Vous êtes sur la page 1sur 130

Polticas de

Segurana da
Informao
Edison Luiz Gonalves Fontes

A RNP Rede Nacional de Ensino


e Pesquisa qualificada como
uma Organizao Social (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
(MCTI)

responsvel

pelo

Programa Interministerial RNP,


que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
Brasil, a RNP planeja e mantm a
rede Ip, a rede ptica nacional
acadmica de alto desempenho.
Com Pontos de Presena nas
27 unidades da federao, a rede
tem mais de 800 instituies
conectadas. So aproximadamente
3,5 milhes de usurios usufruindo
de uma infraestrutura de redes
avanadas para comunicao,
computao e experimentao,
que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.

Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
Ministrio da
Cincia, Tecnologia
e Inovao

Polticas de

Segurana da
Informao

Edison Luiz Gonalves Fontes

Polticas de

Segurana da
Informao

Edison Luiz Gonalves Fontes

Rio de Janeiro
Escola Superior de Redes
2015

Copyright 2015 Rede Nacional de Ensino e Pesquisa RNP


Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ

Diretor Geral
Nelson Simes
Diretor de Servios e Solues
Jos Luiz Ribeiro Filho

Escola Superior de Redes


Coordenao
Luiz Coelho
Edio
Lincoln da Mata
Reviso tcnica
Carla Freitas
Edson Kowask Bezerra
Equipe ESR (em ordem alfabtica)
Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlina Miranda, Edson Kowask,
Elimria Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista,
Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial.
Capa, projeto visual e diagramao
Tecnodesign
Verso
1.0.0
Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas,
a pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuio

Escola Superior de Redes

Rua Lauro Mller, 116 sala 1103


22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP)
B277p
Gonalves, Edison Luiz

Polticas de segurana da informao / Edison Luiz Gonalves Fontes. Rio de Janeiro:

RNP/ESR, 2015.
126 p. : il. ; 27,5 cm.

Bibliografia: p.113.
ISBN 978-85-63630-37-7


1. Planejamento estratgico. 2. Tecnologia da informao gesto. 3. Sistemas de

informao. I. Brodbeck, Angela. II. Titulo.

CDD 658.4/038

Sumrio
Escola Superior de Redes
A metodologia da ESRvii
Sobre o curso viii
A quem se destinaviii
Convenes utilizadas neste livroviii
Permisses de usoix
Sobre o autorx

1. Fundamentos de Poltica e Segurana da Informao


Exerccio de nivelamento Segurana da Informao1
A informao1
O processo organizacional de segurana da informao3
Confidencialidade3
Integridade3
Disponibilidade4
Autenticidade4
Auditabilidade4
Legalidade4
Gesto de Risco6
Polticas de Segurana da Informao6
Acesso informao6
Classificao da informao6
Proteo tcnica de recursos de informao6
Flexibilidade operacional6
Desenvolvimento ou aquisio de sistemas 7
iii

Conscientizao e treinamento de usurio7


Continuidade de negcio7
Ambiente fsico e infraestrutura7
Modelo operativo da Segurana da Informao7
Tratamento de incidentes7
Exerccio de fixao Dimenses de segurana7
Dimenso Poltica de Segurana da Informao8
Poltica de segurana da informao como elemento de estruturas tericas9
Controles de Segurana da Informao NBR ISO/IEC 27002:201310

2. Arquitetura para a poltica de segurana da informao


Poltica de segurana da informao35
Elementos da arquitetura da poltica de segurana da informao39
Exerccio de fixao Alinhamento aos objetivos da organizao42
Exerccio de fixao Arquitetura para a Poltica Segurana Informao42
Exerccio de fixao Elaborao de poltica45
Projeto de elaborao da poltica de segurana da informao desenvolvimento, implantao
e manuteno46
Exerccio de fixao Projeto de poltica50

3. Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e


Poltica-Norma Dimenso Ambiente Fsico
Objetivo52
Escopo52
Definies52
Regras52
Responsabilidades53
Cumprimento53
Documento diretriz ou documento da poltica principal53
Exemplo prtico de diretriz ou poltica principal54
Exerccios de fixao Poltica Principal57
Exerccio de fixao Processo de Segurana da Informao58
Exerccio de fixao Processo Segurana da Informao59
Exerccio de fixao Processo Segurana da Informao59
Exemplo prtico de poltica da dimenso acesso lgico60
Exerccio de fixao Processo de Segurana da Informao63

iv

4. Poltica-Norma Dimenso Correio Eletrnico, Poltica-Norma Dimenso Internet


e Poltica-Norma Equipamentos Tecnologia Informao
Introduo69
Documento poltica-norma de correio eletrnico70
Exerccio de fixao Correio eletrnico74
Documento Poltica-Norma de Uso da Internet75
Exerccio de fixao Uso da internet79
Documento Poltica-Norma Equipamentos de Tecnologia da Informao
recurso computacional80

5. Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma


Dimenso, Desenvolvimento/Aquisio de Sistemas Aplicativos, Poltica-Norma
Dimenso Plano de Continuidade e Poltica-Norma Dimenso Cpias de Segurana
Documento Poltica-Norma da Dimenso Classificao da Informao83
Exemplo prtico de Poltica-Norma da Dimenso Classificao da Informao85
Exerccios de fixao Classificao da Informao, Desenvolvimento-Aquisio Aplicativos,
Plano de Continuidade, Cpias de Segurana e Gesto de Riscos91
Exerccio de fixao Classificao da Informao92
Documento poltica-norma da dimenso desenvolvimento/aquisio de
sistemas aplicativos92
Exemplo prtico de Poltica-Norma da Dimenso Desenvolvimento/Aquisio de Sistemas
Aplicativos93
Exerccio de fixao Desenvolvimento-Aquisio de Sistemas Aplicativos95
Documento Poltica-Norma da Dimenso Plano de Continuidade96
Exemplo prtico de Poltica-Norma da Dimenso Plano de Continuidade 96
Exerccio de fixao Plano de continuidade 98
Documento Poltica-Norma da Dimenso Cpias de Segurana98
Exemplo prtico de Poltica-Norma da Dimenso Cpias de Segurana 99

6. Dimenso Conscientizao e Treinamento do Usurio, Poltica-Norma Dimenso


Conscientizao e Treinamento do Usurio
Dimenso conscientizao e treinamento do usurio: introduo103
Planejamento para o treinamento104
Documento Poltica-Norma da Dimenso Conscientizao e Treinamento do Usurio107
Exemplo prtico de Poltica-Norma da Dimenso Conscientizao e Treinamento
do Usurio108
Exerccio de fixao Conscientizao e treinamento do usurio109
Concluso Poltica de Segurana da Informao111

Bibliografia 113

vi

Escola Superior de Redes


A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias
em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e
unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do
corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplicveis ao uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e
Governana de TI.
A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e
execuo de planos de capacitao para formao de multiplicadores para projetos educacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil
(UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional.
A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema
semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise,
sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do problema, em abordagem orientada ao desenvolvimento de competncias.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de aprendizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.

vii

As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das


atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atuao do futuro especialista que se pretende formar.
As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo
para as atividades prticas, conforme descrio a seguir:
Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos).
O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema
da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta
questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma
reflexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se
coloque em posio de passividade, o que reduziria a aprendizagem.
Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos).
Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer
explicaes complementares.
Terceira etapa: discusso das atividades realizadas (30 minutos).
O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la,
devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so convidados a
comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas,
estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem
solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.

Sobre o curso
O curso apresenta o processo para desenvolver polticas de segurana da informao
necessrias para que a organizao planeje, construa, implante e mantenha a poltica de
segurana da informao. Este conjunto de documentos formados por diretrizes, normas
e procedimentos, formam a Poltica de Segurana da Informao da Organizao. Atravs
deste curso o aluno avaliar polticas em uso por organizaes, escrever sua prpria poltica
de segurana da informao considerando o seu ambiente profissional e levar para a sua
organizao uma primeira verso de alguns regulamentos de segurana da informao. O
curso baseia-se nas boas prticas para o desenvolvimento das polticas e ainda nas recomendaes da NC 03/IN01/DSIC/GSIPR - DIRETRIZES PARA ELABORAO DE POLTICA DE
SEGURANA DA INFORMAO E COMUNICAES NOS RGOS E ENTIDADES DA ADMINISTRAO PBLICA FEDERAL.

A quem se destina
O curso destina-se aos gestores e profissionais de TIC que necessitam desenvolver e implementar polticas de segurana da informao. Tambm podero participar quaisquer outros
profissionais que desejem obter e desenvolver competncias sobre polticas de segurana.

Convenes utilizadas neste livro


As seguintes convenes tipogrficas so usadas neste livro:
Itlico
Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.
viii

Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).

Contedo de slide q
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.

Smbolo w
Indica referncia complementar disponvel em site ou pgina na internet.

Smbolo d
Indica um documento como referncia complementar.

Smbolo v
Indica um vdeo como referncia complementar.

Smbolo s
Indica um arquivo de adio como referncia complementar.

Smbolo !
Indica um aviso ou precauo a ser considerada.

Smbolo p
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.

Smbolo l
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.

Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: TORRES, Pedro et al. Administrao de Sistemas Linux: Redes e Segurana.
Rio de Janeiro: Escola Superior de Redes, RNP, 2013.

Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br

ix

Sobre o autor
Edison Fontes Mestre em Tecnologia pelo Centro Paula Souza do Governo do Estado de
So Paulo; Bacharel em Informtica pela UFPE, Certificado CISM, CISA e CRISC pela ISACA/USA,
Professor em Cursos de Ps Graduao e Palestrante Corporativo. autor de cinco livros
sobre Segurana da Informao pelas Editoras Sicurezza, Saraiva e Brasport. Dedica-se ao
assunto Segurana da Informao desde 1989. Desenvolveu Politicas de Segurana para vrias
Organizaes, com destaque para o NOSI-Ncleo Operacional da Sociedade da Informao
do Governo de Cabo Verde que foram transformadas em Lei. Exerceu a funo de Security
Officer em instituies financeiras (Banco BANORTE e RBS-Royal Bank of Scotland-Brasil) e em
empresa de servios de alta disponibilidade (GTECH Brasil). Atualmente desenvolve atividades
como Consultor em Segurana da Informao.
Edson Kowask Bezerra profissional da rea de segurana da informao e governana h
mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e gerente
tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informao,
continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas de grande
porte do setor de telecomunicaes, financeiro, energia, indstria e governo. Com vasta
experincia nos temas de segurana e governana, tem atuado tambm como palestrante
nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurana e governana. professor e coordenador de cursos de ps-graduao na rea de
segurana da informao, gesto integrada, de inovao e tecnologias web. Hoje atua como
Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes.
Carla Freitas formada em Cincia da Computao pela Universidade Federal da Bahia e
possui ps-graduao em Redes e Segurana da Informao pela Faculdades Ruy Barbosa.
Possui as certificaes Auditor e Implementador Lider ISO/IEC 27001 e QSP ISO 31000 Gesto de Riscos e auditoria baseada em riscos.Com 13 anos de experincia em segurana,
atua como coordenadora no Centro de Atendimentos a Incidentes de Segurana da Rede
Nacional de Ensino e Pesquisa (CAIS/RNP), onde responsvel pelo desenvolvimento de
polticas de segurana, realizao de anlises de riscos e auditorias de conformidade.

1
Conhecer os conceitos, fundamentos e requisitos para o desenvolvimento ou
implantao e o seu relacionamento com as normas e as estruturas conceituais
que influenciam a Segurana da Informao.

de Segurana da Informao; Dimenso Poltica de Segurana da Informao;


Poltica de Segurana da Informao como elemento das estruturas tericas (norma
ISO/IEC 27002, norma ISO/IEC 27001, norma ISO/IEC 27005, governana de Segurana

conceitos

A informao; Processo Organizacional de Segurana da Informao; Dimenses

da Informao, COBIT e ITIL).

Exerccio de nivelamento e
Segurana da Informao
Considerando a sua experincia profissional, qual a maior dificuldade para o sucesso da
segurana da informao nas organizaes?

A informao
Importante para a humanidade desde o seu surgimento, tambm necessria para o

desenvolvimento das organizaes.


1 Que precisam adotar um Processo Organizacional de Segurana da Informao.
1 E criar uma poltica de segurana da informao.
A informao o elemento bsico para a humanidade desde o incio da sua existncia.
Nosso organismo troca constantemente informaes com elementos internos e externos.
A temperatura do nosso corpo sobe e desce dependendo das condies internas e externas,
e tudo isso acontece por causa da troca de informaes entre as partes do nosso corpo.
O no entendimento correto da informao faz com que o crebro tome decises erradas

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

objetivos

Fundamentos de Poltica e
Segurana da Informao

e consequentemente emita comandos inadequados. Tudo por causa de uma falha na


1

comunicao da informao. A informao vital para o ser humano. No processo de crescimento, a criana recebe das pessoas que a cercam informaes que as ensinaro a andar
adequadamente, a comer e a se comportar em sociedade. As informaes pessoais so
recursos de valor e precisam ser protegidas contra o uso criminoso.
Para as organizaes, a informao tambm um elemento crtico. Sem informao,
nenhuma organizao sobrevive, nenhuma organizao se mantm no seu mercado de
atuao. A informao possibilita que a direo elabore seu planejamento estratgico-ttico
e que as atividades operacionais sejam realizadas e controladas.
O Tribunal de Contas da Unio reconhece essa importncia da informao quando, no seu
Manual de Boas Prticas em Segurana da Informao, declara (Brasil, TCU, 2012, pgina 10):
Porque a informao um ativo muito importante para qualquer instituio, podendo

ser considerada, atualmente, o recurso patrimonial mais crtico. Informaes adulteradas, no disponveis, sob conhecimento de pessoas de m-f ou de concorrentes
podem comprometer significativamente no apenas a imagem da instituio perante
terceiros, como tambm o andamento dos prprios processos institucionais. possvel
inviabilizar a continuidade de uma instituio se no for dada a devida ateno segurana de suas informaes.
O manual continua esclarecendo sobre a importncia da informao, sobretudo com os
recursos de tecnologia (Brasil, TCU, 2012, pgina 7):
Com a chegada dos computadores pessoais e das redes de computadores, que conectam o
mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidade de desenvolvimento de equipes e mtodos de segurana cada vez mais sofisticados.
Paralelamente, os sistemas de informao tambm adquiriram importncia vital para a
sobrevivncia da maioria das instituies modernas, j que, sem computadores e redes de
comunicao, a prestao de servios de informao pode se tornar invivel.
De uma maneira simplificada, todas as organizaes possuem pelo menos dois

elementos bsicos para realizar adequadamente e com sucesso o seu negcio:


11 O produto que ser fabricado ou o servio a ser prestado;
11 A informao necessria para que esse produto-servio seja produzido-prestado.
Em alguns casos, o produto-servio a ser fabricado-prestado tambm uma informao.
Nesse caso, essa organizao (ou parte da organizao) tem a informao como meio e
como produto-servio final. Essa a informao que a organizao produz e gerencia.
H outra informao que afeta fortemente a organizao: a informao que o mercado

Polticas de Segurana da Informao

possui ou a informao que o mercado interpreta sobre a organizao. Nesse caso, a

organizao tem poder menor sobre essa informao e sobre como o mercado tratar essa
informao. Uma informao (verdadeira ou falsa) sobre a situao de uma organizao
pode levar o mercado no qual a organizao atua a deixar de operar com ela. E mesmo que
a organizao no esteja em uma situao delicada, ficar em situao bem difcil. Essa
questo est ligada gesto da imagem da organizao, gesto de crises enfim, gesto
do ambiente com o qual a organizao se relaciona.
Mas nessas situaes de trabalho interno e de relacionamento com o mercado, a informao um elemento crtico, fundamental, essencial e muito valioso. A informao tem
valor. Um valor que engloba, mas extrapola a questo monetria. A informao tem valor

institucional. Uma organizao depende do tratamento que d informao para o seu


sucesso ou insucesso. Uma organizao que deseja atingir seus objetivos organizacionais,
que deseja permanecer (e crescer) no seu ambiente de atuao precisa tratar a informao
de maneira profissional. Ela precisa proteger a sua informao.
Para proteger a sua informao de maneira profissional, a organizao precisa ter um
Processo Organizacional de Segurana da Informao, que tem por objetivo permitir e
possibilitar que a organizao funcione adequadamente, ao depender da informao e dos
recursos de informao.
Para que o Processo Organizacional de Segurana da Informao seja desenvolvido, implantado e mantido ao longo do tempo na organizao, necessria a existncia, entre outros
elementos, de regras para a utilizao da informao. necessria a existncia de uma
poltica de segurana da informao.

O processo organizacional de segurana da informao


A proteo da informao uma responsabilidade da organizao e deve se materializar
pela atuao dos gestores dessa organizao. A segurana da informao existe para proteger os recursos de informao, que possibilitam a organizao atingir os seus objetivos
institucionais e de negcio. Dessa maneira, definimos que a Segurana da Informao
um processo organizacional que tem por objetivo permitir e possibilitar que a organizao
alcance seus objetivos, no que depender da informao e dos recursos de informao.
O Processo Organizacional de Segurana da Informao precisa garantir para a

informao a sua:

Confidencialidade
A informao somente deve ser acessada pelo usurio previamente autorizado e que

necessita obter a informao para realizar suas atividades profissionais relacionadas


organizao.
Segundo o Tribunal de Contas da Unio, a Confidencialidade (Brasil, TCU, 2012, pgina 9):

armazenadas ou transmitidas por meio de redes de comunicao. Manter a confidencialidade pressupe assegurar que as pessoas no tomem conhecimento de informaes, de
forma acidental ou proposital, sem que possuam autorizao para tal procedimento.

Integridade
A informao deve ser mantida no seu estado original, a informao no deve ser corrompida ao longo do tempo.
Segundo o Tribunal de Contas da Unio, a integridade (Brasil, TCU, 2012, pgina 9):
Consiste na fidedignidade de informaes. Sinaliza a conformidade de dados armazenados
com relao s inseres, alteraes e processamentos autorizados efetuados. Sinaliza,
ainda, a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatrio. A manuteno da integridade pressupe a garantia de no violao dos dados.

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

Consiste na garantia de que somente pessoas autorizadas tenham acesso s informaes

Disponibilidade
A informao deve estar disponvel para as atividades da organizao. Segundo o Tribunal de Contas da Unio, a autenticidade (Brasil, TCU, 2012, pgina 10):

Consiste na garantia de que as informaes estejam acessveis s pessoas e aos processos autorizados, a qualquer momento requerido, durante o perodo acordado entre
os gestores da informao e a rea de informtica. Manter a disponibilidade de informaes pressupe garantir a prestao contnua do servio, sem interrupes no fornecimento de informaes para quem de direito.

Autenticidade
A origem da informao deve ser possvel de ser identificada. Segundo o Tribunal de

Contas da Unio, a autenticidade (Brasil, TCU, 2012, pgina 9):


Consiste na garantia da veracidade da fonte das informaes. Por meio da autenticao
possvel confirmar a identidade da pessoa ou entidade que presta as informaes.

Auditabilidade
O uso da informao deve ter condies de ser auditado.

As aes que utilizam a informao devem ser registradas.

Legalidade
O uso da informao e dos recursos de informao deve estar de acordo com a legislao

vigente, com as regras corporativas, com as exigncias contratuais e com os demais regulamentos e normativos com os quais a organizao precisa estar em conformidade.

So as normas brasileiras definidas pela


ABNT e as normas
internacionais definidas
pela ISO/IEC.

Auditabilidade

Autenticidade

Legalidade

Disponibilidade

Condencialidade

Integridade

Informao

Polticas de Segurana da Informao

Comprometimento das pessoas

Exerccio de fixao e
Confidencialidade, integridade, disponibilidade, legalidade, autenticidade e
auditabilidade
A disponibilidade, integridade, confidencialidade, autenticidade, legalidade e auditabilidade
possuem a mesma importncia. Porm, em alguns momentos um desses objetivos de segurana da informao fica mais relevante. Nas situaes a seguir, indique qual delas mais
relevante para o momento especfico.

Normativos:

Figura 1.1
Objetivos da
Segurana da
Informao.

a.

Recuperao da Caixa Preta do avio AF-447 da Air France, que caiu no Oceano Atlntico.

b.

Em relao tambm caixa preta, mas em um momento anterior queda do avio,


quando o voo prosseguia sem problemas e os comandantes conversavam normalmente e trocavam informaes com os controladores do trfego areo.

c.

Quando o eleitor se apresenta na sala para votar.

d.

Quando o eleitor se dirige cabine de votao para realizar o seu voto.

Para que o Processo Organizacional de Segurana da Informao seja desenvolvido, implantado e mantido, necessrio que exista uma estruturao de como este processo deve
acontecer. O processo deve ser o mesmo para informaes fsicas e informaes lgicas.
A Norma ABNT NBR ISO/IEC 27001 Tecnologia da informao Tcnicas de segurana Sistema de
gesto de segurana da informao Requisitos e a Norma ABNT NBR ISO/IEC 27002 Tecnologia da
informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao
ser considerados para a existncia do Processo Organizacional de Segurana da Informao.
Esses controles podem ser agrupados em Dimenses da Segurana da Informao.
Uma Dimenso da Segurana da Informao um conjunto de controles que parte de
uma mesma gesto.
O quadro a seguir ilustra as Dimenses da Segurana da Informao:

Processo Corporativo de Segurana da Informao

Gesto de Riscos

POLTICAS DE SEGURANA DA INFORMAO

Figura 1.2
Dimenses da
Segurana da
Informao.
Estrutura baseada
na Norma
Internacional ISO/
IEC 27002.

uma mesma disciplina de segurana, que podem ser tratados da mesma maneira e sob

Acesso informao

Classicao
da Informao

Proteo tcnica
Recursos de Informao

Flexibilidade
Operacional

Desenvolvimento
de aplicativos

Conscientizao
e Treinamento

Continuidade
do negcio

Ambiente Fsico
e Infraestrutura

Modelo operativo
da SI

Tratamento de Incidentes de Segurana da Informao

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

So os aspectos
que devem ser considerados em um Processo
de Segurana da
Informao, considerando a Famlia NBR
ISO/IEC 27000 de
normas de segurana
da informao.

so as normas bsicas sobre o assunto e descrevem uma famlia de controles que devem

Regulamentao e regras de negcio

Dimenses da
Segurana da
Informao:

Descrevemos a seguir o objetivo de cada Dimenso da Segurana da Informao. A importncia de cada dimenso igual para todo o Processo Organizacional de Segurana da Informao. No existe uma dimenso mais importante do que outra. A maturidade da organizao
em Segurana da Informao valer pela eficincia e efetividade do conjunto de dimenses.
Ser pouco efetivo se uma dimenso estiver em um patamar de excelncia e em
outra dimenso estiver um caos. Semelhante a uma corrente, a proteo da informao ser quebrada no seu elemento mais frgil.

Gesto de Risco
Definir, implantar e manter a Gesto de Riscos de Segurana da Informao para a exis-

tncia de um monitoramento e tratamento das ameaas que podem gerar impactos financeiros, impactos de imagem, impacto operacional ou qualquer outro impacto nos recursos
de informao que possa comprometer as atividades e os objetivos da organizao.

Polticas de Segurana da Informao


Desenvolver, implantar e manter atualizados os regulamentos necessrios para que a

organizao possua um efetivo processo de segurana da informao. Esses regulamentos definem como a organizao deseja que a informao seja utilizada, controlada,
tenha seu uso responsabilizado e esteja em conformidade com a legislao e demais
regras que a organizao necessite cumprir.

Acesso informao
Garantir o adequado acesso informao, definindo regras e responsabilidades para:

11 O seu uso;
11 Autorizao de acesso pelo usurio;
11 Tipos de usurios contemplados;
11 Tipos de acesso;
11 Possibilidade de auditar o acesso;
11 Consultas sobre acessos realizados ou potenciais acessos.

Classificao da informao
Definir o padro de sigilo que ser utilizado para a informao da organizao e

Polticas de Segurana da Informao

classificar cada informao em relao a esse padro.

Proteo tcnica de recursos de informao


Garantir a existncia de uma gesto tcnica para os recursos de tecnologia da informao

da organizao. Deve-se tambm garantir a continua atualizao das medidas de proteo da informao.

Flexibilidade operacional
Garantir a existncia e a efetividade da Gesto de Mudanas, Gesto de Problemas,
Gesto de Ativos e Gesto de Capacidade para os recursos de informao.

Desenvolvimento ou aquisio de sistemas


Garantir que para o desenvolvimento ou aquisio de sistemas aplicativos sejam consi-

derados e cumpridos os requisitos de segurana relacionados ao desenvolvimento dos


programas, a manuteno dos programas, a dependncia dos desenvolvedores (internos
ou externos) e a continuidade da existncia desse aplicativo ao longo do tempo.

Conscientizao e treinamento de usurio


Desenvolver atividades de conscientizao e treinamento de usurios em segurana

da informao. Deve-se considerar todo tipo de usurio que utilizar a informao


da organizao.

Continuidade de negcio
Garantir a continuidade do negcio, no que depende da informao e dos recursos de

informao, quando de uma ocorrncia de uma indisponibilidade da informao.

Ambiente fsico e infraestrutura


Garantir a proteo do ambiente fsico onde existam recursos de informao, bem

como garantir a existncia de infraestrutura para que a informao possa ser utilizada
pela organizao.

Modelo operativo da Segurana da Informao


Definir, implantar e monitorar a estrutura organizacional da Segurana da Informao: for-

mao, responsabilidades, hierarquia, relacionamento com outras reas organizacionais,


relacionamento com entidades externas e relacionamento com autoridades do governo.

Tratamento de incidentes
Garantir a existncia de uma gesto de incidentes de segurana da informao. Inci-

dente qualquer acontecimento que no esteja adequado s definies e controles de


rana da informao um simples ou uma srie de eventos de segurana da informao
indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as
operaes do negcio e ameaar a segurana da informao.

Exerccio de fixao e
Dimenses de segurana
Considerando as Dimenses da Segurana da Informao, como voc considera a maturidade da sua organizao em cada uma delas? Ruim, regular ou boa?
11 Ruim: no existem os controles ou os controles existentes no so efetivos. urgente a
implantao de controles para a existncia da dimenso de segurana;
11 Regular: existem alguns controles e atendem o mnimo para a segurana da informao.
Considerando o tipo da organizao, necessrio melhorar ou complementar esses controles;
11 Boa: existem controles que garantem a existncia de uma efetiva dimenso da segurana
da informao. Pequenas melhorias so necessrias.

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

segurana da informao. Segundo a Norma NBR ISO/IEC 27001, incidente de segu-

Justifique.

Dimenso Poltica de Segurana da Informao


A Dimenso Poltica de Segurana da Informao tem por objetivo desenvolver, implantar e
manter atualizados os regulamentos necessrios para que a organizao possua um efetivo
processo de segurana da informao. Esses regulamentos definem como a organizao
deseja que a informao seja utilizada, controlada e tenha seu uso responsabilizado.
Essa dimenso tem uma caracterstica especfica que a diferencia das demais dimenses de
segurana da informao. A Dimenso Poltica de Segurana da Informao define a regulamentao de todas as demais dimenses. Isto , essa dimenso uma base para todas as aes que
sero necessrias para um efetivo Processo Organizacional de Segurana da Informao.
A Dimenso Poltica de Segurana da Informao definir para cada outra dimenso:

11 Os controles que devem ser considerados;


11 O escopo (abrangncia) que deve ser considerado;
11 As responsabilidades dos usurios, gestores e demais pessoas pelo desenvolvimento,
implantao e manuteno dos controles;
11 A estrutura e regras para as revises dos controles;
11 Tudo mais que precise ser regulamentado para que a dimenso exista com sucesso.
preciso entender que a Dimenso Poltica de Segurana da Informao, ao desenvolver regulamentos para uma dimenso, no realizar as aes necessrias desta outra
dimenso. Por exemplo, existir um regulamento para a Dimenso de Continuidade de
Negcio que indicar que a organizao deve ter planos para situaes de indisponibilidade
da informao de maneira que a organizao e o seu negcio tenha apenas um pequeno
impacto. Os Diretores de rea so os responsveis para avaliar e indicar o tempo mximo de
indisponibilidade dos recursos de informao.
Nesse exemplo, esse regulamento indica que a organizao deseja que existam planos de
continuidade de negcio para quando ocorrerem situaes de indisponibilidade da infor-

Polticas de Segurana da Informao

mao. Tambm define uma responsabilidade para os Diretores de rea. Sendo assim,

esse regulamento indica como deve ser o tratamento para situaes de indisponibilidade
da informao. Esse regulamento um orientador oficial, um balizador oficial como devem
acontecer as aes de continuidade de negcio. Porm, o Plano de Continuidade de Negcio
ser desenvolvido, implantado e mantido pela Dimenso de Continuidade de Negcio.
A Dimenso Poltica de Segurana da Informao considerada uma dimenso estrutural.
conveniente que existam os regulamentos de segurana da informao para que os controles de cada dimenso sejam definidos, explicitados, implantados e mantidos.
O Tribunal de Contas da Unio define a poltica de segurana da informao (Brasil, TCU,
2012, pgina 10):

l
Os regulamentos
gerados pela Dimenso
Poltica de Segurana
da Informao
orientaro e facilitaro
como as demais
dimenses devem
acontecer.

Poltica de segurana de informaes um conjunto de princpios que norteiam a

gesto de segurana de informaes e que deve ser observado pelo corpo tcnico e
gerencial e pelos usurios internos e externos. As diretrizes estabelecidas nesta poltica
determinam as linhas mestras que devem ser seguidas pela instituio para que sejam
assegurados seus recursos computacionais e suas informaes.

Poltica de segurana da informao como elemento de estruturas tericas


A poltica de segurana da informao aparece como elemento em diversas estruturas tericas relacionadas informao e tecnologia da informao. Descrevemos a seguir o seu
relacionamento com algumas dessas principais estruturas.

Poltica de segurana da informao e a norma ABNT NBR ISO/IEC 27002:2013


tecnologia da informao tcnicas de segurana cdigo de prtica para controles
de segurana da informao
A ABNT NBR ISO/IEC 27002:2013 a norma bsica para o Processo Organizacional de Segurana da Informao no que diz respeito aos controles que devem ser considerados para
esse processo. Todas as outras normas da Famlia 27000 e outras normas relacionadas
segurana da informao devem ser consideradas, porm essa norma a estrutura para a
construo dos artefatos que vo compor a segurana da informao.
O Tribunal de Contas da Unio afirma no seu Manual de Boas Prticas de Segurana da Informao, no captulo 4, TCU e a ABNT NBR ISO/IEC 27002, que essa a norma tcnica de auditoria
de segurana da informao utilizada pelo TCU (Brasil, TCU, 2012, pgina 38). Essa afirmao
respalda a Norma ABNT NBR ISO/IEC 27002 como o guia bsico para a organizao definir,
desenvolver, implantar e manter o Processo Organizacional de Segurana da Informao.
O objetivo da NBR ISO/IEC 27002:2013 declarado da seguinte forma (ABNT, 2013,

pgina 1):
Esta Norma fornece diretrizes para prticas de gesto de segurana da informao e
normas de segurana da informao para as organizaes, incluindo a seleo, a implementao e o gerenciamento de controles, levando em considerao os ambientes de

Para a implantao da segurana da informao na organizao, a norma j cita no seu


incio a necessidade da existncia da poltica em conjunto com os processos e procedimentos (ABNT, 2013, pgina x).
A segurana da informao alcanada pela implementao de um conjunto adequado
de controles, incluindo polticas, processos, procedimentos, estrutura organizacional
e funes de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados quando necessrio, para
assegurar que os objetivos de negcio e de segurana da organizao sejam atendidos.
A NBR ISO/IEC 27002:2013 composta por 19 captulos, numerados de 0 a 18. Distribudos
nesses captulos esto os 114 controles que devem ser considerados para as Dimenses
da Segurana da Informao.
A Dimenso Poltica de Segurana da Informao deve contemplar esses controles para
o desenvolvimento, implantao e manuteno dos regulamentos que vo compor o
Processo Organizacional de Segurana da Informao.

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

risco da segurana da informao da organizao.

O captulo 5 dessa norma trata da Dimenso Poltica de Segurana da Informao e

recomenda que o documento a ser desenvolvido defina como a organizao quer que
o assunto seja tratado, identifique as responsabilidades, oriente sobre a comunicao
para as pessoas e garanta que o Processo Organizacional de Segurana da Informao
seja eficiente e eficaz ao longo do tempo.
Porm nem nesse captulo, nem em outro captulo dessa norma, nem em outro normativo
existe a descrio de como deve ser construdo o documento de poltica de segurana da
informao ou como deve ser estruturado. Essa orientao o objetivo deste curso.
A descrio detalhada dos controles, as orientaes e as consideraes sobre a sua
implantao e manuteno encontram-se descritos na norma que deve ser estudada
no seu texto completo e sempre tomada como base. Quando ocorrer a implantao do
Processo Organizacional de Segurana da Informao, a norma deve ser consultada.
Listamos a seguir apenas os controles que, descritos em cada captulo da norma, devem ser
considerados quando ocorrer a elaborao dos documentos que vo compor a poltica de
segurana da informao da organizao.

Controles de Segurana da Informao NBR ISO/IEC 27002:2013


Captulo 5 Polticas de segurana da informao
(1) Controle: Polticas para a segurana da informao.

5.1.1 Convm que um conjunto de polticas de segurana da informao seja definido,


aprovado pela direo, publicado e comunicado para todos os funcionrios e partes
externas relevantes (ABNT, NBR 27002, 2013, pgina 2).
(2) Controle: Anlise crtica das polticas de segurana da informao.
5.1.2 Convm que as polticas de segurana da informao sejam analisadas criticamente
em intervalos planejados ou quando mudanas significativas ocorrerem, para assegurar a
sua contnua pertinncia, adequao e eficcia (ABNT, NBR 27002, 2013, pgina 4).

Captulo 6 Organizao da segurana da informao


(3) Controle: Responsabilidades e papis pela segurana da informao.
6.1.1 Convm que todas as responsabilidades pela segurana da informao sejam
definidas e atribudas (ABNT, NBR 27002, 2013, pgina 4).
(4) Controle: Segregao de funes.
6.1.2 Convm que funes conflitantes e reas de responsabilidades sejam segregadas
para reduzir as oportunidades de modificao no autorizada ou no intencional, ou uso
Polticas de Segurana da Informao

indevido dos ativos da organizao (ABNT, NBR 27002, 2013, pgina 5).

10

(5) Controle: Contato com autoridades.


6.1.3 Convm que contatos apropriados com autoridades relevantes sejam mantidos
(ABNT, NBR 27002, 2013, pgina 6).
(6) Controle: Contato com grupos especiais.
6.1.4 Convm que contatos apropriados com grupos especiais, associaes profissionais ou outros fruns especializados em segurana da informao sejam mantidos
(ABNT, NBR 27002, 2013, pgina 6).
(7) Controle: Segurana da informao no gerenciamento de projetos.

6.1.5 Convm que a segurana da informao seja considerada no gerenciamento de

projetos, independentemente do tipo do projeto (ABNT, NBR 27002, 2013, pgina 7).
(8) Controle: Poltica para uso de dispositivo mvel.
6.2.1 Convm que uma poltica e medidas que apoiam a segurana da informao
sejam adotadas para gerenciar os riscos decorrentes do uso de dispositivos mveis
(ABNT, NBR 27002, 2013, pgina 8).
(9) Controle: Trabalho remoto.
6.2.2 Convm que uma poltica e medidas que apoiam a segurana da informao sejam
implementadas para proteger as informaes acessadas, processadas ou armazenadas em
locais de trabalho remoto (ABNT, NBR 27002, 2013, pgina 9).

Captulo 7 Segurana em recursos humanos


(10) Controle: Recursos Humanos Seleo.
7.1.1 Convm que verificaes do histrico sejam realizadas para todos os candidatos a
empregos, de acordo com a tica, regulamentaes e leis relevantes, e seja proporcional
aos requisitos de negcio, aos riscos percebidos e classificao das informaes a serem
acessadas (ABNT, NBR 27002, 2013, pgina 11).
(11) Controle: Recursos Humanos Termos e condies de contratao.
7.1.2 Convm que as obrigaes contratuais com funcionrios e partes externas declarem
a sua responsabilidade e as da organizao para a segurana da informao (ABNT, NBR
27002, 2013, pgina 12).
(12) Controle: Recursos Humanos Responsabilidade da Direo.

7.2.1 Convm que a Direo solicite a todos os funcionrios e partes externas que pratiquem a segurana da informao de acordo com o estabelecido nas polticas e procedimentos da organizao (ABNT, NBR 27002, 2013, pgina 13).
(13) Controle: Recursos Humanos Conscientizao, educao e treinamento.

externas, recebam treinamento, educao e conscientizao apropriados, e as atualizaes regulares das polticas e procedimentos organizacionais relevantes para as suas
funes (ABNT, NBR 27002, 2013, pgina 13).
(14) Controle: Recursos Humanos Processo disciplinar.
7.2.3 Convm que exista um processo disciplinar formal, implantado e comunicado, para
tomar aes contra funcionrios que tenham cometido uma violao da segurana da informao (ABNT, NBR 27002, 2013, pgina 15).
(15) Controle: Recursos Humanos Encerramento ou mudana de contratao.
7.3.1 Convm que as responsabilidades e obrigaes pela segurana da informao que
permaneam vlidas aps um encerramento ou mudana da contratao sejam definidas,
comunicadas aos funcionrios ou partes externas e cumpridas (ABNT, NBR 27002, 2013,
pgina 16).

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

7.2.2 Convm que todos os funcionrios da organizao e, onde pertinente, partes

11

Captulo 8 Gesto de ativos


(16) Controle: Inventrio dos ativos.

8.1.1 Convm que os ativos associados informao e aos recursos de processamento


da informao sejam identificados, e um inventrio destes ativos seja estruturado e
mantido (ABNT, NBR 27002, 2013, pgina 16).
(17) Controle: Proprietrio dos ativos.
8.1.2 Convm que os ativos mantidos no inventrio tenham um proprietrio (ABNT,
NBR 27002, 2013, pgina 17).
(18) Controle: Uso aceitvel dos ativos.
8.1.3 Convm que regras para o uso aceitvel das informaes, dos ativos associados com
a informao e dos recursos de processamento da informao sejam identificadas, documentadas e implementadas (ABNT, NBR 27002, 2013, pgina 18).
(19) Controle: Devoluo de ativos.
8.1.4 Convm que todos os funcionrios e partes externas devolvam todos os ativos da
organizao que estejam em sua posse, aps o encerramento de suas atividades, do contrato ou do acordo (ABNT, NBR 27002, 2013, pgina 18).
(20) Controle: Classificao da informao.

8.2.1 Convm que a informao seja classificada em termos do seu valor, requisitos
legais, sensibilidade e criticidade para evitar modificao ou divulgao no autorizada
(ABNT, NBR 27002, 2013, pgina 18).
(21) Controle: Rtulos e tratamento da informao.
8.2.2 Convm que um conjunto apropriado de procedimentos para rotular e tratar a
informao seja desenvolvido e implementado de acordo com o esquema de classificao
adotado pela organizao (ABNT, NBR 27002, 2013, pgina 20).
(22) Controle: Tratamento dos ativos
8.2.3 Convm que procedimentos para o tratamento dos ativos sejam desenvolvidos e
implementados de acordo com o esquema de classificao da informao adotado pela
organizao (ABNT, NBR 27002, 2013, pgina 20).
(23) Controle: Gerenciamento de mdias removveis.
8.3.1 Convm que existam procedimentos implementados para o gerenciamento de mdias
removveis, de acordo com o esquema de classificao adotado pela organizao (ABNT,
Polticas de Segurana da Informao

NBR 27002, 2013, pgina 21).

12

(24) Controle: Descarte de mdias


8.3.2 Convm que as mdias sejam descartadas de forma segura, quando no forem mais
necessrias, por meio de procedimentos formais (ABNT, NBR 27002, 2013, pgina 22).
(25) Controle: Transferncia fsica de mdias.
8.3.3 Convm que mdias contendo informaes sejam protegidas contra acesso no autorizado, uso imprprio ou corrupo durante o transporte (ABNT, NBR 27002, 2013, pgina 22).

Captulo 9 Controle de acesso


(26) Controle: Poltica de controle de acesso.

9.1.1 Convm que uma poltica de controle de acesso seja estabelecida, documentada e
analisada criticamente, baseada nos requisitos de segurana da informao e dos negcios (ABNT, NBR 27002, 2013, pgina 23).
(27) Controle: Acesso s redes e aos servios de rede.
9.1.2 Convm que os usurios somente recebam acesso s redes e aos servios de rede que
tenham sido especificamente autorizados para utilizar (ABNT, NBR 27002, 2013, pgina 25).
(28) Controle: Registro e cancelamento de usurio.
9.2.1 Convm que um processo formal de registro e cancelamento de usurio seja implementado para permitir atribuio dos direitos de acesso (ABNT, NBR 27002, 2013, pgina 25).
(29) Controle: Provisionamento para acesso de usurio.
9.2.2 Convm que um processo formal de provisionamento de acesso do usurio seja
implementado para conceder ou revogar os direitos de acesso do usurio para todos os tipos
de usurios em todos os tipos de sistemas e servios (ABNT, NBR 27002, 2013, pgina 26).
(30) Controle: Gerenciamento de direitos de acesso privilegiados.
9.2.3 Convm que a concesso e o uso de direitos de acesso privilegiado sejam restritos e
controlados (ABNT, NBR 27002, 2013, pgina 27).
(31) Controle: Gerenciamento da informao de autenticao secreta de usurios.
9.2.4 Convm que a concesso de informao de autenticao secreta seja controlada por
meio de um processo de gerenciamento formal (ABNT, NBR 27002, 2013, pgina 28).
(32) Controle: Anlise crtica dos direitos de acesso de usurio.
9.2.5 Convm que os proprietrios de ativos analisem criticamente os direitos de acesso
dos usurios a intervalos regulares (ABNT, NBR 27002, 2013, pgina 28).

9.2.6 Convm que os direitos de acesso de todos os funcionrios e partes externas s


informaes e aos recursos de processamento da informao sejam retirados logo aps o
encerramento de suas atividades, contratos ou acordos, ou ajustados aps a mudana desta
atividade (ABNT, NBR 27002, 2013, pgina 29).
(34) Controle: Uso da informao de autenticao secreta.
9.3.1 Convm que os usurios sejam orientados a seguir as prticas da organizao quanto
ao uso da informao de autenticao secreta (ABNT, NBR 27002, 2013, pgina 30).
(35) Controle: Restrio de acesso informao.
9.4.1 Convm que o acesso informao e s funes dos sistemas de aplicaes seja restrito, de acordo com a poltica de controle de acesso (ABNT, NBR 27002, 2013, pgina 31).
(36) Controle: Procedimentos seguros de entrada no sistema (log-on).

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

(33) Controle: Retirada ou ajuste dos direitos de acesso.

13

9.4.2 Convm que, onde aplicvel pela poltica de controle de acesso, o acesso aos sistemas e aplicaes sejam controlados por um procedimento seguro de entrada no sistema
(log-on) (ABNT, NBR 27002, 2013, pgina 31).
(37) Controle: Sistemas de gerenciamento de senha.
9.4.3 Convm que sistemas para gerenciamento de senhas sejam interativos e assegurem
senhas de qualidade (ABNT, NBR 27002, 2013, pgina 33).
(38) Controle: Uso de programas utilitrios privilegiados.
9.4.4 Convm que o uso de programas utilitrios que podem ser capazes de sobrepor
os controles dos sistemas e aplicaes seja restrito e estritamente controlado (ABNT, NBR
27002, 2013, pgina 33).
(39) Controle: Controle de acesso ao cdigo fonte de programas.
9.4.5 Convm que o acesso ao cdigo fonte de programas seja restrito (ABNT, NBR 27002,
2013, pgina 34).

Captulo 10 Criptografia
(40) Controle: Poltica para uso de controles criptogrficos.
10.1.1 Convm que seja desenvolvida e implementada uma poltica sobre o uso de controles criptogrficos para a proteo da informao (ABNT, NBR 27002, 2013, pgina 35).
(41) Controle: Gerenciamento de chaves.
10.1.2 Convm que uma poltica sobre o uso, proteo e tempo de vida das chaves criptogrficas seja desenvolvida e implementada ao longo de todo o seu ciclo de vida (ABNT, NBR
27002, 2013, pgina 36).

Captulo 11 Segurana fsica e do ambiente


(42) Controle: Permetro de segurana fsica.

11.1.1 Convm que permetros de segurana sejam definidos e usados para proteger
tanto as instalaes de processamento da informao como as reas que contenham
informaes crticas ou sensveis (ABNT, NBR 27002, 2013, pgina 38).
(43) Controle: Controles de entrada fsica.
11.1.2 Convm que as reas seguras sejam protegidas por controles apropriados de
entrada para assegurar que somente pessoas autorizadas tenham acesso permitido (ABNT,
NBR 27002, 2013, pgina 39).

Polticas de Segurana da Informao

(44) Controle: Segurana em escritrios, salas e instalaes.

14

11.1.3 Convm que seja projetada e aplicada segurana fsica para escritrios, salas e
instalaes (ABNT, NBR 27002, 2013, pgina 40).
(45) Controle: Proteo contra ameaas externas e do meio ambiente.
11.1.4 Convm que seja projetada e aplicada proteo fsica contra desastres naturais,
ataques maliciosos ou acidentes (ABNT, NBR 27002, 2013, pgina 40).
(46) Controle: Trabalhando em reas seguras.
11.1.5 Convm que sejam projetados e aplicados procedimentos para o trabalho em reas
seguras (ABNT, NBR 27002, 2013, pgina 40).

(47) Controle: reas de entrega e de carregamento.


11.1.6 Convm que pontos de acesso como reas de entrega e de carregamento e outros
pontos em que pessoas no autorizadas possam entrar nas instalaes sejam controlados e,
se possvel, isolados das instalaes de processamento de informao, para evitar o acesso
no autorizado (ABNT, NBR 27002, 2013, pgina 41).
(48) Controle: Localizao e proteo do equipamento.
11.2.1 Convm que os equipamentos sejam protegidos e colocados em locais para reduzir
os riscos de ameaas e perigos do meio ambiente, bem como as oportunidades de acesso
no autorizado (ABNT, NBR 27002, 2013, pgina 41).
(49) Controle: Utilidades.
11.2.2 Convm que os equipamentos sejam protegidos contra a falta de energia eltrica e
outras interrupes causadas por falhas das utilidades (ABNT, NBR 27002, 2013, pgina 42).
(50) Controle: Segurana do cabeamento.
11.2.3 Convm que o cabeamento de energia e de telecomunicaes que transporta dado
ou d suporte aos servios de informaes seja protegido contra interceptao, interferncia ou danos (ABNT, NBR 27002, 2013, pgina 43).
(51) Controle: Manuteno dos equipamentos.
11.2.4 Convm que os equipamentos tenham uma manuteno correta para assegurar a
sua contnua integridade e disponibilidade (ABNT, NBR 27002, 2013, pgina 43).
(52) Controle: Remoo de ativos.
11.2.5 Convm que equipamentos, informaes ou software no sejam retirados do local
sem autorizao prvia (ABNT, NBR 27002, 2013, pgina 44).
(53) Controle: Segurana de equipamentos e ativos fora das dependncias da organizao.
11.2.6 Convm que sejam tomadas medidas de segurana para ativos que operem fora
do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das

(54) Controle: Reutilizao ou descarte seguro de equipamentos.


11.2.7 Convm que todos os equipamentos que contenham mdias de armazenamento de
dados sejam examinados antes da reutilizao, para assegurar que todos os dados sensveis
e software licenciados tenham sido removidos ou sobregravados com segurana (ABNT,
NBR 27002, 2013, pgina 46).
(55) Controle: Equipamento de usurio sem monitorao.
11.2.8 Convm que os usurios assegurem que os equipamentos no monitorados tenham
proteo adequada (ABNT, NBR 27002, 2013, pgina 46).
(56) Controle: Poltica de mesa limpa e tela limpa.
11.2.9 Convm que sejam adotadas uma poltica de mesa limpa para papis e mdias de
armazenamento removveis e uma poltica de tela limpa para os recursos de processamento de informao (ABNT, NBR 27002, 2013, pgina 47).

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

dependncias da organizao (ABNT, NBR 27002, 2013, pgina 45).

15

Captulo 12 Segurana nas operaes


(57) Controle: Documentao dos procedimentos de operao.
12.1.1 Convm que os procedimentos de operao sejam documentados e disponibilizados
para todos os usurios que necessitem deles (ABNT, NBR 27002, 2013, pgina 48).
(58) Controle: Gesto de mudanas.
12.1.2 Convm que mudanas na organizao, nos processos de negcio, nos recursos de
processamento da informao e nos sistemas que afetam a segurana da informao, sejam
controladas (ABNT, NBR 27002, 2013, pgina 49).
(59) Controle: Gesto de capacidade.
12.1.3 Convm que a utilizao dos recursos seja monitorada e ajustada, e que as projees sejam feitas para necessidades de capacidade futura para garantir o desempenho
requerido do sistema (ABNT, NBR 27002, 2013, pgina 49).
(60) Controle: Separao dos ambientes de desenvolvimento, teste e produo.
12.1.4 Convm que ambientes de desenvolvimento, teste e produo sejam separados
para reduzir os riscos de acessos ou modificaes no autorizadas no ambiente de produo (ABNT, NBR 27002, 2013, pgina 50).
(61) Controle: Controles contra malware.
12.2.1 Convm que sejam implementados controles de deteco, preveno e recuperao
para proteger contra malware, combinados com um adequado programa de conscientizao
do usurio (ABNT, NBR 27002, 2013, pgina 51).
(62) Controle: Cpias de segurana das informaes.
12.3.1 Convm que cpias de segurana das informaes, dos software e das imagens do
sistema sejam efetuadas e testadas regularmente conforme a poltica de gerao de cpias
de segurana definida (ABNT, NBR 27002, 2013, pgina 53).
(63) Controle: Registro de eventos.
12.4.1 Convm que registros (log) de eventos das atividades do usurio, excees, falhas e
eventos de segurana da informao sejam produzidos, mantidos e analisados criticamente,
a intervalos regulares (ABNT, NBR 27002, 2013, pgina 54).
(64) Controle: Proteo das informaes dos registros de eventos (log).

Polticas de Segurana da Informao

12.4.2 Convm que as informaes dos registros de eventos (log) e os seus recursos sejam
protegidos contra acesso no autorizado e adulterao (ABNT, NBR 27002, 2013, pgina 55).
(65) Controle: Registro de eventos (log) de administrador e operador.
12.4.3 Convm que as atividades dos administradores e operadores do sistema sejam
registradas e os registros (log) protegidos e analisados criticamente, a intervalos regulares
(ABNT, NBR 27002, 2013, pgina 56).
(66) Controle: Sincronizao dos relgios.
12.4.4 Convm que os relgios de todos os sistemas de processamento de informaes
relevantes, dentro da organizao ou do domnio de segurana, sejam sincronizados com
uma nica fonte de tempo precisa (ABNT, NBR 27002, 2013, pgina 56).
16

(67) Controle: Instalao de software nos Sistemas Operacionais.


12.5.1 Convm que procedimentos para controlar a instalao de software em Sistemas
Operacionais sejam implementados (ABNT, NBR 27002, 2013, pgina 57).
(68) Controle: Gesto de vulnerabilidades tcnicas.

12.6.1 Convm que informaes sobre vulnerabilidades tcnicas dos sistemas de informao em uso sejam obtidas em tempo hbil; convm que a exposio da organizao a
estas vulnerabilidades seja avaliada e que sejam tomadas as medidas apropriadas para
lidar com os riscos associados (ABNT, NBR 27002, 2013, pgina 58).
(69) Controle: Restrio quanto instalao de software.
12.6.2 Convm que sejam estabelecidas e implementadas regras definindo critrios
para a instalao de software pelos usurios (ABNT, NBR 27002, 2013, pgina 59).
(70) Controle: Controles de auditoria de sistemas de informao.
12.7.1 Convm que as atividades e requisitos de auditoria envolvendo a verificao nos
Sistemas Operacionais sejam cuidadosamente planejados e acordados para minimizar interrupo dos processos do negcio (ABNT, NBR 27002, 2013, pgina 60).

Captulo 13 Segurana nas comunicaes


(71) Controle: Controles de redes
13.1.1 Convm que as redes sejam gerenciadas e controladas para proteger as informaes
nos sistemas e aplicaes (ABNT, NBR 27002, 2013, pgina 61).
(72) Controle: Segurana dos servios de rede.
13.1.2 Convm que mecanismos de segurana, nveis de servio e requisitos de gerenciamento de todos os servios de rede sejam identificados e includos em qualquer acordo de
servios de rede, tanto para servios de rede providos internamente como para terceirizados (ABNT, NBR 27002, 2013, pgina 61).
(73) Controle: Segregao de redes.

sejam segregados em redes (ABNT, NBR 27002, 2013, pgina 62).


(74) Controle: Polticas e procedimentos para transferncia de informaes.
13.2.1 Convm que polticas, procedimentos e controles de transferncias formais sejam
estabelecidos para proteger a transferncia de informaes, por meio de uso de todos os
tipos de recursos de comunicao (ABNT, NBR 27002, 2013, pgina 63).
(75) Controle: Acordos para transferncia de informaes.
13.2.2 Convm que sejam estabelecidos acordos para transferncia segura de informaes
do negcio entre a organizao e as partes externas (ABNT, NBR 27002, 2013, pgina 64).
(76) Controle: Mensagens eletrnicas.
13.2.3 Convm que as informaes que trafegam em mensagens eletrnicas sejam adequadamente protegidas (ABNT, NBR 27002, 2013, pgina 65).
(77) Controle: Acordos de confidencialidade e no divulgao.

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

13.1.3 Convm que grupos de servios de informao, usurios e sistemas de informao

17

13.2.4 Convm que os requisitos para a confidencialidade ou acordos de no divulgao


que reflitam as necessidades da organizao para a proteo da informao sejam identificados, analisados criticamente e documentados (ABNT, NBR 27002, 2013, pgina 668).

Captulo 14 Aquisio, desenvolvimento e manuteno de sistemas


(78) Controle: Anlise e especificao dos requisitos de segurana da informao.
14.1.1 Convm que os requisitos relacionados segurana da informao sejam includos
nos requisitos para novos sistemas de informao ou melhorias dos sistemas de informao
existentes (ABNT, NBR 27002, 2013, pgina 67).
(79) Controle: Servios de aplicao seguros em redes pblicas.
14.1.2 Convm que as informaes envolvidas nos servios de aplicao que transitam
sobre as redes pblicas sejam protegidas de atividades fraudulentas, disputas contratuais e
divulgao e modificaes no autorizadas (ABNT, NBR 27002, 2013, pgina 68).
(80) Controle: Protegendo as transaes nos aplicativos de servios.
14.1.3 Convm que informaes envolvidas em transaes nos aplicativos de servios
sejam protegidas para prevenir transmisses incompletas, erros de roteamento, alterao
no autorizada da mensagem, divulgao no autorizada, duplicao ou reapresentao da
mensagem no autorizada (ABNT, NBR 27002, 2013, pgina 70).
(81) Controle: Poltica de desenvolvimento seguro.
14.2.1 Convm que regras para o desenvolvimento de sistemas e software sejam estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organizao (ABNT, NBR
27002, 2013, pgina 70).
(82) Controle: Procedimentos para controle de mudana de sistemas.
14.2.2 Convm que as mudanas em sistemas no ciclo de vida de desenvolvimento sejam
controladas utilizando procedimentos formais de controle de mudanas (ABNT, NBR 27002,
2013, pgina 71).
(83) Controle: Anlise crtica tcnica das aplicaes aps mudanas nas plataformas operacionais.
14.2.3 Quando plataformas operacionais forem modificadas, convm que as aplicaes
crticas de negcio sejam analisadas criticamente e testadas para garantir que no haver
qualquer impacto adverso na operao da organizao ou na segurana (ABNT, NBR 27002,
2013, pgina 73).

Polticas de Segurana da Informao

(84) Controle: Restries sobre mudanas em pacotes de software.

18

14.2.4 Convm que modificaes em pacotes de software sejam desencorajadas e estejam


limitadas s mudanas necessrias, e todas as mudanas sejam estritamente controladas
(ABNT, NBR 27002, 2013, pgina 73).
(85) Controle: Princpios para projetar sistemas seguros.
14.2.5 Convm que princpios para projetar sistemas seguros sejam estabelecidos, documentados, mantidos e aplicados para qualquer implementao de sistemas de informao
(ABNT, NBR 27002, 2013, pgina 74).
(86) Controle: Ambiente seguro para desenvolvimento.

14.2.6 Convm que as organizaes estabeleam e protejam adequadamente ambientes


seguros de desenvolvimento, para os esforos de integrao e desenvolvimento de sistemas, que cubram todo o ciclo de vida de desenvolvimento de sistema (ABNT, NBR 27002,
2013, pgina 74).
(87) Controle: Desenvolvimento terceirizado.
14.2.7 Convm que a organizao supervisione e monitore as atividades de desenvolvimento de sistemas terceirizado (ABNT, NBR 27002, 2013, pgina 75).
(88) Controle: Testes de segurana do sistema.
14.2.8 Convm que os testes das funcionalidades de segurana sejam realizados durante o
desenvolvimento e sistemas (ABNT, NBR 27002, 2013, pgina 76).
(89) Controle: Teste de aceitao de sistemas.
14.2.9 Convm que testes de aceitao e critrios relacionados sejam estabelecidos para novos
sistemas de informao, atualizaes e novas verses (ABNT, NBR 27002, 2013, pgina 76).
(90) Controle: Proteo dos dados para testes.
14.3.1 Convm que os dados de testes sejam selecionados com cuidado, protegidos e controlados (ABNT, NBR 27002, 2013, pgina 76).

Captulo 15 Relacionamento na cadeia de suprimento


(91) Controle: Poltica de segurana da informao no relacionamento com os fornecedores.
15.1.1 Convm que os requisitos de segurana da informao para mitigar os riscos associados com o acesso dos fornecedores aos ativos da organizao sejam acordados com o
fornecedor e documentados (ABNT, NBR 27002, 2013, pgina 77).
(92) Controle: Identificando segurana da informao nos acordos com fornecedores
15.1.2 Convm que todos os requisitos de segurana da informao relevantes sejam
estabelecidos e acordados com cada fornecedor que possa acessar, processar, armazenar,
comunicar ou prover componentes de infraestrutura de TI para as informaes da organi-

(93) Controle: Cadeia de suprimento na tecnologia da informao e comunicao.


15.1.3 Convm que acordos com fornecedores incluam requisitos para contemplar os
riscos de segurana da informao associados cadeia de suprimento de produtos e servios de tecnologia da informao e comunicao (ABNT, NBR 27002, 2013, pgina 80).
(94) Controle: Monitoramento e anlise crtica de servios com fornecedores.
15.2.1 Convm que as organizaes monitorem, analisem criticamente e auditem, a intervalos regulares, a entrega dos servios executados pelos fornecedores (ABNT, NBR 27002,
2013, pgina 81).
(95) Controle: Gerenciamento de mudanas para servios com fornecedores.
15.2.2 Convm que mudanas no provisionamento dos servios pelos fornecedores,
incluindo manuteno e melhoria das polticas de segurana da informao, dos procedimentos e controles existentes, sejam gerenciadas, levando-se em conta a criticidade das
informaes do negcio, dos sistemas e processos envolvidos, e a reavaliao de riscos.

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

zao, (ABNT, NBR 27002, 2013, pgina 78).

(ABNT, NBR 27002, 2013, pgina 82).


19

Captulo 16 Gesto de incidentes de segurana da informao


(96) Controle: Responsabilidad es e procedimentos.

16.1.1 Convm que responsabilidades e procedimentos de gesto sejam estabelecidos


para assegurar respostas rpidas, efetivas e ordenadas aos incidentes de segurana da
informao. (ABNT, NBR 27002, 2013, pgina 83).
(97) Controle: Notificao de eventos de segurana da informao.
16.1.2 Convm que os eventos de segurana da informao sejam relatados por meio de
canais de gesto, o mais rapidamente possvel (ABNT, NBR 27002, 2013, pgina 84).
(98) Controle: Notificando fragilidades de segurana da informao.
16.1.3 Convm que os funcionrios e partes externas que usam os sistemas e servios de
informao da organizao sejam instrudos a notificar e registrar quaisquer fragilidades
de segurana da informao, observada ou suspeita, nos sistemas ou servios (ABNT, NBR
27002, 2013, pgina 85).
(99) Controle: Avaliao e deciso dos eventos de segurana da informao.
16.1.4 Convm que os eventos de segurana da informao sejam avaliados e seja decidido
se eles so classificados como incidentes de segurana da informao (ABNT, NBR 27002,
2013, pgina 86).
(100) Controle: Resposta aos incidentes de segurana da informao.
16.1.5 Convm que incidentes de segurana da informao sejam reportados de acordo
com procedimentos documentados (ABNT, NBR 27002, 2013, pgina 86).
(101) Controle: Aprendendo com os incidentes de segurana da informao.
16.1.6 Convm que os conhecimentos obtidos da anlise e resoluo dos incidentes de
segurana da informao sejam usados para reduzir a probabilidade ou o impacto de incidentes futuros (ABNT, NBR 27002, 2013, pgina 87).
(102) Controle: Coleta de evidncias.
16.1.7 Convm que a organizao defina e aplique procedimentos para identificao,
coleta, aquisio e preservao dos informaes, as quais podem servir como evidncias
(ABNT, NBR 27002, 2013, pgina 87).

Captulo 17 Aspectos de segurana da informao na gesto de continuidade do


negcio
Polticas de Segurana da Informao

(103) Controle: Planejando a continuidade da segurana da informao.

20

17.1.1 Convm que a organizao determine seus requisitos para a segurana da informao e continuidade da gesto da segurana da informao em situaes diversas, por
exemplo, durante uma crise ou desastre (ABNT, NBR 27002, 2013, pgina 88).
(104) Controle: Implementando a continuidade da segurana da informao.
17.1.2 Convm que a organizao estabelea, documente, implemente e mantenha processos, procedimentos e controles para assegurar o nvel requerido de continuidade para a
segurana da informao, durante uma situao adversa (ABNT, NBR 27002, 2013, pgina 89).
(105) Controle: Verificao, anlise crtica e avaliao da continuidade da segurana da informao.

17.1.3 Convm que a organizao verifique os controles de continuidade da segurana da


informao, estabelecidos e implementados, a intervalos regulares, para garantir que eles
sejam vlidos e eficazes em situaes adversas (ABNT, NBR 27002, 2013, pgina 90).
(106) Controle: Disponibilidade dos recursos de processamento da informao.
17.2.1 Convm que os recursos de processamento da informao sejam implementados
com redundncia suficiente para atender aos requisitos de disponibilidade. (ABNT, NBR
27002, 2013, pgina 91).

Captulo 18 Conformidade
(107) Controle: Identificao da legislao aplicvel e de requisitos contratuais

18.1.1 Convm que todos os requisitos legislativos estatutrios, regulamentares e contratuais pertinentes e o enfoque da organizao para atender a esses requisitos sejam
explicitamente identificados, documentados e mantidos atualizados para cada sistema
de informao da organizao (ABNT, NBR 27002, 2013, pgina 91).
(108) Controle: Direitos de propriedade intelectual.
18.1.2 Convm que procedimentos apropriados sejam implementados para garantir a
conformidade com os requisitos legislativos, regulamentares e contratuais relacionados aos
direitos de propriedade intelectual, e sobre o uso de produtos de software proprietrios
(ABNT, NBR 27002, 2013, pgina 93).
(109) Controle: Proteo de registros.
18.1.3 Convm que registros sejam protegidos contra perda, destruio, falsificao,
acesso no autorizado e liberao no autorizada, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio (ABNT, NBR 27002, 2013, pgina 93).
(110) Controle: Proteo e privacidade de informaes de identificao pessoal.
18.1.4 Convm que a privacidade e a proteo das informaes de identificao pessoal
sejam asseguradas conforme requerido por legislao e regulamentao pertinente,
quando aplicvel (ABNT, NBR 27002, 2013, pgina 94).

18.1.5 Convm que controles de criptografia sejam usados em conformidade com todas as
leis, acordos, legislao e regulamentao pertinentes (ABNT, NBR 27002, 2013, pgina 94).
(112) Controle: Anlise crtica independente da segurana da informao.
18.2.1 Convm que o enfoque da organizao para gerenciar a segurana da informao e
a sua implementao (por exemplo, objetivo dos controles, controles, polticas, processos e
procedimentos para a segurana da informao) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas (ABNT,
NBR 27002, 2013, pgina 95).
(113) Controle: Conformidade com as polticas e procedimentos de segurana da informao.
18.2.2 Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade dos procedimentos e do processamento da informao, dentro das suas reas de
responsabilidades, com as normas e polticas de segurana e quaisquer outros requisitos de
segurana da informao (ABNT, NBR 27002, 2013, pgina 96).

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

(111) Controle: Regulamentao de controles de criptografia.

21

(114) Controle: Anlise crtica da conformidade tcnica.


18.2.3 Convm que os sistemas de informao sejam analisados criticamente, a intervalos
regulares, para verificar a conformidade com as normas e polticas de segurana da informao da organizao (ABNT, NBR 27002, 2013, pgina 96).

Poltica de segurana da informao e a Norma NBR ISO/IEC 27001:2013


tecnologia da informao tcnicas de segurana sistema de gesto de segurana
da informao requisitos
Essa norma define um modelo que estabelece, implanta, opera, monitora, analisa criticamente, mantm e melhora o Sistema de Gesto de Segurana da Informao (SGSI).
Ela tambm pode ser utilizada por partes internas e externas para avaliar a conformidade
com os controles definidos na Norma ABNT NBR ISO/IEC 27002 e no caso de parte externa,
possibilitar a certificao da organizao em segurana da informao.
A poltica de segurana da informao um dos controles que deve ser considerado. Ela
um controle bsico, pois nela so declarados os demais controles, em maior ou menor
nvel de granularidade, que sero considerados pela organizao.
Esta norma considera a poltica de segurana da informao como elemento de responsabilidade da Alta Direo:
5 Liderana
5.1 Liderana e comprometimento
A Alta Direo deve demonstrar a sua liderana e comprometimento em relao ao
sistema de gesto da segurana da informao pelos seguintes meios:
a. assegurando que a poltica de segurana da informao e os objetivos de segurana
da informao esto estabelecidos e so compatveis com a direo estratgica da
organizao; (ABNT, NBR 27001, 2013, pgina 2).
Sendo a Alta Direo responsvel pela existncia da poltica de segurana da informao, essa norma complementa:
5.2 Poltica
A Alta Direo deve estabelecer uma poltica de segurana da informao que:
a. seja apropriada ao propsito da organizao;
b. inclua os objetivos de segurana da informao ou fornea a estrutura para estabelecer os objetivos de segurana da informao;
c. inclua o comprometimento em satisfazer os requisitos aplicveis, relacionados com a
segurana da informao;
Polticas de Segurana da Informao

d. inclua o comprometimento com a melhoria continua do sistema de gesto da segu-

22

rana da informao; (ABNT, NBR 27001, 2013, pgina 3).


A poltica se segurana da informao deve:
a. estar disponvel como informao documentada;
b. ser comunicada dentro da organizao;
c. estar disponvel para as partes interessadas, conforme apropriado (ABNT, NBR
27001, 2013, pgina 3).

A norma considera a poltica de segurana da informao um elemento importante, que

se confirma quando a norma declara:


6.2 Objetivo de segurana da informao e planejamento para alcan-los.
A organizao deve estabelecer os objetivos de segurana da informao para as
funes e nveis relevantes.
Os objetivos de segurana da informao devem:
a. ser consistentes com a poltica de segurana da informao;
b. ser mensurveis (quando aplicvel);
c. levar em conta os requisitos de segurana da informao aplicveis e os resultados
da avaliao e tratamento de riscos;
d. ser comunicados; e
e. ser atualizado, conforme apropriado.
(ABNT, NBR 27001, 2013, pgina 5).
Quando a norma trata da conscientizao, a poltica de segurana da informao novamente citada:
7. Apoio
7.3 Conscientizao
Pessoas que realizam trabalhos sob o controle da organizao devem estar cientes da:
a. poltica de segurana da informao;
b. suas contribuies para a eficcia do sistema de gesto da segurana da informao,
incluindo os benefcios da melhoria do desempenho da segurana da informao; e
c. implicaes da no conformidade com os requisitos do sistema de gesto da segurana da informao (ABNT, NBR 27001, 2013, pgina 6).
No final, de uma maneira indireta, essa norma indica a melhoria da poltica de segurana da
informao, quando indica:

A organizao deve continuamente melhorar a pertinncia, adequao e eficcia do sistema


de gesto da segurana da informao
(ABNT, NBR 27001, 2013, pgina 11).

Poltica de segurana da informao e a norma NBR ISO/IEC 27005:2008 tecnologia da


informao tcnicas de segurana gesto de riscos de segurana da informao
Essa norma define as diretrizes para o processo de Gesto de Riscos em Segurana da Informao atendendo aos requisitos de um SGSI, de acordo com a ABNT NBR ISO/IEC 27001.
Nessa norma feito um relacionamento do escopo do SGSI com a Dimenso Poltica de
Segurana da Informao e com a Dimenso Gesto de Riscos.
Na Dimenso da Gesto de Riscos, a poltica de segurana da informao considerada

na fase de definio do contexto, do escopo e dos limites.


No Captulo 7 Definio de contexto, no item 7.3 Escopo e limites, essa norma declara que
convm que a organizao defina o escopo e os limites da gesto de riscos de segurana da
informao (ABNT, 2008, pgina 8).

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

10.2 Melhoria contnua

23

Para a definio do escopo e limites a, norma ISO/IEC 27005 cita a Poltica de Segurana da
Informao quando declara no item 7.3 Escopo e limites:
Ao definir escopo e limites, convm que a organizao considere as seguintes informaes:

11 Os objetivos estratgicos, polticas e estratgias da organizao;


11 Processo de negcio;
11 As funes e estrutura da organizao;
11 Requisitos legais, regulatrios e contratuais aplicveis organizao;
11 A poltica de segurana da informao (grifo nosso);
11 A abordagem da organizao gesto de riscos;
11 Ativos de informao;
11 Localidades em que a organizao se encontra e caractersticas geogrficas;
11 Restries que afetam a organizao;
11 Expectativas das partes interessadas;
11 Ambiente sociocultural;
11 Interfaces (ou seja, a troca de informao com o ambiente).
Em seguida, a norma complementa:
O escopo e os limites da gesto de riscos de segurana da informao esto relacionados
ao escopo e aos limites do SGSI, conforme requerido na ABNT ISO/IEC 27001 4.2.1.a (ABNT,
2008, pgina 9).
A gesto de riscos parte do Sistema de Gesto de Segurana da Informao e far com que
este SGSI se mantenha contnuo:
Convm que a gesto de riscos de segurana da informao seja parte integrante das atividades de gesto da segurana da informao e aplicada tanto implementao quanto
operao cotidiana de um SGSI (ABNT, 2008, pgina 3).
A NBR ISO/IEC 27001:2006 relaciona no item 4.2.1 Estabelecer o SGSI, os elementos necessrios para que a organizao estabelea um SGSI. A Segurana da Informao aparece
como um dos elementos:
a. Definir o escopo e os limites do SGSI (Sistema de Gesto de Segurana da Informao)
nos termos das caractersticas do negcio, a organizao, sua localizao, ativos de tecnologia, incluindo detalhes para quaisquer excluses do escopo.
b. Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao, sua
Polticas de Segurana da Informao

localizao, ativos e tecnologia que:


1. inclua uma estrutura para definir objetivos e estabelea um direcionamento global e
princpios para as aes relacionadas com a segurana da informao;
2. considere os requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana contratuais;
3. esteja alinhada com o contexto estratgico de gesto de risco da organizao no qual o
estabelecimento e manuteno do SGSI ir ocorrer;
4. estabelea critrios em relao aos quais os riscos sero avaliados.
c. Definir a abordagem de anlise e avaliao de riscos da organizao.
(ABNT, 2006, pginas 4-5)
24

d. Identificar os riscos.
e. Analisar e avaliar os riscos.
f. Identificar e avaliar as opes para o tratamento de risco.
g. Selecionar objetivos de controle e controles para o tratamento de riscos.
h. Obter aprovao da direo dos riscos residuais propostos.
i. Obter autorizao da direo para implementar e operar o SGSI.
j. Preparar uma Declarao de Aplicabilidade.
A poltica de segurana da informao relaciona-se com a gesto de riscos na sua fase

de definio de contexto. Ela deve conter elementos que explicitem o escopo e os limites
que sero considerados no SGSI e consequentemente na gesto de riscos.
A figura a seguir indica as etapas do processo de gesto de riscos em segurana da informao.
A primeira etapa desse processo definio do contexto, e nessa etapa que a poltica de
segurana da informao se faz presente, registrando e explicitando o que dever ser considerado para o contexto da gesto de risco.

Poltica de
Segurana
da Informao

DEFINIO DO CONTEXTO

COMUNICAO RISCO

IDENTIFICAO DE RISCOS

ESTIMATIVA DE RISCOS

AVALIAO DE RISCOS

PONTO DE DECISO 1

No

Avaliao satisfatria
Sim
TRATAMENTO DO RISCO
No

PONTO DE DECISO 2
Tratamento satisfatrio
Sim
Figura 1.3
Processo de
gesto de risco
de segurana da
informao.

ACEITAO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAES

ontnua do Serv
ria C
io
lho
e
M

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

ANLISE DE RISCOS

MONITORAMENTO E ANLISE CRTICA DE RISCOS

ANLISE / AVALIAO DE RISCOS

25

A figura a seguir apresenta as etapas do Modelo PDCA e o seu relacionamento com as


etapas de um Processo de Gesto de Riscos de Segurana da Informao.
Processos do SGSI

Processo de gesto de riscos de SI

Planejar

11Definio do contexto

11Anlise / avaliao e riscos

11Definio do plano de tratamento de riscos


11Aceitao do risco
Executar

11Implementao do plano de tratamento de risco

Verificar

11Monitoramento contnuo e anlise crtica de riscos

Agir

11Manter e melhorar o processo de gesto de risos de segurana da informao

Essa norma estabelece que os critrios pelos quais os riscos sero avaliados devero ser
estabelecidos pela poltica do SGSI. A NBR ISO/IEC 27001:2006, nos itens 4.2.1.b.4 e 4.2.1.c.2,
indica que a poltica do SGSI deve estabelecer critrios em relao aos quais os riscos sero
avaliados e precisa desenvolver critrios para que a aceitao de riscos e identifique os
nveis aceitveis de riscos (ABNT, 2006, pgina 4-5).

Tabela 1.1
Relacionamento
dos processos
do SGSI e dos
processos de
gesto de riscos
de TI.

A Poltica do SGSI possibilita a anlise ou avaliao dos riscos e define os elementos para
possibilitar o tratamento dos riscos. A Dimenso Poltica de Segurana da Informao possibilita a Dimenso Gesto de Riscos.

Poltica de Segurana

Dene Contexto

Considerado na Gesto de Risco

Que dene os controles

Figura 1.4
Poltica de
Segurana e o
Contexto da Gesto
de Risco.

Que atuaro nos Ativos de Informao

Poltica de segurana da informao e a governana da segurana da informao


O IBGC (2009, pgina 19), em seu Cdigo de Melhores Prticas de Governana Corporativa,
Polticas de Segurana da Informao

define Governana Corporativa como:


Sistema pelo qual as organizaes so dirigidas, monitoradas e incentivadas, envolvendo
os relacionamentos entre proprietrios, Conselho de Administrao, Diretoria e rgo de
controle. As boas prticas de Governana Corporativa convertem princpios em recomendaes objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da
organizao, facilitando seu acesso a recursos e contribuindo para sua longevidade.
So quatro os princpios bsicos da Governana Corporativa (IBGC, 2009):
11 Transparncia: prover informaes relevantes, no apenas as obrigatrias por lei, de
forma clara e tempestiva a qualquer interessado;
11 Equidade: tratamento, de forma justa, de todos os stakeholders, bem como no
adoo de prticas ou polticas discriminatrias;
26

11 Prestao de Contas: prestao de contas de todos os scios, conselheiros fiscais e

auditores (agentes de governana), dos seus atos administrativos, assumindo toda e


qualquer consequncia pelos seus atos;
11 Responsabilidade corporativa: os agentes de Governana Corporativa devem tomar
decises visando continuidade do negcio, de forma tica, sem se esquecerem da
sociedade e do meio ambiente.
Para atender a esses princpios, a organizao precisa de informao confivel. Por causa
dessa necessidade, a informao tornou-se um recurso crtico. Essa criticidade explcita
pelo ITGI (2006, pgina 7):
Informao e sistemas que tratam esta informao so crticos para a operao de

todas as organizaes. O acesso confivel informao se tornou um componente indispensvel na conduo do negcio; alm do que, para um crescente nmero de organizaes, informao o negcio.
Esta crescente dependncia pela informao foi identificada h cerca de uma dcada,
quando Peter Drucker afirmou que a difuso da tecnologia e a mercantilizao da informao transformou o papel da informao em um recurso de igual importncia terra,
trabalho e capital.
Com a implantao da Governana Corporativa, a segurana da informao deixou de
ser um controle especfico da rea de Tecnologia da Informao para ser um elemento do
negcio e da gesto desse negcio.
Nesse sentido, a alta direo e os executivos devem (ITGI, 2006, pgina 9):

11 Entender a criticidade da informao e da segurana da informao na organizao;


11 Rever o investimento da segurana da informao considerando o alinhamento da
segurana da informao com a estratgia de negcio da organizao e com o perfil
de risco definido pela organizao;
11 Dar efetivo apoio ao desenvolvimento e implantao de um abrangente programa de
segurana da informao;

requisitos definidos pela alta direo.


Tambm devem considerar a (ITGI, 2006, pgina 9):
11 Crescente dependncia em relao informao, aos sistemas e aos recursos de
comunicao que possibilitam o uso da informao na organizao;
11 Dependncia de outras entidades;
11 Crescente demanda de compartilhar informaes com parceiros, fornecedores e clientes;
11 Impacto na reputao e no valor da companhia em funo de falhas na segurana
da informao;
11 Falha na dosagem da importncia da segurana da informao para a alta direo.
Cresce a necessidade de uma orientao vinda da alta administrao com diretrizes de
como a organizao deseja tratar a informao e a proteo da informao. Para isso,
necessria uma Governana de Segurana da Informao.

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

11 Exigir relatrios peridicos da gerncia sobre o desenvolvimento e efetividade dos

27

O ITGI define a Governana da Segurana da Informao como um subconjunto da

Governana Corporativa que fornece orientao estratgica e assegura que os objetivos sero alcanados, gerencia os riscos adequadamente, garante o uso dos recursos
organizacionais de maneira responsvel e monitora o sucesso ou fracasso do programa
corporativo de segurana da informao (ITGI, 2006, pgina 17).
Para a existncia de uma estrutura bsica de Governana de Segurana da Informao, o
ITGI considera obrigatrio (ITGI, 2006, pgina 18):
11 Uma metodologia para gerenciamento de riscos em segurana da informao;
11 Uma abrangente estratgia de segurana explicitamente conectada aos objetivos de
negcio e aos objetivos de TI;
11 Uma estrutura organizacional de segurana da informao eficiente;
11 Uma estratgia de segurana da informao que explicite o valor da informao protegida e informao entregue;
11 Polticas de segurana da informao que direcionem cada aspecto da estratgia e dos
requisitos definidos em regulamentao (grifo nosso);
11 Um completo conjunto de padres de segurana para cada poltica definida, de
maneira a garantir que os procedimentos e diretrizes esto coerentes com a poltica;
11 Um processo de monitoramento institucionalizado para garantir o cumprimento e dar
o retorno sobre a eficcia da minimizao do risco;
11 Um processo para assegurar uma avaliao contnua e atualizada das polticas de
segurana, padres, procedimentos e riscos.
evidente que Dimenso de Poltica de Segurana da Informao um elemento crtico
para a existncia da Governana da Segurana da Informao.
A figura a seguir apresenta uma representao conceitual da Governana de Segurana
da Informao.
O centro da figura indica uma sequncia de prioridades:
11 Ter a Estratgia do Negcio (Business Strategy);
11 Definir a Estratgia de Segurana da Informao e de Gesto de Risco (Risk Management/Information Security Strategy);
11 Desenvolver os Planos de Ao, Polticas e Padres (Security Action Plans, Policies
and Stardards).
O grupo esquerda indica o nvel ou hierarquia dos profissionais envolvidos e o grupo

Polticas de Segurana da Informao

direita indica os produtos elaborados.

28

Senior Management

Business Strategy

Organization objectives

Steering committe and


Executive management

Risk management
Information Security strategy

Security Requirements

CISO/
Streering Committe

Security Action Plan,


Polices, standards

Security programmes

Implementation
Figura 1.5
Estrutura
Conceitual da
Governana de
Segurana da
Informao.

Monitor / Metrics
Reporting
Trend Analysis

Security objectives

A Norma NBR ISO/IEC 27014 Tecnologia da Informao Tcnicas de Segurana Governana de Segurana da Informao foi lanada no Brasil no segundo semestre do ano de
2013. Ela fornece uma orientao para a implementao e continuidade da governana de
segurana da informao em uma organizao.
Definies principais dessa norma:

a. Governana de segurana da informao


11 Governana de segurana da informao o sistema pelo qual as atividades de segurana da informao de uma organizao so dirigidas e controladas (ABNT, 2013,
NBR 27014, pgina 1).
b. Objetivos da governana de segurana da informao:
11 Alinhar os objetivos e estratgia da segurana da informao com os objetivos e
estratgia do negcio;
11 Agregar valor para o corpo diretivo e para as partes interessadas;
11 Garantir que os riscos da informao esto sendo adequadamente endereados

c. Resultados desejados da governana de segurana da informao:


11 Visibilidade do corpo diretivo sobre a situao da segurana da informao;
11 Uma abordagem gil para a tomada de decises sobre os riscos da informao;
11 Investimentos eficientes e eficazes em segurana da informao;
11 Conformidade com os requisitos externos (legais, regulamentares e contratuais)
(ABNT, 2013, NBR, 27014, pgina 2).
d. Princpios da governana da segurana da informao.
11 Estabelecer a segurana da informao em toda a organizao;
11 Adotar uma abordagem baseada em riscos;
11 Estabelecer a direo de decises de investimento;
11 Assegurar conformidade com os requisitos internos e externos;
11 Promover um ambiente positivo de segurana;
11 Analisar criticamente o desempenho em relao aos resultados de negcios;
11 (ABNT, 2013, NBR 27014, pgina 4 e 5).

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

(ABNT, 2013, NBR 27014, pgina 2).

29

e. Responsabilidade pela segurana da informao.

11 O corpo diretivo o maior responsvel pelas decises de uma organizao e pelo


seu desempenho. Em relao segurana da informao, o foco principal do corpo
diretivo garantir que a abordagem da organizao para a segurana da informao
seja eficiente, eficaz, aceitvel e alinhada com os objetivos e estratgias de negcios,
dando a devida considerao s expectativas das partes interessadas (ABNT, NBR
27014, 2013, pgina 2).
f. Elementos da direo organizacional
11 Corpo diretivo: pessoa ou grupo de pessoas que so responsveis pelo desempenho
e conformidade da organizao.
11 Gerncia executiva: pessoa ou grupo de pessoas que possuem reponsabilidade
delegada pelo corpo diretivo para a implementao de estratgias e polticas para
alcanar o propsito da organizao (ABNT, NBR 27014, 2013, pgina 1).

Poltica de segurana da informao e o Information Technology Infrastructure


Library ITIL
Information Technology Infrastructure Library (ITIL) uma estrutura que contm um
conjunto de diretrizes e prticas recomendadas que visa ajustar pessoas, processos e
tecnologia para aumentar a eficincia no gerenciamento de servios.
O ITIL possui cinco Funes de Servio:
Service Strategy (Estratgias de Servios)
Suas funes tm como foco resultados do cliente:
11 Composio da Estratgia;
11 Gerenciamento Financeiro;
11 Gerenciamento Portflio Servios;
11 Gerenciamento da Demanda.
Service Design (Desenho de Servios)
Suas funes fornecem orientaes sobre a produo e manuteno de polticas de TI,
arquiteturas e documentos para o projeto de solues de TI:
11 Gerenciamento Catlogo Servios;
11 Gerenciamento de Nvel de Servio;
11 Gerenciamento da Capacidade;
11 Gerenciamento da Disponibilidade;
Polticas de Segurana da Informao

11 Gerenciamento da Continuidade;

30

11 Gerenciamento Segurana Informao (grifo nosso);


11 Gerenciamento de Fornecedores.

Service Transition (Transio de Servios)

Suas funes fornecem orientaes e atividades do processo de transio dos servios


no ambiente de negcios operacionais.
11 Planejamento;
11 Gerenciamento de Mudanas;
11 Gerenciamento da Configurao;
11 Gerenciamento da Liberao;
11 Validao e Teste;
11 Avaliao;
11 Gerenciamento Base Conhecimento.
Service Operation (Operao de Servios)
Suas funes apresentam as atividades de controle para alcanar a excelncia operacional no dia a dia.
11 Gerenciamento de Eventos;
11 Gerenciamento de Incidentes;
11 Requisio;
11 Gerenciamento de Problemas;
11 Gerenciamento de Acessos.
Continual Services Improvment (melhoria contnua de servios)
Essa funo enfatiza a importncia da melhoria contnua como parte da qualidade do servio.

Estrat

ia do S
g

io
rv

rv

Tr a n si o d o

se

Figura 1.6
Servios do ITIL.

A figura apresenta os Servios do ITIL de uma maneira estruturada e como eles devem interagir. Como centro de todas as aes encontram-se as Estratgias do Servio, garantindo que
os demais elementos do ciclo de vida do servio estaro com foco em resultados do cliente.
Ao redor e de uma maneira contnua esto o Desenho de Servios, a Transio de Servios e a
Operao de Servios. Esse encadeamento demonstra a continuidade dessa sequncia, apri-

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

Desenho d
oS
e

io
erv

erao do Se
rvi
Op

ontnua do Serv
ria C
io
lho
e
M

morando sempre, pois todo esse ambiente est envolvido pela Melhoria Contnua de Servios.
31

Na Estrutura ITIL, a Segurana da Informao aparece como uma funo do Service


Design (Desenho de Servios).
Segundo a OGC (2007), o objetivo do Gerenciamento de Segurana da Informao alinhar a
segurana de TI com a segurana do negcio e garantir que a segurana da informao est
efetivamente gerenciada em todos os servios e atividades do Gerenciamento de Servios.
Para o ITIL, o processo do Gerenciamento de Segurana da Informao contempla:
11 A produo, manuteno, distribuio e melhoria de uma Poltica de Segurana da
Informao e das demais polticas complementares (grifo nosso);
11 A garantia da adequao dos requerimentos de negcio com a Poltica de Segurana
do Negcio;
11 Implementao de um conjunto de controles que suportem a Poltica de Segurana
da Informao e gerencie os riscos associados aos acessos aos servios, informaes
e sistemas;
11 Documentao de todos os controles de segurana, juntos com a operao e manuteno dos controles e dos riscos associados;
11 Gerenciamento dos fornecedores e contratados em relao ao acesso aos sistemas
e servios, em paralelo com o Gerenciamento de Fornecedores;
11 Gerenciamento de todas as falhas e incidentes de segurana associados aos sistemas
e servios;
11 Melhoria proativa nos controles de segurana, gerenciamento de risco de segurana
e na reduo dos riscos de segurana;
11 Integrao dos aspectos de segurana com os demais processos de gerenciamento de
servios de TI (OGC, Service Design, pgina 245).
O documento do Service Design indica quais polticas relativas segurana da informao devem existir, OGC (2007):
11 Uma poltica de segurana da informao de mais alto nvel;
11 Poltica sobre o uso de recursos de TI;
11 Poltica de controle de acesso;
11 Poltica de uso de e-mail;
11 Poltica de uso de internet;
11 Poltica de uso de antivrus;

Polticas de Segurana da Informao

11 Poltica de classificao de documento;

32

11 Poltica de acesso remoto;


11 Poltica de acesso a servios de TI por fornecedores;
11 Poltica de uso de ativos.
A Dimenso Poltica de Segurana da Informao um elemento crtico na Funo Gerenciamento da Segurana da Informao. Para uma organizao estar alinhada ao ITIL ela
precisa desenvolver, implantar e manter a Dimenso Poltica de Segurana da Informao.

Poltica de segurana da informao e o Control Objectives for Information and


Related Thechnology COBIT
A Governana de TI de responsabilidade dos executivos e da alta direo, consistindo em
aspectos de liderana, estrutura organizacional e processos que garantam que a rea de TI
da organizao suporte e aprimore os objetivos e suas estratgias (ITGI, 2007).
O COBIT tem por objetivo definir controles que possibilitaro rea de Tecnologia da Informao cumprir seus objetivos, estando alinhado aos objetivos de negcio.
De acordo com o ITGI (2007), os principais objetivos do COBIT so:
11 Estabelecer relacionamentos com os requisitos do negcio;
11 Organizar as atividades de TI em um modelo de processo;
11 Identificar os principais recursos de TI;
11 Definir os objetivos de controle que sero considerados para a gesto.
O COBIT consiste em objetivos de negcios ligados aos objetivos de Tecnologia da

Informao, provendo mtricas e modelos de maturidade para medir a sua eficcia e


identificando as responsabilidades relacionadas aos donos dos processos de negcios e
de TI (ITGI, 2007).
Em um dos grupos de controles encontram-se os controles relacionadas poltica de segurana
da informao. Porm, o prprio COBIT indica que, em relao ao assunto segurana da
informao, o usurio pode obter informaes detalhadas consultando o padro ISO 17799,
que foi transformado na NBR ISO/IEC 27002 (ITGI, 2007, pgina 30):
Todos os usurios em potencial podem se beneficiar da utilizao do contedo do COBIT
como um enfoque geral para o gerenciamento e governana de TI em conjunto com os
seguintes padres mais detalhados:
11 ITIL para entrega de servios;
11 CMM para entrega de solues;

11 PMBOK ou PRINCE2 para gerenciamento de projetos.


O COBIT considera as atividades de TI em um modelo de processos:
11 PO: Planejar e Organizar;
11 AI: Adquirir e Implementar;
11 DS: Entregar e Suportar;
11 ME: Monitorar e Avaliar.
No Processo Entregar e Suportar, encontra-se o Processo de TI: Garantir a Segurana de Sistemas.
Domnio Entregar e Suportar DS Processos de TI:
11 DS1: Definir e Gerenciar Nveis de Servios;
11 DS2: Gerenciar Servios Terceirizados;
11 DS3: Gerenciar o Desempenho e a Capacidade;
11 DS4: Assegurar a Continuidade dos Servios;

Captulo 1 - Fundamentos de Poltica e Segurana da Informao

11 ISO 17799 para segurana da informao;

33

11 DS5: Garantir a Segurana dos Sistemas (grifo nosso);


11 DS6: Identificar e Alocar Custos;
11 DS7: Educar e Treinar os Usurios;
11 DS8: Gerenciar a Central de Servio e os Incidentes;
11 DS9: Gerenciar a Configurao;
11 DS10: Gerenciar Problemas;
11 DS11: Gerenciar os Dados;
11 DS12: Gerenciar o Ambiente Fsico;
11 DS13: Gerenciar as Operaes.
O escopo desse processo assim definido (ITGI, 2007, pgina 119):
Para manter a integridade da informao e proteger os ativos de TI, necessrio implementar um processo de gesto de segurana.
Esse processo inclui o estabelecimento e a manuteno de papis, responsabilidades, polticas (grifo nosso), padres e procedimentos de segurana de TI.
A gesto de segurana inclui o monitoramento, o teste peridico e a implementao de
aes corretivas das deficincias ou dos incidentes de segurana.
A gesto eficaz de segurana protege todos os ativos de TI e minimiza o impacto sobre os
negcios de vulnerabilidades e incidentes de segurana.
A poltica de segurana da informao citada como um dos elementos do Processo de TI
Garantir a Segurana dos Sistemas. Ela indicada no Processo de TI: Plano de Segurana de
Tecnologia da Informao, que deve traduzir os requisitos de negcio, de risco e conformidade, em um plano abrangente de segurana de TI, que leve em considerao a infraestrutura
de TI e a cultura de segurana.
Esse Plano de Segurana de tecnologia da informao deve ser implementado em polticas
e procedimentos de segurana, juntamente com investimentos adequados em servios,
pessoal, software e hardware.
O processo de TI DS5 (garantir a segurana dos sistemas) atende ao requisito de negcio
para TI que manter a integridade da infraestrutura de informao e de processamento, e
minimizar o impacto de vulnerabilidades e incidentes de segurana (ITGI, 2007).
A poltica de segurana da informao est inserida neste processo de TI e est contemplada mais detalhadamente no objetivo de controle DS 5.2 (Plano de Segurana de TI). A

Polticas de Segurana da Informao

Poltica ser considerada em avaliaes da Governana de TI que utilizem o COBIT.

34

Para o COBIT, a Dimenso Poltica de Segurana da Informao obrigatria, incrementar o


grau de maturidade do processo de tecnologia da informao e suportar melhor o negcio.

2
Arquitetura para a poltica de
segurana da informao
uma organizao; Conhecer a Arquitetura da Poltica de Segurana da Informao
que define a estrutura do conjunto composto por documentos como Diretriz, Norma e
Procedimento; Aprender a definir aes que devem ser realizadas para que a poltica
de segurana da informao seja desenvolvida, validada, aprovada, implantada e
mantida, buscando o seu funcionamento adequado na organizao.

(diretriz, normas e procedimentos); Desenvolvimento, aprovao e implantao da


poltica de segurana da informao da organizao.

Poltica de segurana da informao


Conforme foi estudado no captulo anterior, a poltica de segurana da informao
uma das Dimenses do Processo Organizacional da Segurana da Informao.
A Norma ABNT NBR ISO/IEC 27002 Tecnologia da informao Tcnicas de segurana
Cdigo de prtica para a gesto da segurana da informao indica a necessidade da
existncia da poltica de segurana da informao:
Convm que um conjunto de polticas de segurana da informao seja definido, aprovado pela direo, publicado e comunicado para todos os funcionrios e partes externas
relevantes (ABNT, 2013, pgina 2).
Peltier (2004) considera a poltica como o mais alto nvel de declarao do que a organizao acredita e quer que exista em todas as suas reas. A poltica uma diretiva da
direo executiva para criar um programa de segurana da informao, estabelecer seus
objetivos e definir responsabilidades. Outros autores colaboram nessa linha de definio:
Uma poltica um guia genrico para a ao. Ela delimita uma ao, mas no especifica
o tempo. uma definio de propsitos de uma empresa e estabelece linhas de orientao e limites para a ao dos indivduos responsveis pela implantao. As polticas
so princpios que estabelecem regras para a ao e contribuem para o alcance bem-sucedido dos objetivos (Chiavenato, 2010, pgina 173).

conceitos

Poltica de segurana da informao; Arquitetura da Poltica de Segurana da Informao

Captulo 2 - Arquitetura para a poltica de segurana da informao

objetivos

Entender a necessidade da existncia da poltica de segurana da informao em

35

Poltica de segurana um conjunto de diretrizes gerais destinadas a governar a pro-

teo que ser dada aos ativos de informao (Caruso e Steffen, 1999, pgina 49).
Poltica de segurana um conjunto de regras e padres sobre o que deve ser feito para
assegurar que as informaes recebam a proteo conveniente que possibilite garantir a
sua confidencialidade, integridade e disponibilidade (Barman, 2002, pgina 4).
As polticas so as linhas mestras que indicam os limites ou restries sobre aquilo que
se quer conseguir (Albertin e Pinochet, 2010, pgina 34).
O Tribunal de Contas da Unio apresenta a sua definio de Poltica de Segurana:
Poltica de segurana de informaes um conjunto de princpios que norteiam a
gesto de segurana de informaes e que deve ser observado pelo corpo tcnico e gerencial e pelos usurios internos e externos. As diretrizes estabelecidas nesta poltica determinam as linhas mestras que devem ser seguidas pela instituio para que sejam assegurados seus recursos computacionais e suas informaes (Brasil, TCU, 2012, pgina 10).
Para o Departamento de Segurana da Informao e Comunicaes, do Gabinete de
Segurana Institucional (DSIC) da Presidncia da Repblica, conforme descrita em sua
Instruo Normativa n 03 (Diretrizes para a elaborao de Poltica de Segurana da
Informao e Comunicaes nos rgos e Entidades da Administrao Pblica Federal)
de 30 de Junho de 2009, a poltica de segurana da informao declara o comprometimento da alta direo organizacional com vistas a prover diretrizes estratgicas,
responsabilidades, competncias e o apoio para implementar a gesto de segurana da
informao e comunicaes nos rgos ou entidades da Administrao Pblica Federal,
direta e indireta.
Porm, a ISO 27002 e as demais normas da famlia ISO 27000 no definem como deve ser a
estrutura do conjunto de documentos que constituiro a poltica de segurana da informao, bem como de que maneira esses documentos estaro divididos.
O Manual de Boas Prticas em Segurana da Informao do Tribunal de Contas da Unio (Brasil,
TCU, 2012) cita alguns tpicos que devem ser considerados na poltica, mas no define a
estrutura dos documentos, apesar de orientar que devem existir vrios documentos. Esse
manual indica que:
A Poltica de Segurana da Informao pode ser composta por vrias polticas inter-relacionadas, como a poltica de senhas, de backup, de contratao e instalao de equipamentos e softwares. Ademais, quando a instituio achar conveniente e necessrio que
a PSI seja mais abrangente e detalhada, sugere-se a criao de outros documentos que
especifiquem prticas e procedimentos e que descrevam com mais detalhes as regras de

Polticas de Segurana da Informao

uso da tecnologia da informao (Brasil, TCU, 2012, pgina 12).


Em relao aos elementos que devem compor a poltica de segurana da informao, o DSIC,
na Norma Complementar n 03, indica que no mnimo devem ser tratados estes assuntos:
11 Tratamento da Informao;
11 Tratamento de Incidentes de Rede;
11 Gesto de Risco;
11 Gesto de Continuidade;
11 Auditoria e Conformidade;
11 Controles de Acesso;
11 Uso de e-mail;
11 Acesso internet.
36

Em relao necessidade de existncia de polticas, no Acrdo (2471/2008-Plenrio) o TCU


recomendou ao Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR) a
criao de procedimentos para a elaborao de Polticas de Segurana da Informao, Polticas de Controle de Acesso, Polticas de Cpias de Segurana, Anlises de Riscos e Planos de
Continuidade de Negcio (Brasil, TCU, 2012, pgina 37).
Em outro Acrdo (1382/2009-Plenrio), o TCU recomendou que se defina e implante uma
poltica de segurana da informao para toda a organizao, que se estabelea normas e
princpios norteadores da gesto da segurana da informao no Ministrio, alinhado aos
objetivos de negcio do rgo, conforme orientaes contidas na NBR ISO/IEC 27002:2005
e nas orientaes dispostas no CobIT 4.1, item DS5.2-Plano de Segurana da TI (Brasil, TCU,
2012, pgina 44).
Os exemplos citados so Acrdos que so documentos emitidos pelo TCU e orientados
para determinadas instituies. Porm, o exemplo demonstra a exigncia de uma poltica de
segurana da informao para as instituies.
Muitas organizaes comeam a desenvolver seus documentos de poltica de segurana
da informao sem definir ou adotar alguma estrutura e planejamento. O que acontece na
prtica um conjunto de documentos confusos, de difcil leitura, com assuntos repetidos ou
com falta de assuntos de segurana da informao.
Desta maneira necessria a utilizao de uma Arquitetura para a Poltica de Segurana
da Informao da organizao. Essa arquitetura deve definir como os diversos tipos de
documentos se relacionaro entre si, como ser a hierarquia desses documentos e como os
assuntos relacionados segurana da informao estaro segmentados.
a. Arquitetura para a Poltica de Segurana da Informao

Para a elaborao de um conjunto de regulamentos (diretriz, normas e procedimentos) necessria a existncia de uma arquitetura que estruture como se relacionaro esses regulamentos.
A arquitetura a estrutura que permite que a Organizao entenda e planeje (antes

de ter os regulamentos), como ser o seu conjunto de documentos que tero nos seus
arquitetura utilizada neste curso foi apresentada em seminrios e congressos, aceita
por organizaes, utilizada como referncia na construo e aprimoramento de vrias
centenas de regulamentos e est formalizada no livro Polticas e Normas para a Segurana
da Informao (Edison Fontes, Editora Brasport, Rio de Janeiro, 2012, 1 Edio).
A seguir, so apresentadas as diversas caractersticas dessa arquitetura.

Estrutura de nveis de detalhamento dos controles de segurana


Essa arquitetura possui a seguinte estrutura de nveis de detalhamento (granularidade) de
controles de segurana da informao.

a. Nvel 1 Documento Diretriz ou Poltica Principal


Esse documento descreve a filosofia da organizao em relao segurana da informao. Indica os princpios que a organizao deseja que sejam seguidos por todos os
usurios (funcionrios, estagirios, prestadores de servio, visitantes e outros especficos) da organizao e que devem ser a base para os documentos que vo conter as
regras mais detalhadas para cada dimenso da segurana da informao. Esse documento, Diretriz ou Poltica Principal, contm os controles bsicos que a organizao quer.

Captulo 2 - Arquitetura para a poltica de segurana da informao

textos as regras de segurana da informao que devero ser seguidas por todos. A

37

Considerando que ele explicita o que se quer, dificilmente os controles definidos nesse
documento sero alterados ao longo do tempo. Para tanto, no devero ser indicadas
tecnologias especficas, que estaro rapidamente obsoletas, neste documento.
Esse documento, Diretriz ou Poltica Principal deve ser assinado pelo representante mximo

l
Exemplo de controle
descrito no Documento
de Diretriz ou
Documento de Poltica
Principal: a identificao de cada usurio
da informao
individual e intransfervel. A autenticao do
usurio individual e
garante a veracidade da
identificao.

da organizao (presidente, diretor ou reitor) ou deve ser aprovado em reunio com ata
formal pela instncia administrativa mxima da organizao (conselho ou diretoria). Esse
segundo caso se torna imprescindvel quando, por exemplo, os conselheiros utilizam os
sistemas de informao e recebem identificao e autenticao para o acesso informao
em segurana da informao. Esse documento no detalha como sero implantados esses
controles. No indica como nem em que tempo e restries esses controles acontecero.
Esse documento, Diretriz ou Poltica Principal de Segurana da Informao deve ser elaborado de maneira que no necessite ser alterado nos prximos cinco a dez anos.

b. Nvel 2 Documento Norma da Dimenso ou Poltica da Dimenso


Os documentos que formaro o Nvel 2 da Estrutura da poltica de segurana da infor-

mao da organizao, definiro, cada um, as regras bsicas (controles bsicos) para
cada Dimenso da Segurana da Informao.

Os controles bsicos dos documentos desse Nvel 2 devem estar coerentes com os
controles estruturais (filosficos) definidos na Diretriz ou Poltica Principal e comeam a
detalhar como os controles devem ser implantados.
Os controles definidos nessas Normas devem ser detalhados de maneira a indicar como eles
devem ser desenvolvidos e implantados. O Nvel 2 deve apresentar as regras bsicas para a
dimenso que est sendo tratada. Casos especficos como controles diferentes que devem
ser implementados em cada dimenso devem ser abordados em detalhes nos documentos
que sero criados no Nvel 3.
importante que a organizao tenha um documento de Nvel 2 para cada Dimenso de Segurana da Informao considerada no Processo de Segurana da Informao da organizao.

c. Nvel 3 Documento Procedimento de Ao, Documentao ou Orientao


Tcnica.
Esse documento detalha as aes que devem ser executadas, ou descreve uma docu-

mentao, ou descreve um procedimento tcnico que deve ser seguido para que os
controles definidos na Norma da Dimenso (Poltica da Dimenso) ou na Diretriz (Poltica
Principal) possam ser desenvolvidos e implantados na organizao.

Polticas de Segurana da Informao

Os documentos elaborados para esse nvel e nveis abaixo possuem um grande detalhamento. So esses documentos que vo complementar e permitir que a organizao tenha as
definies para a operacionalizao dos controles e, dessa maneira, desenvolva, implante e
mantenha com sucesso a poltica de segurana da informao, que a base para o Processo
Organizacional da Segurana da Informao.

d. Nveis seguintes
Para efeito formal da arquitetura, os nveis sero definidos at o Nvel 3 Documento Procedimento de Ao, Documentao ou Detalhamento Tcnico. Porm, nveis mais detalhados
podem e devem ser definidos quando isso for necessrio para a sua organizao. O entendimento dos trs nveis apresentados permite que o leitor e aluno entenda a estrutura e,
se necessrio, defina nveis mais detalhados de regulamentos de segurana da informao
para a sua organizao.

38

Exemplo de controle
descrito no Documento
Norma da Dimenso ou
Poltica da Dimenso:
quando a autenticao
for realizada por uso de
senha, esta deve ser
secreta, de uso e
conhecimento
exclusivo do usurio.
Nem mesmo a chefia
pode solicitar a senha
de um usurio.

e. Visualizao da Estrutura da Arquitetura da Poltica de Segurana da Informao

A figura a seguir representa a estruturao da Arquitetura da Poltica de Segurana da


Informao. No primeiro nvel deve existir um documento Diretriz ou Poltica Principal, no
segundo nvel devem existir documentos de Norma da Dimenso ou Poltica da Dimenso e
no terceiro nvel devem existir documentos que detalhem aes, indiquem padres tcnicos
ou registrem documentao.

Acesso Fsico

Cpias de segurana

Ambiente 1

Ambiente 1

Ambiente 1

Ambiente 2

Recurso 2

Ambiente 2

Ambiente 2

Ambiente 2

Ambiente n

Recurso n

Ambiente n

Ambiente n

Ambiente n

l
Exemplo de controle
descrito no Documento
Procedimento de Ao,
Documentao ou
Detalhamento Tcnico:
quando ocorrer
esquecimento da senha
no ambiente computacional, X o usurio deve
seguir os seguintes
procedimentos:
Segue a lista de
procedimentos que o
usurio deve fazer
quando for solicitar
uma nova senha. (...)

Nvel 2

Nvel 3

Elementos da arquitetura da poltica de segurana da informao


Neste captulo sero detalhados os elementos e os assuntos que compem a Arquitetura da
Poltica de Segurana da Informao.

Diretriz ou Poltica Principal


Esse documento define as regras bsicas e os fundamentos para o processo de segu-

rana da informao da organizao. Tudo o que for explicitado nesse documento


dever ser descrito com mais detalhes nos documentos dos Nveis 2 e/ou 3, indicando
como dever ser executado.
Cada uma das dimenses da segurana da informao deve ser considerada nesse documento de maneira que a direo da organizao explicite as regras bsicas e norteadoras de
cada dimenso.
Deve existir apenas um Documento de Diretriz ou Poltica Principal da Segurana
da Informao.
Esse documento deve ser assinado pelo Presidente da organizao, ou aprovado pelo
Conselho da organizao ou aprovado por outro rgo-pessoa que tenha poder hierrquico para garantir que todas as pessoas que lero o documento entendero que essas
regras so srias, so para todos os usurios e so mandatrias.

Captulo 2 - Arquitetura para a poltica de segurana da informao

Figura 2.1
Estrutura da
Arquitetura
da poltica de
segurana da
informao.

Conscientizao
Treinamento em segurana

Desenvolvimento
Aquisio de Sistemas

Recurso 1

Nvel 1

Continuidade do negcio
(Rec. Inform.)

Recursos de tecnologia

Ambiente 1

Classicao da informao

Acesso informao

Poltica de segurana e proteo da informao

39

Norma da Dimenso ou Poltica da Dimenso


a. Acesso Lgico
Esse documento detalha os princpios bsicos de segurana da informao definidos na

Poltica Principal em relao ao acesso lgico da informao.


Devem ser detalhados controles e regras que so comuns a todos os ambientes de tecnologia. O detalhe de cada ambiente de tecnologia deve ser definido em um documento de
acesso lgico de cada ambiente, padro Nvel 3 na Arquitetura de Poltica de Segurana da
Informao.

b. Acesso Fsico
Esse documento detalha os princpios bsicos de segurana da informao definidos na

Poltica Principal em relao ao acesso fsico que contm recursos de informao.


Devem ser detalhados controles e regras que so comuns a todos os ambientes fsicos.
Os controles especficos para cada ambiente fsico devem ser definidos em um documento
de acesso fsico de cada ambiente, padro Nvel 3 na Arquitetura de Poltica de Segurana
da Informao.

c. Correio eletrnico
Esse documento detalha os princpios bsicos de segurana da informao definidos na

Poltica Principal em relao ao uso de correio eletrnico pelos usurios.


Devem ser detalhados controles e regras que so comuns a todos os tipos de correio eletrnico utilizado pelos usurios da organizao. Controles de segurana da informao especficos para cada tipo de correio eletrnico devem ser definidos em um documento de correio
eletrnico ferramenta especfica, padro Nvel 3 na Arquitetura de Poltica de Segurana
da Informao.

d. Internet
Esse documento detalha os princpios bsicos de segurana da informao definidos na

Poltica Principal em relao ao uso do ambiente geral da internet pelos usurios.


Devem ser detalhados controles e regras que so comuns ao ambiente geral da internet
utilizado pelos usurios da organizao.

e. Redes Sociais
Esse documento detalha os princpios bsicos definidos de segurana da informao

na Poltica Principal em relao ao uso de ferramentas de rede social pelos usurios.


Este assunto pode ser englobado na Dimenso Internet, porm por possuir caractersticas

Polticas de Segurana da Informao

especficas, recomendamos um documento separado para este assunto, facilitando assim a

40

sua manuteno.
Devem ser detalhados controles e regras que so comuns a todos os tipos de ferramentas
de rede social utilizadas pelos usurios da organizao. Controles de segurana da informao especficos para cada tipo de ferramentas de rede social devem ser definidos em um
documento de rede social ferramenta especfica, padro Nvel 3 na Arquitetura de Poltica
de Segurana da Informao.

f. Equipamentos de Tecnologia da Informao


Esse documento detalha os princpios bsicos de segurana da informao definidos

na Poltica Principal em relao ao uso dos equipamentos de tecnologia da informao


pelos usurios.
Devem ser detalhados controles e regras que so comuns a todos os tipos equipamentos de
tecnologia da informao utilizados pelos usurios da organizao. Controles de segurana
da informao especficos para cada tipo equipamento de tecnologia da informao devem
ser definidos em um documento de equipamento de tecnologia especfico, padro Nvel 3 na
Arquitetura de Poltica de Segurana da Informao.

g. Classificao do padro de sigilo de informao


Esse documento detalha os princpios bsicos de segurana da informao definidos

na Poltica Principal em relao ao padro de sigilo da informao, isto , classificao


da informao.
Devem ser detalhados controles e regras que so comuns ao padro de sigilo da informao
utilizado pelos usurios da organizao. Isso significa que esse documento deve conter
quais so os procedimentos para que seja definido o padro de sigilo de cada informao
e tambm deve conter os controles que devem ser implantados em relao informao,
aps esta ser classificada em relao ao seu padro de sigilo.

h. Desenvolvimento, implantao e manuteno de sistemas aplicativos


Esse documento detalha os princpios bsicos de segurana da informao definidos

na Poltica Principal em relao ao desenvolvimento, implantao e manuteno de


sistemas aplicativos.
Devem ser detalhados controles e regras que so comuns a todos os tipos de sistemas
aplicativos desenvolvidos e implantados para a organizao. Controles de segurana da
informao especficos para cada tipo de sistema aplicativo devem ser definidos em um
documento de Desenvolvimento, implantao e manuteno Sistema aplicativo especfico,

i. Plano de continuidade de negcio


Esse documento detalha os princpios bsicos de segurana da informao, definidos

na Poltica Principal, em relao ao uso de recursos de informao necessrios para a


continuidade do negcio pela organizao, quando da ocorrncia de uma situao de
indisponibilidade de recursos de informao.
Devem ser detalhados controles e regras que so comuns a todos os tipos de plano de
continuidade de negcio utilizado pela organizao. Controles de segurana da informao
especficos para cada tipo de plano de continuidade de negcio devem ser definidos em um
documento de plano de continuidade situao especfica, padro Nvel 3 na Arquitetura de
Poltica de Segurana da Informao.

j. Cpias de segurana
Esse documento detalha os princpios bsicos de segurana da informao definidos na
Poltica Principal em relao ao uso de cpias de segurana pela organizao.
Devem ser detalhados controles e regras que so comuns a todos os tipos de cpias de
segurana utilizados pelas reas de negcio da organizao. Controles de segurana da
informao especficos para cada tipo de cpia de segurana devem ser definidos em um
documento de cpia de segurana sistema especfico, padro Nvel 3 na Arquitetura de

Captulo 2 - Arquitetura para a poltica de segurana da informao

padro Nvel 3 na Arquitetura de Poltica de Segurana da Informao.

Poltica de Segurana da Informao.


41

k. Gesto de riscos
Esse documento detalha os princpios bsicos de segurana da informao definidos na

Poltica Principal em relao Gesto de Riscos pela organizao.


Devem ser detalhados controles e regras que so comuns a todos os tipos de gesto de
riscos utilizados pela organizao. Controles de segurana da informao especficos para
cada tipo de gesto de risco devem ser definidos em um documento de gesto de risco
situao especfica, padro Nvel 3 na Arquitetura de Poltica de Segurana da Informao.

Exerccio de fixao e
Alinhamento aos objetivos da organizao
Um fator crtico de sucesso para a poltica de segurana da informao a participao da
Direo e das reas de Negcio. Considere os controles da Norma NBR ISO/IEC 27002 descritos no Captulo 1 e identifique dez controles que a fazem referncia ou exigncia da participao da Direo e/ou de outras reas da organizao. Justifique cada controle identificado.

Exerccio de fixao e
Arquitetura para a Poltica Segurana Informao
Considere a Arquitetura para a Poltica de Segurana da Informao apresentada no curso.
Considere a sua organizao. Indique quais os documentos (ou assuntos de documentos)
existem formalmente como regulamento.

Considere a Arquitetura para a Poltica de Segurana da Informao apresentada no curso.

Polticas de Segurana da Informao

Defina a Arquitetura de Poltica de Segurana da Informao que voc entende que a sua

42

organizao deveria ter.


Considere na sua organizao os ambientes fsicos, os ambientes de informao convencional,
os ambientes de tecnologia e outros elementos que formam o Ambiente da Informao.
Caso considere alguma restrio, indique essa limitao.

a. Como escrever um texto em um documento da poltica de segurana da informao

Ao escrever um documento, estamos realizando uma comunicao, estamos enviando um


conjunto de informaes e desejamos que o receptor entenda perfeitamente o que a organizao deseja comunicar neste documento. Como estamos tratando de um regulamento
integrante da poltica de segurana da informao, preciso ter cuidado e estar atento a
alguns pontos que devem ser seguidos para se obter o sucesso desejado. Sendo assim, cada
documento da poltica de segurana da informao deve:
b. Ser de fcil leitura e entendimento

O texto de um documento integrante da poltica de segurana da informao de uma


organizao deve ser de fcil entendimento e a sua leitura deve ser fcil. No no texto de
regulamentos de segurana da informao que devemos colocar palavras de difcil entendimento e sofisticar o texto. Devemos ter um texto profissional, porm com palavras comuns
que os usurios entendam no seu dia a dia.
c. Ser aplicvel organizao

Esses regulamentos de segurana da informao so elaborados para atender o Processo


Organizacional da Segurana da Informao. Sendo assim, ele um elemento para atender
um processo organizacional que tem como maior objetivo possibilitar a organizao atingir
os seus objetivos no que depender da informao ou dos recursos de informao.
Portanto, se um elemento organizacional, as regras devem ser desenvolvidas de maneira
que a organizao, ou melhor, os usurios possam cumprir os controles estabelecidos
nesse documento.
O desenvolvimento e implantao de documentos de segurana da informao tm como
objetivo principal fazer com que a segurana exista verdadeiramente e que os recursos de
informao estejam protegidos.
d. Ser possvel de ser cumprido

No devem existir regras e controles que no possam ser cumpridos na organizao. Muitas
cumpridos pelos usurios.
e. Ser possvel de a organizao absorver

Alm dos usurios entenderem a mensagem e a mensagem poder ser cumprida, necessrio que a organizao possa absorver os controles descritos no documento. Isso significa
que a organizao deve ter um Processo Organizacional de Segurana da Informao para
que este ambiente possibilite que os controles estabelecidos tenham existncia contnua.
f. Ter um texto positivo

O texto, na medida do possvel, deve ser um texto positivo e que no transmita mensagem
de negao. No desejamos que o usurio tenha a impresso de que a segurana da informao apenas proibitiva. Mas, s vezes, teremos dificuldade nessa comunicao.
g. Ser acessvel por todos os usurios da informao
O texto do documento integrante da Poltica de Segurana deve ser acessvel por todos
os usurios que acessam a informao da organizao. Evidentemente, considerando o
pblico-alvo do documento.

Captulo 2 - Arquitetura para a poltica de segurana da informao

vezes so definidas regras e controles que necessitaro de recursos adicionais para serem

43

h. Considerar as situaes de exceo

O documento deve indicar o que deve ser feito caso o usurio encontre uma situao de
exceo, no planejada pelos controles do documento.
i. Possibilitar que pessoas diferentes sigam os mesmos procedimentos

O texto do documento deve possibilitar que pessoas, evidentemente devidamente treinadas, executem as mesmas aes ou reaes, em circunstncias similares. A existncia de
um documento contendo regras e controles deve acabar com a possibilidade de interpretao diferente por usurio.
j. Definir as regras: no teorizar e no ensinar o assunto segurana

O texto de um documento inserido em uma poltica de segurana da informao tem como


objetivo comunicar regras e explicitar o que pode e o que no pode ser feito pelos usurios.
Informaes complementares e pequenos esclarecimentos podem ser colocados no texto,
porm um documento de regulamento no deve ter no seu corpo um texto ensinando sobre
segurana da informao. O local adequado para se ensinar segurana da informao
atravs de um conjunto de aes de treinamento: palestras presenciais, cursos em tempo real,
livros ou material desenvolvido especificamente para o usurio da informao da organizao.
As aes de conscientizao em segurana da informao so obrigatrias e devem ser
feitas paralelamente implantao dos regulamentos.
k. Conter apenas um macro assunto

O texto do documento deve tratar de apenas um macro assunto de segurana da informao. No devemos misturar assuntos. Fazendo dessa maneira, o trabalho de comunicao ao usurio certo e as aes de manuteno desse documento sero facilitadas.
Nenhum usurio gosta de receber um material para leitura maior do que ele precisa.
Se o documento enviado para o usurio tiver dois assuntos e ele s precisa ser comunicado de um deles, corremos o risco dessa comunicao no ter o sucesso esperado, isto :
o usurio no ler nem mesmo o assunto que lhe diz respeito. Separando em dois documentos com dois macros assuntos, os usurios que precisem saber de apenas um receberam apenas um documento e sabero que aquele assunto lhe diz respeito. Na questo de
manuteno, ter dois documentos para dois macro assuntos facilita o controle e tambm a
definio de quem vai assinar o documento.
Essa separao de macro assuntos no possui uma regra explcita. Na prtica, difcil identificar e separar macro assuntos.

Polticas de Segurana da Informao

Por exemplo: devemos fazer um documento para cada um dos assuntos: internet,

44

rede social e correio eletrnico? Ou faremos um nico documento tratando dos trs
assuntos? No existe resposta certa ou errada. Existe a soluo mais adequada para
a sua organizao. E nesse caso voc dever definir (e validar com a sua organizao)
qual a melhor opo.
Para esse exemplo mencionado, sugere-se a criao de trs documentos separados.
l. No referenciar exatamente os documentos de maior detalhamento
Um documento da poltica de segurana da informao no deve referenciar exatamente
a algum documento de maior nvel de detalhamento. A razo dessa recomendao que
documentos menos detalhados devero ser menos alterados que documentos de maior

granularidade de regras. Sendo assim, se os primeiros referenciarem os segundos, muito


provavelmente aps certo tempo ser necessrio alterar o documento mais macro porque
o documento com mais detalhes foi quebrado em dois ou teve sua referncia alterada. A
alterao em documento macro acarreta na coleta de novas assinaturas de aprovao, revises e outras atividades do processo de aprovao, sendo que na sua essncia o documento
no teve alterao. Esse esforo pode ser evitado citando apenas que existe um documento
mais especfico, mas sem incluir detalhes.
m. Ser objetivo e eficaz na comunicao

O principal objetivo de um documento que faz parte da poltica de segurana da informao


de uma organizao comunicar corretamente o que os usurios devem executar. Muitas
vezes, a comunicao para determinada regra no fcil de dizer e tende-se a regulamentar
ao redor. Recomenda-se que a comunicao tenha um texto positivo, porm o mais importante que o usurio entenda a regra. Dessa maneira, uma regra definindo proibido
acessar a internet durante o horrio de expediente do usurio pode ser mais eficaz do que
um texto redigido a partir do permitido.
n. Evitar dizer demais ou dizer menos

Ao escrever qualquer texto, principalmente textos de documentos que compem a poltica


de segurana da informao, preciso ser efetivo com o tamanho do texto, isto , a quantidade de palavras do texto. No podemos ser to econmicos que o usurio no entenda
a mensagem a ser transmitida, mas tambm no se pode falar demais e de uma maneira
cansativa, de forma que o usurio ao final no entenda o que a organizao deseja transmitir como regra para o usurio.
Concluindo, podemos afirmar que quanto mais confusa for a poltica, mais atualizao frequente ser necessria e mais complicado ser o treinamento para os usurios.

Exerccio de fixao e
Elaborao de poltica
Considere o padro de documentos Nvel 1 (Diretriz ou Poltica Principal) e Nvel 2 (Norma da
Dimenso ou Poltica da Dimenso). Elabore um nico documento definindo as regras para a
seguinte situao:
Utilizao, pelas pessoas, de TV e outros equipamentos de tecnologia que possam transmitir
os jogos da Copa do Mundo de Futebol.
Considere um dos seguintes ambientes a seguir:
a. Emergncia de um hospital.
b. Estdio de emissora de televiso que no vai transmitir os jogos da Copa do Mundo
de Futebol.
c. Seminrio de padres.
d. Penitenciria de segurana mxima.
e. Penitenciria comum.

Captulo 2 - Arquitetura para a poltica de segurana da informao

Se o texto tiver a possibilidade de ser mal interpretado... ser mal interpretado.

45

f. Ambiente de concurso pblico, considerando a empresa que operacionalizar o evento,


que coincidentemente ser realizado no mesmo horrio de uma partida do Brasil durante
a Copa do Mundo. A data do concurso no pode ser alterada.

Projeto de elaborao da poltica de segurana da informao desenvolvimento, implantao e manuteno


Elaborar os documentos e artefatos que vo compor a poltica de segurana da informao
da organizao um projeto que deve seguir os mesmos passos de qualquer outro projeto
da organizao. Evidentemente, a Gesto de Projetos deve ser acionada e deve fazer o controle do andamento desse projeto.
Este captulo complementa os controles da Gesto de Projetos e dessa maneira define
alguns aspectos especficos relativos ao desenvolvimento dos regulamentos da poltica de
segurana da informao, que devem ser considerados para que o conjunto de documentos
que formam a poltica de segurana da informao da organizao atinja o seu objetivo e
consequentemente a organizao tenha a proteo adequada para a sua informao.

Inicializao do projeto
Nessa etapa devem ser contemplados os seguintes itens:
a. Descrio, justificativa e objetivo do projeto

Deve-se descrever o que ser o projeto, qual a justificativa da existncia neste momento
do projeto e qual o objetivo do projeto.
Esses elementos devem ser registrados para a documentao do projeto da poltica de segurana da informao da organizao. O projeto pode existir por causa de uma legislao que
Polticas de Segurana da Informao

a organizao precisa cumprir, exigncia do mercado (organizaes clientes), pelo entendimento da direo em ter um diferencial competitivo para a organizao ou pela razo
bsica: para que a organizao funcione ao longo do tempo necessrio que suas informaes estejam protegidas.
b. Escopo considerado
Na descrio da Arquitetura da Poltica de Segurana da Informao foram apresentados a estrutura, os tipos de documento e as dimenses que devem ser consideradas
pela poltica, bem como a profundidade (granularidade) das regras dessas dimenses.
A poltica de segurana da informao da organizao deve contemplar todas as dimenses
e toda a granularidade das regras. Para alcanar esse objetivo, pode ser necessria a realizao de vrios projetos, que no final cobriro todo o escopo.
46

Dessa maneira, cada projeto relativo poltica de segurana da informao de uma organizao pode ter um escopo limitado, restrito. fundamental que todos saibam qual o escopo
do projeto que est sendo realizado.
c. Possveis restries

Considerando o escopo definido, necessrio identificar quais possveis restries


podero impedir ou dificultar o sucesso do projeto de poltica de segurana da informao da organizao.
Por exemplo, considerado a elaborao do Documento de Diretriz, uma possvel restrio
que impedir a concluso dessa diretriz a indisponibilidade do presidente da organizao
ou outro executivo com poder de aprovao.
d. Premissas assumidas

Ao iniciar o projeto de poltica de segurana da informao, considerando o escopo


definido, necessria a explicitao das premissas para o projeto. Premissas so definies, aes e comprometimento que acontecero no projeto. O projeto foi planejado e
estimado considerando que as premissas acontecero.
Uma premissa simples e necessria a participao da rea de Recursos Humanos e da
rea Jurdica na reviso dos documentos. Quando desenvolvemos um projeto de desenvolvimento ou alterao da poltica de segurana da informao, essas duas reas obrigatoriamente precisam participar do projeto. A rea de Recursos Humanos deve participar, pois as
regras estabelecidas afetam diretamente as pessoas e a rea Jurdica precisa participar das
revises de documentos, pois esses documentos sero a legislao interna da organizao e
no podem estar contrrios legislao vigente. A rea Jurdica dever analisar se as regras
definidas esto gerando algum passivo para a organizao.
e. Definio do produto a ser entregue

Como foi dito anteriormente, a poltica de segurana da informao um conjunto estruturado de regulamentos, definidos em vrios documentos que consideram as dimenses da
segurana da informao, e que definem regras em diferentes padres de granularidade.

mao qual ser o produto final entregue. Essa explicitao deve ser do tipo: um documento
de Diretriz ou Poltica Principal e dez documentos de Polticas de Dimenso. Nesse caso, est
facilmente identificado que sero onze documentos e que no teremos nenhum documento
de Procedimento.

Desenvolvimento do projeto
Essa etapa trata de elaborar os documentos que vo compor a poltica de segurana da

informao, considerando o escopo definido. Deve-se considerar:


a. Realizao de levantamentos
Nessa etapa deve-se levantar tudo o que a organizao tem sobre o assunto poltica de
segurana da informao, considerando o escopo definido para esse projeto.
Polticas e projetos antigos e atuais devem ser estudados para um melhor entendimento de
sucessos e fracassos. Tudo isso contribuir para um melhor entendimento de como a organizao est em relao poltica de segurana da informao.

Captulo 2 - Arquitetura para a poltica de segurana da informao

obrigatrio que se explicite para cada projeto relacionado poltica de segurana da infor-

47

Os regulamentos em uso, caso existam, sero de grande contribuio para o desenvolvimento do projeto de poltica de segurana da informao. Com os documentos atuais pode-se
identificar, na fase de entrevistas, se a rigidez e os controles existentes esto adequados, so
suficientes ou esto atualizados. Todas essas questes sero material de trabalho para o condutor desse projeto, que normalmente ser o Gestor da Segurana da Informao.
b. Elaborao e realizao de entrevistas

A realizao de entrevistas, previamente elaboradas, tem como objetivo identificar como


a organizao dever definir e construir os controles que esto presentes na poltica de
segurana da informao.
O profissional que estiver conduzindo esse projeto de elaborao da poltica de segurana
da informao da organizao precisa retirar e identificar dos executivos dessa organizao
qual deve ser o padro de rigidez dos controles de segurana da informao.
O Gestor da Segurana da Informao, ao levar adiante um projeto de construo da

poltica de segurana da informao, deve questionar organizao, perguntando aos


seus executivos-gestores qual a rigidez em segurana da informao que a organizao
deseja ter. O Gestor de Segurana da Informao tem a obrigao de conhecer os
controles recomendados nas normas internacionais, nas estruturas aceitas no mercado
(COBIT, ITIL e Risco Operacional) e aplicar esses controles na organizao. Porm, responsabilidade dos executivos-gestores indicar o grau de rigidez desses controles.
usando a entrevista individual ou em grupo que o Gestor da Segurana da Informao
conhecer o que a organizao deseja para a segurana da informao e transformar esse
conhecimento em textos que formaro os documentos que sero posteriormente discutidos
e aprovados pelos executivos-gestores.
c. Elaborao do texto dos documentos

Aps o trabalho de identificar o que a organizao deseja como segurana da informao, necessrio documentar essa situao.
Essa fase, que pode ser feita em paralelo com a fase anterior, tem por objetivo gerar os
documentos que formaro a poltica de segurana da informao da organizao.
Anteriormente foram apresentadas as orientaes de como devem ser escritos os textos
dos documentos da poltica de segurana da informao. Nesse captulo ser dada nfase
aos procedimentos para a elaborao e aprovao dos documentos.
necessria a existncia formal de um grupo revisor para cada documento gerado ou

para cada tipo de documento.

Polticas de Segurana da Informao

Mesmo em organizaes de grande porte, esse grupo ser pequeno, pode-se considerar

48

as pessoas que participaram das entrevistas ou chamar outras que no participaram. Esse
grupo deve ser formalmente criado pela direo da organizao, pois as tarefas que seus
componentes recebero (reviso de texto, reviso da rigidez dos controles e adequao
do regulamento realidade da organizao) exigiro tempo e prioridade. Sem essa formalizao dificilmente acontecer o comprometimento dos participantes com o projeto de
poltica de segurana da informao e, consequentemente, ocorrero atrasos, possveis at
de impossibilitar o trmino do projeto.

Evidentemente alguns
desses controles
devem existir por causa
de uma legislao
existente, mas mesmo
nesses casos o
executivo-gestor deve
conhecer a legislao e
indicar que precisa de
um controle que a
atenda.

Para os encontros de reviso, recomendvel pelo menos trs rodadas de reviso:

inicial, alterada e final.


Nessas revises presenciais ou por correio eletrnico, importante lembrar sempre de
tratar adequadamente os comentrios (sugestes) que no foram aceitos. Eles devem ser
registrados e receber um esclarecimento sobre o motivo de no ter sido aceito. As pessoas
que esto colaborando com a reviso dos textos precisam ser consideradas. necessrio ter
a ateno adequada a elas.
As sugestes delas podem ou no ser aproveitadas, mas necessrio que suas
sugestes sejam respondidas.
Aps a definio dos grupos de reviso e com a primeira verso dos documentos ou
documento (vide definio de escopo e produto a ser entregue), necessria a reviso pelo
Grupo Revisor. Essa reviso pode acontecer em conjunto, desde que antecipadamente os
participantes tenham realizado a leitura, ou pode ser individual. Cada uma dessas opes
possui suas vantagens e desvantagens. O gestor da Segurana da Informao que deve
estar conduzindo esse projeto deve ter sabedoria suficiente para definir como ser a melhor
maneira de se fazer a reviso dos documentos.
Aps a reviso dos textos dos documentos, necessrio coletar a(as) assinatura(s)

do documento.
O responsvel pela assinatura de cada documento deve ter o cargo hierrquico compatvel
com o tipo de documento a ser assinado, bem como ter a competncia organizacional sobre
o assunto. Normalmente, quem assina o documento participa da etapa de reviso como um
participante comum do grupo ou como um concentrador das discusses considerando que
ele quem decidir no final.
Cada documento construdo deve estar dentro do padro que a organizao utiliza para
os demais documentos. Os elementos de um documento de regulamento de segurana
definidos neste curso no captulo anterior indicam elementos que devem ser considerados,
documento da sua organizao no utiliza aquele elemento como um elemento de destaque,
no h problema. O que exigido que a definio daquele elemento esteja explicitada.

Produto entregue: documentos aprovados


necessria que seja realizada uma verificao: os produtos entregues esto coerentes com

os documentos aprovados? Aquilo que foi prometido precisa ser formalmente entregue.
Devemos acompanhar, verificar e analisar todos os dias o produto a ser entregue e o
produto que est sendo gerado. Nesse curso apresentada uma ordem, porm possvel
que as algumas etapas sejam realizadas em paralelo.

Conhecimento, acessibilidade e treinamento para o usurio: produto gerado


Aps a concluso da construo (ou melhoria) de um documento que participa do conjunto da poltica de segurana da informao, necessrio garantir o conhecimento do
usurio sobre aquele documento, permitir que o documento seja acessado, de maneira
manual ou utilizando a tecnologia da informao.

Captulo 2 - Arquitetura para a poltica de segurana da informao

porm no necessariamente cada um deles precisa ser um item explcito. Se o padro de

49

Em certos casos, como no incio da existncia da poltica de segurana da informao ou


quando realizada uma alterao ou incluso muito grande em um determinado assunto
de proteo da informao, obrigatria a realizao de um treinamento especfico sobre o
assunto e especfico para os diversos tipos de usurios.
Em resumo, o objetivo dessa fase fazer com que o usurio entenda que tem novas regras
que ele obrigatoriamente ter de cumprir.
Essa etapa deve ser planejada no incio do projeto, considerando que a sua realizao
demandar tempo dos usurios em geral.
Manuteno ou atualizao do produto gerado

Essa uma etapa normalmente desprezada. Parece que quando um projeto gera o
produto final estabelecido, tudo termina.
Evidentemente termina uma fase importante, mas h outra to importante quanto essa,
que a garantia de que o documento gerado e implantado continuar atual e quando for
necessrio ser atualizado no menor tempo possvel e adequado para a organizao.
Outra questo simples, mas onde muitas organizaes cometem erro: garantir que o
usurio saiba encontrar os documentos que compem o conjunto da poltica de segurana
da informao.

Exerccio de fixao e
Projeto de poltica
Escolha uma situao da sua organizao. Faa um projeto para o desenvolvimento ou
melhoria para a poltica de segurana da informao. Considere os elementos:
11 a: Descrio, justificativa e objetivo do projeto;
11 b: Escopo Considerado;
11 c: Possveis restries;
11 d: Premissas assumidas;
11 e: Definio do Produto a ser entregue;
11 f: Responsabilidades para a manuteno do produto gerado;

Polticas de Segurana da Informao

11 g: Planejamento do treinamento do usurio.

50

3
Diretriz ou Poltica Principal,
Poltica-Norma Dimenso Acesso
Lgico e Poltica-Norma Dimenso
Ambiente Fsico
da informao da organizao; Ser apresentado ao Documento Diretriz ou Poltica
Principal, com o seu padro de profundidade de regras, o seu escopo e o que ele deve
considerar; Conhecer a Poltica Dimenso de Acesso Lgico, com o seu padro de
profundidade de regras, o seu escopo e o que ele deve considerar; Aprender sobre a
Poltica Dimenso de Ambiente Fsico, com o seu padro de profundidade de regras,
o seu escopo e o que ele deve considerar.

Acesso Lgico; Poltica Dimenso Acesso Fsico.

Estrutura dos documentos que compem a Arquitetura da Poltica de Segurana


da Informao
Todo tipo de documento relacionado poltica de segurana da informao deve ter os
seguintes elementos:

Objetivo
Escopo
Denies
Figura 3.1
Elementos de
um regulamento
de Segurana da
Informao

Regras
Responsabilidades
Cumprimento

conceitos

Estrutura de Documento; Documento Diretriz ou Poltica Principal; Poltica Dimenso

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

objetivos

Conhecer a estrutura bsica para os documentos que formaro a poltica de segurana

51

Objetivo
Esse elemento descreve o objetivo do documento, isto , explicita o que tratado no

documento. Com esse elemento, o leitor saber antes da leitura total do documento
qual o seu contedo.
Alm de descrever o que tratado no documento, esse elemento pode com parcimnia
indicar o porqu da existncia daquele documento ou daquele assunto.

necessrio tomar cuidado para que essa explicao no se torne uma aula sobre
o tema segurana da informao. Explicaes mais detalhadas devem ser apresentadas em um treinamento formal.
Outra questo que pode ser citada a aderncia desse documento aos regulamentos aos
quais est seguindo, detalhando ou complementando. Essa referncia normalmente diz
respeito a documentos em nvel superior ao documento em questo.

Escopo
Esse elemento delimita a abrangncia de validade do regulamento. Essa limitao pode

ser em relao:
11 Aos tipos de usurios da informao;
11 Ao ambiente fsico;
11 Ao ambiente de tecnologia;
11 Ao tempo de validade;
11 Em relao a outros aspectos que possam definir uma limitao.

Definies
Esse elemento deve conter a explicao, detalhamento de termos, siglas, abreviaturas,

siglas de elementos organizacionais ou palavras que no so de total conhecimento de


todos os leitores do regulamento e, dessa maneira, necessitam de uma explicao indicando
o que significa.
Termos em lngua estrangeira utilizados no texto devem ser traduzidos. Porm, preciso
lembrar que o documento deve considerar o seu pblico de leitor alvo. Caso o documento
seja um documento tcnico e a sua leitura for feita por tcnicos de Tecnologia da Informao

Polticas de Segurana da Informao

familiarizados com os termos tcnicos em ingls, no ser necessrio fazer a traduo.

Regras
Esse elemento o cerne do documento. Aqui esto descritos os controles que devem ser

Deve ser comunicado o que deve ser feito, o que obrigado a ser feito, o que proibido
de se fazer e outros tipos de regras.
Dependendo do nvel de granularidade do documento, isto , dependendo se o documento uma Poltica Principal ou uma Norma Tcnica, os controles desse elemento
sero mais ou menos detalhados.
As orientaes descritas nesse elemento podem e devem ser utilizadas periodicamente em
mensagens de conscientizao do usurio.

52

cumpridos pelos usurios.

Responsabilidades
Elemento que descreve as responsabilidades das pessoas ou reas em relao a esse

documento. So definidas responsabilidades em relao a:


11 Gesto da manuteno da segurana;
11 Garantia do entendimento e do conhecimento por todas as pessoas que precisam
seguir as regras descritas nesse relatrio;
11 Realizar reviso peridica do documento e promover a sua atualizao quando
for necessria;
11 Dar conhecimento a cada usurio.

Cumprimento
Nesse elemento devem ser descritas as penalidades para o caso de no cumprimento

dos controles aqui descritos, bem como demais controles. Indica comportamentos
que no sero aceitveis. Deve considerar o caso de situaes de erro ou de exceo e
indicar para o usurio o que deve ser feito nessas situaes.
Tambm deve definir quem responsvel pelo monitoramento do cumprimento desse documento.

fundamental que as definies de cada um dos elementos esteja descrita no documento.


Muitas vezes a organizao possui uma estrutura de documento que a poltica de segurana
da informao deve seguir. O obrigatrio que o leitor da poltica encontre a descrio
desses elementos no documento.

Documento diretriz ou documento da poltica principal


O Regulamento Diretriz o documento de mais alta hierarquia na Estrutura da Arqui-

tetura da Poltica de Segurana da Informao. Ele define a filosofia da organizao em


relao proteo da informao e contm os controles bsicos e os fundamentos conceituais que direcionaro o Processo Organizacional de Segurana da Informao.
As definies formalizadas nesse documento devero ser detalhadas nos demais documentos hierarquizados nos patamares inferiores.
Nesse documento as regras dizem o que a organizao deseja como padro e/ou a rigidez
em relao aos controles de segurana da informao. Os documentos situados na Estrutura da Arquitetura de Poltica em nveis de maior detalhe indicam o como vai ser implementado o controle.
Os documentos de maior detalhamento podem ser agrupados por um determinado

escopo tipo: ambiente lgico, ambiente fsico ou sub assuntos de cada dimenso.
O Regulamento Diretriz deve considerar cada uma das dimenses da segurana da
informao, indicando desta maneira como o direcionamento que a organizao
deseja para cada dimenso.
Por ser o documento de mais poder em relao aos critrios de segurana da informao
que sero adotados pela organizao, esse documento deve ser assinado pelo Presidente da
organizao ou pelo Conselho de Administrao, caso os Conselheiros tambm venham a se
tornar usurios da informao dessa organizao.

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

Esses elementos podem no existir exatamente nessa ordem ou com esses ttulos, porm

53

Essa necessidade de assinatura para formalizao pelo Presidente da organizao ou pelo Conselho deve-se ao fato de que as regras descritas nesse Documento Diretriz, e nos demais documentos subordinados ao Documento Diretriz, devero ser cumpridos por todos os usurios.
Outro motivo dessa exigncia de poder na assinatura desse documento o fato de que regras
descritas nesse Documento Diretriz vo gerar projetos que custam recursos e precisam ser
priorizados adequadamente. Finalmente, mais um motivo para essa exigncia da assinatura
do documento que a segurana que estamos tratando da informao da organizao
como um todo. No a segurana da informao da rea de Tecnologia ou da rea de Segurana. a proteo da informao para os objetivos organizacionais, para garantir o funcionamento da organizao no que depender da informao e dos recursos de informao.
Esse documento deve estabelecer as diretrizes principais, considerando as caracters-

ticas da organizao, para os seguintes elementos de segurana da informao:


11 a: Acesso informao;
11 b: Classificao da informao;
11 c: Continuidade de negcio;
11 d: Ambiente de tecnologia;
11 e: Acesso fsico informao;
11 f: Conscientizao e treinamento de usurios;
11 g: Modelo operativo da segurana da informao;
11 h: Flexibilidade operacional;
11 i: Cpias de segurana;
11 j: Gesto de riscos em segurana da informao;
11 k: Desenvolvimento e aquisio de sistemas.
No texto do Documento da Poltica Principal, esses elementos citados podem ser considerados em tpicos especficos ou considerados em conjunto ou de maneira indireta. O importante que esses elementos de segurana da informao tenham uma diretriz para permitir
a existncia de regulamentos nos nveis seguinte.

Exemplo prtico de diretriz ou poltica principal


Poltica de segurana e proteo da informao
1. Objetivo
Definir o tratamento que deve ser dado s informaes armazenadas, processadas ou
transmitidas no ambiente convencional ou no ambiente de tecnologia da organizao.
Polticas de Segurana da Informao

As orientaes aqui apresentadas so os princpios fundamentais e representam como a

54

organizao exige que a informao seja utilizada.


2. Abrangncia
Esta poltica se aplica:
11 A todos os usurios (associados, prestadores de servios e estagirios) que utilizam
as informaes da organizao;
11 A todas as organizaes que compem o Grupo ORGANIZAO.

3. Implantao

A Gerncia de Segurana da Informao coordenar as reas tcnicas, reas de apoio e


as reas de negcio para desenvolvimento e implantao de projetos, procedimentos,
aes, instrues e normativos que possibilitem a operacionalizao e manuteno
desta poltica.
4. Diretrizes e regras
4.1.O bem informao
A informao utilizada pela organizao um bem que tem valor. A informao deve
ser protegida, cuidada e gerenciada adequadamente com o objetivo de garantir a sua
disponibilidade, integridade, confidencialidade, legalidade e auditabilidade, independente do meio de armazenamento, processamento ou transmisso que esteja sendo
utilizado.
4.2.O Gestor da Informao (GI)
a. Cada informao dever ter o seu Gestor, que ser indicado formalmente pela
diretoria responsvel pelos sistemas que acessam a informao.
b. O Gestor da Informao a pessoa responsvel pela autorizao de acesso,

4.3.Confidencialidade da informao
a. O Gestor da Informao classificar o nvel de confidencialidade e sigilo da
informao baseando-se nos critrios estabelecidos na Norma de Classificao
da Informao.
b. A confidencialidade da informao deve ser mantida durante todo o processo de
uso da informao e pode ter nveis diferentes ao longo da vida dessa informao.
4.4.Utilizao da informao e recursos
a. A liberao do acesso da informao para os usurios ser autorizada pelo Gestor
da Informao, que considerar a necessidade de acesso do usurio e o sigilo da
informao para a realizao dos objetivos da ORGANIZAO.
b. O acesso da informao deve ser autorizado apenas para os usurios que
necessitam desta para o desempenho das suas atividades profissionais para
a organizao.
c. Cada usurio deve acessar apenas as informaes e os ambientes previamente
autorizados. Qualquer tentativa de acesso consciente a ambientes no
autorizados ser considerada uma falta grave.
d. O acesso da informao armazenada e processada no ambiente de tecnologia
individual e intransfervel. Esse acesso acontece atravs da identificao e da
autenticao do usurio. Os dados para a autenticao do usurio devem ser
mantidos em segredo e possuem o mais alto nvel de classificao da informao.
e. Os recursos de tecnologia da organizao, disponibilizados para os usurios, tem
como objetivo a realizao de atividades profissionais. A utilizao dos recursos da
organizao, com finalidade pessoal, permitida, desde que seja em um nvel
mnimo e que no viole a Poltica de Segurana e Proteo da Informao e o
Cdigo de Conduta e tica da organizao.

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

validao de uso e definio dos demais controles sobre a informao.

55

4.5.Proteo da informao

a. Toda informao da organizao deve ser protegida para que no seja alterada,
acessada e destruda indevidamente.
b. Os locais onde se encontram os recursos de informao devem ter proteo e
controle de acesso fsico compatvel com o seu nvel de criticidade.
4.6.Continuidade do uso da informao
a. Toda informao utilizada para o funcionamento da organizao deve possuir, pelo
menos, uma cpia de segurana atualizada e guardada em local remoto, com proteo equivalente ao local principal. Esta informao deve ser suficiente para
a existncia de planos de continuidade de negcio.
b. A criao das cpias de segurana deve considerar os aspectos legais, histricos,
de auditoria e de recuperao do ambiente.
c. Os recursos tecnolgicos, de infraestrutura e os ambientes fsicos onde so
realizadas as atividades operacionais do negcio da organizao devem ser protegidos contra situaes de indisponibilidade e devem ter planos de continuidade
de negcio.
d. A definio e implementao das medidas de preveno e recuperao, para
situaes de desastre e contingncia, devem ser efetuadas de forma permanente
e devem contemplar recursos de tecnologia, humanos e de infraestrutura.
Elas so de responsabilidade da diretoria gestora dos recursos, contando com
o apoio e validao da Gerncia de Segurana da Informao.
4.7.Computao pessoal e mvel
As informaes estruturadas e sistemas da organizao somente sero utilizados em
recursos da organizao. proibido o uso de equipamentos pessoais para acessar
informaes estruturadas e sistemas corporativos da organizao.
4.8.Correio Eletrnico
a. As mensagens do correio eletrnico disponibilizado para os usurios obrigatoriamente devem ser escritas em linguagem profissional e que no comprometa
a imagem da organizao, no v de encontro legislao vigente e nem aos
princpios ticos da organizao. Cada usurio responsvel pela conta de correio
eletrnico que lhe foi disponibilizado pela organizao.
b. O contedo do correio eletrnico de cada usurio pode ser acessado e monitorado

Polticas de Segurana da Informao

pela organizao quando de situaes que ponham em risco a sua imagem, seu

56

negcio ou sua lucratividade. O usurio no deve ter expectativa de sigilo da sua


conta de correio eletrnico disponibiliza pela organizao para seu uso profissional.
4.9.Ambiente de internet
O ambiente de internet deve ser usado para o desempenho das atividades profissionais
do usurio para a organizao. Sites que no contenham informaes que agreguem
conhecimento profissional e para o negcio no devem ser acessados. Os acessos realizados nesse ambiente so monitorados pela organizao com o objetivo de garantir o
cumprimento dessa poltica.

4.10.Redes Sociais

Os usurios obrigatoriamente devem seguir as regras de uso de Servios de Rede


Social descritos na norma especfica.
4.11.Documentao
Todos os procedimentos que possibilitam a proteo da informao e a continuidade
do seu uso devem ser documentados, de tal forma que possibilite que a organizao
continue a operacionalizao desses procedimentos, mesmo na ausncia do
usurio responsvel.
4.12.Concluso
a. A utilizao das informaes do ambiente de tecnologia ou do ambiente
convencional pelos usurios da organizao deve estar de acordo com os
documentos institucionais Cdigo de Conduta, Poltica de Privacidade
Dados Pessoais e Conduta tica e Conflito de Interesses. Todos os usurios
devem conhecer e entender esses documentos.
b. A segurana e proteo da informao uma responsabilidade contnua de cada
usurio da organizao em relao s informaes que acessa e gerencia.

determinaes desta Poltica de Segurana e Proteo da Informao.


d. O no cumprimento desta poltica e/ou dos demais instrumentos normativos que
complementaro o processo de segurana constitui falta grave e o usurio est
sujeito penalidades administrativas e/ou contratuais.
e. A Gerncia de Segurana da Informao a rea responsvel pela existncia efetiva
do processo de proteo e segurana da informao da organizao.
Informaes adicionais podero ser solicitadas diretamente Gerncia de Segurana
da Informao ou encaminhadas atravs do Help Desk.

Exerccios de fixao e
Poltica Principal
O exemplo dado de Poltica Principal de Segurana da Informao no contm a definio de
Ambiente de Tecnologia e Ambiente Convencional. Defina esses dois termos com o objetivo
de facilitar o entendimento por parte dos leitores.

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

c. Todos os usurios devem utilizar a informao da organizao, de acordo com as

57

O texto a seguir faz parte da Poltica Principal de Segurana da Informao. Qual a sua
opinio para o termo ... desde que seja em um nvel mnimo... Ele suficiente para os usurios entenderem e cumprirem? Esse texto seria aplicvel para a sua organizao? Se no,
como voc redigira esse texto para a sua organizao? Justifique a sua resposta.
Os recursos de tecnologia da organizao, disponibilizados para os usurios, tm como objetivo a realizao de atividades profissionais. A utilizao dos recursos da organizao, com
finalidade pessoal, permitida, desde que seja em um nvel mnimo e que no viole a Poltica de Segurana e Proteo da Informao e o Cdigo de Conduta e tica da organizao.

Releia o item 4.6 Continuidade de uso da Informao. Voc entende que as regras aqui
descritas vo gerar projetos? Quais possveis projetos precisaro ser desenvolvidos e implementados para atender as regras deste item?

Exerccio de fixao e
Processo de Segurana da Informao
Quais itens ou trechos do documento exemplo de Poltica Principal que voc entende que

Polticas de Segurana da Informao

precisam melhorar? Indique cinco.

58

Exerccio de fixao e
Processo Segurana da Informao
Quais itens ou trechos do documento exemplo Poltica Principal que voc entende que esto
muito bons e voc destacaria? Indique cinco.

Exerccio de fixao e
Processo Segurana da Informao
desenvolve suas atividades profissionais.
Ou escreva uma Poltica Principal de Segurana da Informao para um hospital.
Ou se for possvel e sua organizao j possuir uma Diretriz de Segurana da Informao,
faa uma anlise crtica indicando cinco pontos positivos e cinco pontos a melhorar. Compartilhe com seus colegas de classe.

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

Escreva uma Poltica Principal de Segurana da Informao para a organizao na qual voc

59

Documento poltica da dimenso acesso lgico


Esse documento detalha os princpios bsicos de segurana da informao definidos na

Poltica Principal em relao ao acesso lgico da informao. Nesse documento a organizao explicita como deseja (ou obriga) que o acesso informao acontea, seja controlado, auditado, gerenciado e exista ao longo do tempo. As diretrizes definidas nesse
documento permitiro o desenvolvimento e implantao de controles de segurana da
informao e minimizaro os questionamentos sobre o que pode, o que no pode e o
que obrigatrio em relao ao acesso lgico informao.
Devem ser detalhados controles e regras que so comuns a todos os ambientes de tecnologia. O detalhe de cada ambiente lgico de tecnologia deve ser definido em um documento
de acesso lgico de cada ambiente, Padro Nvel 3 na Arquitetura de Poltica de Segurana
da Informao, Item 2.2 Arquitetura para a Poltica de Segurana da Informao, Aula 2.
Esse documento deve considerar e definir as regras para os seguintes elementos de segurana da informao:
a. Gestor da Informao

a pessoa indicada pela direo da organizao que tem o poder para autorizar ou
negar o acesso de qualquer usurio informao sob sua responsabilidade.
b. Gestor do Usurio
a pessoa que tem o poder de validar informaes sobre o usurio, no que diz respeito
sua situao perante a organizao.
c. Usurio
a pessoa que acessa informaes da organizao para executar suas atividades
profissionais.
d. Identificao do Usurio
a maneira como o usurio ser identificado para o ambiente de tecnologia da informao da organizao.
e. Autenticao do usurio
a maneira como o usurio ser autenticado para o ambiente de tecnologia da informao
da organizao.
f. Autorizao de acesso
a maneira como acontecer a autorizao do usurio para acessar as informaes da
organizao.

Polticas de Segurana da Informao

g. Registro de acesso

60

a maneira como ser realizado o registro dos acessos realizados nas informaes.
h. Custodiante de recurso
a pessoa ou rea responsvel pelo adequado funcionamento do recurso de informao.

Exemplo prtico de poltica da dimenso acesso lgico


Poltica da dimenso acesso informao
1. Objetivo
Definir os requisitos e regras para o acesso informao no ambiente de tecnologia.

2. Abrangncia

Essa norma se aplica a todos os usurios (associados e prestadores de servios) que


utilizam o ambiente de tecnologia da organizao.
3. Implementao
A Gerncia de Segurana da Informao e as reas que suportam a tecnologia da informao so responsveis pela implementao e continuidade dessa norma de segurana.
4. Poltica de Segurana e Proteo da Informao
(Itens referentes ao Acesso de Informao Documento j publicado.)
O Gestor da Informao a pessoa responsvel pela autorizao de acesso, validao de
uso e definio dos demais controles sobre a informao.
Cada informao dever ter o seu Gestor, que ser indicado formalmente pela diretoria
responsvel pelos sistemas que acessam a informao.
O Gestor da Informao classificar o nvel de confidencialidade e proteo da informao
baseando-se nos critrios pr-definidos pela Gerncia de Segurana da Informao.
A liberao da informao para os usurios ser autorizada pelo Gestor, que levar em
conta a confidencialidade da informao e a necessidade de acesso do usurio.

uma cpia de segurana atualizada e guardada em local remoto, com proteo adequada. O
Gestor da Informao responsvel pela definio dessa criticidade.
5. Definies
5.1.Gestor da Informao
o diretor da rea responsvel pelo uso dos sistemas e servios de informao (ou parte
deles) que possibilitam a realizao das atividades de negcio, administrativas e/ou de apoio.
Cada diretor poder indicar para os sistemas e servios sob sua responsabilidade outras
pessoas para tambm exercerem a funo de Gestor da Informao.
5.2.Gestor de Usurio
a pessoa que garante para a organizao que o usurio est exercendo normalmente as
suas atividades profissionais na organizao.
O Gestor de Usurio para associado a sua chefia organizacional a partir do nvel gerente
ou superior.
O Gestor de Usurio para no associado o gerente (ou pessoa de nvel hierrquico superior) responsvel pela contratao da prestao de servio.
6. Responsabilidades
6.1.Gestor da Informao
a. Autorizar (ou negar) o acesso do usurio informao, considerando
33 A real necessidade de acesso pelo usurio;
33 A confidencialidade da informao;
33 O tipo de acesso (leitura, alterao ou remoo) a ser autorizado.

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

Toda informao crtica para o funcionamento da organizao deve possuir, pelo menos,

61

b. Validar e atualizar, pelo menos a cada seis meses, os usurios que possuem acesso
informao.
c. Definir o nvel de classificao de confidencialidade da informao.
d. Definir o impacto para a organizao caso a informao esteja indisponvel para a
realizao do negcio.
e. Definir o nvel de continuidade de negcio referente ao sistema ou servio sob sua
responsabilidade, validando as solues para situaes de desastre e de contingncia
implementadas pelas reas de tecnologia.
f. Definir a necessidade de cpias de segurana e validar as solues implementadas
pelas reas de tecnologia para o sistemas e servios sob sua responsabilidade.
g. Validar a eventual necessidade de armazenamento de dados pessoais nos sistemas
e servios sob sua responsabilidade, de forma que esteja coerente com a Poltica de
Privacidade Dados Pessoais.
h. Buscar junto organizao os recursos que permitam a implantao e manuteno
do nvel de proteo e disponibilidade desejado para os sistemas ou servios sob a
sua responsabilidade, possibilitando realizao do negcio.
6.2.Gestor de Usurio
a. Garantir que o usurio somente esteja ativo no ambiente de tecnologia caso esse
usurio seja um funcionrio ou prestador de servio exercendo normalmente as suas
funes profissionais para a organizao.
b. Validar e atualizar, pelo menos a cada trinta dias, os usurios tipo prestador de
servio sob sua responsabilidade.
6.3.Usurio
a. Solicitar acesso apenas para as informaes que vai utilizar nas suas atividades profissionais na organizao.
b. Solicitar o corte de acesso informao, quando suas atividades profissionais na
organizao no mais exigirem esse acesso.
7. Procedimentos
7.1.Incluso do usurio no ambiente computacional
a. O Gestor do Usurio autoriza a incluso do usurio no ambiente computacional.
b. A rea responsvel pelo cadastro de usurio realiza a incluso do usurio e

Polticas de Segurana da Informao

arquiva a autorizao.

62

7.2.Excluso e manuteno do usurio no ambiente computacional


a. Sempre que acontece um desligamento de associado, a rea de recursos humanos
comunica rea de tecnologia responsvel pelo cadastro de usurios o nome
desses associados.
b. O Gestor de Usurio tambm deve comunicar rea de tecnologia responsvel
pelo cadastro de usurios o nome dos associados e de prestadores de servio que
esto sob sua responsabilidade e que deixaro a organizao.

c. Para cada prestador de servio, existir uma data de expirao de contrato.

Aps essa data, a identificao do usurio deve perder a validade. Essa data de
expirao no poder ser maior do que seis meses.
d. Periodicamente o Gestor de Usurio validar os usurios tipo prestadores de
servio que esto sob sua responsabilidade.
e. A rea responsvel pelo cadastro do usurio arquiva a comunicao de manuteno
ou excluso.
7.3.Acesso informao
a. O Gestor da Informao autoriza o acesso do usurio informao.
b. O Gestor da informao valida periodicamente os usurios que possuem acesso
informao sob sua responsabilidade.
c. Quando de mudana de funo profissional dentro da organizao, o prprio
usurio deve solicitar a excluso de acesso s informaes que no precisa mais
para o desempenho das suas atividades profissionais.
d. A rea responsvel pela liberao do acesso informao realiza a liberao do

8. Concluso
Os Gestores de Informao e de Usurio aprovados pela organizao esto com os nomes
divulgados na norma de segurana Gestor de Informao e Gestor de Usurio.
Procedimentos podero ser formalizados para cada um dos ambientes computacionais com
o objetivo de descrever mais detalhadamente as regras aqui definidas.
O no cumprimento das regras descritas neste documento que complementam a Poltica de
Segurana e Proteo da Informao constitui falta grave e o usurio est sujeito a penalidades administrativas e/ou contratuais.
Situaes no previstas, dvidas, informaes adicionais e sugestes devem ser encaminhadas Gerncia de Segurana da Informao.

Exerccio de fixao e
Processo de Segurana da Informao
Quais itens ou trechos do documento exemplo de Poltica Dimenso Acesso Lgico que voc
entende que precisam melhorar? Indique cinco. Justifique.

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

acesso, arquiva a autorizao de acesso ou a comunicao de corte de acesso.

63

Quais itens ou trechos do documento exemplo Poltica Dimenso Acesso Lgico voc
entende que esto muito bons e voc destacaria? Indique cinco. Justifique.

Documento poltica da dimenso no ambiente fsico

Este documento detalha os princpios bsicos de segurana da informao definidos na


Poltica Principal em relao proteo da informao no ambiente fsico ou ambiente
convencional. Neste documento a organizao explicita como deseja (ou obriga) que a
informao seja cuidada e protegida.
Define tambm como o uso da informao deve ser controlado, auditado, gerenciado e permanea ao longo do tempo. As diretrizes definidas neste documento permitiro o desenvolvimento e implantao de controles de acesso e uso da informao armazenada no ambiente
fsico e explicitar o que pode, o que no pode e o que obrigatrio em relao ao acesso
informao no ambiente fsico.
Devem ser detalhados controles e regras que so comuns a todos os ambientes fsicos que
armazenem informao. O detalhe de cada ambiente fsico que contm informao deve
ser definido em um documento mais detalhado para cada ambiente fsico, Padro Nvel 3 na
Arquitetura de Poltica de Segurana da Informao, Item 2.2 Arquitetura para a Poltica de
Segurana da Informao, Aula 2.
Este documento deve considerar e definir as regras para os seguintes elementos de segurana da informao:
a. Gestor da Informao
a pessoa indicada pela direo da organizao que tem o poder para autorizar ou

Polticas de Segurana da Informao

negar o acesso de qualquer usurio informao sob sua responsabilidade.

64

b. Gestor do Usurio
a pessoa que tem o poder de validar informaes sobre o usurio, no que diz respeito sua situao perante a organizao.
c. Usurio
a pessoa que acessa informaes da organizao para executar suas atividades
profissionais.
d. Identificao do usurio
a maneira como o usurio ser identificado para o ambiente de tecnologia da informao da organizao.

e. Autenticao do usurio

a maneira como o usurio ser autenticado para o ambiente de tecnologia da informao da organizao.
f. Autorizao de acesso
a maneira como acontecer a autorizao do usurio para acessar as informaes
da organizao.
g. Registro de acesso
a maneira como a ser realizado o registro dos acessos realizados nas informaes.
h. Custodiante de recurso
a pessoa ou rea responsvel pelo adequado funcionamento do recurso de informao.
Exemplo prtico de poltica da dimenso no ambiente fsico

Acesso informao no ambiente fsico (convencional)


1. Objetivo
Definir as regras para o uso da informao no ambiente convencional da organizao.

a. Aplica-se a toda a informao existente no ambiente convencional da organizao.


b. Aplica-se para todo usurio da informao da organizao.
3. Referncias a outros regulamentos
a. Este documento est alinhado com a Poltica de Segurana da Informao da organizao.
b. Os conceitos e termos definidos na Poltica de Segurana da Informao so utilizados
neste documento.
4. Principais diretrizes
4.1.Gestor da Informao
a. Toda informao convencional da organizao deve ter o seu Gestor da Informao.
b. O acesso informao ser formalmente autorizado pelo Gestor da Informao que
considerar a real necessidade do uso da informao, as atividades do usurio em
relao organizao, as possibilidades contratuais de acesso do usurio e o nvel de
classificao da informao.
c. Tem a responsabilidade de analisar e avaliar as ameaas e os riscos para a liberao
do acesso aos recursos fsicos que contm a informao.
d. o responsvel pela definio da necessidade de implantao de controles para o
acesso aos recursos fsicos que contm a informao.
4.2.Gestor de Usurio
Cada usurio tem definido o seu Gestor de Usurio:
22 Empregado e Estagirio: Gestor a partir do nvel de Supervisor;
22 Demais usurios: Gestor de Contrato;

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

2. Abrangncia

22 Outros no considerados: ser definido pelo Departamento de Segurana da Informao.


65

4.3.Custodiante do Recurso
a. Tem a responsabilidade pela integridade, disponibilidade para uso e continuidade do
recurso que contm a informao.
b. responsvel pelo recurso fsico que suporta a informao.
c. Deve definir, em conjunto com o gestor da informao, controles para que apenas
pessoas autorizadas tenham acesso ao recurso fsico que suporta a informao.
d. responsvel por garantir as boas condies e a proteo do ambiente fsico onde
esto os recursos que contm a informao.
e. Todo recurso de informao da organizao deve ter o seu Custodiante de Recurso.
4.4.Identificao do usurio
A identificao de usurio no ambiente convencional ser realizada atravs de crach
funcional ou algum documento legal de identificao que contenha foto do usurio.
4.5.Autenticao do usurio
A autenticao do usurio ser feita pelo Custodiante do Recurso ou seu representante
previamente autorizado e verificar a correta correspondncia da pessoa com o documento de identificao apresentado.
4.6.Acesso informao
4.6.1.Solicitao de Acesso informao
a. Quando se tratar de funcionrio da organizao, o usurio ou o seu Gestor de
Usurio solicita para o Gestor da Informao o acesso informao.
b. Quando se tratar de no funcionrio da organizao, o Gestor de Usurio solicita
para o Gestor da Informao o acesso informao.
c. Caso o Gestor da Informao autorize o usurio, este Gestor deve comunicar ao
Custodiante do Recurso que contm a informao a autorizao de acesso e os
referidos limites de acesso.
d. O Gestor da Informao deve definir e indicar para o Custodiante de Recurso
o tipo de acesso que o usurio poder ter ao recurso fsico que contm a informao: leitura, retirada ou devoluo, cpia, incluso e/ou destruio.
e. O Custodiante de Recurso aps receber a autorizao do Gestor da Informao
realiza a autenticao do usurio e, sendo uma autenticao vlida, permite que o

Polticas de Segurana da Informao

usurio acesse o recurso que contm a informao considerando o tipo de acesso

66

autorizado pelo Gestor da Informao.


4.6.2.Registro de acesso
O Custodiante do Recurso definir em conjunto com o Gestor da Informao, considerando a necessidade de controles da organizao ou a existncia de obrigaes
legais, a necessidade de registro dos acessos realizados aos recursos que contm a
informao, bem como prpria informao. Tambm deve ser definido o tempo de
guarda desse registro de acesso.

4.6.3.Controle sobre o acesso informao


O Custodiante de Recurso deve manter uma lista com o nome das pessoas que esto
autorizadas a acessarem os recursos sob sua responsabilidade.
A cada perodo de seis meses o Custodiante de Recurso comunica ao Gestor da
Informao e aos Gestores de Usurios o nome dos usurios que esto autorizados
a acessarem os recursos que contm a informao. O Gestor da Informao e os respectivos Gestores de Usurios indicam a permanncia ou no dos usurios no acesso
aos recursos que contm a informao.
Quando o usurio encerrar suas atividades com a organizao, o Gestor de Usurio
comunicar esse fato ao Custodiante a quem ele solicitou acesso de usurio.
5. Atribuies e competncias
Usurio
Ter a responsabilidade pelo uso e manuseio que fizer na informao que tiver acesso.
Usurio, Gestor da Informao e Custodiante
Conhecer e entender a legislao vigente referente informao e aos recursos fsicos que

Captulo 3 - Diretriz ou Poltica Principal, Poltica-Norma Dimenso Acesso Lgico e Poltica-Norma Dimenso Ambi

contm a informao sob sua responsabilidade.

67

68

Polticas de Segurana da Informao

Conhecer os componentes que devem ser considerados em uma Poltica-Norma


Dimenso do Correio Eletrnico; Ser apresentado aos componentes que devem ser
considerados em uma Poltica-Norma Dimenso do Uso da Internet; Saber que
componentes que devem ser considerados em uma Poltica-Norma Dimenso do
Uso de Equipamentos de Tecnologia da informao.

Poltica-Norma Equipamentos de Tecnologia da Informao.

conceitos

Poltica-Norma Dimenso Correio Eletrnico; Poltica-Norma Dimenso Internet;

Introduo
Os regulamentos apresentados nesta aula esto muito ligados ao seu uso no ambiente corporativo e no seu ambiente pessoal. Normalmente os usurios utilizam correio eletrnico,
internet e redes sociais no Ambiente Digital tanto em uma atividade corporativa como em
uma atividade pessoal.
Em outras dimenses dificilmente o usurio ter esse forte relacionamento. Por exemplo,
na Dimenso de Manuteno de Desenvolvimento de Sistemas dificilmente um usurio ter
uma atividade pessoal que requer o desenvolvimento ou manuteno de sistemas aplicativos. Evidentemente, com exceo se o usurio for um profissional de desenvolvimento e
manuteno de sistemas.
Sendo assim, este bloco de Polticas-Normas tratam de assuntos que, mais do que nunca,
dependem de como a organizao quer se relacionar com esses ambientes e qual o grau
de rigidez de controle de segurana da informao a organizao deseja impor em cada
um desses assuntos. Isso significa que podemos ter diferentes estratgias para o tratamento desses aspectos. Uma organizao pode bloquear o acesso internet para todos os
usurios, enquanto outra deixa acesso livre para todos os usurios.

Captulo 4 - Poltica-Norma Dimenso Correio Eletrnico, Poltica-Norma Dimenso Internet e Poltica-Norma Equipa

objetivos

Poltica-Norma Dimenso Correio


Eletrnico, Poltica-Norma Dimenso
Internet e Poltica-Norma
Equipamentos Tecnologia Informao

69

O importante que, para esses dois casos, o Gestor da Segurana da Informao tenha
envolvido para a definio dos controles a rea de Recursos Humanos e a rea Jurdica.
Os aspectos contemplados neste bloco dependem fortemente da cultura da organizao e
consequentemente das pessoas. A cultura organizacional um elemento que influencia o
Processo Organizacional da Segurana da Informao, mas fundamental e obrigatrio
para o sucesso desse processo que existam formalmente e de maneira estruturada os regulamentos de segurana da informao.
Diversas situaes para implementao de determinados controles podem existir de acordo
com a natureza da organizao. importante que o Gestor de Segurana da Informao
saiba conduzir a discusso na sua organizao, para determinar como ser o contedo dos
Documentos Poltica-Normas das Dimenses aqui consideradas.

Documento poltica-norma de correio eletrnico


O Documento Poltica-Norma de Correio Eletrnico define os princpios bsicos de

segurana da informao definidos na Poltica Principal em relao ao uso de Correio


Eletrnico na organizao.
Quando orientaes bsicas forem definidas neste documento, elas permitiro o desenvolvimento e a implantao de controles de segurana da informao e minimizaro os
questionamentos sobre o que pode, o que no pode e o que obrigatrio em relao ao uso
do correio eletrnico pelo usurio.
Devem ser detalhados controles e regras que so comuns a todos os ambientes de

tecnologia. Caso existam servios de Correio Eletrnico em ambientes diferentes e que


necessitem de controles especficos, devero ser elaborados documentos mais detalhados para cada ambiente, tipo documento Padro Nvel 3, definido na Arquitetura de
Poltica de Segurana da Informao, Item 2.2 Arquitetura para a Poltica de Segurana
da Informao, Aula 2.
Este regulamento sobre Correio Eletrnico deve considerar e definir as regras para os
seguintes elementos:
a. Usurios

Deve-se indicar os tipos de usurios que podem utilizar o servio de correio eletrnico
usando parcialmente ou totalmente recursos da organizao.
Deve-se indicar as responsabilidades dos usurios em relao ao uso do correio eletrnico.
b. Correio corporativo e correio pessoal

Polticas de Segurana da Informao

Deve-se considerar o uso do correio eletrnico corporativo e o correio eletrnico pessoal

70

utilizando recursos da organizao.


Em relao ao correio eletrnico pessoal, deve-se indicar as restries e obrigaes para
o seu uso.
Em relao ao correio eletrnico corporativo, deve-se indicar as regras de controle de segurana da informao e deve-se deixar claro e formalmente entendido pelo usurio que este
no deve ter expectativa de privacidade: seu contedo e acesso sero monitorados.
Isso significa que achando a organizao necessrio, ser feito uma abertura dos dados do
correio corporativo de um usurio.

At o ano de 2013 no
existia no Brasil uma
legislao sobre
algumas questes
relacionadas fortemente com os
elementos deste
assunto. O mais
comumente encontrado a jurisprudncia
sobre diversos
assuntos relacionados
ao tema Segurana da
Informao.

c. Linguagem utilizada

Deve-se orientar o usurio em relao ao tipo de texto utilizado: se mais formal, se


menos informal.
d. Operacionalizao
Deve-se orientar sobre os procedimentos operacionais relativos segurana, incluindo
situaes de erro e situaes no previstas.
e. Arquivos anexos
Deve-se definir (considerando aspectos de segurana) o uso de arquivos anexos. Deve-se
lembrar de que esses controles devem estar ligados com outros controles como, por
exemplo: classificao da informao.

Exemplo prtico de Poltica-Norma da Dimenso Correio Eletrnico


Uso de correio eletrnico
1. Objetivo
Definir os requisitos e regras de segurana para o uso do correio eletrnico (e-mail) no

2. Abrangncia
Esta poltica se aplica a todos os usurios (associados e prestadores de servios) que utilizam as informaes da organizao.
3. Implementao
A Gerncia de Segurana da Informao e a rea de Apoio ao Usurio Final so responsveis
pela implementao e continuidade desta norma de segurana.
4. Poltica de segurana e proteo da informao
(Itens referentes ao correio eletrnico Documento j publicado.)
O correio eletrnico um instrumento de comunicao interna e externa para a realizao
do negcio da organizao.
As mensagens do correio eletrnico devem ser escritas em linguagem profissional e que no
comprometa a imagem da organizao, no v de encontro legislao vigente e nem aos
princpios ticos da organizao.
O uso do correio eletrnico pessoal e o usurio responsvel por toda mensagem enviada
pelo seu endereo.
O contedo do correio eletrnico de cada usurio pode ser acessado pela organizao quando
de situaes que ponham em risco a sua imagem e o seu negcio. Esse acesso ser feito a critrio da organizao, mediante comunicao ao superior imediato do usurio, Gerncia de
Segurana e deve ser registrado formalmente permitindo uma auditoria desse procedimento.
5. Regras
obrigatrio o usurio cadastrado e autorizado no ambiente de correio eletrnico da organizao seguir as seguintes regras:

Captulo 4 - Poltica-Norma Dimenso Correio Eletrnico, Poltica-Norma Dimenso Internet e Poltica-Norma Equipa

mbito da organizao.

71

Uso de mensagens
O usurio:

5.1.Pode enviar mensagens relativas aos negcios da empresa para usurios internos
ou para pessoas ou organizaes em endereos externos.
5.2.Pode utilizar o correio eletrnico para propsitos pessoais incidentais, desde que
sejam em um nvel mnimo, no prejudiquem o desempenho dos recursos da
organizao, no interfiram no desempenho das suas atividades profissionais
e no violem a Poltica de Segurana e Proteo da Informao e o Cdigo de
Conduta e tica da organizao.
5.3.No pode originar ou encaminhar mensagens ou imagens que:
22 Contenham declaraes difamatrias ou linguagem ofensiva de qualquer natureza;
22 Menosprezem, depreciem ou incitem o preconceito a determinadas classes, como
sexo, raa, orientao sexual, idade, religio, nacionalidade ou deficincia fsica;
22 Possua informao pornogrfica, obscena ou imprpria para um ambiente
profissional;
22 Possam trazer prejuzo a outras pessoas;
22 Sejam hostis ou inteis;
22 Que defendam ou possibilitem a realizao de atividades ilegais;
22 Sejam ou sugiram a formao ou divulgao de correntes de mensagens;
22 Possam prejudicar a imagem da organizao ou seus produtos e servios;
22 Possam prejudicar a imagem de outras companhias;
22 Sejam incoerentes com as polticas e cdigos da organizao.
5.4.No pode reproduzir qualquer material recebido pelo correio eletrnico ou
outro meio que possa infringir direitos autorais, marcas, licena de software ou
patentes existentes, sem que haja permisso por escrito do criador do trabalho.
5.5.Nunca deve enviar por correio eletrnico qualquer comunicao que possa ser
de alguma maneira incorreta ou no apropriada para envio pelo correio regular
em papel timbrado da empresa. Uma mensagem eletrnica considerada um
documento formal da empresa.
5.6.No pode encaminhar mensagens que representem a opinio pessoal do autor,
colocando-a em nome da organizao.
5.7.No pode utilizar o endereo do correio eletrnico da organizao para outras

Polticas de Segurana da Informao

atividades profissionais no relacionadas organizao.

72

5.8.Caso receba uma mensagem originada da internet de um remetente desconhecido, voc deve remover essa mensagem da sua caixa de entrada, preferencialmente antes mesmo de abri-la.
5.9.No deve responder caso receba mensagens contendo texto ou imagem no
profissional ou de propaganda. Nem mesmo que seja para solicitar seu no envio.
Nesse caso, o remetente saber que o endereo eletrnico est vlido.

Confidencialidade e validade da mensagem

5.10.Enquanto o correio eletrnico no utilizar a Certificao Digital ou qualquer outro


processo que garanta a confidencialidade da mensagem e a autenticidade do destinatrio ou remetente, voc no deve enviar mensagens para fora do domnio
organizao.com.br em que:
22 O destinatrio ou a organizao ficariam incomodados ou embaraados se a mensagem fosse publicada na primeira pgina de jornal de grande circulao;
22 Um parceiro (cliente ou fornecedor) autorize determinada ao para a organizao
e que, futuramente, essa mensagem no seja reconhecida por esse parceiro,
trazendo prejuzo para a organizao. Para esses casos, o envio de mensagem
pode agilizar um processo, porm deve ser formalizado atravs de um outro meio
que confirme a ao solicitada. Para os casos em que uma negociao tenha de
ser feita via correio eletrnico, o diretor da rea dever estar formalmente ciente
desse fato e do potencial risco para a organizao.
5.11.Quando envia uma mensagem de correio eletrnico, ela est restrita a voc e ao
destinatrio. Porm, no caso de informaes que exijam maior sigilo, voc deve
na primeira linha da mensagem indicar o nvel de classificao dessa informao,
cao da Informao.
5.12.Caso receba, por algum motivo, uma mensagem que por erro lhe foi enviada, deve
proceder da seguinte maneira:
22 Caso seja uma mensagem de endereo organizao.com.br, informe ao remetente o
ocorrido e remova a mensagem da sua caixa de entrada;
22 Caso no seja do ambiente organizao.com.br, simplesmente remova a mensagem
da sua caixa de entrada.
5.13.Ao enviar uma mensagem para um destinatrio com cpia para vrias pessoas,
tenha certeza de que todas essas pessoas realmente devem receber essa mensagem. A facilidade de se copiar uma mensagem no correio eletrnico nos leva a
enderear cpias para muitas pessoas. O mesmo vale para quando vamos responder uma mensagem. Cpias desnecessrias sobrecarregam os recursos do
ambiente computacional.
5.14.Ao indicar o destinatrio ou o com cpia, tenha absoluta certeza de que o nome
colocado o nome do usurio para quem voc deseja enviar a mensagem. Quando
for enviar para vrios usurios com certa frequncia, utilize a opo de grupo de
endereos evitando erros de endereamento.
5.15.Tenha muita ateno com o uso da opo Encaminhar/Forward, que vai criando
um histrico com todas as mensagens encadeadas. Avalie se necessrio e conveniente o envio de todas essas mensagens. Existe o risco de quebra de confidencialidade da informao e a ocorrncia de situaes desagradveis com a leitura
indevida de mensagens do correio eletrnico.

Captulo 4 - Poltica-Norma Dimenso Correio Eletrnico, Poltica-Norma Dimenso Internet e Poltica-Norma Equipa

entre os nveis de confidencialidade descritos na Norma de Segurana Classifi-

73

Arquivos anexos
5.16.Somente deve enviar arquivos anexados quando for imprescindvel. Cuidado
quando estiver repassando (Encaminhar/Forward) mensagens para no estar
tambm repassando desnecessariamente arquivos anexados.
5.17.Deve garantir que cada um dos arquivos anexados possuam o seu nvel de confidencialidade da informao de acordo com a Norma de Segurana Classificao
da Informao.
5.18.No deve abrir arquivos anexados de remetentes desconhecidos. Remova esses
arquivos do seu ambiente de correio eletrnico.

Gesto do Correio Eletrnico


5.19.Verificar regularmente a sua caixa de entrada do ambiente de correio eletrnico.

5.20.Caso necessite manter a mensagem, verifique seu espao no servidor de correio


eletrnico. Caso esteja perto do limite, transfira esta para uma de suas pastas
pessoais. Porm, nesse caso voc est sem a facilidade de cpias de segurana
que so executadas no servidor.
5.21.Caso necessite de cpias de segurana para suas pastas pessoais, entre em
contato com o Help Desk para receber a devida orientao.
5.22.No compartilhe a sua senha de acesso ao ambiente de rede e ao correio eletrnico com nenhum outro usurio. Caso voc necessite que algum outro usurio
(por exemplo, uma secretria) tenha acesso ao seu correio eletrnico, faa
atravs dos procedimentos de acesso compartilhado, porm cada usurio deve
utilizar sua prpria identificao e senha.
5.23.Quando for passar um perodo sem acessar o correio eletrnico, deixe uma mensagem de ausncia e indique quem pode ser procurado no seu lugar.
5.24.Deve cuidar do espao limitado que cada usurio possui no servidor para sua
caixa de entrada, caixa de sada e alguns outros recursos. Quando esse espao
for ultrapassado, haver restries para envio e recebimento de mensagens.
6. Concluso
O no cumprimento das regras descritas neste documento que complementam a Poltica de
Segurana e Proteo da Informao constitui falta grave e o usurio est sujeito penalidades administrativas e/ou contratuais.
Situaes no previstas e sugestes devem ser encaminhada Gerncia de Segurana

Polticas de Segurana da Informao

da Informao.

74

Dvidas e informaes adicionais podero ser encaminhadas diretamente ao Help Desk.

Exerccio de fixao e
Correio eletrnico
No exemplo Poltica-Norma de Correio Eletrnico temos o seguinte texto:
5.2. Pode utilizar o correio eletrnico para propsitos pessoais incidentais, desde
que sejam em um nvel mnimo, no prejudiquem o desempenho dos recursos da organizao, no interfiram no desempenho das suas atividades profissionais e no violem a Poltica de Segurana e Proteo da Informao e o Cdigo de Conduta e tica da organizao.

Este trecho de texto est adequado para uso na sua organizao? Se no, qual a sua
sugesto de texto? Se sim, justifique.

Quais itens ou trechos do documento exemplo de Poltica-Norma Correio Eletrnico voc

Quais itens ou trechos do documento exemplo Poltica-Norma Correio Eletrnico voc


entende que esto muito bons e voc destacaria? Indique cinco. Justifique.

Documento Poltica-Norma de Uso da Internet


O Documento Poltica-Norma de Uso da Internet define os princpios bsicos de segurana
da informao definidos na Poltica Principal em relao ao uso da internet na organizao.
Quando orientaes bsicas forem definidas neste documento, elas permitiro o desenvolvimento e a implantao de controles de segurana da informao e minimizaro os
questionamentos sobre o que pode, o que no pode e o que obrigatrio em relao ao

Captulo 4 - Poltica-Norma Dimenso Correio Eletrnico, Poltica-Norma Dimenso Internet e Poltica-Norma Equipa

entende que precisam melhorar? Indique cinco. Justifique.

uso da internet.
75

Devem ser detalhados controles e regras que so comuns a todos os ambientes de tecnologia. Caso existam servios de uso de internet em ambientes diferentes e que necessitem
de controles especficos, devero ser elaborados documentos mais detalhados para cada
ambiente, tipo documento Padro Nvel 3, definido na Arquitetura de Poltica de Segurana
da Informao, Item 2.2 Arquitetura para a Poltica de Segurana da Informao, Aula 2.
Este regulamento sobre uso da internet deve considerar e definir as regras para os seguintes
elementos:
a. Usurios
Deve-se indicar os tipos de usurios que podem utilizar o servio de uso de internet usando
parcialmente ou totalmente recursos da organizao.
Deve-se indicar as responsabilidades dos usurios em relao ao uso da internet.
b. Servios na internet
Deve-se definir os servios na internet que so permitidos e os que no so permitidos.
Talvez alguns servios, como redes sociais, meream uma norma especfica, considerando a
quantidade de regras e orientaes necessrias.
c. Operacionalizao
Deve-se orientar sobre os procedimentos operacionais relativos segurana, incluindo
situaes de erro e situaes no previstas.
d. Disponibilizao de informaes
Deve-se definir (considerando aspectos de segurana) a disponibilizao de informaes
pessoais e corporativas e apenas corporativas. Deve-se lembrar que esses controles
devem estar ligados a outros controles como, por exemplo: classificao da informao.

Exemplo prtico de Poltica-Norma da Dimenso Uso da Internet


Utilizao do ambiente internet pelo usurio
1. Objetivo

Definir os requisitos e regras de segurana para o uso do ambiente de internet, Intranet


e Extranet da organizao.
2. Abrangncia
Esta poltica se aplica a todos os usurios (associados, prestadores de servios e estagi-

Polticas de Segurana da Informao

rios) que utilizam o ambiente de tecnologia da organizao.


3. Implementao
A Gerncia de Segurana da Informao e a rea de Apoio ao Usurio Final so responsveis
pela implementao e continuidade dessa norma de segurana.
4. Poltica de segurana e proteo da informao
(Itens referentes internet Documento j publicado.)
O acesso da informao deve ser autorizado apenas para os usurios que necessitam desta
para o desempenho das suas atividades profissionais na organizao. Esse conhecimento do
usurio deve ser utilizado apenas para o desenvolvimento e operacionalizao do negcio
da organizao.
76

O ambiente de internet deve ser usado para o desempenho das atividades profissionais do
usurio para a organizao. Sites que no contenham informaes que agreguem conhecimento profissional e para o negcio no devem ser acessados. Os acessos realizados nesse
ambiente so monitorados pela organizao com o objetivo de garantir o cumprimento
dessa poltica.
Os recursos de tecnologia da organizao, disponibilizados para os usurios, tm como objetivo a realizao de atividades profissionais. A utilizao dos recursos de tecnologia, com
finalidade pessoal, permitida, desde que seja em nvel mnimo e que no viole a Poltica de
Segurana e Proteo da Informao e o Cdigo de Conduta e tica da organizao Brasil.
A utilizao das informaes do ambiente de tecnologia ou do ambiente convencional pelos
usurios da organizao deve estar de acordo com os documentos institucionais Cdigo de
Conduta, Poltica de Privacidade Dados Pessoais e Conduta tica e Conflito de Interesses. Todos os usurios devem conhecer e entender esses documentos.
5. Definies

Internet
o ambiente virtual onde diferentes computadores de vrias partes do mundo se comulhamento de conhecimento. Existem vrios servios disponibilizados na Internet, sendo o
correio eletrnico e o ambiente grfico www (World Wide Web) os mais conhecidos.

Intranet
um ambiente semelhante ao da internet, porm restrito ao ambiente de tecnologia da
organizao.

Extranet
o ambiente com o mesmo contedo da Intranet, porm extensivo ao ambiente da rede
corporativa da organizao, pela internet. Esse ambiente est logicamente restrito aos
usurios organizao.

Ambiente web
o conjunto dos ambientes Internet, Intranet e Extranet.

Site
o local virtual onde se encontram as informaes relativas a um endereo do ambiente
web. No mundo real suportado por um ou vrios equipamentos, que esto ligados rede
dentro do ambiente considerado.
6. Regras para os usurios
6.1.Apenas os softwares e verses homologados para a funo de navegadores no
ambiente web devem ser utilizados pelos usurios.
6.2.Todos os arquivos recebidos a partir do ambiente da internet para o ambiente do
computador do usurio devem ser analisados por produto antivrus homologado
para a organizao.
6.3.O usurio no deve alterar a configurao do navegador da sua mquina no que diz
respeito aos parmetros de segurana. Havendo necessidade, o Help Desk deve ser

Captulo 4 - Poltica-Norma Dimenso Correio Eletrnico, Poltica-Norma Dimenso Internet e Poltica-Norma Equipa

nicam atravs de protocolos padres, permitindo a troca de informaes e o comparti-

acionado para informar o procedimento a ser seguido.


77

6.4.Quando estiver acessando a internet, o usurio no deve acessar sites ou executar


aes que possa infringir direitos autorias, marcas, licena de software ou patentes
existentes.
6.5.Nenhum material com nvel de sigilo Confidencial ou superior pode ser disponibilizado fora das reas seguras da Intranet.
6.6.No so permitidas pginas pessoais de usurios ou qualquer outra propaganda
comercial pessoal no ambiente web utilizando recursos da organizao.
6.7.Nenhum material ofensivo ou hostil pode ser disponibilizado nos sites da organizao no ambiente web.
6.8. proibido e considerado abuso:
A visualizao, transferncia, cpia ou qualquer outro tipo de acesso a sites:
11 De contedo pornogrfico ou relacionados a sexo, bem como a distribuio, interna ou
externa, de qualquer tipo de contedo proveniente desses sites;
11 Que defendam atividades ilegais;
11 Que menosprezam, depreciam e incitem o preconceito a determinadas classes, como
sexo, raa, orientao sexual, religio, nacionalidade;
22 A transferncia ou cpia de grandes quantidades de arquivos de vdeo, som ou grficos, no relacionados aos interesses de negcios da companhia. Esse tipo de ao
afeta diretamente os recursos de rede;
22 Participao em:
33 Salas de chat ou grupos de discusso de assuntos no relacionados aos negcios da
companhia;
33 Qualquer discusso pblica sobre os negcios da companhia, atravs do uso de
salas de chat, grupos de discusso, ou qualquer outro tipo de frum pblico, a
menos que autorizado pela Diretoria.
22 Distribuio de informaes confidenciais da organizao.
7. Concluso
O no cumprimento das regras descritas neste documento que complementam a Poltica de
Segurana e Proteo da Informao constitui falta grave, e o usurio est sujeito penalidades administrativas e/ou contratuais.
Situaes no previstas e sugestes devem ser encaminhada Gerncia de Segurana da
Informao.

Polticas de Segurana da Informao

Dvidas e informaes adicionais podero ser encaminhadas diretamente ao Help Desk.

78

Exerccio de fixao e
Uso da internet
Na sua organizao, em relao ao uso da internet, existem regras diferentes para tipos
de usurios diferentes? Indique os usurios considerados e os que na sua opinio deveriam
ser considerados.

Quais itens ou trechos do documento exemplo de Poltica-Norma Uso da Internet voc

Quais itens ou trechos do documento exemplo Poltica-Norma Uso da Internet voc entende
que esto muito bons e voc destacaria? Indique cinco. Justifique.

Captulo 4 - Poltica-Norma Dimenso Correio Eletrnico, Poltica-Norma Dimenso Internet e Poltica-Norma Equipa

entende que precisam melhorar? Indique cinco. Justifique.

79

Documento Poltica-Norma Equipamentos de Tecnologia da Informao


recurso computacional
O Documento Poltica-Norma de Uso de Recurso Computacional define os princpios

bsicos de segurana da informao definidos na Poltica Principal em relao ao uso de


equipamentos de tecnologia da informao.
Quando orientaes bsicas forem definidas neste documento, elas permitiro o desenvolvimento e a implantao de controles de segurana da informao e minimizaro os
questionamentos sobre o que pode, o que no pode e o que obrigatrio em relao ao
uso de recursos computacionais da organizao e do usurio, no contexto dos servios
da organizao.
Devem ser detalhados controles e regras que so comuns a todos os ambientes de tecnologia. Caso existam situaes de uso de recursos computacionais em ambientes diferentes
e que necessitem de controles especficos, devero ser elaborados documentos mais
detalhados para cada ambiente, tipo documento Padro Nvel 3, definido na Arquitetura de
Poltica de Segurana da Informao, Item 2.2 Arquitetura para a Poltica de Segurana da
Informao, Aula 2.
Este regulamento sobre Uso de Recursos Computacionais deve considerar e definir as regras
para os seguintes elementos:
a. Usurios
Deve-se indicar os tipos de usurios que podem utilizar o servio de Uso de Recursos Computacionais, usando parcialmente ou totalmente recursos da organizao.
Deve-se indicar as responsabilidades dos usurios em relao ao Uso de Recursos Computacionais.
b. Tipos de recursos
Deve-se definir quais os tipos de recursos esto submetidos a este regulamento.
Talvez alguns tipos de recursos, como telefones inteligentes, meream uma norma especfica, considerando a quantidade de regras e orientaes necessrias.
c. Operacionalizao
Deve-se orientar sobre os procedimentos operacionais relativos a segurana, incluindo-se aqui as situaes de erro e situaes no previstas.
d. Uso de programas autorizados para cada recurso
Deve-se definir os programas e ambientes que so autorizados para serem utilizados

Polticas de Segurana da Informao

pelos recursos computacionais considerados neste regulamento.

80

e. Controles de proteo tcnica


Deve-se definir nesta poltica-norma quais so os mtodos de proteo aplicveis aos
recursos computacionais considerados neste regulamento.
f. Uso de recursos corporativos e pessoais
Deve-se definir o uso de recursos da organizao e a possibilidade (ou no) de recursos
pessoais acessando-utilizando informaes da organizao.

Exemplo prtico de Poltica-Norma de Uso de Equipamento de Tecnologia da Informao


recurso computacional
Uso de recurso computacional
1. Objetivo deste regulamento

Definir os requisitos e as regras de segurana para a utilizao do recurso computacional


computador de mesa e computador porttil disponibilizado pelo ambiente de tecnologia
utilizado pela organizao.
2. Abrangncia deste regulamento
Este regulamento se aplica a todos os usurios que utilizam as informaes do ambiente
de tecnologia da organizao.
Este regulamento est alinhado com o regulamento Poltica de Segurana e Proteo
da Informao.
3. Implementao deste regulamento
O Departamento de Segurana da Informao, a Unidade de Segurana da Informao, o
PRESTADOR e as chefias das reas da organizao desenvolvero aes contnuas e necesInformao responsvel pela coordenao dessas aes.
4. Definies
As definies de termos relativos Segurana da Informao esto descritas no regulamento Definies Utilizadas em Segurana da Informao.
5. Poltica e regras
5.1.O recurso tipo computador, seja de mesa ou porttil, disponibilizado para o Usurio
Profissional, de propriedade da organizao por meio de seus diversos rgos.
5.2.O Usurio o gestor desse recurso e deve garantir a sua integridade e perfeito
funcionamento.
5.3.Ao deixar de trabalhar em determinada rea da organizao, em funo de transferncia para outra rea, o recurso computador deve ficar na rea de origem, salvo se
existir um prvio acerto entre as partes.
5.4.Cada computador porttil que permanecer nas instalaes de uma rea da organizao quando o usurio no estiver desempenhando suas atividades profissionais
nessas instalaes deve ser guardado em lugar seguro que possa ser trancado
(exemplo: gaveta de escrivaninha ou armrio).
5.5.Durante perodos de no funcionamento do ambiente de trabalho (exemplo: noite ou
feriados) o pessoal de segurana, ou o equivalente local, registrar os computadores
tipo porttil no protegidos adequadamente e manter sob sua guarda, deixando um
aviso no local, at que o respectivo associado procure o seu equipamento.
5.6.Ao viajar com um computador tipo porttil, o usurio deve:
33 Manter o computador tipo porttil sempre consigo; e
33 Ao tomar um txi, certificar-se de que desceu com toda a sua bagagem,
inclusive o computador.

Captulo 4 - Poltica-Norma Dimenso Correio Eletrnico, Poltica-Norma Dimenso Internet e Poltica-Norma Equipa

srias para a implementao deste regulamento, ficando o Departamento de Segurana da

81

5.7.Ao transportar o computador tipo porttil no carro, ele deve ser colocado sempre
no porta-malas, onde no ficar visvel. No deixar o computador tipo porttil no
veculo quando ele estiver estacionado.
5.8.O transporte do computador tipo porttil nas ruas j est sendo bastante visado
pelos criminosos. Nesse caso, deve-se ser discreto, observar o ambiente ao redor e
fazer o caminho mais seguro para onde se est dirigindo.
5.9. responsabilidade de cada usurio dos sistemas da organizao assegurar a integridade do computador e a confidencialidade das informaes contidas nele.
5.10.Em nenhuma hiptese o associado poder alterar a configurao do computador
porttil, como por exemplo trocar o disco rgido, retirar ou acrescentar memria.
Apenas a rea tcnica da organizao est autorizada a realizar essa atividade.
5.11.Em caso de perda de acessrio (exemplo: secure-id, mala ou mouse), o associado
ser responsvel pelo seu pagamento.
6. Concluso
O no cumprimento deste regulamento e/ou dos demais instrumentos normativos que
complementaro o processo de segurana constitui falta grave, e o usurio est sujeito
penalidades administrativas e/ou contratuais.
Situaes de exceo e no previstas devero ser definidas pelo Departamento de Segu-

Polticas de Segurana da Informao

rana da Informao e pela Unidade de Segurana da Informao da organizao.

82

Poltica-Norma Dimenso
Classificao da Informao, PolticaNorma Dimenso, Desenvolvimento/
Aquisio de Sistemas Aplicativos,
Poltica-Norma Dimenso Plano de
Continuidade e Poltica-Norma
Dimenso Cpias de Segurana
objetivos

Conhecer os componentes que devem ser considerados em uma Poltica-Norma


Dimenso Classificao da Informao; Ter contato com os componentes que devem
ser considerados em uma Poltica-Norma Dimenso Desenvolvimento/Aquisio de
Sistemas Aplicativos; Aprender sobre os componentes que devem ser considerados
em uma Poltica-Norma Dimenso Plano de Continuidade; Conhecer os componentes
que devem ser considerados em uma Poltica-Norma Dimenso Cpias de Segurana.

conceitos

Poltica-Norma Dimenso Classificao da Informao; Poltica-Norma Dimenso;


Desenvolvimento/Aquisio de Sistemas Aplicativos; Poltica-Norma Dimenso
Plano de Continuidade; Poltica-Norma Dimenso Cpias de Segurana.

Documento Poltica-Norma da Dimenso Classificao da Informao


O Documento Poltica-Norma da Dimenso Classificao da Informao define os

princpios bsicos de segurana da informao para os padres de confidencialidade ou


sigilo da informao. Esses padres so necessrios para a existncia de procedimentos
padres para o tratamento da informao e dos recursos de informao.
A Dimenso Classificao da Informao definir aes em relao aos recursos de informao,
como a guarda da informao, descarte da informao, critrios de criptografia para quando
ocorrer a transmisso da informao de um certo padro de sigilo e outras aes similares.

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

83

O objetivo da classificao da informao definir como o usurio deve tratar a infor-

mao ou o recurso informao. Devem ser definidas regras de como uma informao
deve ser guardada, se a informao precisa ser destruda aps o seu uso e, se for destruda, qual a potncia desta destruio.
Muitas pessoas confundem esse padro de classificao da informao com a questo do
controle de acesso informao. Pensam erroneamente que, ao classificar uma informao
como secreta, estar restringindo o acesso informao e garantindo o correto uso da
informao. A Dimenso Controle de Acesso Informao (acesso lgico ou acesso fsico)
o conjunto de controles que define quais usurios devero ter acesso (ou no) informao,
independentemente da sua classificao de sigilo.
A Classificao da Informao influencia vrias outras dimenses: por exemplo, o texto

de uma mensagem de correio eletrnico ser criptografado (ou no) pelo simples fato
de ser uma mensagem para o mundo externo da organizao. Este texto ser criptografado se a informao em questo tiver sido classificada em um padro de sigilo que
exige que quando essa informao for sair do ambiente da organizao, ela obrigatoriamente ser criptografada.
Outra questo que os profissionais de segurana da informao enfrentam quando vo
definir regras de classificao da informao em relao quantidade de padres de sigilo.
Normalmente varia de trs a seis padres. Quanto mais padres, mais detalhada fica essa
classificao, porm mais complexa para o usurio internalizar. Quanto menos complexa,
mais fcil de o usurio internalizar, porm com menos detalhes. Essa quantidade de padres
uma deciso da organizao, porm deve-se considerar se a organizao est submetida a
alguma legislao sobre o assunto.
Outra questo a ser definida o grau de granularidade para essa classificao.

Os profissionais de tecnologia da informao costumam promover grandes debates


sobre essa granularidade: arquivo, base de dados, registro, campo, bit, byte etc.
Entende-se que quem vai avaliar e definir esse padro de classificao da informao
ser o Gestor da Informao, que normalmente ser de rea no Tecnologia da Informao. Esse Gestor da Informao no entende detalhes de tecnologia da informao,
mas entende de: relatrio, transao, tela e similares. Portanto, a granularidade da
informao para essa classificao dever ser composta por elementos que o Gestor da
Informao entenda. Em resumo, a granularidade deve ser em um padro que o Gestor
da informao compreenda.
Uma caracterstica que o profissional de segurana da informao encontrar quando
implantar esse controle de segurana, a classificao da informao, a dos sistemas

Polticas de Segurana da Informao

legados. Vamos generalizar: as informaes legadas. Porque podemos ter sistemas legados
de informaes em recursos fsicos. Evidentemente que aps a formalizao do Regulamento
de Classificao da Informao todas as informaes da organizao devero estar (ou tornarem-se) classificadas em relao ao seu padro de sigilo. Porm, haver maior dificuldade
com as informaes legadas. Em muitos casos, os sistemas legados nunca sero atualizados
(sofrero manuteno) para implantar o padro de classificao da informao. Esse fato no
acontecer por dificuldades nos padres de sigilo, mas por limitaes da organizao em dar
manuteno em sistemas antigos, que em algumas situaes no tm mais profissionais com
competncia para fazer a manuteno (o ltimo profissional aposentou-se) ou em situaes
piores: no existe mais o programa fonte para permitir essa manuteno.
O importante que a classificao de sigilo exista e a sua implantao acontea conforme o
ritmo possvel para a organizao.
84

Quando orientaes bsicas forem definidas neste documento, elas permitiro o desenvolvimento e a implantao de controles de segurana da informao e minimizaro os
questionamentos sobre como deve ser a classificao de sigilo da informao e quais so as
atividades obrigatrias para cada tipo de classificao.
Devem ser detalhados controles e regras que so comuns a todos os ambientes de tecnologia e ambiente fsicos. Caso existam ambientes especficos que exigiro classificao
especfica, podero ser elaborados documentos mais detalhados para cada ambiente, tipo
documento Padro Nvel 3, definido na Arquitetura de Poltica de Segurana da Informao,
Item 2.2 Arquitetura para a Poltica de Segurana da Informao, Aula 2. Porm, entendemos que a Dimenso Classificao da Informao deve ser a dimenso que menos subnveis de regulamentos ter.
Este regulamento sobre Classificao da Informao deve considerar os seguintes

elementos:
a. Legislao ou regras corporativas
Deve-se verificar se a organizao est submetida a alguma legislao ou regra corporativa e nesse caso obrigada a adotar um determinado padro de sigilo.

Deve-se considerar a quantidade de tipos de padres de classificao de sigilo da


informao. Quanto mais padres, mais detalhada fica essa classificao, porm mais
complexa para o usurio internalizar. Quanto menos, mais fcil de o usurio internalizar,
porm com menos detalhes. Essa quantidade de padres uma deciso da organizao,
que deve considerar se esta est submetida a alguma legislao.
c. Comear em um projeto-piloto
Caso a organizao no possua a Dimenso de Classificao da Informao, sugiro que
aps todas as definies esses critrios sejam implantados em um projeto-piloto. Isso se
recomenda em funo de que a Dimenso de Classificao da Informao impacta vrias
outras dimenses. Um erro inicial ou a definio de um padro no muito feliz pode ser
mais facilmente corrigido em um projeto-piloto antes de esta regra ser obrigatria em
toda a organizao.
d. Ambiente da organizao: limitaes e caractersticas
Avalie o ambiente da organizao em relao aos sistemas legados, ambiente fsico e
possibilidade de implantao desse conceito nos novos sistemas aplicativos. Essa anlise
importante para ser feito um planejamento do uso efetivo da classificao.

Exemplo prtico de Poltica-Norma da Dimenso Classificao da Informao


Classificao da informao Padro de Sigilo
1. Objetivo
Definir o conceito e estabelecer os critrios relativos classificao da informao.
2. Escopo
Todos os usurios da informao da organizao.

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

b. Tipos ou quantidade de padres de sigilo da informao

85

3. Introduo

Os Nveis de Classificao (NC) apresentados permitem que a informao possa ser


identificada como:
11 Pblica;
11 Interna;
11 Confidencial;
11 Restrita.
Todos os relatrios de sistemas, relatrios elaborados no ambiente de automao de
escritrio e todas as telas de sistemas devero indicar o nvel de classificao da informao referente tela ou ao relatrio.
Toda e qualquer outra forma de exposio da informao da organizao deve ser classificada e ter explcito o seu nvel de confidencialidade.
Essa indicao do nvel de classificao deve ser colocada no rodap ou no cabealho de
cada pgina do relatrio ou na tela. No caso de correio eletrnico, deve-se colocar em
negrito na primeira linha do texto.
Para essa classificao, no foi considerado o seu tempo de validade. Sendo assim, a
informao continuar sempre no nvel indicado, at que o Gestor indique um novo nvel
de confidencialidade.
4. Definies
Classificao da informao
a definio do nvel de confidencialidade da informao, considerando: que procedimentos de proteo da informao devem ser seguidos.
Indicao de parmetro opcional ou obrigatrio
Os parmetros descritos na sintaxe do nvel de classificao da informao podem ser
opcionais ou obrigatrios.
11 (parmetro): opcional;
11 (parmetro): obrigatrio.
Usurios da organizao
Indica associados, prestadores de servio e estagirios que desenvolvem servios internamente na organizao e necessitam de informaes da organizao para a realizao
de suas atividades profissionais.
5. Classificao informao pblica

Polticas de Segurana da Informao

5.1.Descrio

86

A informao classificada como Pblica pode ser acessada por:


22 Usurios organizao;
22 Organizaes clientes e prestadoras de servio;
22 Pblico em geral.
Essa classificao se aplica, normalmente, s informaes corporativas da organizao que
podem ser divulgadas para o pblico e para os clientes.

As informaes sem classificao sero consideradas como Pblica.

5.2.Sintaxe
A sintaxe dessa classificao : Informao Pblica.
5.3.Exemplo
Informao Pblica:
11 Internamente: qualquer usurio da organizao;
11 Externamente: qualquer pessoa.
5.4.Cpia
Pode ser copiada para fins comerciais e de conhecimento interno na organizao.
5.5.Guarda Fsica
Sem restries.
5.6.Malote interno
No necessita fechar em envelope ou embrulho.
5.7.Correio convencional
22 Pode ser enviado como impresso;
22 Usar correspondncia simples.
5.8.Correio Eletrnico
Sem restries.
5.9.Destruio
Normal. Sem procedimento especial.
5.10.Fax
Sem restries.
6. Classificao informao interna
6.1.Descrio
A informao classificada como Interna organizao indica que ela somente deve
ser acessada por usurios da organizao ou de reas organizacionais explicitadas.
Ela se aplica normalmente a informaes da organizao que no possuem segredo
de negcio ou que no comprometem a imagem da organizao.
6.2.Sintaxe
A sintaxe dessa classificao : Informao Interna organizao (rea).
6.3.Exemplos
Informao Interna Organizao.
22 Internamente: qualquer usurio organizao;
22 Externamente: no autorizado.
Informao Interna organizao (Dir. Operaes/Recebimento)
22 Internamente: qualquer usurio da rea de Recebimento da Diretoria de Operaes;

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

22 No necessita fechar em envelope ou embrulho;

22 Externamente: no autorizado.
87

6.4.Cpia

Pode ser copiada para fins de conhecimento interno na organizao.


6.5.Guarda Fsica
Dentro do ambiente de escritrio da organizao. No necessita ser mantida trancada quando no estiver sendo usada.
6.6.Malote interno
Fechar em envelope ou embrulho. No precisa indicar o nvel de classificao.
6.7.Correio convencional
22 Fechar em envelope ou embrulho sem identificao do nvel de classificao da Informao;
22 Utilizar correspondncia simples.
6.8.Correio Eletrnico
Enviar sem proteo.
6.9.Destruio
Normal. Sem procedimento especial.
6.10.Fax
Sem restries.
7. Classificao informao confidencial

7.1.Descrio
A informao classificada como Confidencial indica que esta possui forte restrio
de uso, tem nvel de confidencialidade maior que Interna e somente pode ser acessada por usurios:
22 Da organizao;
22 Ou da organizao e por pessoal do parceiro (cliente, prestador de servio e outro).
A divulgao no autorizada dessa informao pode causar impacto (financeiro, de
imagem ou operacional) ao negcio da organizao e/ou ao negcio do parceiro.
Caso se deseje que apenas determinadas reas organizacionais da organizao tenham
direito a acessar essa informao, haver indicao. Caso nenhuma rea seja indicada,
todas as reas da organizao podero ter acesso a essa informao.
Em relao ao parceiro, obrigatrio a indicao da organizao ou da organizao e sua
Polticas de Segurana da Informao

rea especfica.

88

7.2.Sintaxe
A sintaxe dessa classificao : Informao Confidencial organizao (rea)/parceiro
(organizao).
7.3.Exemplos
Informao Confidencial organizao:
22 Internamente: todos os usurios;
22 Externamente: no autorizado.

Informao Confidencial organizao (Diretoria Operaes):

22 Internamente: todos os usurios da rea organizacional Diretoria de Operaes;


22 Externamente: no autorizado.
Informao Confidencial organizao/parceiro (Rede ABC):
22 Internamente: qualquer usurio organizao;
22 Externamente: por pessoal da empresa Rede ABC.
Informao Confidencial organizao (Financeiro/Gerentes, Marketing)/Parceiro (Rede
Bola/Marketing):
22 Internamente: usurios Gerentes da rea Financeira + pessoal da rea de Marketing;
22 Externamente: pessoal da rea de Marketing da empresa Rede Bola.
Informao Confidencial organizao/parceiro (clientes da regio Nordeste):
22 Internamente: qualquer usurio organizao;
22 Externamente: organizaes clientes da regio Nordeste.
7.4.Cpia

7.5.Guarda Fsica
Deve ser mantida trancada quando no estiver sendo usada.
7.6.Malote interno
Fechar em envelope ou embrulho com a marca da classificao Informao Confidencial
organizao/parceiro e seu detalhamento.
7.7.Correio convencional
22 Fechar em envelope ou embrulho com a marca da classificao Informao Confidencial organizao ou parceiro, e seu detalhamento;
33 Colocar o envelope ou embrulho no interior de um outro envelope sem classificao;
22 O Gestor deve avaliar uso de correspondncia simples, tipo Sedex ou outro.
7.8.Correio Eletrnico
22 Origem ou destinatrio um endereo, no a organizao:
33 Enviar como arquivo em anexo cifrado com senha;
33 Enviar senha por outro meio de comunicao;
33 Utilizar certificao digital assim que estiver disponvel.
22 Origem e destinatrio so endereos organizao (organizao.com.br):
33 Normal, sem restries.
7.9.Destruio
Internamente: destruir sob superviso da organizao, de modo a assegurar a eliminao
completa da informao.
No parceiro: a organizao deve orientar o parceiro a destruir essa informao de forma
supervisionada, de modo a assegurar a eliminao completa da informao.

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

Pode ser copiada para fins comerciais e de conhecimento interno na organizao.

89

7.10.Fax
Somente com a autorizao do Gestor dessa informao. No caso de relatrios elaborados
no ambiente de automao de escritrio, somente com a autorizao do autor do relatrio.
8. Classificao informao restrita organizao (pessoas)

8.1.Descrio
A informao classificada como Restrita organizao indica que esta somente pode
ser acessada por usurio da informao da organizao explicitamente indicado pelo
nome ou por rea organizacional a que pertence.
A divulgao no autorizada dessa informao pode causar srios danos ao negcio
e/ou comprometer a estratgia de negcio da organizao.
obrigatria a indicao do grupo ou das pessoas que podem acessar essa informao.
8.2.Sintaxe
A sintaxe dessa classificao :
Informao Restrita organizao (pessoas)
8.3.Exemplos
Informao Restrita organizao (Antnio Potiguar, Jos da Silva, Maria Iracema)
22 Internamente: apenas os usurios Antnio Potiguar, Jos da Silva e Maria Iracema;
22 Externamente: no autorizado.
Informao Restrita organizao (Presidente, Diretoria).
Internamente: apenas o presidente e diretores da organizao).
8.4.Cpia
No pode ser copiada. Deve ser sempre enviada pelo Gestor.
8.5.Guarda Fsica
Deve ser mantida trancada quando no estiver sendo usada.
8.6.Malote interno
Fechar em envelope ou embrulho com a marca da classificao Informao Restrita organizao e seu detalhamento.

Polticas de Segurana da Informao

8.7.Correio convencional

90

22 Fechar em envelope ou embrulho com a marca da classificao Informao Restrita


organizao e seu detalhamento;
22 Colocar o envelope ou embrulho no interior de um outro envelope sem classificao;
22 Utilizar servio de correspondncia Sedex ou equivalente.
8.8.Correio Eletrnico
22 Origem ou destinatrio um endereo no organizao:
33 Enviar como arquivo em anexo cifrado com senha;
33 Enviar senha por outro meio de comunicao;
33 Utilizar certificao digital assim que estiver disponvel.

22 Origem e destinatrio so endereos organizao (organizao.com.br):


33 Normal, sem restries.
22 Deve-se criar uma lista de distribuio contendo os nomes dos destinatrios, para evitar o
envio indevido de email, por erro, para usurio no autorizado a receber essa informao.
8.9.Destruio
Destruir sob superviso da organizao, de modo a assegurar a eliminao completa da
informao.
8.10.Fax
No enviar informao classificada nesse nvel atravs de fax.
9. Concluso
As situaes especficas devem ser registradas junto Gerncia de Segurana da Informao.
A alterao dos relatrios e telas dos sistemas devero acontecer ao longo dos prximos meses.
Os novos relatrios e as novas telas devero ser implantados contendo explcito esse Nvel

Quando de situaes de manuteno, deve-se aproveitar a alterao a ser feita para a


incluso dessa classificao.
Situaes no previstas e dvidas devem ser encaminhadas Gerncia de Segurana
da Informao.

Exerccios de fixao e
Classificao da Informao, Desenvolvimento-Aquisio Aplicativos, Plano
de Continuidade, Cpias de Segurana e Gesto de Riscos
Sua organizao possui Polticas-Normas de Classificao da Informao, Desenvolvimento/
Aquisio de Sistemas Aplicativos, Plano de Continuidade, Cpias de Segurana e Gesto
de Riscos?
Se sim, explique o grau de efetividade desses regulamentos.
Se no, o que a falta desses regulamentos impacta no Processo Organizacional de
Segurana da Informao?
Sua organizao est submetida a alguma lei ou regra corporativa sobre algum desses
assuntos?

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

de Confidencialidade da informao atribudo pelo Gestor.

91

Considere os regulamentos Polticas-Normas de Classificao da Informao, Desenvolvimento/Aquisio de Sistemas Aplicativos, Plano de Continuidade, Cpias de Segurana e
Gesto de Riscos.
Qual a prioridade de implantao voc recomendaria para uma organizao? Justifique.

Exerccio de fixao Classificao da Informao


Quais itens ou trechos do documento exemplo de Poltica-Norma Classificao da Informao voc entende que precisam melhorar? Indique cinco. Justifique

Quais itens ou trechos do documento exemplo Poltica-Norma Classificao da Informao

Polticas de Segurana da Informao

voc entende que esto muito bons e voc destacaria? Indique cinco. Justifique.

Documento poltica-norma da dimenso desenvolvimento/aquisio de


sistemas aplicativos
O Documento Poltica-Norma para a Dimenso de Desenvolvimento e/ou Aquisio de
Sistemas Aplicativo define os controles relacionados segurana da informao que
devem ser considerados quando a organizao desenvolve, ou encomenda o desenvolvimento, ou adquire sistemas aplicativos.
Quando as orientaes bsicas forem definidas nesse documento, elas permitiro o
desenvolvimento e a implantao de controles de segurana da informao e minimizaro os questionamentos sobre o que pode, o que no pode e o que obrigatrio,
considerando a segurana da informao em relao ao desenvolvimento ou aquisio de
sistemas aplicativos.

92

Devem ser detalhados controles e regras que so comuns a todos os ambientes de tecnologia. Caso existam detalhes referentes ao desenvolvimento de sistemas aplicativos em
ambientes diferentes e que necessitem de controles especficos, devero ser elaborados
documentos mais detalhados para cada ambiente, tipo documento Padro Nvel 3, definido
na Arquitetura de Poltica de Segurana da Informao, Item 2.2 Arquitetura para a Poltica
de Segurana da Informao, Aula 2.
Esse regulamento sobre os controles de segurana da informao para o desenvolvimento ou
uso de sistemas aplicativos deve considerar e definir as regras para os seguintes elementos:
a. Continuidade do servio do desenvolvedor
Deve-se ter a garantia de que o desenvolvimento e manuteno de sistemas (interno ou
externo) ter continuidade ao longo do tempo de vida da organizao.
b. Requisitos de segurana da informao
Nessa fase de desenvolvimento ou aquisio deve-se definir os critrios que sero utilizados
pelos diversos controles de segurana da informao. Essas definies, ocorrendo neste
momento de desenvolvimento ou de aquisio, minimizaro ou evitaro problemas futuros.
Por exemplo, deve-se definir o tempo de indisponibilidade do sistema em desenvolvimentoposteriormente uma avaliao de impacto no negcio em caso de parada dos sistemas para
identificar o tempo mximo de indisponibilidade que a organizao suporta.
Pode ser que a exigncia identificada necessite de alteraes inclusive, em arquitetura

tcnica da tecnologia da informao.


Deve-se definir:
11 Como ser a identificao do usurio?
11 Quem ser o Gestor da Informao?
11 Qual ser o tempo mximo de indisponibilidade do sistema?
11 Quem ou que rea ser o custodiante da informao?
11 Quais so os requisitos para as cpias de segurana?
11 Quais so as exigncias para o registro de acesso informao?

Exemplo prtico de Poltica-Norma da Dimenso Desenvolvimento/Aquisio de


Sistemas Aplicativos
Desenvolvimento e manuteno de sistemas
1. Objetivo deste regulamento
Definir os requisitos e as regras de segurana que devem ser considerados quando do
desenvolvimento e manuteno de sistemas desenvolvidos pelo ou para a organizao.
2. Abrangncia deste regulamento
Este regulamento se aplica a todos os sistemas desenvolvidos pela organizao ou os
sistemas desenvolvidos para a organizao por prestadores de servio terceiros.
Este regulamento est alinhado com o regulamento Poltica de Segurana e Proteo
da Informao.

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

-aquisio neste momento. Caso no seja feita essa tarefa, a organizao ter de fazer

93

3. Implementao deste regulamento


O Departamento de Segurana da Informao, a Unidade de Segurana da Informao e
as chefias das reas da organizao desenvolvero aes contnuas e necessrias para a
implementao deste regulamento, ficando o Departamento de Segurana da Informao
responsvel pela coordenao dessas aes.
4. Definies
As definies de termos relativos Segurana da Informao esto descritas no regulamento Definies Utilizadas em Segurana da Informao.
5. Poltica e regras
Quando do desenvolvimento ou manuteno de sistemas de informao, os aspectos de
segurana a seguir descritos devem ser formalmente definidos pelo desenvolvedor e acordados com o Gestor da Informao. A Unidade de Segurana da Informao validar esse
processo de controle.
5.1.Continuidade do servio
Exigncia de tempo para a recuperao do sistema de informao, caso ocorra uma
situao de indisponibilidade dos recursos de informao. Essa definio deve considerar
uma avaliao de impacto financeiro, operacional e de imagem nos servios prestados
pela organizao.
5.2.Criptografia da informao
Definio das informaes que sero criptografadas, quando forem transmitidas ou
armazenadas.
5.3.Acesso informao
5.3.1.Identificao
Definio de como ser a identificao do usurio, quando do acesso ao sistema
de informao
5.3.2.Autenticao
Definio de como ser a autenticao do usurio quando for acessar o sistema
de informao.
5.3.3.Transao do Gestor da Informao
Definio de qual ser e como ser a transao a ser executada pelo Gestor da Infor Polticas de Segurana da Informao

mao, quando houver procedimento de liberao da informao para o usurio.

94

5.3.4.Grupos de usurio
Definio se ser possvel a liberao de acesso informao atravs de perfil de
acesso em grupo
5.3.5.Registro das aes realizadas com a informao
Definio do tempo de guarda dos registros realizados, quando do acesso e da utilizao da informao.

5.4.Cpias de segurana
Definio do tempo de guarda das cpias de segurana da informao. Devem ser considerados os seguintes aspectos:
5.4.1.Aspecto Legal
Identificao dos requisitos exigidos pelos normativos legais.
5.4.2.Aspecto Histrico
Identificao da necessidade da organizao em guardar a informao por motivos
histricos.
5.4.3.Aspecto de Auditoria
Identificao da necessidade de guarda de cpia de segurana em funo de requisitos de auditoria.
6. Concluso
O no cumprimento deste regulamento e/ou dos demais instrumentos normativos que
complementaro o processo de segurana constitui em falta grave e o usurio est sujeito

Situaes de exceo e no previstas devero ser definidas pelo Departamento de Segurana da Informao e pela Unidade de Segurana da Informao, considerando as reas da
organizao envolvidas.

Exerccio de fixao e
Desenvolvimento-Aquisio de Sistemas Aplicativos
Quais itens ou trechos do documento exemplo de Poltica-Norma Desenvolvimento/Aquisio de Sistemas Aplicativos voc entende que precisam melhorar? Indique cinco. Justifique.

Quais itens ou trechos do documento exemplo Poltica-Norma Desenvolvimento/Aquisio


de Sistemas Aplicativos que voc entende que esto muito bons e voc destacaria? Indique
cinco. Justifique.

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

penalidades administrativas e/ou contratuais.

95

Documento Poltica-Norma da Dimenso Plano de Continuidade


O Documento Poltica-Norma da Dimenso de Plano de Continuidade define os princ-

pios bsicos de segurana da informao para a existncia do Plano de Continuidade


de Negcios da organizao para quando da indisponibilidade de informao ou de
recurso de informao.
Quando orientaes bsicas forem definidas neste documento, elas permitiro o desenvolvimento e a implantao de controles de segurana da informao e minimizaro os
questionamentos sobre o que deve ser realizado em relao continuidade de negcios
quando da indisponibilidade da informao ou de recursos de informao que impeam
a organizao de atingir os seus objetivos corporativos.
Devem ser detalhados controles e regras que so comuns a todos os ambientes de tecnologia. Caso existam caractersticas para os planos de continuidade em ambientes diferente
e que necessitem de controles especficos, devero ser elaborados documentos mais
detalhados para cada ambiente, tipo documento Padro Nvel 3, definido na Arquitetura de
Poltica de Segurana da Informao, Item 2.2 Arquitetura para a Poltica de Segurana da
Informao, Aula 2.
Este regulamento sobre Plano de Continuidade de Negcio deve considerar e definir as

regras para os seguintes elementos:


a. Escopo
Deve-se indicar quais os ambientes o plano contempla.
b. Responsabilidades
Deve-se indicar quem ou que rea responsvel
11 Pela elaborao e manuteno do plano;
11 Pela definio do tempo de indisponibilidade mxima dos recursos de informao.
c. Teste do Plano
Deve-se indicar a periodicidade para a realizao dos testes, bem como quem ou que
rea tem a responsabilidade de conduzir e avaliar o teste.
Deve-se indicar os principais procedimentos e controles para a realizao do teste.
d. Manuteno do Plano
Deve-se indicar como ser feita a manuteno do plano e a sua periodicidade.

Exemplo prtico de Poltica-Norma da Dimenso Plano de Continuidade


Polticas de Segurana da Informao

Continuidade operacional

96

1. Objetivo deste regulamento


Definir os requisitos e as regras de segurana para a continuidade operacional dos
recursos de informao utilizados pela organizao.
2. Abrangncia deste regulamento
Este regulamento se aplica a todos os ambientes de tecnologia da organizao e a todas
as pessoas que utilizam essas informaes.
Este regulamento est alinhado com o regulamento Poltica de Segurana e Proteo
da Informao.

3. Implementao deste regulamento


O Departamento de Segurana da Informao, a Unidade de Segurana da Informao e
as chefias das reas da organizao desenvolvero aes contnuas e necessrias para a
implementao deste regulamento, ficando o Departamento de Segurana da Informao
responsvel pela coordenao dessas aes.
4. Definies

As definies de termos relativos Segurana da Informao esto descritas no regulamento Definies Utilizadas em Segurana da Informao.
5. Poltica e regras
5.1.Os recursos de informao utilizados pela organizao devem ter definido o seu
nvel de disponibilidade. Esse nvel de disponibilidade ser o direcionador para a
soluo de continuidade operacional referente aos servios prestados existentes
no ambiente de tecnologia da informao.
5.2.O Gestor da Informao o responsvel pelo nvel de disponibilidade de cada
informao ou servio sob a sua custdia. Esse nvel de disponibilidade deve
ser validado pela rea de Tecnologia da Informao, analisando os requisitos

5.3.O Gestor da Informao responsvel pelo custo de implantao da soluo


desenvolvida pela rea de Tecnologia da Informao para atender o nvel de
disponibilidade definido.
5.4.O desenvolvimento de planos de continuidade operacional para garantir o nvel de
disponibilidade da informao/servio ser coordenado pelo Departamento de
Segurana da Informao, desenvolvido pela Unidade de Segurana da Informao
ou por consultoria especializada e validado pelo Gestor da Informao.
5.5.Pelo menos uma vez por ano o plano de continuidade deve ser testado de forma
estruturada, documentado e com possibilidade de ser auditado.
5.6.Os testes do plano de continuidade devem ocorrer com a participao das pessoas
que provavelmente sero envolvidas, caso uma situao real acontecer.
5.7.Os recursos de informao alternativos e os processos utilizados em situao de
contingncia devem ter o mesmo nvel de segurana, proteo e sigilo dos elementos utilizados em situao normal.
6. Concluso
O no cumprimento deste regulamento e/ou dos demais instrumentos normativos que
complementaro o processo de segurana constitui falta grave e o usurio est sujeito
penalidades administrativas e/ou contratuais.
Situaes de exceo e no previstas devero ser definidas pelo Departamento de Segurana da
Informao e pela Unidade de Segurana da Informao, considerando as reas da organizao.

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

tcnicos necessrios e possveis para a implementao dessa soluo.

97

Exerccio de fixao e
Plano de continuidade
Quais itens ou trechos do documento exemplo de Poltica-Norma Plano de Continuidade
voc entende que precisam melhorar? Indique cinco. Justifique.

Quais itens ou trechos do documento exemplo Poltica-Norma Plano de Continuidade voc


entende que esto muito bons e voc destacaria? Indique cinco.

Documento Poltica-Norma da Dimenso Cpias de Segurana


O Documento Poltica-Norma da Dimenso de Cpias de Segurana da Informao

detalha os princpios bsicos de segurana da informao definidos na Poltica Principal


Polticas de Segurana da Informao

em relao s cpias de segurana da informao.


Quando orientaes bsicas forem definidas neste documento, elas permitiro a existncia de cpias de segurana da informao e minimizaro os questionamentos sobre o
que pode, o que no pode e o que obrigatrio para a existncia dessas cpias.
O objetivo bsico da existncia de cpias de segurana permitir organizao a sua continuidade no acesso informao quando por algum motivo a informao principal for destruda.
Devem ser detalhados controles e regras que so comuns a todos os ambientes de tecnologia.
Caso existam situaes de cpias de segurana em ambientes diferentes e que necessitem
de controles especficos, devero ser elaborados documentos mais detalhados para cada
ambiente, tipo documento Padro Nvel 3, definido na Arquitetura de Poltica de Segurana da
Informao, Item 2.2 Arquitetura para a Poltica de Segurana da Informao, Aula 2.
98

Este regulamento sobre Cpias de Segurana da Informao deve considerar e definir as


regras para os seguintes elementos:
a. Regras para tipos de cpias

Deve-se definir regras para a existncia de cpias motivadas por questes:


11 Perda da mdia que contm a informao original;
11 Legais (estar em conformidade com a legislao);
11 Histricas (a organizao pretende guardar a informao mesmo que no tenha a
obrigao legal para tal);
11 Auditoria (a organizao submetida auditorias que fazem exigncias especficas).
b. Definio de ciclo e periodicidade
Devem ser definidos os ciclos e as periodicidades que obrigatoriamente devem ser cumpridas.
c. Ambientes contemplados
Deve-se indicar quais ambientes esto contemplados pela norma.
d. Responsabilidades
Devem ser definidas as responsabilidades em relao a:

11 Validao se as cpias de segurana continuam vlidas ao longo do tempo;


11 Escolha e qualidade dos locais onde ficaro as cpias de segurana.

Exemplo prtico de Poltica-Norma da Dimenso Cpias de Segurana


Cpias de segurana da informao
1. Objetivo deste regulamento
Definir os requisitos e as regras de segurana para a existncia eficiente e eficaz das
cpias de segurana para a informao armazenada, processada ou transmitida no
ambiente de tecnologia utilizado organizao.
2. Abrangncia deste regulamento
Este regulamento se aplica a todos os usurios que utilizam as informaes do ambiente
de tecnologia da organizao.
Este regulamento est alinhado com o regulamento Poltica de Segurana e Proteo
da Informao.
3. Implementao deste regulamento
O Departamento de Segurana da Informao, a Unidade de Segurana da Informao e
as chefias das reas da organizao desenvolvero aes contnuas e necessrias para a
implementao deste regulamento, ficando o Departamento de Segurana da Informao responsvel pela coordenao dessas aes.
4. Definies
As definies de termos relativos Segurana da Informao esto descritas no regulamento Definies Utilizadas em Segurana da Informao.

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

11 Execuo das cpias de segurana;

99

5. Poltica e regras
5.1.Existncia da cpia de segurana
Para cada informao ou grupo de informao, deve existir, de maneira estruturada e
validada com o Gestor da Informao, regras e caractersticas das cpias de segurana a serem realizadas.
5.2.Cada cpia de segurana deve ter definida:
5.2.1.Periodicidade
Define de quanto em quanto tempo ser feita uma cpia. Por exemplo,
periodicidade semanal significa que a cada semana feita uma cpia.
5.2.2.Ciclo
o perodo em que a cpia fica vlida e existir. Exemplo, se temos uma
periodicidade mensal e um ciclo anual, significa que a cada ms temos uma
cpia que fica guardada por 12 meses. Em janeiro de 2012, a cpia de janeiro
de 2011 ser descartada, sendo substituda pela cpia de janeiro de 2012.
5.2.3.Cpias especficas
Algumas vezes o sistema (ou ambiente) no atendido pelas cpias normais que
esto planejadas. Nesse caso, necessrio uma cpia especfica.
Outra situao que pode gerar cpias especficas quando o ambiente est
passando por um momento diferente, no qual uma cpia normal no atender
ou atenderia usando muito tempo.
5.2.4.Tipo de execuo de Cpia
Dependendo das facilidades do ambiente de tecnologia utilizado, podem existir
cpias completas, cpias incrementais (totais ou somente para alteraes).
Cada um desses tipos de cpias tem suas caractersticas que devem ser
consideradas para a recuperao da informao.
5.3.Cpia principal Ambiente fsico
O ambiente fsico onde ficam localizadas as cpias principais deve ser protegido
adequadamente para que exista a garantia de que as informaes armazenadas nas
mdias continuam disponveis. Deve haver:
22 Controle de acesso fsico;

Polticas de Segurana da Informao

22 Acesso apenas de pessoal autorizado;

100

22 Condies ambientais adequadas.


5.4.Cpia de segurana Ambiente fsico
O ambiente fsico onde ficam localizadas as cpias de segurana deve ser protegido
adequadamente para que exista a garantia de que as informaes armazenadas nas
mdias continuam disponveis. Deve haver:
22 Controle de acesso fsico;
22 Acesso apenas de pessoal autorizado;
22 Condies ambientais adequadas.

5.5.Unidade de guarda

As mdias podem ir para o local externo em unidades que pode ser cada mdia
isolada, ou as mdias do dia, ou outra forma de se empacotar essas mdias.
Essa unidade importante para quando for descrito os procedimentos de recuperao, quando da ocorrncia de situaes de contingncia.
5.6.Capacidade da mdia: total e gravada
Esse item permite identificar situaes possveis de economia de mdia, em situaes
onde se poderia gravar mais de um dia, por exemplo, numa mesma mdia, em vez de
uma mdia para cada dia.
5.7.Caractersticas da mdia
22 Capacidade de regravaes;
22 Exigncia de condies ambientais;
22 Outras caractersticas da mdia.
5.8.Recuperao do ambiente/sistema
Tempo desejado. Deve-se descrever aqui o tempo que se deseja que o ambiente deva se

Tempo j avaliado: deve-se indicar o tempo de recuperao para o ambiente/sistema, j


realizado em situaes de testes ou situaes reais.
5.9.Necessidades de cpias
5.9.1.Informaes para a recuperao do ambiente computacional
So informaes utilizadas para recuperar o ambiente computacional em funo de
alguma falha. Neste caso, quanto mais recente for a informao da cpia de segurana, melhor para a recuperao do ambiente. Para este tipo de necessidade, uma
nica cpia atende s necessidades de segurana.
5.9.2.Informaes legais
So os dados que devem ser guardados em funo de alguma legislao externa ou interna
companhia.
5.9.3.Informaes histricas
So os dados que, mesmo no tendo obrigatoriedade de existir, a empresa deseja guardar
para ter acesso a situaes anteriores.
5.9.4.Informaes para auditoria
So os dados da trilha de auditoria e do log, necessrios para a execuo de investigaes e/
ou auditorias.
5.10.Exigncias contratuais
5.10.1.Recuperao de informaes
So as exigncias de contratos para que a organizao recupere determinadas
informaes (histricas ou legais).

Captulo 5 - Poltica-Norma Dimenso Classificao da Informao, Poltica-Norma Dimenso, Desenvolvimento/Aquisi

recuperar.

101

5.10.2.Continuidade do negcio

So as exigncias contratuais que formalizam multas, caso o servio prestado


pela organizao esteja indisponvel durante perodo superior ao determinado
contratualmente. Considerar que o ambiente/sistema em questo fundamental
para a continuidade do negcio.
5.11.Existncia de espelhamento
22 No site principal;
22 No site alternativo.
A existncia de espelhamento de dados no local externo a melhor soluo para a questo
de cpias de segurana. Esse caso no implica na necessidade de no se ter cpias de segurana. Significa que os requisitos para essas cpias podem ser mais amenos.
5.12.Dados a serem copiados
22 Todos;
22 Parcial.
Deve-se definir quais so os dados que existiro nas cpias de segurana. Na maioria
dos casos sero as mesmas informaes do arquivo do ambiente principal.
Podem existir situaes especficas que no exija a gravao de todos os dados do
ambiente em produo. Um subconjunto dessas informaes pode ser suficiente para
atender requisitos para recuperao do ambiente computacional, de informaes legais,
de informaes histricas e de informaes para auditoria.
5.13.Testes
Neste item devem ser identificados os procedimentos para a realizao de testes com
o objetivo de se ter maior garantia de que os dados gravados na mdia continuam em
condies de uso pela organizao.
6. Concluso
O no cumprimento deste regulamento e/ou dos demais instrumentos normativos que
complementaro o processo de segurana constitui falta grave e o usurio est sujeito s
penalidades administrativas e/ou contratuais.
Situaes de exceo e no previstas devero ser definidas pelo Departamento de Segurana da Informao e pela Unidade de Segurana da Informao, considerando as reas da

Polticas de Segurana da Informao

organizao envolvidas.

102

Conhecer a Dimenso de Treinamento e Conscientizao do Usurio e sua relao


com a Dimenso Poltica de Segurana da Informao; Aprender sobre os componentes
que devem ser considerados em um Poltica-Norma Dimenso Conscientizao e
Treinamento do Usurio; Concluir o tema Polticas-Normas de Segurana da Informao.

conceitos

Dimenso de Conscientizao e Treinamento do Usurio; Poltica-Norma Dimenso


Conscientizao e Treinamento do Usurio.

Dimenso conscientizao e treinamento do usurio: introduo


A Dimenso de Conscientizao e Treinamento do Usurio tem por objetivo realizar

aes para que todos os usurios recebam o treinamento adequado para a sua conscientizao e para a sua capacitao em relao s suas responsabilidades em relao
segurana da informao.
A implantao da poltica de segurana da informao deve ser suportada pela realizao de treinamentos para a conscientizao dos usurios. Nesses treinamentos
os usurios tero conhecimento dos regulamentos que esto em implantao (ou j
implantados) em segurana da informao; entendero esses regulamentos e sero
apresentados s suas responsabilidades perante o Processo Organizacional de Segurana da Informao.
O Tribunal de Contas da Unio, no Acrdo 1092/2007 Plenrio, recomenda:
9.1.2. elabore, aprove e divulgue Poltica de Segurana da Informao PSI conforme o
estabelecido na NBR ISO/IEC 17799:2005, item 5.1.1;
9.1.4. crie mecanismos para que as polticas e normas de segurana da informao se tornem
conhecidas, acessveis e observadas por todos os funcionrios e colaboradores da Empresa

Captulo 6 - Dimenso Conscientizao e Treinamento do Usurio, Poltica-Norma Dimenso Conscientizao e Treinamento do Usurio

objetivos

Dimenso Conscientizao e
Treinamento do Usurio, PolticaNorma Dimenso Conscientizao
e Treinamento do Usurio

conforme o estabelecido na NBR ISO/IEC 17799:2005, item 5.1.1; (Brasil, TCU, 2012, pgina 45.)
103

O DSIC recomenda na Instruo Normativa n 02 (Metodologia de Gesto de Segurana

da Informao e Comunicaes) de 13 de Outubro de 2008, a implementao de programas de conscientizao e treinamento.


As polticas e normas precisam existir, mas para elas se tornarem vivas e efetivas,
precisam ser de conhecimento dos usurios e ser internalizadas por eles. Esse processo
de conscientizao e treinamento precisa acontecer em paralelo com a implantao dos
regulamentos de segurana da informao ou um pouco depois.
Essa dimenso de treinamento e conscientizao precisa ser contnua. Todos os usurios
(funcionrios, prestadores de servio, estagirios, menor aprendiz, conselheiros e outros)
precisam receber conscientizao constante e serem formalmente treinados periodicamente.
Essa formalizao se faz necessria para garantir que realmente o usurio fez o treinamento
e para se ter evidncias da ocorrncia do treinamento, caso a organizao precise atender a
auditorias internas, externas ou de clientes.

Planejamento para o treinamento


O Gestor da Segurana da Informao o responsvel pelo andamento do Processo

Organizacional de Segurana da Informao. Ele quem movimenta todos os recursos


da organizao para que a segurana da informao acontea.
Em relao ao treinamento de pessoas, essa ao deve ser feita em conjunto com a rea
de Recursos Humanos. Na realidade, o Gestor da Segurana da Informao deve fazer
com que a segurana da informao seja mais um treinamento promovido pela organizao. A rea responsvel por treinamentos, a rea que conhece as melhores tcnicas de
treinamento, que conhece o funcionrio, a rea de Recursos Humanos.
O escopo deste curso so os aspectos da segurana da informao, mas importante
que esteja alinhado que qualquer treinamento deve ser feito em conjunto com a rea de
Recursos Humanos. Inclusive a rea de Recursos Humanos pode assumir a operacionalizao do processo de treinamento e conscientizao.
Consideramos as seguintes etapas para um efetivo treinamento e conscientizao em
segurana da informao:
a. Identifique as polticas e normas de segurana da informao
Identifique as polticas-normas de segurana da informao existentes e as que no

Polticas de Segurana da Informao

existem. Utilize a Arquitetura de Segurana da Informao para melhor visualizao.

104

Cpias de segurana

Ambiente 1

Ambiente 1

Ambiente 2

Recurso 2

Ambiente 2

Ambiente 2

Ambiente 2

Ambiente n

Recurso n

Ambiente n

Ambiente n

Ambiente n

Figura 6.1
Estrutura da
Arquitetura
da Poltica de
Segurana da
Informao.

Nvel 2

Nvel 3

Verifique o impacto para o treinamento, o fato da no existncia de alguns regulamentos.


Identifique se j existem datas previstas para a existncia desses regulamentos faltosos.
Fale isso no treinamento. Explique, considerando cada tipo de usurio, o planejamento em
segurana da informao.
b. Identifique grupos de usurios

Identifique tipos de grupos de usurios que tm responsabilidades e uso da


informao diferentes.
Analise a necessidade de cada um desses grupos e verifique se ser preciso apresentar
sesses de treinamento diferentes para cada um desses grupos. Essa diviso por tipo de
grupo deve estar ligada ao tipo de responsabilidade. Muitas vezes essa classificao vai coincidir com a hierarquia organizacional. Mas no tome a hierarquia organizacional como base,
tome como base as responsabilidades.
c. Defina os tipos de treinamentos que sero realizados

Baseado nos grupos existentes, defina quantos tipos de treinamentos existiro. Pense
em blocos e identifique, em cruzamento, o que cada um desses grupo de usurios precisam fazer como treinamento.
Por exemplo: podemos ter um bloco de treinamento bsico de segurana. E podemos ter um
bloco isolado para os gestores e executivos que vo receber novas responsabilidades. conveniente a separao de treinamento para um grupo que ter apenas o treinamento bsico
daquele que ter o treinamento bsico mais o treinamento de novas responsabilidades.
Analise e escolha como o treinamento acontecer. Mais do que nunca, essa forma de treinamento deve estar totalmente alinhada cultura da organizao e com a maneira histrica que a organizao promove treinamentos. Palestras presenciais, palestras gravadas,
palestras transmitidas ao vivo, treinamento via computador e teatro corporativo ao vivo so
alguns exemplos de se transmitir a mensagem da segurana da informao.

Captulo 6 - Dimenso Conscientizao e Treinamento do Usurio, Poltica-Norma Dimenso Conscientizao e Treinamento do Usurio

Acesso Fsico

Ambiente 1

Conscientizao
Treinamento em segurana

Desenvolvimento
Aquisio de Sistemas

Recurso 1

Nvel 1

Continuidade do negcio
(Rec. Inform.)

Recursos de tecnologia

Ambiente 1

Classicao da informao

Acesso informao

Poltica de segurana e proteo da informao

105

Em uma situao real que o autor deste livro viveu, no primeiro ano tivemos palestras presenciais, no segundo ano treinamento via computador e no terceiro ano o teatro corporativo. Cada organizao tem a sua maneira mais adequada de realizar o treinamento.
d. Considere todos os locais fsicos

Ao fazer seu planejamento para estimar o custo do treinamento, considere todos os


locais fsicos da organizao. No deve ser apenas os usurios do local do escritrio
principal que devem ter o melhor treinamento.
Todos os usurios devem ter o mesmo treinamento. E isso custa recursos. O processo de
segurana custa recursos financeiros, de tempo, de exemplo gerencial e outros recursos
indiretos. Da mesma maneira que planejado um software seguro ou os planos de continuidade de negcio, necessrio planejar e executar treinamento para os usurios.
Todo treinamento bem feito realizado para os usurios tem um bom retorno. Dizem que
as pessoas so o elo frgil da segurana, mas existem outras vises que afirmar que as
pessoas so o elo mais forte da segurana.

Prepare o material do treinamento


Todas as aes que acontecero no treinamento precisam estar rigorosamente planejadas.
recomendado gerar todo o material necessrio com boa antecedncia. Para organizaes
muito grandes, pode ser feito um treinamento-piloto.
Realize o treinamento

A realizao do treinamento deve ter a mesma qualidade em todas as sesses de treinamento. Todos devem receber as mesmas orientaes, considerando o seu tipo de usurio.
Mantenha o registro formal da participao de cada participante. Isso pode ser fundamental para os prximos treinamentos, para auditorias e para responder algum
questionamento judicial.
Durante a realizao de treinamento, costuma-se dar alguns brindes. A distribuio dos
brindes deve ser compatvel com o porte da organizao. Atravs da quantidade e do tipo de
brinde distribudo os usurios tambm vo avaliar o esforo e seriedade da organizao em
relao ao treinamento.
No subestime a capacidade do usurio. O usurio o recurso de informao que vai cristalizar o Processo Organizacional da Segurana da Informao.
Avalie o treinamento

Avalie o treinamento realizado, considerando a avaliao por todos os envolvidos. Evi-

Polticas de Segurana da Informao

dentemente os usurios sero a principal voz de avaliao, porm considere a avaliao


dos profissionais que realizaram palestras ou atividades similares.
Considere tambm receber avaliao do pessoal de infraestrutura e do pessoal de Recursos
Humanos que acompanhou o treinamento. Enfim, todos que estiveram envolvidos no treinamento devem ser avaliados e devem avaliar o treinamento como um todo.
Utilize a experincia realizada para aprimorar o prximo treinamento
Utilize as avaliaes e a sua percepo para melhorar o prximo treinamento formal.
Conscientizao no s o grande evento
A realizao de palestras ou outras formas de comunicao e de conscientizao em s
egurana da informao deve ser um grande evento, mas a conscientizao em segurana da informao acontece cada dia, cada semana, ou no mximo a cada ms.
106

Periodicamente devem ser enviadas mensagens para os usurios sobre temas de segurana
da informao, orientando-os e sempre que possvel fazendo uma ligao com as polticas e
normas de segurana de informao aprovadas e publicadas pela organizao.
A maneira de se fazer esses pequenos eventos de conscientizao pode ser das mais
diversas maneiras. A criatividade no tem limite. Mas tenha sempre em foco que o objetivo
no fazer a mais criativa, mas sim, a comunicao mais adequada para os usurios.

Documento Poltica-Norma da Dimenso Conscientizao e Treinamento


do Usurio
O Documento Poltica-Norma da Dimenso Conscientizao e Treinamento do Usurio

em Segurana da Informao define os princpios bsicos de como deve acontecer a


conscientizao e o treinamento do usurio.
Ele estabelece como a organizao deseja que o evento de treinamento do usurio de
tipos de grupos e outras regras gerais sobre o assunto.
Devem ser detalhados controles e regras que so comuns a todos os grupos de usurios.
Caso existam situaes especiais que exigiro um treinamento especfico, podero ser elaborados documentos mais detalhados para cada ambiente, tipo documento Padro Nvel 3,
definido na Arquitetura de Poltica de Segurana da Informao, Item 2.2 Arquitetura para
a Poltica de Segurana da Informao, Aula 2. Porm, a Poltica-Norma da Dimenso Conscientizao e Treinamento de Usurio em Segurana da Informao deve ser uma dimenso
que ter menos subnveis de regulamentos.
Esse regulamento sobre Conscientizao e Treinamento do usurio em Segurana da Informao considerar os seguintes elementos:
a. Legislao ou Regras Corporativas

Deve-se verificar se a organizao est submetida a alguma legislao ou regra corporativa


e neste caso obrigada a adotar uma determinada forma e periodicidade de treinamento.
b. Periodicidade do treinamento formal
Deve-se definir qual deve ser a periodicidade do treinamento para os usurios.
c. Responsabilidades pelo treinamento
Deve-se definir quais so as reas ou pessoas responsveis pelo treinamento. Essa definio deve estar coerente com as definies de responsabilidade da rea de Segurana
da Informao.
importante estar bem definida qual rea estar custeando o treinamento. Evidentemente
essa uma questo bem especfica da organizao, mas muitas organizaes no esclarecem essa questo e quando h a realizao do treinamento, este acontece muito aqum
do que a organizao precisa e merece.

Captulo 6 - Dimenso Conscientizao e Treinamento do Usurio, Poltica-Norma Dimenso Conscientizao e Treinamento do Usurio

segurana da informao acontea, quem so os responsveis, qual a periodicidade,

107

Exemplo prtico de Poltica-Norma da Dimenso Conscientizao e Treinamento


do Usurio
Conscientizao e Treinamento de Usurio em Segurana da Informao
1. Objetivo deste regulamento

Definir os requisitos e as regras para a existncia de um processo de conscientizao e


treinamento do usurio em segurana da informao.
2. Abrangncia deste regulamento
Este regulamento se aplica a todos os usurios que utilizam as informaes do ambiente
de tecnologia da organizao.
Este regulamento est alinhado com o regulamento Poltica de Segurana e Proteo
da Informao.
3. Implementao deste regulamento
O Gabinete de Segurana da Informao, a Unidade de Segurana da Informao e as
chefias das reas da organizao desenvolvero aes contnuas e necessrias para a
implementao deste regulamento, ficando o Departamento de Segurana da Informao
responsvel pela coordenao dessas aes.
4. Definies

As definies de termos relativos Segurana da Informao esto descritas no regulamento Definies Utilizadas em Segurana da Informao.
5. Poltica e regras
5.1.Todo usurio de sistemas de informao da organizao deve ser conscientizado
e treinado em segurana da informao com o objetivo de garantir que o aspecto
humano ser fator positivo no processo de proteo da informao.
5.2.Esta conscientizao e treinamento devero ocorrer pelo menos uma vez por ano,
de forma estruturada e registrada sua evidncia para efeito de auditoria.
5.3.Antes de o usurio iniciar suas funes profissionais no acesso ao ambiente computacional, ele deve receber o treinamento de segurana da informao.
5.4.O usurio deve conhecer as polticas e normas de segurana da informao e deve
assinar um termo de declarao de conhecimento desses regulamentos, bem
como se comprometer a cumprir e zelar pelo cumprimento desses regulamentos.
5.5.Cada chefia responsvel por garantir que seus subordinados e prestadores de

Polticas de Segurana da Informao

servios terceirizados recebam o treinamento e a conscientizao em segurana


da informao.
5.6.Para exercer a funo de Gestor da Informao, o usurio dever fazer um treinamento especfico sobre essa funo dentro do processo de segurana.
5.7.Os profissionais de segurana da informao devero buscar alcanar certificaes
profissionais internacionais aceitas pelo mercado, tipo CISM, CISA, CISSP ou CRISC.
5.8.As reas de recursos humanos das diversas unidades organizacionais da organizao devero participar, e eventualmente coordenar, as atividades de conscientizao e treinamento em segurana da informao.
5.9.A ao de conscientizao e treinamento em segurana da informao contnua e
deve existir enquanto a organizao existir.
108

6. Concluso
O no cumprimento deste regulamento e/ou dos demais instrumentos normativos que
complementaro o processo de segurana constitui falta grave e o usurio est sujeito
penalidades administrativas e/ou contratuais.
Situaes de exceo e no previstas devero ser definidas pelo Departamento de Segurana da Informao e pela Unidade de Segurana da Informao, considerando as reas da
organizao envolvidas.

Exerccio de fixao e
Conscientizao e treinamento do usurio
Identifique as polticas-normas existentes na sua organizao e descreva se o que existe
(situao atual) suficiente para iniciar as atividades de conscientizao e treinamento em
segurana da informao para o usurio. Ou se seria necessrio desenvolver alguns regula-

Quais so os regulamentos que voc considera prioritrios que existam antes do treinamento do usurio.

Considere a sua organizao. Quais seriam os grupos (tipos) de usurios que voc recomendaria que deveria existir para um treinamento de conscientizao em segurana da informao. Justifique.

Captulo 6 - Dimenso Conscientizao e Treinamento do Usurio, Poltica-Norma Dimenso Conscientizao e Treinamento do Usurio

mentos, para existir o mnimo de regras, e somente depois comear o treinamento.

109

Considere a sua organizao. Quais os tipos de treinamento que voc indicaria para a sua
organizao durante os prximos cinco anos? De quem (ou de qual rea) seria a responsabilidade para a gesto deste treinamento e quem (ou qual rea) seria responsvel pela
operacionalizao desse treinamento? Justifique e explique.

Sua organizao possui Poltica-Normas da Dimenso de Conscientizao e Treinamento


de Usurio?
Se sim, explique o grau de efetividade desses regulamentos.
Se no, o que a falta desses regulamentos impactam no Processo Organizacional de Segurana da Informao?

Quais itens ou trechos do documento exemplo de Poltica-Norma Dimenso de Conscientizao e Treinamento de Usurio voc entende que precisam melhorar? Indique cinco.

Polticas de Segurana da Informao

Justifique.

110

Quais itens ou trechos do documento exemplo Poltica-Norma Dimenso de Conscientizao e Treinamento de Usurio que voc entende que esto muito bons e voc destacaria?
Indique cinco. Justifique.

relao s demais dimenses? Explique e justifique.

Concluso Poltica de Segurana da Informao


A poltica de segurana da informao uma das Dimenses de Segurana e possui uma

caracterstica nica: ela engloba todas as demais dimenses relacionadas Segurana


da Informao. O conjunto de regulamentos que definem a poltica de segurana da
organizao define como a organizao deseja tratar cada uma das dimenses. Define
como ser o grau de rigidez dos controles de segurana da informao.
A Arquitetura da Poltica de Segurana da Informao apresentada neste treinamento
uma estrutura que facilita a ligao com cada uma das demais dimenses, permite uma
graduao de granularidade dos controles, facilita a definio prtica de quem deve
assinar e validar cada regulamento. Essa arquitetura segue os temas tratados na famlia
de Normas ISO/IEC 27000, com destaque para a Norma NBR ISO/IEC 27002.
Mais do que qualquer outra dimenso, essa dimenso somente ser efetiva se os regulamentos que vo compor o conjunto da poltica de segurana da informao forem elaborados
com a participao dos gestores da organizao. O Gestor da Segurana da Informao tem a
responsabilidade desenvolver esses regulamentos, mas esses regulamentos devem obrigato-

Captulo 6 - Dimenso Conscientizao e Treinamento do Usurio, Poltica-Norma Dimenso Conscientizao e Treinamento do Usurio

Considere a sua organizao. Como voc avalia a Dimenso de Polticas e Normas em

riamente representar o que a organizao deseja para a proteo da sua informao.


111

POLTICAS DE SEGURANA DA INFORMAO


Classicao
da Informao

Proteo tcnica
Recursos de Informao

Flexibilidade
Operacional

Desenvolvimento
de aplicativos

Conscientizao
e Treinamento

Continuidade
do negcio

Ambiente Fsico
e Infraestrutura

Modelo operativo
da SI

Gesto de Riscos

Acesso informao

Tratamento de Incidentes de Segurana da Informao

Regulamentao e regras de negcio

Processo Corporativo de Segurana da Informao

Figura 6.2
Segurana da
informao e suas
dimenses.

Polticas de Segurana da Informao

112

Acesso Fsico

Cpias de segurana

Ambiente 1

Ambiente 1

Ambiente 1

Ambiente 2

Recurso 2

Ambiente 2

Ambiente 2

Ambiente 2

Ambiente n

Recurso n

Ambiente n

Ambiente n

Ambiente n

Conscientizao
Treinamento em segurana

Desenvolvimento
Aquisio de Sistemas

Recurso 1

Nvel 1

Continuidade do negcio
(Rec. Inform.)

Recursos de tecnologia

Ambiente 1

Classicao da informao

Acesso informao

Poltica de segurana e proteo da informao

Nvel 2

Nvel 3

Figura 6.3
Estrutura da
Arquitetura
da Poltica de
Segurana da
Informao.

Bibliografia
11 Livro: Praticando a Segurana da Informao - Edison Fontes
11 Livro: Polticas e normas para a segurana da informao; Editora Brasport;
Edison Fontes
11 ISO 27001
11 ISO 27002
11 ISO 27005
11 Norma Complementar n 02/IN01/DSIC/GSIPR, Metodologia de Gesto de
Segurana da Informao e Comunicaes. (Publicada no DOU N 199, de
14 Out 2008 - Seo 1)
11 Norma Complementar n 03/IN01/DSIC/GSIPR, Diretrizes para a Elaborao
de Poltica de Segurana da Informao e Comunicaes nos rgos e
Entidades da Administrao Pblica Federal. (Publicada no DOU N 125, de

Bibliografia

03 Jul 2009 - Seo 1)

113

114

Polticas de Segurana da Informao

Edison Fontes Mestre em Tecnologia


pelo Centro Paula Souza do Governo
do Estado de So Paulo; Bacharel em
Informtica pela UFPE, Certificado
CISM, CISA e CRISC pela ISACA/USA,
Professor em Cursos de Ps Graduao e Palestrante Corporativo. autor
de cinco livros sobre Segurana da Informao pelas Editoras Sicurezza, Saraiva e Brasport. Dedica-se ao assunto
Segurana da Informao desde 1989. Desenvolveu Politicas de Segurana para vrias Organizaes, com destaque
para o NOSI-Ncleo Operacional da Sociedade da Informao do Governo de Cabo Verde que foram transformadas
em Lei. Exerceu a funo de Security Officer em instituies
financeiras (Banco BANORTE e RBS-Royal Bank of Scotland-Brasil) e em empresa de servios de alta disponibilidade
(GTECH Brasil). Atualmente desenvolve atividades como
Consultor em Segurana da Informao.

LIVRO DE APOIO AO CURSO

A partir das boas prticas do mercado e ainda da


NC 03/IN01/DSIC/GSIPR, o curso de Polticas de Segurana da Informao desenvolve nos participantes
habilidades e competncias para que possam participar do processo de desenvolvimento e implementao de polticas de segurana nas suas organizaes.
Este curso abordar os conceitos e os padres que
devem ser seguidos para a organizao desenvolver,
implantar e manter a sua poltica de segurana da informao, como tambm, aplicar o conjunto das dimenses da segurana da informao como o elemento direcionador para a poltica de segurana da informao.

ISBN 978-85-63630-37-7

9 788563 630377