2 - ADMINISTRAÇÃO DE REDES

Prévia do material em texto

Administração 
de Redes
Material Teórico
Responsável pelo Conteúdo:
Prof. Esp. Antonio Eduardo Marques da Silva
Revisão Textual:
Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro
Gestão da Segurança da Informação 
• Introdução;
• Importância da Informação;
• Sistemas de Informação;
• Classificação da Informação;
• Ciclo de Vida da Informação;
• Conceitos e Definições Importantes;
• Conceitos de Política de Segurança da Informação (PSI);
• O Propósito dos Controles.
• Compreender e abordar os principais aspectos da gestão da segurança da informação 
(GSI) dentro de instituições públicas ou privadas, apresentando conceitos e defi nições do 
clico de vida e importância da informação;
• Defi nir os propósitos da política de gestão da segurança da informação.
OBJETIVOS DE APRENDIZADO
Gestão da Segurança da Informação 
Orientações de estudo
Para que o conteúdo desta Disciplina seja bem 
aproveitado e haja maior aplicabilidade na sua 
formação acadêmica e atuação profissional, siga 
algumas recomendações básicas:
Assim:
Organize seus estudos de maneira que passem a fazer parte 
da sua rotina. Por exemplo, você poderá determinar um dia e 
horário fixos como seu “momento do estudo”;
Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma 
alimentação saudável pode proporcionar melhor aproveitamento do estudo;
No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos 
e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua 
interpretação e auxiliarão no pleno entendimento dos temas abordados;
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o 
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de 
aprendizagem.
Organize seus estudos de maneira que passem a fazer parte 
Mantenha o foco! 
Evite se distrair com 
as redes sociais.
Mantenha o foco! 
Evite se distrair com 
as redes sociais.
Determine um 
horário fixo 
para estudar.
Aproveite as 
indicações 
de Material 
Complementar.
Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma 
Não se esqueça 
de se alimentar 
e de se manter 
hidratado.
Aproveite as 
Conserve seu 
material e local de 
estudos sempre 
organizados.
Procure manter 
contato com seus 
colegas e tutores 
para trocar ideias! 
Isso amplia a 
aprendizagem.
Seja original! 
Nunca plagie 
trabalhos.
UNIDADE Gestão da Segurança da Informação 
Introdução
Com certeza, adquirir os conhecimentos em Gestão da Segurança da Informa-
ção traz ao profissional de Tecnologia da Informação e Comunicações um maior 
preparo nas atividades de administração de sistemas e redes de dados, pois tais téc-
nicas previnem problemas em uma infraestrutura tecnológica. Dessa forma, nesta 
unidade, vamos tratar dos aspectos fundamentais sobre segurança da informação 
e trazer as principais características da Gestão da Segurança da Informação e Polí-
ticas de Segurança, necessários para a proteção de ativos em instituições públicas 
ou privadas.
Importância da Informação
A informação tem sido importante por uma grande variedade de razões através 
dos séculos para o homem, que foi capaz de transmitir dados valiosos, como a 
localização de uma fonte de água mais próxima, ou de um rebanho de animais, ou 
a caverna que lhe serviria de abrigo. Eram segredos cuidadosamente guardados e 
que só eram passados para aqueles das mesmas tribos e/ou aqueles que tinham 
necessidades e que eram considerados confiáveis. O método de transferência e o 
armazenamento das informações, com certeza, foram mais primitivos do que os de 
hoje, mas os princípios básicos de Segurança da Informação não mudaram muito 
desde aqueles primórdios (BRIEN, 2013).
Segurança da Informação, que é mais precisamente chamada de “Information 
Assurance”, agora está bem fundamentada em três conceitos principais, que são a 
confidencialidade, a integridade e a disponibilidade. O gerenciamento desses con-
ceitos é fundamental e, como tem se tornado cada vez mais uma das moedas mo-
dernas da sociedade e a garantia adequada e eficaz em termos de custos, tornou-se 
de grande interesse para empresas de todos os setores, de todos os tamanhos e em 
diferentes localizações.
Os mecanismos que usamos para gerenciar informações são as áreas em que vi-
mos mudanças muito significativas, principalmente nas últimas décadas. O advento 
de computadores, em particular, alterou a maneira como gerenciamos as informa-
ções extensivamente e também significou que temos muito mais informações para 
nos preocuparmos do que imaginamos. 
A informação tornou-se a chave para o sucesso em quase qualquer campo e, 
assim, a sua segurança, talvez tão mais importante, em valor para uma empresa ou 
organização – já que pode ocorrer de o fator financeiro não ser necessariamente o 
fator mais importante. Falta de conhecimento de alguma questão, a maneira como 
as coisas são feitas, ou conhecimento de informações específicas podem ser tão 
mais importantes do que qualquer outro tipo de avaliação (MORAES, 2014).
8
9
Um outro fator que alterou significativamente nossa necessidade de garantia 
de informação é a da mobilidade. Quando o único local tinha informações de ne-
gócios, com certeza era mais fácil cuidar dessa informação. Para proteger essas 
informações, fechávamos e trancávamos simplesmente a porta de um escritório 
que as continha. Hoje, esperamos e precisamos ter informações em uma grande 
variedade de locais, incluindo dispositivos em movimento, como em carros e trens. 
Com escritórios de abrangência global e a crescente mobilidade do ambiente de 
escritório, agora, temos uma crítica necessidade de maior segurança, para que 
possamos permitir que pessoas autorizadas tenham acesso a nossas informações 
de forma mais adequada (BRIEN, 2013).
ISO 27001: Sistema de Gestão de Segurança da Informação em: https://youtu.be/1t6ZMyJ-n1Q
Ex
pl
or
As ameaças, vulnerabilidades e contramedidas também mudaram a complexi-
dade em algumas áreas, embora ainda seja essencial considerar as contramedidas 
mais fáceis e, muitas vezes, mais baratas antes de entrar em grandes e/ou soluções 
mais caras. O aumento da capacidade daqueles que pretendem causar danos a em-
presas, organismos públicos e outras organizações fez com que o papel do Gerente 
de Segurança da Informação e dos profissionais de Segurança da Informação au-
mentasse a tal ponto que agora é perfeitamente possível ter uma equipe local com 
essa atividade específica dentro de uma organização. Outro ponto importante é 
em relação à legislação que é introduzida pelos governos para lidar com crescentes 
problemas de garantia da informação em todas as suas formas.
Sistemas de Informação
Um sistema de informação pode ser definido tecnicamente como um conjunto 
de componentes inter-relacionados que coletam e/ou recuperam, processam, ar-
mazenam e distribuem informações destinadas ao apoio de tomada de decisões 
dentro de uma organização. Além de poder dar suporte à tomada de decisões, à 
coordenação e ao controle, esses sistemas também podem auxiliar os diretores, 
gerentes e profissionais a analisar possíveis problemas, visualizando assuntos com-
plexos e criando novos produtos e serviços.
Case de Gestão de Segurança da Informação – FIESC em: https://youtu.be/-bMjbo2oUKQ
Ex
pl
or
Os sistemas de informação podem conter informações sobre pessoas, locais e 
assuntos significativos para uma instituição. Eles também podem ter o aspecto vol-
tado à área gerencial e à área operacional, que podem produzir as informações de 
que as organizações necessitam para tomada de decisões e proteção de seus dados 
(BURGESS, 2006).
9
UNIDADE Gestão da Segurança da Informação 
que é
pode ser
pode ser
que é
rotineiraGerencial
Operacional
Informação
pouco precisa
grá�ca
sem detalhes
baixa circulação
de longo prazo
detalhada circula muito
curto prazo
precisa
Figura 1 – Sistemas de Informação Gerencial e Operacional 
Classificação da Informação
Nem toda informação merece uma atenção especial ou que possa ter sempre 
um cuidado especial, no entanto, determinada informação pode ser vital para uma 
determinada instituição. Por causa dessas questões, nasceu a necessidade de clas-
sificá-las em níveis de prioridade e respeitando a necessidade de cada corporação, 
bem como definindo a importância de sua classe para uma correta manutenção de 
suas atividades. Podemos classificar a informação sobre quatro aspectos:
• Confidencial: a informação classificada como confidencial é restrita aos limi-
tes da empresa, cuja divulgação ou perda da mesma pode levar a desequilíbrio 
operacional, possivelmente perdas financeiras, ou de confiabilidade perante o 
cliente externo, além de poder permitir vantagem expressiva ao concorrente;
• Secreta: a informação classificada como secreta é extremamente crítica para 
as atividades da empresa, cuja integridade deve ser preservada a qualquer cus-
to e cujo acesso deve ser restritivo a um número bastante reduzido de cola-
boradores, sendo sua manipulação de vital importância e estratégica para a 
companhia. É comum que órgão do governo e sistemas militares possuam em 
sua estrutura esse tipo de classificação;
• Interna: a informação classificada como interna permite que o seu conteúdo 
seja evitado por entidades externas à instituição, embora as consequências do 
uso não autorizado dessa informação não sejam demasiadamente sérias. Sua 
integridade é importante, mesmo que não seja vital;
• Pública: a informação classificada como pública, como o nome indica, é uma 
informação que pode vir a ser divulgada ao público sem maiores consequências 
danosas ao funcionamento de uma corporação e cuja integridade não é vital.
10
11
Ciclo de Vida da Informação
O Ciclo de Vida da Informação é composto e identificado pelos momentos vivi-
dos pela informação que os possam colocar em risco. Ou seja, os momentos são 
vivenciados justamente quando seus ativos físicos, tecnológicos e humanos fazem 
uso da informação, sustentando processos que, por sua vez, sejam mantidos na 
operação da empresa. Observando que a informação possa ser exposta a possíveis 
ameaças que as coloquem em risco, atingindo a sua segurança, temos 4 momentos 
desse ciclo de vida que são necessitam de uma melhor atenção.
Co
n�
de
nci
ali
da
de Integridade
Disponibilidade
Descarte Armazenamento
Manuseio
Transporte
Legalidade
Autenticidade
Informação
Figura 2 – Ciclo de Vida da Informação
O ciclo de vida da informação é composto por quatro itens principais, são eles:
• Manuseio: é definido pelo momento em que a informação é criada e/ou ma-
nipulada, seja ao acessar um documento impresso, uma apostila ou livro de 
papel ou ao digitar um endereço para acesso a um portal da Internet ou ao 
utilizar seu login e senha de acesso para autenticação de um serviço;
• Armazenamento: é definido pelo momento em que uma determinada infor-
mação é devidamente armazenada, seja em um arquivo morto que guarda 
documentos escritos ou impressos, e um sistema de banco de dados complexo 
ou apenas armazenado em um disco óptico, um hard disk externo (HD) ou até 
mesmo em um pen drive USB;
• Transporte: é definido pelo momento em que a informação é devidamente 
transportada, seja por um profissional do correio que leva a uma pessoa uma 
carta registrada, o envio de um correio eletrônico, o envio de uma mensagem 
via FAX, ou até mesmo o falar ao telefone uma informação confidencial;
11
UNIDADE Gestão da Segurança da Informação 
• Descarte: é definido pelo momento em que a informação é devidamente des-
cartada, seja ao depositar na lixeira de um departamento um documento im-
presso, ao eliminar um arquivo eletrônico em seu computador pessoal, ao des-
cartar um CD-ROM usado que apresentou uma falha de leitura, ou até mesmo 
ao apagar um e-mail de sua aplicação gerenciadora de correios eletrônicos.
Conceitos e Definições Importantes
A segurança da informação nada mais é do que a proteção dos sistemas de infor-
mação contra a negação de serviço a usuários não autorizados, assim como contra 
a intrusão e a modificação não autorizada de dados ou informações armazenadas, 
em processamento ou em trânsito, abrangendo a segurança dos recursos humanos 
(RH) de uma empresa, documentação e material das áreas e instalações da com-
panhia, das comunicações em rede e dos sistemas computacionais. Nesse âmbito, 
tem o intuito de detectar, prevenir, deter e documentar eventuais ameaças à sua 
estabilidade. É importante notar que, quando falamos de informação, não estamos 
tratando apenas da informação digitalizada e manipulada por sistemas computa-
cionais, mas sim de um todo, ou seja, a informação pode ser manipulada da forma 
falada, escrita e/ou digitalizada. A matéria de segurança da informação tem uma 
abordagem bastante ampla e não apenas focada (como a maioria pensa) em siste-
mas eletrônicos. Vamos, então, conhecer algumas definições e termos importantes 
para o estudo em segurança da informação (BURGESS, 2006).
Segurança da Informação
A base de entendimento da segurança da informação é composta de três fatores 
essenciais: a confidencialidade, a integridade e a disponibilidade. Vamos descrever 
de forma suscinta cada um desses itens.
Con�dencialidade
DisponibilidadeIntegridade
Segurança da
Informação
Figura 3 – Segurança da Informação 
12
13
• Confidencialidade: é a propriedade de que as informações não são dispo-
nibilizadas ou divulgadas a pessoas, entidades ou processos não autorizados. 
As informações geralmente serão aplicáveis apenas a um número limitado de 
indivíduos por causa de sua natureza, seu conteúdo, ou porque sua distribuição 
mais ampla resultará em efeitos indesejados, incluindo penalidades legais ou 
financeiras, ou constrangimento. Restringindo o acesso à informação aos que 
têm uma “necessidade de saber”, é uma boa prática e baseia-se no princípio da 
confiança (confidencialidade). Os controles para se garantir a confidencialidade 
constituem uma parte importante dos aspectos de gerenciamento de seguran-
ça da informação;
• Integridade: é a propriedade de salvaguardar com exatidão e integridade dos 
ativos. A informação só é útil se for completar e precisar, e assim permanecer. 
A manutenção desses aspectos da informação (sua integridade) é frequente-
mente crítica e pode assegurar que apenas certas pessoas tenham a autoridade 
apropriada para alterar, atualizar ou excluir informações;
• Disponibilidade: é a propriedade de ser acessível e utilizável sob demanda por 
uma entidade autorizada. A disponibilidade é uma área onde a evolução das 
tecnologias aumentou as dificuldades para o profissional de Segurança da In-
formação. No passado, em um mundo ideal, todas as informações importantes 
poderiam ser guardadas em um cofre muito seguro e de difícil acesso. Com a 
evolução das redes de comunicação e dos sistemas de armazenamento, nem 
sempre as informações de uma empresa estão guardadas em um dispositivo 
local ou até mesmo em uma sala-cofre. Isso fez com que os profissionais de 
segurança da informação tivessem a preocupação de como, onde e quando 
essa informação poderia estar disponível aos seus clientes e/ou colaboradores 
internos ou externos.
Outros autores podem incluir também os seguintes itens:
• Autenticidade: é a propriedade que garante que a informação ou o usuário 
da mesma é devidamente autêntico; atestando com exatidão a origem do dado 
ou informação;
• Não repúdio: é a propriedade que define o “não é possível negar” (no sentido 
de dizer que não foi dito ou realizado o que pode ser comprovado) uma opera-
ção ou serviço que modificou ou criou uma informação;
• Legalidade: é a propriedade que garante a legalidade (jurídica) da informa-
ção, aderência de um sistema à legislação, característicadas informações que 
possuem valor legal dentro de um processo de comunicação, em que todos os 
ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação 
política institucional, nacional ou internacional vigente;
• Privacidade: é a propriedade que foge do aspecto de confidencialidade, pois 
uma informação pode ser considerada confidencial, mas não privada. Uma 
informação privada deve ser vista/lida/alterada somente pelo seu dono. Pode 
garantir, ainda, que a informação não será disponibilizada para outras pessoas.
13
UNIDADE Gestão da Segurança da Informação 
Definição de Ativos e Tipos de Ativos
• Ativos: qualquer coisa que tenha valor para a organização, seus equipamentos, 
suas operações comerciais e sua continuidade nos negócios. Os recursos são 
tão importantes quanto os mecanismos para usá-los. Em segurança da infor-
mação, três tipos principais de ativos são considerados, embora as subcatego-
rias que se enquadram em cada um desses tipos principais possam ser nume-
rosas. Os três tipos principais são: (i) informação pura (em qualquer formato), 
(ii) ativos, tais como edifícios e sistemas de computador e (iii) software utilizado 
para processar ou gerenciar informações. Quando os ativos são considerados 
qualquer aspecto da Segurança da Informação, o impacto em todos os três ati-
vos deve ser revisado. O valor de um ativo é geralmente estimado no com base 
no custo ou valor de sua perda ou indisponibilidade para o negócio. Possuem, 
no entanto, outros aspectos a considerar como, por exemplo, o valor de um 
concorrente, o custo de recuperação ou reconstrução da informação, o dano 
a outras operações e até mesmo o impacto sobre intangíveis como reputação, 
consciência e lealdade do cliente.
Definição de Ameaça, Vulnerabilidade, Risco e Impacto
• Ameaça: uma causa potencial de um incidente que pode resultar em danos 
a um sistema ou organização. Uma ameaça é algo que pode acontecer e que 
pode causar algumas indesejadas consequências. Ameaças para uma organi-
zação podem ser oportunidades para outra. Tudo depende muito do ponto de 
vista, do meio ambiente e da situação em que se está considerando.
• Vulnerabilidade: uma fraqueza de um ativo ou grupo de ativos que podem ser 
explorados por uma ou mais ameaças. Uma vulnerabilidade é uma fraqueza, 
algo que, se explorada, poderia causar efeito indesejado;
• Risco: o potencial que uma determinada ameaça irá explorar vulnerabilidade 
de um ativo ou grupo de ativos e, assim, causar danos à organização. Risco 
é então a combinação desses dois itens: Se houver uma ameaça (de chuva) e 
vulnerabilidade (de não portar guarda-chuva), existe o risco de que o indiví-
duo envolvido pode se molhar e arruinar suas roupas. Também é importante 
reconhecer que às vezes pode haver uma combinação de circunstâncias que 
também levam a riscos mais sérios;
• Impacto: o resultado de um incidente de Segurança da Informação, causado 
por uma ameaça que afeta os ativos. No que se refere às empresas, o impacto 
sobre a organização e suas atividades diárias é geralmente uma consideração 
crucial e, muitas vezes, justifica medidas adicionais que possam ser tomadas.
Sistema de Gestão da Segurança da Informação (SGSI)
A norma base, em segurança da informação, é a ISO 27001, e ela adota o 
modelo PDCA (Plan-Do-Check-Act) para descrever a estrutura de um Sistema de 
14
15
Gestão da Segurança da Informação (SGSI). A próxima figura descreve cada uma 
das etapas desse modelo essencial para uma boa implementação (GALVÃO, 2015).
Planejar
AgirFazer
Checar
Manter o SGSI
Estabelecer o SGSI
Implementar o SGSI
Monitorar e
melhorar o SGSI
Figura 4 – Sistema de Gestão da Segurança da Informação 
• Estabelecer o SGSI: é a etapa que dá início a um sistema de gestão da se-
gurança da informação. Suas atividades devem estabelecer políticas, regras, 
objetivos, procedimentos e processos para que a gestão de segurança da infor-
mação seja implementada com sucesso. São as ferramentas estrategicamente 
fundamentais para que uma organização possa integrar suas atividades e as 
atividades de segurança da informação e as políticas de segurança (PSI), bem 
como os objetivos globais da instituição;
• Implementar o SGSI: consiste em implementar e operar a política de segu-
rança da informação, seus controles, suas medidas de segurança, seus proces-
sos e procedimentos aplicados em segurança. Também visa ao gerenciamento 
e à implementação dos procedimentos capazes de permitir a pronta detecção 
de eventos de segurança da informação baseados em respostas a incidentes;
• Monitorar e melhorar o SGSI: como o nome indica, essa atividade pode 
reunir práticas necessárias para a avaliação e eficiência do sistema de gestão 
de segurança da informação, apresentando os resultados para uma análise 
crítica pela alta gestão da organização, que praticamente assina as diretrizes 
definidas na política de segurança de informação. Também nessa etapa, são 
identificadas a criticidade em relação às análises e avaliações de riscos e aos 
níveis aceitáveis de riscos identificados;
• Manter o SGSI: após a implementação do SGSI, é importante a manuten-
ção desses sistemas por parte dos administradores de sistemas. Nesse âmbito,
15
UNIDADE Gestão da Segurança da Informação 
executar as ações corretivas e preventivas necessárias torna-se quase um pro-
cedimento cíclico do sistema de segurança da informação com base nos resul-
tados de auditoria interna e da análise crítica pela alta direção da organização. 
Outra etapa não menos importante é a comunicação das ações e melhorias 
dadas aos sistemas e transmitidas às pessoas interessadas.
Conceitos de Política de Segurança 
da Informação (PSI)
A Política de Segurança da Informação (PSI) é o conjunto de ações, técnicas e 
boas práticas relacionadas ao uso seguro de dados. Ou seja, trata-se de um docu-
mento ou manual que determina as ações mais importantes para garantir a segu-
rança da informação. A PSI funciona da mesma maneira que uma lei ou código 
de conduta em uma escola, só que tratando de segurança da informação. Com a 
digitalização crescente nas empresas e com o ganho de importância da área de 
TIC, ela é fundamental para garantir efeitos adequados. Ela garante que os dados 
sejam protegidos, especialmente de concorrentes e outras pessoas não autorizadas.
Portanto, é uma forma de manter elementos estratégicos longe de vazamentos. 
Ela ainda promove a homogeneização de atuação, de modo que todos saibam o 
que fazer e o que se pode evitar, ela também serve para administrar corretamente 
emergências. Com um plano de contingência ou backup, é possível saber como 
agir para prevenir danos maiores nos dados (GALVÃO, 2015).
Gestão de Riscos em Segurança da Informação em: https://youtu.be/uHV4pRpyzT8
Ex
pl
or
O Propósito dos Controles
Controles no sentido de Segurança da Informação são aquelas atividades que 
são tomadas para gerir os riscos identificados. Existem quatro tipos principais de 
controles, embora a implementação real de cada um desses tipos possa ser muito 
variada. São eles:
• Eliminar: evitar o risco. Decisão de não estar envolvido em uma ação que pos-
sa colocar um processo em uma situação de risco. Isso significa tomar um curso 
de ação que remove a ameaça de certo risco. Isso poderia implicar a remoção 
de um item específico que é inseguro, escolhendo fazer as coisas de uma ma-
neira completamente diferente. Às vezes, essa ação é chamada de “impedir”, 
“evitar” ou “terminar”;
16
17
• Reduzir: redução de risco. Ação tomada para diminuir a probabilidade, negati-
va de consequências, ou ambas, associadas ao risco. Isso significa tomar uma 
ou mais ações que reduzirão o impacto ou a probabilidade de ocorrência de um 
risco. Muitas vezes, é necessário usar várias dessas medidas em parceria para 
ter o efeito global desejado. Isso pode incluir medidas de contingência em vigor 
que mitigam o efeito se o risco não ocorrer. Um plano de backup ou “plano 
B”. Essa ação é, por vezes, referida como ‘tratar’;• Transferir: transferência de risco. Compartilhando com outra parte o ônus 
da perda, ou benefício de ganho, para um risco. Isso significa tomar medidas 
para transferir a responsabilidade por um risco para outro na organização que 
assumirá a responsabilidade pela gestão futura do risco. Na prática, isso pode 
significar retirar alguma forma de indenização ou seguro contra o risco, ocor-
rendo ou, talvez, escrevendo contratos de tal forma que o impacto financeiro 
de um risco a ocorrer seja suportado por um terceiro (danos liquidados). Essa 
ação é, por vezes, referida como “partilhar”;
• Aceitar: aceitação de risco. Decisão de aceitar um risco. Isso significa que a 
gerência sênior aceita que não é considerada prática ou sensível a tomar mais 
ação do que o risco. Isso poderia ser por uma série de razões que outras ações 
são consideradas inadequadas, mas não limitado a: impacto provável de um 
risco ser muito pequeno; probabilidade muito pequena de um risco ocorrer; 
custo de medidas apropriadas muito alto em comparação ao impacto financei-
ro do risco ocorrendo; risco fora do controle direto da organização. A decisão 
também deve estar relacionada ao apetite de risco da organização, que deter-
mina o nível de risco que a organização está preparada para aceitar. Isso, às 
vezes, é chamado de ‘tolerar’.
Identidade, Autenticação e Autorização
• Identidade: as propriedades de um indivíduo ou recurso que podem ser usadas 
para identificar exclusivamente um indivíduo ou recurso (Autores). Frequen-
temente, é necessário estabelecer quem está acessando as informações e a 
identidade dos indivíduos pode ser necessária. Isso pode permitir, por exem-
plo, trilhas de auditoria a serem produzidas para ver quem alterou um item 
específico de dados e, portanto, atribuir um nível apropriado de confiança à 
mudança. Esse conceito é igualmente aplicável a ativos, como parte específica 
de informações que precisam ser identificadas exclusivamente;
• Autenticação: assegurar que a identidade de um assunto ou recurso é a única 
reivindicada. Esse processo garante que o indivíduo é o que diz ser e confirma 
sua identidade em um nível apropriado de confiança apropriado para a tarefa 
em mão. Isso poderia ser simplesmente pedir-lhe, no mais básico, a sua data 
de nascimento, até completar uma verificação de identidade complexa usando, 
por exemplo, tokens, biometria e verificações detalhadas de dados biográficos;
17
UNIDADE Gestão da Segurança da Informação 
• Autorização: o processo de verificar a autenticação de um indivíduo ou recur-
so para estabelecer e confirmar seu uso autorizado, ou acesso às informações 
ou outros ativos. Para que qualquer um use um sistema de recuperação de in-
formações e gerenciamento, é uma boa prática ter um método de autorização 
que torne claros os bens aos quais alguém deve ter acesso e o tipo de acesso.
Contabilidade, Auditoria e Conformidade
• Contabilidade (Prestação de Contas): tem como função a responsabilidade 
por ações e processos. Quando qualquer ação é realizada em um sistema de 
informação, como parte do Sistema de Gerenciamento de Segurança da Infor-
mação, um indivíduo precisa ser responsável por essa ação;
• Auditoria: verificação de ações, processos, políticas e procedimentos. Esta é 
a verificação formal dos registros de um sistema para garantir que se previam 
de uma possível ocorrência. Os objetivos de uma auditoria podem incluir a 
identificação de falhas no funcionamento do sistema, observando as tendên-
cias ao longo do tempo para ajudar na resolução ou identificação de problemas 
ou outros requisitos. Também pode ajudar a identificar o uso indevido de in-
formações ou o uso inadequado de uma autorização, por exemplo, identificar 
atividade não autorizada;
• Conformidade: trabalhar de acordo com as ações, processos, políticas e pro-
cedimentos estabelecidos sem necessariamente ter revisões independentes. 
Assegurar que um sistema ou processo esteja de acordo com o definido ou es-
perado procedimento operacional é a conformidade. Isso poderia cobrir uma 
grande operação, como uma organização inteira que esteja em conformidade 
com um padrão para Segurança da Informação, ou poderia ser muito mais 
limitado a apenas certos aspectos da operação, ou usuários individuais, de 
um sistema específico sendo complacente. Em geral, a conformidade deve ser 
auditada de forma independente que possa obter certificação em relação a um 
padrão, uma estrutura legal ou regulatória por exemplo.
Introdução ao Gerenciamento de Redes – parte 3 – IDSs em: https://youtu.be/q2DkfPzXgAA
Ex
pl
or
18
19
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Livros
Entendendo os Conceitos de Backup
BARROS, E. Entendendo os Conceitos de Backup. Restore e Recuperação de 
Desastres. São Paulo: Ciência Moderna, 2007.
Administração de Sistemas da Informação
BRIEN, J. A.; MARAKAS, G. M. Administração de Sistemas da Informação. 15. 
ed. Porto Alegre: Bookman, 2013.
Monitoramento de Redes com Zabbix
LIMA, J. R. Monitoramento de Redes com Zabbix. Rio de Janeiro: Brasport, Rio 
de Janeiro, 2014.
Manual Completo do Linux Guia do Administrador
NEMETH, E.; SNYDER, G.; HEIN, T. R. Manual Completo do Linux Guia do 
Administrador. São Paulo: Pearson, Pretice Hall, 2007.
Administração de Sistemas da Informação
ROSINI, A. M.; PALMISANO, A. Administração de Sistemas da Informação. 2. ed. 
São Paulo: Cengage, 2012.
19
UNIDADE Gestão da Segurança da Informação 
Referências
BURGESS, M. Princípios da Administração de Redes e Sistemas. 2. ed. Rio de 
Janeiro: LTC, 2006.
EMC Services. Armazenamento de Gerenciamento de Informações. São Paulo: 
Bookman, 2010.
GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo: 
Person, 2015.
MORAES, A. F. Administração de Redes Remotas. São Paulo: Érica Saraiva, 2014.
SOUSA, L. B. Administração de Redes Locais. São Paulo: Érica Saraiva, 2014.
20