesLo de aLlvos
segurana em 8P
segurana flslca e do amblenLe
gerenclamenLo das operaes e das comunlcaes
conLrole de acesso
aqulslo manuLeno e desenvolvlmenLo dos slsLemas
gesLo de lncldenLes de segurana da lnformao
gesLo da conLlnuldade dos negclos
conformldade



V|so gera|
lncorpora um processo de escalonamenLo do rlsco e de valorlzao de aLlvos
lnvesLe no compromlsso alLa gerncla e no LrelnamenLo e consclenLlzao dos funclonrlos
ermlLe que conLroles adlclonals se[am lncorporados ao SCSl se asslm for dese[ado
kazes para adotar a ISC 7001
Melhora a governana corporaLlva
Melhorla na segurana da lnformao
ulferenclal de mercado
ALendlmenLo a requlslLos dos cllenLes e parLes lnLeressadas
nlco com acelLao global
8eduo poLenclal do seguro
locada na responsabllldade dos funclonrlos
Conformldade com a leglslao
Cobre amblenLe flslco lglco e pessoas
8eduz o rlsco de responsabllldade pela no lmplemenLao da pollLlca e procedlmenLos de segurana da
lnformao
CporLunldade de ldenLlflcar e corrlglr ponLos fracos
AlLa dlreo assume a responsabllldade pela segurana da lnformao
ermlLe revlses perldlcas
Cferece conflana aos parcelros comerclals parLes lnLeressadas e cllenLe
Melhor consclenLlzao sobre segurana
Comblna recursos com ouLros slsLemas de gesLo
ossul mecanlsmos para medlr o sucesso dos slsLemas
Lxerc|c|os (Verdade|ro ou fa|so)
1A lSC/lLC 27001 permlLe comblnar recursos com ouLros slsLemas de gesLo VLkDADLIkC
2ulsponlbllldade de recursos e uma dlflculdade para a lmplanLao de um SCSl VLkDADLIkC
3ALender os requlslLos de cllenLes e parLes lnLeressadas pode ser razo para lmplanLar um SCSl VLkDADLIkC
4A lSC 27001 e uma meLodologla esLruLurada IALSC (A ISC 700 uma metodo|og|a estruturada)
3uma grande vanLagem da lSC 27002 e conslderar segurana flslca Lecnlca procedlmenLal e em pessoas
VLkDADLIkC
6uuranLe a ldenLlflcao dos conLroles a serem uLlllzada basLa conslderar os conLroles especlflcados pela norma
VLkDADLIkC
7A lSC 27002 prlorlza segurana flslca e Lecnlca IALSC (uem pr|or|za segurana f|s|ca e tcn|ca a ISC 7001)
8ldenLflque quals ob[eLlvos de segurana foram afeLados (confldenclalldade lnLegrldade ou dlsponlbllldade)
a) uuranLe uma vlagem uma pasLa conLendo dlversos documenLos slgllosos sumlu CCNIIDLNCIALIDADL
b) um u8A ao deflnlr a coluna de uma Labela deflnlu a Labela com menos casas declmals que o necessrlo
IN1LGkIDADL
c) As consLanLes quedas de energla no esLado do S fez com que o governo deLermlnasse uma mulLa de 8$30000
por hora as empresas de energla caso no conslgam resLabelecer a energla em aLe 4 horas DISCNI8ILIDADL
Gesto da Segurana da Informao
C processo de gesLo da segurana da lnformao e um processo permanenLe clcllco lnLeraLlvo e baseado em
processos Lecnlcos organlzaclonals conslsLenLes
A gesLo da segurana da lnformao uLlllza o meLodo uCA plan do check e acL da lSC 9001




lan plane[ar esLabelecer ob[eLlvos meLas e melos para alcanlos
uo execuLar o plane[ado
Check verlflcar avallar comparando com o plane[ado
AcL Aglr correLlvamenLe quando deLecLados desvlos ou falhas
um SCSl deve aLender a Lodo o clclo de vlda da lnformao crlao armazenamenLo manlpulao LransporLe e
descarLe
1ambem deve lldar com as lnformaes de nlvel de crlLlcldade dlferenLes publlca prlvada ou secreLa / slgllosa
|ane[amento
C plane[amenLo (plan) deve comear do mals alLo nlvel ldenLlflcando processos crlLlcos e o fluxo da lnformao
assoclado uepols deve descer ao nlvel de slsLemas e servlo e da lnfraesLruLura que d suporLe a Lals slsLemas e
servlos
A 27002 esLabelece as prlnclpals fonLes para a ldenLlflcao dos requlslLos da segurana da lnformao
Avallao do rlsco dos aLlvos de lnformao e de seus recursos assoclados
Leglslao vlgenLe esLaLuLos e clusulas conLraLuals em que a empresa esL su[elLa
Con[unLo de prlnclplos ob[eLlvos e requlslLos de processamenLo da lnformao
ara se Ler subsldlos para o plane[amenLo da lnformao alem do mapeamenLo dos processos crlLlcos de negclos
so necessrlos
Llaborar um lnvenLrlo dos prlnclpals aLlvos da lnformao e de seus recursos assoclados
Anllse e avallao do rlsco assoclado a cada aLlvo e a cada recurso assoclado
u
C A
MapeamenLo do clclo de vlda da lnformao
ldenLlflcao e anllse de normas legals e lnLernas regulamenLos e clusulas conLraLuals
Llaborao da pollLlca de segurana da lnformao
ueflnlo da esLruLura da gesLo da segurana da lnformao e das equlpes que lro lmplemenLlas
Imp|ementao
1odas as aLlvldades necessrlas para colocar em prLlca o que fol plane[ado (uo) lazem parLe desLa eLapa
ulvulgao da pollLlca de segurana da lnformao
lmplanLao da esLruLura de gesLo
uocumenLao de normas roLlnas e procedlmenLos
lmplanLao e admlnlsLrao dos conLroles flslcos lglcos gerenclals e Lecnolglcos
1relnamenLo e consclenLlzao de usurlos
Ava||ao e Ao Corret|va
nesLa eLapa e necessrlo possulr o malor numero posslvel de mecanlsmo para coleLar e averlguar (check) se a
pollLlca de segurana da lnformao aLende aos requlslLos da lnformao e aLende aos requlslLos ldenLlflcados na
fase de plane[amenLo corrlglndo (AcL) desvlos e falhas ueve abranger
1esLe de conformldade
1esLe de eflccla dos conLroles
8evlso perldlca dos resulLados alcanados
Avallao de mudanas lnLernas e exLernas
N|ve| de Matur|dade em Segurana da Informao
Cs modelos avallam o nlvel de maLurldade para a[udar as empresas enLenderem em que ponLo se enconLram em
relao aos processos de gesLo e o que e necessrlo fazer para aLlnglr um nlvel mals elevado
um modelo de maLurldade para SCSl e apresenLado a segulr
N|ve| I In|c|a| roblemas so LraLados de forma ponLual e so baseados em lnlclaLlva lndlvldual da pessoa
uocumenLao e lncompleLa ou lnexlsLenLe no h responsvels formals pela segurana da lnformao
N|ve| II keat|va A organlzao possul uma pollLlca de segurana da lnformao e desenvolve planos de
conLlngncla rocedlmenLos so documenLados roblemas so LraLados conforme so ldenLlflcados lnexlsLem
processos slsLemLlcos de monlLorao do amblenLe avallao dos conLroles e correo de falhas
N|ve| III roat|va rocedlmenLos e conLroles so lmplemenLados de manelra conslsLenLe e lnLegrados So
reallzados LrelnamenLos e consclenLlzao de usurlos Cs prlnclpals aLlvos e recursos assoclados so lnvenLarlados e
classlflcados de acordo com os requlslLos de segurana da lnformao 1esLes so conduzldos para avallar a
adequao e a eflccla dos conLroles Medldas correLas so Lomadas quando desvlos ou falhas so deLecLados C
amblenLe lnLerno e exLerno so slsLemaLlcamenLe monlLorados para a ldenLlflcao de mudanas LxlsLe plano de
conLlnuldade de negclos
N|ve| IV Ad|o de va|or Aqulslo ou desenvolvlmenLo de slsLemas que levem em conslderao os prlnclplos de
segurana desde a eLapa de plane[amenLo aLe o descarLe 8usca consLanLe de novas alLernaLlvas de segurana de
lnformao que fornecem melhor cusLo / beneflclo lmplanLao de processos de gesLo de rlsco que permlLem a
anLeclpao de problemas relaclonados segurana da lnformao causados por mudanas organlzaclonals
esLraLeglcas ou Lecnolglcas
A|guns termos de segurana da |nformao
usurlo qualquer pessoa que faa uso de um aLlvo de lnformao
arLe lnLeressada pessoa ou grupo que possul lnLeresse no desempenho ou sucesso da empresa ou organlzao
Ameaa expecLaLlva de um aconLeclmenLo acldenLal ou proposlLal causado por um agenLe
AgenLe fonLe produLlva de um evenLo que pode Ler efelLo adverso sobre um aLlvo de lnformao
o||t|ca de segurana da |nformao
C desenvolvlmenLo e a lmplanLao de uma pollLlca de segurana da lnformao e uma ferramenLa poderosa no
combaLe as ameaas aos aLlvos de lnformao e seus recursos assoclados
A pollLlca de segurana da lnformao e um con[unLo de dlreLrlzes normas orlenLaes e procedlmenLos que vlsam
consclenLlzar e orlenLar os sLakeholders (parLe lnLeressada) no uso seguro dos aLlvos da empresa
Sua elaborao e complexa e e organlzada por uma comlsso que deve ser composLa por proflsslonals de Lodas as
reas da organlzao A escolha desLa comlsso deve observar
Cual o nlvel de abrangncla
C Lamanho da comlsso de forma a no aLrapalhar a sua produLlvldade
Cuem so as pessoas chaves nos processos da organlzao
arLlclpao da alLa gerncla
ueflnlda a comlsso o seu prlmelro Lrabalho e o de valorlzao dos aLlvos de lnformao e do seu fluxo assoclado
Com esLa parLe elaborada ser lnlclallzado a gesLo do rlsco
ara uma boa deflnlo de uma pollLlca de segurana da lnformao e necessrlo
Anallsar o que deve ser proLegldo e como deve ser proLegldo
LevanLamenLo das deflclnclas e faLores de rlsco segurana da lnformao
Llaborar normas e regras de acesso flslco lglco e de procedlmenLos
Aprovao pelo 8P
Avallao perldlca e feedback
MonlLorao
Anllse de conformldade
Aprovao pela alLa gerncla
ulvulgao da pollLlca aos sLakeholders
1relnamenLo e consclenLlzao
P1
P2
Gesto de Risco em Segurana da Informao

A tomada de deciso de quanto e onde gastar com a segurana da inIormao torna-se mais bem
Iundamentada quando temos conhecimento das ameaas e vulnerabilidades a que esto sujeitos os ativos de
inIormao, bem como os impactos que podem advir da Ialta ou Ialha da segurana da inIormao.
A gesto de risco da segurana da inIormao e o conjunto de processos que permite as organizaes
identiIicar e implementar as medidas de proteo necessarios para diminuir os riscos a que esto sujeitos os
seus ativos de inIormao e equilibra-los com os custos operacionais e Iinanceiros envolvidos.

Anlise e avaliao de risco

A analise e avaliao do risco providenciam recursos para a tomada de deciso da aceitao ou tratamento de
um determinado risco. Isto pode ser Ieito de Iorma:
"ualitativa
"uantitativa

"ualitativa

Trabalha com a descrio literal do risco, utilizando-se de questionarios que avaliem a percepo em relao
ao risco, classiIicando-os, por exemplo, em alto, medio ou baixo; muito provavel, provavel ou pouco
provavel

"uantitativa

Calcula a perda prevista para um incidente pela sua Irequncia esperada, Iundamentada em um periodo de
doze meses.
A avaliao e a analise do risco deve ser eIetuada por pessoal que detenha:

ntendimento aproIundado do papel da importncia dos ativos de inIormao da organizao;
ormao tecnica na area que esta sendo analisada;
xperincia de aplicao dos principios, procedimentos e praticas de segurana da inIormao;
xperincia em metodologia de analise e avaliao de riscos e de sua limitaes.


Tratamento do risco


O tratamento do risco pode se dar atraves de:


edidas preventivas, controles que reduzem a probabilidade de uma ameaa se concretizar ou
diminuem o grau de vulnerabilidade do ambiente reduzindo a probabilidade de um ataque ou a sua
capacidade de gerar impactos adversos.

edidas corretivas ou reativas, reduzem o impacto de um incidente. So tomadas durante ou apos a
ocorrncia do evento.

etodos detectivos, expem ataques ou incidentes e disparam medidas reativas, tentando evitar a
concretizao do dano, reduzi-lo ou impedir que se repita


Testes e simulaes


Colaboram para a avaliao dos riscos veriIicando o nivel de proteo existente em um determinado
momento




Aceitao do risco residual e comunicao do risco



No processo de gesto de risco e necessario a comunicao do risco indicando a sua probabilidade de
acontecer e seus possiveis impactos.
Apos o tratamento do risco residual, de tal Iorma que a alta gerencia possa compreend-lo e aceita-lo, ou no
caso da no aceitao, permitir que os controles adicionais sejam estabelecidos.



Controle de Acesso


E o conjunto de medidas que visam impedir o acesso no autorizado aos ativos da inIormao. So
compostos por controles logicos e Iisicos


Controles logicos

Visam proteger recursos, tais como: sistemas, programas Ionte e objeto; arquivos de dados, banco de dados,
sistemas operacionais, arquivos de log, utilitarios outros;


O principal controle logico e estabelecido pelo processo de identiIicao/autenticao, que pode ser baseado
em:

-O que voc sabe? senhas/pessoal/intransIerivel

-O que voc tem? token
-O que voc e ? biometria
-Identidade do usuario;
-Data e hora do inicio e Iim da conexo;
-ndereo ip;
-Protocolos utilizados;
-quantidade de dados transmitidos/ recebidos;

As regras de acesso a internet devem contemplar:

-tipo de uso - particular e comercial;
-periodo de acesso-particular e comercial;
-se havera monitorao, como sera a monitorao e qual o nivel de privacidade os Iuncionarios esto
sujeitos;

---Tipos de sites,tais:
-Acesso ou download de conteudo oIensivo ou preconceituoso;
-Atitudes ameaadas ou violentas;
-atividades ilegais;
-solicitaes comerciais no relacionadas ao trabalho;
-outros que a organizao julgar necessario;


Aspectos humanos na segurana da inIormao


As pessoas so consideradas o elo mais Iraco no processo de segurana da inIormao.
Por mais soIisticadas que seja, qualquer sistema de segurana por ser anulado por um unico individuo, seja
deIorma propositada, seja de Iorma acidental.
A melhor politica com pessoas e conhecida como "trust, but veriIy";

Uma politica de segurana diversos grupos que possuem acesso aos ativos de inIormao:
-quipe de segurana
-Administradores de sistemas;
-Nucleo operacional;
-gerencia intermediaria;
-Iornecedores, consultores, prestadores de servios, estagiarios;


As principais medidas a serem adotadas para reduzir risco em relao as pessoas so :

-Processos conIiaveis de seleo de pessoas, no esquecendo estagiarios e temporarios;
-Documentao de responsabilidades nos contratos de Iuncionarios, consultores e prestadores de servios;
-assinatura de acordos de conIidencialidade, muitas vezes envolvendo "quarentena"
-superviso gerencial;
-Nivel adequado de segregao de Iunes;
-xpectativas de controle e punio;
-Processo seguro de demisso e encerramento de contratos;
-retreinamento e conscientizao;

ngenharia Social



ngenharia social e o termo utilizado para descrever um metodo de ataque, onde alguem Iaz uso da
persuaso para obter acesso no autorizado a inIomares ou os seus recursos
recursos associados.
la explorar traos comportamentais humanos, tais como:
-vaidade
-autoconIiana
-Iormao proIissional
-busca por novas amizades
-propagao de responsabilidade;
-vontade de ser util;

A maioria dos ataques de engenharia social acontecem atraves de teleIones, e-mail ou www.
As principais tecnicas so:

trojan
screelogger
pishing
scam
spam
spyware
mais detalhes na cartilha de segurana do cert.br