Gestão Da Segurança Da Informação - NBR 27001 e NBR 27002

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o
ISBN 978-85-63630-12-4
9 788563 630124
O curso desenvolve competncias para a implementao
da gesto da segurana da informao, ccom base nas
normas de segurana ABNT NBR ISO/IEC 27001:2013 e IEC
27002:2013. Atravs delas sero estudados os conceitos
de poltica de segurana e gesto de riscos, como tambm
as boas prticas para a segurana de recursos humanos
e computacionais, segurana fsica e noes de direito
digital. O curso garante ao aluno todo o conhecimento ne-
cessrio para iniciar um processo de implementao da
gesto da segurana da informao na sua instituio.
Este livro inclui os roteiros das atividades prticas e o con-
tedo dos slides apresentados em sala de aula, apoiando
profssionais na disseminao deste conhecimento em
suas organizaes ou localidades de origem.
Gesto da
Segurana
da Informao
NBR 27001 e NBR 27002
L
I
V
R
O

D
E

A
P
O
I
O

A
O

C
U
R
S
O
Flvia Estlia Silva Coelho
Luiz Geraldo Segadas de Arajo
Edson Kowask Bezerra
Flvia Estlia Silva Coelho possui Bacharelado em Cin-
cia da Computao e Mestrado em Informtica pela Uni-
versidade Federal de Campina Grande. Desde 2001, atua
em ensino de Graduao e Ps-Graduao Lato Sensu, em
projetos de pesquisa e desenvolvimento nas reas de com-
putao distribuda e segurana da informao. profes-
sora efetiva da Universidade Federal Rural do Semi-rido
(UFERSA), desde 2009, e Java Champion (Oracle), desde 2006.
Luis Geraldo Segadas de Arajo possui especializao em
Gesto de Segurana de Informao, Redes de Computado-
res e Infraestrutura Computacional. Trabalhou para diver-
sas empresas, entre elas a Fundao Petros, tendo atuado
tambm como consultor, com destaque no BNDES e na
TBG. Possui experincia em ensino, tendo sido professor na
Universidade Estcio de S e no Infnet, alm de instrutor
na RNP/ESR. Possui amplo conhecimento em normas, em
especial nas ISO/IEC 27001 e 27002. Bacharel em Siste-
mas de Informao pela PUC-RJ, Ps-graduado em Redes
de Computadores pela UFRJ e mestre em Administrao de
Empresas, tambm na PUC-RJ. Possui as certifcaes CISSP,
CISA e CISM, sendo capacitado em planejamento, elabo-
rao de poltica de segurana, normas, anlise de riscos,
diagnstico e auditoria. Atualmente mora no Canad.
Edson Kowask Bezerra profssional da rea de segurana
da informao e governana h mais de quinze anos, atu-
ando como auditor lder, pesquisador, gerente de projeto
e gerente tcnico, em inmeros projetos de gesto de ris-
cos, gesto de segurana da informao, continuidade de
negcios, PCI, auditoria e recuperao de desastres em
empresas de grande porte do setor de telecomunicaes,
fnanceiro, energia, indstria e governo. Com vasta expe-
rincia nos temas de segurana e governana, tem atuado
tambm como palestrante nos principais eventos do Brasil
e ainda como instrutor de treinamentos focados em segu-
rana e governana. professor e coordenador de cursos
de ps-graduao na rea de segurana da informao,
gesto integrada, de inovao e tecnologias web. Hoje atua
como Coordenador Acadmico de Segurana e Governana
de TI da Escola Superior de Redes.
A RNP Rede Nacional de Ensino
e Pesquisa qualificada como
uma Organi zao Soci al (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
( MCTI ) e r esponsvel pel o
Programa Interministerial RNP,
que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
Brasil, a RNP planeja e mantm a
rede Ip, a rede ptica nacional
acadmica de alto desempenho.
Com Pontos de Presena nas
27 unidades da federao, a rede
tem mai s de 800 i nsti tui es
conectadas. So aproximadamente
3,5 milhes de usurios usufruindo
de uma infraestrutura de redes
avanadas para comuni cao,
computao e experimentao,
que contribui para a integrao
entre o si stema de Ci nci a e
Tecnologia, Educao Superior,
Sade e Cultura.
Cincia, Tecnologia
e Inovao
Ministrio da
Educao
Ministrio da
Sade
Ministrio da
Cultura
Ministrio da
Sade e Cultura.
Cincia, Tecnologia
e Inovao
Ministrio da
Educao
Ministrio da
Sade
Ministrio da
Cultura
Ministrio da

Gesto da
Segurana
da Informao
NBR 27001 e NBR 27002
Gesto da
Segurana
da Informao
NBR 27001 e NBR 27002
Rio de Janeiro
Escola Superior de Redes
2014
Copyright 2014 Rede Nacional de Ensino e Pesquisa RNP
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simes
Diretor de Servios e Solues
Jos Luiz Ribeiro Filho
Coordenao
Luiz Coelho
Edio
Pedro Sangirardi
Reviso
Lincoln da Mata
Coordenao Acadmica de Segurana e Governana de TI
Equipe ESR (em ordem alfabtica)
Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlina Miranda, Elimria Barbosa,
Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Marcial.
Capa, projeto visual e diagramao
Tecnodesign
Verso
2.0.0
Este material didtico foi elaborado com fns educacionais. Solicitamos que qualquer erro encon-
trado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuio
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP)
C622g Coelho, Flavia Estlia Silva
Gesto da segurana da informao: NBR 27001 e NBR 27002 / Flavia Estlia Silva Coelho,
Luiz Geraldo Segadas de Arajo, Edson Kowask Bezerra. Rio de Janeiro: RNP/ESR, 2014.
Bibliografa: p. 197-198.
ISBN 978-85-63630-12-4
1. Tecnologia da informao - Tcnicas de segurana.
2. Sistemas de gesto de segurana da informao - Requisitos. 3. Tecnologia da informao -
Cdigo de prtica para a gesto de segurana da informao. I. Arajo, Luiz Geraldo Segadas
de. II. Bezerra, Edson Kowask. III. Ttulo.
CDD 005.8
iii
Sumrio
A metodologia da ESRxiii
Sobre o curso xiv
A quem se destinaxiv
Convenes utilizadas neste livroxiv
Permisses de usoxv
Sobre o autorxvi
1. Fundamentos da segurana da informao
Por que se preocupar com segurana?1
Exerccio de nivelamento 1 Fundamentos de segurana da informao1
Definies2
Exerccio de fxao 1 Defnies3
Modelos de ataque3
Exerccio de fxao 2 Modelos de ataque4
Formas de ataque4
Exerccio de fxao 3 Formas de ataque5
Arquitetura de segurana5
Servios de segurana5
Exerccio de fxao 4 Servios de segurana7
Segurana da informao7
Preparando a organizao 8
Requisitos de segurana9
iv
Anlise/avaliao de riscos9
Exerccio de fxao 5 Seleo de controles10
Controles para a segurana da informao10
Exerccio de fxao 6 Controles para a segurana da informao12
Itens relevantes para a segurana da informao12
Atividades envolvidas13
Fatores crticos para o sucesso da segurana da informao13
Roteiro de Atividades 115
Atividade 1.1 Identificando ataques15
Atividade 1.2 Identificando vulnerabilidades15
Atividade 1.3 Identificando a forma de ataque16
Atividade 1.4 Associando categorias de servios de segurana17
Atividade 1.5 Estudo de caso: sua organizao18
2. Cdigo de prtica
Estrutura da norma19
Exerccio de nivelamento 1 Cdigo de prtica19
Estrutura da norma19
Seo 5 Polticas de segurana da informao20
Exerccio de fxao 1 Seo 5 Poltica de segurana21
Seo 6 Organizao da segurana da informao21
Exerccio de fxao 2 Seo 6 Organizao da segurana da informao23
Seo 7 Segurana em Recursos Humanos23
Exerccio de fxao 3 Seo 7 Segurana em Recursos Humanos24
Seo 8 Gesto de ativos25
Exerccio de fxao 4 Seo 8 Gesto de ativos26
Seo 9 Controle de acesso27
Seo 10 Criptografia30
Exerccio de fxao 6 Seo 10 Criptografa30
Seo 11 Segurana fsica e do ambiente31
Exerccio de fxao 7 Seo 11 Segurana fsica e do ambiente32
Seo 12 Segurana nas operaes33
Exerccio de fxao 8 Seo 12 Segurana nas operaes37
v
Seo 13 Segurana nas comunicaes38
Exerccio de fxao 9 Seo 13 Segurana nas comunicaes39
Seo 14 Aquisio, desenvolvimento e manuteno de sistemas40
Exerccio de fxao 10 Seo 14 Aquisio, desenvolvimento e manuteno de sistemas42
Seo 15 Relacionamento na cadeia de suprimento43
Exerccio de fxao 11 Seo 15 Relacionamento na cadeia de suprimento44
Seo 16 Gesto de incidentes de segurana da informao44
Exerccio de fxao 12 Seo 16 Gesto de incidentes de segurana da informao45
Seo 17 Aspectos da segurana da informao na gesto da continuidade do negcio46
Exerccio de fxao 12 Seo 17 Aspectos da segurana da informao na gesto da
continuidade do negcio47
Seo 18 Conformidade47
Exerccio de fxao 14 Seo 18 Conformidade48
Atividade 2.1 Conhecendo a norma NBR ISO/IEC 27002:201349
Atividade 2.2 Entendendo a norma NBR ISO/IEC 27002:201349
Atividade 2.3 Trabalhando com a norma NBR ISO/IEC 27002:201350
Atividade 2.4 Estudo de caso: sua organizao 51
3. Sistema de Gesto da Segurana da Informao
Viso geral e escopo53
Exerccio de nivelamento 1 SGSI53
Modelo PDCA54
Exerccio de fxao 1 Modelo PDCA55
Sistema de Gesto da Segurana da Informao (SGSI)55
Contexto da Organizao56
Liderana56
Exerccio de fxao 2 Liderana57
Planejamento57
Exerccio de fxao 3 Planejamento58
Apoio58
Exerccio de fxao 4 Apoio61
Operao61
Avaliao do desempenho62
Melhoria63
Anexo A63
Lista de verifcao para implantao de um SGSI64
vi
Atividade 3.1 Conhecendo o ciclo PDCA67
Atividade 3.2 Contexto da organizao67
Atividade 3.3 Planejamento67
Atividade 3.4 Apoio68
Atividade 3.5 Documentos68
Atividade 3.6 Operao69
4. Poltica de segurana da informao
Definio71
Exerccio de nivelamento 1 Poltica de segurana da informao71
Diagrama72
Exerccio de fxao 1 Diagrama73
Arquitetura das polticas de segurana73
Escopo73
Exerccio de fxao 2 Escopo74
Questionamentos importantes74
Etapas75
Identifcar a legislao75
Exerccio de fxao 3 Identifcar a legislao75
Identifcao dos recursos crticos76
Exerccio de fxao 4 Identifcao dos recursos crticos76
Anlise das necessidades de segurana76
Elaborao da proposta e discusso aberta77
Exerccio de fxao 5 Elaborao da proposta77
Documentao77
Aprovao e implementao78
Exerccio de fxao 6 Aprovao e implementao78
Comunicao da poltica e treinamento78
Manuteno79
Exerccio de fxao 7 Manuteno79
Boas prticas79
Boas prticas80
Boas prticas para escrever o texto da poltica81
vii
Atividade 4.1 Entendendo a poltica de segurana da informao82
Atividade 4.2 Elaborando uma poltica de segurana da informao83
Atividade 4.3 Implementando uma poltica de segurana83
Atividade 4.4 Desenvolvendo uma poltica de segurana na sua organizao83
5. Gesto de riscos
Definies87
Exerccio de nivelamento 1 Gesto de riscos87
Questes determinantes88
Gesto de riscos88
Exerccio de fxao 1 Gesto de riscos89
Anlise e avaliao de riscos89
Analisando os riscos90
O que proteger?91
Exerccio de fxao 2 O que proteger91
Vulnerabilidades e ameaas91
Anlise de impactos93
Exerccio de fxao 3 Anlise de impacto94
Matriz de relacionamentos 94
Exerccio de fxao 4 Matriz de relacionamento94
Clculo dos riscos95
Avaliao de riscos95
Exemplo 2 Anlise de risco96
Exerccio de fxao 5 Avaliao de riscos98
Tratamento de riscos de segurana98
Exerccio de fxao 6 Tratamento de riscos de segurana98
Exerccio de fxao 7 Tratamento de riscos99
Tratamento de riscos na segurana de Recursos Humanos100
Exerccio de fxao 8 Tratamento de riscos na segurana de recursos humanos100
Tratamento de riscos na segurana de acesso100
Exerccio de fxao 9 Tratamento de riscos na segurana de acesso103
Tratamento de riscos na segurana das comunicaes103
Exerccio de fxao 10 Tratamento de riscos na segurana das comunicaes104
viii
Tratamento de riscos e negcios104
Comunicao de riscos107
Atividade 5.1 Entendendo os conceitos de gesto de risco109
Atividade 5.2 Realizando a gesto de riscos109
Atividade 5.3 Realizando a gesto de riscos110
Atividade 5.4 Realizando a gesto de riscos na sua organizao111
6. Gerncia de operaes e comunicaes
Exerccio de nivelamento 1 Gerncia de operaes e comunicaes113
Objetivos113
Procedimentos e responsabilidades operacionais114
Exerccio de fxao 1 Procedimentos e responsabilidades operacionais115
Proteo contra softwares maliciosos115
Exerccio de fxao 2 Proteo contra softwares maliciosos116
Cpias de segurana116
Exerccio de fxao 3 Cpias de segurana117
Poltica de backups117
Exemplos117
Exerccio de fxao 4 Poltica de backups117
Tratamento de mdias e documentos118
Exerccio de fxao 5 Tratamento de mdias e documentos118
Gerncia de segurana das redes118
Exerccio de fxao 6 Gerncia da segurana das redes119
Transferncia de informaes e softwares119
Monitoramento119
Atividade 6.1 Segurana da informao na gerncia de operaes e comunicaes121
Atividade 6.2 Implementando a segurana da informao na gerncia de operaes e
comunicaes de sua organizao122
7. Segurana de acesso e ambiental
Exerccio de nivelamento 1 Segurana de acesso e ambiental123
Poltica de controle de acessos123
ix
Exerccio de fxao 1 Poltica de controle de acesso124
Controles de acesso lgico124
Exerccio de fxao 2 Controles de acesso lgico126
Controles de acesso fsico127
Exerccio de fxao 3 Controles de acesso fsico128
Controles ambientais129
Exerccio de fxao 4 Controles ambientais130
Segurana de Recursos Humanos130
Exerccio de fxao 5 Segurana de Recursos Humanos131
Atividade 7.1 Entendendo a segurana de acesso e a segurana ambiental133
Atividade 7.2 Polticas de acesso 133
Atividade 7.3 Implementando a segurana de acesso e ambiental na sua organizao134
8. Segurana organizacional
Exerccio de nivelamento 1 Segurana organizacional137
Infraestrutura organizacional para a segurana da informao137
Importncia da infraestrutura137
Atribuio de responsabilidades138
Exerccio de fxao 1 Atribuio de responsabilidades138
Coordenao da segurana da informao139
Exerccio de fxao 2 Coordenao da segurana da informao139
Tratamento de ativos139
Proteo dos ativos140
Exerccio de fxao 3 Proteo dos ativos140
Inventrio de ativos140
Exerccio de fxao 4 Inventrio de ativos141
Proprietrio de ativo141
Exerccio de fxao 5 Proprietrio do ativo142
Segurana da informao e terceiros142
A razo do tratamento diferenciado142
Possveis riscos143
Exerccio de fxao 6 Possveis riscos143
Tratamento dos clientes144
x
Acordos especficos144
Gerncia de servios de terceiros145
Atividade 8.1 Entendendo a segurana organizacional147
Atividade 8.2 Realizando a segurana organizacional147
Atividade 8.3 Implementando a segurana organizacional148
9. Gesto de continuidade de negcios
Exerccio de nivelamento 1 Gesto de continuidade de negcios151
Continuidade de negcios151
Gesto da continuidade de negcios152
Exerccio de fxao 1 Gesto da continuidade de negcios152
Segurana da informao e gesto da continuidade de negcios153
Exerccio de fxao 2 Segurana da informao e gesto da continuidade de negcios154
Anlise de riscos e continuidade de negcios154
Exerccio de fxao 3 Anlise de riscos e continuidade de negcios154
Plano de continuidade de negcios154
Estrutura155
Desenvolvimento e implementao155
Exerccio de fxao 4 Desenvolvimento e implementao156
Testes156
Manuteno e reavaliao157
Exerccio de nivelamento 2 Gesto de incidentes de segurana158
Notificao de eventos adversos159
Exerccio de fxao 5 Notifcao de eventos adversos159
Procedimentos da gesto de incidentes de segurana159
Exerccio de fxao 6 Procedimentos da gesto de incidentes de segurana160
Planos de contingncias160
Fases do planejamento160
Exerccio de fxao 7 Plano de contingncias162
Anlise de impacto162
Exerccio de fxao 8 Anlise de impacto162
Identificao dos recursos, funes e sistemas crticos163
Definio do tempo para recuperao e elaborao de relatrio163
xi
Anlise de alternativas de recuperao163
Exerccio de fxao 9 Anlise de alternativas de recuperao164
Relatrio de alternativas de recuperao164
Desenvolvimento do plano de contingncias165
Treinamentos e testes165
Exerccio de fxao 10 Treinamentos e testes166
Avaliao e atualizao do plano166
Boas prticas166
Atividade 9.1 Entendendo os conceitos de Gesto de Continuidade de Negcios169
Atividade 9.2 Executando a continuidade de negcios169
Atividade 9.3 Executando a continuidade de negcios e a gesto de incidentes
na sua organizao170
10. Conformidade
Legislao e direito digital no Brasil173
Exerccio de nivelamento 1 Conformidade173
Importncia da legislao174
Direito digital174
Exerccio de fxao 1 Direito digital175
Legislao e direito digital no Brasil175
Legislao aplicvel segurana da informao176
Exerccio de fxao 2 Legislao aplicvel segurana da informao177
Exemplos de infraes digitais177
Direito digital e necessidades atuais178
Lei de Acesso a Informao179
Verificao da conformidade com requisitos legais180
Legislao vigente180
Propriedade intelectual180
Cuidados com a propriedade intelectual181
Exerccio de fxao 3 Cuidados com a propriedade intelectual182
Proteo de registros organizacionais182
Cuidados para a proteo de registros organizacionais183
Proteo de dados e privacidade de informaes pessoais183
xii
Preveno do mau uso de recursos de processamento da informao183
Controles de criptografia184
Verificao da conformidade com polticas e normas de segurana da informao185
Normas de segurana no Brasil185
Evoluo das normas186
Segurana da informao na Administrao Pblica Federal187
Conformidade com polticas e normas190
Trabalhando as no-conformidades190
Conformidade tcnica190
Exerccio de fxao 4 Conformidade tcnica191
Auditoria de sistemas de informao191
Cuidados na auditoria192
Outros padres relevantes192
Outras legislaes pertinentes193
Atividade 10.1 Entendendo a legislao195
Atividade 10.2 Realizando a conformidade195
Atividade 10.3 Executando a conformidade na sua organizao196
Bibliografa 197
xiii
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunica-
o (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias
em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e
unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do
corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplic-
veis ao uso efcaz e efciente das TIC.
A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e
Governana de TI.
A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e
execuo de planos de capacitao para formao de multiplicadores para projetos edu-
cacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil
(UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de
cartilhas sobre redes sem fo para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A flosofa pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpi-
cos da realidade do profssional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profssional.
A aprendizagem entendida como a resposta do aluno ao desafo de situaes-problema
semelhantes s encontradas na prtica profssional, que so superadas por meio de anlise,
sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do pro-
blema, em abordagem orientada ao desenvolvimento de competncias.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de apren-
dizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.
xiv
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das
atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atua-
o do futuro especialista que se pretende formar.
As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo
para as atividades prticas, conforme descrio a seguir:
Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos).
O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema
da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta
questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma
refexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se
coloque em posio de passividade, o que reduziria a aprendizagem.
Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos).
Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer
explicaes complementares.
Terceira etapa: discusso das atividades realizadas (30 minutos).
O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la,
devendo ater-se quelas que geram maior difculdade e polmica. Os alunos so convidados a
comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas,
estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem
solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
O propsito do curso desenvolver competncias necessrias para a implementao da
gesto da segurana da informao. Durante o curso o participante apresentado aos
conceitos e defnies bsicas da segurana da informao contido nas normas de segu-
rana ABNT NBR ISO/IEC 27001 e IEC 27002 edio 2013. Com base nelas compreender
os conceitos de poltica de segurana e gesto de riscos, conhecer as boas prticas para
a segurana dos recursos humanos e computacionais, segurana fsica e direito digital. O
curso garante ao participante todo o conhecimento necessrio para iniciar um processo de
implementao da gesto da segurana da informao na sua instituio.
A quem se destina
O curso destina-se aos gestores e profssionais de TIC que necessitam adquirir competncias na
rea de segurana da informao. Tambm podero se benefciar profssionais que desejam apli-
car o conhecimento em gesto da segurana da informao em qualquer tipo de organizao.
Convenes utilizadas neste livro
As seguintes convenes tipogrfcas so usadas neste livro:
Itlico
Indica nomes de arquivos e referncias bibliogrfcas relacionadas ao longo do texto.
xv
Largura constante

Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefxo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide q
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo w
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo d
Indica um documento como referncia complementar.
Smbolo v
Indica um vdeo como referncia complementar.
Smbolo s
Indica um arquivo de adio como referncia complementar.
Smbolo !
Indica um aviso ou precauo a ser considerada.
Smbolo p
Indica questionamentos que estimulam a refexo ou apresenta contedo de apoio ao
entendimento do tema em questo.
Smbolo l
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: COELHO, Flvia Estlia Silva; ARAJO, Luiz Geraldo Segadas de.
Gesto da Segurana da Informao NBR 27001 e 27002. Rio de Janeiro: Escola Superior de
Redes, RNP, 2014.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br
xvi
Sobre o autor
Flvia Estlia Silva Coelho possui Bacharelado em Cincia da Computao e Mestrado em
Informtica pela Universidade Federal de Campina Grande. Desde 2001, atua em ensino de
Graduao e Ps-Graduao Lato Sensu, em projetos de pesquisa e desenvolvimento nas
reas de computao distribuda e segurana da informao. professora efetiva da Universi-
dade Federal Rural do Semi-rido (UFERSA), desde 2009, e Java Champion (Oracle), desde 2006.
Luis Geraldo Segadas de Arajo possui especializao em Gesto de Segurana de Infor-
mao, Redes de Computadores e Infraestrutura Computacional. Trabalhou para diversas
empresas, entre elas a Fundao Petros, tendo atuado tambm como consultor, com desta-
que no BNDES e na TBG. Possui experincia em ensino, tendo sido professor na Universidade
Estcio de S e no Infnet, alm de instrutor na RNP/ESR. Possui amplo conhecimento em
normas, em especial nas ISO/IEC 27001 e 27002. Bacharel em Sistemas de Informao pela
PUC-RJ, Ps-graduado em Redes de Computadores pela UFRJ e mestre em Administrao de
Empresas, tambm na PUC-RJ. Possui as certifcaes CISSP, CISA e CISM, sendo capacitado
em planejamento, elaborao de poltica de segurana, normas, anlise de riscos, diagns-
tico e auditoria. Atualmente mora no Canad.
Edson Kowask Bezerra profssional da rea de segurana da informao e governana
h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto
e gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da
informao, continuidade de negcios, PCI, auditoria e recuperao de desastres em
empresas de grande porte do setor de telecomunicaes, fnanceiro, energia, indstria
e governo. Com vasta experincia nos temas de segurana e governana, tem atuado
tambm como palestrante nos principais eventos do Brasil e ainda como instrutor de
treinamentos focados em segurana e governana. professor e coordenador de cursos
de ps-graduao na rea de segurana da informao, gesto integrada, de inovao e
tecnologias web. Hoje atua como Coordenador Acadmico de Segurana e Governana de
TI da Escola Superior de Redes.
1

C
a
p
t
u
l
o

1

-

F
u
n
d
a
m
e
n
t
o
s

d
a

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o

o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
1
Fundamentos da segurana da
informao
Explicar as defnies mais importantes e preocupaes comuns a considerar em termos
de segurana da informao nas organizaes; Selecionar servios e controles para a
segurana da informao e identifcar os fatores crticos de sucesso.
Servios de segurana; Gesto da segurana da informao; Ameaas, vulnerabilidades,
ataques e controles.
Por que se preocupar com segurana?
q Problemas mais comuns:
1 Destruio de informaes e outros recursos.
1 Modifcao ou deturpao de informaes.
1 Roubo, remoo ou perda da informao ou de outros recursos.
1 Revelao de informaes.
1 Interrupo de servios.
As organizaes cada vez mais reconhecem o valor e as vulnerabilidades de seus ativos.
Exerccio de nivelamento 1 e
Fundamentos de segurana da informao
O que segurana para voc?
O que voc entende por segurana da informao?
A segurana da informao um ponto crtico para a sobrevivncia das organizaes na
era da informao. Vrios so os problemas envolvidos, ao passo que a sociedade depende
das informaes armazenadas nos sistemas computacionais para a tomada de deciso em
empresas, rgos do governo, entre outros contextos organizacionais.
2

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
A informao pode existir em diversos formatos: impressa, armazenada eletronicamente,
falada, transmitida pelo correio convencional de voz ou eletrnico etc. Seja qual for o formato
ou meio de armazenamento ou transmisso, recomenda-se que ela seja protegida adequada-
mente. Sendo assim, de responsabilidade da segurana da informao proteg-la de vrios
tipos de ameaas, para garantir a continuidade do negcio, minimizar riscos e maximizar o
retorno dos investimentos.
Felizmente, crescente a conscientizao das organizaes frente ao valor e s vulnerabili-
dades de seus ativos no que diz respeito segurana. Hoje em dia, a segurana da infor-
mao determinante para assegurar competitividade, lucratividade, atendimento aos
requisitos legais e a imagem da organizao junto ao mercado, s organizaes, tanto no
setor pblico quanto no setor privado. Em tais contextos, a segurana da informao um
componente que viabiliza negcios, tais como e-Gov (governo eletrnico) ou e-commerce
(comrcio eletrnico).
Definies
q 1 Segurana da informao.
1 Incidente de segurana.
1 Ativo.
1 Ameaa.
1 Vulnerabilidade.
1 Risco.
1 Ataque.
1 Impacto.
Segurana da Informao compreende a proteo das informaes, sistemas, recursos e
demais ativos contra desastres, erros (intencionais ou no) e manipulao no autorizada,
objetivando a reduo da probabilidade e do impacto de incidentes de segurana. Todos esses
controles necessitam ser estabelecidos, implementados, monitorados, analisados critica-
mente e melhorados para que assegurem que os objetivos do negcio e a segurana da infor-
mao da organizao sejam atendidos (item 0.1 da norma ABNT NBR ISO/IEC 27002:2013).
A segurana da informao a proteo da informao de vrios tipos de ameaas para
garantir a continuidade do negcio, minimizando os riscos e maximizando o retorno sobre
os investimentos e as oportunidades de negcio. A segurana da informao obtida como
resultado da implementao de um conjunto de controles, compreendendo polticas, pro-
cessos, procedimentos, estruturas organizacionais e funes de hardware e software.
Em particular, os controles necessitam ser estabelecidos, implementados, monitorados,
analisados e continuamente melhorados, com o intuito de atender aos objetivos do negcio
e de segurana da organizao. A identifcao de controles adequados requer um planeja-
mento detalhado. A seguir so detalhados alguns conceitos:
1 Incidente de segurana: corresponde a qualquer evento adverso relacionado segu-
rana; por exemplo, ataques de negao de servios (Denial of Service DoS), roubo de
informaes, vazamento e obteno de acesso no autorizado a informaes;
1 Ativo: qualquer coisa que tenha valor para a organizao e para os seus negcios. Alguns
exemplos: banco de dados, softwares, equipamentos (computadores e notebooks), servidores,
elementos de redes (roteadores, switches, entre outros), pessoas, processos e servios;
3

C
a
p
t
u
l
o

1

-

F
u
n
d
a
m
e
n
t
o
s

d
a

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o

1 Ameaa: qualquer evento que explore vulnerabilidades. Causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou organizao;
1 Vulnerabilidade: qualquer fraqueza que possa ser explorada e comprometer a segurana
de sistemas ou informaes. Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaas. Vulnerabilidades so falhas que permitem o surgi-
mento de defcincias na segurana geral do computador ou da rede. Confguraes incor-
retas no computador ou na segurana tambm permitem a criao de vulnerabilidades.
A partir dessa falha, as ameaas exploram as vulnerabilidades, que, quando concretizadas,
resultam em danos para o computador, para a organizao ou para os dados pessoais;
1 Risco: combinao da probabilidade (chance da ameaa se concretizar) de um evento
ocorrer e de suas consequncias para a organizao. Algo que pode ocorrer e seus
efeitos nos objetivos da organizao;
1 Ataque: qualquer ao que comprometa a segurana de uma organizao;
1 Impacto: consequncia avaliada de um evento em particular.
Exerccio de fixao 1 e
Definies
Explique o que so ativos.
Como voc explicaria na sua organizao o termo vulnerabilidade?
Modelos de ataque
q 1 Interrupo.
1 Interceptao.
1 Modifcao.
1 Fabricao.
4

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
(c) Interceptao (b) Interrupo
(d) Modicao (e) Fabricao
Fonte da
informao
Destino da
informao
(a) Fluxo Normal
H quatro modelos de ataque possveis:
1 Interrupo: quando um ativo destrudo ou torna-se indisponvel (ou inutilizvel),
caracterizando um ataque contra a disponibilidade. Por exemplo, a destruio de um
disco rgido;
1 Interceptao: quando um ativo acessado por uma parte no autorizada (pessoa,
programa ou computador), caracterizando um ataque contra a confdencialidade. Por
exemplo, cpia no autorizada de arquivos ou programas;
1 Modifcao: quando um ativo acessado por uma parte no autorizada (pessoa, pro-
grama ou computador) e ainda alterado, caracterizando um ataque contra a integridade.
Por exemplo, mudar os valores em um arquivo de dados;
1 Fabricao: quando uma parte no autorizada (pessoa, programa ou computador) insere
objetos falsifcados em um ativo, caracterizando um ataque contra a autenticidade. Por
exemplo, a adio de registros em um arquivo.
Na fgura 1.1, observamos o fuxo normal da informao de uma origem para um destino
(a). Na sequncia, o esquema apresenta cada um dos modelos de ataques possveis: uma
interrupo (b), interceptao (c), modifcao (d) e fabricao (e).
Modelos de ataque
Explique o modelo de ataque da interceptao.
Formas de ataque
q Ataques passivos:
1 Resultam na liberao dos dados.
Figura 1.1
Modelos de ataque.
5

C
a
p
t
u
l
o

1

-

F
u
n
d
a
m
e
n
t
o
s

d
a

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o

q Ataques ativos:
1 Resultam na alterao ou destruio dos dados.
O ataque um ato deliberado de tentar se desviar dos controles de segurana com o obje-
tivo de explorar as vulnerabilidades. Existem as seguintes formas de ataque:
1 Ataques passivos: ataques baseados em escutas e monitoramento de transmisses,
com o intuito de obter informaes que esto sendo transmitidas. A escuta de uma
conversa telefnica um exemplo dessa categoria. Ataques dessa categoria so difceis
de detectar porque no envolvem alteraes de dados; todavia, so possveis de prevenir
com a utilizao de criptografa;
1 Ataques ativos: envolvem modifcao de dados, criao de objetos falsifcados ou
negao de servio, e possuem propriedades opostas s dos ataques passivos. So
ataques de difcil preveno, por causa da necessidade de proteo completa de todas
as facilidades de comunicao e processamento, durante o tempo todo. Sendo assim,
possvel detect-los e aplicar uma medida para recuperao de prejuzos causados.
Formas de ataque
Explique dentro do ambiente da sua organizao como ocorreria um ataque ativo.
Arquitetura de segurana
q 1 Proteo de dados contra modifcaes no autorizadas.
1 Proteger os dados contra perda/roubo/furto.
1 Proteo de dados contra a divulgao no autorizada.
1 Garantir a identidade do remetente correto dos dados.
1 Garantir a identidade correta do destinatrio dos dados.
A arquitetura de segurana proposta pelo modelo ISA (interconexo de sistemas abertos),
defnido na norma ISO 7498-2, estabelece os seguintes objetivos ou requisitos de segurana:
1. Proteo de dados contra modifcaes no autorizadas;
2. Proteger os dados contra perda/furto/roubo;
3. Proteo de dados contra a divulgao no autorizada;
4. Garantir a identidade do remetente correto dos dados;
5. Garantir a identidade correta do destinatrio dos dados.
Servios de segurana
q Objetivos:
1 Aumento da segurana.
1 Utilizao de mecanismos de segurana.
6

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Categorias de servios de segurana.
1 Confdencialidade.
1 Autenticidade.
1 Integridade.
1 No repdio.
1 Conformidade.
1 Controle de acesso.
1 Disponibilidade.
Neste tpico, sero tratados os objetivos e categorias de servios de segurana a serem
considerados no contexto da segurana da informao. De acordo com o padro ISO 7498-2,
que compreende os aspectos relacionados segurana no modelo Open Systems Intercon-
nection (OSI), os servios de segurana so medidas preventivas escolhidas para combater
ameaas identifcadas. Os servios de segurana aumentam a segurana da informao
contra ataques fazendo uso de um ou mais mecanismos de segurana. Em muitas literaturas
esses servios tambm so citados como princpios bsicos de segurana.
Os servios e mecanismos de segurana devem ser aplicados de modo a atender aos requi-
sitos de segurana da organizao, levando em considerao o equilbrio entre as necessi-
dades de segurana e custos respectivos. Em especial, ao identifcar e priorizar servios de
segurana, essencial fazer uma anlise dos riscos e impactos provveis que compreendem
toda a organizao em questo.
1 Confdencialidade: compreende a proteo de dados transmitidos contra ataques
passivos, isto , contra acessos no autorizados, envolvendo medidas como controle
de acesso e criptografa. A perda da confdencialidade ocorre quando h uma quebra
de sigilo de uma determinada informao (exemplo: a senha de um usurio ou adminis-
trador de sistema) permitindo que sejam expostas informaes restritas as quais seriam
acessveis apenas por um determinado grupo de usurios;
1 Autenticidade: est preocupada em garantir que uma comunicao autntica, ou seja,
origem e destino podem verifcar a identidade da outra parte envolvida na comunicao,
com o objetivo de confrmar que a outra parte realmente quem alega ser. A origem e o
destino tipicamente so usurios, dispositivos ou processos;
1 Integridade: trata da garantia contra ataques ativos por meio de alteraes ou remoes
no autorizadas. relevante o uso de um esquema que permita a verifcao da integri-
dade dos dados armazenados e em transmisso. A integridade pode ser considerada sob
dois aspectos: servio sem recuperao ou com recuperao. Uma vez que os ataques
ativos so considerados no contexto, a deteco, em vez da preveno, o que importa;
ento, se o comprometimento da integridade detectado, pode-se report-lo
e o mecanismo de recuperao imediatamente acionado. A integridade tambm
um pr-requisito para outros servios de segurana. Por exemplo, se a integridade de
um sistema de controle de acesso a um Sistema Operacional for violada, tambm ser
violada a confdencialidade de seus arquivos. A perda de integridade surge no momento
em que uma determinada informao fca exposta ao manuseio por uma pessoa no
autorizada, que efetua alteraes que no foram aprovadas e no esto sob o controle
do proprietrio (corporativo ou privado) da informao;
1 No repdio: compreende o servio que previne uma origem ou destino de negar a
transmisso de mensagens, isto , quando dada mensagem enviada, o destino pode
provar que esta foi realmente enviada por determinada origem, e vice-versa;
7

C
a
p
t
u
l
o

1

-

F
u
n
d
a
m
e
n
t
o
s

d
a

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o

1 Conformidade: dever de cumprir e fazer cumprir regulamentos internos e externos
impostos s atividades da organizao. Estar em conformidade estar de acordo,
seguindo e fazendo cumprir leis e regulamentos internos e externos;
1 Controle de acesso: trata de limitar e controlar o acesso lgico/fsico aos ativos de uma
organizao por meio dos processos de identifcao, autenticao e autorizao, com o
objetivo de proteger os recursos contra acessos no autorizados;
1 Disponibilidade: determina que recursos estejam disponveis para acesso por enti-
dades autorizadas, sempre que solicitados, representando a proteo contra perdas
ou degradaes. A perda de disponibilidade acontece quando a informao deixa de
estar acessvel por quem necessita dela. Seria o caso da perda de comunicao com um
sistema importante para a empresa, que aconteceu com a queda de um servidor ou de
uma aplicao crtica de negcio, que apresentou uma falha devido a um erro causado
por motivo interno ou externo ao equipamento ou por ao no autorizada de pessoas
com ou sem m inteno.
Servios de segurana
Explique como sua organizao protege a confdencialidade.
Explique o que vem a ser autenticidade e integridade.
Segurana da informao
q Viso geral de gesto da segurana da informao:
1 Preparando a organizao.
1 Requisitos de segurana.
1 Anlise/avaliao de riscos.
1 Seleo de controles.
1 Itens relevantes.
1 Atividades envolvidas.
Neste tpico, so detalhados os aspectos principais relacionados gesto da segurana da
informao, com a apresentao de uma viso geral das preocupaes, responsabilidades e
atividades envolvidas.
8

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Anlise
de risco
Mudanas
tecnolgicas
Legislao
ISO 27001/2013
Poltica de segurana
Normas
Procedimentos
A fgura 1.2 apresenta uma viso geral da segurana da informao. As mudanas tecnol-
gicas so uma constante presena no dia a dia da organizao. Essas mudanas podem fazer
surgir novas vulnerabilidades e riscos, ou ainda aumentar os j existentes, o que precisa ser
acompanhado atravs de uma anlise de riscos dinmica e atualizada, permitindo o levanta-
mento dos nveis dos riscos e da forma de trat-los.
Simultaneamente necessrio conhecer a legislao que a organizao obrigada a seguir
e a levantar os requisitos de segurana necessrios para atend-la. A partir desses requi-
sitos legais, identifcar os controles necessrios e aqueles apontados pela anlise de risco,
com o uso das normas de segurana. A partir dos controles identifcados, necessrio gerar
as polticas, normas e procedimentos para a implementao dos controles.
Preparando a organizao
q preciso ter em mente as respostas aos seguintes questionamentos:
1 O que proteger?
1 Contra o qu ou quem?
1 Qual a importncia de cada recurso?
1 Qual o grau de proteo desejado?
1 Quanto tempo, recursos fnanceiros e humanos se pretende gastar para atingir os
objetivos de segurana desejados?
1 Quais as expectativas dos diretores, clientes e usurios em relao segurana da
informao?
Antes de pensar em gesto da segurana da informao em uma organizao, preciso ter
em mente as respostas aos seguintes questionamentos:
1. O que proteger? Ativos da organizao necessitam de proteo.
2. Contra o qu ou quem? Quais so as ameaas que podem afetar a organizao e de que
forma e por quem essas ameaas podem ser exploradas.
Figura 1.2
Viso geral da
segurana da
informao.
9

C
a
p
t
u
l
o

1

-

F
u
n
d
a
m
e
n
t
o
s

d
a

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o

3. Qual a importncia de cada recurso? Como cada recurso de informao participa do
processo de negcio da organizao.
4. Qual o grau de proteo desejado? Que requisitos de proteo o negcio exige e que nvel
de proteo necessrio.
5. Quanto tempo, recursos fnanceiros e humanos se pretende gastar para atingir os
objetivos de segurana desejados? Que recursos esto disponveis para os objetivos de
segurana e o que pode ser feito com os recursos existentes.
6. Quais as expectativas dos diretores, clientes e usurios em relao segurana da infor-
mao? O que eles esperam da segurana da informao para o negcio da organizao.
Com respostas a essas perguntas, pode-se prosseguir com o processo de estabelecimento
da segurana da informao e de sua gesto na organizao.
Requisitos de segurana
q H trs fontes a considerar:
1 Anlise/avaliao de riscos da organizao.
1 Legislao vigente, estatutos, regulamentaes e clusulas contratuais da organizao.
1 Conjunto de princpios, objetivos e requisitos do negcio.
H trs fontes principais a considerar ao estabelecer os requisitos de segurana da infor-
mao de uma organizao:
1 Anlise/avaliao de riscos: considera os objetivos e estratgias de negcio da organizao,
resultando na identifcao de vulnerabilidades e ameaas aos ativos. Nesse contexto,
leva-se em conta a probabilidade de ocorrncia de ameaas e o impacto para o negcio.
1 Legislao vigente: estatutos, regulamentao e clusulas contratuais a que devem
atender a organizao, seus parceiros, terceirizados e fornecedores.
1 Conjunto de princpios: objetivos e requisitos de negcio para o processamento de
dados que a organizao deve defnir para dar suporte s suas operaes.
Anlise/avaliao de riscos
q 1 Gastos com controles precisam ser balanceados de acordo com os dados potenciais.
1 Resultados direcionam e determinam aes gerenciais.
1 Tarefa peridica, para contemplar mudanas.
Na anlise/avaliao de riscos, os gastos com os controles devem ser balanceados de acordo
com o impacto que falhas potenciais de segurana causaro aos negcios. Sendo assim,
deve ser efetuada periodicamente, com o intuito de contemplar mudanas na organizao.
Os resultados auxiliam no direcionamento e determinao das aes gerenciais e das prio-
ridades para o gerenciamento de riscos da segurana da informao. A avaliao compara
o risco estimado com critrios predefnidos para determinar a importncia ou valor do risco
para a organizao.
Processo de negcio
Conjunto de aes e
atividades que coe-
xistem e interagem
entre si de forma lgica
e coerente para desen-
volver um entregvel
(produto) que atenda
aos requisitos de quali-
dade e s expectativas
do cliente, seja ele
interno ou externo.
Mais informaes
podem ser consultadas
na norma ABNT ISO/IEC
27002:2013 no item 0.2.
d
Mais informaes
podem ser obtidas na
norma ABNT NBR ISO/
IEC 27005:2013.
d
10

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Seleo de controles
q 1 Controles devem ser implementados para garantir a reduo de riscos.
1 Dependem das decises da organizao quanto aos riscos.
1 Podem ser selecionados a partir de normas preestabelecidas ou de conjunto de con-
troles especfcos. Por exemplo, as normas:
2 ABNT NBR ISO/IEC 27002:2013.
2 ABNT NBR ISO/IEC 27001:2013.
Aps a identifcao de requisitos de segurana, anlise/avaliao dos riscos e tomadas de
deciso quanto ao tratamento de riscos em uma organizao, pode-se, enfm, selecionar e
implementar os controles adequados.
Controles so medidas ou um conjunto de medidas adotadas para tratar vulnerabilidades
e reduzir o risco de incidentes de segurana da informao. Controle, tambm conhe-
cido como contramedida, corresponde a qualquer mecanismo til para gerenciar riscos,
incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais que
podem ser de natureza administrativa, tcnica, de gesto ou legal.
Os controles podem ser selecionados a partir de normas preestabelecidas (por exemplo, as
normas ABNT NBR ISO/IEC 27002:2013 e ABNT NBR ISO/IEC 27001:2013) ou de um conjunto
de controles especfcos para a organizao. Em particular, os controles selecionados devem
estar de acordo com a legislao e regulamentao nacionais e internacionais vigentes e
relevantes segurana da informao e ao negcio da organizao.
Alguns exemplos de controle:
1 Barreiras, portas, cartazes de proibida a entrada e catracas;
1 Crachs, controle de visitantes e CFTV;
1 Senhas, fechaduras e controles biomtricos;
1 Polticas de segurana, termos de responsabilidade e treinamento;
1 Antivrus, backup e controle de acesso lgico.
Seleo de controles
Explique o que so controles.
Controles para a segurana da informao
q Controles considerados essenciais, do ponto de vista legal:
1 Proteo de dados e privacidade.
1 Proteo de registros organizacionais.
1 Direitos de propriedade intelectual.
Controles biomtricos
Uso da biometria
para verificar ou
identificar acesso a
recursos como com-
putadores, notebooks,
smartphones, redes
de computadores,
aplicaes, bases
de dados e outros
hardwares e softwares
que necessitem ter o
seu acesso protegido.
Biometria o uso de
caractersticas fsicas
ou comportamentais
das pessoas como
forma de identific-las
unicamente.
11

C
a
p
t
u
l
o

1

-

F
u
n
d
a
m
e
n
t
o
s

d
a

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o

Controle, por defnio, um modo de gerenciar riscos, podendo incluir polticas, procedi-
mentos, diretrizes e prticas que podem ser de natureza administrativa, tcnica, legal ou de
gesto. Alguns controles podem ser considerados como primeiros passos para a segu-
rana da informao nas organizaes, tendo como base requisitos legais e/ou melhores
prticas para a segurana da informao.
Sob o ponto de vista legal, h os controles considerados essenciais e que dependem da
legislao vigente, a saber:
1 Proteo de dados e privacidade de informaes pessoais;
1 Proteo de registros organizacionais;
1 Direitos de propriedade intelectual.
q Controles considerados como boas prticas:
1 Poltica de segurana da informao.
1 Atribuio de responsabilidades.
1 Conscientizao, educao e treinamento em segurana da informao.
1 Processamento correto em aplicaes.
1 Gesto de vulnerabilidades.
1 Gesto da continuidade do negcio.
1 Gesto de incidentes de segurana da informao.
J os controles considerados como boas prticas para a segurana da informao compreendem:
1 Documento da poltica de segurana da informao;
1 Atribuio de responsabilidades para a segurana da informao;
1 Conscientizao, educao e treinamento em segurana da informao;
1 Processamento correto nas aplicaes;
1 Gesto das vulnerabilidades tcnicas;
1 Gesto da continuidade do negcio;
1 Gesto de incidentes de segurana da informao.
Vale ressaltar que selecionar ou no determinado controle deve ser uma ao baseada nos
riscos especfcos da organizao. Sendo assim, considere os controles apontados como
ponto de partida, uma vez que estes no substituem a seleo de controles baseada na
anlise/avaliao de riscos.
notria, ainda, a conscientizao de que uma poltica de segurana da informao no
deve ser defnida de modo genrico. As organizaes devem ser analisadas caso a caso, de
forma a identifcar suas necessidades de segurana para que, assim, seja desenvolvida e
implantada uma poltica adequada. Em adio, a poltica deve atribuir direitos e responsa-
bilidades s entidades que lidam diretamente com informaes e recursos computacionais
das organizaes. Sendo assim, qualquer evento que resulte em descumprimento da poltica
considerado incidente de segurana.
Outra questo a ser considerada a gesto da continuidade do negcio, a qual preocupa-se
com planos de contingncia e de continuidade, com destaques para o planejamento para
garantir a recuperao aps desastres.
12

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Controles para a segurana da informao
Quais so os controles considerados essenciais sob o ponto de vista legal?
Na sua organizao, quais controles aplicados so considerados como melhores prticas?
Itens relevantes para a segurana da informao
q 1 Poltica de segurana da informao.
1 Segurana organizacional.
1 Gesto de ativos.
1 Segurana em Recursos Humanos.
1 Segurana fsica e de ambiente.
1 Gerenciamento de operaes e comunicaes.
1 Controle de acesso.
1 Aquisio, desenvolvimento e manuteno de SI.
1 Gesto de incidentes de segurana.
A gesto da segurana da informao incentiva a adoo de polticas, procedimentos, guias
e demais elementos relevantes, cujo escopo deve compreender o gerenciamento de riscos
baseado em anlises de custo/benefcio para a organizao.
Nesse contexto, para a gesto da segurana da informao, os itens listados a seguir so
relevantes:
1 Poltica de segurana da informao;
1 Segurana organizacional;
1 Gesto de ativos;
1 Segurana em Recursos Humanos;
1 Segurana fsica e do ambiente;
1 Gesto das operaes e comunicaes;
1 Controle de acesso;
1 Gesto de incidentes de segurana da informao;
Todos os itens so tratados em detalhes na norma ABNT NBR ISO/IEC 27002:2013 e sero
explicados na sequncia deste curso.
13

C
a
p
t
u
l
o

1

-

F
u
n
d
a
m
e
n
t
o
s

d
a

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o

Atividades envolvidas
q 1 Gerncia de segurana dos sistemas.
1 Gerncia dos servios de segurana.
1 Gerncia dos mecanismos de segurana.
1 Gerncia da auditoria de segurana.
Atividades adicionais consideradas no escopo da gesto da segurana da informao:
1 Gesto da segurana dos sistemas, que engloba todos os aspectos de segurana dos
sistemas de uma organizao, tais como administrao da poltica de segurana,
procedimentos de recuperao aps desastres, entre outros. de responsabilidade
desta gerncia a constante atualizao com respeito a problemas, riscos e solues de
segurana mais recentes;
1 Gerncia de servios de segurana, incluindo a seleo dos mecanismos de segurana
mais adequados para atend-los;
1 Gerncia dos mecanismos de segurana disponveis para atender aos requisitos de segu-
rana da organizao;
1 Gerncia da auditoria de segurana, revisando e verifcando registros e eventos de
segurana, com o objetivo de avaliar a adequao dos controles do sistema, sua ade-
rncia poltica de segurana, e de recomendar mudanas adequadas ou necessrias aos
controles empregados na organizao.
Fatores crticos para o sucesso da segurana da informao
q Fatores crticos para o sucesso:
1 Poltica de segurana da informao.
1 Abordagem e estrutura para implementao, manuteno, monitoramento e melho-
rias da segurana da informao.
1 Comprometimento dos nveis gerenciais.
1 Entendimento dos requisitos de segurana da informao, da anlise, avaliao e
gesto de riscos.
1 Divulgao efciente.
A seguir, so apresentados alguns fatores considerados crticos para o sucesso da segurana
da informao nas organizaes:
1 A poltica de segurana da informao, objetivos e prticas devem refetir os objetivos de
negcio da organizao;
1 A abordagem e a estrutura adotadas para a implementao, manuteno, monitora-
mento e melhoria da segurana da informao devem ser compatveis com a cultura
da organizao;
1 Todos os nveis gerenciais da organizao devem estar comprometidos e apoiando a
segurana da informao;
1 Os requisitos de segurana da informao, a anlise, avaliao e gesto de riscos devem
ser bem entendidos (e em detalhes);
1 A segurana da informao deve ser divulgada, de modo efciente, a todas as entidades
da organizao (presidentes, diretores, gerentes, funcionrios, contratados etc.).
Gesto de riscos
Envolve atividades para
direcionar e controlar
uma organizao em
termos de riscos. Sendo
assim, compreende
anlise, avaliao,
tratamento e aceitao
de riscos.
14

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q 1 Distribuio e comunicao de diretrizes, polticas e normas para todas as partes
envolvidas.
1 Proviso de recursos fnanceiros para a gesto da segurana da informao.
1 Proviso da conscientizao, treinamento e educao adequados.
1 Estabelecimento de um processo efciente de gesto de incidentes de segurana.
1 Implementao de um sistema de medio da gesto da segurana da informao.
1 Todos os itens da poltica de segurana devem ser distribudos e comunicados para as
entidades da organizao.
1 Recursos fnanceiros devem ser providos para a gesto da segurana da informao.
1 Meios de conscientizao, treinamento e educao adequados devem ser providos.
1 Deve-se estabelecer um processo efciente para a gesto de incidentes de segurana da
informao.
1 preciso implantar um mecanismo para medir e avaliar a efetividade da gesto da segu-
rana da informao, com subsequentes sugestes de melhorias.
15

C
a
p
t
u
l
o

1

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

1
Atividade 1.1 Identificando ataques
Para cada situao a seguir, indique o modelo de ataque aplicvel. Justifque sua resposta:
Situao Modelo de ataque Justificativa
Adio de um registro falsificado
em um banco de dados.
Desabilitar um sistema de
arquivos.
Modificao de dados trafegando
na rede.
Inutilizao fsica de um
componente de hardware.
Captura de dados em rede,
atravs de escutas.
Alterao de um programa para
que execute de modo diferente.
Atividade 1.2 Identificando vulnerabilidades
Para cada uma das situaes a seguir, cite pelo menos uma vulnerabilidade possvel de ser
explorada para concretizar uma ameaa segurana da informao de uma organizao.
Justifque as suas respostas:
1. Pessoal de servio dirio de mensageiro realizando entrega e coleta de mensagens.
2. Ex-funcionrios que deixaram a empresa porque foram dispensados.
16

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
3. Funcionrio viajando a servio da organizao e acessando a rede remotamente.
4. Utilizao de notebook pessoal sem cadastro na lista de ativos.
5. Computador de trabalho logado, sem o usurio nas proximidades.
Atividade 1.3 Identificando a forma de ataque
Identifque a forma de ataque aplicvel a cada situao a seguir. Justifque sua resposta:
1. Captura e acesso a um arquivo transferido de um cliente a um servidor via rede.
2. Alterao de parte de uma mensagem legtima.
3. Anlise de trfego de uma rede, utilizando um snifer.
17

C
a
p
t
u
l
o

1

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

1
4. Interrupo de uma rede, por causa de uma sobrecarga de trfego que degradou a sua
performance.
5. Utilizao de login e senha de outro usurio.
Atividade 1.4 Associando categorias de servios de segurana
Para cada contexto apresentado a seguir, indique o(s) servio(s) diretamente associado(s):
1. Manuteno de informaes secretas, realizada por meio de cdigos para a transmisso
em rede.
2. Duplicao de servidores de misso-crtica.
3. No abrir arquivos ou executar programas anexados em e-mails sem antes verifc-los
com um antivrus.
4. Usurios devem declarar por que so necessrias alteraes em seus privilgios na orga-
nizao e a relao do pedido com as atividades por ele desempenhadas.
18

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
5. vedado aos usurios o direito de modifcar, remover ou copiar arquivos que pertenam
a outro usurio, sem a sua permisso expressa.
Atividade 1.5 Estudo de caso: sua organizao
Considerando sua organizao atualmente, faa uma rpida anlise da situao da segu-
rana da informao e responda:
1. Quais so os controles do ponto de vista legal e de boas prticas que sua organizao
necessita? Justifque.
2. Quais so os fatores crticos de sucesso da segurana da informao na sua organizao?
19

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
2
Cdigo de prtica
Conhecer a norma ABNT NBR ISO/IEC 27002:2013 e selecionar, relacionar e combinar
seus controles.
Estrutura e sees da norma ABNT NBR ISO/IEC 27002:2013 e seus objetivos.

Estrutura da norma
A norma ABNT NBR ISO/IEC 27002:2013 (Tecnologia da Informao Tcnicas de segurana
Cdigo de prtica para controles de segurana da informao), foi preparada para servir
como um guia prtico para o desenvolvimento e a implementao de procedimentos e con-
troles de segurana da informao em uma organizao.
Cdigo de prtica
O que voc entende por cdigo de prtica?
Estrutura da norma
q Apresentao da norma ABNT NBR ISO/IEC 27002:2013:
1 Possui 14 sees.
1 Possui 35 objetivos de controle.
1 A verso atual possui 114 controles.
Estruturada para fornecer um cdigo de boas prticas para gesto da segurana, a norma
organizada em captulos de 0 a 18. Os captulos de 0 a 4 apresentam os temas de introduo
(0), Escopo (1), Referncia normativa (2), Termos e defnies (3) e Estrutura desta norma (4).
A partir do captulo 5, a norma passa a chamar cada captulo de seo. Assim, existem
catorze sees especfcas apresentando os cdigos de prticas da gesto da segurana.
Cada seo defne um ou mais objetivos de controle. As catorze sees formam o total de
35 objetivos de controle. A seo 4 da norma apresenta sua estrutura.
20

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Existem 114 controles e eles so os elementos que defnem o que a norma 27002 considera
como importante para um processo de segurana da informao. Os controles identifcados
por nmeros (xx.xx.xx) so estruturados atravs de:
Os controles da norma so apresentados como boas praticas para que a organizao
adote uma postura preventiva e pr ativa diante das suas necessidades e requisitos
de segurana da informao.
1 Controle: descrio e defnio do controle;
1 Diretrizes para a implementao: informaes auxiliares mais detalhadas na imple-
mentao do controle;
1 Informaes adicionais: informaes complementares.
Todo o trabalho deste captulo ser desenvolvido com o manuseio e leitura dos tpicos
apresentados na norma NBR ISO/IEC 27002:2013.
9. Controle de acesso
15. Relacionamento na
cadeia de suprimento
12. Segurana nas
operaes
13. Segurana nas
comunicaes
11. Segurana fsica
e do ambiente
10. Criptograa
14. Aquisio, desenvolvimento
e manuteno de sistemas
17. Aspectos da segurana da
informao na gesto da
continuidade do negcio
16. Gesto de incidentes da
segurana da informao
18. Conformidade 0. Introduo
1. Escopo
2. Referncia normativa
7. Segurana em
recursos humanos
5. Polticas de segurana
da informao
6. Organizao da
8. Gesto de ativos
3. Termos e denies
4. Estrutura desta norma
ABNT NBR ISO/IEC 27002:2013
Cdigo de Prtica para controles
de segurana da informao
No sentido horrio, observa-se a sequncia estrutural da norma destacando-se as catorze
sees de controles de segurana da informao (sees de 5 a 18).
Seo 5 Polticas de segurana da informao
q 5.1. Poltica de segurana da informao
1 Objetivo:
2 Prover orientao da Direo e apoio para a segurana da informao de acordo
com os requisitos do negcio e com as leis e regulamentaes relevantes.
A seo 5 da norma trata da poltica de segurana da informao e seus requisitos. O
objetivo da categoria de controle fornecer orientao e apoio da direo para a segurana
Figura 2.1
Sequncia
estrutural da
norma.
21

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

Existem 114 controles e eles so os elementos que defnem o que a norma 27002 considera
como importante para um processo de segurana da informao. Os controles identifcados
por nmeros (xx.xx.xx) so estruturados atravs de:
Os controles da norma so apresentados como boas praticas para que a organizao
adote uma postura preventiva e pr ativa diante das suas necessidades e requisitos
de segurana da informao.
1 Controle: descrio e defnio do controle;
1 Diretrizes para a implementao: informaes auxiliares mais detalhadas na imple-
mentao do controle;
1 Informaes adicionais: informaes complementares.
Todo o trabalho deste captulo ser desenvolvido com o manuseio e leitura dos tpicos
apresentados na norma NBR ISO/IEC 27002:2013.
15. Relacionamento na
cadeia de suprimento
12. Segurana nas
operaes
13. Segurana nas
comunicaes
11. Segurana fsica
e do ambiente
10. Criptograa
14. Aquisio, desenvolvimento
e manuteno de sistemas
17. Aspectos da segurana da
informao na gesto da
16. Gesto de incidentes da
18. Conformidade 0. Introduo
1. Escopo
2. Referncia normativa
7. Segurana em
recursos humanos
5. Polticas de segurana
da informao
6. Organizao da
8. Gesto de ativos
3. Termos e denies
4. Estrutura desta norma
ABNT NBR ISO/IEC 27002:2013
Cdigo de Prtica para controles
No sentido horrio, observa-se a sequncia estrutural da norma destacando-se as catorze
sees de controles de segurana da informao (sees de 5 a 18).
Seo 5 Polticas de segurana da informao
q 5.1. Poltica de segurana da informao
1 Objetivo:
2 Prover orientao da Direo e apoio para a segurana da informao de acordo
com os requisitos do negcio e com as leis e regulamentaes relevantes.
A seo 5 da norma trata da poltica de segurana da informao e seus requisitos. O
objetivo da categoria de controle fornecer orientao e apoio da direo para a segurana
Figura 2.1
Sequncia
estrutural da
norma.
da informao, atravs do estabelecimento de uma poltica clara e objetiva, alinhada com
os objetivos de negcio da organizao. A seo 5 apresenta como deve ser desenvolvido,
mantido e atualizado o documento da poltica.
Objetivo Prover orientao da Direo e apoio
para a segurana da informao de
acordo com os requisitos do negcio
e com as leis e regulamentaes relevantes.
5.1 . Orientao da direo para
5.1.1 . Polticas para segurana da informao
5.1.2 . Anlise crtica das polticas para
5. Polticas de
segurana
da informao
Essa seo composta por uma categoria principal de segurana (5.1 Poltica de segurana
da informao) e por dois controles (5.1.1 e 5.1.2).
O controle 5.1.1 (Polticas para segurana da informao) mostra, nas Diretrizes para imple-
mentao, o que convm que o documento da poltica contenha e a importncia de que ela
seja comunicada a todos. Apresenta ainda exemplos de polticas especifcas para apoiarem
as polticas de segurana da informao.
O controle 5.1.2 (Anlise crtica da poltica de segurana da informao) apresenta como
convm que seja realizada a anlise crtica pela direo da organizao a intervalos plane-
jados ou quando mudanas importantes ocorrerem.
Seo 5 Poltica de segurana
Utilizando a norma, explique:
O objetivo da categoria de controle 5.1.
A letra b das diretrizes para implementao do controle 5.1.1.
Seo 6 Organizao da segurana da informao
6. Organizao da segurana
da informao
6.2 . Dispositivos mveis e trabalho remoto
+
6.1 . Organizao Interna
+
A seo 6 (Organizao da segurana da informao) tem como objetivos apresentar
controles para uma estrutura para gerenciar a segurana da informao dentro da organi-
zao e tambm os controles para que possa ser mantida a segurana dos recursos de
processamento da informao, quando disponibilizados atravs de dispositivos mveis ou
trabalho remoto. Em Informaes adicionais do controle 6.2.2, apresenta o entendimento de
trabalho remoto segundo a norma 27002:2013.
Figura 2.2
Seo 5.1 Poltica
de segurana da
informao.
Figura 2.3
Seo 6 -
Organizao da
segurana da
informao.
22

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Na seo 6 encontraremos os controles que devem ser aplicados estrutura funcional
da segurana da informao. A seo 6 possui duas categorias principais de segurana:
6.1 (Organizao interna) e 6.2 (Dispositivos mveis e trabalho remoto).
+
6. Organizaco
da segurana
da informao
6.1 . Organizao
interna
6.2 . Dispositivos mveis
e trabalho remoto
6.1.5 . Segurana da informao no gerenciamento
de projetos
6.1.4 . Contato com grupos especiais
6.1.2 . Segregao de funes
6.1.1 . Responsabilidade e papis pela segurana
da informao
6.1.3 . Contato com autoridades
Objetivo Estabelecer uma estrutura de gerenciamento para
iniciar e controlar a implementao e operao da
segurana da informao dentro da organizao.
A categoria 6.1 (Organizao interna) possui cinco controles que devem ser implementados.
Esses controles, como podem ser vistos na norma, tratam da estruturao da segurana,
seus processos de autorizao, confdencialidade e contatos com outros grupos.
Observe que o controle 6.1.5 trata da segurana da informao no gerenciamento de pro-
jetos. Independente do tipo de projeto, a norma destaca a importncia em se pensar segu-
rana da informao desde o momento inicial. A segurana da informao deve fazer parte
de todo o processo, e ser periodicamente analisada, revista e corrigida para estar sempre
atualizada com os requisitos de segurana da informao.
Recomendamos uma rpida leitura da categoria 6.1 da norma 27002:2013.
6.2.1 . Poltica para o uso de dispositivo mvel
Objetivo
6. Organizaco
da segurana
da informao
6.1 . Organizao
interna
6.2 . Dispositivos mveis
e trabalho remoto
+
Garantir a segurana das informaes no trabalho

remoto e no uso de dispositivos mveis.
6.2.2 . Trabalho remoto
Figura 2.4
Sesso 6 -
Categoria de
controle 6.1 e seus
controles.
Figura 2.5
Seo 6 Categoria
de controle 6.2 e
seus controles.
23

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

A categoria 6.2 (Dispositivos mveis e trabalho remoto) trata dos controles necessrios para
que a organizao possa gerenciar a segurana das informaes no trabalho remoto e no
uso de dispositivos mveis.
Atente para o detalhamento das diretrizes para implementao, que relaciona o essencial a
ser observado na segurana da informao.
Seo 6 Organizao da segurana da informao
Utilizando a norma, explique os controles:
6.1.2.
6.1.3.
6.1.5.
Seo 7 Segurana em Recursos Humanos
q 7.1. Antes da contratao
1 Objetivo:
2 Assegurar que os funcionrios e partes externas entendam suas responsabilidades
e estejam em conformidade com os papis para os quais eles foram selecionados.
7.2. Durante a contratao
1 Objetivo:
2 Assegurar que os funcionrios e partes externas estejam conscientes e cumpram
as suas responsabilidades de segurana da informao.
7.3. Encerramento e mudana da contratao
1 Objetivo:
2 Proteger os interesses da organizao como parte do processo de mudana ou
encerramento da contratao.
A seo 7 (Segurana em Recursos Humanos) trata dos controles de segurana da infor-
mao durante o ciclo de vida da prestao de servios por profssional na organizao.
Esses controles so organizados pela norma em trs categorias:
1 7.1. Antes da contratao;
1 7.2. Durante a contratao;
1 7.3. Encerramento e mudana da contratao.
24

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Assegurar que funcionrios e partes externas
esto concientes e cumprem as suas
responsabilidades pela segurana
da informao.
Objetivo
7.2.2 . Conscientizao, educao e treinamento
em segurana da informao
7.2.1 . Responsabilidade da direo
7.2.3 . Processo disciplinar
Assegurar que funcionrios e partes externas
entendem as suas responsabilidades e
esto em conformidade com os papis para
os quais eles foram selecionados.
Objetivo
7.1 . Antes da contratao
7.2 . Durante a contratao
7. Segurana e
recursos humanos
7.1.2 . Termos e condies de contratao
7.1.1 . Seleo
Proteger os interesses da organizao como
parte do processo de mudana ou
encerramento da contratao.
Objetivo
7.3.1 . Responsabilidades pelo encerramento
ou mudana da contratao
7.3 . Encerramento
e mudana
da contratao
Os controles em cada categoria so organizados dentro das necessidades mnimas de
segurana a serem observadas em cada uma delas.
1 Categoria 7.1 (Controles especfcos para antes da contratao): processo de seleo
e condies dos contratos de recursos humanos;
1 Categoria 7.2 (Controles durante a prestao dos servios propriamente ditos):
nessa categoria, encontram-se os controles de responsabilidades, de capacitao dos
recursos humanos em segurana da informao e do processo disciplinar, caso ocorra
uma violao da segurana da informao;
1 Categoria 7.3 (Controles especfcos para o encerramento ou mudana de contratao):
mudana de rea, de cargo, promoo, entre outras): nessa categoria destacam-se os
controles de devoluo de ativos e retirada de direitos de acesso;
Como partes externas entende-se todo aquele que no efetivamente pertencente aos
quadros da organizao. Assim, temos como exemplos de partes externas vendedores,
fornecedores, agncias governamentais, terceirizados, prestadores de servio temporrio
e clientes entre outros.
Seo 7 Segurana em Recursos Humanos
7.1.1.
Figura 2.6
Seo 7 -
Categorias de
controle 7.1, 7.2
e 7.3 com seus
controles.
25

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

7.2.2.
7.2.3.
7.3.1.
Seo 8 Gesto de ativos
q 8.1. Responsabilidade pelos ativos
1 Objetivo:
2 Identifcar os ativos da organizao e defnir as devidas responsabilidades pela
proteo dos ativos.
8.2. Classifcao das informaes
1 Objetivo:
2 Assegurar que a informao receba um nvel adequado de proteo, de acordo
com a sua importncia para a organizao.
8.3 Tratamento de mdias
1 Objetivo:
2 Prevenir a divulgao no autorizada, modifcao, remoo ou destruio da
informao armazenada nas mdias.
Na seo 8 (Gesto de ativos) so apresentadas duas categorias de controles de segurana
da informao:
1 8.1 (Responsabilidade pelos ativos): apresenta os controles que se referem proteo
dos ativos da organizao;
1 8.2 (Classifcao das informaes): controles para a classifcao da informao,
dando a elas um nvel adequado de segurana;
1 8.3 (Tratamento de mdias): lista os controles para gerenciamento e tratamento das
diversas mdias.
26

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Objetivo
8.2.2 . Rtulos e tratamento da informao
8.2.3 . Tratamento dos ativos
8.2.1 . Classicao da informao
Assegurar que a informao receba um nvel
adequado de proteo, de acordo com a sua
importncia para a organizao.
Objetivo
8.1 . Responsabilidade
pelos ativos
8. Gesto de ativos
8.2 . Classicao
da informao
8.3.2 . Descarte de mdias
8.3.3 . Transferncia fsica de mdias
8.3.1 . Gerenciamento de mdias removveis
Objetivo
8.3 . Tratamento de mdias
8.1.3 . Uso aceitvel dos ativos
8.1.4 . Devoluo de ativos
8.1.2 . Proprietrio dos ativos
8.1.1 . Inventrio dos ativos
Identicar os ativos da organizao e denir
as devidas responsabilidades pela proteo
dos ativos.
Prevenir a divulgao no autorizada,
modicao, remoo ou destruio da
informao armazenada nas mdias.
A categoria 8.1 (Responsabilidade pelos ativos) tem o objetivo de alcanar e manter a
proteo adequada dos ativos da organizao, apresentando os controles que devem ser
aplicados no tratamento da segurana da informao nos ativos. No controle 8.1.1 da
norma, em Informaes adicionais, citada a norma ABNT NBR ISO/IEC 27005 Gesto de
riscos de segurana da informao, na qual so descritos alguns tipos de ativos.
J a categoria 8.2 apresenta os controles para a classifcao da informao que devem ser
aplicados e a importncia dessa atividade para a gesto de ativos.
Na categoria 8.3 so listados os controles e diretrizes necessrios ao tratamento das mdias.
Para mais informaes sobre classifcao da informao leia a ABNT NBR 16167:2013
Segurana da Informao Diretrizes para classifcao, rotulao e tratamento da infor-
mao, e tambm o Decreto N 7.845, de 14 de novembro de 2012).
Seo 8 Gesto de ativos
8.1.1.
Figura 2.7
Seo 8 -
Categorias de
controles de
segurana 8.1, 8.2
e 8.3 com seus
controles.
Saiba mais
Consulte as normas
ABNT NBR ISO
55000:2014 Gesto
de ativos Viso geral,
princpios e termino-
logia e ABNT NBR ISO
55001:2014 Gesto
de ativos Sistemas de
gesto Requisitos.
d
27

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

8.1.2.
8.2.1.
8.3.2.
Seo 9 Controle de acesso
9.1 . Requisitos do negcio
para controle de acesso
+
9.2 . Gerencamento de
acesso do usurio
+
9.3 . Responsabilidades
dos usurios
+
9.4 . Controle de acesso ao
sistema e aplicao
+
Na seo 9 (Controle de acesso) so encontradas as categorias que tratam dos controles
necessrios ao controle de acesso lgico. Diferentemente da seo 11 (Segurana fsica e do
ambiente), na seo 9 so tratados aspectos relativos a privilgios de acesso, senhas, acesso
a rede, entre outros. Nessa seo existem quatro categorias de controles de segurana.
Figura 2.8
Seo 9 e suas
quatro categorias
de controles de
segurana.
28

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
dos usurios
+
sistema e aplicao
+
9.1.2 . Acesso s redes e aos servios de rede
9.1.1 . Poltica de controle de acesso
Objetivo Limitar o acesso informao e aos recursos
de processamento da informao.
9.2.2 . Provisionamento para acesso de usurio
9.2.1 . Registro e cancelamento de usurio
9.2.3 . Gerenciamento de direitos de acesso privilegiados
9.2.5 . Anlise crtica dos direitos de acesso de usurio
9.2.4 . Gerenciamento da informao de autenticao
secreta de usurios
9.2.6 . Retirada ou ajuste dos direitos de acesso
Objetivo Assegurar acesso de usurio autorizado
e prevenir acesso no autorizado a
sistemas e servios.
acesso do usurio
Na categoria 9.1 (Requisitos de negcio para controle de acesso), o objetivo limitar o
acesso informao e aos recursos de processamento da informao.
A categoria 9.2 (Gerenciamento de acesso do usurio) tem por objetivo assegurar o acesso de
usurio autorizado e prevenir acesso no autorizado a sistemas e servios. Os controles so:
1 9.2.1 (Registro de usurio): descreve a convenincia da existncia de um procedimento
formal de registro e cancelamento de usurio;
1 9.2.2 (Provisionamento para acesso de usurio): apresenta a necessidade de um pro-
cesso formal de provisionamento de acesso;
1 9.2.3 (Gerenciamento de direitos de acesso privilegiados): apresenta a necessidade de
que a concesso de senhas seja controlada;
1 9.2.4 (Gerenciamento da informao de autenticao secreta de usurios): destaca
que a concesso de informao de autenticao seja controlada por um processo de
gerenciamento formal;
1 9.2.5 (Anlise crtica dos direitos de acesso de usurio): apresenta a convenincia do
gestor conduzir anlises crticas peridicas dos direitos de acesso;
1 9.2.6 (Retirada ou ajuste dos direitos de acesso): apresenta a importncia da retirada
dos acessos logo aps o encerramento das atividades dos funcionrio e partes externas.
A categoria 9.3 (Responsabilidades dos usurios) objetiva tornar os usurios responsveis
pela proteo das suas informaes de autenticao. Possui o controle:
Figura 2.9
Categorias de
controle de
segurana 9.1 e 9.2
com seus controles
29

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

1 9.3.1 (Uso da informao de autenticao): trata da necessidade de os usurios
seguirem as boas prticas no uso da informao secreta;
dos usurios
9.3.1 . Uso da informao de autenticao secreta
Objetivo Tornar os usurios responsveis pela proteo
das suas informaes de autenticao.
9.4.3 . Sistema de gerenciamento de senha
9.4.4 . Uso de programas utilitrios privilegiados
Objetivo Prevenir o acesso no autorizado aos
sistemas e aplicaes.
acesso do usurio
+
+
sistema e aplicao
9.4.1 . Restrio de acesso informao
9.4.5 . Controle de acesso ao cdigo-fonte de programas
9.4.2 . Procedimentos seguros de entrada
no sistema (log-on)
A categoria 9.4 (Controle de acesso ao sistema e aplicao) tem como objetivo prevenir o
acesso no autorizado aos sistemas e aplicaes. Possui os seguintes controles:
1 9.4.1 (Restrio de acesso informao): apresenta a convenincia de que os usurios
recebam acesso somente aos servios que tenham sido autorizados a usar;
1 9.4.2 (Procedimentos seguros de entrada no sistema log on): apresenta a conveni-
ncia de que o sistema sejam controlado por um procedimento seguro;
1 9.4.3 (Sistema de gerenciamento de senha): apresenta a convenincia de que os sis-
temas de gerenciamento de senhas assegurem senhas de qualidade;
1 9.4.4 (Uso de programas utilitrios privilegiados): destaca a importncia de se ter sob
controle programas utilitrios que possam sobrepor os controles dos sistemas e aplicaes;
1 9.4.5 (Controle de acesso ao cdigo-fonte de programas): apresenta a convenincia da
restrio de acesso ao cdigo-fonte.
Seo 9 Controle de acessos
9.1.1.
Figura 2.10
Seo 9
Categorias de
controle de
segurana 9.3 e 9.4
com seus controles.
30

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
9.2.2.
9.2.4.
9.2.6.
9.4.2.
Seo 10 Criptografia
10. Criptograa
10.1 . Controles
criptogrcos
10.1.1 . Poltica para o uso de controles criptogrcos
10.1.2 . Gerenciamento de chaves
Objetivo Assegurar o uso efetivo e adequado da criptograa
para proteger a condencialidade, autenticidade
e/ou a integridade da informao.
A seo 10 (Criptografa) possui a categoria 10.1, Controles criptogrfcos, que tem como
objetivo assegurar o uso efetivo e adequado da criptografa. Os controles so:
1 10.1.1 (Poltica para o uso de controles criptogrfcos): convm ter uma poltica sobre o
uso de controles criptogrfcos.
1 10.1.2 (Gerenciamento de chaves): apresenta a convenincia do uso, proteo e tempo
de vida das chaves criptogrfcas.
Seo 10 Criptografia
10.1.1.
10.1.2.
Figura 2.11
Seo 10 e sua
categoria de
controle de
segurana.
31

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

Seo 11 Segurana fsica e do ambiente
q 11.1. reas seguras
1 Objetivo:
2 Prevenir o acesso fsico no autorizado, danos e interferncias com os recursos de
processamento das informaes e nas informaes da organizao.
9.2. Equipamento
1 Objetivo:
2 Impedir perdas, danos, furto, ou comprometimento de ativos e interrupo das
operaes da organizao.
Tendo como objetivo o tratamento da segurana fsica e do ambiente, a seo 11 (Segurana
fsica e do ambiente) apresenta duas categorias principais de segurana da informao:
1 11.1. reas seguras;
1 11.2. Equipamento.
Os controles de segurana da categoria 11.1 (reas seguras) tratam especifcamente das
necessidades de segurana de acesso fsico s instalaes. So apresentados controles de
segurana para o permetro fsico, controles de entrada nas reas internas e externas, reas
seguras, reas com acesso pblico e de entrega de material.
32

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
11. Segurana fsica
e do ambiente
11.1 . reas seguras
11.1.2 . Controle de entrada fsica
11.1.1 . Permetro de segurana fsica
11.1.3 . Segurana em escritrios, salas e instalaes
11.1.5 . Trabalhando em reas seguras
11.1.4 . Porteo contra ameaas externas
e do meio ambiente
11.1.6 . reas de entrega e de carregamento
Objetivo Prevenir o acesso fsico no autorizado,
danos e interferncias com os recursos de
processamento das informaes e nas
informaes da organizao.
11.2.2 . Utilidades
11.2.1 . Localizao e proteo do equipamento
11.2.3 . Segurana do cabeamento
11.2.5 . Remoo de ativos
11.2.4 . Manuteno dos equipamentos
11.2.7 . Reutilizao ou descarte seguro de equipamentos
11.2.9 . Poltica de mesa limpa e tela limpa
11.2.8 . Equipamento de usurio sem monitorao
11.2.6 . Segurana de equipamentos e ativos fora das
depndencias da organizao
Objetivo Impedir perdas, danos, furto ou
comprometimento de ativos e interrupo
das operaes da organizao.
11.2 . Equipamento
Na categoria 11.2 (Equipamento) esto os controles de segurana que se referem proteo
fsica dos ativos e ao seu funcionamento sem interrupes. nesta categoria que se
encontram os controles para a instalao de equipamentos, fornecimento de energia,
ar-condicionado, manuteno dos ativos, reutilizao e venda/alienao de ativos.
Seo 11 Segurana fsica e do ambiente
11.1.2.
Figura 2.12
Seo 11
Categorias de
controle de
segurana 11.1
e 11.2 com seus
controles.
33

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

11.1.4.
11.2.5.
11.2.9.
Seo 12 Segurana nas operaes
q 1 12.1. Responsabilidade e procedimentos operacionais.
1 12.2. Proteo contra malware.
1 12.3. Cpias de segurana.
1 12.4. Registros e monitoramento.
1 12.5. Controle de software operacional.
1 12.6. Gesto de vulnerabilidades tcnicas.
1 12.7. Consideraes quanto auditoria de sistema da informao.
A seo 12 (Segurana nas operaes) a seo da norma que trata das operaes dos
servios tecnolgicos da organizao. Essa seo possui sete categorias de controle de
segurana da informao, e cada uma delas apresenta controles que convm serem apli-
cados no dia a dia das operaes e comunicaes da organizao. a seo que apresenta
os controles de segurana que atendem maioria das vulnerabilidades relativas a aspectos
operacionais do cotidiano da rea de TIC.
34

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
12. Segurana nas
operaes
12.1 . Responsabilidades e
procedimentos
operacionais
12.4 . Registros e
monitoramento
+
12.5 . Controle de software
operacional
+
12.6 . Gesto de
vulnerabilidades tcnicas
+
12.7 . Consideraes quanto
auditoria de sistema
da informao
+
12.1.2 . Gesto de mudanas
12.1.1 . Documentao dos procedimentos de operao
12.1.3 . Gesto de capacidade
12.1.4 . Separao dos ambientes de desenvolvimento,
teste e produo
Objetivo Garantir a operao segura e correta dos
recursos de processamento da informao.
12.2.1 . Controles contra malware
Objetivo Assegurar que as informaes e os recursos
de processamento da informao esto
protegidos contra malware.
12.3.1 . Cpias de segurana das informaes
Objetivo Proteger contra a perda de dados.
12.2 . Proteo
contra malware
dos usurios
Na categoria 12.1 (Responsabilidades e procedimentos operacionais) so mostrados os
controles que buscam garantir a operao segura e correta dos recursos computacionais.
Nela so descritos os controles:
1 12.1.1 (Documentos dos procedimentos de operao): devem ser aplicados para
documentar os procedimentos;
1 12.1.2 (Gesto de mudanas): defne como devem ser controladas as modifcaes
e alteraes;
1 12.1.3 (Gesto de capacidade): trata do monitoramento e sincronizao dos recursos
com as projees de capacidade futura para garantir o desempenho requerido;
1 12.1.4 (Separao dos ambientes de desenvolvimento, teste e produo): descreve
como esses ambientes devem ser separados para reduzir o risco de acessos ou modifca-
es no autorizadas.
A categoria 12.2 (Proteo contra malware) tem como um dos objetivos manter o nvel de
segurana adequado e das entregas de servios em consonncia com os acordos. Essa cate-
goria possui os seguintes controles:
1 12.2.1 (Controles contra malware): trata de controles de deteco e preveno para
proteger contra malware junto com um programa de conscientizao do usurio.
Figura 2.13
Seo 12
Categorias de
controle de
segurana 12.1,
12.2 e 12.3, com
seus controles.
35

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

12. Segurana nas
operaes
procedimentos
operacionais
12.4 . Registros e
monitoramento
+
operacional
+
12.6 . Gesto de
+
da informao
+
12.1.2 . Gesto de mudanas
12.1.1 . Documentao dos procedimentos de operao
12.1.3 . Gesto de capacidade
12.1.4 . Separao dos ambientes de desenvolvimento,
teste e produo
Objetivo Garantir a operao segura e correta dos
recursos de processamento da informao.
12.2.1 . Controles contra malware
Objetivo Assegurar que as informaes e os recursos
de processamento da informao esto
protegidos contra malware.
12.3.1 . Cpias de segurana das informaes
Objetivo Proteger contra a perda de dados.
12.2 . Proteo
contra malware
dos usurios
Na categoria 12.1 (Responsabilidades e procedimentos operacionais) so mostrados os
controles que buscam garantir a operao segura e correta dos recursos computacionais.
Nela so descritos os controles:
1 12.1.1 (Documentos dos procedimentos de operao): devem ser aplicados para
documentar os procedimentos;
1 12.1.2 (Gesto de mudanas): defne como devem ser controladas as modifcaes
e alteraes;
1 12.1.3 (Gesto de capacidade): trata do monitoramento e sincronizao dos recursos
com as projees de capacidade futura para garantir o desempenho requerido;
1 12.1.4 (Separao dos ambientes de desenvolvimento, teste e produo): descreve
como esses ambientes devem ser separados para reduzir o risco de acessos ou modifca-
es no autorizadas.
A categoria 12.2 (Proteo contra malware) tem como um dos objetivos manter o nvel de
segurana adequado e das entregas de servios em consonncia com os acordos. Essa cate-
goria possui os seguintes controles:
1 12.2.1 (Controles contra malware): trata de controles de deteco e preveno para
proteger contra malware junto com um programa de conscientizao do usurio.
Figura 2.13
Seo 12
Categorias de
controle de
segurana 12.1,
12.2 e 12.3, com
seus controles.
Na categoria 12.3 (Cpias de segurana), o objetivo proteger contra a perda de dados,
mantendo a integridade e disponibilidade da informao, atravs do seguinte controle:
1 12.3.1 (Cpias de segurana das informaes): trata da necessidade de que cpias de segu-
rana (backup) das informaes e dos softwares sejam efetuadas e testadas regularmente.
12. Segurana nas
operaes
procedimentos
operacionais
+
12.6 . Gesto de
+
da informao
+
12.5.1 . Instalao de software nos sistemas operacionais
Objetivo Assegurar a integridade dos
sistemas operacionais.
12.4.2 . Proteo das informaes dos registros de
eventos (logs)
12.4.1 . Registros de eventos
12.4.3 . Registro de eventos (log) de administrador
e o operador
12.4.4 . Sincronizao dos relgios
Objetivo Registrar eventos e gerar evidncias.
12.2 . Proteo
contra malware
12.3 . Cpias de segurana
+
+
12.4 . Registros e
monitoramento
operacional
A categoria 12.4 (Registros e monitoramento) tem por objetivo detectar atividades no
autorizadas de processamento da informao de forma a registrar eventos e gerar evidn-
cias. Os controles so:
1 12.4.1 (Registros de eventos): onde so descritos os procedimentos para o registro dos
logs de eventos;
1 12.4.2 (Proteo das informaes dos registros de eventos logs): mostra as dire-
trizes para a proteo dos logs contra acesso no autorizado e adulterao.
1 12.4.3 (Registros de eventos log de administrador e operador): convm que as
atividades dos administradores e operadores do sistema sejam registradas;
1 12.4.4 (Sincronizao dos relgios): convm que todos os sistemas relevantes tenham
seus relgios sincronizados.
Figura 2.14
Seo 12
Categorias de
controles de
segurana 12.4
e 12.5, com seus
controles.
36

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Na categoria 12.5 (Controle de software operacional), o objetivo manter a integridade e
disponibilidade dos Sistemas Operacionais, atravs do seguinte controle:
1 12.5.1 (Instalao de software nos Sistemas Operacionais): trata da necessidade da
implementao de procedimentos para controlar a instalao de software em sistemas
operacionais.
A categoria 12.6 (Gesto de vulnerabilidades tcnicas) objetiva prevenir a explorao de
vulnerabilidades tcnicas. Essa categoria possui dois controles:
1 12.6.1 (Gesto de vulnerabilidades tcnicas): trata da necessidade do gerenciamento e
controle das vulnerabilidades tcnicas em tempo hbil;
1 12.6.2 (Restries quanto a instalao de software): descreve a necessidade de def-
nio de regras e critrios para a instalao de software pelo usurio.
12.2.1 . Controles de auditoria de sitemas de informao
Objetivo Minimizar o impacto das atividades de
auditoria nos sistemas operacionais.
12. Segurana nas
operaes
procedimentos
operacionais
+
da informao
12.6.2 . Restries quanto instalao de software
12.6.1 . Gesto de vulnerabilidades tcnicas
Objetivo Prevenir a explorao de
vulnerabilidades tcnicas.
12.2 . Proteo
contra malware
12.3 . Cpias de segurana
+
+
12.4 . Registros e
monitoramento
operacional
+
+
12.6 . Gesto de
Na categoria 12.7 (Consideraes quanto auditoria de sistemas da informao), descrito
o controle que deve ser aplicado para minimizar o impacto das atividades de auditoria nos
Sistemas Operacionais:
1 12.7.1 (Controles de auditoria de sistemas de informao): descreve as atividades e
requisitos de auditoria para que sejam planejados cuidadosamente.
Figura 2.15
Seo 12
Categorias de
controles de
segurana 12.6
e 12.7, com seus
controles.
37

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

Seo 12 Segurana nas operaes
12.1.3.
12.2.2.
12.4.1.
12.5.1.
12.6.2.
12.7.1.
12.4.3.
38

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Seo 13 Segurana nas comunicaes
Na seo 13 (Segurana nas comunicaes), so encontradas as categorias que tratam dos
controles necessrios para a segurana das comunicaes. Nesta seo existem duas cate-
gorias principais de segurana.
Minimizar o impacto das atividades de
auditoria nos sistemas operacionais.
13. Segurana nas
comunicaes
13.1 . gerenciamento da
segurana em redes
13.1.2 . Segurana dos servios de rede
13.1.1 . Controles de redes
13.1.3 . Segregao de redes
Objetivo Assegurar a proteo das informaes em
redes e dos recursos de processamento da
informao que as apoiam.
13.2.2 . Acordos para transferncia de informaes
13.2.1 . Polticas e procedimentos para transferncia
de informaes
13.2.3 . Mensagens eletrnicas
13.2.4 . Acordos de condencialidade e no divulgao
Objetivo Manter a segurana da informao
transferida dentro da organizao e com
quaisquer entidades externas.
13.2 . Equipamento
A categoria 13.1 (Gerenciamento da segurana em redes) objetiva garantir a proteo das
informaes em redes e a proteo da infraestrutura de suporte. Essa categoria possui trs
controles:
1 13.1.1 (Controle de redes): trata da necessidade do gerenciamento e controle adequado
das redes, incluindo a informao em trnsito;
1 13.1.2 (Segurana dos servios de rede): descreve a necessidade de que os nveis de
servios de rede sejam identifcados e includos nos acordos de nveis de servio.
1 13.1.3 (Segregao de redes): apresenta a importncia da segregao em redes dos
diversos grupos.
A categoria 13.2 (Transferncia de informao) objetiva manter a segurana na troca de
informaes internamente e com entidades externas. Possui os seguintes controles:
1 13.2.1 (Polticas e procedimentos para transferncia de informaes): convm que
sejam estabelecidas polticas e procedimentos para a proteo da troca de informaes;
1 13.2.2 (Acordos para a troca de informaes): convm estabelecer acordos para a troca
de informaes;
1 13.2.3 (Mensagens eletrnicas): convm que as mensagens sejam devidamente protegidas;
1 13.2.4 (Acordos de confdencialidade e no divulgao): convm que os requisitos para
confdencialidade ou acordos de no divulgao sejam identifcados e analisados.
Figura 2.16
Seo 13 -
Categorias de
controle de
segurana 13.2
e 13.1 com seus
controles.
39

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

Seo 13 Segurana nas comunicaes
13.1.1.
13.1.2.
13.1.3.
13.2.1.
13.2.4.
40

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Seo 14 Aquisio, desenvolvimento e manuteno de sistemas
14.1 . Requisitos de segurana
de sistema de informao
+
14.3 . Dados para teste
+
14. Aquisio,
desenvolvimento
e manuteno
de sistemas
14.2 . Segurana em processos
de desenvolvimento
e de suporte
+
Na seo 14 (Aquisio, desenvolvimento e manuteno de sistemas de informao) esto
os controles relativos s atividades de aquisio, desenvolvimento e manuteno de
softwares. O objetivo nesta seo desenvolver a segurana da informao nos aplicativos
da organizao. Esta seo possui 6 categorias principais de segurana.
14.1.1 . Anlise e especicao dos requisitos de
segurana de informao
14.1.3 . Protegendo as transaes nos aplicativos
de servios
Objetivo Garantir que a segurana da informao seja
parte integrante de todo o ciclo de vida dos
sistemas de informao. Isto tambm inclui os
requisitos para sitemas de informao que
fornecem servios sobre as redes pblicas.
14.2.1 . Polticas de desenvolvimento seguro
14.2.2 . Procedimentos para controle de mudanas
de sistemas
14.2.4 . Restries sobre mudanas em pacotes
de software
14.2.5 . Princpios para projetar sistemas seguros
14.2.6 . Ambiente seguro para desenvolvimento
14.2.7 . Desenvolvimento terceirizado
14.2.8 . Teste de segurana do sistema
14.2.9 . Teste de aceitao de sistemas
14.2.3 . Anlise crtica tcnica das aplicaes aps
mudanas nas plataformas operacionais
Objetivo Garantir que a segurana da informao esteja
projetada e implementada no ciclo de vida de
desenvolvimento dos sistemas de informao.
14.1.2 . Servios de aplicao seguros em redes pblicas

14. Aquisio,
desenvolvimento
e manuteno
de sistemas
14.1 . Requisistos de
segurana de sistema
de informao
+
14.2 . Segurana em
processos
de desenvolvimento
e de suporte
Figura 2.17
Seo 12 com suas
trs categorias
principais de
segurana.
Figura 2.18
Categorias
principais de
segurana 14.1 e
14.2 com seus
controles.
41

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

A categoria 14.1 (Requisitos de segurana de sistemas de informao) tem por objetivo garantir
que a segurana parte integrante dos sistemas de informao. Possui o seguinte controle:
1 14.1.1 (Anlise e especifcao dos requisitos de segurana): defne procedimentos de
segurana nas aplicaes que transitam sobre redes pblicas;
1 14.1.2 (Servios de aplicao seguros em redes pblicas): defne controles de segurana
nas especifcaes de requisitos de novos sistemas.
A categoria 14.2 (Segurana em processos de desenvolvimento e de suporte) tem como
objetivo manter a segurana de sistemas aplicativos e da informao. Possui os controles:
1 14.2.1 (Poltica de desenvolvimento seguro): aborda a necessidade de que sejam esta-
belecidas regras para o desenvolvimento de sistemas;
1 14.2.2 (Procedimentos para controle de mudanas de sistemas): convm que a imple-
mentao de mudanas seja controlada com a utilizao de procedimentos formais de
controle de mudanas;
1 14.2.3 (Anlise crtica tcnica das aplicaes aps mudanas nas plataformas opera-
cionais): apresenta a convenincia de que aplicaes crticas sejam analisadas critica-
mente e testadas quando Sistemas Operacionais so mudados;
1 14.2.4 (Restries sobre mudanas em pacotes de software): apresenta a conveni-
ncia de que todas as mudanas sejam estritamente controladas;
1 14.2.5 (Princpios para projetar sistemas seguros): cita que princpios para projetar
sistemas seguros sejam estabelecidos e documentados;
1 14.2.6 (Ambiente seguro para desenvolvimento): apresenta a necessidade das organi-
zaes estabeleam ambientes seguros de desenvolvimento;
1 14.2.7 (Desenvolvimento terceirizado): convm que a organizao supervisione e moni-
tore o desenvolvimento terceirizado de softwares;
1 14.2.8 (Teste de segurana do sistema): apresenta a necessidade de que testes de fun-
cionalidade de segurana sejam realizados durante o desenvolvimento.
1 14.2.9 (Teste de aceitao de sistemas): Convm que programas de testes de aceitao
sejam estabelecidos.
42

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Objetivo Assegurar a proteo dos dados usados
para teste
14.3.1 . Proteo dos dados para teste

14. Aquisio,
desenvolvimento
e manuteno
de sistemas
14.1 . Requisistos de
segurana de sistema
de informao
+
14.2.1 . Polticas de desenvolvimento seguro
14.2.2 . Procedimentos para controle de mudanas
de sistemas
14.2.4 . Restries sobre mudanas em pacotes
de software
14.2.5 . Princpios para projetar sistemas seguros
14.2.6 . Ambiente seguro para desenvolvimento
14.2.7 . Desenvolvimento terceirizado
14.2.8 . Teste de segurana do sistema
14.2.9 . Teste de aceitao de sistemas
14.2.3 . Anlise crtica tcnica das aplicaes aps
mudanas nas plataformas operacionais
Objetivo Garantir que a segurana da informao esteja
projetada e implementada no ciclo de vida de
desenvolvimento dos sistemas de informao.
14.2 . Segurana em
processos
de desenvolvimento
e de suporte
A categoria 14.3 (Dados para teste) tem como objetivo assegurar a proteo dos dados para teste.
O controle :
1 14.3.1 (Proteo dos dados para teste): convm que os dados de teste sejam selecio-
nados e controlados.
Seo 14 Aquisio, desenvolvimento e manuteno de sistemas
14.1.1.
14.1.2.
Figura 2.19
Seo 12
Categorias
principais de
segurana 14.2
e 14.3, com seus
controles.
43

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

14.2.1.
14.2.7.
14.3.1.
Seo 15 Relacionamento na cadeia de suprimento
15.1 . Segurana da informao
na cadeia de suprimento
15.1 . Segurana da informao
na cadeia de suprimento
15.1.1 . Poltica de segurana da informao no
relacionamento com os fornecedores
15.1.2 . Identicando segurana da informao nos
acordos com fornecedores
15.1.3 . Cadeia de suprimento na tecnologia da
informao e comunicao
Objetivo Garantir a proteo dos ativos da organizao
que so acessados pelos fornecedores.
15.2.1 . Monitoramento e anlise crtica de servios
com fornecedores
15.2.2 . Gerenciamento de mudanas para servios
com fornecedores
Objetivo Manter um nivel acordado de segurana da
informao e de entrega de servios em
consonncia com os acordos com fornecedores.
15.2 . Gerenciamento da entrega
do servio do fornecedor
15. Relacionamento
na cadeia de
suprimento
A seo 15 (Relacionamento na cadeia de suprimento) trata do processo de segurana nos
relacionamentos com os fornecedores . Possui duas categorias principais de segurana.
A categoria 15.1 (Segurana da informao na cadeia de suprimento) tem por objetivo assegurar
a proteo dos ativos da organizao acessados pelos fornecedores. Possui os controles:
1 15.1.1 (Poltica de segurana da informao no relacionamento com fornecedores): defne
que sejam acordados e documentados os requisitos de segurana para mitigar os riscos;
1 15.1.2 (Identifcando segurana da informao nos acordos com fornecedores):
convm que todos os requisitos de segurana da informao sejam estabelecidos e acor-
dados com cada fornecedor.
1 15.1.3 (Cadeia de suprimento na tecnologia da informao e comunicao): convm
que acordos com fornecedores incluam requisitos para contemplar os riscos de segurana.
Figura 2.20
Seo 15 com suas
duas categorias
de controle de
segurana e
controles.
44

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
A categoria 15.2 (Gerenciamento da entrega do servio do fornecedor) tem por objetivo
manter o nvel acordado de segurana e de entrega em consonncia com os acordos com
fornecedores. Os controles so:
1 15.2.1 (Monitoramento e anlise crtica de servios com fornecedores): apresenta a
convenincia de auditar e analisar criticamente a entrega dos servios executados;
1 15.2.2 (Gerenciamento de mudanas para servios com fornecedores): apresenta a
necessidade de gerenciar as mudanas no provisionamento dos servios pelos fornecidores.
Seo 15 Relacionamento na cadeia de suprimento
15.1.1.
15.1.2.
15.2.1
Seo 16 Gesto de incidentes de segurana da informao
16.Gesto de incidentes de
16.1 . Gesto de incidentes de
e melhorias
16.1.1 . Responsibilicades e procedimentos
16.1.7 . Coleta de evidncias
16.1.2 . Noticao de eventos de segurana
da informao
16.1.3 . Noticando fragilidades de segurana
da informao
16.1.4 . Avaliao e deciso dos eventos de
16.1.5 . Resposta aos incidentes de segurana
da informao
16.1.6 . Aprendendo com os incidentes de
Objetivo Assegurar um enfoque consistente e
efetivo para gerenciar os incidentes
de segurana da informao, incluindo
a comunicao sobre fragilidades e
eventos de segurana da informao.
Figura 2.21
Seo 16, com
suas categorias
principais de
segurana e
controles.
45

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

A seo 16 (Gesto de incidentes de segurana da informao) trata do processo de noti-
fcao de eventos de segurana, responsabilidades e coleta de evidncias. Possui duas
categorias principais de segurana.
A categoria 16.1 (Gesto de incidentes de segurana da informao e melhorias) tem por
objetivo assegurar que fragilidades e eventos de segurana sejam comunicados, permitindo
a tomada de ao corretiva em tempo real. Possui os controles:
1 16.1.1 (Responsabilidades e procedimentos): apresenta a convenincia de que respon-
sabilidades e procedimentos sejam estabelecidos para assegurar respostas rpidas;
1 16.1.2 (Notifcao de eventos de segurana da informao): defne que os eventos de
segurana sejam relatados atravs dos canais apropriados o mais rapidamente possvel;
1 16.1.3 (Notifcando fragilidades de segurana da informao): convm que todos os
recursos humanos sejam instrudos a registrar e notifcar qualquer observao ou sus-
peita de fragilidade em sistemas e servios;
1 16.1.4 (Avaliao e deciso dos eventos de segurana da informao): apresenta que
os eventos de segurana sejam avaliados e classifcados como incidentes;
1 16.1.5 (Resposta aos incidentes de segurana da informao): defne que devem
existir procedimentos documentados para que os incidentes sejam reportados;
1 16.1.6 (Aprendendo com os incidentes de segurana da informao): apresenta a con-
venincia de que sejam estabelecidos mecanismos para quantifcar e monitorar os tipos
e custos dos incidentes;
1 16.1.7 (Coleta de evidncias): apresenta a necessidade de que evidncias sejam cole-
tadas, armazenadas e apresentadas em conformidade com a legislao pertinente.
Seo 16 Gesto de incidentes de segurana da informao
16.1.1.
16.1.2.
16.1.5
16.1.7
46

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Seo 17 Aspectos da segurana da informao na gesto da
17. Aspectos da segurana
da informao na gesto
da continuidade do negcio
17.1 . Continuidade da
segurana da
informao
17.1.1 . Planejando a continuidade da segurana
da informao
17.1.2 . Implementando a continuidade da
17.1.3 . Vericao, anlise crtica e avaliao da
continuidade da segurana da infomao
Objetivo Convm que a continuidade da segurana
da informao seja contemplada nos
sistemas de gesto da continuidade do
negcio da organizao.
17.2 . Redundncias
17.2.1 . Disponibilidade dos recursos de
processamento da informao
Objetivo Assegurar a disponibilidade dos recursos
de processamento da informao.
A seo 17 (Aspectos da segurana da informao na gesto da continuidade do negcio)
trata dos aspectos de continuidade no caso de ocorrncia de um desastre. Essa seo possui
duas categorias principais de segurana.
A categoria 17.1 (Continuidade da segurana da informao) tem por objetivo no permitir
a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de
falhas ou desastres signifcativos, alm de assegurar a sua retomada em tempo hbil, se for
o caso. Os controles so:
1 17.1.1 (Planejando a continuidade da segurana da informao: convm que os requi-
sitos para segurana da informao e a continuidade da gesto de segurana
sejam determinados;
1 17.1.2 (Implementando a continuidade da segurana da informao): convm estabe-
lecer, documentar, implementar e manter os processos, procedimentos e controles para
assegurar a continuidade para a segurana da informao;
1 17.1.3 (Verifcao, anlise crtica e avaliao da continuidade da segurana da
informao): convm que os controles sejam verifcados em intervalos regulares;
A categoria 17.2 (Redundncias) tem por objetivo assegurar a disponibilidade dos recursos
de processamento da informao. Possui um controle:
1 17.2.1 (Disponibilidade dos recursos de processamento da informao): apresenta
a necessidade de que deve haver redundncia sufciente para atender aos requisitos
de disponibilidade.
Figura 2.22
Seo 17, com suas
duas categorias
principais de
segurana e seus
controles.
47

C
a
p
t
u
l
o

2

-

C
d
i
g
o

d
e

p
r
t
i
c
a

Seo 17 Aspectos da segurana da informao na gesto da
17.1.2.
17.1.3.
Seo 18 Conformidade
18. Conformidade
18.1 . Conformidade com
requisitos legais
e contratuais
18.1.1 . Identicao da legislao aplicvel e de
requisitos contratuais
18.1.2 . Direitos de propriedade intelectual
18.1.3 . Proteo de registros
18.1.4 . Proteo e privacidade da informaes de
identicao pessoal
18.1.5 . Regulamentao de controles de criptograa
Objetivo Evitar violao de quaisquer obrigaes legais,
estatutrias, regulamentares ou contratuais
relacionadas segurana da informao e de
quaisquer requisitos de segurana.
18.2 . Anlise crtica
independente
da segurana
da informao
18.2.1 . Anlise crtica independente da segurana
da segurana da informao
18.2.2 . Conformidade com as polticas e procedimentos
18.2.3 . Anlise crtica da conformidade tcnica
Objetivo Assegurar que a segurana da informao esteja
implementada e operada de acordo com as
polticas e procedimentos da organizao.
18.1.4 . Proteo e privacidade da informaes de
identicao pessoal
A seo 18 (Conformidade) estabelece que os requisitos de segurana da informao
estejam de acordo com qualquer legislao (legalidade), como regulamentaes, estatutos
ou obrigaes contratuais. Essa seo possui trs categorias principais de segurana.
A categoria 18.1 (Conformidade com requisitos legais e contratuais) tem por objetivo evitar
violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contra-
tuais e de quaisquer requisitos de segurana da informao. Possui os seguintes controles:
1 18.1.1 (Identifcao da legislao aplicvel e de requisitos contratuais): apresenta a
convenincia de que todos os requisitos legais e contratuais sejam explicitamente def-
nidos, documentados e mantidos;
Figura 2.23
Seo 18, com suas
duas categorias
principais de
segurana e seus
controles.
48

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 18.1.2 (Direitos de propriedade intelectual): apresenta a convenincia de que procedi-
mentos sejam implementados para garantir a conformidade em relao aos direitos de
propriedade intelectual;
1 18.1.3 (Proteo de registros): apresenta a convenincia de que os registros sejam pro-
tegidos contra perda, destruio e falsifcao;
1 18.1.4 (Proteo e privacidade de informaes de identifcao pessoal): apresenta a
convenincia de que a privacidade e a proteo de dados sejam asseguradas;
1 18.1.5 (Regulamentao de controles de criptografa): convm que controles criptogr-
fcos sejam usados em conformidade com a legislao em vigor.
A categoria 18.2 (Anlise crtica da segurana da informao) tem por objetivo garantir que
a segurana da informao esteja implementada e operada de com as polticas e procedi-
mentos. Seus controles so:
1 18.2.1 (Anlise crtica independente da segurana da informao): apresenta a conve-
nincia de que os gestores realizem em perodos regulares a anlise crtica;
1 18.2.2 (Anlise crtica da conformidade tcnica): apresenta a convenincia de que os
sistemas de informao sejam periodicamente verifcados em sua conformidade.
Seo 18 Conformidade
18.1.1.
18.1.2.
18.1.4.
18.2.1.
18.3.1.
49

C
a
p
t
u
l
o

2

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

2
Roteiro de Atividades
Atividade 2.1 Conhecendo a norma NBR ISO/IEC 27002:2013
1. Cite e justifque a categoria de controle de segurana da informao da norma NBR ISO/
IEC 27002:2013, que trata da segurana fsica.
2. Ao analisar a documentao sobre segurana da informao da sua instituio, no
foi identifcada a existncia de nenhuma poltica de segurana da informao. Cite e
justifque a categoria de controle de segurana da informao da norma NBR ISO/IEC
27002:2013 que trata de poltica de segurana.
3. Como est estruturada cada categoria de controle?
Atividade 2.2 Entendendo a norma NBR ISO/IEC 27002:2013
1. Qual o objetivo de controle da categoria 10.1 (Controles criptogrfcos)?
50

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
2. Descreva o controle 6.1.1 (Responsabilidades e Papeis pela segurana da informao).
3. Explique as diretrizes para a implementao do controle 11.2.9 (Poltica de mesa limpa e
tela limpa).
4. Descreva as informaes adicionais para 18.1.4 (Proteo e privacidade de informaes
de identifcao pessoal).
Atividade 2.3 Trabalhando com a norma NBR ISO/IEC 27002:2013
Em trabalho para a implementao de um sistema de gesto de segurana da informao,
durante a realizao da anlise de risco, foram identifcadas diversas vulnerabilidades,
apresentadas no quadro a seguir. De posse da NBR ISO/IEC 27002:2013, indique o controle
ou os controles dessa norma que devem ser implementados para tratar cada uma dessas
vulnerabilidades. A primeira vulnerabilidade respondida como exemplo.
N
o

ordem
Vulnerabilidade Controle(s) n(s)
01 Proteo fsica (porta) de acesso
sala dos servidores inadequada.
11.1.2
02 Rede eltrica instvel.
03 Controle de recrutamento inade-
quado de mo de obra.
04 Falta de conscientizao
de segurana.
05 Armazenamento inadequado
do backup.
06 Inexistncia de controle de
mudanas no desenvolvimento
de software.
07 Transferncia de chaves e senhas
em texto puro.
51

C
a
p
t
u
l
o

2

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

2
N
o

ordem
Vulnerabilidade Controle(s) n(s)
08 Documentos armazenados
em local desprotegido.
09 Documentos classificados deixados
expostos sobre a mesa.
10 Falta de proteo contra vrus
e cdigos maliciosos.
11 Uso de dados de produo
para testes de software em
desenvolvimento.
12 Controle inadequado/inexistente
para realizao de trabalho remoto.
13 Controle inadequado de servios
terceirizados.
14 Falta de procedimento para
remoo de equipamentos para
manuteno.
15 Falta plano de testes dos planos
de continuidade.
16 Funcionrio utilizando recursos
computacionais para uso pessoal
(download de filmes e msicas).
17 Mesma senha utilizada por vrios
usurios.
18 No foram identificados sistemas
ou procedimentos para entrada
fsica em reas seguras.
19 No existe um procedimento de
classificao das informaes.
20 O funcionrio que controla os ser-
vidores de aplicao desconhecia o
procedimento em caso de eventos
de segurana.
Atividade 2.4 Estudo de caso: sua organizao
Considerando as respostas dadas para sua organizao no estudo de caso do Roteiro
de Atividades anterior, analise a situao da organizao de acordo com as sees da
norma e responda:
1. Quais sees da norma j esto plenamente implementadas na sua organizao?
Quais esto parcialmente? Justifque.
52

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
2. Quais sees so extremamente necessrias de acordo com os negcios da sua
organizao? Justifque.
3. Como voc justifcaria a necessidade de uso da norma e implementao dos seus
controles? Justifque.
53

C
a
p
t
u
l
o

3

-

S
i
s
t
e
m
a

d
e

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
3
Sistema de Gesto da Segurana
da Informao
Apresentar uma viso geral e escopo do Sistema de Gesto da Segurana da
Informao (SGSI), assim como uma anlise crtica e detalhamento dos controles.

Modelos SGSI.

Viso geral e escopo
q O Modelo de Sistema de Gesto de Segurana da Informao (SGSI) integra a estratgia
da organizao, sendo infuenciado por fatores como:
1 Necessidades e objetivos.
1 Requisitos de segurana.
1 Processos.
1 Estrutura organizacional.
A norma ABNT NBR ISO/IEC 27001:2013 foi preparada para prover um modelo para estabe-
lecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema
de Gesto de Segurana da Informao (SGSI).
SGSI
O que voc entende por gesto?
O que voc entende por sistema de gesto?
A adoo de um SGSI deve ser uma deciso estratgica para a organizao. A especifcao e a
implementao do SGSI de uma organizao so infuenciadas pelas suas necessidades e obje-
tivos, requisitos de segurana, processos empregados e tamanho e estrutura da organizao.
54

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
esperado que a implementao de um SGSI seja escalada conforme as necessidades da
organizao; por exemplo, uma situao simples requer uma soluo de um SGSI simples.
Modelo PDCA
Expectativas e
requisitos de
segurana da
informao
Partes
interessadas
Segurana da
informao
gerenciada
Partes
interessadas
Do
Plan
Check
Act
Estabelecimento
SGSI
Implementao e
operao do SGSI
Monitoramento
e anlise crtica
do SGSI
Manuteno e
melhoria do SGSI
A norma ISO 27001 adota o modelo conhecido como Plan-Do-Check-Act (PDCA), que
aplicado para estruturar todos os processos do Sistema de Gesto da Segurana da
Informao (SGSI).
O modelo PDCA compe um conjunto de aes em sequncia estabelecida pelas letras que
compem a sigla: P (plan: planejar), D (do: fazer, executar), C (check: verifcar, controlar) e
fnalmente o A (act: agir, atuar corretivamente):
1 Plan (planejar: estabelecer o SGSI): estabelecer a poltica, objetivos, processos e proce-
dimentos do SGSI relevantes para a gesto de riscos e melhoria da segurana da infor-
mao, para produzir resultados de acordo com as polticas e objetivos globais de uma
organizao;
1 Do (fazer: implementar e operar o SGSI): implementar e operar a poltica, controles, pro-
cessos e procedimentos do SGSI;
1 Check (checar: monitorar e analisar criticamente o SGSI): avaliar e, quando aplicvel,
medir o desempenho de um processo frente poltica, objetivos e experincia prtica do
SGSI e apresentar os resultados para a anlise crtica pela direo;
1 Act (agir: manter e melhorar o SGSI): executar as aes corretivas e preventivas, com
base nos resultados da auditoria interna do SGSI e na anlise crtica realizada pela
direo ou em outra informao pertinente, para alcanar a melhoria contnua do SGSI.
Figura 3.1
Modelo PDCA.
55

C
a
p
t
u
l
o

3

-

S
i
s
t
e
m
a

d
e

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

Modelo PDCA
Explique o modelo PDCA.
Explique como o modelo PDCA pode ser aplicado ao SGSI.
Sistema de Gesto da Segurana da Informao (SGSI)
q Requisitos gerais:
1 A organizao deve estabelecer, implementar, operar, monitorar, analisar critica-
mente, manter e melhorar o SGSI.
Estabelecendo e gerenciando o SGSI.
Requisitos da documentao.
O Sistema de Gesto da Segurana da Informao (SGSI), em ingls Information Security
Management System (ISMS), um processo estruturado de tratamento da segurana
da informao nos diversos setores. Veremos agora seus principais pontos, para uma
perfeita implementao.
27001:2013
7. Apoio
10. Melhoria
+
9. Avaliao do
desempenho
+
8. Operao
+
+
4. Contexto da
Organizao
6. Planejamento
+
5. Liderana
+
+
A norma NBR ISO/IEC 27001:2013 est estruturada em dez sesses e um anexo. As sesses
de 1 a 3 tratam do escopo, da referncia normativa e termos e defnies. As demais sesses
a partir da 4 buscam de forma objetiva e genrica apresentar os requisitos aplicveis a todas
as organizaes, independentemente do tipo, tamanho ou natureza.
Vejamos a seguir cada fase da gesto de um Sistema de Gesto da Segurana da Informao (SGSI):
1 4. Contexto da organizao;
1 5. Liderana;
1 6. Planejamento;
1 7. Apoio;
1 8. Operao;
1 9. Avaliao do desempenho;
1 10. Melhoria;
1 Anexo A.
Saiba mais
A norma ABNT NBR
ISO/IEC 27003:2011
Tecnologia da infor-
mao Tcnicas de
segurana Diretrizes
para implantao de
um sistema de gesto
da segurana da
informao apresenta
de forma detalhada
os aspectos crticos
necessrios para a
implantao e projetos
bem-sucedidos de um
Sistema de Gesto
da Segurana da
Informao (SGSI),
de acordo com a
ABNT NBR ISO IEC
27001:2005. A norma
descreve o processo
de especifcao e
projeto do SGSI desde
a concepo at a ela-
borao dos planos de
implantao. A norma
descreve o processo de
obter a aprovao da
direo para imple-
mentar o SGSI, defne
um projeto para imple-
mentar um SGSI (refe-
renciado nesta Norma
como o projeto SGSI), e
fornece diretrizes sobre
como planejar o projeto
do SGSI, resultando
em um plano fnal para
implantao do projeto
do SGSI.
l
Figura 3.2
Viso da estrutura
da Norma NBR ISO/
IEC 27001:2013.
56

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Contexto da Organizao
q 1 Entendendo a organizao e seu contexto.
1 Entendendo as necessidades e as expectativas das partes interessadas.
1 Determinar o escopo do sistema de gesto da segurana da informao.
1 Sistema de gesto da segurana da informao.
Este captulo aborda a necessidade de entender todo o contexto da organizao, ou seja,
interpretar ou analisar toda a organizao para determinar as questes internas e externas
que possam afetar a capacidade do sistema de gesto da segurana da informao.
De acordo com a ABNT NBR ISO/IEC 27003:2011 Tecnologia da Informao Tcnicas de
segurana Diretrizes para implantao de um sistema de gesto da segurana da infor-
mao, normalmente, para iniciar o projeto do SGSI, necessria a aprovao da direo
da organizao. Para isso, importante que a primeira atividade a ser desempenhada seja
coletar informaes relevantes que demonstrem o valor de um SGSI para a organizao,
esclarecendo por que necessria a implantao de um SGSI.
importante que a organizao determine as partes interessadas importantes para o
sistema de da segurana da informao e os requisitos que essas partes interessadas
demandam de segurana da informao.
4. Contexto da
Organizao
4.1 . Entendendo a organizao
e seu contexto
+
4.4 . Sistema de gesto da
+
4.2 . Entendendo as necessidades
e as expectativas das
partes interessadas
+
4.3 . Determinando o escopo do
sistema de gesto da
+
Na determinao do escopo, a organizao deve considerar as questes internas e externas,
os requisitos e as interfaces, e dependncias entre as atividades desempenhadas pela orga-
nizao. As seguintes atividades so necessrias:
1 Defnir o escopo e os limites organizacionais;
1 Escopo e limites da Tecnologia da Informao e Comunicao (TIC);
1 Escopo e limites fsicos;
1 O negcio, a organizao, sua localizao, ativos e aspectos tecnolgicos do escopo, polticas;
Liderana
q 1 Liderana e comprometimento.
1 Poltica.
1 Autoridades, responsabilidades e papis organizacionais.
Figura 3.3
Etapas da seo
4 Contexto da
Organizao da
norma ABNT NBR
ISO/IEC 27001:2013.
57

C
a
p
t
u
l
o

3

-

S
i
s
t
e
m
a

d
e

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

q 5.2 Poltica de Segurana da Informao:
1 Apropriada ao propsito.
1 Incluir os objetivos de segurana da informao ou a estrutura para estabelec-los.
1 Incluir comprometimento em satisfazer os requisitos aplicveis.
1 Incluir comprometimento com a melhoria contnua.
1 Deve:
2 Estar disponvel.
2 Ser comunicada.
2 Estar disponvel para as partes interessadas.
5. Liderana
5.1 . Liderana e comprometimento
5.2 . Poltica
5.3 . Autoridades, responsabilidades
e papis organizacionais
A norma destaca a importncia, para o sucesso do SGSI, do requisito liderana. O envolvi-
mento da Alta Direo, atravs da sua liderana e comprometimento, devem ser demons-
trados durante todo o processo do SGSI.
Essa liderana inicia-se pelo estabelecimento da poltica de segurana e os objetivos de
segurana da informao compatveis com a direo estratgica da organizao. A poltica
deve ser formalizada e comunicada, e ainda ser apropriada ao propsito da organizao,
entre outros.
Liderana
Explique o requisito de defnir poltica de segurana no estabelecimento de um SGSI.
Use a norma 27001.
Planejamento
q 1 6.1 Aes para contemplar riscos e oportunidades.
2 Geral.
2 Avaliao de riscos de segurana da informao.
2 Tratamento de riscos de segurana da informao.
1 6.2 Objetivo de segurana da informao e planejamento para alcan-los.
6. Planejamento
6.1 . Aes para contemplar riscos
e oportunidades
6.2 . Objetivo de segurana da
informao e planejamento
para alcan-los
Figura 3.4
Etapas da seo
5 Liderana da
norma ABNT NBR
ISO/IEC 27001:2013.
Leia a seo 5 da
norma ABNT NBR
ISO/IEC 27001:2013.
d
Figura 3.5
Etapas da seo 6
Planejamento da
norma ABNT NBR
ISO/IEC 27001:2013.
58

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
A seo 6 aborda as etapas de planejamento de um SGSI que incluem defnir e aplicar um pro-
cesso de avaliao de riscos de segurana da informao. Todo esse processo deve ser docu-
mentado e retido. Todo o processo de avaliao e tratamento dos riscos dever estar alinhado
com os princpios e diretrizes das normas ABNT NBR ISO 31000 e ABNT NBR ISO 27005.
A norma ABNT NBR ISO/IEC 27003:2011 Tecnologia da Informao Tcnicas de segurana
Diretrizes para implantao de um sistema de gesto da segurana da informao cita
em suas diretrizes para implementao que a avaliao da segurana da informao a
atividade para identifcar o nvel existente de segurana da informao (ou seja, os atuais
procedimentos organizacionais de tratamento da proteo da informao). O objetivo
fundamental da avaliao de segurana da informao fornecer informaes de apoio
necessrias para a descrio do sistema de gesto sob a forma de polticas e diretrizes.
O desempenho de uma anlise/avaliao de riscos de segurana dentro do contexto de
negcios apoiado pelo escopo do SGSI essencial para a conformidade e a implementao
bem-sucedida do SGSI, de acordo com a ABNT NBR ISO/IEC 27001:2013.
Planejamento
Cite dois objetivos de segurana da informao.

Apoio
q 1 Recursos.
1 Competncia.
1 Conscientizao.
1 Comunicao.
1 Informao documentada.
2 Geral.
2 Criando e atualizando.
2 Controle da informao documentada.
7. Apoio
7.1 . Recursos
7.3 . Conscientizao
7.5 . Informao documentada
7.2 . Competncia
7.4 . Comunicao
Essa seo trata dos recursos necessrios para o estabelecimento, implementao,
manuteno e melhoria contnua do SGSI.
Leia a seo 6 da
norma ABNT NBR ISO/
IEC 27001:2013.
d
Figura 3.6
Etapas da seo
7 Apoio da norma
ABNT NBR ISO/IEC
27001:2013.
59

C
a
p
t
u
l
o

3

-

S
i
s
t
e
m
a

d
e

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

Outro aspecto tratado sobre a defnio das competncias necessria das pessoas.
O Anexo B (informativo) Papis e responsabilidades pela Segurana da Informao, da
norma ABNT NBR ISO/IEC 27003:2011 Tecnologia da Informao Tcnicas de segurana
Diretrizes para implantao de um sistema de gesto da segurana da informao,
apresenta a tabela a seguir com uma lista exemplifcada de papis e responsabilidades pela
segurana informao:
Papel Breve descrio da responsabilidade
Alta administrao
(exemplo: COO, CEO,
CSO e CFO).
o responsvel pela viso, decises estratgicas e
pela coordenao de atividades para dirigir e controlar
a organizao.
Gerentes de linha (isto , o
ltimo nvel de comando na
escala hierrquica
Tem a responsabilidade final pelas funes organizacionais.
Diretor-executivo de
Segurana da Informao.
Tem a responsabilidade e a governana globais em
relao segurana da informao, garantindo o correto
tratamento dos ativos de informao.
Comit de Segurana
da Informao
(membro do comit).
responsvel por tratar ativos de informao e tem um
papel de liderana no SGSI da organizao.
Equipe de Planejamento da
Segurana da Informao
(membro da equipe).
responsvel durante as operaes, enquanto o SGSI
est sendo implantado. A Equipe de Planejamento
trabalha em diversos departamentos e resolve conflitos
at que a implantao do SGSI seja concluda.
Parte interessada. No contexto das outras descries de papis relativos
segurana da informao, a parte interessada aqui
definida primariamente como pessoas e/ou rgos que
esto fora das operaes normais como o conselho e os
proprietrios (tanto proprietrios da organizao, se esta
for parte de um grupo de empresas ou se for governa-
mental, quanto proprietrios diretos, como acionistas de
uma organizao privada). Outros exemplos de partes
interessadas podem ser companhias associadas, clientes,
fornecedores e demais organizaes pblicas, como
agncias governamentais de regulao financeira ou
bolsa de valores, se a organizao no estiver listada.
Administrador de sistema. O administrador de sistema responsvel por um
sistema de TI.
Gerente de TI. o gerente de todos os recursos de TI (por exemplo,
o Gerente do Departamento de TI).
Segurana Fsica. A pessoa responsvel pela segurana fsica, por exemplo,
construes etc., normalmente chamado de Gerente
de instalaes.
Gerncia de Risco. A(s) pessoa(s) responsvel(eis) pela estrutura de geren-
ciamento de risco da organizao, incluindo avaliao de
risco, tratamento de risco e monitoramento de risco.
Consultor Jurdico. Muitos riscos de segurana da informao tm aspectos
legais, e o consultor jurdico responsvel por levar esses
riscos em considerao.
Recursos Humanos. (So) a(s) pessoa(s) com responsabilidade global pelos
funcionrios.
60

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Arquivo. Todas as organizaes tm arquivos contendo informa-
es vitais e que precisam ser armazenadas por longo
tempo.
As informaes podem estar localizadas em vrios tipos
de mdia, e convm que uma pessoa especfica seja res-
ponsvel pela segurana desse armazenamento.
Dados Pessoais. Se for exigncia legal, pode haver uma pessoa respon-
svel por ser o contato com um conselho de inspeo de
dados ou organizao oficial similar que supervisione a
integridade pessoal e questes de privacidade.
Desenvolvedor de Sistema. Se uma organizao desenvolve seus prprios sistemas
de informao, algum tem a responsabilidade por esse
desenvolvimento.
Especialista/Expert. Convm que seja feita referncia a especialistas e
experts, responsveis por determinadas operaes
em uma organizao quanto ao interesse destes nos
assuntos pertinentes ao uso do SGSI nas suas reas
especficas de atuao.
Consultor Externo. Consultores externos podem emitir opinies com base
em seus pontos de vista macroscpicos da organizao
e em suas experincias na indstria. Contudo, pode ser
que os consultores no tenham conhecimento aprofun-
dado da organizao e suas operaes.
Empregado/Funcionrio/
Usurio.
Cada empregado igualmente responsvel pela manu-
teno da segurana da informao no seu local de
trabalho e em seu ambiente.
Auditor. O auditor responsvel por avaliar o SGSI.
Instrutor. O instrutor ministra treinamentos e executa programas
de conscientizao.
Responsvel pela TI ou pelos
Sistemas de Informao (SI)
locais.
Em uma organizao maior, h geralmente algum na
organizao local que responsvel pelos assuntos de TI,
e provavelmente tambm pela segurana da informao.
Defensor (pessoa influente). Esse no , em si, um papel de responsabilidade propria-
mente dito, mas, em uma organizao maior, pode ser
muito til durante o estgio de implementao contar
com pessoas que tenham conhecimento aprofundado
sobre a implementao do SGSI e que possam apoiar o
entendimento sobre a implementao e as razes que
estiverem por trs dela. Essas pessoas podem influenciar
positivamente a opinio das outras e podem tambm ser
chamadas de Embaixadoras.
A comunicao e as atividades de conscientizao so etapas importantes para o sucesso de
um SGSI. A organizao deve implementar um programa de conscientizao, treinamento e
educao em segurana da informao para que toda a organizao entenda seus papis e
suas competncias para executarem as operaes necessrias ao SGSI.
A documentao dentro de um SGSI um importante fator de sucesso, pois demonstrar a
relao dos controles implementados com os resultados esperados. A documentao muitas
vezes ser a evidncia necessria para averiguar que um SGSI est implementado de forma
correta e efciente, permitindo que as aes possam ser rastreveis e passveis de reproduo.
Tabela 3.1
Lista exemplifcada
de papis e
responsabilidades
pela segurana
da informao.
Anexo B da norma
ABNT NBR ISO/IEC
27003:2011
Diretrizes para
implantao de
um sistema de
gesto da
segurana
da informao.
61

C
a
p
t
u
l
o

3

-

S
i
s
t
e
m
a

d
e

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

Arquivo. Todas as organizaes tm arquivos contendo informa-
es vitais e que precisam ser armazenadas por longo
tempo.
As informaes podem estar localizadas em vrios tipos
de mdia, e convm que uma pessoa especfica seja res-
ponsvel pela segurana desse armazenamento.
Dados Pessoais. Se for exigncia legal, pode haver uma pessoa respon-
svel por ser o contato com um conselho de inspeo de
dados ou organizao oficial similar que supervisione a
integridade pessoal e questes de privacidade.
Desenvolvedor de Sistema. Se uma organizao desenvolve seus prprios sistemas
de informao, algum tem a responsabilidade por esse
desenvolvimento.
Especialista/Expert. Convm que seja feita referncia a especialistas e
experts, responsveis por determinadas operaes
em uma organizao quanto ao interesse destes nos
assuntos pertinentes ao uso do SGSI nas suas reas
especficas de atuao.
Consultor Externo. Consultores externos podem emitir opinies com base
em seus pontos de vista macroscpicos da organizao
e em suas experincias na indstria. Contudo, pode ser
que os consultores no tenham conhecimento aprofun-
dado da organizao e suas operaes.
Empregado/Funcionrio/
Usurio.
Cada empregado igualmente responsvel pela manu-
teno da segurana da informao no seu local de
trabalho e em seu ambiente.
Auditor. O auditor responsvel por avaliar o SGSI.
Instrutor. O instrutor ministra treinamentos e executa programas
de conscientizao.
Responsvel pela TI ou pelos
Sistemas de Informao (SI)
locais.
Em uma organizao maior, h geralmente algum na
organizao local que responsvel pelos assuntos de TI,
e provavelmente tambm pela segurana da informao.
Defensor (pessoa influente). Esse no , em si, um papel de responsabilidade propria-
mente dito, mas, em uma organizao maior, pode ser
muito til durante o estgio de implementao contar
com pessoas que tenham conhecimento aprofundado
sobre a implementao do SGSI e que possam apoiar o
entendimento sobre a implementao e as razes que
estiverem por trs dela. Essas pessoas podem influenciar
positivamente a opinio das outras e podem tambm ser
chamadas de Embaixadoras.
A comunicao e as atividades de conscientizao so etapas importantes para o sucesso de
um SGSI. A organizao deve implementar um programa de conscientizao, treinamento e
educao em segurana da informao para que toda a organizao entenda seus papis e
suas competncias para executarem as operaes necessrias ao SGSI.
A documentao dentro de um SGSI um importante fator de sucesso, pois demonstrar a
relao dos controles implementados com os resultados esperados. A documentao muitas
vezes ser a evidncia necessria para averiguar que um SGSI est implementado de forma
correta e efciente, permitindo que as aes possam ser rastreveis e passveis de reproduo.
Tabela 3.1
Lista exemplifcada
de papis e
responsabilidades
pela segurana
da informao.
Anexo B da norma
ABNT NBR ISO/IEC
27003:2011
Diretrizes para
implantao de
um sistema de
gesto da
segurana
da informao.
Os documentos listados a seguir so requisitos gerais e a base documental para que possa
ser realizada a auditoria de um SGSI:
1. Declarao da poltica de segurana e objetivos do SGSI;
2. Escopo;
3. Procedimentos e controles;
4. Descrio da metodologia de anlise/avaliao de riscos;
5. Relatrio de anlise/avaliao de riscos;
6. Plano de tratamento de riscos;
7. Procedimentos necessrios para garantia da efetividade, operao e controles;
8. Descrio da medio da efetividade dos controles;
9. Registros requeridos.
q 1 Declarao da poltica de segurana e objetivos do SGSI.
1 Escopo.
1 Procedimentos e controles.
1 Descrio da metodologia de anlise/avaliao de riscos.
1 Relatrio de anlise/avaliao de riscos.
1 Plano de tratamento de riscos.
1 Procedimentos necessrios para garantia da efetividade, operao e controles.
1 Descrio da medio da efetividade dos controles.
1 Registros requeridos.
1 Declarao de aplicabilidade.
Apoio
Por que essa fase importante? Use a norma 27001 para responder.
Operao
q 1 Planejamento operacional e controle.
1 Avaliao de riscos de segurana da informao.
1 Tratamento de riscos de segurana da informao.
Saiba mais
Declarao de aplicabi-
lidade um documento
formal contendo os
controles aplicados,
os controles no
aplicados, os controles
no aplicveis e os
controles adicionais.
uma listagem de
todos os controles da
norma assinalando: os
controles aplicados e
riscos que esto sendo
tratados; os controles
no aplicados e as
justifcativas da sua
no aplicao; e os
controles no aplic-
veis no ambiente da
organizao com suas
justifcativas.
l
Leia a seo 7 da
norma ABNT NBR ISO/
IEC 27001:2013.
d
62

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
8. Operao
8.1 . Planejamento operacional
e controle
8.3 . Tratamento de riscos de
8.2 . Avaliao de riscos de
Na seo 8 a norma trata das atividades ligadas a operao do SGSI. Nesta etapa a organizao
planeja todos os passos necessrios para atender os requisitos de segurana da informao e
implementar as aes necessrias. A organizao deve manter tudo documentado, processos e
mudanas, para que possa gerar confana de que tudo esta seguindo o planejado.
A organizao deve ainda implementar uma metodologia para realizar avaliaes de risco e,
a partir da sua aplicao, implementar um plano de tratamento nos riscos identifcados.
Avaliao do desempenho
q 1 Monitoramento, medio, anlise e avaliao.
1 Auditoria interna.
1 Anlise crtica pela Direo.
9. Avaliao do
desempenho
9.1 . Monitoramento, medio,
anlise e avaliao
9.3 . Anlise crtica pela Direo
9.2 . Auditoria interna
Nesta seo, de avaliao do desempenho, a norma destaca a importncia do monitoramento
para verifcar a efccia do SGSI, atravs da determinao do que deve ser monitorado e medido.
Anlise crtica dos relatrios
de resposta a incidentes
Vericaes
regulares
Monitorando o desempenho do SGSI
Vericao e divulgao da
implementao do controle
de segurana
Preparao e
coordenao
de atividades de
monitoramento
Registros de atividades
de monitoramento
Informaes
para a direo
A implantao do SGSI deve ser avaliada em intervalos regulares por meio de auditorias
internas e independentes. Essas auditorias serviro para conferir e avaliar as experincias
obtidas na prtica, do dia a dia.
Uma auditoria deve ser planejada levando em considerao o status e a importncia dos
processos e reas a serem auditadas, bem como o resultado das auditorias anteriores.
Figura 3.7
Etapas da seo 8
Operao da norma
ABNT NBR ISO/IEC
27001:2013.
Leia a seo 8 da
norma ABNT NBR ISO/
IEC 27001:2013.
d
Figura 3.8
Etapas da seo
9 Avaliao do
desempenho da
norma ABNT NBR
ISO/IEC 27001:2013.
Figura 3.9
Fluxo do processo
de Monitoramento
segundo a norma
ABNT NBR ISO/IEC
27003 Diretrizes
para implantao
de um sistema
de gesto da
segurana da
informao.
63

C
a
p
t
u
l
o

3

-

S
i
s
t
e
m
a

d
e

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

Devem ser defnidos critrios de auditoria, abrangncia, frequncia e mtodo.
Essenciais em qualquer sistema de gesto, as atividades de monitorao e anlise crtica so
fundamentais para o sucesso de um SGSI, por permitirem o acompanhamento, atravs de
evidncias, e tambm o processo de melhoria contnua do sistema.
A anlise crtica pela Direo deve analisar criticamente o SGSI em intervalos regulares
planejados, para assegurar a sua contnua adequao, pertinncia e efccia aos objetivos
estratgicos da organizao.
Melhoria
q 1 No conformidade e ao corretiva.
1 Melhoria contnua.
10. Melhoria
10.1 . No conformidade e
ao corretiva
10.2 . Melhoria contnua
A seo 10 aborda os aspectos de melhoria e aperfeioamento do SGSI, quando uma no
conformidade ocorre, a fm de que a organizao possa tomar as aes necessrias para
controlar e corrigir.
Essa fase busca apresentar os requisitos que a organizao, de forma regular e estrutu-
rada, deve atender para que o seu SGSI mantenha-se dentro do processo de melhoria
contnua do PDCA.
A organizao deve continuamente melhorar a efccia do SGSI por meio do uso da poltica
de segurana da informao, objetivos de segurana, resultados de auditoria, anlise de
eventos monitorados, aes corretivas e preventivas e reviso da direo.
1 Aes corretivas: a organizao deve tomar aes corretivas para eliminar as causas das
no conformidades com os requisitos do SGSI, para evitar a sua repetio;
1 Aes preventivas: a organizao deve determinar aes para eliminar as causas de no
conformidades potenciais com os requisitos da SGSI, para evitar a sua ocorrncia.
A melhoria contnua deve ser um processo implantado na organizao buscando o cons-
tante aperfeioamento e melhoria de todo o sistema de gesto da segurana da informao.
Anexo A
q 1 Controles e objetivos de controle.
1 Alinhados com a ABNT NBR ISO/IEC 27002:2013 (Sees 5 a 18).
1 Devem ser usados com 6.1.3 Tratamento de riscos de segurana da informao.
O Anexo A da norma ABNT NBR ISO/IEC 27001:2013 lista os controles que, de acordo com a
norma, devem ser implementados na implementao de um SGSI. Os controles so seme-
lhantes aos existentes na ABNT NBR ISO/IEC 27002:2013, com a diferena de que contm o
verbo dever, que apresenta circunstncias que so externas ao participante envolvido numa
situao de segurana , mas que a tornam necessria, com um sentido de dever, ter de.
Assim, os controlem devem ser implementados para que seja possvel que se tenha um SGSI.
Leia a seo 9 da
norma ABNT NBR ISO/
IEC 27001:2013.
d
Figura 3.10
Etapas da seo
10 Melhoria
da norma ABNT
NBR ISO/IEC
27001:2013.
No conformidade
o no atendimento a
um requisito; um fato
que contraria um requi-
sito, sendo comprovado
por evidncias. Em
determinados casos, a
falta de evidncia uma
evidncia. No Confor-
midade Maior: quando
um requisito inteiro da
norma no atendido,
caracterizando uma
falha sistmica. Tambm
podero acontecer
quando falhas existirem
nos produtos e for cons-
tatado que os clientes
esto recebendo
produtos com falhas.
Caracteriza tambm o
acmulo de no confor-
midades menores a um
mesmo item normativo
ou ento a reincidncia
de uma no conformi-
dade menor identifi-
cada em uma auditoria
externa anterior. No
Conformidade Menor:
lapso do controle de
um requisito pr-esta-
belecido; apesar de no
ser grave, indica no
cumprimento de um
processo especfico.
64

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Porm, pode haver o caso de que nem todos os controles listados podem ou necessitam
ser implementados. Nesse caso, a organizao, ao criar um documento chamado Decla-
rao de Aplicabilidade, deve fazer constar os controles no implementados e os motivos
da no aplicao.
No anexo A, o nmero do controle antecedido pela letra A. Assim, quando se refere a um
controle do Anexo A da norma 27001:2013, este deve ser feito da seguinte forma: A.xx.xx.xx.
No caso da norma 27002:2013, a referncia tem apenas os nmeros: xx.xx.xx.
Apesar de os controles serem semelhantes, o anexo A da norma 27001:2013 usado para
a implementao de controles dentro de um ambiente de SGSI, enquanto os controles da
norma 27002:2013 so um cdigo de boas prticas de segurana da informao.
Lista de verificao para implantao de um SGSI
A seguir apresentada, como sugesto, uma lista de verifcao para implantao de um SGSI,
criada com base nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27003:2011:
Atividade Resultado
01 Identificar os objetivos de negcio da organi-
zao.
1Lista de objetivos de negcio corporativo.
02 Conhecer os sistemas de gesto existentes na
organizao.
1Descrio dos sistemas de gesto existentes.
03 Definir objetivos, necessidades de segurana
da informao e requisitos de negcio para
o SGSI.
1Resumo dos objetivos, das necessidades de segurana
da informao e dos requisitos de negcio para o SGSI.
04 Reunir normas regulamentares, de conformi-
dade e do setor pertinentes organizao.
1Resumo das normas regulamentares, de conformi-
dade e do setor pertinentes organizao.
05 Definir escopo preliminar do SGSI. 1Descrio do escopo preliminar do SGSI.
1Definio dos papis e responsabilidades do SGSI.
06 Criar o plano de negcio e o plano de projeto
para aprovao da direo.
1Plano de negcio e plano de projeto proposto.
07 Obter aprovao e comprometimento
da direo para iniciar o projeto da
implementao do SGSI.
1Aprovao da direo para iniciar o projeto da imple-
mentao do SGSI.
08 Definir os limites organizacionais. 1Descrio dos limites organizacionais.
1Funes e estrutura da organizao.
1Troca de informaes atravs dos limites.
1Processos de negcio e as responsabilidades pelos
ativos da informao de dentro e de fora do escopo.
09 Definir limites de tecnologia da informao
e comunicao.
1Descrio dos limites do TIC.
1Descrio dos sistemas de informao e redes de tele-
comunicaes, detalhando o que est dentro e o que
est fora do escopo.
10 Definir os limites fsicos. 1Descrio dos limites fsicos do SGSI.
1Descrio da organizao e de suas caractersticas
geogrficas, detalhando o escopo interno e o externo.
Leia o Anexo A da
norma ABNT NBR ISO/
IEC 27001:2013.
d
Tabela 3.2
Exemplo de uma
lista de verifcao
para implantao
de um SGSI.
65

C
a
p
t
u
l
o

3

-

S
i
s
t
e
m
a

d
e

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

Atividade Resultado
11 Finalizar os limites para o escopo do
SGSI.
1Documento descrevendo o escopo e os limites do SGSI.
12 Desenvolver a poltica do SGSI. 1Poltica do SGSI aprovada pela direo.
13 Definir os requisitos de segurana
da
informao que apoiam o SGSI.
1Lista dos principais processos, funes, locais, sistemas de
informao e redes de comunicao.
1Requisitos da organizao sobre confidencialidade, disponibili-
dade, integridade e autenticidade.
1Requisitos da organizao contemplando requisitos de segu-
rana da informao legais, regulamentares, contratuais e do
negcio.
14 Ativos identificados dentro do
escopo
do SGSI.
1Descrio dos principais processos da organizao.
1Identificao dos ativos de informao dos principais processos
da organizao.
1Classificao dos processos e ativos crticos.
15 Conduzir a anlise/avaliao de
segurana da informao.
1Documento da avaliao e da descrio do status real da
segurana da informao, incluindo controles de segurana da
informao existentes (qual o real status da segurana da infor-
mao na organizao?).
1Documento de deficincia da organizao analisadas e avaliadas
(quais os problemas? Que solues so possveis?).
16 Conduzir uma avaliao de risco. 1Escopo para a anlise/avaliao de riscos (dentro do escopo do
SGSI).
1Metodologia de anlise/avaliao de riscos aprovada e alinhada
com o contexto de gesto estratgica de riscos da organizao
(vide ABNT NBR ISO/IEC 31000 e
ABNT NBR ISO/IEC 27005).
1Critrios de aceitao de riscos.
17 Selecionar os objetivos de controle
e os controles.
1Anlise/avaliao de alto nvel de riscos documentada.
1Identificar a necessidade de uma anlise/avaliao de riscos
mais detalhada.
1Anlise/avaliao de riscos detalhada e documentada.
1Resultados agregados da anlise/avaliao de riscos.
18 Obter aprovao da direo para
implementar o SGSI.
1Riscos e suas opes de tratamento identificadas.
1Objetivos de controle e controles selecionados para reduo do
risco.
19 Aprovao da direo para os riscos
residuais.
1Aprovao documentada da direo para os riscos residuais
propostos (convm que seja a sada da atividade anterior).
20 Autorizao da direo para imple-
mentar e operar o SGSI.
1Autorizao documentada da direo para implementar e
operar o SGSI.
21 Preparar a Declarao de
Aplicabilidade.
1Declarao de Aplicabilidade.
22 Definir a segurana organizacional. 1Estrutura da organizao e seus papis e responsabilidades
relacionados segurana da informao.
1Identificao de documentao relacionada ao SGSI.
1Modelos de registros do SGSI e instrues de uso e
armazenamento.
1Documento de poltica de segurana da informao.
1Linha de base de polticas e procedimentos de segurana da
informao (e, se aplicvel, planos para desenvolver polticas,
procedimentos especficos, entre outros).
66

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Atividade Resultado
23 Projetar a segurana fsica e de TIC. 1Planos de projeto de implementao para o processo de
implementao dos controles de segurana selecionados para a
segurana fsica e de TIC .
24 Definir a segurana da informao
especfica para o SGSI.
1Procedimentos descrevendo os processos de comunicao de
informaes e de analise crtica pela direo.
25 Definir a auditoria e monitoramento. 1Descries para auditoria, monitoramento e medio.
26 Definir um programa de
conscientizao.
1Detalhar um programa de treinamento e conscientizao.
27 Produzir o plano de projeto final
do SGSI.
1Plano de projeto de implementao para os processos de imple-
mentao aprovados pela direo.
28 Plano de projeto final do SGSI. 1Um plano de projeto de implementao do SGSI especfico para
a organizao, abrangendo a execuo de atividades planejadas
para a segurana da informao fsica, de TIC e organizacional,
bem como os requisitos especficos do SGSI para implement-lo
de acordo com os resultados das atividades abrangidas pelas
normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27003.
67

C
a
p
t
u
l
o

3

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

3
Atividade 3.1 Conhecendo o ciclo PDCA
Descreva as principais atividades de um SGSI em cada etapa do ciclo PDCA (Plan-Do-Check-Act).
Atividade 3.2 Contexto da organizao
Relacione os requisitos que, segundo a norma, devem constar obrigatoriamente no estabe-
lecimento do contexto da organizaode um SGSI (Sistema de Gesto de Segurana
da Informao).
Atividade 3.3 Planejamento
Quais so as aes para contemplar riscos e oportunidades?
68

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Quais os objetivos de segurana da informao para a sua organizao? Justifque sua resposta.
Atividade 3.4 Apoio
Qual a importncia da conscientizao e comunicao?
Atividade 3.5 Documentos
Quais so os documentos que devem ser includos no SGSI?
O que a Declarao de Aplicabilidade?
69

C
a
p
t
u
l
o

3

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

3
Atividade 3.6 Operao
Considerando o atual status da segurana da informao na sua instituio, apresente as
etapas da Operao mnimas e necessrias para que a implementao do SGSI ocorra num
prazo de at um ano. Indique os prazos a serem considerados em cada etapa.
De acordo com a sua resposta anterior, cite sequencialmente os documentos necessrios
para essa implementao.
70

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
71

C
a
p
t
u
l
o

4

-

P
o
l
t
i
c
a

d
e

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
4
Poltica de segurana da
informao
Identifcar os requisitos, construir e usar uma poltica de segurana da informao.

Poltica de segurana, normas, procedimentos e boas prticas.

Definio
q 1 Conjunto de regras gerais que direcionam a segurana da informao e so
suportadas por normas e procedimentos.
1 Devem ser seguidas por toda a organizao, orientando a segurana da informao,
conforme o ramo de negcio, legislao e normas vigentes.
1 A poltica de segurana deve ser clara e objetiva.
1 E pode ser considerada um documento jurdico.
Inicialmente, sero vistos os seguintes tpicos referentes poltica de segurana: defnio,
escopo e algumas questes relevantes a considerar, com vistas ao seu desenvolvimento e
sua implantao nas organizaes.
Poltica de segurana da informao
O que voc entende por poltica?
Na sua opinio, como deve ser uma poltica de segurana?
72

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

-

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
A poltica de segurana da informao um conjunto de diretrizes apoiado por normas e
procedimentos, que determinam as regras e prticas a serem seguidas para assegurar a
segurana da informao, de acordo com o ramo de negcio e requisitos legais, contra-
tuais, regulamentares e normativos aplicveis a todo o escopo da organizao. Ela defnir
as diretrizes, os limites, as responsabilidades e os objetivos dos controles que devero ser
implementados e implantados para garantir os requisitos de proteo da segurana da
informao na organizao.
Sendo assim, a poltica de segurana deve ser claramente defnida, publicada e mantida
atualizada e apoiada pelos dirigentes da organizao.
A importncia da poltica de segurana para o SGSI alta, uma vez que representa um docu-
mento formal, at mesmo com valor jurdico.
Diagrama
Estratgico
Ttico
Operacional
Registros
Normas (o qu)
Procedimentos (como)
Instrues (detalhes)
Evidncias
ISO 27001
Leis
Polticas de segurana
(diretrizes)
Polticas Diretrizes que devem ser seguidas. Responde ao porqu de realizar a
Segurana da Informao, definindo diretrizes genricas do que deve ser
realizado pela organizao para alcanar a Segurana da informao.
Normas Regras bsicas de como deve ser implementado o controle
ou conjunto de controles, que foram definidos nas polticas.
Respondem o qu fazer para se alcanar as diretrizes definidas
na poltica de segurana.
Procedimentos Atividades detalhadas de como deve ser implementado o
controle ou conjunto de controles. Respondem como fazer
cada item definido nas normas especficas e suas polticas.
Instrues Descrio de uma operao ou conjunto de operaes para a execuo
da implementao de controles de segurana da informao.
Evidncias Mecanismos adotados para permitir a coleta e comprovao da
aplicao dos controles de segurana da informao, sua eficcia
e eficincia. Permitir a rastreabilidade e uso em auditorias.

Saiba mais
Antes de iniciar este
captulo, faa uma
leitura completa da
Seo 5 Polticas
de Segurana da
Informao, da norma
ABNT NBR ISO/IEC
27002:2013.
l
Figura 4.1
Sequncia e
relao da poltica
de segurana
com fases do
planejamento.
Tabela 4.1
A Poltica de
segurana da
informao em
detalhes.
73

C
a
p
t
u
l
o

4

-

P
o
l
t
i
c
a

d
e

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o
A poltica de segurana de uma organizao composta por diretrizes gerais que serviro
de base para as normas, procedimentos e instrues referentes segurana da informao.
Devem estar alinhadas com a norma ABNT ISO 27001, com a legislao vigente e com as
normas gerais pelas quais a organizao se orienta.
Diagrama
Quais so os procedimentos formalizados existentes na rea de TI da sua organizao?
Arquitetura das polticas de segurana
No existe uma arquitetura padro para a defnio das polticas de segurana. Elas devem
seguir e atender aos requisitos de negcios da organizao e sua cultura organizacional.
Para uma boa estruturao das polticas de segurana, podemos ter por base as dimenses
da segurana da informao apresentadas no livro Praticando a Segurana da Informao:
G
e
s
t
o

d
e

r
i
s
c
o
s
Polticas de Segurana da informao
Tratamento de incidentes de Segurana da informao
R
e
g
u
l
a
m
e
n
t
a
o

e

r
e
g
r
a
s

d
e

n
e
g
c
i
o
Acesso informao
Flexibilidade
operacional
Continuidade
do negcio
Classicao
da informao
Desenvolvimento
de aplicativos
Ambiente fsico
e infraestrutura
Proteo tcnica
Recursos da informao
Conscientizao
e treinamento
Modelo operativo
da SI
Estas podem ser vistas como as polticas de segurana necessrias, mas que devem ser
adequadas s necessidades de cada organizao. de suma importncia que cada organi-
zao estabelea a arquitetura que precisa ter para atender aos seus requisitos de segu-
rana e de negcios.
Escopo
q 1 Estabelece princpios para a proteo, o controle e o monitoramento de
recursos e informaes.
1 Estabelece as responsabilidades da segurana da informao.
Em uma organizao, a poltica de segurana deve:
Figura 4.2
Estrutura
baseada na Norma
Internacional ISO/
IEC 27002:2013.
74

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

-

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 Estabelecer os princpios a serem seguidos com o intuito de proteger, controlar e moni-
torar seus recursos e sua informao;
1 Em especial, a poltica de segurana da informao pode ser integrada a outras pol-
ticas e planos vigentes na organizao, tais como polticas de contingncia e plano
estratgico de negcios.
1 Ao defnir o escopo da poltica, detalhar os limites de aplicao dela, citando os ambientes,
fsicos, lgicos e organizacionais que so aplicveis e tipos de usurios, entre outros.
Escopo
Qual o detalhamento necessrio para defnir o escopo da poltica de segurana da sua
organizao?
Questionamentos importantes
q 1 O que se quer proteger?
1 Contra o qu ou quem?
1 Quais so as ameaas mais provveis?
1 Qual a relevncia de cada recurso?
1 Qual o grau de proteo requerido?
1 Quanto tempo, recursos fnanceiros e humanos se pretende gastar?
1 Quais as expectativas dos usurios e clientes?
Com o objetivo de defnir uma poltica de segurana da informao para uma organizao,
deve-se ter em mente as respostas s seguintes questes:
1 O que se quer proteger? Ativos da organizao necessitam de proteo.
1 Contra o qu ou quem? Quais so as ameaas que podem afetar a organizao e de que
forma e por quem estas ameaas podem ser exploradas?
1 Quais so as ameaas mais provveis? Identifcar dentre as ameaas as que possuem
maior probabilidade de ocorrer.
1 Qual a relevncia de cada recurso a ser protegido? Importncia do recurso dentro do
processo de negcio.
1 Qual o grau de proteo requisitado? Requisitos de proteo que o negcio exige.
Qual nvel de proteo necessrio?
1 Quanto tempo, recursos fnanceiros e humanos sero disponibilizados? Quais recursos esto
disponveis para os objetivos de segurana? O que pode ser feito com os recursos existentes?
1 Quais as expectativas dos usurios e clientes? O que esperam da segurana da infor-
mao para o negcio da organizao, servios e produtos?
Com isso, podem ser aplicados mecanismos de segurana adequados aos requisitos de
segurana indicados na poltica. Em adio, com as devidas respostas em mente, pode-se
analisar os riscos e requisitos legais e de normas, de acordo com a poltica de segurana.
75

C
a
p
t
u
l
o

4

-

P
o
l
t
i
c
a

d
e

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o
Etapas
q 1 Identifcar a legislao.
1 Identifcar recursos crticos.
1 Analisar necessidades de segurana.
1 Elaborar proposta e promover discusso aberta.
1 Apresentar documento.
1 Aprovar e implementar.
1 Comunicar e treinar.
1 Manter a poltica de segurana.
A poltica de segurana deve ser implantada segundo um processo formal, embora fexvel,
de modo a permitir alteraes de acordo com as necessidades. Uma proposta tpica para a
implantao de uma poltica de segurana da informao compreende:
1 Identifcar a legislao aplicvel na organizao;
1 Identifcar os recursos crticos;
1 Classifcar as informaes da organizao, observando no apenas a rea de informtica,
mas todos os setores e suas respectivas informaes;
1 Analisar as necessidades de segurana, com o objetivo de verifcar possveis ameaas,
riscos e impactos na organizao;
1 Elaborar a proposta para a poltica de segurana;
1 Discutir abertamente com todos os envolvidos o contedo da proposta apresentada;
1 Aprovar a poltica de segurana;
1 Implementar a poltica de segurana;
1 Manter, periodicamente, a poltica de segurana, procurando identifcar as melhorias
necessrias e efetuar as revises cabveis.
A seguir, cada uma das fases citadas ser detalhada.
Identificar a legislao
Toda organizao submetida a vrias leis, regulamentaes, normas do rgo regula-
mentador da sua rea de negcios, que devem ser seguidas e atendidas sob o risco grave
de penalidades no caso de no cumprimento. Assim, importantssimo o levantamento de
toda legislao para que as polticas de segurana no venham a atentar contra qualquer
uma delas.
Identificar a legislao
Qual a importncia da identifcao da legislao para o desenvolvimento da poltica
de segurana?
76

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

-

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Identificao dos recursos crticos
q 1 Hardware.
1 Software.
1 Dados.
1 Pessoas.
1 Documentao.
1 Suprimentos.
1 Entre outros.
A primeira fase do processo de implantao de uma poltica de segurana compreende a identi-
fcao dos recursos crticos da organizao, ou seja, aqueles recursos sob risco de segurana.
Por exemplo, considerando cenrios da tecnologia da informao, podemos apresentar os
seguintes recursos como crticos:
1 Hardware, tais como servidores, equipamentos de interconexo (roteadores, comuta-
dores etc.), linhas de comunicao, entre outros;
1 Software, tais como Sistemas Operacionais, aplicativos, ferramentas de auxlio a ativi-
dades de negcio, utilitrios etc.;
1 Dados (em processamento ou em transmisso), backups, logs, bases de dados etc.;
1 Pessoas, em termos de usurios (internos e externos, quando conveniente), funcionrios
e dirigentes;
1 Documentao a respeito de softwares, sistemas de informao, entre outros;
1 Suprimentos, tais como papel, ftas magnticas, CDs/DVDs etc.
Considerando um cenrio diferente, outros tipos de recursos podem ser levantados.
Identificao dos recursos crticos
Cite dois recursos crticos da sua organizao que devem ser levados em conta no processo
de desenvolvimento da poltica de segurana.
Anlise das necessidades de segurana
q Engloba a anlise de riscos:
1 Ameaas e impactos.
Busca-se identifcar:
1 Componentes crticos.
1 Grau de proteo adequado.
1 Custos potenciais.
1 Adequao s boas prticas.
77

C
a
p
t
u
l
o

4

-

P
o
l
t
i
c
a

d
e

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o
Ao analisar as necessidades de segurana, deve-se considerar a anlise de riscos, em espe-
cial as ameaas e impactos, de modo a determinar os elementos crticos na organizao, os
custos associados e o grau de segurana adequado.
A anlise de riscos completa e correta o ponto-chave para a poltica de segurana ade-
quada a uma organizao e, consequentemente, para a gesto da segurana da informao.
A gesto de riscos ser detalhada nos captulos 6 e 7, incluindo mais informaes a respeito
da anlise de riscos.
Outro ponto a ser observado so as recomendaes das boas prticas existentes na rea de
segurana da informao. Seguir essas boas prticas colaborar para que a organizao seja
vista como preocupada com a segurana da sua informao.
Elaborao da proposta e discusso aberta
q A proposta deve contemplar:
1 Recursos crticos.
1 Anlise das necessidades de segurana.
A proposta deve ser discutida entre os envolvidos:
1 Dirigentes da organizao, em especial.
A proposta de poltica de segurana de uma organizao deve ser elaborada com base no
levantamento de recursos crticos e na anlise das necessidades de segurana realizadas
previamente para que, assim, os objetivos de segurana sejam identifcados de maneira
adequada, de acordo com o negcio e os riscos que envolvem a organizao.
A poltica de segurana deve, normalmente, ser desenvolvida e apresentada pelo Comit de
Segurana da Informao. Esse comit contar com representantes de vrias reas, princi-
palmente a rea jurdica, TI e RH, e dever ter um perodo estabelecido.
Uma vez elaborada, a proposta deve ser discutida abertamente com todos os funcionrios
envolvidos diretamente com o assunto e, em especial, com os dirigentes da organizao,
uma vez que o apoio deles crucial para a implantao da poltica de segurana.
Elaborao da proposta
Quem desenvolver a poltica de segurana da sua organizao?
Documentao
q 1 Defnio de segurana da informao, suas metas, escopo e importncia.
1 Declarao do comprometimento dos dirigentes da organizao.
1 Objetivos de controle e os devidos controles.
1 Anlise, avaliao e gerenciamento de riscos.
1 Explanao resumida das polticas, princpios, normas e requisitos.
1 Defnio das responsabilidades gerais e especfcas quanto gesto da segurana.
1 Referncias a documentos que apoiem a poltica.
78

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

-

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
A poltica de segurana de uma organizao deve ser documentada, e o documento gerado
deve ser aprovado por seus dirigentes para que possa ser publicado e divulgado para todos
os envolvidos. Vale ressaltar a necessidade de a poltica de segurana estar alinhada aos
objetivos e estratgias de negcio da organizao.
O contedo da poltica de segurana deve conter, por recomendao da norma ABNT NBR
ISO/IEC 27002:2013, os seguintes itens:
1 Defnio de segurana da informao, suas metas, escopo e relevncia para a organizao;
1 Declarao do comprometimento dos dirigentes da organizao com a poltica de segurana;
1 Indicao dos objetivos de controle e dos controles, incluindo a anlise/avaliao e geren-
ciamento dos riscos;
1 Explicao sucinta a respeito das polticas, princpios, normas e requisitos necessrios para
garantir conformidade com a legislao, regulamentos, contratos e normas de segurana;
1 Defnio das responsabilidades para com a gesto da segurana da informao;
1 Referncias a documentos que apoiem a poltica de segurana.
Vale ressaltar que a poltica de segurana pode ser composta por vrias polticas especfcas,
tais como poltica de senhas, de backup etc.
Aprovao e implementao
q 1 Aprovao, em especial dos dirigentes da organizao.
1 Implementao.
A fase de aprovao da poltica de segurana corresponde ao resultado positivo conse-
guido aps a anlise da proposta elaborada e apresentada organizao. Em particular,
exige-se o apoio por parte dos dirigentes da organizao como uma forma de garantir os
primeiros passos para a implementao da poltica de segurana e as condies ade-
quadas sua manuteno.
Na implementao, devem ser considerados todos os aspectos relacionados implantao
dos mecanismos de segurana (solues tcnicas, administrativas etc.) apropriados para
assegurar que as necessidades de segurana levantadas previamente sejam atendidas a
contento na organizao.
Aprovao e implementao
Quem aprovar a poltica de segurana da sua organizao?
Comunicao da poltica e treinamento
A divulgao da poltica de segurana e sua comunicao a toda a organizao outro aspecto
importante para sua implementao. Recomenda-se, a propsito, que a divulgao faa parte
de programas de formao de funcionrios novatos e de reciclagem dos antigos, alm de ser
efetuada periodicamente. Essa divulgao da poltica deve ser formal e efetiva, informando
todos os detalhes da sua implementao, como deve ser cumprida e as penalidades, se for o
caso, da sua no observncia. Lembre-se de que a melhor medida de preveno a educao.
79

C
a
p
t
u
l
o

4

-

P
o
l
t
i
c
a

d
e

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o
Manuteno
q A poltica de segurana deve ser analisada periodicamente ou quando ocorrerem
mudanas signifcativas. Deve considerar:
1 Oportunidades para melhoria.
1 Mudanas no ambiente organizacional (negcios, legislao ou tecnologias).
1 Tendncias de ameaas e vulnerabilidades.
1 Incidentes de segurana ocorridos.
A poltica de segurana da informao adotada em uma organizao deve ser periodica-
mente analisada (recomenda-se anualmente), com o objetivo de manter sua adequao e
efcincia. Tambm deve ser revista nos casos de mudanas signifcativas em termos de
negcios e avanos tecnolgicos. Na anlise, busca-se:
1 Melhorias para a prpria poltica, melhorias de controles, alocao de recursos e atri-
buio de responsabilidades;
1 Atender a mudanas nos negcios, recursos disponveis, condies tcnicas e tecnolgicas;
1 Apresentar uma resposta a mudanas que afetam diretamente o modo de gerenciar a
segurana da informao;
1 Atender a mudanas em aspectos contratuais, regulamentares e legais;
1 Atender a recomendaes de autoridades ou rgos relevantes.
Recomenda-se que tal anlise seja efetuada por um funcionrio ou equipe responsvel
pela gesto da poltica de segurana. Em seguida, deve-se gerar o novo documento da
poltica de segurana e este, por sua vez, deve ser reconhecido e apoiado pelos dirigentes
da organizao.
Manuteno
Como deve ser defnido o tempo para manuteno de uma poltica de segurana?
Boas prticas
q 1 Apoio explcito da alta direo.
1 Determinar o que fazer para cada tipo de potencial violao poltica de segurana.
1 Estabelecer uma estrutura organizacional de responsabilidades.
1 Estabelecer procedimentos de segurana de pessoal.
1 Informar a todos os envolvidos os riscos e suas responsabilidades.
A poltica de segurana tem um papel determinante nas organizaes e, por sua vez,
recomendvel consider-la como um conjunto de regras a ser felmente seguido e gerido de
maneira adequada. Sendo assim, torna-se evidente a relao entre a gesto da segurana
da informao e a poltica de segurana de uma organizao.
80

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

-

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Com o objetivo de obter melhores resultados, so recomendadas as seguintes boas prticas,
ao considerar a poltica de segurana de uma organizao:
1 A alta direo da organizao deve apoiar e acreditar que as polticas de segurana da
informao vo proteger as suas informaes. Assim, o patrocnio da alta direo
importante para que os objetivos da poltica de segurana sejam alcanados. Esse apoio
deve iniciar com o desenvolvimento da poltica, passar por sua assinatura e divulgao,
chegando at a manuteno da efcincia e da sua atualizao.
1 Nem sempre possvel detectar uma violao poltica de segurana; todavia, em situ-
aes nas quais haja possibilidade, relevante identifcar a causa em primeira instncia,
como erro, negligncia, desconhecimento da poltica etc. Recomenda-se, ainda, que na
prpria poltica de segurana constem os procedimentos a serem seguidos caso uma
violao acontea, de acordo com sua gravidade, determinando, ainda, as aes corre-
tivas necessrias e a punio dos responsveis diretos pelo problema. Note que, assim
como j citado no captulo 2, a punio pode variar dependendo da infrao, podendo
ser levada alada da justia; todavia, cabe instituio divulgar a poltica de segurana,
a legislao vigente e as responsabilidades especfcas a todos os seus funcionrios.
1 salutar estabelecer uma estrutura organizacional responsvel pela segurana da infor-
mao na organizao, com o intuito de defnir os responsveis por aprovar, revisar e
gerenciar a implantao da poltica de segurana na organizao. Tais atividades podem
ser efetuadas por um funcionrio ou equipe.
1 Deve-se trabalhar a segurana de pessoal visando minimizar ou at mesmo evitar pro-
blemas de segurana da informao com causa proveniente de erros humanos.
Todos os integrantes da organizao devem ter conhecimento a respeito dos riscos de segu-
rana e das suas responsabilidades perante a questo da segurana. Com isso, sempre
recomendvel a divulgao de boas prticas, normas, legislao e padres vigentes.
Boas prticas
q 1 Controlar e classifcar os recursos computacionais disponveis.
1 Estabelecer controles de acesso lgico e fsico.
1 Administrar os recursos computacionais segundo os requisitos de segurana.
1 Auditar a segurana periodicamente.
O controle e a classifcao dos recursos computacionais da organizao so relevantes.
A classifcao efetuada de acordo com as condies crticas do recurso para os negcios.
Em particular, deve-se associar cada recurso a um responsvel direto na organizao.
Recomenda-se a implantao de controles de acesso lgico e fsico que estabeleam os
limites de acesso, estes controlados por dispositivos de controle de entrada e sada. Quanto
aos recursos computacionais e demais ativos da organizao, importante administr-los
segundo os requisitos vigentes de segurana da informao.
A auditoria de segurana da informao deve ser uma atividade peridica na organizao, a fm
de verifcar se a poltica de segurana est sendo efciente e se h necessidade de atualizaes.
81

C
a
p
t
u
l
o

4

-

P
o
l
t
i
c
a

d
e

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o
Boas prticas para escrever o texto da poltica
q 1 Defnir o objetivo do documento.
1 Usar textos curtos e objetivos, escritos na linguagem do pblico da organizao.
1 Defnir papis e responsabilidades.
1 Evitar o uso de termos tcnicos ou em lngua estrangeira.
1 Evitar o uso de no.
1 Evitar o uso de exceto ou em princpio.
1 Criar na poltica um item para as defnies e conceitos.
1 Penalizao. Utilizar a colaborao do Jurdico e do RH.
1 Criar regras e recomendaes factveis de serem aplicadas e cumpridas.
1 Atentar para a correo gramatical. Evitar grias e termos de duplo sentido.
1 Solicitar que o Jurdico da organizao avalie.
1 Defnir o objetivo do documento: descrever qual o objetivo do documento e o que a orga-
nizao deseja comunicar com o documento da poltica;
1 Usar textos curtos e objetivos, escritos na linguagem do pblico da organizao. Seja
claro na mensagem que deseja passar, de tal forma que o texto seja entendido por todos.
Seja explcito e no deixe dvidas ou incertezas;
1 Defnir papis e responsabilidades com relao poltica de segurana;
1 Evitar o uso de termos tcnicos ou em lngua estrangeira. Ningum obrigado a conhecer
a terminologia tcnica que no da sua rea de atuao;
1 Evitar o uso de no. Caso necessrio utilizar proibido, negar, vedado, entre
outras;
1 Evitar o uso de exceto ou em princpio. Esses termos deixam a abertura para des-
culpas por no cumprimento;
1 Criar na poltica um item para as defnies e conceitos. Defnir no incio do documento
todos os conceitos, defnies, termos tcnicos e siglas que sero empregados nas pol-
ticas;
1 Penalizao. Defnir as possveis penalidades para aqueles usurios que no cumprirem a
poltica. Utilizar a colaborao do Jurdico e do RH;
1 Criar regras e recomendaes factveis de serem aplicadas e cumpridas por toda a orga-
nizao e em todos os nveis hierrquicos;
1 Atentar para a correo gramatical. As polticas devem ser exemplo da apresentao
escrita da linguagem. Evitar grias e termos de duplo sentido;
1 Solicitar que o Jurdico da organizao avalie e aponha o seu de acordo.
82

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

-

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Diretrizes para elaborao de poltica de segurana da informao e comunicaes
nos rgos e entidades da APF
O DSIC publicou em 30 de junho de 2009 a norma complementar 03/IN01/DSIC/GSIPR, que
apresenta as diretrizes para a elaborao das polticas de segurana da informao para a
Administrao Pblica Federal (APF), do Departamento de Segurana da Informao e Comu-
nicaes (DSIC) do Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR).
q Na norma complementar 03/IN01/DSIC/GSIPR consta como deve ser a elaborao da
poltica na APF, recomendando itens a serem contemplados (5.3 da norma comple-
mentar). importante observar que ela institui:
1 Gestor de Segurana da Informao e Comunicaes do rgo ou entidade da APF;
1 Comit de Segurana da Informao e Comunicaes do rgo ou entidade da APF;
1 Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais do rgo ou
entidade da APF.
fundamental a
leitura do documento
na ntegra, que deve
ser acessado em:
http://dsic.planalto.gov.
br/documentos/
nc_3_psic.pdf
w
83

C
a
p
t
u
l
o

4

-

P
o
l
t
i
c
a

d
e

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o
Atividade 4.1 Entendendo a poltica de segurana da informao
Segundo a norma NBR ISO/IEC 27002:2013, qual o objetivo de controle da poltica de segu-
rana da informao?
Segundo a norma NBR ISO/IEC 27002:2013, quais as diretrizes para a implementao de uma
poltica de segurana?
Atividade 4.2 Elaborando uma poltica de segurana da informao
Voc foi designado(a) para apresentar uma proposta de poltica de segurana para o servio
de correio eletrnico na sua instituio. Descreva e justifque as etapas que adotar para
concluir uma proposta:
Quem dever aprovar sua proposta? Justifque sua resposta.
84

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

-

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Atividade 4.3 Implementando uma poltica de segurana
Qual a atividade essencial aps a concluso e aprovao da poltica?
Apresente a sua justifcativa.
Atividade 4.4 Desenvolvendo uma poltica de segurana na sua organizao
Como responsvel pela rea de TI, voc foi designado(a) para compor o Comit de Segu-
rana da Informao da sua organizao. O comit atualmente est fazendo a reviso de
alguns textos de polticas de segurana.
1. Analise os textos da poltica a seguir, aponte os erros existentes e reescreva-os:
a. Os usurios no devem empregar clientes de Internet Service Provider (ISP) e linhas
dial-up para acessar a internet com os computadores da organizao X. Toda atividade
de acesso internet deve passar atravs dos frewalls da organizao X, de modo que os
controles de acesso e os mecanismos de segurana possam ser aplicados.
b. Um documento que possua informao classifcada como secreta ou altamente conf-
dencial nunca pode ser enviada a uma impressora da rede sem que l esteja uma pessoa
autorizada para proteger sua confdencialidade durante e aps a impresso.
85

C
a
p
t
u
l
o

4

-

P
o
l
t
i
c
a

d
e

s
e
g
u
r
a
n
a

d
a

i
n
f
o
r
m
a
o
c. Os geradores secundrios e backup de energia devem ser empregados onde seja neces-
srio para assegurar a continuidade dos servios durante falhas ou falta de energia eltrica.
2. Em uma reunio do comit, foi perguntado a voc, como especialista no assunto, que
apresentasse quais devem ser as primeiras polticas de segurana a serem trabalhadas e
desenvolvidas. Qual a sua resposta? Justifque.
86

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o

-

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
87

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
5
Gesto de riscos
Entender, descrever e avaliar o processo de gesto de riscos.

Defnio de gesto de riscos, anlise/avaliao de risco e aceitao, tratamento
e comunicao de riscos.

Definies
q 1 Risco.
1 Gesto de riscos.
1 Anlise de riscos.
1 Avaliao de riscos.
1 Aceitao de riscos.
1 Tratamento de riscos.
1 Comunicao de riscos.

Gesto de riscos
O que risco para voc?
O que voc entende por gesto de riscos?
Risco de segurana uma combinao de ameaas, vulnerabilidades e impactos. Ameaas
so eventos que exploram vulnerabilidades (fragilidades) e podem causar danos. O impacto
a consequncia de uma vulnerabilidade ter sido explorada por uma ameaa.
No tocante gesto de riscos, algumas defnies so consideradas importantes e so apre-
sentadas a seguir:
1 A gesto de riscos compreende todas as aes tomadas para controlar os riscos em uma
organizao, incluindo anlise/avaliao, tratamento, aceitao e comunicao dos riscos;
88

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 A anlise de riscos identifca e estima riscos, considerando o uso sistemtico de infor-
maes. Engloba a anlise de ameaas, vulnerabilidades e impactos, e considerada o
ponto-chave da poltica de segurana da informao de uma organizao;
1 A avaliao de riscos compara o risco estimado na anlise com critrios predefnidos,
objetivando identifcar a importncia do risco para a organizao;
1 A aceitao de riscos engloba o levantamento do nvel aceitvel de riscos para uma orga-
nizao de acordo com seus requisitos especfcos de negcio e segurana;
1 O tratamento de riscos corresponde seleo e implementao de medidas para modi-
fcar um dado risco.
A comunicao de riscos envolve as iniciativas de divulgao dos riscos aos funcionrios,
dirigentes e terceiros (estes ltimos, quando cabvel e necessrio).
Questes determinantes
q 1 Identifcar ameaas.
1 Identifcar impactos.
1 Determinar a probabilidade de concretizao de ameaas.
1 Entender os riscos potenciais.
1 Classifcar os riscos:
2 Por nvel de importncia.
2 Por grau de severidade das perdas.
2 Por custos envolvidos.
Para realizar uma efetiva gesto de riscos, preciso levantar, inicialmente, as ameaas e
impactos, a probabilidade de concretizao de ameaas e os riscos potenciais. recomen-
dvel classifcar os riscos segundo os critrios: nvel de importncia, grau de severidade de
perdas e custos envolvidos com a preveno ou recuperao aps desastres.
Se o custo para a preveno de uma ameaa for maior que seu dano potencial, aconse-
lhvel considerar outras medidas. As decises devem ser tomadas considerando-se a impor-
tncia do ativo ameaado para a continuidade dos negcios da organizao.
Observe que a anlise de ameaas e vulnerabilidades procura identifcar a probabilidade de
ocorrncia de cada evento adverso e as consequncias do dano causado, enquanto a anlise
de impactos deve identifcar os recursos crticos para a organizao, isto , aqueles que mais
sofrero com os danos.
Uma vez que bastante difcil defnir com preciso a probabilidade de uma ameaa ocorrer
e os respectivos danos causados, recomenda-se estabelecer uma lista de ameaas poten-
ciais, de recursos impactados, de requisitos de segurana afetados e grau de impacto
(por exemplo, altssimo, alto, moderado, baixo e muito baixo).
Gesto de riscos
q Implementar em trs nveis:
1 1
o
nvel Tecnologia.
1 2
o
nvel Processos.
1 3
o
nvel Pessoas.
89

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

Conhecimento Educao Mudana de conduta Preveno dos riscos Informao
A gesto de riscos deve considerar os trs nveis a seguir para sua implementao: tecnolo-
gias, processos e pessoas. A tecnologia garante a adequao tcnica necessria ao trata-
mento adequado dos riscos; os processos asseguram que as atividades que compreendem a
gesto de riscos sejam consideradas de forma sistemtica; e, por fm, as pessoas, de modo
que os funcionrios e dirigentes identifquem suas responsabilidades, conheam os riscos e
possam ajudar no sentido de sua reduo e controle. Instrumentos como a poltica de
segurana da informao e um cdigo de conduta so recomendados no contexto.
Em termos das medidas de segurana, recomenda-se ateno para as seguintes categorias:
preventivas, em carter estrutural (por exemplo, uma poltica formal de controle de acesso
lgico); corretivas, em carter emergencial (planos de contingncia, por exemplo); e orienta-
tivas, em carter educacional (treinamentos, cartilhas, palestras etc.).
Em particular, lembre-se de que a orientao e a informao so essenciais para a reduo
de riscos. Portanto, atente para a importncia do seguinte fuxo de gesto de riscos: infor-
mao conhecimento mudana de conduta educao preveno dos riscos.
Gesto de riscos
Quais os trs nveis a considerar na gesto de riscos?
Anlise e avaliao de riscos
q 1 O que proteger?
1 Quais as vulnerabilidades e ameaas?
1 Como analisar?
2 Anlise de impacto.
2 Probabilidades de ameaa.
2 Matriz de relacionamentos.
2 Clculo dos riscos.
2 Avaliao de riscos.
Neste tpico, sero apresentados os aspectos relevantes para a anlise/avaliao de riscos
nas organizaes. Em especial, sero apresentadas algumas classifcaes para as anlises
de impacto, defnio de probabilidades e clculos de riscos.
q Identifca, quantifca/qualifca e prioriza os riscos de segurana da informao.
Essencial para:
1 Gesto de riscos.
1 Proposio de medidas de segurana adequadas.
Figura 5.1
Sequncia para
a mudana
de conduta e
preveno dos
riscos.
90

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Consideraes:
1 Devem ser sistemticas.
1 Devem usar mtodos especfcos.
1 Devem ser realizadas periodicamente.
A anlise/avaliao de riscos envolve a identifcao, quantifcao e qualifcao dos riscos
de segurana da informao, tendo como base os objetivos da organizao. Envolve ainda
a priorizao de riscos, considerando os critrios de riscos aceitveis. uma atividade que
indica como proceder para assegurar uma adequada gesto de riscos de segurana da infor-
mao e um apropriado conjunto de medidas de segurana para a organizao em questo.
Algumas consideraes quanto anlise/avaliao de riscos devem ser contempladas:
1 Devem ser realizadas de modo sistemtico, com o objetivo de identifcar os riscos
(anlise) e qualifcar os riscos (avaliao). A anlise de riscos mede ameaas, vulnerabili-
dades e impactos em determinado ambiente, a fm de guiar a adoo de medidas apro-
priadas aos negcios e aos requisitos de segurana da organizao;
1 Devem usar mtodos especfcos que permitam a comparao entre resultados obtidos,
bem como sua reproduo;
1 Devem ser realizadas periodicamente, ou sempre que os requisitos de segurana, ativos,
vulnerabilidades e/ou objetivos de negcio sofrerem alguma mudana.
Analisando os riscos
q Considerar:
1 Danos causados por falhas de segurana.
1 Probabilidade de falhas ocorrerem.
Questes relevantes:
1 O que proteger?
1 Como analisar?
Resultado:
1 Dados que guiam a gesto de riscos.
Na anlise de riscos, deve-se considerar os danos provveis aos negcios, resultantes de
falhas de segurana; a probabilidade de falhas ocorrerem frente s vulnerabilidades e
ameaas existentes; e as medidas de segurana implementadas (quando for o caso) de forma
que, ao fnal, sejam levantados os dados necessrios a uma adequada gesto de riscos.
Nesse sentido, algumas questes devem ser respondidas:
1 O que proteger?
1 Como analisar?
A resposta a essas questes essencial para a execuo e gerao de resultados na anlise
de riscos.
91

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

O que proteger?
q Deve-se analisar as ameaas e vulnerabilidades antes. Ativos tpicos:
1 Hardware.
1 Software.
1 Dados.
1 Pessoas.
1 Documentos.
1 Sistemas de informao.
1 Valores intangveis.
1 Contratos etc.
Nesta fase, devem ser considerados todos os ativos envolvidos no escopo do SGSI da orga-
nizao, em especial aqueles diretamente relacionados aos objetivos de negcios. Portanto,
trata-se de uma fase que no pode ser subjetiva, isto , recomenda-se fazer um levantamento
cuidadoso dos ativos, levando-se em conta parmetros e categorias de seleo, por exemplo.
Em particular, deve-se analisar antes as ameaas e vulnerabilidades dos ativos que se quer
proteger, de modo que sejam levantados todos os eventos adversos que possam, porven-
tura, explorar as fragilidades de segurana da organizao, causando danos.
So exemplos de ativos considerados cruciais aos negcios da organizao: hardware,
software, dados, pessoas, documentos, sistemas de informao, contratos, entre outros.
O que proteger
Cite exemplos de ativos crticos na sua organizao.
Vulnerabilidades e ameaas
q 1 Determinar as vulnerabilidades e ameaas aos ativos a proteger.
1 Determinar o impacto.
1 Considerar:
2 Compromisso com a informao.
2 Confdencialidade.
2 Integridade.
2 Disponibilidade.
Aps identifcar os ativos que devem ser protegidos na organizao, deve-se levantar as
probabilidades de cada ativo estar vulnervel a ameaas. Para tanto, deve-se atentar para
o compromisso com as informaes, criando listas de prioridade, por exemplo; e para o
comprometimento potencial de servios de segurana, tais como confdencialidade,
integridade e disponibilidade.
92

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Exemplos de ameaas tpicas:
1 Desastres naturais.
1 Falhas no fornecimento de energia eltrica.
1 Roubo.
1 Ameaas programadas.
1 Falhas de hardware.
1 Falhas de software.
1 Erros humanos.
A seguir, so apresentadas algumas ameaas tpicas em ambientes de TI:
1 Desastres naturais que afetam a instalao fsica da organizao. Durante o desastre, os
controles de acesso fsico podem ser comprometidos e alguns recursos com informaes
confdenciais podem ser violados com facilidade;
1 Falhas no fornecimento de energia eltrica, que afetam parte do hardware da organizao.
Com o hardware danifcado, os servios tornam-se indisponveis;
1 Ameaas programadas, como vrus e bombas lgicas, que afetam softwares. Com isso,
cdigos no autorizados podem revelar ao mundo externo informaes confdenciais,
tais como senhas;
1 Falhas de hardware. Com isso, o equipamento comprometido pode ser enviado para
manuteno sem o cuidado prvio de apagar informaes confdenciais nele contidas;
1 Falhas de software, corrompendo dados;
1 Erros humanos que afetam qualquer sistema da organizao, permitindo, assim, a reve-
lao de informaes confdenciais; por exemplo, imprimir informaes confdenciais em
uma impressora pblica.
q Analisar considerando:
1 Custos.
1 Nvel de proteo requerido.
1 Facilidades de uso.
A anlise de risco pode ser:
1 Qualitativa.
1 Quantitativa.
A anlise de riscos deve medir as ameaas, vulnerabilidades e impactos de modo que o
resultado possa servir como guia para a adoo de medidas de segurana adequadas aos
requisitos de negcio da organizao, considerando-se, para tanto, custos associados, nvel
de proteo requisitado pelos ativos e facilidades de uso.
Em particular, pode-se considerar a anlise de risco sob termos qualitativos, objetivando
atender aos requisitos de negcio, ou sob termos quantitativos, com o intuito de assegurar
que os custos com medidas preventivas, corretivas e orientativas no ultrapassem o valor do
ativo em questo, no que se refere ao patrimnio da organizao e tambm continuidade
dos negcios.
93

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

Tipo de dado Classificao Importncia
Resultado clnico Pesquisa Alto
Pesquisa de mercado Pesquisa Baixo
Patentes dependentes Proprietria Alto
Memorandos Administrativo Baixo
Salrios de empregados Financeira Mdio
Caracterstica de novo produto Proprietria Mdio
No exemplo, considerou-se o ativo Dados e, ainda, os objetivos de negcio de determinada
organizao para estabelecer uma classifcao dos dados (administrativa, fnanceira,
cliente, pesquisa, proprietria) e a devida importncia atribuda a cada categoria.
Anlise de impactos
q Pode considerar o impacto em curto e longo prazo. Exemplo de classifcao:
1 0 irrelevante.
1 1 efeito pouco signifcativo.
1 2 sistemas no disponveis por determinado perodo.
1 3 perdas fnanceiras.
1 4 efeitos desastrosos, sem comprometimento dos negcios.
1 5 efeitos desastrosos, comprometendo os negcios.
Impacto a consequncia de uma ameaa quando ela ocorre. Sendo assim, por exemplo,
considerando controles de acesso inadequados, podemos citar impactos como a alterao
no autorizada de dados e aplicativos, e a divulgao no autorizada de informaes, que,
por sua vez, causam problemas diretos organizao. Sendo assim, importante analisar
os impactos, visando uma adequada gesto de riscos na organizao.
Para analisar impactos, pode-se considerar uma proposta de classifcao especfca de
apoio. Tipicamente, os impactos causados por ameaas organizao so analisados sob
dois aspectos: curto e longo prazo, considerando o tempo em que um dado impacto perma-
nece afetando os negcios.
Neste contexto, pode-se considerar a seguinte proposta para categorizar impactos:
1 0, impacto irrelevante;
1 1, efeito pouco signifcativo que no afeta a maioria dos processos de negcios da instituio;
1 2, sistemas no disponveis por determinado perodo de tempo, podendo causar perdas
de credibilidade e imagem comercial, alm de pequenas perdas fnanceiras;
1 3, perdas fnanceiras de maior vulto e perda de clientes;
1 4, efeitos desastrosos, mas que no comprometem a sobrevivncia da organizao;
1 5, efeitos desastrosos que comprometem a sobrevivncia da organizao.
Tabela 5.1
Exemplo para
dados de
determinada
organizao.
94

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Anlise de impacto
Explique o que uma anlise de impacto.
Matriz de relacionamentos
Ameaas Impacto Probabilidade
Erros humanos
Instalao de hardware e software no autorizados
Cdigos maliciosos
Bugs dos Sistemas Operacionais
Invaso
Desastres naturais
Desastres causados por pessoas
Falhas em equipamentos
Sabotagem
Grampo telefnico
Monitoramento de trfego na rede
Modificao de informaes
Acesso a arquivos de senhas
Uso de senhas frgeis
Usurios internos praticando atos ilegais
A matriz de relacionamentos um modo simplifcado de visualizao das ameaas, impactos
e probabilidades de acordo com o exemplo proposto, isto , relacionando, para cada ameaa
potencial na organizao, seu impacto e probabilidade de ocorrncia. Por exemplo, podem
ser utilizadas as categorias de 0 a 5 para cada item, conforme apresentado anteriormente.
Matriz de relacionamento
Preencha a tabela anterior de Ameaas x Impacto x Probabilidade com valores de 0 a 5, de
acordo com o ambiente de TI da sua organizao.
Tabela 5.2
Ameaas x
Impactos x
Probabilidades.
95

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

Clculo dos riscos
q 1 Riscos so calculados a partir da relao entre impacto e probabilidade de ocorrncia.
1 Considerando as propostas de classifcao anteriores:
2 0 (valor mnimo), nenhum risco.
2 25 (valor mximo), risco altssimo.
1 Quanto maior o risco, maior a importncia de se aplicar uma medida de segurana
especfca.
Riscos so calculados a partir da relao entre impacto e probabilidade de ocorrncia, ou
seja, risco = impacto * probabilidade.
Em particular, considerando as classifcaes propostas para impacto e probabilidade ante-
riormente apresentadas, ao efetuar a multiplicao, obtm-se uma faixa de valores para o
risco de 0 (nenhum risco) at 25 (risco altssimo). Pode-se, ento, considerar essa proposta
geral, por exemplo, para calcular os riscos gerais da organizao e propor medidas de segu-
rana adequadas a seu devido tratamento, considerando, para tanto, um nvel aceitvel de
riscos, j que nem todos os riscos, devido aos custos, tm a garantia de serem reduzidos por
meio de medidas de segurana.
Avaliao de riscos
q Modos:
1 Qualitativo.
1 Quantitativo.
Conhecer os impactos relevante.
Ao avaliar riscos, procura-se uma base que sirva para efeitos de comparao; por exemplo, anlise
e avaliao de riscos efetuadas em pocas anteriores. O conhecimento prvio de impactos e pro-
babilidades de riscos sempre relevante para uma avaliao adequada e completa.
Por outro lado, h basicamente dois modos de realizar a avaliao de riscos:
1 Qualitativo: a avaliao de riscos atravs da estimativa qualitativa aquela que utiliza
atributos qualifcadores e descritivos para avaliar. No so atribudos valores fnanceiros.
considerada muito subjetiva. Exemplo: Alto, Mdia, Baixa e Muito Baixa;
1 Quantitativo: a avaliao de riscos atravs da estimativa quantitativa aquela que utiliza
valores numricos fnanceiros para cada um dos componentes coletados durante a iden-
tifcao dos riscos. Exemplo: probabilidade de 50%; impacto: R$ 100.000,00.
Nos exemplos a seguir so mostradas duas anlises de riscos realizadas no mesmo
ambiente, mas com formas diferentes de clculo do risco. Observe os critrios utilizados em
cada uma.
Exemplo 1 Anlise de risco
Numa determinada instituio de ensino foi determinado que a rea de TI realizasse
um levantamento de riscos da rede administrativa em trs departamentos: Engenharia,
Financeiro e Administrativo. Para tanto, foi utilizado como metodologia o conceito de riscos
como resultado da probabilidade vezes o impacto, tendo como parmetros qualitativos alto,
mdio e baixo, com pesos atribudos a cada um para o clculo do risco. Aps realizar a etapa
de anlise de riscos, voc realizou a avaliao dos riscos, chegando ao resultado a seguir:
96

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
rea
Probabilidade de ocorrer Impacto caso ocorra Risco = P x I
Avaliao Peso Avaliao Peso Peso Avaliao
Departamento
de Engenharia
Mdia 2 Mdio 2 4 Mdio
Departamento
Administrativo
Mdia 2 Baixo 1 2 Baixo
Departamento
Financeiro
Mdia 2 Alto 3 6 Alto
Critrio de Probabilidade Peso
Alta Tem ocorrido com frequncia mensal 3
Mdia Ocorreu pelo menos uma vez nos ltimos seis meses 2
Baixa No existe registro/ histrico de ocorrncia 1
Critrio Impacto Peso
Alto Caso ocorra, causar grandes prejuzos financeiros 3
Mdio
Na ocorrncia seus prejuzos, causaro impacto financeiro de
at R$ 10 mil
2
Baixo Na ocorrncia seus prejuzos, no causaro impacto financeiro 1
Risco
Alto >4
Mdio >2 e <=4
Baixo <=2
Exemplo 2 Anlise de risco
Numa determinada instituio da rea de ensino, foi determinado que a rea de TI realizasse
um levantamento de riscos da rede administrativa em trs departamentos: Engenharia,
Financeiro e Administrativo. Para tanto, foi utilizada uma metodologia desenvolvida por uma
consultoria que calcula os riscos da instituio atravs de uma frmula que se utiliza de
parmetros como criticidade, disponibilidade, confdencialidade entre outros. Aps realizar a
etapa de anlise de riscos, voc realizou a avaliao dos riscos, chegando ao resultado a seguir:
rea
Criticidade
da rede
Disponibilidade
da rede
Confidencialidade
da rede
Importncia
da rede
EO ED RR
Departamento
de Engenharia
2 3 1 6 0,1 0,3 3,8
Departamento
Administrativo
2 3 2 12 0,5 0,5 3
Departamento
Financeiro
2 3 3 18 0,3 0,3 8,8
Tabela 5.3
Resultado da
avaliao de riscos.
Tabela 5.4
Critrio de
probabilidade
utilizado.
Tabela 5.5
Critrio de impacto
utilizado.
Tabela 5.6
Critrio de risco
utilizado.
Tabela 5.7
Resultado da
avaliao de riscos.
97

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

Valores para Criticidade, Disponibilidade e Confidencialidade
Qual a criticidade desta rede para o negcio da rea? Qual a importncia do requisito
Disponibilidade ou Confidencialidade para a segurana da rede na rea?
Alta 3
Mdia 2
Baixa 1
Valores de EO e ED
Muito baixo 0,1
Baixo 0,3
Moderado 0,5
Alto 0,7
Muito Alto 0,9
Convenes
IR Importncia da rede. Qual a importncia da rede para os negcios?
EO Evitar a ocorrncia. Qual a probabilidade atual de evitar a ocorrncia.
ED Evitar a degradao. Qual a possibilidade atual de evitar a degradao.
RR Risco relativo IR*[(1-EO)*(1-ED)] Clculo do risco nesta metodologia.
Para o exemplo apresentado, o ativo analisado a rede da organizao. Como pode ser
visto, algumas convenes foram utilizadas para mapear a importncia de servios espec-
fcos de segurana, tais como disponibilidade, integridade e confdencialidade em uma
anlise, e na outra apenas a probabilidade e o impacto. Ao fnal, o resultado expresso foi
gerado a partir da proposta para a medio de riscos naquela organizao.
q Determina os critrios para indicar se um risco aceitvel. Aspectos a considerar:
1 Requisitos legais e de segurana.
1 Objetivos organizacionais.
1 Custo x benefcio.
Essa uma atividade que objetiva determinar os critrios a considerar para indicar se um
risco aceitvel ou no para a organizao.
Um risco considerado aceitvel quando, por exemplo, aps a avaliao, considerado
baixo ou seu tratamento representa custos inviveis para a organizao.
Para determinar se um risco aceitvel ou no, alguns aspectos devem ser levados em conta:
1 Requisitos legais, regulamentares, contratuais e de segurana;
1 Objetivos de negcio;
1 Relao custo x benefcio para a aquisio/implementao de medidas de segurana em
relao aos riscos que devem ser reduzidos.
Tabela 5.8
Valores dos
critrios para
Criticidade,
Disponibilidade e
Confdencialidade.
Tabela 5.9
Valores para evitar
a ocorrncia e a
degradao.
Tabela 5.10
Convenes
utilizadas.
98

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Avaliao de riscos
O que e como deve ser determinado o risco aceitvel?
Tratamento de riscos de segurana
q 1 Compreende a colaborao entre partes:
2 Dirigentes, funcionrios, auditores, consultores etc.
1 Objetivos:
2 Aprovar metodologias e procedimentos de segurana da informao.
2 Assegurar a conformidade com a poltica de segurana.
2 Coordenar a implantao de controles.
2 Educar para a segurana da informao.
Aps a anlise, avaliao e defnio dos critrios aceitveis para os riscos na organizao,
deve-se indicar o procedimento para tratar os riscos. Entre as alternativas de tratamento,
destacam-se:
1 Selecionar e implementar medidas de segurana adequadas para reduzir os riscos a um
nvel aceitvel (de acordo com os critrios defnidos na Aceitao de riscos);
1 Implementar medidas preventivas contra riscos, no permitindo que as vulnerabilidades
sejam exploradas para a concretizao do risco;
1 Transferir os riscos para terceiros atravs de contratos com seguradoras, por exemplo.
Vale lembrar que os riscos de segurana variam de acordo com o local (cenrio ou contexto) e, com
isso, importante considerar tal fato ao determinar as medidas de segurana mais adequadas.
Ateno para a aplicao de medidas de segurana, pois, dependendo da organi-
zao, estas podem ser inviveis. Por exemplo, aplicar registros (logs) para todas as
atividades dos usurios pode ir de encontro legislao vigente e privacidade das
pessoas em seu ambiente de trabalho.
Vale ressaltar ainda que monitorar, avaliar e propor melhorias regularmente nas medidas de
segurana e, por consequncia, no tratamento de riscos, uma prtica recomendada para
aumentar a efccia da gesto de riscos na organizao.
Tratamento de riscos de segurana
Quais os objetivos do tratamento de riscos?
99

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

q Aspectos importantes no tratamento de riscos:
1 Metodologias e procedimentos de segurana da informao.
1 Conformidade com a poltica de segurana.
1 Medidas de segurana:
2 Corretivas.
2 Preventivas.
2 Orientativas.
O tratamento de riscos uma atividade a ser realizada aps a anlise/avaliao de riscos da
organizao, com o objetivo de auxiliar na reduo dos riscos at um nvel aceitvel. Sendo
assim, o uso de procedimentos e medidas de segurana deve ser implementado nessa ativi-
dade, sejam medidas preventivas, corretivas ou orientativas.
Vale salientar que quaisquer medidas que envolvam monitoramento regular de pessoas e/
ou sistemas devem ser implementadas conforme a legislao vigente.
q Deve-se ainda atentar durante a fase do tratamento do risco para segmentos importantes
para que sejam implementados controles e que devem constar do escopo do tratamento:
1 Recursos humanos.
1 Controles de acesso lgico.
1 Controles de acesso fsico.
1 Controles ambientais.
1 Comunicaes.
1 Continuidade de servios.
1 Contratao de servios de terceiros.
1 Controle organizacional.
1 Controle de mudanas.
Em termos de tratamento de riscos de segurana, algumas reas so consideradas essen-
ciais organizao na garantia de seus objetivos de negcio. Destacam-se, entre tais reas,
preocupaes com riscos, impactos e devido tratamento para Recursos Humanos, segu-
rana de acesso e de comunicaes, alm dos negcios.
q 1 Segurana de Recursos Humanos.
1 Segurana de acesso.
1 Segurana nas comunicaes.
1 Segurana e negcios.
Tratamento de riscos
Quais as reas essenciais da sua organizao na garantia dos seus objetivos de negcio?
100

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Neste tpico, sero apresentados vrios exemplos de riscos, impactos e tratamentos
adequados para assegurar que as organizaes contemplem a segurana em termos de
recursos humanos, controles de acesso, comunicaes e negcios.
Vale ressaltar que h outras preocupaes relevantes em relao a riscos e impactos de
segurana nas organizaes; outras informaes sobre anlise de riscos podem ser obtidas
na norma ABNT NBR ISO/IEC 27005:2011 e aplicadas, independentemente do ramo de negcio
das organizaes. Essa norma estudada em detalhes no curso Gesto de Riscos em TI.
Tratamento de riscos na segurana de Recursos Humanos
q As pessoas devem ter conscincia de suas responsabilidades e dos riscos e ameaas de
segurana. Deve-se ainda atentar para eventos adversos que representem riscos.
Uma prtica boa e recomendada para minimizar os riscos de segurana nas organizaes
educar, conscientizar e treinar (quando for necessrio) os recursos humanos: funcionrios,
terceiros, parceiros etc. Em particular, algumas prticas tambm auxiliam a atingir tal objetivo:
1 Assegurar que as pessoas conheam, entendam e respeitem suas responsabilidades
para com a reduo de riscos de segurana da organizao, especialmente, em termos de
roubos, fraudes e mau uso de recursos e informaes;
1 As pessoas devem estar conscientes de que importante notifcar seus superiores a
respeito de quaisquer eventos adversos que representem riscos (potenciais ou reais)
segurana da organizao;
1 As pessoas devem conhecer as possveis ameaas e riscos de segurana, de forma que
entendam seu papel quanto segurana da informao na organizao. De modo especial,
todos devem efetuar suas aes em conformidade com a poltica de segurana vigente,
reduzindo, assim, a ocorrncia de erros humanos e, consequentemente, os riscos.
Tratamento de riscos na segurana de recursos humanos
Quais medidas voc ir propor para o tratamento de riscos de segurana de recursos
humanos na sua organizao?
Tratamento de riscos na segurana de acesso
q 1 Atentar para os fatores de risco.
1 Considerar a anlise/avaliao de riscos:
2 Defnir permetros de segurana.
2 Proteger equipamentos e dispositivos de armazenamento.
2 Minimizar riscos de corrupo de sistemas operacionais.
2 Reduzir riscos de ameaas fsicas.
1 Educao e conscientizao so cruciais.
101

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

Ao considerar a segurana de acesso, inicialmente relevante a preocupao com fatores de
risco para o contexto, tais como as responsabilidades atribudas a funcionrios e terceiros, o
valor dos ativos acessveis e os direitos sobre o encerramento de atividades, por exemplo.
Nas organizaes, o nvel de proteo requerido pelos diversos controles de acesso
determinado em funo da anlise/avaliao de riscos. Sendo assim, deve-se atentar para
os resultados obtidos com tal atividade para determinar medidas adequadas de segurana
com o objetivo, por exemplo, de:
1 Defnir os permetros de segurana para a segurana fsica e do ambiente;
1 Proteger adequadamente os equipamentos (internos ou externos s dependncias
da organizao) contra acessos no autorizados, perdas ou danos, perigos do prprio
ambiente, vazamento de informaes, entre outros;
1 Avaliar se adequado destruir determinado dispositivo que armazena informaes cr-
ticas ao negcio da organizao, ou se cabvel envi-lo para conserto em local autori-
zado pelo fabricante do dispositivo;
1 Minimizar os riscos de corrupo de Sistemas Operacionais, como garantir que sua atuali-
zao seja efetuada apenas por pessoas competentes e autorizadas para tal;
1 Reduzir os riscos de ameaas como furtos, incndios, exploses, poeira, efeitos qumicos,
enchentes, falhas no fornecimento de energia eltrica etc.
1 A educao e a conscientizao dos usurios crucial para a segurana da informao,
uma vez que a adequada utilizao de recursos e informaes, como ferramentas de
trabalho, fortalece a cultura de segurana da organizao como um todo.
q Exemplos de riscos relacionados ao controle de acesso lgico inadequado:
1 Alterao no autorizada de dados e aplicativos.
1 Divulgao no autorizada de informaes.
1 Introduo de cdigos maliciosos.
Impactos:
1 Perdas fnanceiras decorrentes de fraudes, restauraes etc.
1 Inviabilidade de continuidade dos negcios.
H uma srie de riscos diretamente relacionados ao controle inadequado de acesso lgico
aos recursos e informaes. Eis alguns exemplos: divulgao no autorizada de informa-
es; modifcaes no autorizadas em dados e aplicativos e introduo de cdigos mali-
ciosos nos sistemas.
Sendo assim, a inexistncia ou inadequao de controles de acesso lgico afeta diretamente
os recursos e informaes, aumentando os riscos. Alm disso, os impactos podem ser
maiores medida que se consideram os aplicativos e informaes crticas aos negcios da
organizao. Caso existam obrigaes legais envolvidas com o controle de acesso lgico, a
organizao poder sofrer aes judiciais.
q Exemplos de tratamentos para um adequado controle de acesso lgico:
1 Restringir e monitorar o acesso a recursos crticos.
1 Utilizar criptografa.
1 No armazenar senhas em logs.
1 Conscientizar os usurios para que no divulguem suas senhas.
1 Conceder acesso apenas aos recursos necessrios s atividades dos funcionrios.
102

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Conforme visto no exemplo anterior, importante considerar medidas de segurana ade-
quadas para efetuar o controle de acesso lgico nas organizaes. Nesse sentido, algumas
prticas so recomendadas:
1 Restrio e monitoramento de acesso a recursos crticos da organizao, tais como servi-
dores, documentos etc;
1 Utilizar criptografa forte, assegurando a confdencialidade das informaes;
1 No armazenar senhas em logs, permitindo o acesso posterior por pessoas no autorizadas;
1 Conscientizar as pessoas para que no divulguem suas senhas, verbalmente ou por
e-mail, nem as armazenem em arquivos;
1 Conceder acesso s pessoas apenas aos recursos realmente necessrios para a execuo
de suas atividades.
q Exemplos de riscos relacionados ao controle de acesso fsico inadequado:
1 Roubo de equipamentos.
1 Atos de vandalismo.
Impactos:
1 Perdas fnanceiras.
1 Facilidades para ataques contra controles de acesso lgico.
H vrios riscos diretamente relacionados ao controle inadequado de acesso fsico nas
organizaes. Alguns exemplos: roubo de equipamentos ou de seus componentes internos
e atos de vandalismo, como cortes de cabos eltricos. Sendo assim, a inexistncia ou ina-
dequao de controles de acesso fsico tambm pode facilitar a atuao de invasores que
atacam diretamente os controles de acesso lgico aplicados aos recursos e informaes.
q Exemplos de tratamentos para um adequado controle de acesso fsico:
1 Identifcar funcionrios e visitantes.
1 Controlar a entrada/sada de equipamentos.
1 Supervisionar a atuao da equipe de limpeza, manuteno e vigilncia.
Conforme visto no exemplo anterior, importante considerar medidas de segurana ade-
quadas para efetuar o controle de acesso fsico nas organizaes. Nesse sentido, algumas
prticas so recomendadas:
1 Estabelecer formas de identifcao capazes de distinguir funcionrios de visitantes;
1 Controlar a entrada e a sada de equipamentos, registrando, por exemplo, data, horrio
e responsvel;
1 Supervisionar as atividades das equipes de limpeza, manuteno e vigilncia,
principalmente se terceirizadas.
q Exemplos de riscos relacionados ao controle ambiental inadequado:
1 Desastres naturais.
Impactos:
1 Danos em equipamentos.
1 Indisponibilidade de servios.
103

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

H vrios riscos diretamente relacionados ao controle ambiental inadequado ou inexistente.
Como exemplos, considere desastres naturais e falhas no fornecimento de energia eltrica.
Os impactos compreendem danos em equipamentos, perdas de dados ou indisponibilidade
de servios, por exemplo, gerando perdas fnanceiras e de imagem comercial.
q Exemplos de tratamentos para um adequado controle ambiental:
1 Uso de material resistente a fogo.
1 Manuteno de nmero sufciente de extintores de incndio.
1 Controle de focos de problemas com gua.
1 Controle de temperatura, umidade e ventilao.
1 Manuteno da limpeza e conservao do ambiente.
Tratamento de riscos na segurana de acesso
Que riscos na segurana de acesso voc identifca dentro do seu ambiente na sua organizao?
Quais medidas voc vai propor para o tratamento de riscos na segurana de acesso na sua
organizao?
Tratamento de riscos na segurana das comunicaes
q 1 Disponibilizar medidas de segurana adequadas s comunicaes.
1 Consideraes:
2 Proteo de conexes a servios de rede.
2 Garantir a segurana para a comunicao wireless.
Para garantir a segurana nas comunicaes, relevante considerar a anlise/avaliao de
riscos, com o intuito de adequar as medidas de segurana aos requisitos de comunicao neces-
srios aos negcios da organizao. A gerncia das comunicaes tambm recomendvel.
Nesse contexto, algumas prticas so recomendadas:
1 Proteger conexes que disponibilizem servios de rede, principalmente aquelas que
operam diretamente com informaes e aplicaes crticas para o negcio da organizao;
1 Identifcar as medidas de segurana adequadas para a comunicao wireless, tais como
autenticao forte e seleo de frequncias;
1 Defnir a periodicidade da reviso dos direitos de acesso rede e seus servios, atribu-
dos a funcionrios, colaboradores, terceiros etc.
104

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Tratamento de riscos na segurana das comunicaes
Quais medidas voc vai propor para o tratamento de riscos na segurana das comunicaes
da sua organizao?
Tratamento de riscos e negcios
q Proteger recursos e informaes para atingir objetivos de negcio. Atentar para:
1 Aplicaes crticas aos negcios.
1 Controlar novos contratos e parcerias.
1 Identifcar necessidades de integridade das mensagens.
1 Estabelecer uma poltica para uso adequado de criptografa.
1 Identifcar e reduzir riscos continuidade de negcios.
A segurana da informao deve ser adequada garantia da proteo aos recursos e
informaes da organizao, segundo seus objetivos de negcio. Nesse contexto, algumas
consideraes devem ser levadas em conta. Por exemplo:
1 Atentar para riscos relacionados diretamente s aplicaes crticas aos negcios, em
termos, principalmente, do uso de recursos e informaes compartilhadas;
1 Controlar adequadamente novas situaes que infuenciem o compartilhamento de infor-
maes e recursos, tais como novos contratos ou parcerias, objetivando o tratamento de
potenciais riscos de acesso no autorizado;
1 Em termos do uso de criptografa, deve-se considerar o tipo e a qualidade de algoritmos
adequados s necessidades. aconselhvel elaborar uma poltica especfca que elucide
o modo correto de uso, reduzindo os riscos de uso inadequado, por exemplo;
1 Todas as mudanas devem ser controladas, e os riscos e impactos envolvidos devem ser
considerados para determinar as medidas de segurana adequadas;
1 Em particular, a gesto da continuidade de negcios deve incluir mecanismos para
identifcar e reduzir riscos, de forma a complementar a anlise/avaliao global de riscos,
auxiliando prontamente processos que necessitem de respostas imediatas.
q Exemplo de risco relativo continuidade de servios:
1 Backup irregular.
Impactos:
Tratamento para a continuidade adequada de servios:
1 Poltica de backup.
1 Conscientizao dos funcionrios.
As cpias de segurana (backups) so uma importante ferramenta de apoio continui-
dade dos servios e, por consequncia, dos negcios; todavia, riscos associados a proce-
dimentos inadequados de backup regular causam impactos como desperdcio de tempo e
recursos, e, por conseguinte, perdas fnanceiras. Sendo assim, medidas como uma poltica
formal de backup e a promoo contnua de treinamento e conscientizao dos funcionrios
105

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

quanto segurana (incluindo orientaes sobre cpias de segurana pessoais) so reco-
mendadas para as organizaes.
q Exemplo de risco relativo contratao de servios de terceiros:
1 No ter certeza de que o terceiro emprega medidas de segurana compatveis.
Impactos:
1 Comprometimento dos negcios.
A seguir so apresentados alguns riscos e impactos diretamente relacionados a problemas
com a contratao de servios de terceiros. Entre os riscos, pode-se destacar a incerteza de
que o terceiro (ou prestador de servio) emprega medidas de segurana compatveis com
aquelas adotadas na organizao, considerando como base todas as normas da organizao.
q Exemplos de tratamento para um adequado controle da contratao de terceiros:
1 Defnir clusulas contratuais que responsabilizem o terceiro por questes de segurana.
1 Defnir clusulas contratuais que possibilitem atualizaes nos servios e sistemas.
Para tratar riscos como os apresentados no exemplo anterior, algumas medidas so reco-
mendadas: instituir clusulas contratuais que defnam claramente as responsabilidades
do terceiro, visando a segurana da organizao, alm de incluir clusulas contratuais que
possibilitem alteraes nos servios e sistemas em funo de novos objetivos de negcio.
Para pensar
Um contrato de prestao de servios deve contemplar, pelo menos, os seguintes
itens: custos bsicos; direitos das partes (ao fnal do contrato); indenizaes no caso
de perdas; direitos de propriedade sobre as informaes; direitos de propriedade
intelectual; repasse de informaes tcnicas e documentaes; possibilidade de
alteraes; padres de segurana da organizao e padres de qualidade.
q Exemplos de clusula contratual de segurana da informao:
Constitui obrigao da CONTRATADA sempre que utilizar sistema com interface com os
sistemas da CONTRATANTE: quando solicitado por escrito pela CONTRATANTE, realizar
prioritariamente as alteraes para sanar possveis problemas de segurana ou de vul-
nerabilidade nos sistemas que tenham sido comunicados pela CONTRATANTE.
Exemplos de riscos relativos ao controle organizacional inadequado:
1 Violaes de acesso no autorizadas.
1 Planejamentos inadequados.
Impactos:
1 Perda de informaes.
1 Desperdcio de investimentos.
O controle organizacional compreende todos os aspectos relativos proteo da organi-
zao, de acordo com seus objetivos de negcio e tendo como base os riscos, como: violao
no autorizada de acesso a recursos e informaes, roubo de equipamentos e planejamento
inadequado do crescimento computacional.
106

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Exemplos de tratamento para um adequado controle organizacional:
1 Defnir responsabilidades para cada cargo da hierarquia organizacional.
1 Atender legislao vigente.
Para o exemplo anterior, algumas recomendaes quanto a medidas de segurana so dire-
tamente aplicveis:
1 Defnir as responsabilidades dos cargos em funo da hierarquia organizacional, de
modo que as atividades sejam devidamente realizadas.
1 Atender legislao vigente e aos requisitos contratuais e regulamentares relativos
segurana na organizao.
q Exemplos de riscos relativos ao controle inadequado de mudanas:
1 Uso de hardware e software no autorizados.
1 Difculdades de manuteno.
1 Mudanas inesperadas e acidentais.
Impactos:
1 Incompatibilidades.
1 Decises equivocadas.
Um controle de mudanas adequado para as organizaes deve contemplar solues para
riscos, tais como:
1 Uso de hardware e software no autorizados;
1 Difculdade de manuteno por falta de documentao e procedimentos especfcos;
1 Mudanas inesperadas ou acidentais.
q Exemplos de tratamento para um adequado controle de mudanas:
1 Documentar as alteraes efetuadas.
1 Avaliar o impacto de mudanas.
1 Defnir procedimentos de emergncia.
1 Planejar mudanas.
Algumas medidas de segurana para um adequado controle de mudanas so propostas a
seguir:
1 Documentar todas as alteraes e atualizaes efetuadas e implement-las apenas com a
devida autorizao;
1 Avaliar o impacto das mudanas antes de implement-las;
1 Defnir o procedimento em situaes de emergncia;
1 Planejar mudanas de modo a minimizar o impacto para o dia a dia da organizao.
107

C
a
p
t
u
l
o

5

-

G
e
s
t
o

d
e

r
i
s
c
o
s

Comunicao de riscos
q 1 Ativos so elementos essenciais ao negcio da organizao.
1 Ativos devem ser inventariados.
1 Todo ativo deve ter um responsvel por manter sua segurana.
Esta atividade engloba todas as aes para a divulgao dos riscos, de forma a informar
e orientar os envolvidos, objetivando, assim, a reduo (e muitas vezes, a eliminao) dos
riscos na organizao.
108

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
109

C
a
p
t
u
l
o

5

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

5
Atividade 5.1 Entendendo os conceitos de gesto de risco
Apresente os conceitos de gesto de risco a seguir e cite exemplos de cada fase:
Fase Conceito Exemplo
Anlise de riscos
Avaliao de riscos
Aceitao de riscos
Tratamento de riscos
Comunicao de riscos
Atividade 5.2 Realizando a gesto de riscos
1. Explique o que uma anlise de impacto.
2. Como calculado o risco? Justifque.
3. Quais so os modos de avaliao de riscos existentes?
110

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
4. Descreva o que signifca tratar o risco.
Atividade 5.3 Realizando a gesto de riscos
1. Descreva as atividades que voc desenvolver na sua organizao para realizar a anlise
de risco. Quais sero os objetivos desta anlise?
2. Considerando as atividades desenvolvidas anteriormente, analise um servidor de aplicao
(ou o processo de controle de acesso fsico) da sua organizao apontando o que se pede:
a. 3 (trs) ameaas.
b. 6 (seis) vulnerabilidades.
c. Probabilidade de cada vulnerabilidade ser explorada (Alta, Mdia ou Baixa).
d. Criticidade do ativo para os negcios da organizao (Alta, Mdia ou Baixa).
111

C
a
p
t
u
l
o

5

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

5
e. Impacto para cada vulnerabilidade se explorada e concretizando a ameaa
(Alta, Mdia ou Baixa).
f. Risco do ativo considerado (utilize os pesos, parmetros e clculo do exemplo anterior).
Atividade 5.4 Realizando a gesto de riscos na sua organizao
1. Apresente as necessidades de gesto de risco para sua organizao. Justifque sua resposta.
2. Escreva um escopo inicial e relacione dois profssionais para compor a equipe de anlise.
Justifque sua resposta.
112

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
113

C
a
p
t
u
l
o

6

-

G
e
r
n
c
i
a

d
e

o
p
e
r
a
e
s

e

c
o
m
u
n
i
c
a
e
s
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
6
Gerncia de operaes e
comunicaes
Descrever responsabilidades, selecionar e aplicar controles e procedimentos da
gerncia de operaes e comunicaes.

Defnio, procedimentos e responsabilidades da gerncia de operaes e comunicaes
e gerncia de segurana de redes.

Gerncia de operaes e comunicaes
Qual o seu entendimento de gerncia de operaes e comunicaes?
Como sua organizao realiza a gerncia de operaes e comunicaes?
Objetivos
q 1 Assegurar que as operaes sejam realizadas de acordo com os requisitos de segurana.
1 Gerenciar os servios terceirizados.
1 Proteger contra cdigos maliciosos.
1 Prover cpias de segurana.
1 Gerenciar a segurana das redes.
1 Controlar o manuseio de mdias.
1 Controlar a transferncia de informaes e softwares.
1 Garantir o monitoramento global de operaes e comunicaes.
A gerncia de operaes e comunicaes destina-se a assegurar que os requisitos de
segurana da informao sejam atendidos, considerando-se a operao dos recursos
computacionais e comunicaes na organizao.
Sendo assim, tal gerenciamento engloba o tratamento de servios terceirizados, a proteo
contra cdigo malicioso, a poltica de cpias empregada, a segurana das redes, mdias
114

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
e transferncia de softwares e informaes, alm do monitoramento global de todos os
aspectos relacionados a operaes e comunicaes na organizao.
Procedimentos e responsabilidades operacionais
q 1 Documentar procedimentos operacionais.
1 Controlar mudanas operacionais.
1 Estabelecer procedimentos para o gerenciamento de incidentes.
1 Segregar responsabilidades.
1 Separar facilidades de desenvolvimento, testes e operao.
No tocante aos procedimentos e responsabilidades operacionais, algumas prticas so con-
sideradas essenciais, com o objetivo de assegurar a adequao das operaes aos requisitos
de segurana da informao da organizao. Tais prticas so detalhadas a seguir:
1 Documentar procedimentos operacionais de modo formal e fexvel (no sentido de permitir
modifcaes, quando necessrias e autorizadas), englobando o tratamento de operaes
de manuteno, manipulao de erros e demais condies adversas, contratos de suporte,
procedimentos de recuperao, gerao de cpias de segurana, entre outros
1 Controlar mudanas operacionais, defnindo responsabilidades gerenciais e, sempre que
praticvel, integrar os procedimentos de controle de mudanas de aplicaes e sistemas
operacionais. relevante manter registros de auditoria, quando mudanas forem efetuadas
1 Estabelecer procedimentos para o gerenciamento de incidentes, como ao para asse-
gurar uma resposta rpida, efetiva e ordenada aos incidentes de segurana
1 Segregar responsabilidades, com o objetivo de reduzir riscos de m utilizao dos sis-
temas, por exemplo, impedindo que uma nica pessoa possa acessar, modifcar ou usar
ativos sem a devida autorizao. Sendo assim, importante separar o gerenciamento de
certas responsabilidades ou reas de responsabilidade, de forma que as possibilidades
de modifcaes no autorizadas sejam reduzidas
1 Separar facilidades de desenvolvimento, testes e operao, indicando um nvel de separao
necessrio para prevenir problemas operacionais, principalmente em termos de acessos
ou modifcaes no autorizadas. Por exemplo, as regras para a mudana do estado de um
software (desenvolvimento para produo) devem ser defnidas e documentadas.
q Exemplo: Tratando responsabilidades operacionais:
1 Os usurios que operam os sistemas de TI da organizao devem assinar um termo de
responsabilidade antes de obter acesso a eles. A assinatura do termo representa que
o usurio entende e concorda com as polticas e normas de segurana e tem conheci-
mento a respeito da legislao vigente e aplicvel aos casos de no cumprimento.
1 No exemplo, apresentada uma regra que faz referncia a um termo de responsa-
bilidade que determina, por sua vez, todas as responsabilidades do usurio quanto
operao adequada dos sistemas de TI da organizao, conforme as polticas e
normas da segurana da informao vigentes e, ainda, determina a aplicao de legis-
lao em caso de no cumprimento.
q 1 Planejamento de capacidade.
1 Homologao.
115

C
a
p
t
u
l
o

6

-

G
e
r
n
c
i
a

d
e

o
p
e
r
a
e
s

e

c
o
m
u
n
i
c
a
e
s
O planejamento prvio importante para garantir os recursos necessrios aos sistemas,
facilitando a sua aprovao na organizao. Nesse contexto, so importantes o planeja-
mento de capacidade e um processo adequado de homologao.
No planejamento de capacidade, atenta-se para as demandas por capacidades futuras, com
o propsito de disponibilizar o poder de processamento e armazenamento adequados aos
requisitos impostos. salutar tambm a preocupao com as tendncias em relao a apli-
caes e sistemas de informao, entre outros aspectos infuenciadores para o contexto.
Quanto homologao, importante identifcar previamente os critrios de aprovao e
aceitao, e os testes adequados para os sistemas. Alguns critrios relevantes: desempenho,
capacidade de processamento, recuperao de erros, planos de contingncia e medidas
de segurana adotadas. Em particular, todos os critrios e premissas considerados para a
homologao devem ser defnidos, acordados, documentados e testados.
Procedimentos e responsabilidades operacionais
Explique a prtica de segregar responsabilidades.
Explique como deve ser o planejamento de capacidade.
Proteo contra softwares maliciosos
q So vrias as possibilidades, como vrus, cavalos de troia, bombas lgicas etc. A pro-
teo deve se basear na conscientizao de segurana, controle de acesso e mudanas.
Algumas prticas:
1 Controle da conformidade com licenas.
1 Controle de riscos associados a arquivos e softwares obtidos via rede.
1 Instalao e atualizao regular de antivrus.
Diante da variedade de softwares maliciosos existentes atualmente, de suma importncia
assegurar controles em relao aos recursos de processamento da informao e softwares nas
organizaes. Algumas prticas podem ser aplicadas ao contexto, como o uso de softwares de
deteco de cdigos maliciosos, antivrus, controle de acesso rgido, um controle adequado
de mudanas, proibio do uso de software no autorizado e cuidados com arquivos e sof-
twares obtidos via rede.
Algumas verifcaes tambm so recomendadas: verifcar a presena de cdigo malicioso nos
arquivos e mdias ticas ou eletrnicas transmitidos via rede, recebidos por correio eletrnico,
pginas web tanto nos servidores como nas estaes de trabalho dos funcionrios da organizao.
q Regras para a proteo contra cdigos maliciosos:
1 No abrir arquivos ou executar programas anexados a e-mails sem antes verifc-los
com um programa de deteco de vrus.
1 No utilizar o formato executvel em arquivos compactados, j que tal formato faci-
lita a propagao de vrus.
1 Utilizar programas de computadores licenciados para uso por parte da organizao,
de acordo com as disposies especfcas estabelecidas em contrato.
116

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
No exemplo, so apresentadas regras aplicveis a qualquer organizao, com o objetivo de
estabelecer recomendaes para a proteo contra cdigos maliciosos e que possam, porven-
tura, causar incidentes de segurana. Em particular, apresenta-se tambm uma regra para a
instalao de programa, como uma medida preventiva instalao de softwares maliciosos.
Proteo contra softwares maliciosos
Cite algumas prticas que podem ser aplicadas para a proteo contra software malicioso.
D exemplos.
Cite algumas regras que possam ser aplicadas na sua organizao.
Cpias de segurana
q 1 Medida para assegurar a integridade e a disponibilidade de ativos.
1 Gerao e recuperao de cpias devem ser testadas.
1 Prticas recomendadas:
2 Documentar procedimentos de recuperao.
2 Defnir o modo e a frequncia adequados ao negcio e segurana da informao.
2 Armazenar cpias em locais remotos.
2 Testar mdias e procedimentos de recuperao.
As cpias de segurana (backups) representam controles cujo objetivo assegurar a inte-
gridade e a disponibilidade de ativos. Nesse contexto, deve-se atentar no apenas para a
gerao das cpias, mas tambm para que a gerao seja regular e testada, e que a recupe-
rao seja efetuada em um tempo aceitvel.
So recomendadas algumas prticas para o tratamento de cpias de segurana:
1 Registrar e documentar os procedimentos de recuperao a partir de cpias de segurana;
1 Defnir o modo (se completo ou incremental) e a frequncia da gerao de cpias, de acordo
com a criticidade dos ativos e os requisitos de negcio e de segurana da organizao;
1 Armazenar as cpias em locais remotos ou distantes o sufciente para no serem afe-
tadas por desastres ocorridos em local especfco da organizao;
1 Identifcar os nveis adequados de proteo fsica e ambiental das cpias;
1 Aplicar testes regulares s mdias usadas na gerao de cpias;
1 Testar regularmente os procedimentos de recuperao.
Os backups devem manter cpias de informaes essenciais ao negcio e devem ser tes-
tados regularmente para satisfazer os requisitos dos planos de continuidade de negcios.
117

C
a
p
t
u
l
o

6

-

G
e
r
n
c
i
a

d
e

o
p
e
r
a
e
s

e

c
o
m
u
n
i
c
a
e
s
Cpias de segurana
Quais os objetivos das cpias de segurana?
Cite algumas prticas que possam ser aplicadas na sua organizao.
Poltica de backups
q 1 Determinada segundo a importncia dos sistemas e informaes.
1 Estratgias podem considerar uma combinao de mtodos.
1 Sistemas crticos devem manter duas cpias de segurana.
1 Essencial ao plano de contingncia da organizao.
Manter backups completos e atualizados um elemento importante para os planos de con-
tingncia da organizao, uma vez que se pode comparar sistemas e dados atuais com os
backups em caso de problemas e, em seguida, efetuar a devida recuperao.
A poltica de backups determinada segundo o grau de importncia dos sistemas e infor-
maes para o negcio da organizao; por isso, estabelece os procedimentos, os testes e
a infraestrutura necessrios proteo do backup, a fm de assegurar a continuidade dos
negcios em casos de desastres ou incidentes de segurana.
Em termos de estratgias, pode-se determinar backups completos ou incrementais
(em um ou mais nveis), com periodicidade varivel segundo a importncia do sistema ou
informao em questo.
Exemplos
q Regras para o tratamento de cpias de segurana:
1 A cada funcionrio cabe efetuar, regularmente, cpias de segurana dos seus dados.
1 Manter registros das cpias de segurana geradas.
1 Guardar as cpias de segurana em local seguro e distinto daquele onde se encontra
a informao original.
No exemplo, so apresentadas regras aplicveis a qualquer organizao, com o objetivo de
estabelecer prticas quanto gerao e manuteno de cpias de segurana.
Poltica de backups
Como deve ser determinada a poltica de backup?
118

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Tratamento de mdias e documentos
q Deve-se usar procedimentos adequados para assegurar a segurana. Algumas prticas:
1 Considerar a classifcao da informao antes de sua manipulao.
1 Controlar acessos.
1 Descartar de modo seguro.
1 Estabelecer regras para mdias em trnsito.
As mdias magnticas (discos, ftas, DVDs/CDs etc.) e documentaes devem ser protegidas
contra ameaas por interrupo, interceptao, modifcao e fabricao. Nesse sentido,
algumas prticas so aplicveis:
1 Considerar a classifcao da informao antes de estabelecer procedimentos e medidas
de segurana para seu processamento, armazenamento e transmisso;
1 Controlar o acesso ao contedo de mdias e documentos;
1 Descartar mdias e documentos de forma segura, tendo como base procedimentos
formais. Por exemplo, utilizando incinerao ou triturao;
1 Para mdias em trnsito, deve-se estabelecer regras claras quanto aos transportadores,
embalagens, modos de entrega (em mos, via postal etc.).
Tratamento de mdias e documentos
Cite duas prticas que devem ser adotadas na sua organizao para o tratamento de mdias
e documentos
Gerncia de segurana das redes
q Deve-se aplicar medidas para garantir a segurana das redes. Algumas prticas:
1 Segregar responsabilidades.
1 Identifcar os requisitos de gerenciamento de servios de rede.
1 Tratar acessos e equipamentos remotos.
1 Aplicar medidas que assegurem a confdencialidade, a integridade e a disponibilidade
dos recursos envolvidos.
importante utilizar medidas adequadas para a segurana das redes nas organizaes, de
acordo com a poltica de segurana e os requisitos legais, contratuais e regulamentares. Para
tanto, recomenda-se considerar as responsabilidades operacionais para com a rede e os proce-
dimentos necessrios (incluindo acessos remotos) para a coordenao de seu gerenciamento.
Algumas prticas so recomendadas para o contexto:
1 Separar as responsabilidades operacionais da rede de outras operaes;
1 Identifcar os requisitos de segurana, nveis de servio e requisitos de gerenciamento
de servios de rede aplicveis organizao (sejam internos ou terceirizados). Servios
de redes englobam, por exemplo, o fornecimento de conexes e solues de segurana,
tais como frewalls;
1 Determinar responsabilidades e procedimentos adequados para o gerenciamento das
redes e equipamentos remotos;
119

C
a
p
t
u
l
o

6

-

G
e
r
n
c
i
a

d
e

o
p
e
r
a
e
s

e

c
o
m
u
n
i
c
a
e
s
1 Aplicar medidas de segurana para garantir a confdencialidade e a integridade dos dados
em trfego e a disponibilidade dos recursos envolvidos nas comunicaes.
Gerncia da segurana das redes
Cite duas prticas que devem ser adotadas na sua organizao para a gerncia da segurana
das redes.
Transferncia de informaes e softwares
q Deve-se proteger todos os recursos envolvidos com transferncias internas e externas.
Algumas prticas:
1 Proteo contra cdigos maliciosos.
1 Defnir regras para o uso seguro de recursos eletrnicos.
1 Estabelecer regras para transferncias sem fo (wireless).
1 Garantir conformidade com a legislao.
1 Atribuir responsabilidades.
Deve-se garantir a segurana em quaisquer modalidades de transferncia (interna ou entre
a organizao e terceiros) de informaes e softwares. Vale ressaltar que, para o contexto,
so recursos considerados pertinentes: correio eletrnico, voz, vdeo, comrcio eletrnico,
downloads e aquisio de software junto a fornecedores, por exemplo.
Em particular, as transferncias de informaes e softwares entre organizaes devem ser
realizadas conforme as regras de uma poltica formal especfca (ou acordos especfcos) e
requisitos legais, contratuais e regulamentares vigentes.
De modo geral, as seguintes prticas podem ser consideradas:
1 Proteo contra softwares maliciosos;
1 Defnir claramente regras para o uso de recursos eletrnicos, tais como e-mail e servios
web. Por exemplo, restringindo retransmisses de mensagens de e-mail recebidas para
endereos eletrnicos externos;
1 Defnir procedimentos para a segurana no uso de comunicao sem fo (wireless);
1 Garantir que os recursos utilizados nas transferncias de informao e softwares estejam
de acordo com a legislao vigente;
1 Declarar claramente as responsabilidades das partes envolvidas em casos de ocorrncia
de incidentes de segurana.
Monitoramento
q Procedimento regular para a segurana da informao em termos de operaes
e comunicaes.
Devem ser mantidos:
1 Logs de operao.
1 Logs de falhas.
1 Logs de auditoria.
120

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
O monitoramento das operaes e comunicaes deve ser uma tarefa regular e apoiada pelos
dirigentes da organizao, com o intuito de garantir a adequada segurana da informao com
relao aos recursos operacionais e de comunicao disponveis, e de acordo com as necessi-
dades levantadas aps a anlise/avaliao de riscos de segurana da organizao. tambm
recomendvel que todos os eventos relacionados ao monitoramento sejam devidamente
registrados atravs de logs de operao, de falhas e de auditoria, pelo menos.
Em especial, as atividades de monitoramento e registro devem ser realizadas conforme a
legislao vigente. Todos os logs devem ser protegidos contra acessos no autorizados.
As prticas a seguir podem ser adotadas para a manuteno adequada dos registros:
1 O log de operaes deve manter informaes como as atividades de operadores e admi-
nistradores de sistemas, horrio de inicializao e encerramento de sistemas, erros e
aes corretivas aplicadas, por exemplo;
1 O log de falhas deve registrar as falhas e as respectivas aes corretivas tomadas. Em
particular, relevante que existam regras claras para a manipulao de relatrios
de falhas na organizao
Logs de auditoria devem ser mantidos de forma a registrar as atividades dos usurios, pro-
blemas de segurana, alteraes de confgurao dos sistemas, todos os acessos realizados,
por um perodo de tempo adequado s atividades de auditoria e monitoramento.
q Exemplos de procedimentos com logs:
1 No permitido o acesso no autorizado ao e-mail de terceiros. As tentativas de acesso
devem ser registradas em log, inclusive as originadas por administradores do sistema.
1 Deve ser possvel reconstituir todas as atividades dos usurios a partir de logs. Os pro-
cedimentos usados para tal monitoramento devem considerar mecanismos de respon-
sabilizao claros e divulgados nos meios de comunicao internos da organizao.
So exemplifcados procedimentos relevantes a considerar em termos de gerao de logs
em determinada organizao. Os exemplos podem ser considerados para organizaes
reais e tm o objetivo de permitir o monitoramento de operaes e atividades dos usurios,
em particular.
121

C
a
p
t
u
l
o

6

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

6
Atividade 6.1 Segurana da informao na gerncia de operaes e comunicaes
Voc foi designado para desempenhar as funes de gerncia de operaes e comunica-
es. Abaixo so apresentadas algumas situaes em que voc dever dizer o que deve ser
feito e apresentar a sua justifcativa:
No Situao Respostas/Procedimentos Justificativa
01
Entrada de um novo funcionrio na
empresa, que ser usurio do sistema
de controle financeiro da organizao.
02
O banco de dados foi corrompido e
no havia backup.
03
Uma mquina servidora apresentou
problemas e necessita ser encami-
nhada para manuteno fora do
ambiente do datacenter.
04
A Gerncia de Recursos Humanos
informou que adquiriu um novo
sistema e determinou que este deve
ser instalado no servidor de aplicaes
que lhe atende atualmente.
05
A Gerncia de Pesquisa e Desenvolvi-
mento avisou que a administrao do
servidor de aplicaes, do banco de
dados e do controle de verses ser
feita pelo mesmo pesquisador.
06
Num levantamento realizado por uma
consultoria externa para levantamento
da maturidade em segurana da
informao, identificou-se que vrios
computadores de docentes esto sem
antivrus instalados.
07
Foi identificado na diviso financeira
que houve uma alterao nos arquivos,
mas no foi possvel identificar quem
executou tal alterao.
122

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Atividade 6.2 Implementando a segurana da informao na gerncia de ope-
raes e comunicaes de sua organizao
Voc ainda integrante do comit de segurana da informao, e dever apresentar pro-
postas para a segurana da informao na gerncia de operaes e comunicaes da sua
organizao. Elabore para cada um dos itens a seguir cinco tpicos que devem ser abor-
dados em cada poltica:
a. Cpias de segurana.
b. Procedimentos contra software malicioso.
c. Tratamento de mdias.
d. Tratamento de documentos.
e. Segurana das redes.
f. Transferncia de informaes.
123

C
a
p
t
u
l
o

7

-

S
e
g
u
r
a
n
a

d
e

a
c
e
s
s
o

e

a
m
b
i
e
n
t
a
l

o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
7
Segurana de acesso e ambiental
Descrever procedimentos e responsabilidades, e selecionar e aplicar controles
e procedimentos de segurana de acesso e ambiental.
Poltica de controles de acesso, controles de acesso lgico e fsico, controle ambiental
e segurana em Recursos Humanos.

Segurana de acesso e ambiental
O que voc entende por acesso fsico?
O que voc entende por acesso lgico?
Poltica de controle de acessos
q Deve ser defnida e documentada. Considerar, pelo menos:
1 Informaes x negcios.
1 Classifcao das informaes.
1 Requisitos para autorizao.
1 Anlise regular dos controles.
A poltica de controle de acessos deve ser defnida e documentada para as organizaes no
sentido de garantir as devidas medidas e procedimentos de segurana aos recursos lgicos
e fsicos, em conformidade com os requisitos do negcio. Sendo assim, a poltica de controle
de acesso deve considerar, pelo menos:
1 Informaes manipulveis por aplicaes de negcios e os riscos inerentes;
1 A classifcao das informaes;
1 Legislao, requisitos regulamentares e contratuais vigentes pertinentes proteo de acesso;
1 Requisitos para autorizao formal de pedidos de acesso e remoo de direitos;
Classificao da
informao
Processo para definir a
sensibilidade da
informao e quem tem
acesso a essa infor-
mao, permitindo
assim definir nveis e
critrios de acesso que
garantam a segurana
da informao. Vide
ABNT NBR 16167:2013
Segurana da
Informao Diretrizes
para classificao,
rotulao e tratamento
da informao.
124

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 Requisitos para verifcao regular dos controles de acesso.
Observe que a poltica em questo deve contemplar, em conjunto, controles de acesso
lgico e fsico.
Poltica de controle de acesso
O que deve ser considerado na poltica de controle de acesso?
Controles de acesso lgico
q Medidas e procedimentos para a proteo de recursos computacionais, como redes,
arquivos, aplicativos etc. Considerar:
1 Identifcao dos recursos a proteger.
1 Atribuio adequada de direitos de acesso e seu devido monitoramento.
1 Educao para a segurana da informao.
Em termos de controle de acesso lgico, sero vistos a seguir subtpicos que contemplam
as principais preocupaes e boas prticas para o contexto, alm de apresentar aspectos
fundamentais ao controle de acesso lgico conforme os requisitos de segurana global e de
negcios das organizaes.
O controle de acesso lgico compreende um conjunto de medidas e procedimentos ado-
tados pela organizao ou intrnsecos aos softwares e sistemas utilizados, e visa proteger
recursos computacionais e informaes, de modo a assegurar:
1 Que apenas usurios autorizados obtenham acesso aos recursos e que esses recursos
sejam aqueles realmente necessrios execuo de suas atividades;
1 Que o acesso a recursos crticos seja restrito e monitorado adequadamente. Em outras
palavras, pode-se considerar que o controle de acesso lgico um processo que utiliza
medidas preventivas e procedimentos especfcos para que usurios ou processos
acessem recursos de modo adequado.
1 Ao tratar do controle de acesso, inicialmente deve-se identifcar os recursos a serem prote-
gidos. Eis alguns dos tipicamente identifcados em organizaes: aplicativos (cdigos-fonte
e objeto), arquivos de dados e de senhas, redes, utilitrios, Sistemas Operacionais, arquivos
de log, entre outros.
Lembre-se de que conscientizar usurios uma tarefa importante no sentido de garantir a
efccia das medidas e dos procedimentos adotados para o controle de acesso. Sendo assim,
uma boa prtica que os usurios se mantenham informados a respeito de suas responsa-
bilidades sobre a manuteno dos controles de acesso da organizao.
q Funes relacionadas:
1 Identifcao.
1 Autenticao.
1 Autorizao.
1 Monitoramento.
1 Gerncia.
Estude a Seo 9 da
norma ABNT NBR ISO/
IEC 27002:2013:
Controle de acesso.
d
125

C
a
p
t
u
l
o

7

-

S
e
g
u
r
a
n
a

d
e

a
c
e
s
s
o

e

a
m
b
i
e
n
t
a
l

As funes diretamente relacionadas ao controle de acesso lgico so: identifcao e auten-
ticao, para usurios e processos, e atribuio, gerncia e monitoramento de direitos de
acesso, ou privilgios que indicam exatamente o grau de autorizao de acesso.
1 Identifcao: todo usurio/processo que possa vir a acessar recursos computacionais
deve ser identifcado unicamente no ambiente, por exemplo, via login, com o objetivo de
permitir um controle de aes utilizando logs;
1 Autenticao: alm da identifcao, o usurio deve fornecer alguma informao com-
plementar para provar que essa a sua verdadeira identidade. Por exemplo, um usurio
que faz um logon numa estao de trabalho informa a sua identifcao (login) e uma
senha esse o autenticador que permite que o sistema verifque se a identidade do
usurio verdadeira. Portanto, a autenticao tem por objetivo dispor um modo de veri-
fcao da identidade de usurios/processos antes de estes obterem acesso aos recursos.
Sendo assim, h basicamente trs modos possveis: prova por caractersticas (fsicas),
prova por posse e prova por conhecimento. Por exemplo, usando reconhecimento facial
ou de voz, smart cards e senhas (ou tokens), respectivamente;
1 Atribuio: a atribuio de direitos e permisses de acesso pode ser determinada sob
dois aspectos: o que um usurio/processo pode fazer ou o que pode ser feito com deter-
minado recurso. Na primeira possibilidade, cada usurio ou recurso recebe uma per-
misso (ou capacidade) que, por sua vez, defne todos os seus direitos de acesso a outros
recursos. Na segunda, usam-se listas de controle de acesso (ou ACLs Access Control
Lists) para cada recurso, defnindo, assim, os direitos de acesso de outros recursos ou
usurios sobre o recurso associado a essas listas;
1 Monitoramento: pode ser realizado atravs da verifcao de logs, trilhas de auditoria,
mecanismos de deteco de invaso, entre outros, que possam servir para tomar deci-
ses a respeito de medidas corretivas adequadas em casos de incidentes de segurana;
1 Gerncia: responsvel por aplicar medidas adequadas aos riscos inerentes a controles de
acesso lgico inadequados, em funo das determinaes dispostas na poltica de segurana.

q A gerncia de controles de acesso lgico tem o objetivo de reduo de riscos.
Consideraes:
1 Classifcao e valor dos ativos lgicos.
1 Necessidades reais de acesso.
1 Responsabilidades dos usurios.
A gerncia de controles de acesso lgico deve aplicar medidas que reduzam riscos, obser-
vando, para tanto, algumas consideraes defnidas na poltica de segurana da organi-
zao, a saber:
1 Classifcao dos sistemas e informaes;
1 Necessidades de obteno de acesso a sistemas e dados;
1 Responsabilidades dos usurios;
1 Valores dos ativos;
1 Demais informaes relevantes para um controle de acesso lgico apropriado.
Em especial, ao tratar da gerncia de controle de acesso lgico no que diz respeito autorizao,
importante considerar a manuteno adequada dos direitos de acesso a novos recursos e o
uso de dispositivos mveis (notebooks, palms etc.) em funo de seus riscos inerentes.
126

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Exemplos de recomendaes para o uso de senhas na gerncia de controles de
acesso lgico:
1 dever da gerncia de segurana desabilitar contas inativas, sem senhas ou com
senhas padronizadas.
1 A senha inicial de usurios deve ser gerada de modo que j esteja expirada, forando
a entrada de uma nova senha no primeiro logon.
1 Devem ser bloqueadas contas de usurios aps determinado nmero de tentativas
de acesso sem sucesso.
Esses so exemplos de recomendaes para processos de autenticao baseados em
senhas e que podem ser utilizados em organizaes reais.
Recomenda-se orientar os usurios no sentido de escolherem senhas mais seguras, evi-
tando o uso de senhas muito curtas ou muito longas (aconselha-se o uso de oito caracteres)
o que pode gerar efeitos colaterais, como escrever senhas em papel; evitando, ainda,
o uso de uma mesma senha para acessos a sistemas/recursos distintos. interessante,
tambm, o uso de geradores de senhas aleatrias, aumentando a confabilidade dos sis-
temas de autenticao.
q 1 Boas prticas:
1 Atribuir direitos de acesso conforme as necessidades.
1 Revisar regularmente os acessos atribudos.
1 Controlar contas e senhas.
1 Manter e analisar logs regularmente.
Para a devida gesto dos controles de acesso lgico de uma organizao, algumas boas
prticas so recomendadas a seguir:
1 Atribuir direitos de acesso aos usurios, segundo as necessidades reais de seu trabalho/cargo;
1 Revisar regularmente as listas de controle de acesso e capacidades;
1 Disponibilizar contas de usurios apenas a pessoas autorizadas;
1 Armazenamento de senhas criptografadas;
1 Manter e analisar logs e trilhas de auditoria.
Controles de acesso lgico
Quais as funes diretamente relacionadas ao controle de acesso lgico?
O que deve ser considerado ao tratar da gerncia de controle de acesso lgico no que diz
respeito autorizao?
Para obter detalhes
sobre boas prticas no
uso de senhas,
consulte: https://
security.web.cern.ch/
security/recommenda-
tions/en/passwords.
shtml e http://www.
csirt.pop-mg.rnp.br/
docs/senhas.pdf
w
127

C
a
p
t
u
l
o

7

-

S
e
g
u
r
a
n
a

d
e

a
c
e
s
s
o

e

a
m
b
i
e
n
t
a
l

Cite duas boas prticas recomendadas para a gesto dos controles de acesso lgico da
sua organizao.
Controles de acesso fsico
q 1 Medidas preventivas e procedimentos para a proteo de recursos fsicos.
1 So uma barreira adicional segurana de acesso lgico.
Sero vistas, a seguir, as principais preocupaes e boas prticas para o controle de acesso
fsico, com a apresentao de aspectos fundamentais e as infuncias provenientes dos
requisitos de segurana global e de negcios das organizaes.
Os controles de acesso fsico tm o objetivo de aplicar medidas preventivas para proteger
equipamentos, documentaes, suprimentos e informaes contra acessos no autori-
zados, perdas etc. Sendo assim, tais controles servem como uma barreira adicional de
segurana para o controle de acesso lgico.
Considerar, ainda, o uso de reas protegidas e permetros de segurana. Nas reas pro-
tegidas (com controle de acesso rgido), recomenda-se o processamento de informaes
crticas para o negcio da organizao. Os permetros de segurana protegem reas que
disponham de facilidades de processamento; por exemplo, um balco de controle de acesso
com registros e superviso efetivos.
q Categorias:
1 Controles administrativos.
1 Controles explcitos.
No tocante a controles de acesso fsico, h duas categorias:
1 Controles administrativos: compreendem medidas e procedimentos administrativos
para a proteo fsica da organizao. Em termos prticos, aconselha-se, nesse contexto,
aplicar formas de identifcao nica de funcionrios e visitantes, e at mesmo de catego-
rias de funcionrios; exigir a devoluo de ativos da organizao em casos de demisso
de funcionrios; controlar a entrada/sada de visitantes; exigir mesa limpa e organizada,
entre outros;
1 Controles explcitos: implementados atravs do uso de fechaduras, cadeados, cmeras
de vdeo, alarmes e guardas de segurana, por exemplo.
q Exemplo de recomendao para o controle de acesso fsico a equipamentos:
1 O acesso a equipamentos especfcos de hardware deve ser restrito a funcionrios
competentes, com uso registrado e baseado nas necessidades da organizao.
Neste exemplo, apresentada uma recomendao para o controle de acesso fsico nas
organizaes, podendo ser includa em organizaes reais como item da poltica de controle
de acesso e da poltica de segurana.
Estude a Seo 11
Segurana fsica e do
ambiente da norma
ABNT NBR ISO/IEC
27002:2013.
d
128

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Gerncia de controles de acesso fsico:
1 Identifcam riscos e procuram minimizar impactos.
1 Apoiada pela poltica de segurana da informao e poltica de controles de acesso.
1 Deve considerar a relao custo x benefcio.
A gerncia de controles de acesso fsico deve procurar levantar os riscos potenciais e
impactos causados por incidentes originados por falhas de segurana fsica, aplicando
medidas adequadas organizao.
Observe que, conforme expresso anteriormente, as medidas e procedimentos para con-
troles de acesso fsico devem constar na poltica de controles de acesso, apoiando, assim, a
poltica de segurana da informao da organizao; consequentemente, tais documentos
em conjunto apoiam a gerncia de controles de acesso fsico.
q Boas prticas:
1 Uso de tcnicas de identifcao.
1 Devoluo de ativos.
1 Controle de entrada e sada de visitantes.
1 Vigilncia 24 x 7.
1 Rever e atualizar direitos de acesso.
1 Manter mesa e tela limpas.
Entre as boas prticas para o adequado controle de acesso fsico (e sua gerncia), destacam-se:
1 Usar tcnicas visveis de identifcao;
1 Exigncia da devoluo de ativos da organizao quando o funcionrio detentor dos
mesmos for demitido ou desligado de suas funes;
1 Supervisionar a entrada e sada dos visitantes, registrando data, horrio de permanncia
e local visitado (setor, departamento etc.);
1 Determinar a vigilncia perene (24 x 7) na organizao;
1 Rever e atualizar regularmente os direitos de acesso;
1 Incentivar a poltica da mesa limpa, entre outros.
Controles de acesso fsico
Qual o objetivo do controle de acesso fsico?
O que so controles explcitos e controles administrativos?
Cite duas boas prticas recomendadas para a gesto dos controles de acesso fsico da sua
organizao.
129

C
a
p
t
u
l
o

7

-

S
e
g
u
r
a
n
a

d
e

a
c
e
s
s
o

e

a
m
b
i
e
n
t
a
l

Controles ambientais
q 1 Visam a proteo de recursos contra ameaas disponibilidade e integridade.
1 possvel aplicar medidas preventivas e/ou corretivas.
Em termos de controle ambiental, so apresentadas algumas prticas especfcas para a
reduo de riscos associados a ameaas no ambiente das organizaes, conforme os requi-
sitos de segurana global e de negcios.
Os controles ambientais visam proteger a organizao em termos, especifcamente, da dis-
ponibilidade e da integridade de seus recursos, isto , contra desastres naturais e falhas no
fornecimento ou descargas de energia eltrica, por exemplo.
Dependendo da ameaa, pode-se estabelecer medidas preventivas e/ou corretivas. A seguir,
sero apresentadas boas prticas para assegurar os controles ambientais adequados.
q Ameaas especfcas e medidas:
1 Incndios.
1 Descargas eltricas.
1 Ameaas que envolvam gua.
1 Problemas com temperatura e ventilao.
Conforme foi visto, h vrias ameaas em termos ambientais para as organizaes. Eis uma lista
dessas principais ameaas e das medidas respectivas a serem aplicadas para seu controle:
1 Incndios: aconselhvel o uso de dispositivos de deteco de fumaa ou calor, a insta-
lao de para-raios, a adoo de polticas antifumo, a disposio de um nmero suf-
ciente de extintores de incndio, a instalao de sistemas automticos de combate ao
fogo, a verifcao regular de todos os dispositivos empregados contra incndios e o
treinamento de funcionrios quanto a sua utilizao;
1 Falhas na energia eltrica e descargas eltricas naturais: so recomendados estabi-
lizadores, nobreaks, geradores alternativos de energia eltrica, instalao de para-raios,
desligamento de equipamentos em situao de tempestades fortes;
1 Ameaas que envolvam gua: relevante a instalao de equipamentos em locais com
baixa suscetibilidade gua, cuidados de manuteno com o telhado, rede de esgotos e
encanamentos e aparelhos de ar-condicionado;
1 Temperatura e ventilao: deve-se considerar, nesse caso, cuidados com canaletas de
ventilao, circulao de ar, dispositivos que auxiliem no monitoramento da temperatura
e na ventilao do ambiente e a manuteno regular dos equipamentos envolvidos.
q Boas prticas:
1 Planejamento de alocao dos equipamentos e mveis.
1 Manuteno da limpeza e conservao.
1 Implantao de dispositivos de combate ao fogo e reduo do impacto de problemas
com energia eltrica.
1 Vistoria regular de dispositivos.
130

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Segue uma lista de boas prticas para garantir o controle ambiental adequado nas organizaes:
1 Planejar a disposio de mveis e equipamentos, facilitando a circulao das pessoas;
1 Manter a limpeza e a conservao do ambiente;
1 Implantar sistemas de combate automtico ao fogo;
1 Instalar dispositivos que minimizem os efeitos de falhas no fornecimento de energia eltrica;
1 Manuteno adequada de potenciais focos de problemas com gua;
1 Vistoriar regularmente todos os dispositivos relacionados diretamente conservao da
segurana do ambiente.
Controles ambientais
Qual o objetivo dos controles ambientais?
Cite duas boas prticas recomendadas para a gesto dos controles de acesso fsico da sua
organizao.
Segurana de Recursos Humanos
q 1 Antes da contratao.
1 Encerramento e mudana de contrato.
1 Educao para a segurana da informao.
Neste tpico, sero apresentados alguns dos principais aspectos relacionados segurana
da informao nas organizaes a segurana dos Recursos Humanos, que, por sua vez,
representa um dos pilares para a segurana da informao adequada e conscientizada em
termos de possveis erros humanos. Sendo assim, sero vistas algumas prticas e preocu-
paes para o tratamento de pessoas, desde a seleo, considerando tambm a educao
delas em termos de segurana da informao.
q Antes da contratao:
1 Deixar claros papis e responsabilidades (inclusive legais).
1 Rgido processo de seleo:
Verifcar referncias, conhecimentos e ndole.
1 O contrato deve contemplar termos e condies especfcas, fortalecido pelo cdigo
de conduta e termo de confdencialidade.
A seleo de candidatos deve ser rgida em funo, principalmente, do cargo pretendido
e de sua criticidade para os negcios. Considere que candidato pode representar futuro
funcionrio, funcionrio que visa mudar de cargo ou, ainda, prestador de servios.
Durante a seleo de pessoas, a organizao deve deixar claras as responsabilidades e os
papis do candidato, em caso de contratao, perante a segurana da informao, atravs
da apresentao de uma descrio detalhada e dos termos e condies de contratao.
Acompanhe com
a leitura da seo
7 Segurana em
Recursos Humanos, da
norma ABNT NBR ISO/
IEC 27002:2013.
d
131

C
a
p
t
u
l
o

7

-

S
e
g
u
r
a
n
a

d
e

a
c
e
s
s
o

e

a
m
b
i
e
n
t
a
l

Sendo assim, importante destacar, em documentos a serem assinados pelo contratado, requi-
sitos como agir de acordo com a poltica de segurana da informao e notifcar superiores a
respeito de eventos adversos que possam caracterizar riscos de segurana organizao.
A seleo em si, conforme dito antes, deve ser rgida o sufciente para contemplar a verif-
cao de referncias satisfatrias de carter; a confrmao das qualifcaes acadmicas e
profssionais; podendo inclusive considerar verifcaes fnanceiras (de crdito) e de regis-
tros criminais. Vale ressaltar tambm que pode ser relevante, dependendo da situao, uma
seleo rgida de fornecedores e terceiros.
Os termos e condies devem ser claramente expostos no contrato, de modo que este seja
assinado indicando que o contratado concorda com suas responsabilidades perante a segu-
rana da informao da organizao (inclusive as responsabilidades legais). Neste contexto,
so tambm convenientes a orientao para que seja seguido um cdigo de conduta e a assi-
natura de um termo de confdencialidade antes da disponibilizao do acesso ao contratado.
O acordo de confdencialidade deve contemplar os requisitos para proteo de informa-
es confdenciais, considerando a legislao vigente aplicvel. Em particular, seu contedo
deve compreender, pelo menos, uma defnio da informao a ser protegida, o tempo de
durao do acordo, responsabilidades e aes dos envolvidos para prevenir divulgaes no
autorizadas, escopo de direitos dos funcionrios para o uso das informaes, direitos de
auditoria e monitoramento, e aes especfcas para casos de violao do acordo.
q Encerramento e mudana de contrato:
1 Exigir responsabilidades e requisitos de segurana.
1 Devolver ativos.
1 Retirar direitos de acesso.
Ao encerrar ou mudar o contrato de um funcionrio (ou terceiro), importante que a organi-
zao viabilize meios adequados para um processo ordenado e coordenado.
Neste contexto, algumas prticas so aplicveis:
1 No ato do desligamento de uma funo, a comunicao deve informar a respeito dos
requisitos de segurana e das responsabilidades legais exigidas;
1 Devoluo de ativos, tais como equipamentos, documentos, softwares, computadores
mveis, cartes de crdito, cartes de acesso, crachs etc.;
1 Retirar direitos de acesso a informaes e recursos. No caso de mudanas de cargo,
deve-se rever os direitos, de modo a no permitir acessos que no foram aprovados para
a nova funo. Se, por exemplo, o funcionrio com atividades encerradas na organizao
tiver conhecimento a respeito de senhas de contas que permanecero ativas aps sua
sada, estas devem ser alteradas.
Segurana de Recursos Humanos
Durante o processo de sada da organizao de um colaborador por encerramento de con-
trato o que deve ser realizado?
132

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Educao para a segurana da informao:
1 Promover regularmente a conscientizao e treinamentos.
1 Divulgar riscos, quem procurar e a quem relatar problemas.
1 Deve ser uma tarefa contnua nas organizaes.
Se funcionrios ou terceiros no estiverem realmente conscientes em termos de suas res-
ponsabilidades e obrigaes para com a segurana da informao da organizao, podem
ser considerados, por si s, como riscos, podendo causar impactos aos negcios.
Sendo assim, deve-se promover regularmente treinamentos, palestras e atividades de
divulgao de orientaes para a segurana da informao a todas as pessoas, de modo que
estas conheam os procedimentos de segurana, faam uso correto de recursos, servios
oferecidos e informaes.
Nos processos de educao para a segurana da informao, importante conscientizar
as pessoas em termos dos riscos, e inform-las a quem devem relatar eventos adversos e
procurar para obter orientaes.
Atravs de iniciativas para a educao em segurana da informao, consegue-se minimizar
riscos, j que as pessoas so sensibilizadas para seguir as regras da segurana da infor-
mao no seu dia a dia.
q Exemplo de recomendao para a conduta de pessoas perante o uso de recursos e
informaes crticas:
1 A organizao se reserva o direito de revogar os privilgios de usurio a qualquer sistema
e a qualquer momento em funo de condutas ofensivas ou prejudiciais ou, ainda, que
afetem a capacidade de outras pessoas executarem suas funes adequadamente.
Neste exemplo, apresentada uma recomendao para o tratamento de pessoas nas orga-
nizaes, explicitando especialmente regras para sua conduta diante dos negcios e mani-
pulao de recursos e informaes crticas. Tal recomendao tambm pode ser aplicada
para uma segurana efciente de Recursos Humanos.
133

C
a
p
t
u
l
o

7

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

7
Atividade 7.1 Entendendo a segurana de acesso e a segurana ambiental
Voc foi designado(a) para realizar uma avaliao da segurana de acesso e segurana
ambiental de sua organizao. A seguir so apresentadas algumas situaes que foram
encontradas e para as quais voc dever dizer o que deve ser feito e apresentar a sua justif-
cativa para isso:
No Situao Respostas/Procedimentos Justificativa
01 Funcionrios sem identificao (crach).
02
Visitantes andando pela organizao
sem qualquer identificao ou registro
da sua entrada.
03
Sala de arquivo documental sem extin-
tores ou sistema de deteco.
04
Os colaboradores terceirizados no
realizaram nenhum treinamento sobre
05
Foi identificado que ex-funcionrios
ainda possuam contas de usurios de
alguns sistemas.
06
No setor de registro contbil os funcio-
nrios compartilham a mesma senha.
07
Na rea de pesquisa e desenvolvimento
foi descoberto de que alguns funcion-
rios de nvel tcnico possuam acesso a
reas restritas aos pesquisadores.
Atividade 7.2 Polticas de acesso
1. Qual o mnimo que deve constar numa poltica de controle de acesso?
2. O que so controles de acesso lgico? E de acesso fsico?
134

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
3. Quais so as categorias de controles de acesso fsico existentes? Quais as diferenas
entre elas?
4. Cite duas ameaas ambientais e seus respectivos controles ambientais.
Atividade 7.3 Implementando a segurana de acesso e ambiental na sua
organizao
Voc ainda integrante do comit de segurana da informao, dever apresentar algumas
propostas para a segurana da informao na segurana de acesso e ambiental da sua
organizao. Assim, elabore para cada um dos itens a seguir cinco tpicos que devem ser
abordados em cada respectiva poltica e justifque apresentando os controles da norma que
a poltica est atendendo:
a. Controle de acesso lgico.
b. Senhas.
c. Acesso fsico.
135

C
a
p
t
u
l
o

7

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

7
d. Controles ambientais.
e. Segurana de Recursos Humanos.
136

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
137

C
a
p
t
u
l
o

8

-

S
e
g
u
r
a
n
a

o
r
g
a
n
i
z
a
c
i
o
n
a
l

o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
8
Segurana organizacional
Descrever procedimentos e responsabilidades e selecionar e aplicar controles para
a segurana organizacional.

Infraestrutura organizacional para a segurana da informao, tratamento de ativos e
segurana da informao de terceiros.

Segurana organizacional
O que voc entende por segurana organizacional?
Como feita a segurana organizacional na sua instituio?
Infraestrutura organizacional para a segurana da informao
q 1 Importncia da infraestrutura.
1 Coordenao da segurana da informao.
Neste tpico sero apresentados os aspectos relevantes para o estabelecimento de uma
infraestrutura de apoio segurana da informao nas organizaes. Em especial sero
tratadas a razo da importncia da infraestrutura, a relevncia da atribuio de responsabi-
lidades e questes relacionadas coordenao.
Importncia da infraestrutura
q Fornece todas as condies para a gesto da segurana da informao na organizao.
Uma recomendao defnir uma estrutura de gerenciamento para controlar a elabo-
rao e implantao da segurana da informao.
Estude a Seo 6 da
norma ABNT NBR ISO/
IEC 27002:2013 Orga-
nizando a segurana da
informao.
d
138

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Para garantir a segurana da informao em determinada organizao, deve-se atentar para
a necessidade do estabelecimento de uma infraestrutura que propicie o seu gerenciamento.
Inicialmente, vlido defnir uma estrutura de gerenciamento prpria para o controle da
implantao da segurana da informao.
Em particular, se for o caso, relevante a contratao de consultoria especializada com o
propsito de elabor-la e implant-la na organizao.
Atribuio de responsabilidades
q 1 Deve-se atribuir responsabilidades de acordo com a poltica de segurana.
1 Funcionrios podem delegar tarefas de segurana da informao, mas no podem
delegar responsabilidades.
1 Se necessrio, preciso instituir o cargo de gestor de segurana da informao.
Preocupaes:
1 reas de responsabilidade.
1 Responsabilidades dos funcionrios.
1 Processos a serem implementados.
Atribuir responsabilidades uma atividade considerada crucial para a segurana da informao,
devendo ser realizada de acordo com a poltica de segurana da informao da organizao.
Funcionrios (ou pessoas em determinados cargos) que possuam responsabilidades defnidas
formalmente na poltica de segurana podem delegar atividades relacionadas diretamente
segurana da informao, todavia, no se eximindo das responsabilidades. Sendo assim,
relevante que, nos casos de delegao, os funcionrios que delegam a atividade avaliem se
esta est sendo realizada conforme a poltica de segurana, legislao e normas vigentes.
Para cada ativo e procedimento de segurana da informao, importante atribuir respon-
sabilidades a um funcionrio (ou cargo). Em outras palavras, o funcionrio (ou cargo) dever
efetuar a gesto do ativo ou procedimento segundo determinao da poltica de segurana.
Dependendo do tamanho e das vulnerabilidades da organizao, pode-se estabelecer o
cargo de gestor da segurana da informao, que responde, em primeira instncia, pela
segurana global da organizao e ainda auxilia no desenvolvimento da poltica de segu-
rana e defne a estratgia para a sua divulgao, exigindo seu cumprimento por todos.
Ao gestor, cabe estar sempre atualizado em relao aos problemas, riscos e solues de
segurana; selecionar os mecanismos de segurana mais adequados aos problemas de
segurana especfcos da organizao; e verifcar a adequao da poltica de segurana,
mecanismos e procedimentos de segurana da informao adotados.
Atribuio de responsabilidades
Que atribuies devem ser atribudas ao gestor da segurana da informao?
139

C
a
p
t
u
l
o

8

-

S
e
g
u
r
a
n
a

o
r
g
a
n
i
z
a
c
i
o
n
a
l

Por que a atribuio de responsabilidades uma atividade crucial para a segurana
da informao?
Coordenao da segurana da informao
q Compreende a colaborao entre partes, como dirigentes, funcionrios, auditores,
consultores etc. Objetivos:
1 Aprovar metodologias e procedimentos de segurana da informao.
1 Assegurar a conformidade com a poltica de segurana.
1 Coordenar a implantao de controles.
1 Educar para a segurana da informao.
Para a efetividade da segurana da informao em uma organizao, seus dirigentes devem
montar uma equipe multidisciplinar (dirigentes e funcionrios de vrios departamentos, por
exemplo) para coordenar as atividades necessrias. Se necessrio, pode-se tambm instituir
um comit especfco.
Em particular, recomenda-se que a coordenao atue nas seguintes atividades:
1 Avaliar e aprovar metodologias e procedimentos necessrios segurana da informao;
1 Controlar todos os procedimentos, com o intuito de assegurar a conformidade com a
poltica de segurana da organizao;
1 Coordenar a implantao de controles de segurana da informao, tais como medidas
contra acessos no autorizados;
1 Divulgar adequadamente para toda a organizao os procedimentos, os controles e a
poltica de segurana. Lembre-se sempre de que a conscientizao das pessoas pode ser
considerada to relevante quanto o uso de outros mecanismos de segurana baseados
em tecnologia.
Coordenao da segurana da informao
Em que atividades o comit deve atuar?
Tratamento de ativos
q 1 Proteo de ativos.
1 Inventrio de ativos.
1 Proprietrio de ativo.
Uma vez que os ativos so elementos essenciais para o negcio das organizaes, este
tpico apresenta os aspectos primordiais a serem considerados. Sero apresentadas as
preocupaes com a proteo dos ativos e dos procedimentos recomendados, para fns de
gesto de ativos e recuperao aps desastres: inventrio e designao de proprietrio para
cada ativo da organizao.
Estude a Seo 8 da
norma ABNT NBR ISO/
IEC 27002:2013
Gesto de ativos.
d
140

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Proteo dos ativos
q 1 Ativos so elementos essenciais ao negcio da organizao.
1 Ativos devem ser inventariados.
1 Todo ativo deve ter um responsvel por manter sua segurana.
Os ativos da organizao so elementos importantes para o negcio; sendo assim, sua pro-
teo adequada deve ser estabelecida e mantida. Exemplos:
1 Equipamentos;
1 Bases de dados;
1 Servios de iluminao;
1 Acordos;
1 Procedimentos de suporte tcnico;
1 Trilhas de auditoria;
1 Aplicativos;
1 Sistemas de informao;
1 Pessoas;
1 Imagem comercial da organizao.
Para tal proteo, so recomendados dois procedimentos: inventariar os ativos e associar a
cada um deles um proprietrio, responsvel pela manuteno de sua segurana.
A seguir, sero apresentados mais detalhes a respeito de cada procedimento.
Proteo dos ativos
O que so ativos?
Inventrio de ativos
q O inventrio essencial para recuperao aps desastres e compreende:
1 Identifcar ativos.
1 Catalogar ativos.
1 Manter o catlogo.
No inventrio de ativos, deve-se estruturar e manter os ativos devidamente identifcados.
Na identifcao, as informaes relevantes tipicamente so: o tipo do ativo, confgurao,
sua criticidade para os negcios da organizao, localizao, informaes sobre o trata-
mento de backups e licenas. Ainda no inventrio, deve-se identifcar o proprietrio de cada
ativo e a classifcao da informao, quando cabvel.
Em casos de recuperao aps desastres, o inventrio de ativos representa um dos itens
essenciais para sua efetividade. E, para a gesto de riscos, o inventrio uma premissa.
141

C
a
p
t
u
l
o

8

-

S
e
g
u
r
a
n
a

o
r
g
a
n
i
z
a
c
i
o
n
a
l

Inventrio de ativos
Quais informaes devem constar no inventrio de ativos?
Proprietrio de ativo
q Aquele que o responsvel autorizado sobre o(s) ativo(s).
1 Proprietrio no dono do ativo!
Atividades:
1 Garantir a classifcao dos ativos.
1 Defnir e analisar, periodicamente, as restries de acesso aos ativos.
O proprietrio de um ativo o responsvel pela manuteno da sua segurana, efetuando,
ento, atividades como:
1 Garantir a classifcao adequada dos ativos;
1 Defnir e analisar, periodicamente, as restries de acesso ao ativo.
So exemplos de proprietrios de ativos o gerente de RH (Recursos Humanos) da organizao,
responsvel por documentos especfcos, e o desenvolvedor responsvel por sua estao de
trabalho. Vale ressaltar que, se necessrio e cabvel, pode-se atribuir ao gestor da segurana
da informao a responsabilidade por determinados ativos, principalmente aqueles direta-
mente relacionados segurana da informao, como a prpria poltica de segurana.
q Exemplo: Inventrio do ativo base de dados.
1 Tipo: dados.
1 Criticidade para os negcios: alta.
1 Localizao: sala de servidores da organizao.
1 Tratamento de backup: incremental e dirio.
1 Proprietrio: administrador do banco de dados.
Este exemplo apresenta algumas informaes a respeito do ativo base de dados de uma
organizao. Pode-se observar que:
1 O tipo considerado dados. A classifcao de ativos pode variar de uma organizao
para outra; todavia, tipicamente pode-se categorizar em hardware, software, dados,
documentao etc.;
1 A criticidade do ativo considerada alta, visto que os dados so essenciais ao negcio
da organizao. Pode-se associar a criticidade atribuda segundo as categorias utilizadas
na anlise/avaliao de riscos para a organizao. Para exemplifcar, pode-se classifcar
ativos como de alta, moderada ou baixa criticidade;
1 A localizao do ativo a sala de servidores da organizao, visto que se trata de uma
base de dados armazenada em um banco de dados;
142

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 O tratamento de backup aplicado ao ativo incremental e dirio. Para todos os ativos
relevante indicar a poltica de backup para fns de gesto de incidentes, em particular.
Para fns de conhecimento, a poltica pode determinar, de acordo com o grau de criti-
cidade do ativo, o backup completo ou incremental e seu perodo (mensal, quinzenal,
semanal ou dirio, por exemplo).
Por fm, indica-se o responsvel pela segurana do ativo. No caso, o administrador do banco
de dados da organizao.
Proprietrio do ativo
Qual a responsabilidade do proprietrio do ativo?
Cite atividades que devem ser realizadas pelo proprietrio do ativo.
Segurana da informao e terceiros
q 1 A razo do tratamento diferenciado.
1 Possveis riscos.
1 Tratamento dos clientes.
1 Acordos especfcos.
1 Gerncia de servios de terceiros.
relevante estabelecer procedimentos adequados antes de disponibilizar acessos por parte
de terceiros. Neste tpico, sero tratados o porqu do tratamento diferenciado dos terceiros
e possveis riscos envolvidos; como tratar com os clientes a respeito da manuteno de
acordos especfcos para o contexto e os procedimentos recomendados para a gerncia de
servios terceirizados.
A razo do tratamento diferenciado
q Deve-se manter a segurana de recursos e informaes acessveis a terceiros.
1 Acessveis = processados, transmitidos ou gerenciados.
Considerar:
1 Possveis riscos.
1 Acordos especfcos.
Deve-se considerar um tratamento diferenciado para os recursos e informaes que sejam
processados, transmitidos ou gerenciados por partes externas, por exemplo, empresas
prestadoras de servio, com o objetivo de permitir tais acessos em conformidade com a
poltica de segurana da informao vigente na organizao.
Para tanto, relevante efetuar uma anlise dos potenciais riscos envolvidos e as possveis
medidas de segurana adequadas ao tratar com partes externas. Em especial, as medidas
Estude a Seo 15 da
norma ABNT NBR ISO/
IEC 27002:2013 Rela-
cionamento na cadeia
de suprimento.
d
143

C
a
p
t
u
l
o

8

-

S
e
g
u
r
a
n
a

o
r
g
a
n
i
z
a
c
i
o
n
a
l

de segurana e demais critrios especfcos quanto segurana da informao devem ser
defnidos em acordo entre as partes.
Possveis riscos
q preciso identifcar, analisar e avaliar os riscos, e implementar medidas de segurana
antes de disponibilizar o acesso a terceiros. Devem ser considerados:
1 Recursos de processamento.
1 Valor da informao.
1 Pessoas envolvidas.
1 Prticas e procedimentos para o tratamento de incidentes de segurana.
1 Requisitos legais, regulamentares e contratuais.
No tratamento da segurana da informao em relao a terceiros, h potenciais riscos
especfcos. Sendo assim, importante analisar e avaliar os riscos envolvidos diretamente
com os acessos externos, aplicando as medidas de segurana adequadas antes de disponi-
bilizar o acesso.
A seguir, so apresentados alguns dos principais aspectos a considerar para o contexto:
1 Identifcar os recursos aos quais terceiros podem ter acesso;
1 Indicar o tipo de acesso a cada recurso;
1 Conhecer o valor e a criticidade das informaes disponibilizadas a terceiros;
1 Aplicar medidas de segurana condizentes aos riscos para cada informao acessada por
terceiros;
1 Considerar as pessoas que podero acessar a informao no lado dos terceiros;
1 Implantar prticas e procedimentos para o tratamento de incidentes de segurana;
1 Considerar os requisitos legais, contratuais e regulamentares aplicveis ao contexto.
q Exemplo de regras para tratamento de terceiros:
1 No permitida a revelao de identifcao, autenticao e autorizao
deuso pessoal ou uso de recursos autorizados por intermdio de tais itens
por parte de terceiros.
1 No permitido o fornecimento de informaes a terceiros a respeito dos servios
disponibilizados na organizao, exceto os de natureza pblica ou mediante autori-
zao de equipe/gestor competente.
Neste exemplo, so apresentadas regras de tratamento das informaes e servios por
parte de terceiros, cujo objetivo demonstrar a aplicao de procedimentos formais com
vistas segurana da informao.
Possveis riscos
Quais aspectos devem ser considerados em relao segurana da informao de terceiros?
144

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Tratamento dos clientes
q Deve-se identifcar todos os requisitos de segurana antes de disponibilizar o acesso aos
clientes. Preocupaes:
1 Proteo dos ativos.
1 Descrio detalhada do produto/servio a ser fornecido.
1 Polticas de controle de acesso.
1 Responsabilidades legais.
Ao tratar com clientes, a organizao deve identifcar, antecipadamente, todos os requisitos
de segurana diretamente relacionados ao acesso externo a ativos e informaes.
Sendo assim, recomenda-se:
1 Proteger os ativos, usando mecanismos de segurana adequados e indicar aes corre-
tivas a serem aplicadas nos casos de comprometimento;
1 Descrever, em detalhes, o produto/servio a ser fornecido;
1 Considerar as polticas de controle de acesso vigentes;
1 Indicar as responsabilidades legais da organizao e do cliente.
Acordos especficos
q Deve-se considerar a segurana da informao ao estabelecer acordos com terceiros.
Considerar, pelo menos:
1 Poltica de segurana.
1 Medidas de segurana aplicadas ao ativo envolvido.
1 Treinamento de funcionrios.
1 Processo para gesto de mudanas.
1 Classifcao da informao disponibilizada.
Nos acordos, os requisitos de segurana devem ser contemplados a fm de assegurar o
conhecimento e cumprimento deles por parte de terceiros.
Essencialmente, recomenda-se considerar, nos acordos, os seguintes aspectos:
1 A poltica de segurana da informao vigente;
1 O uso de medidas de segurana para a proteo de ativos;
1 Treinamento e conscientizao das pessoas em termos da segurana da informao e
suas responsabilidades;
1 Processo claro de gerncia de mudanas;
1 Polticas de controle de acesso;
1 Direito de efetuar auditoria;
1 Requisitos para a continuidade de servios;
1 Responsabilidades legais, contratuais e regulamentares aplicveis.
145

C
a
p
t
u
l
o

8

-

S
e
g
u
r
a
n
a

o
r
g
a
n
i
z
a
c
i
o
n
a
l

Inclusive, podem ser defnidos acordos de confdencialidade, de modo que os requisitos
de segurana contemplados expressem as necessidades da organizao quanto ao valor
das informaes para o negcio. Esses acordos protegem a informao, ao passo que
determinam as responsabilidades dos envolvidos quanto proteo, uso e divulgao das
informaes da organizao. Sendo assim, os acordos de confdencialidade podem ser esta-
belecidos entre a organizao e terceiros, e entre a organizao e seus funcionrios.
Em organizaes nas quais a gesto da segurana da informao for terceirizada, os acordos
devem estabelecer detalhes a respeito do modo como os terceiros garantiro a segurana
atendendo a obrigaes legais e aos requisitos do negcio.
Gerncia de servios de terceiros
q Servios disponibilizados e acordos com terceiros devem ser monitorados.
Boas prticas:
1 Considerar a segurana da informao ao elaborar acordos de entrega de servios.
1 Disponibilizar solues tcnicas para monitoramento.
1 Monitorar e analisar servios entregues e logs.
1 Gerenciar mudanas nos servios.
Os servios terceirizados em determinada organizao devem ser gerenciados com o pro-
psito de garantir adequao aos requisitos de segurana da informao e aos negcios.
Sendo assim, os acordos estabelecidos entre a organizao e terceiros devem ser geren-
ciados e controlados adequadamente. Prticas apropriadas:
1 Deve-se considerar medidas de segurana, nveis de servio e requisitos de entrega de
servios ao elaborar os acordos de entrega de servios terceirizados. Tais acordos devem
ser verifcados para que os requisitos de segurana acordados sejam cumpridos;
1 relevante dispor de solues tcnicas e recursos sufcientes para monitorar os acordos
e requisitos de segurana estabelecidos;
1 Deve-se monitorar e analisar regularmente servios e logs fornecidos por terceiros;
1 Deve-se gerenciar as mudanas em termos de servios terceirizados, considerando
melhorias possveis, atualizaes de polticas, estabelecimento de novos controles de
segurana e uso de novas tecnologias, por exemplo.
q 1 Exemplo:
2 Clusula contratual Segurana da informao.
A CONTRATADA obriga-se a utilizar programas de proteo e segurana da infor-
mao que busquem evitar qualquer acesso no autorizado aos seus sistemas,
seja em relao aos que eventualmente estejam sob sua responsabilidade direta,
seja atravs de link com os demais sistemas da CONTRATANTE ou, ainda, por
utilizao de e-mail.
146

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
147

C
a
p
t
u
l
o

8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
Atividade 8.1 Entendendo a segurana organizacional
1. Explique a importncia da atribuio de responsabilidades para a segurana da infor-
mao na sua organizao.
2. Como e onde deve atuar a Coordenao da Segurana da Informao?
Atividade 8.2 Realizando a segurana organizacional
1. Descreva como deve ser tratado e executado o inventrio dos ativos.
2. Explique a razo do tratamento diferenciado de recursos e informaes acessveis a ter-
ceiros. Apresente um exemplo prtico da sua organizao.
3. Descreva os procedimentos que devem ser adotados no tratamento dos clientes.
148

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
4. Cite dois exemplos prticos para a gerncia de servios de terceiros.
Atividade 8.3 Implementando a segurana organizacional
Voc ainda integrante do comit de segurana da informao e dever apresentar algumas
propostas para a segurana da informao na segurana organizacional da sua organizao.
Assim, elabore para cada um dos itens abaixo cinco tpicos que devem ser abordados em
cada poltica:
a. Ativos.
b. Terceiros prestadores de servios na rea de TI.
c. Terceiros prestadores de servios na rea de servios gerais.
d. Terceiros prestadores de servios na rea de TI.
e. Fornecedores de material de escritrio.
149

C
a
p
t
u
l
o

8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
f. Clientes.
g. Acordos.
h. Responsabilidades na segurana da informao.
150

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
151

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
9
Gesto de continuidade de negcios
Identifcar os requisitos e organizar a continuidade de negcios; identifcar e selecionar
os procedimentos da gesto de incidentes de segurana.

Gesto da continuidade de negcios, segurana da informao e continuidade de
negcios, plano de continuidade de negcios e gesto de incidentes.

Gesto de continuidade de negcios
O que voc entende por continuidade de negcios?
Como feita a continuidade de negcios na sua instituio?
Continuidade de negcios
q 1 Dependncia de tecnologia e sistemas computacionais.
1 Impactos diversos.
1 preciso considerar:
2 Medidas de recuperao de desastres.
2 Plano de contingncias.
2 Plano de continuidade de negcios.
1 Preocupao dos dirigentes deve ser constante.
Neste tpico, sero vistos aspectos considerveis para a continuidade de negcios, bem
como para a sua gesto.
Hoje, as organizaes so dependentes da tecnologia e dos sistemas computacionais.
Assim, perdas de equipamentos e informaes podem impactar o negcio da organizao,
causando perdas fnanceiras, de mercado e, at mesmo, dependendo da gravidade das
ameaas, provocando sua dissoluo.
Estude a seo 17
Aspectos da segu-
rana da informao
na gesto da
continuidade do
negcio da norma
ABNT NBR ISO/IEC
27002:2013..
d
152

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Nesse contexto, so mais que necessrias a conscientizao a respeito da necessidade de
recuperao de desastres e o plano de contingncia ambos estratgicos para atender aos
objetivos de negcio da organizao. Em adio, relevante, ainda, um plano de continui-
dade de negcios.
Vale ressaltar que os dirigentes da organizao so responsveis por analisar seus recursos
e informaes, de modo a identifcar a importncia de cada um deles para a continuidade
dos negcios.
O plano de continuidade de negcios de responsabilidade dos dirigentes da organizao.
A equipe de gerncia da segurana pode auxiliar nessa tarefa, mas no pode ser responsa-
bilizada por sua inteira implementao. Tal auxlio pode contemplar a criao, manuteno,
divulgao e coordenao do plano de contingncias.
Gesto da continuidade de negcios
q 1 Combina medidas de preveno e recuperao.
1 Aspectos relevantes:
2 Identifcar os processos crticos de negcios.
2 Integrar a gesto da segurana da informao.
1 O plano de continuidade de negcios deve ser implementado.
A gesto da continuidade de negcios combina medidas de preveno e recuperao, com
o objetivo de impedir a indisponibilidade de servios e atividades do negcio, protegendo,
assim, os processos crticos contra impactos causados por falhas ou desastres e, no caso de
perdas, prover a recuperao dos ativos envolvidos e restabelecer o funcionamento normal
da organizao em um intervalo de tempo aceitvel. Em particular, imprescindvel identi-
fcar os processos crticos na organizao e, em seguida, integrar a gesto da segurana da
informao em funo das exigncias da gesto da continuidade de negcios.
Alguns exemplos de processos crticos so as operaes gerais, tratamento dos funcion-
rios, materiais, transporte e instalaes considerando, para o contexto, seus requisitos
especfcos de continuidade. Sendo assim, importante implementar um plano de conti-
nuidade de negcios com vistas recuperao dos processos crticos, dentro do intervalo
de tempo aceitvel ao negcio em caso de desastres. Vale salientar que o plano de conti-
nuidade de negcios global para a organizao, mas a segurana da informao deve ser
considerada como um de seus componentes.
Para obter mais detalhes a respeito da continuidade de negcios, consulte as normas:
1 ABNT NBR 15999-1:2007 Errata 1:2008 Gesto de continuidade de negcios Parte 1:
Cdigo de prtica;
1 ABNT NBR ISO 22301:2013 Segurana da sociedade Sistema de gesto de continuidade
de negcios Requisitos.
Gesto da continuidade de negcios
Qual o objetivo da gesto da continuidade de negcios?
153

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
Quais os processos crticos da sua instituio?
Segurana da informao e gesto da continuidade de negcios
q A segurana da informao estratgica. Consideraes:
1 Compreenso dos riscos.
1 Identifcao dos processos e ativos crticos.
1 Compreenso dos impactos.
1 Contratos de seguro.
1 Identifcao de medidas aplicveis.
1 Identifcao dos recursos requeridos.
1 Proteo de recursos de processamento.
1 Documentao detalhada.
1 Testes e manuteno dos planos.
Neste tpico, sero apresentadas as principais consideraes para a integrao da segu-
rana da informao gesto da continuidade de negcios. Em especial, tratando da anlise
de riscos e sua importncia para ambos.
A segurana da informao deve ser contemplada como um item estratgico a considerar para
a continuidade de negcios de uma organizao. Sendo assim, ao tratar a incluso da segurana
da informao no contexto especfco, as seguintes consideraes devem ser atendidas:
1 Compreenso dos riscos organizao em termos de probabilidades e impactos;
1 Identifcao dos processos crticos do negcio e dos ativos diretamente relacionados;
1 Compreenso dos impactos gerados por incidentes de segurana aos negcios;
1 Identifcao de contratos de seguro estabelecidos para os ativos crticos da organizao;
1 Identifcao das medidas preventivas, corretivas e orientadoras aplicveis;
1 Identifcao dos recursos fnanceiros, de infraestrutura, tcnicos e ambientais necess-
rios para o levantamento dos requisitos de segurana;
1 Considerao a respeito das medidas relacionadas segurana de Recursos Humanos;
1 Considerao a respeito das medidas que asseguram a proteo de recursos
de processamento;
1 Documentao detalhada sobre os requisitos de segurana da informao a serem includos;
1 Formalizao de testes e da manuteno dos planos (de continuidade de negcios e de
contingncias, por exemplo).
q Exemplo de questo a ser considerada no plano de continuidade de negcios:
1 Perda da capacidade de proteo, processamento e recuperao das informaes
manipuladas nos computadores da organizao, podendo ocasionar problemas na
realizao de seus negcios e no cumprimento de metas previamente estabelecidas
em contrato com seus clientes.
154

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
O exemplo apresenta um problema a ser tratado no plano de continuidade de negcios das
organizaes.
Segurana da informao e gesto da continuidade de negcios
Segundo o ambiente da sua organizao, qual a importncia da compreenso dos impactos
gerados por incidentes de segurana aos negcios?
Anlise de riscos e continuidade de negcios
q Compreende:
1 Identifcar eventos adversos.
1 Analisar riscos (de toda a espcie).
Em funo dos resultados da anlise, deve-se elaborar um planejamento de estratgias
para a continuidade de negcios.
A gesto da continuidade do negcio deve comear pela identifcao dos eventos adversos
(identifcao das possveis ameaas), seguida de uma anlise de riscos no apenas de
segurana, mas de todos os processos de negcio , com o intuito de determinar o impacto
das interrupes, tanto em relao escala de dano causado quanto ao perodo de recupe-
rao. Ambas as atividades devem ser executadas com o total envolvimento dos respons-
veis pelos processos e recursos do negcio.
Dependendo dos resultados da anlise de riscos, um planejamento especfco deve ser
desenvolvido para determinar a estratgia a ser usada para alcanar a continuidade de
negcios. Nessa estratgia, deve-se determinar, por exemplo, o intervalo de tempo aceitvel
para recuperao dos sistemas crticos.
Com isso, h condies de decidir como e onde investir em medidas de segurana, protegendo
os ativos e mantendo as atividades dentro de sua maior normalidade. Uma vez desenvolvido o
plano, ele deve ser validado e implementado pelos dirigentes da organizao.
Anlise de riscos e continuidade de negcios
Qual a fnalidade da realizao de uma anlise de risco na gesto da continuidade de negcios?
Plano de continuidade de negcios
q 1 Estrutura.
1 Desenvolvimento e implementao.
1 Testes.
1 Manuteno e reavaliao.
155

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
Neste tpico, sero mostradas as fases de implementao de um plano de continuidade de
negcios tipicamente propostas para organizaes reais, de modo a considerar todos os
requisitos de segurana da informao para a continuidade dos negcios.
Estrutura
q Contemplar, pelo menos:
1 Responsabilidades individuais requeridas.
1 Indicao de gestor.
1 Condies para acionamento.
1 Procedimentos para operao temporria durante recuperao.
1 Procedimentos emergenciais.
1 Procedimentos de recuperao.
1 Especifcao do cronograma de testes e manuteno.
1 Treinamentos.
A estrutura de um plano de continuidade de negcios normalmente deve contemplar:
1 As responsabilidades individuais requeridas para cada uma das atividades propostas no plano;
1 Indicao de um gestor especfco;
1 As condies necessrias para acionamento do plano; por exemplo, como avaliar o
evento adverso, a quem notifcar etc;
1 Procedimentos que assegurem a operao temporria dos processos e sistemas de
negcio enquanto a recuperao estiver em execuo;
1 Procedimentos emergenciais para as situaes nas quais h incidentes que impactam
diretamente os negcios;
1 Procedimentos de recuperao de processos e operaes de negcio em um intervalo de
tempo aceitvel;
1 Especifcao do cronograma de manuteno e testes do plano;
1 Promoo de treinamentos a respeito da continuidade de negcios.
Como premissa, destaca-se a necessidade de os ativos e recursos crticos estarem aptos a
desempenhar os procedimentos emergenciais e de recuperao propostos no plano.
Desenvolvimento e implementao
q Considerar, pelo menos:
1 Identifcao das responsabilidades e procedimentos.
1 Identifcao do grau aceitvel de perdas.
1 Implantao dos procedimentos de recuperao.
1 Conscientizao quanto s responsabilidades.
1 Testes.
1 Manuteno regular.
1 Cpias do plano em locais distintos.
156

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Durante o planejamento da continuidade de negcios, alguns itens so determinantes e
indicam o contedo a ser includo no plano com vistas tambm segurana da informao:
1 Identifcao das responsabilidades e procedimentos relativos continuidade de negcios;
1 Identifcao do grau aceitvel de perdas de informaes e servios;
1 Implantao dos procedimentos destinados recuperao das operaes de negcio e
da disponibilidade da informao, considerando o intervalo de tempo aceitvel para o
restabelecimento do funcionamento normal das operaes;
1 Conscientizao das pessoas em termos de suas responsabilidades e conhecimento dos
procedimentos envolvidos;
1 Testes;
1 Manuteno regular do plano, objetivando refetir mudanas signifcativas nos negcios
da organizao.
relevante considerar todas as dependncias externas ao negcio e contratos existentes,
em especial, no que diz respeito legislao especfca aplicvel. Recomenda-se, ainda, que
sejam mantidas (atualizadas e protegidas) cpias do plano de continuidade de negcios em
ambientes remotos, como uma medida de contingncia para situaes de desastres.
Desenvolvimento e implementao
No ambiente da sua organizao, cite trs itens que so determinantes durante o planeja-
mento da continuidade de negcios.
Testes
q O plano de testes indica como e quando cada componente do plano deve ser testado.
Tcnicas possveis:
1 Testes de cenrios.
1 Simulaes.
1 Teste de recuperao tcnica.
1 Teste de recuperao em local alternativo.
1 Testes de facilidade de fornecedores e servios.
1 Ensaio completo.
O plano de continuidade de negcios deve ser testado regularmente como forma de assegurar
sua atualizao e efcincia. Os testes devem garantir tambm que todos os integrantes da
equipe de recuperao e outros funcionrios relevantes possuem conhecimento dos planos.
Os testes devem indicar como e quando cada um de seus componentes deve ser testado.
recomendvel testar os componentes individuais dos planos frequentemente. Vrias tc-
nicas podem ser utilizadas de modo a garantir a exatido com a qual os planos operaro na
vida real. Entre elas, destacam-se:
1 Teste de vrios cenrios (discutindo os acordos de recuperao, por exemplo,
usando interrupes);
157

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
1 Simulaes (particularmente teis para o treinamento de pessoal em seus postos e
funes de gerenciamento de crise);
1 Teste de recuperao tcnica (assegurando que os sistemas de informao podem ser
efetivamente recuperados);
1 Teste de recuperao em um local alternativo (executando os processos do negcio em
paralelo com as operaes de recuperao fora do local principal);
1 Testes de facilidades de fornecedores e servios (garantindo que os servios e produtos
fornecidos por fontes externas satisfazem os requisitos contratados);
1 Ensaio completo (testando a organizao, o pessoal envolvido, os equipamentos, as faci-
lidades de processamento e os processos para confrmar que podem enfrentar e superar
interrupes do ambiente operacional).
Manuteno e reavaliao
q 1 Manuteno regular.
1 Atualizar o plano em virtude de mudanas.
2 Nos negcios (objetivos e/ou estratgias).
2 Aquisio de novos equipamentos e sistemas.
2 Legislao.
1 Deve-se estabelecer responsabilidades para reavaliaes regulares.
O plano de continuidade de negcios deve passar por uma manuteno em intervalos regu-
lares de tempo e ser atualizado de forma a garantir sua efetividade. Alm de mudanas nos
negcios, entre outras, apresentadas a seguir, que possam indicar necessidades de melho-
rias do plano, os testes realizados devem ser devidamente documentados e servir como
fonte de dados para atualizaes.
Mudanas relevantes a serem consideradas na manuteno do plano compreendem a aqui-
sio de novos equipamentos, de novos sistemas (ou a atualizao destes), mudanas de
estratgias de negcio e mudanas na legislao.
recomendvel estabelecer a responsabilidade para as revises regulares. A identifcao
das modifcaes j ocorridas no negcio, mas ainda no includas no plano, um sinal de
que h necessidade de manuteno. O processo de controle de mudana deve garantir que
os planos atualizados sero distribudos pelos setores responsveis (e para o local remoto,
de modo adequado).
q Exemplo de recomendao para a continuidade de negcios Comprometimento do
ambiente de TI:
1 Em caso de comprometimento comprovado da segurana do ambiente de TI por
algum evento no previsto, todas as senhas de acesso devero ser modifcadas.
Nesses casos, uma verso segura do Sistema Operacional, assim como dos softwares
de segurana, dever ser baixada novamente, e as alteraes recentes de usurios e
privilgios do sistema devem ser revisadas a fm de detectar modifcaes no autori-
zadas de dados.
O exemplo apresenta procedimentos recomendados para serem acionados devido ocor-
rncia de desastres no ambiente de TI, visando a continuidade de negcios.
158

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Exemplo de diretriz para a conscientizao em segurana da informao e continuidade
de negcios:
1 A divulgao das regras, riscos, procedimentos e polticas de segurana aos usurios
fnais deve ser objeto de campanhas internas permanentes, seminrios de conscienti-
zao e quaisquer outros meios ou iniciativas para a consolidao da educao para a
A diretriz mostrada no exemplo compreende diretamente as preocupaes com a educao
para a segurana da informao e, por consequncia, auxilia no sentido de garantir a conti-
nuidade de negcios da organizao.
O DSIC publicou a Norma Complementar 06/IN01/DSIC/GSIPR Gesto de Continuidade de
Negcios em Segurana da Informao e Comunicaes, que aborda o tema de continuidade
de negcios para os rgos da Administrao Pblica Federal (APF).
Gesto de incidentes de segurana
O que voc entende por continuidade de negcios?
Como feita a continuidade de negcios na sua instituio?
q 1 Notifcao de eventos adversos.
1 Procedimentos da gesto de incidentes de segurana.
1 Defnio de responsabilidades e procedimentos efetivos.
1 Aplicar medidas corretivas aps notifcao.
1 Monitoramento regular apropriado como medida de deteco.
Neste tpico, sero apresentados alguns dos principais aspectos relacionados segurana
da informao nas organizaes a gesto de incidentes de segurana, apresentando,
assim, as preocupaes relativas notifcao de incidentes e aos procedimentos necess-
rios sua gesto.
Estude a seo 16 Gesto de incidentes de segurana da informao da norma
ABNT NBR ISO/IEC 27002:2013.
A gesto de incidentes de segurana da informao engloba a defnio de responsabilidades
e procedimentos efetivos para o controle de eventos adversos (incidentes) aps a notifcao.
Sendo assim, a gesto de incidentes envolve procedimentos para a notifcao de eventos
adversos de segurana e aplicao de medidas adequadas para sua resoluo. Vale observar
que, alm da notifcao, importante um efetivo monitoramento da organizao como
medida de deteco de incidentes de segurana.
159

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
Notificao de eventos adversos
q 1 Efetuada para acionar as medidas adequadas em tempo aceitvel.
1 As pessoas devem ser conscientizadas a respeito dos procedimentos de notifcao.
1 As notifcaes devem ser emitidas aos responsveis diretos pela gesto de incidentes.
Uma srie de eventos adversos (ou incidentes de segurana) pode ocorrer nas organiza-
es, como, por exemplo, perdas de equipamentos e recursos; sobrecarga de sistemas;
violaes de controles de acesso fsico/lgico; mau funcionamento de hardware/software,
cdigos maliciosos, negao de servio (DoS Denial of Service), uso imprprio de sis-
temas de informao, entre outros.
A notifcao de eventos adversos deve ser efetuada para que a ao corretiva adequada seja
aplicada em tempo hbil. Nesse sentido, importante que todas as pessoas (funcionrios,
terceiros etc.) sejam informadas a respeito dos procedimentos formais necessrios para a
notifcao e que, assim, se tornem responsveis por notifcar qualquer evento adverso ou
vulnerabilidade que possa causar impacto segurana da informao da organizao.
Vale salientar que as notifcaes devem ser emitidas para o responsvel (pessoa ou equipe)
direto por receb-las na organizao. Com isso, importante identifcar quem o respon-
svel antecipadamente e de modo formal. Alm disso, pode-se utilizar ferramentas como
formulrios especfcos para auxiliar as pessoas na preparao da notifcao e, ainda,
registrar o evento adverso.
Notificao de eventos adversos
Qual a fnalidade da notifcao de eventos adversos?
Procedimentos da gesto de incidentes de segurana
q Aes efetivas, rpidas e ordenadas. Compreendem:
1 Planos de contingncias.
1 Identifcao e anlise da causa do incidente.
1 Planejamento e implementao de medidas corretivas.
Para a gesto de incidentes de segurana, preciso estabelecer procedimentos adequados
a serem seguidos aps sua notifcao. Nesses procedimentos, devem constar as aes
efetivas a serem tomadas de modo ordenado e rpido.
Os procedimentos de gesto de incidentes de segurana devem contemplar:
1 Planos de contingncia;
1 Identifcao e anlise da causa do incidente de segurana. A anlise, em particular, deve
fornecer informaes a respeito dos tipos, quantidades e custos relativos aos incidentes
de segurana de modo a dar uma ideia do impacto de sua ocorrncia para a organizao
(negcios, principalmente) e, por consequncia, dar indcios a respeito das necessidades
quanto ao a ser tomada;
1 Planejamento e implementao de uma ao corretiva que evite a repetio do incidente.
160

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Uma questo relevante deve ser considerada: manter procedimentos que determinem
quem contatar e quando contatar em casos de incidentes que envolvam autoridades como,
por exemplo, corpo de bombeiros e agentes de fscalizao. Manter tais informaes
importante tanto para a gesto de incidentes de segurana quanto para a gesto da conti-
nuidade dos negcios.
O DSIC publicou a Norma Complementar 05/IN01/DSIC/GSIPR Criao de Equipes de Trata-
mento e Resposta a Incidentes em Redes Computacionais (ETIR), que apresenta modelos de
criao de ETIR para os rgos da Administrao Pblica Federal (APF).
Procedimentos da gesto de incidentes de segurana
O que deve ser contemplado nos procedimentos da gesto de incidentes de segurana?
Planos de contingncias
q Aspectos importantes:
1 Recursos fnanceiros, humanos e de infraestrutura.
Fases:
1 Resposta imediata a desastres.
1 Processo de recuperao.
A seguir sero apresentados os aspectos relacionados importncia dos planos de contin-
gncia nas organizaes e suas fases de planejamento.
Implementar (planejar, elaborar e implantar) um plano de contingncias envolve recursos
fnanceiros, acordos, cooperao dos funcionrios e, muitas vezes, auxlio de consultorias
tcnicas externas e empresas especializadas em segurana ou seguros. Em adio, devem
ser tambm considerados os custos com treinamentos, testes e manuteno do plano.
Um plano de contingncias deve contemplar duas fases: resposta imediata a desastres
(inclusive incidentes de segurana) e processo de recuperao. Na primeira fase, deve-se
considerar as decises gerenciais quanto s medidas a serem aplicadas e, na segunda fase,
deve-se defnir os procedimentos necessrios ao restabelecimento das funes, sistemas
e recursos. O plano de contingncias pode incluir etapas distintas (e complementares) de
recuperao, de modo que, ao longo do tempo, o funcionamento normal da organizao
seja restabelecido.
A seguir, sero apresentadas descries de fases que compreendem o planejamento de
contigncias e os respectivos detalhes.
Fases do planejamento
q 1 Atividades preliminares.
1 Anlise de impactos.
1 Anlise de alternativas de recuperao.
1 Desenvolvimento do plano de contingncias.
161

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
q 1 Treinamento.
1 Testes.
1 Avaliao e atualizao do plano.
Antes do planejamento, importante responder s seguintes questes:
1 Quais so os objetivos?
1 Qual o oramento?
1 Quais so os prazos?
1 Quais so os recursos humanos disponveis?
1 Quais so os equipamentos e demais suprimentos necessrios?
1 Quais so as responsabilidades da equipe responsvel pelo planejamento?
Com todas as respostas, pode-se iniciar o planejamento de contingncias, seguindo as fases:
1 Atividades preliminares, envolvendo a conscientizao dos dirigentes da organizao, a
identifcao dos recursos e informaes crticas, anlise de custos e defnio de prazos;
1 Anlise de impacto, visando identifcar os impactos causados por interrupo de servios
providos por cada sistema computacional da organizao, considerando, para tanto, a
importncia de cada um deles para a continuidade dos negcios;
1 Anlise das alternativas de recuperao, que procura verifcar a relao custo x benefcio
das vrias opes para recuperao aps desastres. importante que, exatamente aps
essa fase, seja elaborado e entregue aos dirigentes da organizao um documento rela-
tando as anlises e recomendaes para a continuidade dos negcios;
1 Desenvolvimento do plano de contingncias aps a anlise do relatrio apresentado ao
fnal da fase anterior; tem por objetivo elaborar o contedo do plano;
1 Treinamento, objetivando a conscientizao das pessoas quanto a suas responsabili-
dades perante o plano;
1 Teste do plano de contingncias, visando identifcar melhorias atravs de adaptaes ou
correes;
1 Avaliao dos resultados e atualizao do plano, na qual os resultados dos testes so ava-
liados e iniciado o processo de modifcao do plano conforme as melhorias propostas.
Atividades preliminares
q 1 Iniciativas para a conscientizao dos dirigentes.
1 Levantamento preliminar de recursos, sistemas e funes crticas aos negcios.
As atividades preliminares do planejamento de contingncias compreendem basicamente
todas as iniciativas de conscientizao dos dirigentes a respeito das necessidades e um
estudo preliminar a respeito dos itens crticos para a organizao.
No possvel implantar um plano de contingncias sem a real sensibilizao dos
dirigentes da organizao, muito menos sem seu apoio total.
No estudo preliminar dos servios crticos, so levantados recursos, sistemas e funes crticas
aos negcios da organizao, e tambm custos, prazos e recursos humanos necessrios
realizao da anlise de impacto (a prxima fase do planejamento). Note aqui a importncia de
apresentar esse estudo aos dirigentes da organizao, com o intuito de obter sua aprovao.
162

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Plano de contingncias
Quais so as fases de um plano de contingncia e o que deve ser contemplado em cada fase?
Quais so as atividades preliminares do planejamento de contingncia?
Anlise de impacto
q Atividade importante para a tomada de decises estratgicas. Subfases:
1 Identifcao e classifcao dos recursos, sistemas e funes crticas.
1 Defnio do tempo para recuperao.
1 Elaborao de relatrio especfco.
Nesta fase, so identifcados e classifcados, em funo de sua importncia para os negcios
da organizao, as funes, os sistemas e recursos, considerando, para tanto, as possveis
ameaas a que esto expostos. Essa anlise um elemento importante para que os diri-
gentes possam tomar decises a respeito dos investimentos a serem aplicados em medidas
de segurana, com vistas continuidade de seus negcios.
No processo de anlise de impactos, importante realizar entrevistas com diferentes
gerentes de equipe de setores especfcos e crticos para os negcios da organizao,
equipes de suporte e usurios de sistemas.
A anlise de impacto pode ser dividida em trs subfases: identifcao dos recursos, funes
e sistemas crticos, defnio do tempo para recuperao e elaborao de relatrio.
Ameaa
Pode causar
Indiretos Diretos
Dano Impacto
$$$$$
Anlise de impacto
Especifque as subfases de uma anlise de impacto:
Figura 9.1
Sequncia at o
impacto.
163

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
Identificao dos recursos, funes e sistemas crticos
q 1 Identifcar e classifcar segundo as prioridades para os negcios.
1 Essencial tomada de decises quanto a contingncias.
Nesta subfase, deve-se considerar tanto a identifcao de recursos, funes e sistemas cr-
ticos, quanto sua classifcao. Segue uma proposta para classifcao que pode ser usada
em organizaes reais:
1 Altamente importantes (essenciais);
1 De importncia mdia;
1 De baixa importncia.
Note que identifcao e classifcao geram dados essenciais tomada de deciso
a respeito do escopo do plano de contingncia, garantindo um funcionamento da
organizao em um nvel de servio aceitvel.

Definio do tempo para recuperao e elaborao de relatrio
q Determinar o intervalo de tempo aceitvel para paradas. No relatrio, destacar:
1 Recursos, sistemas e funes identifcadas e classifcadas.
1 Descrio das potenciais ameaas.
1 Intervalo de tempo aceitvel para recuperao.
1 Levantamento de recursos necessrios recuperao aps desastres.
Na subfase de defnio do tempo para recuperao, determina-se o intervalo de tempo
aceitvel de indisponibilidade de cada funo, recurso e sistema em funo da criticidade e
do impacto relativos. Como resultado, tem-se o intervalo de tempo aceitvel para a recupe-
rao do recurso, sistema ou funo.
No relatrio, deve-se destacar:
1 Os recursos, sistemas e funes identifcados e classifcados em ordem de importncia
para a organizao;
1 Uma descrio das ameaas potenciais para cada recurso, sistema e funo;
1 O intervalo de tempo tolervel para a recuperao de cada recurso, sistema e funo;
1 O levantamento de recursos humanos, instalaes, equipamentos e servios requisi-
tados para o restabelecimento e recuperao de cada recurso, sistema e funo.
Ao fnal das trs subfases, o relatrio basear os dirigentes da organizao na tomada de
deciso quanto implantao do plano de contingncias.
Anlise de alternativas de recuperao
q Considerar necessidades reais da organizao. Existem vrias alternativas:
1 Preveno e deteco de acidentes.
1 Poltica adequada de backup.
1 Armazenamento e recuperao de dados.
1 Seguros.
164

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Nesta fase, alternativas como preveno e deteco de acidentes, controle de backups,
estratgias confveis para armazenamento e recuperao de dados, seguros, espelhamento
de sistemas e recursos, entre outras alternativas de recuperao no caso de desastres, so
analisadas e selecionadas para serem implantadas em casos especfcos de necessidade de
contingncia, considerando os resultados obtidos nas fases anteriores do planejamento.
Em termos de preveno e deteco de acidentes, recomendvel considerar equipa-
mentos de deteco e combate a incndios; a manuteno preventiva de equipamentos; a
proteo de documentos no magnticos (impressos, por exemplo); a segurana adequada
de recursos humanos etc.
A poltica de backup um dos elementos mais importantes de um plano de contingncias;
afnal, um sistema que passou por problemas pode ser comparado com seu backup
(se mantido atualizado e completo), possibilitando sua restaurao. Portanto, cabe poltica
de backup determinar todos os procedimentos necessrios proteo das informaes da
organizao de acordo com sua importncia para os negcios. Vale lembrar que a infraes-
trutura e os procedimentos de backup devem ser testados regularmente, para que a recupe-
rao, em caso de problemas de segurana, seja realmente assegurada.
Em termos de armazenamento de dados, deve-se considerar a segurana adequada
aplicada mdia e o local de armazenamento utilizado, inclusive considerando o armazena-
mento remoto de cpias. Para a recuperao de dados armazenados, recomendado testar
regularmente os procedimentos de restaurao usados. Lembre-se de que, se a recupe-
rao de dados for falha, de nada servir manter backups.
Deve-se tambm considerar a possibilidade de contratar seguros para cobrir potenciais
perdas causadas por incidentes de segurana.
Anlise de alternativas de recuperao
Por que a poltica de backup importante em um plano de contingncia?
Relatrio de alternativas de recuperao
q 1 Descrio das opes.
1 Estimativas de custos.
1 Vantagens e desvantagens.
1 Recursos necessrios.
Aps a anlise de alternativas, deve-se elaborar um relatrio detalhado a respeito das opes
para recuperao, estimativas de custos e vantagens e desvantagens de cada alternativa.
Cabe tambm destacar os recursos humanos, fnanceiros e de infraestrutura requeridos
para a prxima fase. Tal relatrio tambm apoiar os dirigentes da organizao nas tomadas
de deciso estratgicas quanto ao plano de contingncia.
165

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
Desenvolvimento do plano de contingncias
q 1 Designar equipe responsvel.
1 Determinar como responder a desastres.
1 Identifcar aplicativos crticos.
1 Manter inventrio de arquivos, dados, Sistema Operacional e utilitrios.
1 Levantar necessidades especiais.
Durante o desenvolvimento do plano de contingncias, deve-se atentar para as seguintes
orientaes, pelo menos:
1 Designar uma equipe para implantar o plano de contingncias, inclusive dividindo-a por
rea de atuao. Por exemplo, equipe gerencial, que tratar da coordenao das ativi-
dades relacionadas, e equipe de resposta imediata a incidentes, que acionar as medidas
adequadas aos incidentes de segurana ocorridos;
1 Determinar como responder a desastres em tempo hbil, contemplando a identifcao
e compreenso do problema; conteno de danos; identifcao dos danos causados;
restaurao dos sistemas e eliminao das causas dos desastres;
1 Identifcar os aplicativos crticos, aos quais devero ser aplicadas medidas emergenciais
em situaes de desastre;
1 Manter um registro (ou inventrio) de arquivos, dados, programas, Sistema Operacional
e utilitrios relacionados aos aplicativos crticos, assegurando que todos sero includos
nos procedimentos de backup e recuperao;
1 Levantar as necessidades de condies especiais requeridas por parte das redes
de comunicao;
1 Considerar cuidados como retirada de pessoal e garantia da segurana de documentos
em papel e em meios magnticos.
Treinamentos e testes
q 1 Treinamentos devem ser regulares e compreender teoria, prticas e simulaes.
1 Testes podem ser feitos nas categorias:
2 Integral.
2 Parcial.
2 Simulado.
Deve-se considerar nesta fase iniciativas para a conscientizao dos funcionrios e terceiros
quanto ao plano de contingncias da organizao. Sendo assim, os treinamentos devem ser
regulares, envolvendo simulaes, teoria e prtica.
Uma das garantias que a organizao pode considerar, em termos do plano de contin-
gncias, o resultado dos testes aplicados a ele. Em termos prticos, os testes podem ser
classifcados nas seguintes categorias:
1 Integral, envolvendo situaes prximas realidade da organizao; por exemplo,
contemplando a verifcao de procedimentos de transferncia de pessoas
e processamento para locais de reserva;
1 Parcial, restrita a partes do plano de contingncias ou a certas atividades ou aplicativos;
166

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 Simulado, considerando representaes da situao de desastre; por exemplo,
desocupao do prdio da organizao em uma simulao de incndio.
Durante os testes, deve-se cronometrar todos os eventos relacionados e registrar todos os
problemas ocorridos, se possvel indicando uma classifcao de acordo com sua gravidade.
Treinamentos e testes
Como podem ser classifcados os testes?
Avaliao e atualizao do plano
q A avaliao e atualizao do plano devem ser contnuas e refetir mudanas:
1 Nos negcios.
1 No ambiente.
1 Em questes administrativas.
Em funo de mudanas nos objetivos de negcio, mudanas administrativas e de ambiente
computacional, por exemplo, deve-se tambm atualizar o plano de contingncias, de modo que
este refita tais mudanas, minimizando impactos ocasionados por falhas de segurana.
q Exemplos de recomendaes para a preveno de incidentes de segurana da informao:
1 No permitido, a menos que com a devida autorizao, interferir, sobrecarregar
ou desativar um servio, inclusive aderir ou cooperar com ataques de negao de
servios internos ou externos.
1 vetada aos usurios a execuo de testes ou tentativas de comprometimento de
controles internos. Esta prtica permitida apenas a pessoas com competncia e
funo tcnica na organizao, durante atividades de monitoramento e anlise de
riscos, com a autorizao legtima para tal.
Os exemplos apresentam algumas recomendaes que podem fazer parte da poltica de
segurana ou das diretrizes de segurana da informao, objetivando a ocorrncia de
incidentes de segurana. Todas as recomendaes so consideradas genricas e aplicveis
em organizaes reais.
Boas prticas
q 1 Documentar incidentes de segurana.
1 Identifcar recursos, sistemas e funes crticas.
1 Analisar impactos.
1 Avaliar alternativas e selecionar as adequadas.
1 Elaborar o plano segundo as necessidades reais.
1 Promover treinamentos peridicos.
1 Efetuar testes regulares.
1 Manter o plano atualizado.
167

C
a
p
t
u
l
o

9

-

G
e
s
t
o

d
e

c
o
n
t
i
n
u
i
d
a
d
e

d
e

n
e
g
c
i
o
s
Na procura por uma adequada gesto de incidentes e um plano de contingncias efetivo
para uma organizao, algumas prticas so recomendadas:
1 Documentar todos os incidentes de segurana e aes tomadas, para possibilitar uma
investigao posterior das causas;
1 Identifcar recursos, funes e sistemas crticos e suas prioridades em funo dos negcios;
1 Analisar o impacto ocasionado por ameaas de segurana na organizao;
1 Avaliar alternativas de recuperao, procurando identifcar as mais adequadas ao contexto;
1 Elaborar o plano de contingncias de acordo com os recursos disponveis (fnanceiros, de
recursos humanos e de infraestrutura);
1 Treinar pessoas, conscientizando-as a respeito de suas responsabilidades junto ao plano
de contingncias;
1 Efetuar testes regulares no plano de contingncias e nos procedimentos de recuperao
estabelecidos na organizao.
168

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
169

C
a
p
t
u
l
o

9

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

9
Atividade 9.1 Entendendo os conceitos de Gesto de Continuidade de Negcios
1. Explique o que a Gesto de Continuidade de Negcios.
2. Que consideraes devem ser atendidas no tratamento da segurana da informao no
contexto da continuidade de negcios?
Atividade 9.2 Executando a continuidade de negcios
1. Qual a estrutura mnima de um Plano de Continuidade de Negcios (PCN)?
2. O que a gesto de incidentes de segurana deve contemplar?
3. Qual a importncia da notifcao de eventos adversos?
170

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
4. Quais devem ser os procedimentos da gesto de incidentes de segurana?
5. Descreva o que deve ser feito durante a anlise de impacto no decorrer das fases do
planejamento de contingncias.
6. Explique o que o tempo de recuperao e, atravs de um exemplo prtico, indique
como ele deve ser empregado.
Atividade 9.3 Executando a continuidade de negcios e a gesto de incidentes
na sua organizao
1. Como integrante do comit de segurana da informao, voc foi indicado(a) para apre-
sentar um plano de Continuidade de Negcios (PCN) para sua organizao. Durante a
apresentao do tema, considerando a atual estrutura e objetivos da sua instituio, que
atividades devem ser listadas para desenvolver este plano?
171

C
a
p
t
u
l
o

9

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

9
2. Voc assumiu a responsabilidade de estruturar uma equipe de Tratamento e Respostas
a Incidentes para redes computacionais (ETIR) para sua organizao. Como voc vai estru-
turar esta equipe? Que profssionais da sua organizao integraro o ETIR? Quais sero os
objetivos do ETIR?
172

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
173

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
10
Conformidade
Verifcar a conformidade com polticas e normas de segurana da informao e
avaliar a conformidade com a legislao.

Legislao e direito digital no Brasil, verifcao da conformidade com requisitos
legais e auditoria.

Legislao e direito digital no Brasil
q 1 Importncia da legislao.
1 Direito digital.
1 Legislao e direito digital no Brasil.
1 Direito digital e necessidades atuais.
Em termos de legislao e direito digital no Brasil, sero apresentados os seguintes subtpicos:
1 Importncia da legislao, mostrando os itens relevantes, em termos de legislao, para
a segurana da informao;
1 Direito digital, apresentando a defnio e questes relacionadas;
1 Legislao e direito digital no Brasil, dando uma viso geral a respeito das leis vigentes
atualmente, com respeito tecnologia e segurana da informao;
1 Direito digital e necessidades atuais, identifcando as necessidades atuais quanto
ausncia de legislao especfca no que se refere ao direito digital no Brasil;
1 Estudo de caso, objetivando apresentar uma atividade prtica correspondente, com o
intuito de oferecer aos participantes uma refexo a respeito de possveis medidas pre-
ventivas para o caso estudado.
Conformidade
O que voc entende por conformidade?
174

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Como feita a conformidade na sua instituio?
Importncia da legislao
q Nas organizaes, deve-se evitar o comprometimento e violao de:
1 Leis criminais ou civis.
1 Estatutos.
1 Regulamentaes.
1 Obrigaes contratuais.
1 Requisitos de segurana da informao.
Os aspectos legais especfcos devem ser considerados (legislao varia de acordo com o pas).
crescente a preocupao com a legislao e padres relacionados segurana da infor-
mao, dada a sua importncia para a sociedade atual. Sendo assim, vrios projetos legisla-
tivos, padres e normas j foram defnidos ou esto em evoluo ou em desenvolvimento.
As leis, em particular, garantem a proteo dos direitos aplicveis segurana da infor-
mao e preveem sanes legais s situaes de fraude. Com base em padres e normas,
as organizaes podem estabelecer suas polticas de segurana e processo de auditoria
adaptados ao seu ramo de negcio. Vale esclarecer que, na maioria dos casos, padres tm
mbito internacional, enquanto normas e leis, mbito nacional. Sendo assim, h variaes
quanto a padres, normas e leis aplicadas em pases distintos.
As organizaes devem garantir proteo contra a violao de quaisquer leis criminais ou
civis, estatutos, regulamentaes, obrigaes contratuais e requisitos de segurana da
informao, objetivando a garantia de conformidade legal e da sade institucional. Nesse
contexto, recomendam-se os servios de consultoria prestados por empresas ou profssio-
nais especializados na rea jurdica (direito digital) e da segurana da informao.
Na procura por conformidade legal, salutar que a organizao busque e se mantenha atu-
alizada quanto legislao vigente e normas e padres de segurana aplicveis. No Brasil, a
Associao Brasileira de Normas Tcnicas (ABNT) estabelece normas a serem seguidas por
produtos e servios, inclusive aqueles relacionados segurana da informao. Em nvel
internacional, destacam-se, na rea, a International Organization for Standardization (ISO) e
a International Electrotechnical Comission (IEC).
Entre as normas diretamente relacionadas gesto da segurana da informao, destacam-se
as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.
Direito digital
q Estabelece os princpios e instrumentos jurdicos que atendem era digital, e envolve
questes multidisciplinares:
1 Civil.
1 Trabalhista.
1 Constitucional.
1 Consumidor.
175

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

q 1 Penal.
1 Autoral.
1 Contratual.
O direito digital compreende um conjunto de princpios fundamentais e instrumentos jur-
dicos que atendem aos requisitos da era digital e envolvem questes multidisciplinares rele-
vantes, a saber: civil, trabalhista, constitucional, do consumidor, penal, autoral e contratual.
A seguir, so apresentados questionamentos exemplares relativos s questes tratadas na
alada do direito digital:
1 Questo civil: a montagem de um website falsifcado na internet, prejudicando determi-
nada organizao, pode ocasionar indenizao por danos morais e materiais?
1 Questo trabalhista: a demisso de um funcionrio por mau uso de correio eletrnico
caracterizada como justa causa?
1 Questo constitucional: o monitoramento do e-mail dos funcionrios viola o direito
privacidade?
1 Questo do consumidor: o compartilhamento de dados coletados na internet fere o
Cdigo de Defesa do Consumidor (CDC)?
1 Questo penal: se um funcionrio instalar programas piratas na mquina de trabalho,
a empresa responde judicialmente?
1 Questo autoral: a empresa tem direito aos cdigos-fonte dos softwares que enco-
menda a terceiros?
1 Questo contratual: os e-mails trocados entre as partes podem ser usados como prova
de uma relao contratual?
q Exemplo de recomendao para uso de recursos de TI, defnida na poltica de segurana:
1 Somente atividades lcitas, ticas e administrativamente admitidas devem ser
realizadas pelo usurio no mbito da infraestrutura de TI, fcando os transgressores
sujeitos lei penal, civil e administrativa, na medida da conduta, dolosa ou culposa,
que praticarem.
A recomendao proposta no exemplo aplicvel s organizaes, uma vez que seja devida-
mente documentada na poltica de segurana e que esta seja efetiva na organizao, isto ,
devidamente implementada, divulgada e exigida.
Direito digital
O que direito digital e como se aplica na sua organizao?
Legislao e direito digital no Brasil
q As leis no avanam a passos largos. Histrico:
1 Cdigo de Defesa do Consumidor, 1990.
1 Propriedade Industrial Lei 9.279, 1996.
1 Constituio Federal, 1988.
176

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q 1 Propriedade Intelectual Lei 9.610, 1998.
1 Cdigo Penal Lei 9.983, 2000 Lei 11.106, 2005.
1 Cdigo Civil, 2002/2003.
1 Novas regulamentaes Sarbanes, Basilia II e CVM 358, 2003/2004.
fato que a tecnologia da informao avana a passos largos e a era digital se consolida;
todavia, as leis que compreendem o direito digital no Brasil no conseguem acompanhar tal
evoluo. Pode-se notar tal evidncia com base no histrico a seguir, que apresenta, por sua
vez, algumas leis e cdigos relacionados ao direito digital no Brasil.
importante ressaltar, assim, que h responsabilidades civis e criminais para os que
trabalham com tecnologia da informao e segurana da informao no Brasil. Portanto,
organizaes pblicas e privadas, servidores pblicos e funcionrios devem conhecer suas
responsabilidades e atribuies legais.
Legislao aplicvel segurana da informao
q 1 Decreto 3.505, 13 de junho de 2000, do Poder Executivo, Artigos 1 e 3.
1 Artigo 5 da Constituio Federal.
1 Lei 8.112/90, Inciso VIII do Artigo 116.
1 Lei 9.609/98, Artigo 12.
1 Cdigo Penal, Artigos 307 e 308.
1 Decreto 5.110, 2004.
1 Decreto 5.244, 2004.
1 PLC 35/2012 Projeto de lei da Cmara dos Deputados que tipifca crimes cibernticos.
1 PL 2.126/11 Proposta do marco civil da internet
1 PLS 00481/2011 Crimes de constrangimento e ameaa praticados nas redes sociais.
O Decreto 3.505, de 13 de junho de 2000 do Poder Executivo, em seu Artigo 3, determina os
objetivos da poltica da informao a serem aplicados nas organizaes:
1 IV Estabelecer normas jurdicas necessrias efetiva implementao da segurana
da informao;
1 V Promover as aes necessrias implementao e manuteno da segurana
da informao.
O Artigo 5 da Constituio Federal determina em X: So inviolveis a intimidade, a vida
privada, a honra e a imagem das pessoas, assegurando o direito indenizao pelo dano
material ou moral decorrente de sua violao.
A Lei 8.112/90, inciso VIII do Artigo 116, determina: O servidor pblico tem o dever de
guardar sigilo sobre assunto da repartio. E, no artigo 132, defne a pena de demisso para
o servidor que revelar segredo de que se apropriou em razo do cargo ou funo.
A Lei 9.609/98 determina, no Artigo 12: Violar direitos de autor de programa de computador:
pena de deteno de 6 meses a 2 anos ou multa.
O Cdigo Penal determina, no Artigo 307: Atribuir-se ou atribuir a terceiro falsa identidade
para obter vantagem, em proveito prprio ou alheio, ou para causar dano a outrem: pena de
deteno de 3 meses a um ano ou multa. E no Artigo 308: Usar, como prprio, passaporte,
ttulo de eleitor ou qualquer documento de identidade alheia ou ceder a outrem, para que
dele se utilize, prprio ou de terceiro: pena de deteno de 4 meses a 2 anos e multa.
177

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

O Decreto 5.110, de 2004, que acresce inciso ao Artigo 7 do Decreto 3.505/2000, institui a
poltica de segurana da informao nos rgos e entidades da administrao pblica.
O Decreto 5.244, de 2004, dispe sobre a composio e o funcionamento do Conselho
Nacional de Combate Pirataria e Delitos Contra a Propriedade Intelectual e institui outras
providncias.
Decreto N 7.845, de 14 de novembro de 2012, que Regulamenta procedimentos para cre-
denciamento de segurana e tratamento de informao classifcada em qualquer grau de
sigilo, e dispe sobre o Ncleo de Segurana e Credenciamento (substituiu o Decreto 4553);
Links interessantes:
1 Imprensa Nacional: www.in.gov.br
1 Presidncia da Repblica Federativa do Brasil Legislao:
www.presidencia.gov.br/legislacao/
1 Legislao Especfca Relacionada Segurana da Informao:
http://dsic.planalto.gov.br/legislacaodsic/54
1 Documentos considerados sigilosos da Portaria n 25, de 15 de maio de 2012:
http://sintse.tse.jus.br/documentos/2012/Mai/16/portaria-no-25-de-15-de-maio-de-2012-classifca
Legislao aplicvel segurana da informao
Qual o objetivo do decreto 3.505, de 13 de junho de 2000?
Exemplos de infraes digitais
A tabela seguinte apresenta exemplos de infraes digitais ocorridas em ambiente corpora-
tivo com a caracterizao do crime e a legislao:
Conduta Crime Legislao Pena
Enviar vrus, comando, instruo ou
programa de computador que destrua
equipamento ou dados eletrnicos.
Dano. Art. 163,
Cd. Penal
Deteno de
1 a 6 meses ou multa.
Publicar foto em rede de
relacionamento contendo gestos
ou imagens obscenas.
Ato obsceno. Art. 233,
Cd. Penal
Deteno de 3 meses a 1
ano ou multa.
Copiar um contedo sem
mencionar a fonte; baixar MP3
ou filme, ilegalmente.
Violao de direito
autoral.
Art. 184,
Cd. Penal
Deteno de 3 meses
a 1 ano ou multa (se a
violao for com o intuito
de lucro: recluso de 1 a 4
anos e multa).
Criar uma comunidade virtual que
ridicularize pessoas por conta de
suas religies.
Escrnio por motivo
religioso.
Art. 208,
Cd. Penal
Deteno de 1 ms a
1 ano ou multa.
Participar de comunidade virtual que
discrimine pessoas por conta de sua
etnia (por exemplo: eu odeio nordes-
tino, eu odeio negros).
Discriminao por
preconceito de raa,
cor, etnia, religio ou
procedncia nacional.
Art. 20,
Lei 7716/89
Recluso de 1 a 3 anos
e multa.
178

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Conduta Crime Legislao Pena
Enviar e-mail dizendo caracters-
ticas negativas de uma pessoa (por
exemplo: feia, gorda, ignorante,
incompetente etc.).
Injria (expor-se na
internet pode virar difa-
mao).
Art. 140,
Cd. Penal
Art. 139,
Cd. Penal
Deteno de
Deteno de 3 meses a
1 ano e multa.
Enviar e-mail a terceiros contendo
informao considerada confidencial.
Divulgao de segredo. Art. 153,
Cd. Penal
Deteno de
Enviar e-mail dizendo que vai matar a
pessoa ou causar-lhe algum mal.
Ameaa. Art. 147,
Cd. Penal
Deteno de
Enviar e-mail com remetente falso
ou fazer cadastro em loja virtual com
nome de terceiros.
Falsa identidade. Art. 307,
Cd. Penal
Deteno de 3 meses
a 1 ano ou multa, se o
fato no constituir ele-
mento de crime mais
grave.
Falar em chat ou comunidade que
algum cometeu algum crime (por
exemplo: fulano um ladro).
Calnia. Art. 138,
Cd. Penal
Deteno de 6 meses a
2 anos e multa.
Efetuar transferncia financeira
atravs de internet banking com
dados bancrios de terceiros.
Furto. Art. 155,
Cd. Penal
Recluso de 1 a 4 anos
e multa.
Funcionrio pblico acessar a rede
corporativa e alterar informaes sem
autorizao.
Modificao ou alte-
rao no autorizada de
sistemas de informao.
Art. 313-B,
Cd. Penal
Deteno de 3 meses
a 2 anos e multa.
Direito digital e necessidades atuais
q Exemplos:
1 Privacidade x monitoramento.
1 Segurana da informao x usurio.
1 Responsabilidade por atividades realizadas.
1 Limites de responsabilidade em ambientes externos.
1 Guarda da prova.
Em termos de necessidades atuais quanto legislao e ao direito digital, h uma srie de
questes indefnidas, tais como as exemplifcadas a seguir:
1 Privacidade x monitoramento, por exemplo, quanto ao uso, por parte de funcionrios, de
endereo de e-mail corporativo para receber contedo privado;
1 Segurana da informao x usurio, em particular, no sentido de estabelecer claramente
os direitos e sanes legais aplicveis em caso de problemas;
1 Responsabilidades por atividades realizadas em equipamentos da empresa so rele-
vantes, pois equipamentos so ativos e devem ser utilizados de modo a no ocasionar
processos judiciais;
1 Limites de responsabilidades em ambientes externos devem ser considerados ao lidarmos
com solues como acesso remoto rede da organizao ou solues de home ofce;
1 Quanto necessidade da guarda da prova, documentos digitais, tais como e-mail, no
possuem legislao especfca que determine seu uso como prova.
Tabela 10.1
Infraes digitais
em ambiente
corporativo.
Fonte: Patricia
Peck Pinheiro
Advogados.
179

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

Enquanto a legislao referente ao direito digital no for estabelecida por completo, regras
claras para a conduta dos funcionrios, dirigentes, terceirizados e demais envolvidos devem
ser elaboradas pelas organizaes. Tal conduta deve ser monitorada e controlada, e os usu-
rios devidamente orientados a respeito de seus limites e responsabilidades quanto s aes
realizadas na organizao. sempre importante lembrar que divulgar e orientar so os dois
principais fatores para limitar riscos.
Lei de Acesso a Informao
q 1 Lei de acesso a informaes pblicas, Lei n 12.527, de 18 de novembro de 2011.
1 Trata dos procedimentos a serem observados para o cumprimento do direito consti-
tucional da garantia de acesso s informaes.
1 Princpio: as informaes referentes atividade do Estado, em qualquer nvel, so
pblicas, salvo excees expressas na legislao.
1 Poltica de Classifcao da Informao.
Em 18 de novembro de 2011, foi sancionada a lei de acesso a informaes pblicas,
Lei n 12.527, de 18 de novembro de 2011, que foi regulamentada pelo Decreto N 7.724,
de 16 de maio de 2012.
A Lei de Acesso a Informao (LAI) trata dos procedimentos a serem observados para o cum-
primento do direito constitucional da garantia de acesso s informaes. A LAI possui um
princpio bastante simples: as informaes referentes atividade do Estado, em qualquer
nvel, so pblicas, salvo excees expressas na legislao. Dessa forma, ela regulamenta o
direito informao garantida pela Constituio Federal, no inciso XXXIII, do Captulo I dos
Direitos e Deveres Individuais e Coletivos: todos tm direito a receber dos rgos pblicos
informaes de seu interesse particular, ou de interesse coletivo ou geral, que sero pres-
tadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja
imprescindvel segurana da sociedade e do Estado.
Assim, a divulgao de informaes ganha procedimentos para facilitar e otimizar o acesso.
Existem duas vertentes principais para o acesso informao: disponibilizao para con-
sulta, situao em que a informao solicitada pelo interessado; e divulgao de informa-
es de interesse coletivo ou geral atravs da publicao no site institucional.
A Lei n 12.527/11 prev excees ao acesso informao nos seguintes casos de infor-
maes classifcadas como sigilosas pelas autoridades competentes e as relacionadas s
demais hipteses legais de sigilo, como as informaes pessoais, relativas intimidade, vida
privada, honra e imagem.
Nesse ponto, destaca-se a importncia da rea de TI da organizao bem como dos proce-
dimentos quanto segurana da informao para que seja preservado o sigilo e a privaci-
dade quando for o caso. Outro ponto importante que para poder tratar adequadamente
as informaes, a organizao necessita implementar uma poltica de classifcao das
informaes (vide item 8.2 da ABNT NBR ISO/IEC 27002:2013 e Decreto N 7.845, de 14 de
novembro de 2012). Ainda sobre classifcao da informao, a ABNT tem a norma ABNT
NBR 16167:2013 Segurana da Informao Diretrizes para classifcao, rotulao e trata-
mento da informao.
O DSIC publicou em
junho de 2013 a
Norma Complementar
n 01/IN02/NSC/GSIPR
e seus anexos (Anexo A
e Anexo B) Disciplina o
Credenciamento de
Segurana de Pessoas
Naturais, rgos e
Entidades Pblicas e
Privadas para o
Tratamento de
Informaes
Classifcadas.
d
180

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Verificao da conformidade com requisitos legais
q 1 Legislao vigente.
1 Propriedade intelectual.
1 Proteo de registros organizacionais.
1 Proteo de dados e privacidade de informaes pessoais.
1 Preveno do mau uso de recursos de processamento das informaes.
1 Controles de criptografa.
Em termos da verifcao da conformidade com requisitos legais, sero apresentados os
seguintes subtpicos:
Legislao vigente, mostrando as questes importantes a considerar em termos de docu-
mentos legais da prpria organizao e da legislao vigente no Brasil.
Os tpicos Propriedade intelectual, Proteo de registros organizacionais, Proteo de
dados e privacidade de informaes pessoais, Preveno do mau uso de recursos de proces-
samento das informaes e Controles de criptografa so apresentados com o objetivo de
indicar algumas das preocupaes com a segurana da informao e legislao vigentes nas
organizaes. Em particular, esses tpicos so devidamente documentados como recomen-
daes nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.
Legislao vigente
q Recomenda-se defnir, documentar e manter:
1 Requisitos estatutrios.
1 Requisitos regulamentares.
1 Requisitos contratuais.
1 Defnir e documentar controles especfcos e responsabilidades individuais.
importante, nas organizaes, considerar a legislao em termos de estatutos, regula-
mentos e contratos vigentes, alm de considerar a legislao especfca e vigente no pas.
Dessa forma, todos os requisitos envolvidos com tais itens devem ser defnidos, documen-
tados e mantidos na organizao.
Concomitantemente, relevante tambm defnir e documentar todos os controles e respon-
sabilidades exigidos para garantir os requisitos estatutrios, regulamentares e contratuais.
Propriedade intelectual
q Aplica-se ao uso de:
1 Material com direitos autorais.
1 Software proprietrio.
Recomenda-se implantar procedimentos para garantir a conformidade com os requisitos
legais, regulamentares e contratuais.
Recomenda-se, para qualquer material ou software proprietrio protegido por lei de pro-
priedade intelectual, implementar procedimentos adequados que garantam a conformidade
da organizao em relao a requisitos legais, regulamentares e contratuais.
Estude a seo 18
Conformidade da
norma ABNT NBR ISO/
IEC 27002:2013.
d
181

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

Por exemplo, esses requisitos podem determinar restries quanto cpia de determinado
material com direitos autorais ou, ainda, que somente seja utilizado material desenvolvido
pela prpria organizao.
Aplicar cuidados contra a violao da propriedade intelectual relevante, principalmente
porque tal situao pode conduzir a aes legais civis e at criminais.
Cuidados com a propriedade intelectual
q 1 Divulgar poltica de conformidade (defnio do termo Uso Legal) com os direitos de
propriedade intelectual.
1 Adquirir software de boa reputao.
1 Conscientizar os envolvidos nos termos das polticas de conformidade.
1 Garantir que os ativos possuam requisitos para proteo da propriedade intelectual e
manter seus registros.
1 Manter provas e evidncias da propriedade.
1 Controlar o nmero de licenas em uso.
Conforme vimos, as organizaes devem se preocupar com a propriedade intelectual e, com
isso, implementar procedimentos adequados que culminem com a proteo das organiza-
es frente a questes legais, estatutrias e contratuais. Sendo assim, a norma ABNT NBR
ISO/IEC 27002:2013 recomenda alguns cuidados relevantes, a saber:
1 Divulgao de uma poltica de conformidade com os direitos de propriedade intelectual
que, por sua vez, defna claramente o uso legal de qualquer material, software ou infor-
mao protegida contra a violao da propriedade intelectual;
1 Em processos de aquisio de software, estes devem ser obtidos apenas a partir de
fontes reconhecidas e de boa reputao;
1 Manter todas as pessoas da organizao, independentemente do cargo, conscientes a
respeito das polticas de proteo da propriedade intelectual e das aes disciplinares a
serem aplicadas nos casos de violao;
1 Indicar cada ativo da organizao que possua requisitos diretamente relacionados pro-
teo dos direitos de propriedade intelectual, mantendo, ainda, seu devido registro;
1 Manter todas as evidncias quanto a licenas, manuais e afns na organizao;
Monitorar as licenas, visando garantir que o uso do nmero mximo de licenas adquiridas
no seja excedido.
q 1 Garantir que apenas software licenciado seja instalado.
1 Implantar uma poltica para licenas.
1 Estabelecer uma poltica para transferncias de software.
1 Utilizar ferramentas adequadas de auditoria.
1 Cumprir termos e condies para software e informaes obtidas de fontes pblicas.
1 Garantir a integridade de registros comerciais.
1 No copiar, em parte ou em todo, documentos com direitos autorais.
1 Efetuar o controle quanto aos softwares, garantindo a instalao apenas daqueles licen-
ciados e devidamente autorizados;
1 Implantar uma poltica para a manuteno adequada das condies de licenas;
182

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 Defnir uma poltica para reger a transferncia de softwares para outras organizaes;
1 Assegurar que as ferramentas de auditoria utilizadas so adequadas;
1 Satisfazer a todos os termos e condies para materiais, softwares e informaes obtidas
a partir de redes pblicas;
1 Proteger registros comerciais, tais como flmes, udios e outros, contra duplicaes, con-
verses ou extraes no permitidas pela lei de direito autoral;
1 Proteger partes ou a totalidade de livros, artigos, relatrios etc., contra cpias no autori-
zadas e violao da lei de direito autoral vigente.
Produtos de software proprietrio so fornecidos sob um contrato de licenciamento que
defne os termos e condies da licena, como, por exemplo, limitando a cpia de um
software apenas para a criao de uma cpia de segurana.
Direitos de propriedade intelectual so aplicados a softwares, documentos, projetos,
marcas, patentes e licenas de cdigos-fonte.
Cuidados com a propriedade intelectual
Cite trs cuidados com a proteo intelectual adotados pela sua instituio.
Proteo de registros organizacionais
q 1 Recomenda-se proteger registros contra perdas, destruio ou falsifcao.
1 Recomenda-se classifcar os registros da organizao:
2 Registros de base de dados.
2 Registros de transaes.
1 Recomenda-se manusear e armazenar mdias de acordo com as recomendaes
do fornecedor.
1 Nas organizaes, recomenda-se proteger os registros categorizados como essenciais ao
negcio contra perdas, destruio e falsifcao, de modo a garantir conformidade com
seus requisitos estatutrios, regulamentares e contratuais.
1 Alguns registros podem precisar ser retidos de forma segura para atender a requisitos
estatutrios, contratuais ou regulamentares ou, ainda, atender a requisitos do negcio.
Por exemplo, aqueles registros que evidenciam a conformidade de uma organizao
perante os requisitos estatutrios, regulamentares e contratuais que, assim, garantem a
defesa da organizao contra aes legais civis ou criminais.
1 Em adio, os registros tambm podem ser categorizados com o objetivo de aplicar def-
nies particulares, tais como o perodo de reteno e tipo de mdia de armazenamento.
Por exemplo, registros de auditoria, registros da contabilidade e registros transacionais
que possuem tempo de reteno de 6 meses, 1 ano e 3 meses, armazenados em meio
magntico, papel e meio magntico, respectivamente.
1 As chaves de criptografa usadas para garantir confdencialidade ou autenticidade de
registros tambm devem ser armazenadas durante o tempo de reteno respectivo.
1 Adicionalmente, considera-se que todas as mdias de armazenamento sejam protegidas
contra deteriorao se utilizadas de acordo com a prescrio do fornecedor.
183

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

O tempo de reteno aplicado a registros organizacionais (Tabela de Temporabilidade)
defnido em leis e regulamentaes nacionais, tais como a Resoluo n 14, de 24 de outubro
de 2001 do Conselho Nacional de Arquivos (CONARQ), entre outras.
Cuidados para a proteo de registros organizacionais
q 1 Estabelecer diretrizes para reteno, armazenamento, tratamento e disponibilidade
de registros e informaes.
1 Defnir um cronograma para reteno.
1 Disponibilizar um inventrio de fontes de informao cruciais para a organizao.
1 Implantar controles para a proteo dos registros e informaes.
Para garantir a proteo dos registros de uma organizao, a norma ABNT NBR ISO/IEC
27002:2013 recomenda os procedimentos a seguir:
1 Estabelecimento de diretrizes para a reteno, armazenamento, tratamento e disponibili-
dade de registros e informaes;
1 Defnir um cronograma para a reteno, de modo a indicar os registros essenciais e o
respectivo perodo em que ser aplicado;
1 Manuteno de um inventrio compreendendo as fontes de informaes consideradas
fundamentais para a organizao;
1 Implementao de controles adequados proteo dos registros e informaes.
Proteo de dados e privacidade de informaes pessoais
q 1 A proteo e a privacidade de dados e informaes pessoais devem ser asseguradas
na legislao, regulamentaes e contratos.
1 Na organizao deve-se implantar, divulgar e efetuar a gesto de uma poltica de
privacidade e proteo.
Nas organizaes recomenda-se garantir a proteo de dados e a privacidade das infor-
maes pessoais, em conformidade com a legislao, regulamentos e contratos vigentes.
Para tanto, as organizaes podem criar uma equipe que defnir, implantar, divulgar
e gerenciar uma poltica de proteo e privacidade, buscando, concomitantemente, a
conformidade com a legislao, regulamentos e contratos vigentes. Vale ressaltar que todas
as pessoas da organizao devem ser orientadas para saber exatamente quais so suas
responsabilidades perante a poltica.
Alguns pases possuem leis que estabelecem o controle na coleta, processamento e trans-
misso de dados e informaes pessoais, impondo responsabilidades legais aos direta-
mente envolvidos em tais etapas.
Preveno do mau uso de recursos de processamento
da informao
q Recomenda-se proteger os recursos de processamento contra mau uso, por meio de
monitoramento, ferramentas, aes disciplinares ou legais.
Mau uso signifca:
1 Uso no relacionado diretamente ao negcio da organizao.
1 Uso no autorizado.
Saiba mais
Mais informaes a
respeito de gerncia
de registros podem ser
encontradas na norma
ISO 15489-1.
l
Consulte as normas e
recomendaes do
Conselho Nacional de
Arquivos (CONARQ):
http://www.conarq.
arquivonacional.gov.br
w
184

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Nas organizaes, os recursos de processamento da informao apoiam o negcio; sendo
assim, recomenda-se a proteo dos recursos de processamento da informao contra uso
no autorizado ou com objetivos no relacionados ao negcio. Para tanto, pode-se empregar,
por exemplo, o monitoramento adequado, ferramentas de apoio (SDI Sistemas de Deteco
de Intrusos), aes disciplinares ou legais. Em termos de monitoramento e uso de ferra-
mentas, deve-se atentar para a legislao vigente. Muitas vezes, a organizao deve divulgar a
todos os usurios que os recursos de processamento da informao so monitorados.
Quanto aos usurios, uma boa prtica conscientiz-los quanto a seus direitos e deveres
perante os recursos de processamento disponveis na organizao e na legislao vigente.
Para exemplifcar, pode-se requerer dos usurios a assinatura de uma declarao do conhe-
cimento de suas responsabilidades no contexto. E, por conseguinte, tais declaraes devem
ser mantidas em segurana pela organizao.
Controles de criptografia
q Recomenda-se o uso de criptografa conforme os requisitos legais, regulamentares e
contratuais vigentes. Algumas preocupaes relacionadas:
1 Restries importao e/ou exportao de hardware e software para criptografa.
1 Restries importao e/ou exportao de hardware e software com
criptografa embutida.
1 Restries quanto ao uso.
1 Defnio dos mtodos de acesso informao cifrada.
Nas organizaes, o uso de criptografa deve ser efetuado em conformidade com a legislao,
regulamentos, contratos e acordos. Sendo assim, a norma ABNT NBR ISO/IEC 27002:2013
recomenda as seguintes aes, em conformidade com a legislao nacional vigente:
1 Restringir o uso de criptografa;
1 Restringir importao e/ou exportao de hardware e software cujo objetivo a exe-
cuo de funes de criptografa;
1 Restringir importao e/ou exportao de hardware e software projetados com funes
de criptografa embutidas;
1 Defnir mtodos de acesso informao cifrada por hardware ou software a serem utili-
zados por autoridades de outros pases.
q Exemplo de recomendao para uso de recursos de TI, defnida na poltica de segurana:
1 Os sistemas de TI devero ser utilizados sem violao dos direitos de propriedade
intelectual de qualquer pessoa ou empresa, como marcas e patentes, nome comer-
cial, segredo empresarial, domnio na internet, desenho industrial ou qualquer outro
material que no tenha autorizao expressa do autor ou proprietrio dos direitos
relativos obra artstica, cientfca ou literria.
A recomendao proposta no exemplo aplicvel s organizaes objetivando a proteo
da propriedade intelectual, uma vez que seja devidamente documentada na poltica de
segurana e que esta seja efetiva na organizao, isto , devidamente implementada,
divulgada e exigida.
Estude a seo 10
Criptografa da norma
ABNT NBR ISO/IEC
27002:2013.
d
185

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

Verificao da conformidade com polticas e normas de
q 1 Normas de segurana no Brasil.
1 Evoluo das normas.
1 Conformidade com polticas e normas.
1 Trabalhando as no-conformidades.
1 Conformidade tcnica.
Em termos da verifcao da conformidade com polticas e normas de segurana da
informao, sero apresentados os seguintes subtpicos: Normas de segurana no
Brasil, mostrando as principais normas vigentes para o contexto. No tpico Evoluo das
normas, indica-se uma prospeco quanto sua manuteno. Os tpicos Conformidade
com polticas e normas, Trabalhando as no-conformidades e Conformidade tcnica
apresentam individualmente as preocupaes e prticas a serem consideradas quanto s
polticas e normas vigentes nas organizaes.
Normas de segurana no Brasil
q 1 Em 2001, a ABNT homologou a NBR ISO/IEC 17799:
2 Verso brasileira da BS ISO/IEC 17799.
1 Em agosto de 2005, foi liberada a segunda verso da NBR ISO/IEC 17799.
1 Em julho de 2007 atualizada para NBR ISO/IEC 27002.
Em 2001, a ABNT disponibilizou a norma ABNT NBR ISO/IEC 17799, uma verso brasileira da
BS ISO/IEC 17799, e, desde ento, no Brasil, essa norma vem se destacando como uma das
principais referncias para a gesto da segurana da informao. Em seu contedo, a norma
trata dos seguintes itens: poltica de segurana da informao, organizao da segurana
da informao, gesto de ativos, segurana em recursos humanos, segurana fsica e do
ambiente, gesto de operaes e comunicaes, controle de acesso, aquisio, desenvol-
vimento e manuteno de sistemas de informao, gesto de incidentes de segurana da
informao, gesto da continuidade de negcios e conformidades.
A seguir, apresentado um histrico da evoluo de padres internacionais e normas
vigentes no Brasil:
1 Em 1995, liberada a primeira verso da BS 7799-1 (BS 7799-1:1995 Tecnologia da infor-
mao Cdigo de prtica para gesto da segurana da informao).
1 Em 1998, liberada a primeira verso da BS 7799-2 (BS 7799-2:1998 Sistema de gesto
da segurana da informao Especifcaes e guia para uso).
1 Em 1999, liberada a reviso da BS 7799-1:1995.
1 Em 2000, liberada a primeira verso do padro internacional BS ISO/IEC 17799 (BS ISO/
IEC 17799:2000 Tecnologia da informao Cdigo de prtica para gesto da segurana
da informao).
1 Em 2001, a ABNT homologou a NBR 17799, verso brasileira da BS ISO/IEC 17799 (ABNT
NBR ISO/IEC 17799:2001 Tecnologia da informao Cdigo de prtica para gesto da
segurana da informao).
1 Em 2002, liberada a reviso da BS 7799-2:1998.
186

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 Em agosto de 2005, liberada a segunda verso da ABNT NBR ISO/IEC 177799 (ABNT
NBR ISO/IEC 17799:2005 Tecnologia da informao Cdigo de prtica para gesto da
segurana da informao).
Evoluo das normas
q 1 Famlia de normas para o SGSI, sob a denominao ISO/IEC JTC 1/SC 27.
1 Liberadas usando a srie de nmeros 27000, em sequncia.
1 Em 2007, a nova verso da ISO/IEC 17799 foi incorporada ISO/IEC 27002.
A ISO desenvolve uma famlia de normas para o Sistema de Gesto da Segurana da
Informao (SGSI), cujo contedo engloba os requisitos de tais sistemas, gesto de riscos,
mtricas e medidas de segurana da informao e diretrizes para implementao. A deno-
minao a ser usada a ISO/IEC JTC 1/SC 27, a serem liberadas em sequncia, usando a srie
de nmeros 27000.
Em 2006, a ABNT homologou a NBR 27001, verso brasileira da ISO/IEC 27001, que possui
a seguinte nomenclatura: ABNT NBR ISO/IEC 27001:2001 Tecnologia da informao
Sistema de gesto da segurana da informao. A verso atual foi publicada pela ABNT em
novembro de 2013 com a seguinte nomenclatura: ABNT NBR ISO/IEC 27001:2013
Tecnologia da informao Sistema de gesto da segurana da informao Requisitos.
Atualmente para a rea de segurana da informao esto publicadas, pela ABNT ou pela
ISO, as seguintes normas:
1 ABNT NBR ISO/IEC 27003:2011 Tecnologia da informao Tcnicas de segurana
Diretrizes para implantao de um sistema de gesto da segurana da informao.
Gesto da segurana da informao Medio.
Gesto de riscos de segurana da informao.
1 ABNT NBR ISO/IEC 27007:2012 Diretrizes para auditoria de sistemas de gesto da segu-
rana da informao.
Diretrizes para gesto da segurana da informao para organizaes de telecomunica-
es baseadas na ABNT NBR ISO/IEC 27002.
1 ABNT NBR ISO/IEC 27014:2013 Tecnologia da Informao Tcnicas de Segurana
Governana de segurana da informao.
1 ABNT ISO GUIA 73:2009 Gesto de riscos Vocabulrio.
1 ABNT NBR 15999-1:2007 Verso Corrigida:2008 Gesto de continuidade de negcios
Parte 1: Cdigo de prtica.
1 ABNT NBR 16167:2013 Segurana da Informao Diretrizes para classifcao, rotu-
lao e tratamento da informao.
1 ISO/IEC 27000:2014 Information technology Security techniques Information
security management systems - Overview and vocabulary.
1 ISO/IEC 27006:2011 Information technology Security techniques Requirements for
bodies providing audit and certifcation of information security management systems.
187

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

1 ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for
auditors on information security controls.
1 ISO/IEC 27010:2012 Information technology Security techniques Information security
management for inter-sector and inter-organizational communications.
1 ISO/IEC TR 27019:2013 Information technology Security techniques Information
security management guidelines based on ISO/IEC 27002 for process control systems
specifc to the energy utility industry.
1 ISO/IEC 27032:2012 Information technology Securitytechniques Guidelines for
cybersecurity.
1 ISO/IEC 27033-2:2012 Information technology Securitytechniques Networksecurity
Part 2: Guidelines for the design and implementation of networksecurity.
1 ISO/IEC 27034-1:2011 Information technology Security techniques Application security
Part 1: Overview and concepts.
1 ISO/IEC 27035:2011 Information technology Security techniques Information security
incident management.
1 ISO/IEC 18028-4:2005 Information technology Security techniques IT network security
Part 4: Securing remote access.
1 ISO/IEC 18028-5:2006 Information technology Security techniques IT network security
Part 5: Securing communications across networks using virtual private networks.
1 ISO/IEC 18033-4:2011 Information technology Security techniques Encryption algorithms
Part 4: Stream ciphers.
1 ISO/IEC 29192-1:2012 Information technology Securitytechniques Lightweight
cryptography Part 1: General.
1 ISO/IEC 29192-2:2012 Information technology Security techniques Lightweight
cryptography Part 2: Block ciphers.
1 ISO/IEC 11770-5:2011 Information technology Security techniques Key management
Part 5: Group key management.
1 ISO/IEC 24760-1:2011 Information technology Security techniques A framework for
identity management Part 1: Terminology and concepts.
1 ISO/IEC 29128:2011 Information technology Security techniques Verifcation of
cryptographic protocols.
1 ISO/IEC 29100:2011 Information technology Security techniques Privacy framework.
1 ISO 22320:2011 Societal security Emergency management Requirements for
incident response.
Segurana da informao na Administrao Pblica Federal
No mbito da Administrao Pblica Federal (APF), atravs do Decreto n 7.411, de 29 de
dezembro de 2010, a responsabilidade pelo assessoramento e coordenao das atividades
de segurana da informao e da proteo das infraestruturas crticas competncia exclu-
siva do Gabinete de Segurana Institucional da Presidncia da Repblica (GSIPR).
Atravs da Instruo Normativa GSI n 1,de 13 de junho de 2008, que disciplina a Gesto de
Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indi-
reta, e d outras providncias, foi publicado como a APF deve tratar a gesto da segurana
da informao. Nesta IN destacam-se:
188

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
q Art. 5 Aos demais rgos e entidades da Administrao Pblica Federal, direta e indi-
reta, em seu mbito de atuao, compete:
1 ...
1 IV nomear Gestor de Segurana da Informao e Comunicaes.
1 V instituir e implementar equipe de tratamento e resposta a incidentes em redes
computacionais.
1 VI instituir Comit de Segurana da Informao e Comunicaes.
1 VII aprovar Poltica de Segurana da Informao e Comunicaes e demais normas
de segurana da informao e comunicaes.
O GSI exerce suas atividades de segurana da informao atravs do seu Departamento de
Segurana da Informao e Comunicao (DSIC), que possui, entre outras, as seguintes misses:
q Departamento de Segurana da Informao e Comunicao (DSIC):
1 Planejar e coordenar a execuo das atividades de segurana ciberntica e de segu-
rana da informao e comunicaes na administrao pblica federal.
1 Defnir requisitos metodolgicos para implementao da segurana ciberntica e da
segurana da informao e comunicaes pelos rgos e entidades da administrao
pblica federal.
1 Operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas
redes de computadores da administrao pblica federal.
1 Planejar e coordenar a execuo das atividades de segurana ciberntica e de segu-
rana da informao e comunicaes na administrao pblica federal.
1 Defnir requisitos metodolgicos para implementao da segurana ciberntica e da
segurana da informao e comunicaes pelos rgos e entidades da administrao
pblica federal.
1 Operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas
redes de computadores da administrao pblica federal.
O DSIC responsvel pela publicao das normas complementares para a APF. Atualmente
existem as seguintes:
1 Norma Complementar n 01/IN01/DSIC/GSIPR, de 15 Out. 2008 Atividade de Normatizao;
1 Norma Complementar n 02/IN01/DSIC/GSIPR, de 14 Out. 2008 Metodologia de Gesto de
Segurana da Informao e Comunicaes;
1 Norma Complementar n 03/IN01/DSIC/GSIPR, de 03 Jul. 2009 Diretrizes para a Elabo-
rao de Poltica de Segurana da Informao e Comunicaes nos rgos e Entidades da
Administrao Pblica Federal;
1 Norma Complementar n 04/IN01/DSIC/GSIPR, e seu anexo, (Reviso 01), de 15 Fev 2013
Diretrizes para o processo de Gesto de Riscos de Segurana da Informao e Comunicaes
GRSIC nos rgos e entidades da Administrao Pblica Federal;
1 Norma Complementar n 05/IN01/DSIC/GSIPR, de 17 Ago. 2009 Disciplina a criao de
Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR nos
rgos e entidades da Administrao Pblica Federal;
189

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

1 Norma Complementar n 06/IN01/DSIC/GSIPR, de 23 Nov. 2009 Estabelece Diretrizes para
Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana da Infor-
mao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e
indireta APF;
1 Norma Complementar n 07/IN01/DSIC/GSIPR, de 07 Mai. 2010 Estabelece as Diretrizes
para Implementao de Controles de Acesso Relativos Segurana da Informao e Comu-
nicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF;
1 Norma Complementar n 08/IN01/DSIC/GSIPR, de 24 Ago. 2010 Estabelece as Diretrizes
para Gerenciamento de Incidentes em Redes Computacionais nos rgos e entidades da
Administrao Pblica Federal;
1 Norma Complementar n 09/IN01/DSIC/GSIPR, (Reviso 01), de 15 Fev 2013 Estabelece
orientaes especfcas para o uso de recursos criptogrfcos em Segurana da Informao
e Comunicaes, nos rgos ou entidades da Administrao Pblica Federal, direta e indi-
reta. E a Portaria N 10, de 20 de maro de 2013, que da nova redao ao item 5.5 e inclui os
subitens 5.5.1 e 5.5.2 na Norma Complementar n 09/IN01/DSIC/GSIPR (Reviso 1);
1 Norma Complementar n 10/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelecediretrizes
para o processo de Inventrio e Mapeamento de Ativos de Informao, para apoiar a
Segurana da Informao e Comunicaes (SIC), dos rgos e entidades da Adminis-
trao Pblica Federal, direta e indireta APF;
1 Norma Complementar n 11/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelece diretrizes
para avaliao de conformidade nos aspectos relativos Segurana da Informao e
Comunicaes (SIC) nos rgos ou entidades da Administrao Pblica Federal, direta e
indireta APF;
1 Norma Complementar n 12/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelece diretrizes e
orientaes bsicas para o uso de dispositivos mveis nos aspectos referentes Segu-
rana da Informao e Comunicaes (SIC) nos rgos e entidades da Administrao
Pblica Federal (APF), direta e indireta;
1 Norma Complementar n 13/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelece diretrizes para
a Gesto de Mudanas nos aspectos relativos Segurana da Informao e Comunicaes
(SIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta (APF);
1 Norma Complementar n 14/IN01/DSIC/GSIPR, de 10 Fev. 2012 Estabelece diretrizes
para a utilizao de tecnologias de Computao em Nuvem, nos aspectos relacionados
Segurana da Informao e Comunicaes (SIC), nos rgos e entidades da Adminis-
trao Pblica Federal (APF), direta e indireta;
1 Norma Complementar n 15/IN01/DSIC/GSIPR, de 21 Jun. 2012 Estabelece diretrizes
de Segurana da Informao e Comunicaes para o uso de redes sociais, nos rgos e
entidades da Administrao Pblica Federal (APF), direta e indireta;
1 Norma Complementar n 16/IN01/DSIC/GSIPR Estabelece as Diretrizes para o Desen-
volvimento e Obteno de Software Seguro nos rgos e Entidades da Administrao
Pblica Federal, direta e indireta;
1 Norma Complementar n 17/IN01/DSIC/GSIPR, de 09 Abr 2013 Estabelece Diretrizes nos
contextos de atuao e adequaes para Profssionais da rea de Segurana da Informao
e Comunicaes (SIC) nos rgos e Entidades da Administrao Pblica Federal (APF);
1 Norma Complementar n 18/IN01/DSIC/GSIPR, de 09 Abr 2013 Estabelece as Diretrizes
para as Atividades de Ensino em Segurana da Informao e Comunicaes (SIC) nos
rgos e Entidades da Administrao Pblica Federal (APF).
190

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Conformidade com polticas e normas
q Lembre-se de que a segurana da informao deve ser analisada periodicamente, e a
anlise deve se basear nas polticas e normas em uso. Portanto, as organizaes devem
assegurar conformidade com as polticas e normas de segurana da informao.
Como se sabe, a poltica de segurana de uma organizao estabelece regras a serem
seguidas para garantir a segurana de seus ativos. Em adio, existem normas que apoiam
as organizaes nesta tarefa. Sendo assim, as organizaes devem garantir que seus sis-
temas estejam de acordo com as polticas e normas aplicadas para assegurar a segurana da
informao, uma vez que a segurana um aspecto a ser analisado periodicamente e tendo
como base as polticas empregadas. Em particular, a norma ABNT NBR ISO/IEC 27002:2005
recomenda que os sistemas de informao devem ser auditados segundo as normas de
segurana da informao implantadas.
Trabalhando as no-conformidades
q Ao encontrar uma no-conformidade durante o processo de verifcao de conformi-
dade com polticas e normas de segurana, a norma ABNT NBR ISO/IEC 27002:2013
recomenda:
1 Determinar as causas da no-conformidade.
1 Avaliar a necessidade de aes para a no repetio da no-conformidade.
1 Aplicar ao corretiva.
1 Analisar a ao corretiva aplicada.
importante, ainda, manter registros de todos os resultados obtidos nas recomendaes acima.
Conformidade tcnica
q Sistemas de informao devem ser periodicamente verifcados em sua conformidade
tcnica, que pode ser realizada de duas maneiras:
1 Manualmente, auxiliada por ferramentas de apoio.
1 Por engenheiro de sistemas experiente, auxiliado por ferramentas automatizadas.
Testes devem ser planejados, documentados e repetidos.
Nas organizaes, importante efetuar a verifcao peridica da conformidade de seus
sistemas de informao com as normas de segurana da informao implementadas.
Para tanto, podem ser utilizados, por exemplo, testes de invaso previamente planejados,
durante os quais documentam-se os resultados com a possibilidade de repeti-los quantas
vezes for necessrio.
A verifcao da conformidade tcnica pode ser feita:
1 Manualmente, auxiliada por ferramentas de apoio;
1 Por um especialista, auxiliado por ferramentas automatizadas para a gerao de
relatrio tcnico.
q Exemplos de recomendaes para a conformidade:
1 Cdigo de tica e conduta profssional.
1 Uso de um modelo adequado de identidade digital.
1 Avisar adequadamente a respeito de monitoramento no ambiente eletrnico.
Saiba mais
Alm dessas normas
complementares, toda
a legislao perti-
nente segurana da
informao na APF e no
Brasil pode ser encon-
trada na ntegra no site
do DSIC:
http://dsic.planalto.gov.
br/legislacaodsic/
l
191

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

q 1 Atualizar contratos que envolvam clusulas sobre segurana da informao.
1 Defnir e publicar polticas objetivas e claras.
1 A poltica de segurana da informao deve ser atualizada, clara e objetiva.
A seguir alguns exemplos de recomendaes gerais relacionadas aos cuidados quanto
conformidade com polticas e normas de segurana da informao:
1 Defnio de um cdigo de tica e conduta profssional, tratando os aspectos da tecno-
logia e da informao;
1 Defnio de um modelo tcnico-legal de identidade digital, que pode, por exemplo,
especifcar o uso de crachs e certifcados digitais, entre outros;
1 Cuidados adequados com avisos de monitoramento no ambiente, em termos de rede,
servios de internet, entre outros;
1 Manuteno dos contratos com clusulas sobre segurana da informao, observando
controles, auditorias, direitos de propriedade intelectual etc.;
1 Defnio formal e publicao de polticas, tanto interna quanto externamente organizao.
Conformidade tcnica
Explique o que vem a ser conformidade tcnica.
Auditoria de sistemas de informao
q Recomenda-se proteger:
1 Os sistemas e as ferramentas usadas na auditoria de sistemas de informao.
1 A integridade das ferramentas de auditoria.
1 Contra o uso no autorizado das ferramentas de auditoria.
Em termos de consideraes quanto auditoria, sero apresentados os seguintes subtpicos:
1 Auditoria, mostrando as principais necessidades de proteo quanto aos instrumentos
utilizados pelo processo nas organizaes.
1 Cuidados durante a auditoria, alertando para algumas das preocupaes relevantes a um
processo adequado de auditoria na organizao, com o objetivo de garantir a sua confor-
midade com a legislao, polticas e normas vigentes.
Durante a auditoria de sistemas de informao, recomenda-se proteger os sistemas e ferra-
mentas empregados, garantindo sua integridade e controle contra acessos no autorizados.
Sendo assim, as atividades de auditoria devem ser realizadas segundo um planejamento
adequado, de comum acordo com os dirigentes da organizao, de modo a no infuenciar
seu negcio.
O acesso s ferramentas de auditoria deve ser controlado, e elas devem ser armazenadas
em locais separados ou isolados.
192

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Cuidados na auditoria
q 1 Auditoria acordada com a organizao.
1 Escopo da verifcao acordado e controlado.
1 Verifcao limitada ao acesso apenas para leitura.
1 Acessos alm da leitura feitos em cpias isoladas, com sua remoo
(ou armazenamento com segurana) ao fnal.
1 Recursos usados identifcados e disponveis.
1 Acessos monitorados e registrados.
1 Tudo deve ser documentado.
A auditoria deve ser realizada aps o acordo formal com os dirigentes da organizao.
Todas as verifcaes de conformidade devem ser executadas segundo o acordo formal
estabelecido e devidamente controladas. Em particular, recomenda-se que a verifcao seja
limitada ao acesso apenas leitura e, quando for necessrio o acesso alm desta, devem ser
geradas cpias para uso. Essas cpias devem ser isoladas e armazenadas de modo seguro ou
removidas ao fnal da auditoria. Os recursos devem ser todos identifcados unicamente na
organizao para, assim, serem disponibilizados auditoria. Todos os acessos devem ser con-
trolados, ou seja, monitorados e registrados. Por fm, todo o processo deve ser documentado.
Outros padres relevantes
q Control Objectives for Information Technologies (CobiT 4.1):
1 Framework de governana em TI, apresentando boas prticas para o controle de
requisitos, mapas de auditoria, questes tcnicas e riscos de negcio.
Information Technology Infrastructure Library (ITIL):
1 Compreende uma biblioteca de boas prticas para a gesto de TI de domnio pblico,
focando o cliente e a qualidade dos servios de TI, estabelecendo um conjunto de
processos e procedimentos gerenciais.
Control Objectives for Information Technologies (CobiT 4.1) um framework de governana
em TI, que apresenta boas prticas para o controle de requisitos, mapas de auditoria, ques-
tes tcnicas e riscos de negcio; consiste em quatro domnios: Plan and organize, Acquire
and implement, Deliver and support e Monitor and evaluate.
Recomenda-se o uso de CobiT como meio para otimizar os investimentos em TI, maximizando
o ROI (do ingls Return Of Investments) e fornecendo mtricas para avaliao de resultados.
H preocupao com segurana nos domnios CobiT, por exemplo, no processo Defne the
information architecture process; no domnio Plan and organize existem o esquema de clas-
sifcao de dados e os nveis de segurana.
O CobiT 5 foi lanado em abril de 2012, consolidando e integrando o CobiT 4.1, Val IT 2.0
e frameworks de risco de TI. Alinha-se com estruturas e padres, como o Information
Technology Infrastructure Library (ITIL), International Organization for Standardization
(ISO), Body Project Management of Knowledge (PMBOK), PRINCE2 e The Open Group Archi-
tecture Framework (TOGAF). Esta verso incorpora as ltimas novidades em governana
corporativa e tcnicas de gerenciamento.
Information Technology Infrastructure Library (ITIL) compreende uma biblioteca de boas
prticas (polticas, processos, procedimentos e instrues de trabalho) para a gesto de TI
O COBIT5 trata da
governana corporativa
e possui entre seus
produtos dois guias
profssionais direcio-
nados a segurana
da informao:
- COBIT5 for Information
Security e
- COBIT 5 for Risk
Demonstra a
importncia que os
temas segurana da
informao e gesto
de riscos tm para
a governana
corporativa.
d
193

C
a
p
t
u
l
o

1
0

-

C
o
n
f
o
r
m
i
d
a
d
e

de domnio pblico, focando no cliente e na qualidade dos servios de TI e estabelecendo
um conjunto de processos e procedimentos gerenciais organizados em disciplinas. Tornou-se
o padro BS-15000, anexo ISO 9000:2000.
Em particular, a Operations Level Agreement (OLA) e a Service Level Agreement (SLA)
so parte do processo ITIL de segurana da informao, englobando informaes como
mtodos de acesso permitidos, acordos a respeito de auditoria e logging, medidas de segu-
rana fsica, treinamento de usurios, procedimentos de autorizao dos usurios e acordos
para reportar e investigar incidentes de segurana.
Outras legislaes pertinentes
1 Lei n 9.983, de 14 de julho de 2000 Altera o Decreto Lei n 2848/40 Cdigo Penal
tipifcao de crimes por computador contra a Previdncia Social e a Administrao Pblica;
1 Decreto 1.171, de 24 de junho de 1994 Cdigo de tica Profssional do Servidor Pblico
Civil do Poder Executivo Federal, e outras providncias;
1 Cdigo Processo Penal Lei 3.689, de 03 de outubro de 41, atualizado at as alteraes
introduzidas pelas Leis n 11.900, de 08.01.09;Cdigo de Processo Civil Lei 5.869, de
11 de janeiro de 1973;Art. 6 da Lei n 10.683, de 28 de maio de 2003;
1 Art. 8 do Anexo I do Decreto n 5.772, de 8 de maio de 2006;Lei n 7.232 de 29 de
Outubro de 1984 Poltica Nacional de Informtica, e d outras providncias;
1 Lei n 8.027 de 12 de abril de 1990 Normas de conduta dos servidores pblicos civis da
Unio, das Autarquias e das Fundaes Pblicas, e d outras providncias;
1 Lei n 8.112 de 11 de dezembro de 1990 Regime jurdico dos servidores pblicos civil da
Unio, das autarquias e das fundaes pblicas federais;
1 Lei n 8.429 de 2 de junho de 1992 sanes aplicveis aos agentes pblicos nos casos de
enriquecimento ilcito no exerccio de mandato, cargo, emprego ou funo na adminis-
trao pblica direta, indireta ou fundacional e d outras providncias;
1 Decreto n 6.029 de 1 de fevereiro de 2007 Sistema de Gesto da tica do Poder Execu-
tivo Federal, e d outras providncias;
1 Lei n 8.159 de 8 de janeiro de 1991 Poltica nacional de arquivos pblicos e privados e
d outras providncias;
1 Decreto n 1.048 de 21 de janeiro de 1994 Sistema de Administrao dos Recursos de
Informao e Informtica, da Administrao Pblica Federal, e d outras providncias;
1 Decreto n 3.505, de 13 de junho de 2000, que institui a Poltica de Segurana da Infor-
mao nos rgos e entidades da Administrao Pblica Federal;
1 Decreto N 7.845, de 14 de novembro de 2012, que Regulamenta procedimentos para
credenciamento de segurana e tratamento de informao classifcada em qualquer grau
de sigilo, e dispe sobre o Ncleo de Segurana e Credenciamento;
1 Lei n 9.983, de 14 de julho de 2000: Altera o Decreto Lei n 2848/40 Cdigo Penal, sobre
tipifcao de crimes por computador contra a Previdncia Social e a Administrao Pblica;
1 Acrdo 1603/2008 do Plenrio do Tribunal de Contas da Unio TCU;
1 Guia de elaborao do PDTI do SISP (http://www.sisp.gov.br/guiapdti/wiki/Apresentacao);
1 Contrataes de Solues de Tecnologia da Informao pelos rgos e entidades inte-
grantes do Sistema de Administrao dos Recursos de Tecnologia da Informao SISP.
Navegue no CobiT
Publications and
Downloads:
www.isaca.org/cobit
w
194

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
195

C
a
p
t
u
l
o

1
0

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

1
0
Atividade 10.1 Entendendo a legislao
1. Na sociedade digital moderna, possvel equilibrar segurana, privacidade e funcionali-
dade ao mesmo tempo? Explique seu ponto de vista.
Atividade 10.2 Realizando a conformidade
1. Cite e explique pelo menos dois cuidados com a propriedade intelectual citados nas
normas ABNT NBR ISO/IEC 27001 e 27002.
2. Quais cuidados devem ser realizados para proteo de registros organizacionais?
3. Quais cuidados sua organizao deve ter durante a realizao de uma auditoria?
196

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
Atividade 10.3 Executando a conformidade na sua organizao
1. Como integrante do comit de segurana da informao, voc resolveu apresentar um plano
de verifcao da conformidade para sua organizao. Considerando a atual estrutura e obje-
tivos da sua instituio, quais sero as legislaes que a sua instituio dever seguir?
2. Como voc vai estruturar um processo para que a sua instituio fque em conformidade
com as legislaes especfcas de segurana da informao? Quais devero ser os
objetivos deste trabalho?
197

B
i
b
l
i
o
g
r
a
f
a
Bibliografia
1 BEZERRA, E. K.; GESTO DE RISCOS DE TI. Escola Superior de Redes/RNP, 2011.
1 CAUBIT, R.; BASTOS, A. ISO 27001 e 27002 Uma viso prtica. Editora Zouk, 2009.
1 DIAS, C. Segurana e auditoria da tecnologia da informao. Axcel Books, 2000.
1 FONTES, E. Polticas e Normas para a Segurana da Informao. Brasport, 2012.
1 KUROSE, J. F.; ROSS, K. W. Redes de computadores e a Internet. Pearson
Education do Brasil, 2003.
1 LYRA, M. R.; SEGURANA E AUDITORIA EM SISTEMA DE INFORMAO.
CINCIA MODERNA, 2008.
1 PECK, Patrcia. Direito digital: gesto do risco eletrnico. Aspectos legais
e ticos do uso da tecnologia. Palestra no evento Marketing poltico e
Internet, 2006.
1 TITTEL, E. Rede de computadores. Coleo Schaum. Bookman, 2003.
1 SEMOLA, Marcos. GESTO DA SEGURANA DA INFORMAO UMA VISO
EXECUTIVA. Campus, 2003
1 STALLINGS, W. Network security essentials. Prentice Hall, 2000.
1 ABNT ISO GUIA 73:2009. Gesto de riscos Vocabulrio.
1 Norma ABNT NBR ISO/IEC 27001:2013. Tecnologia da informao Tcnicas
de segurana Sistemas de gesto de segurana da informao Requisitos.
1 Norma ABNT NBR ISO/IEC 27002:2013. Tecnologia da informao Tcnicas
de segurana Cdigo de prtica para a gesto da segurana da informao.
1 Norma ABNT NBR ISO/IEC 27003:2011. Tecnologia da informao
Tcnicas de segurana Diretrizes para implantao de um sistema
de gesto da segurana da informao.
1 Norma ABNT NBR ISO/IEC 27005:2011. Tecnologia da informao
Tcnicas de segurana Gesto de riscos de segurana da informao.
1 Norma ABNT NBR ISO 55000:2014 Gesto de ativos Viso geral,
princpios e terminologia.
1 Norma ABNT NBR ISO 55001:2014 Gesto de ativos Sistemas de gesto
Requisitos.
198

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a

N
B
R

2
7
0
0
1

e

N
B
R

2
7
0
0
2
1 Padro ISO/IEC TR 13335-3. Guidelines for the management of IT security:
techniques for the management of IT security, 1998.
1 Norma ISO/IEC 18028. Information technology Security techniques
IT network security, 2005.
1 Norma NBR 15999-1 e 2.
1 Site DSIC: http://dsic.planalto.gov.br (acessado em dez. 2013).
1 Site GSI: www.gsi.gov.br (acessado em dez. 2013).

G
e
s
t
o

d
a

S
e
g
u
r
a
n
a

d
a

I
n
f
o
r
m
a
o
ISBN 978-85-63630-12-4
9 788563 630124
O curso desenvolve competncias para a implementao
da gesto da segurana da informao, ccom base nas
normas de segurana ABNT NBR ISO/IEC 27001:2013 e IEC
27002:2013. Atravs delas sero estudados os conceitos
de poltica de segurana e gesto de riscos, como tambm
as boas prticas para a segurana de recursos humanos
e computacionais, segurana fsica e noes de direito
digital. O curso garante ao aluno todo o conhecimento ne-
cessrio para iniciar um processo de implementao da
gesto da segurana da informao na sua instituio.
Este livro inclui os roteiros das atividades prticas e o con-
tedo dos slides apresentados em sala de aula, apoiando
profssionais na disseminao deste conhecimento em
suas organizaes ou localidades de origem.
Gesto da
Segurana
da Informao
NBR 27001 e NBR 27002
L
I
V
R
O

D
E

A
P
O
I
O

A
O

C
U
R
S
O
Sade e Cultura.
Cincia, Tecnologia
e Inovao
Ministrio da
Educao
Ministrio da
Sade
Ministrio da
Cultura
Ministrio da

Gestão Da Segurança Da Informação - NBR 27001 e NBR 27002

Uploaded by

Document Information

Original Title

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Gestão Da Segurança Da Informação - NBR 27001 e NBR 27002

Uploaded by

Copyright:

G

Garantir a segurana das informaes no trabalho

You might also like