Análise de Gestão de Riscos - aulas de 5 a 7
Princípios - aulas 1 a 4

Faculdade de Tecnologia e Inovação
SENAC DF

Gestão de Segurança da Informação


Tecnologia em Segurança da Informação
Prof.ª Maristela Oliveira
maristela33781197@edu.df.senac.br
Ementa da Disciplina
A disciplina abrange os principais temas da Gestão de Segurança da Informação no contexto organizacional moderno, preparando o estudante para atuar com rigor técnico e visão estratégica.
Segurança Empresarial
Políticas, segurança lógica e física, administração e auditoria da segurança.
Normas ISO
Foco na ISO/IEC 27001:2013 e boas práticas internacionais de segurança.
Gestão de Riscos
Análise de riscos, inventário e proteção dos ativos de informação.
Projeto de SI
Desenvolvimento de projetos integrados de segurança em instituições reais.
Objetivo Geral
Capacitar o estudante a compreender, planejar, implementar e gerenciar a Segurança da Informação em ambientes organizacionais, utilizando boas práticas, normas internacionais e metodologias de análise de riscos, com foco na proteção dos ativos de informação.
Ao longo da disciplina, o estudante desenvolverá competências técnicas e gerenciais que o habilitarão a atuar de forma proativa na proteção de informações críticas para as organizações.
Objetivos Específicos
Ao final da disciplina, o estudante será capaz de dominar as competências fundamentais da área:
Compreensão Contextual
Entender o papel estratégico da Segurança da Informação no contexto empresarial contemporâneo.
Identificação de Ameaças
Reconhecer ameaças, vulnerabilidades e impactos sobre os ativos de informação da organização.
Elaboração de Políticas
Redigir políticas de segurança alinhadas às necessidades e ao perfil de risco organizacional.
Análise e Tratamento de Riscos
Executar processos completos de análise, avaliação e mitigação de riscos de segurança.
Auditoria e Normas
Avaliar controles de segurança por meio de auditoria e aplicar os requisitos da ISO/IEC 27001.
Conteúdo Programático
Estrutura — 6 Unidades
O conteúdo está organizado em uma sequência progressiva, partindo dos fundamentos até o desenvolvimento de projetos completos de segurança.
01
Fundamentos da Segurança da Informação
Princípios de confidencialidade, integridade e disponibilidade; ameaças e governança.
02
Políticas de Segurança da Informação
Estrutura, elaboração, responsabilidades e administração da PSI.
03
Segurança Lógica e Física
Controles, gestão de acessos, autenticação e segurança ambiental.
04
Análise e Gestão de Riscos
Identificação, classificação, análise qualitativa e tratamento de riscos.
05
Normas e Auditoria em SI
ISO/IEC 27001:2013, controles de segurança e processos de auditoria.
06
Projeto de Segurança da Informação
Integração de políticas, controles, riscos e melhoria contínua.
Unidade 1
Fundamentos da Segurança da Informação
Confidencialidade
Garantir que a informação seja acessada apenas por pessoas autorizadas.
Integridade
Assegurar a exatidão e completude da informação e dos métodos de processamento.
Disponibilidade
Garantir que usuários autorizados tenham acesso à informação quando necessário.
A tríade CID (Confidencialidade, Integridade e Disponibilidade) é o pilar central de toda estratégia de Segurança da Informação. A disciplina contextualiza esses princípios no cenário empresarial, abordando ameaças, vulnerabilidades, riscos e os fundamentos de governança em SI.
Princípios Adicionais
Além da tríade Confidencialidade, Integridade e Disponibilidade, a Gestão de Segurança da Informação abrange outros princípios fundamentais para uma proteção robusta dos ativos.
Autenticidade
Garantir a veracidade da identidade de um usuário, sistema ou informação. É a certeza de que a informação é original e que o remetente é quem diz ser.
Não Repúdio
Provar que uma ação ou transação ocorreu, evitando que a parte envolvida negue sua participação. Garante a responsabilidade sobre as operações realizadas.
Privacidade
Assegurar o controle sobre informações pessoais e dados sensíveis, garantindo que sejam coletados, armazenados e processados de acordo com a legislação e consentimento do titular.
Unidade 2
Políticas de Segurança da Informação
O que é a PSI?
A Política de Segurança da Informação (PSI) é o documento central que define as diretrizes, responsabilidades e controles adotados pela organização para proteger seus ativos de informação. Ela deve estar alinhada ao negócio e ser comunicada a todos os colaboradores.
Componentes Essenciais
  • Escopo e objetivos da política
  • Papéis e responsabilidades definidos
  • Diretrizes de uso aceitável
  • Gestão de incidentes de segurança
  • Programa de conscientização dos usuários
  • Processos de revisão e atualização periódica

Caso Real — C&M Software × PIX (jun/2025)
A C&M Software, provedora de serviços para o setor financeiro, sofreu um ataque que explorou credenciais vazadas e possível insider threat — evidenciando a ausência de uma Política de Segurança da Informação robusta com controles de acesso e monitoramento de usuários privilegiados. O prejuízo estimado foi de R$ 600 milhões, afetando 6 instituições financeiras.
Lição para PSI: Políticas de acesso mínimo necessário, gestão de identidades e cláusulas de responsabilidade para colaboradores são componentes críticos de qualquer PSI eficaz.
Fonte: Segura.Security / InfoMoney, jul/2025
Unidade 3
Segurança Lógica e Física
A proteção dos ativos de informação demanda uma abordagem integrada que combine controles tecnológicos, físicos e humanos.
Segurança Lógica
Controles de acesso, autenticação multifactor, criptografia, firewalls e sistemas de detecção de intrusão para proteger ativos digitais.
Segurança Física e Ambiental
Perímetros de segurança, controle de acesso físico, proteção contra desastres naturais e ambientais em data centers e instalações críticas.
Fatores Humanos
Engenharia social, conscientização dos colaboradores, treinamentos e a cultura de segurança como linha de defesa essencial.

📌 Caso Real — Unimed × Apache Kafka exposto (mar/2025)
Um servidor Apache Kafka da Unimed foi deixado publicamente exposto na internet sem qualquer mecanismo de autenticação ou controle de acesso. Pesquisadores da Cybernews identificaram que mais de 14 milhões de mensagens trocadas entre pacientes e o chatbot "Sara" podiam ser interceptadas — incluindo sintomas, solicitações de exames e documentos pessoais.
Lição para Segurança Lógica: A ausência de autenticação em serviços expostos e a falta de segmentação de rede são falhas críticas de segurança lógica. Inventário de ativos e testes de exposição periódicos são indispensáveis.
Fonte: Tera Tecnologia / Cybernews, 2025
Unidade 4
Análise e Gestão de Riscos
A gestão de riscos é um processo sistemático que permite à organização identificar, avaliar e tratar os riscos que ameaçam seus ativos de informação de forma estruturada e contínua.
O processo de análise qualitativa de riscos considera a probabilidade de ocorrência e o impacto potencial de cada ameaça identificada, permitindo priorizar os esforços de segurança de forma eficiente e alinhada à realidade da organização.

📌 Caso Real — KNP Logistics × Ransomware Akira (set/2025)
A KNP Logistics Group, empresa britânica de logística com 158 anos de história, foi atacada pelo grupo Akira após um funcionário usar uma senha fraca em sistema sem MFA. Os criminosos criptografaram dados críticos e destruíram os backups e sistemas de recuperação de desastres. Sem acesso a dados de rotas e operações, todos os caminhões pararam. A empresa entrou em insolvência e demitiu 700 funcionários. O resgate exigido foi de £5 milhões.
Lição para Gestão de Riscos: O risco de senha fraca + ausência de MFA + backups sem isolamento foi subestimado. A análise de riscos deve contemplar ativos críticos, ameaças de ransomware e planos de continuidade de negócios testados regularmente.
Fonte: TecMundo, set/2025
Unidade 5
Normas ISO e Auditoria em Segurança
ISO/IEC 27001:2013
Norma internacional que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI). É a principal referência para certificação em SI.
ISO/IEC 27002
Código de práticas que fornece diretrizes para a seleção e implementação de controles de segurança, complementando os requisitos da 27001 com orientações técnicas detalhadas.
Auditoria de Segurança
Processo formal de avaliação que verifica a conformidade das políticas e controles implementados com as normas e requisitos definidos, identificando não conformidades e oportunidades de melhoria.
Unidade 6
Projeto de Segurança da Informação
O Projeto
Ao final da disciplina os estudantes desenvolverão um projeto completo de Segurança da Informação para uma instituição real ou simulada. O projeto integra todos os conhecimentos da disciplina: levantamento de ativos, análise de riscos, definição de controles, elaboração de políticas e planejamento de auditoria.
O objetivo é simular a experiência profissional real de um gestor de segurança da informação atuando em uma organização.
Etapas do Projeto
  • Levantamento e inventário de ativos de informação
  • Identificação de ameaças e vulnerabilidades
  • Análise e classificação de riscos
  • Proposta de controles e políticas de segurança
  • Planejamento de auditoria interna
  • Maturidade e plano de melhoria contínua
Metodologia de Ensino
A disciplina adota uma abordagem ativa e orientada à prática, combinando diferentes estratégias para maximizar o aprendizado e preparar o estudante para desafios reais do mercado de trabalho.
Aulas Expositivas Dialogadas
Apresentação dos conceitos teóricos com incentivo à participação ativa, questionamentos e reflexões críticas por parte dos estudantes.
Estudos de Caso Reais
Análise de situações reais de organizações que sofreram incidentes de segurança ou implementaram programas bem-sucedidos de gestão de SI.
Trabalhos em Grupo e Projeto Integrador
Desenvolvimento colaborativo de um projeto de segurança com entregas parciais ao longo do semestre e apresentação final para a turma.
Avaliação da Aprendizagem
A avaliação é contínua, processual e multidimensional, valorizando tanto o desenvolvimento técnico quanto a capacidade de aplicação prática dos conhecimentos adquiridos.
1
Projeto em Grupo
Entregas parciais ao longo do semestre e apresentação final, avaliando a aplicação integrada dos conteúdos da disciplina em um cenário organizacional completo.
2
Atividades Práticas e Estudos de Caso
Desenvolvidos em sala de aula, avaliam a capacidade de análise crítica, resolução de problemas e aplicação prática dos conceitos estudados.
3
Avaliação Individual Teórica
Avalia a compreensão conceitual, a coerência técnica e o domínio dos fundamentos da Gestão de Segurança da Informação.
Critérios de Avaliação
Os critérios foram definidos para garantir uma avaliação equilibrada entre o domínio teórico e a competência prática, refletindo as exigências reais do mercado de trabalho em Segurança da Informação.
Casos Brasileiros
Estudos de Caso Reais
Incidentes reais ocorridos no Brasil ilustram as consequências de falhas na Gestão de Segurança da Informação — e reforçam a importância dos temas abordados nesta disciplina.
FGV × DragonForce (mar/2026)
Falha: Ausência de controles de detecção e resposta a ransomware.
Grupo DragonForce alegou comprometimento de 1,52 TB de dados (formulários, CPFs, RGs, e-mails). Prazo de 10 dias para pagamento de resgate.
Lição: Planos de resposta a incidentes e backups isolados são essenciais.
Fonte: TecMundo, 02/03/2026
Unimed × Apache Kafka exposto (mar/2025)
Falha: Servidor Apache Kafka sem autenticação exposto publicamente na internet.
Mais de 14 milhões de mensagens de pacientes potencialmente interceptáveis (sintomas, exames, documentos).
Lição: Controle de acesso e segmentação de rede são inegociáveis.
Fonte: Tera Tecnologia / Cybernews, 2025
C&M Software × PIX (jun/2025)
Falha: Credenciais comprometidas + possível insider threat.
Infraestrutura de 6 instituições financeiras interrompida. Prejuízo estimado em R$ 600 milhões — um dos maiores incidentes do setor financeiro brasileiro.
Lição: Gestão de identidade, MFA e monitoramento de ameaças internas são críticos.
Fonte: Segura.Security / InfoMoney, jul/2025
KNP Logistics × Ransomware Akira (set/2025)
Falha: Senha fraca sem MFA em sistema exposto.
Grupo Akira criptografou dados e destruiu backups. Empresa com 158 anos de história entrou em falência, demitindo 700 funcionários.
Lição: Políticas de senhas fortes + MFA + backups offline são a base da resiliência.
Fonte: TecMundo, set/2025
Recursos Didáticos e Bibliografia
Recursos Didáticos
  • Slides e materiais digitais atualizados
  • Estudos de caso e artigos técnicos especializados
  • Projetor multimídia e ambiente virtual de aprendizagem
  • Documentos e normas técnicas oficiais (ISO/IEC 27001 e 27002)
Bibliografia Básica
  • ABNT NBR ISO/IEC 27001:2013 — Sistemas de Gestão da Segurança da Informação
  • STALLINGS, William — Criptografia e Segurança de Redes
  • FONTES, Edison — Segurança da Informação: o usuário faz a diferença
  • ABNT NBR ISO/IEC 27002 — Código de práticas para controles de segurança
Bons Estudos!
A Gestão de Segurança da Informação é uma das áreas mais estratégicas e dinâmicas da tecnologia contemporânea. Esta disciplina oferece as bases teóricas e as ferramentas práticas para que você atue com excelência na proteção dos ativos mais valiosos de qualquer organização: suas informações.

Dúvidas e contato:
Prof.ª Maristela Oliveira
Ambiente virtual de aprendizagem da instituição (Moodle)
E-mail: maristela33781197@edu.df.senac.br.
Fique atento às datas de entrega das atividades e projeto.
Material em constante atualização