Gestão de Segurança da Informação

1. Ementa e Diretrizes de Alinhamento Conceitual

Este repositório consolidado destina-se a fundamentar os conceitos de governança, governabilidade e engenharia de segurança aplicados à construção de softwares e gestão de ativos de informação. O conteúdo expande as abordagens estritamente operacionais, conectando o ciclo de vida de desenvolvimento à modelagem matemática de riscos corporativos e ao ecossistema legal brasileiro.

2. Pilares Fundamentais Estendidos da Segurança

A segurança da informação em arquiteturas modernas transcende a clássica tríade CID. Para lidar de forma robusta com o ecossistema distribuído de APIs e microsserviços, a disciplina estabelece seis pilares essenciais:

Confidencialidade: Salvaguarda contra acessos não autorizados. Implementada via controles rígidos de acesso baseados em atributos (ABAC/RBAC) e algoritmos criptográficos em repouso e trânsito (TLS 1.3).
Integridade: Garantia de não alteração dos dados. Validada matematicamente por meio de funções de dispersão criptográfica (SHA-256 e SHA-3) em pipelines de integração.
Disponibilidade: Garantia de acesso tempestivo. Mensurada por Acordos de Nível de Serviço (SLAs) e sustentada por infraestruturas elásticas, balanceamento de carga e sistemas tolerantes a falhas.
Autenticidade: Validação inequívoca das identidades de origem e destino, amparada por protocolos modernos de identidade como OpenID Connect (OIDC) e OAuth 2.0.
Não-Repúdio (Irretratabilidade): Garantia de impossibilidade de negação de autoria de uma transação, obtida através do uso de assinaturas digitais com chaves assimétricas e trilhas de auditoria imutáveis.
Conformidade (Compliance): Aderência irrestrita do ecossistema de software a regulamentações contratuais e marcos legais vigentes.

Trade-off Arquitetural: O analista de sistemas deve compreender que o aumento de controles de confidencialidade (ex: múltiplas camadas de encriptação na camada de persistência e validação contínua) gera um impacto mensurável de latência, degradando a taxa de vazão (*throughput*) e tensionando o pilar de disponibilidade.

3. Alinhamento Conceitual e Modelagem Científica de Riscos (ISO/IEC 27005)

O gerenciamento corporativo de segurança afasta-se de conjecturas empíricas ao adotar a metodologia analítica estruturada pela norma internacional ISO/IEC 27005. O risco cibernético é modelado na intersecção entre as ameaças externas e as fraquezas internas dos ativos:

Risco (R) = Ameaça (A) × Vulnerabilidade (V) × Valor do Ativo (VA)

Com base no resultado da avaliação matricial, a gestão de TI deve aplicar uma das quatro estratégias formais de tratamento do risco:

Mitigar (Reduzir): Empregar controles técnicos e lógicos (ex: WAF, codificação segura, hashing de senhas) para deprimir a probabilidade ou o impacto de incidentes.
Evitar (Eliminar): Alterar o escopo do software para remover a atividade de risco (ex: terceirizar o processamento de pagamentos para gateways certificados PCI-DSS, evitando a guarda local de cartões).
Transferir (Compartilhar): Repassar o encargo financeiro e operacional (ex: migração para nuvem pública sob modelo de responsabilidade compartilhada ou contratação de seguros cibernéticos).
Aceitar (Reter): Manter o risco sob monitoração caso o custo da mitigação supere o impacto financeiro potencial, exigindo termo de assinatura formal da alta governança.

4. Governança Corporativa vs. Gestão Operacional (COBIT e ISO 27001)

Seguindo os preceitos do framework COBIT 2019 e da ISO/IEC 27001, a Governança é encarregada de Avaliar, Direcionar e Monitorar as estratégias de negócio e políticas de segurança. A Gestão executa o planejamento e a operação diária das ferramentas em conformidade com as diretrizes da governança. Para mitigar conflitos de interesse, estruturamos os papéis através do Modelo de Três Linhas do IIA:

Linha de Defesa	Atores do Ecossistema de TI	Escopo e Responsabilidades
1ª Linha: Controles Operacionais	Desenvolvedores, Engenheiros DevOps, Sysadmins e Administradores de Redes/DBA.	Execução das defesas cotidianas diretamente nas aplicações e infraestrutura (higienização de entradas, criptografia local, gestão de patches de dependências).
2ª Linha: Riscos e Conformidade	CISO (Chief Information Security Officer), DPO (Encarregado de Dados) e Comitês de SI.	Definição de diretrizes, desenho de arquiteturas de referência e frameworks de conformidade. Supervisão técnica com total autonomia operacional.
3ª Linha: Auditoria Independente	Auditores internos e externos certificados (ex: CISA).	Avaliação e validação neutra da eficácia dos controles das primeira e segunda linhas, reportando falhas diretamente ao Conselho de Administração.

5. Segurança na Aplicação e Integração ao Ciclo de Software (AppSec & DevSecOps)

A engenharia moderna de sistemas exige a abordagem do Shift-Left Security: integrar análises e testes de segurança desde o levantamento inicial de requisitos do software, minimizando custos de refatoração tardia. Durante a fase de especificação arquitetural, emprega-se a taxonomia de ameaças STRIDE desenvolvida pela Microsoft:

Mapeamento de Vetores de Ameaça - Framework STRIDE

Spoofing (Impostura): Ataques contra a Autenticidade (ex: roubo de tokens e falsificação de sessões).
Tampering (Adulteração): Ataques contra a Integridade (ex: injeção de scripts e mutação ilícita de parâmetros).
Repudiation (Repúdio): Ataques contra o Não-Repúdio (ex: execução de ações destrutivas sem geração de log auditável).
Information Disclosure (Vazamento): Ataques contra a Confidencialidade (ex: exposição de dados sensíveis ou mensagens de depuração de banco de dados no frontend).
Denial of Service (Negação de Serviço): Ataques contra a Disponibilidade (ex: esgotamento de conexões à API ou estouro de memória).
Elevation of Privilege (Elevação de Privilégio): Ataques contra a Autorização (ex: escalonamento de privilégios explorando falhas lógicas).

A esteira de integração contínua (CI/CD) deve consumir ferramentas automatizadas balizadas pelas principais taxonomias de mercado, como o OWASP Top 10 (principais riscos em aplicações web), o CWE (catálogo estruturado de fraquezas de código) e o dicionário CVE / CVSS para priorização de correção de dependências desatualizadas com base no score matemático de severidade do impacto.

6. Catálogo de Ataques e Legislação Digital Brasileira

Os ataques digitais contemporâneos (como Ransomware, DDoS, SQL Injection e Spear Phishing/BEC) geram consequências severas reguladas pelo direito civil e penal do Brasil. A engenharia de sistemas deve prever controles técnicos específicos para mitigar essas responsabilidades de conformidade:

Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018

O software deve ser construído respeitando as metodologias de Privacy by Design e Privacy by Default. As aplicações precisam fornecer recursos nativos de portabilidade de dados, revogação expressa de consentimento e eliminação completa de registros ("direito ao esquecimento"). O descumprimento ou vazamento de dados sujeita as instituições a multas administrativas da ANPD que podem atingir R$ 50 milhões por infração.

Marco Civil da Internet – Lei nº 12.965/2014

Impõe aos provedores de aplicação o dever técnico irrestrito de armazenar de forma segura, sigilosa e sob ambiente controlado, os registros de acesso a aplicações (logs de autenticação contendo data, hora, IP e fuso horário) pelo período mínimo de 6 (seis) meses para fins de persecução judicial.

Lei Carolina Dieckmann – Lei nº 12.737/2012 (Atualizada pela Lei nº 14.155/2021)

Tipifica criminalmente a conduta de invasão de dispositivos informáticos alheios mediante violação de mecanismo de segurança. Com o agravamento penal, a reclusão varia de 1 a 4 anos. Engenheiros de testes e analistas de segurança (Pentesters) necessitam obrigatoriamente formalizar contratos prévios de escopo e autorização expressa para afastar a ilicitude jurídica no exercício de suas atividades avaliativas.

7. Engenharia Social, Psicologia Comportamental e Governança Humana

O vetor humano representa o elo mais explorado em incidentes complexos de segurança. A engenharia social explora gatilhos heurísticos baseados nos princípios universais de persuasão descritos por Robert Cialdini:

Autoridade: Explorada em ataques de personificação (ex: atacantes fingindo ser diretores corporativos ou auditores para exigir transferências).
Escassez e Urgência: Indução do usuário a agir impulsivamente por medo de um bloqueio iminente ou perda de oportunidade de negócios.
Consenso (Prova Social): Indução à conformidade sob o pretexto de que os demais colegas da organização já adotaram aquele comportamento ou procedimento.

A mitigação do fator de risco humano exige a estruturação contínua de Programas de Conscientização (*Security Awareness*) mensurados analiticamente através do cálculo estatístico do **Índice de Vulnerabilidade Humana (IVH)** de cada setor, valendo-se de campanhas recorrentes de phishing simulado e treinamentos sob demanda baseados no comportamento do usuário.