UNIDADE 4: POLTICAS

DE SEGURANA E SGSI

4.1 Conceitos bsicos

da poltica de segurana
da informao

1
 O que Poltica de Segurana?

Conjunto de NORMAS e DIRETRIZES destinadas para

proteo dos bens da organizao
Objetivo:
Definir a forma da utilizao dos seus recursos atravs de
procedimentos para prevenir e atender incidentes de segurana
Importncia da Poltica de Segurana da Informao (PSI):
Informao como recurso mais valioso, sendo ttico, estratgico ou
operacional
Poltica de segurana visa proteger a informao

Poltica de Segurana da Informao -

PSI
A poltica deve ser criada diretamente com base na
anlise de risco

PSI no independente, ela especifica e detalha as

regras, normas e leis existentes

2
 reas de normalizao da PSI
Processual
Ex.: Classificao da informao, o processo de anlise de riscos
Tecnolgica
Ex.: Bom funcionamento de servidores, estaes de trabalho,
acesso Internet
Humana
Ex.: Conduta considerada adequada para o tratamento das
informaes

Como deve ser e o que deve conter a

PSI?
Flexvel Justificativa de cada norma
Simples Responsabilidades
Objetiva Consequncias de no-
Regras Claras cumprimento

Consistente Informaes de contato

Aplicvel Privacidade

Vivel O que no consta

De acordo com as leis Continuidade (se aplicvel)

3
 Temas da poltica
Para elaborar uma poltica, necessrio delimitar os
temas que sero transformados em normas

A diviso dos temas de uma poltica depende das

necessidades da organizao, e sua delimitao feita a
partir de:
Conhecimento do ambiente organizacional, humano e
tecnolgico
Compilao das preocupaes sobre segurana por parte
dos usurios, administradores e executivos da empresa

Exemplos de temas
Segurana fsica: aceso fsico, infra-estrutura do edifcio, datacenter
Segurana da rede corporativa: configurao dos sistemas operacionais,
acesso lgico e remoto, autenticao, Internet, gerenciamento de mudanas,
desenvolvimento de aplicativos
Segurana de usurios: composio de senhas, segurana em estaes de
trabalho
Segurana de dados: criptografia, classificao, privilgios, cpias de
segurana e recuperao, antivrus, plano de contingncia
Aspectos legais: prticas pessoais, contratos e acordos comerciais, leis e
regulamentaes governamentais

4
 Abrangncia

Tpicos de abrangncia:
Vigncia (Incio e Fim)
Importncia da Poltica de Segurana
Quais recursos so protegidos
Quais aplicativos e softwares sero permitidos
Qual procedimento para se conceder ou revogar privilgios na rede
No caso de violao da poltica, o que deve ser feito?

Divulgao da Poltica de Segurana

Avisos
Reunies
Treinamentos Gerais e Departamentais ou Setoriais
Exemplificao atravs de informativos, jornais,
peas teatrais e outros veculos de informao

5
 Exerccio

Analisar algumas PSIs para verificar seus contedos e

particularidades

Comisso de Segurana

Comisso de Segurana: exemplos de atribuies em uma

universidade:
Assessorar a Comisso de Informtica, o DI, os Centros de
Informtica da capital e do Interior no tratamento das questes de
segurana
Elaborar uma Poltica de Segurana que d sustentaes s
atividades de proteo da informao eletrnica da universidade
Propor Planos de Segurana e de Contingncia para os sistemas
computacionais da universidade, sempre que possvel de acordo
com a norma NBR 27002
Acompanhar a implantao e execuo dos planos propostos

6
 Documentos da PSI

Diretrizes
Diretrizes: Fundamentos estratgicos da
organizao
Correspondem a todos os valores que devem ser seguidos
para que o principal patrimnio da empresa, que so as
informaes, tenha o nvel de segurana exigido

7
 Normas
Normas: Regras gerais da segurana das informaes
que devem ser usadas por todos os segmentos
envolvidos nos processos de negcio da instituio

Por estarem em um nvel ttico (desdobramento da

estratgia), podem ser especficas para o pblico a que
se destinam
Normas de segurana para tcnicos
Normas de segurana para usurios

Procedimentos
Procedimentos: Orientaes para realizar atividades
operacionais relacionadas a segurana

Estas atividades operacionais envolvem

procedimentos passo a passo que so detalhados,
permitindo que sua execuo seja padronizada,
garantindo a observao de aspectos de segurana

8
 Exemplos de Documentos FINAIS de
uma PSI
Portaria - Comisso de Segurana
Portaria - Grupo de Segurana
Poltica de Segurana da rede interna
Norma de Segurana para a rede interna
Norma para Utilizao de Recursos Computacionais
Norma para Uso de Correio Eletrnico
Norma para Computadores Pessoais
Norma de Uso de Servios de Acesso Discado
Norma de Uso de Servios SSH
Norma de Uso de Servios Telnet
Norma de Uso de Servios FTP
Norma para Utilizao de Rede
Norma de Contingncia
Norma para Uso do DNS
Norma para Uso de Servios e Servidores WWW
Tcnicas para Pontuao dos Ativos rede interna
Formulrio para Estabelecer Criticidade dos Ativos
Norma para Estruturao dos Ativos
Padro para Criao de Documentos
Terminologia e Glossrio para a Poltica de Segurana

Abrangncia da Poltica de Segurana

No escopo definido, os quesitos da Poltica de Segurana
devem ser aplicados de maneira mandatria

Fora desse escopo, eles devem servir de recomendaes,

podendo ser aplicados pelos outros setores da organizao

9
 Exerccio

Elaborar diretrizes especficas que devem constar em

uma poltica de segurana da informao de uma
empresa

4.2 Objetivos e estrutura

do SGSI

10
 Sistema de Gesto de Segurana da
Informao - SGSI
A adoo de um SGSI uma deciso estratgica para
uma organizao
O estabelecimento e a implementao so
influenciados pelas suas necessidades e objetivos,
requisitos de segurana, processos organizacionais
usados, tamanho e estrutura da organizao
esperado que todos esses fatores mudem ao longo
do tempo

Sistema de Gesto de Segurana da

Informao - SGSI
O SGSI preserva a confidencialidade, integridade e
disponibilidade da informao por meio da aplicao de
um processo de gesto de riscos e fornece confiana
para as partes interessadas de que os riscos so
adequadamente gerenciados

11
 Sistema de Gesto de Segurana da
Informao - SGSI
importante que um SGSI seja parte de, e esteja
integrado com os processos da organizao e com a
estrutura de administrao global, e que a segurana
da informao seja considerada no projeto dos
processos, sistemas de informao e controles

esperado que a implementao de um SGSI seja

planejada de acordo com as necessidades da
organizao

4.3 Objetivos das

normas ABNT 27001 e
27002

12
 O que a ISO?
ISO o nome usual com o qual conhecida a
International Organization for Standardization
(Organizao Internacional de Padronizao)

uma entidade fundada em 1947, sediada na Sua

Congrega organismos de normalizao nacionais, cuja
principal atividade a de elaborar padres para
especificaes e mtodos de trabalho nas mais diversas
reas da sociedade, exceto no setor eletro-eletrnico onde
a responsabilidade fica a cargo da International
Electrotechical Comission (IEC)

Famlia ISO/IEC 27000

ISO/IEC 27000, Information security management systems Overview and vocabulary
ISO/IEC 27001, Information security management systems Requirements
ISO/IEC 27002, Code of practice for information security controls
ISO/IEC 27003, Information security management system implementation guidance
ISO/IEC 27004, Information security management Measurement
ISO/IEC 27005, Information security risk management
ISO/IEC 27006, Requirements for bodies providing audit and certification of information
security management systems
ISO/IEC 27007, Guidelines for information security management systems auditing

13
 Famlia ISO/IEC 27000
ISO/IEC TR 27008, Guidelines for auditors on information security controls
ISO/IEC 27010, Information security management for inter-sector and inter-organizational
communications
ISO/IEC 27011, Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002
ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and
ISO/IEC 20000-1
ISO/IEC 27014, Governance of information security
ISO/IEC TR 27015, Information security management guidelines for financial services
ISO/IEC TR 27016, Information security management Organizational economics
ISO 27799:2008, Health informatics Information security management in health using
ISO/IEC 27002

14
 DTI/CCSC USERS CODE OF PRACTICE: 1987
DEPTO. OF TRADE AND INDUSTRYS / COMMERCIAL COMPUTER SECURITY CENTER

NCC/BS PD 0003: 1989

A CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT

BS 7799-1: 1995 BS 7799-2: 1998

BS 7799-1: 1999 BS 7799-2: 2002

ISO 17799:2000 ISO 27001:2005

NBR 17799:2001 NBR 27001:2006

NBR 17799:2005 ISO 27001:2013

ISO 27002:2005 NBR 27001:2013

NBR 27002:2005

ISO 27002:2013
NBR 27002:2013

ISO/IEC 27001

Norma ISO/IEC 27001 (Information Technology -

Information Security Management Systems -
Requirements)

Referncia da implantao de Processos de Gesto de

Segurana da Informao
Veio tornar padro internacional, que havia sido desenvolvido
e publicado pela entidade normativa inglesa BSI (British
Standard Institution), com a designao de BS7799-2

15
 ISO/IEC 27001
Norma ISO/IEC 27001 trata da implantao de um Processo de
Gesto de Segurana da Informao (ISMS - Information
Security Management Systems)

Esta norma, em conjunto com a ISO/IEC 27002 (Cdigo de

Boas Prticas da Gesto de Segurana da Informao), so
as principais referncias, atualmente, para a quem procura tratar
a questo da segurana da informao de maneira eficiente e
com eficcia

ISO/IEC 27001
Uma metodologia estruturada reconhecida internacionalmente
dedicada a segurana da informao
Um processo definido para validar, implementar, manter e
gerenciar a segurana da informao
Um grupo detalhado de controles compreendidos das
melhores prticas de segurana da informao
Desenvolvido pelas empresas para as empresas

16
 ISO/IEC 27001 no

Um padro tcnico
Um produto ou tecnologia dirigida
Uma metodologia de avaliao do equipamento
Mas pode exigir a utilizao de Nveis de Garantia dos
Equipamentos

Verses ISO/IEC 27001

A verso mais atual a de 2013, que sucede e substitui a
verso de 2005

Alinhamento com as diretrizes do Anexo SL (conhecido

antigamente como ISO Guide 83), que padroniza definies e
estruturas de diferentes sistemas de gesto ISO
Com isso, a norma est alinhada com outros padres de
sistemas de gesto, como ISO 9001, ISO 14000, ISO 20000, ISO
22000, ISO 22301

17
 Anexo SL
Todas as normas de sistema de Clusula 1: Escopo
gesto do futuro tero a mesma Clusula 2: Referncia normativa
estrutura de alto nvel, texto Clusula 3: Termos e definies
principal idntico, bem como Clusula 4: Contexto da organizao
termos e definies comuns Clusula 5: Liderana
Clusula 6: Planejamento

A estrutura de alto nvel no pode ser Clusula 7: Suporte

modificada, por sua vez podem ser Clusula 8: Operao

acrescentadas subclusulas e texto Clusula 9: Avaliao de Desempenho

especfico para cada disciplina Clusula 10: Melhoria

abordada
http://www.bsigroup.com/LocalFiles/pt-BR/Entendendo%20o%20Anexo%20SL.pdf

Anexo SL
Clusula 1: Escopo
O escopo estabelece os resultados desejados do sistema de gesto. Os
resultados so especficos da organizao e devem alinhar-se com o
contexto de cada uma (clusula 4)
Clusula 2: Referncia Normativa
Fornece detalhes das normas de referncia ou publicaes pertinentes para
uma determinada norma
Clusula 3: Termos e Definies
Detalhes dos termos e definio aplicveis norma especfica, alm de
qualquer norma formal relacionada a definies e termos

18
 Anexo SL
Clusula 4: Contexto da Organizao
Como a base de um sistema de gesto, a clusula 4 determina porque
a organizao est aqui
Como parte da resposta a esta pergunta, a organizao precisa
identificar questes internas e externas que podem ter um impacto
sobre seus resultados desejados, bem como todas as partes
interessadas e seus requisitos
Tambm precisa documentar seu escopo e estabelecer os limites do
sistema de gesto - todos de acordo com os objetivos de negcio

Anexo SL
Clusula 5: Liderana
A nova estrutura de alto nvel d uma nfase especial liderana, no
apenas gesto como estabelecido em normas anteriores
Isto significa que a alta administrao agora tem uma maior responsabilidade
e envolvimento no sistema de gesto da organizao
Ela precisa integrar os requisitos do sistema de gesto no processo de
negcio principal da organizao, assegurar que o sistema de gesto atinge
os seus resultados desejados e alocar os recursos necessrios
A alta administrao tambm responsvel por comunicar a importncia do
sistema de gesto e aumentar a conscientizao e o envolvimento dos
funcionrios

19
 Anexo SL
Clusula 6: Planejamento
Traz o pensamento baseado no risco adiante. Assim como a organizao
destacou riscos e oportunidades na clusula 4, ela precisa estipular como
tais riscos e oportunidades sero tratados atravs do planejamento.
A fase de planejamento olha para o que, quem, como e quando estes riscos
devem ser tratados.
Esta abordagem proativa substitui a ao preventiva e reduz a necessidade
de aes corretivas posteriormente. colocado tambm um foco especial
nos objetivos do sistema de gesto.
Estes devem ser mensurveis, monitorados, comunicados, alinhados
poltica do sistema de gesto e atualizados quando necessrio

Anexo SL
Clusula 7: Suporte
Depois de abordar o contexto, compromisso e planejamento, as
organizaes tero que olhar para o suporte que necessitam para
atingir suas metas e objetivos.
Isto inclui recursos, comunicaes internas e externas direcionadas,
bem como informaes documentadas que substituem termos
anteriormente usados, tais como documentos, documentao e
registros.

20
 Anexo SL
Clusula 8: Operao
A maior parte dos requisitos do sistema de gesto est centrada nesta
clusula nica. A clusula 8 trata tanto dos processos internos como
terceirizados, enquanto a gesto de processo total inclui critrios
adequados para controlar estes processos, bem como modos de gerir
a mudana planejada e no intencional.

Anexo SL
Clusula 9: Avaliao de Desempenho
Aqui, as organizaes precisam determinar o que, como e quando as
coisas so monitoradas, medidas, analisadas e avaliadas
Uma auditoria interna tambm faz parte deste processo para
assegurar que o sistema de gesto esteja em conformidade com os
requisitos da organizao, bem como a norma, e seja implementado e
mantido de maneira bem sucedida
A etapa final, reviso de gesto, observa se o sistema de gesto
conveniente, adequado e eficaz

21
 Anexo SL
Clusula 10: Melhoria
Observa como devem ser geridas as no conformidades e as aes
corretivas. Em um mundo dos negcios que se modifica a todo
instante, nem tudo acontece de acordo com o planejado
A clusula 10 observa modos de abordar as no conformidades e
aes corretivas, bem como as estratgias para a melhoria em uma
base contnua

O que a ABNT?
Normas nacionais so normas tcnicas estabelecidas por
um organismo nacional de normalizao para aplicao
num dado pas
Em cada pas, normalmente, existe um organismo
nacional de normalizao
No Brasil, as Normas Brasileiras (NBR) so elaboradas
pela ABNT (Associao Brasileira de Normas Tcnicas)
A ABNT reconhecida pelo Estado brasileiro como o
Frum Nacional de Normalizao
As NBR so reconhecidas formalmente como as normas
brasileiras

22
 ABNT NBR ISO/IEC 27001
SISTEMAS DE GESTO DE SEGURANA DA
INFORMAO REQUISITOS
Especifica os requisitos para estabelecer, implementar, manter
e melhorar continuamente um sistema de gesto da
segurana da informao dentro do contexto da organizao
Tambm inclui requisitos para a avaliao e o tratamento de
riscos de segurana da informao voltados para a necessidade
da organizao

Principal caracterstica: DEVE

Estrutura ABNT NBR ISO/IEC

27001:2013
1: Escopo
2: Referncia Normativa
3: Termos e Definies
4: Contexto da Organizao
4.1 Entendendo a organizao e seu contexto
4.2 Entendendo as necessidades e expectativas das partes interessadas
4.3 Determinando o escopo do sistema de gesto da segurana de
informao
4.4 Sistema de Gesto da Segurana da Informao

23
 Estrutura ABNT NBR ISO/IEC
27001:2013
5: Liderana
5.1 Liderana e comprometimento
5.2 Poltica
5.3 Autoridades, responsabilidades e papis organizacionais
6: Planejamento
6.1 Aes para contemplar riscos e oportunidades
6.2 Objetivo de segurana da informao e planejamento para alcan-los

Estrutura ABNT NBR ISO/IEC

27001:2013
7: Apoio
7.1 Recursos
7.2 Competncia
7.3 Conscientizao
7.4 Comunicao
7.5 Informao documentada
8: Operao
8.1 Planejamento operacional e controle
8.2 Avaliao de riscos de segurana da informao
8.3 Tratamento de riscos de segurana da informao

24
 Estrutura ABNT NBR ISO/IEC
27001:2013
9: Avaliao do Desempenho
9.1 Monitoramento, medio, anlise e avaliao
9.2 Auditoria interna
9.3 Anlise crtica pela Direo
10: Melhoria
10.1 No conformidade e as ao corretiva
10.2 Melhoria Continua
Anexo A. Referncia aos controles e objetivos de controles

Alguns Benefcios da Certificao

ISO/IEC 27001
Responsabilidade reduzida devido s polticas e aos procedimentos
no implementados ou reforados
Oportunidade de identificar e eliminar fraquezas
A Gerncia participa da Segurana da Informao
Reviso independente do seu SGSI
Fornece segurana a todas as partes interessadas
Melhor conscincia da segurana
Une recursos com outros sistemas de gerenciamento
Mecanismo para medir o sucesso do sistema

25
 Algumas razes para adotar o ISO/IEC
27001
Eficcia melhorada da Segurana da Informao
Diferenciao do Mercado
Satisfazer exigncias dos clientes
nico padro com aceitao global
Responsabilidades focadas na equipe de trabalho
A Tecnologia da Informao cobre padres to bem quanto a
organizao, pessoal e facilidades
Mandatos e leis

Viso da situao dos certificados no

mundo
TOP 10 Mundial TOP 10 Europa TOP 10 Amrica Latina
Pos Pas Qtd Pos Pas Qtd Pos Pas Qtd
1 Japo 7084 1 Reino Unido 1923 1 Brasil 82
2 ndia 1931 2 Itlia 901 2 Colmbia 82
3 Reino Unido 1923 3 Romnia 840 3 Mxico 80
4 China 1710 4 Espanha 799 4 Argentina 40
5 Itlia 901 5 Alemanha 581 5 Chile 24
6 Taiwan 861 6 Repblica Tcheca 397 6 Costa Rica 10
7 Romnia 840 7 Pases Baixos 316 7 Peru 9
8 Espanha 799 8 Polnia 307 8 Uruguai 8
9 Alemanha 581 9 Hungria 280 9 Equador 5
10 Estados Unidos 566 10 Bulgria 278 10 Repblica Dominicana 4

http://www.computerworlduniversity.es/actualidad/top-10-de-las-certificaciones-iso-27001-en-europa-y-el-mundo

26
Certificao ABNT NBR ISO/IEC 27001
Algumas empresas que j foram certificadas no Brasil
Banco Matone S.A.
CIP Cmara Interbancria de Pagamentos
Fucapi Fundao Centro de Anlise
Mdulo Security Solutions S.A.
Promon Engenharia LTDA
Promon Tecnologia LTDA
SAMARCO Minerao LTDA
Serasa, So Paulo
SERPRO
Telefonica Empresas S.A.
UNISYS

ABNT NBR ISO/IEC 27002

CDIGO DE PRTICA PARA A GESTO DA
SEGURANA DA INFORMAO
Apresenta as melhores prticas a serem utilizadas na
gesto da segurana da informao

Principal caracterstica: CONVM

27
 Verses ABNT NBR ISO/IEC 27002
Antiga norma ABNT NBR ISO/IEC 17799
A verso mais atual a de 2013, que sucede e substitui
a verso de 2005
Em comparao com a verso 2005, o nmero de
sees aumentou de 11 para 14 sees
A verso 2013 recomenda 114 tipos de controles
bsicos

Categorias de Controle
Cada seo principal contm:
a) Um objetivo do controle declarando o que se espera que
seja alcanado
b) Um ou mais controles que podem ser aplicados para se
alcanar o objetivo de controle

28
 Categorias de Controle
As descries do controle esto estruturadas da seguinte forma:
Controle:
Define a declarao especfica do controle, para atender ao objetivo de controle
Diretrizes para implementao:
Apresenta informaes mais detalhadas para apoiar a implementao do controle e
alcanar o objetivo do controle
As diretrizes podem no ser totalmente adequadas ou suficientes em todas as
situaes e podem, portanto, no atender completamente aos requisitos de controle
especficos de uma organizao
Informaes adicionais:
Apresenta mais dados que podem ser considerados, como p.ex., questes legais e
referncias normativas
Se no existem informaes adicionais, esta parte no mostrada no controle

Sees principais da ABNT NBR

ISO/IEC 27002:2013
5 Polticas de Segurana da 13 Segurana nas Comunicaes
Informao 14 Aquisio, desenvolvimento e
6 Organizao da Segurana da manuteno de sistemas
Informao 15 Relacionamento na Cadeia de
7 Segurana em Recursos Humanos Suprimentos
8 Gesto de Ativos 16 Gesto de Incidentes de Segurana da
9 Controle de Acesso Informao
10 Criptografia 17 Aspectos da segurana da informao
na Gesto da Continuidade do Negcio
11 Segurana Fsica e do Ambiente
18 Conformidade
12 Segurana nas Operaes

29
 Estudo de Caso - ABNT NBR ISO/IEC
27002:2013
Analista do Departamento Americano de Assuntos dos Veteranos de Guerra suspeito. Agncias de crdito
e bancos j foram avisados.
O Departamento Americano de Assuntos dos Veteranos de Guerra (VA) alertou os veteranos militares, nesta segunda-feira (22/05), que suas
informaes pessoais podem estar entre os dados de 26,5 milhes de clientes, roubados por um analista do prprio rgo.

Os dados incluem nome, nmero do seguro social e datas de aniversrio dos veteranos e suas esposas, conforme comunicado emitido pelo VA.
A agncia suspendeu o analista, no identificado, enquanto conduz a investigao.

O fato aconteceu esse ms e os dados no incluem nenhum registro eletrnico sobre a sade ou finanas dos militares. Ainda no h evidncias
de que as informaes tenham sido utilizadas em esquemas de roubo de identidade e as autoridades acreditam que o objetivo da violao dos
dados no seja o roubo, divulgou o VA.

A entidade ainda no sabe como os dados foram parar na casa do analista e informou que o Departamento de Justia americano e a Comisso
Federal de Comrcio j esto cientes do assunto. A Fora Tarefa de Identificao de Roubos j alertou os bureaus de crdito sobre potenciais
problemas.

Porm, at o momento, a VA no pediu a bureaus de crdito e bancos onde as vtimas tm contas que monitorarem atividades suspeitas.

O VA solicitou que todos os funcionrios realizem um curso de cibersegurana at 30 de junho.

http://idgnow.uol.com.br/seguranca/2006/05/23/idgnoticia.2006-05-23.9981651856/IDGNoticia_view

Estudo de Caso - ABNT NBR ISO/IEC

27002:2013
ABN Amro Mortgage Group
O ABN Amro Mortgage Group, diviso imobiliria do ABN Amro Bank, localizou a fita com dois
milhes de registros de clientes que havia desaparecido em novembro durante o transporte pela
empresa de entregas DHL.
A informao da localizao do material veio menos de uma semana depois do ABN informar seus
clientes sobre o desaparecimento do material, ocorrido em 18 de novembro.
A fita estava sendo transportada de um data center gerido pela subsidiria do LaSalle Bank, de
Chicago, para um escritrio de crdito no Texas. O material continha nomes, informaes contbeis,
histricos de pagamento e nmeros de seguros sociais de usurios do servio residencial de
hipotecas.

http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=9A680375-E0C1-47E3-A567-C3F63D2FC119&ChannelID=21080105

30
 Estudo de Caso - ABNT NBR ISO/IEC
27002:2013
AT&T apresentou, esta semana, ao na Justia do Texas contra 25 falsos clientes que contrataram servios da
companhia com o intuito de roubar informaes de sua base de dados.
Os acusados criaram contas de clientes na AT&T que lhes permitiam armazenar gravaes de voz no banco de dados da
empresa. A inteno dos acusados, no entanto, era apenas ter acesso ao sistema da AT&T e ento tentar ouvir gravaes de
outras companhias.
De acordo com a AT&T, o grupo conseguiu acessar gravaes de 2500 clientes da empresa. As informaes seriam
provavelmente usadas em disputas entre concorrentes ou para planejar estratgias de marketing.
A AT&T diz que gravaes com dados sensveis e informaes financeiras so armazenadas em bancos especialmente
seguros, que no foram acessados pelos falsos clientes.
Como os registros criados eram falsos, as 25 contas de clientes citadas no processo ainda precisam ser investigadas. O caso
causou certa controvrsia ao ser apresentado Justia, j que o processo movido contra falsos clientes, ou seja, pessoas
que, em tese, no existem.
Assim que detectou o problema, a AT&T bloqueou o acesso s gravaes dos 2500 clientes envolvidos no caso e cancelou as
contas de acesso dos acusados. Todos os clientes envolvidos foram notificados sobre o caso, diz a AT&T.
http://info.abril.com.br/aberto/infonews/082006/24082006-2.shl

Estudo de Caso - ABNT NBR ISO/IEC

27002:2013
Deutsche Bank
No trgico episdio ocorrido no dia 11 de setembro no World Trade Center,
em Nova Iorque, o Deutsche Bank perdeu dois de seus principais escritrios.
A continuidade do negcio foi preservada pois o banco possua um site de
backup remoto com cpias de todos os arquivos importantes atualizados.
Isso assegurou que no dia seguinte ao atentado o banco j operava com a
quase normalidade de suas operaes.
http://www.underlinux.com.br/content/view/5636/70/

31