Curso Livre de Segurança de Sistemas/Políticas de Segurança e Auditoria

Auditoria em segurança da informação como maneira de proteger os dados da empresa[editar | editar código-fonte]

Os gerentes e analistas de TI sabem que as informações e os dados da empresa são ativos essenciais para os negócios e são partes extremamente valiosas do ambiente da empresa. E como lidamos com coisas que são valiosas para o nosso negócio? A resposta é simples: proteção. Por isso, entramos no campo da segurança da informação, que nada mais é do que um conjunto de estratégias, cujo objetivo é gerenciar as ferramentas, processos e estratégias necessárias para prevenir, detectar, registrar e responder às ameaças da informação. Resumo: O departamento de segurança da informação está considerando a prevenção, uma estratégia para evitar danos aos dados da organização. A definição de segurança da informação baseia-se no conceito de que se os dados perderem um de seus atributos (confidencialidade, integridade e disponibilidade), a empresa sofrerá graves danos.

• Confidencialidade: relacionada à incapacidade de indivíduos ou entidades não autorizadas de obter informações
• Integridade: as informações só podem ser alteradas e excluídas com autorização
• Disponibilidade: Apenas usuários ou entidades autorizadas podem acessar o sistema e / ou máquina.

Qualquer vulnerabilidade que ocorra em um dos atributos pode constituir uma ameaça, ou seja, um possível ponto de ataque para terceiros. Para se proteger dessas ameaças, é necessário tomar algumas medidas. Usar um firewall é um deles, e vamos discutir isso neste artigo. Há também a implantação de uma política de segurança, que é um documento que reúne as regras, normas, métodos e procedimentos que todos os colaboradores devem seguir.

Etapas de implementação de política de segurança da informação em uma empresa^[1][editar | editar código-fonte]

• Planejamento e levantamento do perfil da empresa
  • É necessário realizar um planejamento que inclua o objetivo máximo da política, determinar o responsável e o prazo para a conclusão e analisar o conteúdo que deve ser protegido relacionado ao tráfego interno e externo.
• Elaboração das normas e proibições
  • A fase de criação de especificações relacionadas com a utilização de programas, Internet, dispositivos móveis, acesso a redes empresariais, bloqueio de websites, utilização de e-mail empresarial, aplicações de mensagens de texto e voz - em resumo: recursos técnicos gerais.
• Alinhamento com as demais políticas do negócio
  • É hora de estudar as outras políticas, visões, missões e valores da empresa para que tudo esteja devidamente conectado.
• Aprovação pelo RH
  • Além do conselho de administração, a área de recursos humanos da empresa também deve fazer a leitura de documentos e aprovar o seu espaço de escritórios de acordo com a legislação trabalhista e o manual interno dos colaboradores da organização.
• Aplicação e treinamento dos colaboradores
  • Trata-se da implementação efetiva da política. Nesta altura, para além da formação propriamente dita para a introdução dos seus pontos principais, é também necessário comunicar com todos os colaboradores que deverão obter cópia do documento. Os funcionários devem sempre ter acesso à política, e a assinatura e o compromisso de cada funcionário devem ser coletados após o treinamento. Vale ressaltar também a importância do desenvolvimento de um plano de contingência, cujo objetivo é indicar claramente aos funcionários, gestores e profissionais de TI quais as providências a serem tomadas em caso de quebra de segurança. Portanto, pode garantir uma resposta mais rápida e eficaz às ameaças e reduzir as perdas.
• Avaliação periódica
  • Na verdade, esta etapa envolve operações contínuas, porque a política deve ser verificada regularmente para atualizá-la, se necessário. A segurança da informação tem uma relação estreita com a tecnologia, por isso está em constante evolução. Por esse e outros motivos, é necessário manter o processo de avaliação, comparar os recursos de proteção interna da empresa com a complexidade da ameaça e compatibilizar a ameaça quando necessário para uma defesa plena e eficaz contra vulnerabilidades.

O departamento de TI deve estar sempre atento ao surgimento de novas tecnologias no mercado, essas novas tecnologias podem alterar as regras da política da empresa, e submetê-las às atualizações necessárias. Como exemplo, podemos citar o método de substituição da carta de registro por uma solução no e-mail da empresa.

Lei Geral de Proteção de Dados[editar | editar código-fonte]

A LGDP foi aprovado em agosto de 2018 e entrou em vigor em agosto de 2020. A LGPD, podem suscitar sanções e penalidades caso ocorra uma afronta aos ditames relacionados à coleta e tratamento de dados pessoais (a lei diferencia tipos de dados pessoais e escopo). Esta lei traz várias regras e obrigações (online e offline) relacionadas à privacidade e proteção de dados pessoais, e se aplica a quase todas as organizações, sejam elas públicas ou privadas , seja entidade sem ou com fins lucrativos, independentemente do setor econômico a que pertença. Como definido na LGDP seus objetivos principais são:

• Proteção à privacidade;
• Fomento ou desenvolvimento;
• Padronização de normas;
• Segurança jurídica;
• Favorecimento à concorrência;

A LGDP em si dispõe de alguns fundamentos sendo: a proteção e o respeito à privacidade de pessoas físicas; a autodeterminação informativa – “devolvendo” às pessoas o controle sobre seus próprios dados; o desenvolvimento econômico, tecnológico e a inovação; a proteção e defesa do consumidor. Conforme estabelecida, a Lei Geral de Proteção de Dados define que o titular tem direito à transparência no tratamento de dados, inclusive com autodeterminação informativa, fornecendo os seguintes direitos dos titulares dos dados (artigo 18):

• Confirmação da existência do tratamento de seus dados pessoais;
• Acesso a seus dados pessoais;
• Correção e portabilidade dos dados pessoais;
• Informações sobre o compartilhamento dos dados pessoais;
• Anonimização, bloqueio ou eliminação de dados pessoais;
• Revogação de consentimento dado;

Além disso, a lei prevê dez princípios, que são essenciais no momento do tratamento de dados pessoais e que devem ser respeitados e levados em consideração em qualquer atividade de tratamento, sendo eles:

• Finalidade;
• Adequação;
• Necessidade;
• Livre acesso;
• Qualidade dos dados;
• Transparência;
• Segurança;
• Prevenção;
• Não discriminação;
• Responsabilização e prestação de contas.

A LGPD é aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país no qual estejam localizados os dados, desde que a operação de tratamento de dados seja realizada no Brasil; a atividade de tratamento tenha por objetivo a oferta de bens ou serviços ou o manejo de dados de indivíduos localizados no país; ou, ainda, que os dados pessoais objeto do tratamento tenham sido coletados em território nacional.

Entretanto, estão excluídos da aplicação da lei alguns meios de tratamentos de dados, a exemplo daqueles realizados para fins exclusivamente jornalísticos, artísticos e acadêmicos, além de informações relacionadas exclusivamente à segurança pública, defesa nacional, segurança do Estado e a atividades de investigação e repressão de infrações penais.

A LGPD prevê que o tratamento de dados só pode ser realizado nas seguintes hipóteses:

1. mediante o fornecimento de consentimento pelo titular;
2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
4. para a realização de estudos por órgão de pesquisa – garantida, sempre que possível, a anonimização dos dados pessoais;
5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n. 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
8. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Desse modo, a adequação da LGPD poderá evitar os seguintes riscos:

• Suspensão do banco de dados pelo prazo de seis meses, e proibição parcial ou total do exercício relacionado ao tratamento dos dados;
• Multas e penalidades;
• Deixar a empresa vulnerável;
• Publicidade da Infração cometida após apuração e constatação;
• Evita a baixa reputação da empresa no mercado;
• Recebimento de processos administrativos e judiciais.^[2]

Leis e Regulamentos para a proteção à privacidade[editar | editar código-fonte]

O indivíduo é protegido por diversos regulamentos e leis internacionais e nacionais que tratam dos aspectos básicos da privacidade. Começo com vigor na década de 70, mas princípios básicos do direito à vida privada já constavam na Declaração Universal de Direito Humanos(1948).

A diretiva europeia 95/46/EC foi instituída em 1995 e servia como parâmetro para países do bloco implementarem suas próprias politicas de privacidade. Entro em vigor em maior de 2018 o regulamento General Data Protection Regulation(GDPR) substituindo leis e regulamentos nacionais de toda a União Europeia. Lei de grande importância na União Europeia sobre os aspectos de privacidade em que foi inspiração para a lei brasileira LGPD.^[3]

General Data Protection Regulation (GDPR)[editar | editar código-fonte]

A Lei europeia(GDPR) está estabelece regras atinentes ao tratamento de dados pessoais relativos a pessoas situadas na União Europeia. Empresas e órgões estatais brasileiras que mantenham negócios com os países europeus terão a obrigatoriedade de garantir que suas políticas de tratamento de dados estão em conformes com a GDPR, sob o risco de penabilidade, bem como perda de clientela, valor de marca e credibilidade no mercado internacional.

GDPR (Regulamento Geral de Proteção de Dados) está na base de uma série de ações formuladas para proteger os usuários logados à rede mundial de computadores, devido ao almento do número de procidimentos administrativosvirtuais e de transições comerciais online, as empresas devem ficar atentas a essas regulamentações.

a GDPR trata-se de um conjunto de regras que têm força de lei e serve para noratizar as práticas de uso de informação consideradas adequadas no ambiente eletrônico, visa fortalecer a ideia de cidadania digital, tem a finalidade de preencher, pelo menos em parte as questões de segurança ao cidadão digital, GDPR se torna importante por esse fato de oferece que os dados informados nas plataformas onlines fiquem protegidos em possivéis utilizações não autorizada.^[4]

A diretiva de aplicação da lei de proteção de dados protege o direito fundamental dos cidadãos à proteção de dados sempre que os mesmos cirlulam no meio das autoridades de aplicação da lei penal, no caso uma proteção singular, os dados pessoas das vítimas, testemunhas e suspeitos de crime sejam devidamente protegidos e facilitará a cooperação transfronteiriça na luta contra o crime e o terrorismo.^[5]

ISO/IEC 27001[editar | editar código-fonte]

A ISO/IEC 27001 é o padrão internacional para gerenciamento de segurança da informação e detalha o requisitos para um sistema de gestão de segurança de informações (ISMS). Possui origem em 1992, por um documento publicado pelo governo Britânico. ^[6] Desde então, ela tem sido aprimorada e procede de um grupo anterior de normas, declarados ISO 27001 e a BS7799.

Seu objetivo é fornecer uma estrutura para ajudar a implementar um sistema de gestão que protege ativos de informação e empresas, reduzindo riscos, litígios e paralisações. Além disso, a ISO/IEC 27001 é composta por cinco requisitos principais e um apêndice que contém controles de segurança, cada um com objetivos e foco específicos, organizados no seguintes grupos:

• Política de segurança - fornecer orientação e suporte de gerenciamento para segurança da informação de acordo com os requisitos de negócios, leis e regulamentos relevantes.

• Organização da segurança da informação - gerenciar a segurança de informação dentro da organização. Manter a segurança

das informações da organização e instalações de processamento que são acessados, processados, comunicados ou gerenciados por

terceiros.

• Gestão de ativos - alcançar e manter adequada a proteção dos ativos organizacionais.

• Segurança física e ambiental - prevenir acesso físico não autorizado, dano e interferência a instalações e informações da organização. Evitar perda, dano, roubo ou comprometimento de ativos e interrupção da organização.

• Gestão de comunicações e operações - ajudar a garantir que as informações são processadas corretamente, com backup seguro e manuseado de forma adequada.

• Controle de acesso - auxiliar no controle de acesso às informações, redes e aplicativos, evitando o acesso não autorizado, interferência, danos e roubo.

• Aquisição, desenvolvimento e manutenção de sistemas de informação - garantir que a segurança seja parte integrante de sistemas de informação, ajudando a proteger aplicativos, arquivos e reduzindo vulnerabilidades.

• Gestão de incidentes de segurança da informação - garantir que violações e problemas de segurança são comunicados de forma consistente, de forma a permitir a tomada de medidas corretivas oportunas.

• Gerenciamento de continuidade de negócios - garantir que a neutralização de interrupções nas atividades de negócios e proteger processos críticos do negócio a partir dos efeitos das principais falhas de sistemas de informação ou desastres.

• Conformidade - evitar violações de qualquer lei, estatutária, regulatória ou obrigação contratual, e de quaisquer requisitos de segurança. Garantir a conformidade dos sistemas com a segurança organizacional políticas e padrões.

O Padrão ISO/IEC 27001 é o primeiro de um agrupamento de padrões de segurança da informação ISO. Outros padrões também inclusos são:^[7]

• ISO 27000 - glossário com termos importantes
• ISO 27001 - define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI)
• ISO 27002 - práticas que auxiliam a aplicação do SGSI.
• ISO 27003 - Instruções para implementação do SGSI
• ISO 27004 - métricas para gestão da segurança da informação.
• ISO 27005 - gestão de riscos
• ISO 27006 - requisitos para empresas que trabalham com auditoria e certificações de sistemas de gestão
• ISO 27007 - guia de orientação para auditorias de requisitos do SGSI.
• ISO 27008 - guia de orientação para auditorias de requisitos de segurança da informação.
• ISO 27009 - norma de suporte a empresas buscam adentrar a família ISO 27000.

ISO/IEC 27002[editar | editar código-fonte]

O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa.^[8]

As vantagens proporcionadas pela certificação ISO 27002 são representativas para as empresas, principalmente pelo fato de serem reconhecidas mundialmente. Conheça alguns benefícios associados a aplicação da norma:

• Melhor conscientização sobre a segurança da informação;
• Maior controle de ativos e informações sensíveis;
• Oferece uma abordagem para implantação de políticas de controles;
• Oportunidade de identificar e corrigir pontos fracos;
• Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;
• Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação;
• Melhor organização com processos e mecanismos bem desenhados e geridos;
• Promove redução de custos com a prevenção de incidentes de segurança da informação;
• Conformidade com a legislação e outras regulamentações.

ISO/IEC 27003[editar | editar código-fonte]

A ISO 27003 é um conjunto de instruções fornecidas para o planejamento e a implementação do SGSI, provendo a documentação necessária para a aplicação da ISO/IEC 27001. Essa ISO fornece orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na ABNT NBR ISO/IEC 27001 e, também, recomendações, possibilidades e permissões em relação a eles. Não é intenção dessa Norma fornecer orientações gerais sobre todos os aspectos de segurança da informação.^[9]

Essa norma é estruturada baseando-se nos seguintes tópicos: ^[10]

• Liderança
• Planejamento
• Suporte
• Operação
• Avaliação de performance
• Melhorias

ISO/IEC 27004[editar | editar código-fonte]

A norma ABNT NBR ISO 27004:2010 foi publicada em 2010 e sugere padrões para a criação de métricas de desempenho para avaliar SGSI. Esta norma oriente e auxilia organizações a melhorar e eficácia e eficiência de seus SGSI, gerando assim indicadores e formas de se medir o desempenho^[11].

A norma permite que as organizações avaliem a eficiência dos seus controles sob a sua segurança da informação, e que avaliem a eficiência da implementação de um SGSI, para verificar métricas que indicam se os requisitos de segurança estão sendo corretamente aplicados, auxilia na melhoria do desempenho da segurança ao que se trata de riscos de negócios e fornece dados para a gestão visando auxiliar a tomada de decisão^[12].

Alguns dos objetivos da norma são:

• Avaliar a eficácia do SGSI
• Verificar se os requisitos da SI foram atendidos
• Avaliar a eficácia dos controles
• Melhorias nos controles implantados
• Auxiliar a tomada de decisões gerenciais
• Melhorias na análise de riscos
• SGSI sob uma perspectiva de negócios
• Facilitar decisão de investimento em SI

ISO/IEC 27005[editar | editar código-fonte]

A norma internacional ISO/IEC 27005 define uma série bem estruturada de documentações que se referem à gestão de segurança da informação, e são utilizadas em todo o mundo. Ela fornece diretrizes e controles para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI)^[13].

Esta ISO possuí também seis importantes anexos(A, B, C, D, E, F):^[14]

• Anexo A: Definindo escopos e limites do processo
• Anexo B: Identificando a valoração dos ativos a avaliação do impacto
• Anexo C: Exemplo de ameaças comuns
• Anexo D: Métodos para avaliação de vulnerabilidades técnicas
• Anexo E: Diferentes abordagens para análise/avaliação de riscos do SGSI
• Anexo F: Restrições que afetam a redução dos riscos

Padrões de auditorias de segurança[editar | editar código-fonte]

Podemos classificar os diferentes tipos de auditoria de segurança em três grandes blocos, dependendo do objeto a auditar e das técnicas aplicadas. Sendo estes:

Auditorias de boas práticas em segurança da informação^[15][editar | editar código-fonte]

• Uso de quadros de referência ou frameworks a nível nacional ou internacional caracterizados por cobrir de forma eficaz cada aspecto que possa implicar para os ativos de uma entidade, como os mais conhecidos:
  • International Organization for Standardization (ISO 27000)[1],
  • National Institute of Standards and Technology (NIST)[2],
  • Esquema Nacional de Segurança (ENS),
• É normal a definição de quadros de referência próprios adaptados às necessidades da própria entidade

Auditorias de cumprimento legal e regulamentar em Segurança da Informação:^[15][editar | editar código-fonte]

• A realização deste tipo de auditorias, avalia-se o cumprimento de leis e regulamentos relacionados com a segurança, como as mais importantes:
  • Lei Orgânica de Proteção de Dados de Carácter Pessoal (LOPD)
  • Regulamento Geral de Proteção de Dados (RGPD)
  • Lei de Serviços da Sociedade da Informação (LSSICE)
  • Lei de Propriedade Intelectual (LPI)
  • Lei de Proteção de Infraestruturas Críticas (PIC)
  • Lei de Prevenção de Riscos Laborais (LPRL)
  • Esquema Nacional de Segurança (ENS)
• Nesse tipo de auditoria, ela simula o comportamento dos brincalhões da rede de forma realista e por meio de ferramentas e meios técnicos para testar a robustez da infraestrutura técnica, principalmente a robustez do sistema de informação.

Auditorias de Hacking Ético^[15]

• Podemos diferenciar entre; auditorias de vulnerabilidades, testes de intrusão e exercícios de Red Team. Sendo estes com suas especificações e restrições características, tais como o alcance ou o tipo de meios técnicos a utilizar. O objetivo destes é encontrar possíveis vulnerabilidades ou falhas de segurança na infraestrutura tecnológica da organização.
• Neste tipo de auditorias, conta-se com metodologias e normas para assegurar resultados eficazes. Sendo utilizadas metodologias como; Open Source Security Methodology Manual (OSSTMM), Center for Internet Security (CIS), Open Web Application Security Project (OWASP) e MITRE ATT&CK..
• Para este tipo de auditoria, sõa necessáriops de profissionais de TI especializados em cybersegurança, com perfis elevados de conhecimento em programação e segurança de sistemas.

Auditores podem ser destinados a nichos específicos da organização e segurança de uma empresa, como a auditoria em:^[16]

• Processo de inovação tecnológica;
• Inovação comparada;
• Auditoria de posição técnologica;
• Sistemas e aplicativos;
• Instalações de processamento de informações;
• Gestão de TI e arquitetura;
• Cliente, servidores, telecomunicações, intra e extranet.

Entre os padrões de auditoria , pode ser utilizados alguns padrões, como o SOX, MAR, COSO e COBIT.

- SOX: Criação desta lei foi uma consequência das fraudes e escândalos contábeis que, na época, atingiram grandes corporações nos Estados Unidos (Enron, Arthur Andersen, WorldCom, Xerox etc…), ela obriga as empresas a reestruturarem processos para aumentar os controles, a segurança e a transparência na condução dos negócios, na administração financeira, nas escriturações contábeis e na gestão e divulgação das informações.^[17]

-Matriz de Avaliação de Riscos: Um grande poder de comunicação visual, e simplicidade de elaboração e gestão, ela apresenta nos seus eixos escalas de probabilidade de ocorrência e impacto corporativo para um dado fator de risco^[18]

-COSO: O COSO é uma organização Norte Americana privada, fundada em 1985, que se dedica a desenvolver e estudar assuntos gerenciais e de governança empresarial com o intuito de fornecer linhas guia ou diretrizes para os executivos. Processo interno constituído de 5 elementos, Ambiente de controle que é a consciência de controle da entidade, sendo efetivo quando as pessoas da entidade sabem suas responsabilidades..., a avaliação de risco com sua principal função o controle interno relacionadas ao comprimento dos objetivos da entidade, a atividade de controle permite a redução ou administração dos riscos, a informação e comunicação, esse quarto elemento é essencial já que com comunicação tem-se um bom funcionamento dos controles, e o monitoramento, que tem como objetivo verificar se os controles internos são adequados e efetivos^[19]

-COBIT: O COBIT é um conjunto de diretrizes, indicadores, processos e melhores praticas para a gestão e governança dos sistemas informáticos, ele normalmente abrange uma área mais ampla da ISO/IEC 27002, a qual é bem centrada nas questões relativas a segurança.^[20]

1. ↑ DOCUSIGN. Política de segurança da informação: saiba como e por que desenvolvê-la. 2018. Disponível em: https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve-la. Acesso em: 15 mar. 2021.
2. ↑ VASCONCELOS, Kleber. Os benefícios da implementação da LGPD. 2019. Disponível em: https://www.serpro.gov.br/lgpd/noticias/2020/beneficios-riscos-lgpd-empresas.
3. ↑ PEIXOTO, Andrea Stefani. Lei de Proteção de Dados: entenda em 13 pontos! Disponível em: https://www.politize.com.br/lei-de-protecao-de-dados/. Acesso em: 16 mar. 2021.
4. ↑ DOCUSIGN. GDPR: entenda o que é o Regulamento Geral de Proteção de Dados. 2018. https://www.docusign.com.br/blog/gdpr-entenda-o-que-e-o-regulamento-geral-de-protecao-de-dados
5. ↑ COOMISSION, European. Data protection in the EU. 2018. https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en
6. ↑ https://www.27001.pt
7. ↑ https://blog.idwall.co/normas-iso-ciberseguranca/#:~:text=ISO%2FIEC%2027004,gestão%20da%20segurança%20da%20informação.
8. ↑ CECHINEL, Eduardo. ISO 27002: Boas práticas para gestão de segurança da informação. Disponível em: https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi/. Acesso em: 16 mar. 2021.
9. ↑ ABNT. ABNT NBR ISO/IEC 27003:2020 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações. Disponível em: http://www.abnt.org.br/noticias/6834-abnt-nbr-iso-iec-27003-2020-tecnologia-da-informacao-tecnicas-de-seguranca-sistemas-de-gestao-da-seguranca-da-informacao-orientacoes/. Acesso em: 16 mar. 2021.
10. ↑ ISO ISO/IEC 27003:2017 - Preview od contents of ISO/IEC 27003:2017. Disponível em: https://www.iso.org/obp/ui/#iso:std:iso-iec:27003:ed-2:v1:en. Acesso em: 16 mar. 2021.
11. ↑ MANOEL,S. S. Governança de Segurança da Informação- Como criar oportunidades para seu negocio. Editora Brasport, Rio de Janeiro, 2014.
12. ↑ LIMA, Alex Gilmar Boeno de et al. Ferramentas de gestão para a segurança da informação. 2018.
13. ↑ FERREIRA, Homero Mckinley Falcão; DE MELLO, Ricardo Bemardes. UMA ANÁLISE COMPARATIVA NA UTILIZAÇÃO DE UM PLANO DE CONTENÇÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ISO/IEC 27005: 2008 E NO FRAMEWORK RISK IT BY ISACA. Interação-Revista de Ensino, Pesquisa e Extensão, v. 19, n. 1, p. 123-140, 2017.
14. ↑ ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 27005: Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação. Rio de Janeiro, 2008.
15. ↑ ^{15,0 15,1 15,2} Os diferentes tipos de auditoria em Segurança da Informação (Alejandro Sánchez Galván, 28 Mai, 2020)https://www.sothis.tech/pt/os-diferentes-tipos-de-auditoria-em-seguranca-da-informacao/
16. ↑ Auditor de TI: Um papel vital para a avaliação de risco, (Sarah K. White, 06 Mar, 2019)https://cio.com.br/gestao/auditor-de-ti-um-papel-vital-para-a-avaliacao-de-risco/
17. ↑ PORTAL DE AUDITORIA. INTRODUÇÃO À LEI SARBANES OXLEY (SOX). 2017. https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-sox/
18. ↑ PORTAL DE AUDITORIA. MATRIZ DE RISCO – UMA FERRAMENTA PARA AVALIAÇÃO DE RISCOS. 2017. https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-sox/
19. ↑ PORTAL DE AUDITORIA. O PROCESSO DE CONTROLE INTERNO – SEGUNDO O COSO. 2017. https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-sox/
20. ↑ PORTAL DE AUDITORIA. PANORAMA DAS DIRETRIZES COSO E COBIT. 2017. https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-sox/