POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO

Prévia do material em texto

POLÍTICAS DE SEGURANÇA E 
CLASSIFICAÇÃO DA INFORMAÇÃO
W
B
A
04
58
_v
1.
0
2
Marcia Maria Savoine
Londrina 
Editora e Distribuidora Educacional S.A. 
2020
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO 
DA INFORMAÇÃO
1ª edição
3
2020
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: editora.educacional@kroton.com.br
Homepage: http://www.kroton.com.br/
Presidente
Rodrigo Galindo
Vice-Presidente de Pós-Graduação e Educação Continuada
Paulo de Tarso Pires de Moraes
Conselho Acadêmico
Carlos Roberto Pagani Junior
Camila Braga de Oliveira Higa
Carolina Yaly
Giani Vendramel de Oliveira
Henrique Salustiano Silva
Juliana Caramigo Gennarini
Mariana Gerardi Mello
Nirse Ruscheinsky Breternitz
Priscila Pereira Silva
Tayra Carolina Nascimento Aleixo
Coordenador
Henrique Salustiano Silva
Revisor
Ítalo Diego Teotônio
Editorial
Alessandra Cristina Fahl
Beatriz Meloni Montefusco
Gilvânia Honório dos Santos
Mariana de Campos Barroso
Paola Andressa Machado Leal
Dados Internacionais de Catalogação na Publicação (CIP)__________________________________________________________________________________________ 
Savoine, Marcia Maria
S268p Políticas de segurança e classificação da informação/ 
Marcia Maria Savoine, – Londrina: Editora e
 Distribuidora Educacional S.A. 2020.
 44 p.
 ISBN 978-65-87806-88-4
1. Política 2. Segurança 3. Informação I. Título.
 
CDD 003
____________________________________________________________________________________________
Raquel Torres - CRB: 6/278
© 2020 por Editora e Distribuidora Educacional S.A.
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser 
reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, 
eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de 
sistema de armazenamento e transmissão de informação, sem prévia autorização, 
por escrito, da Editora e Distribuidora Educacional S.A.
4
SUMÁRIO
Introdução à política de segurança da informação __________________ 05
ITIL, COBIT e governança na política de segurança da informação __ 21
Classificação da informação _________________________________________ 35
Políticas, normas e procedimentos práticos _________________________ 54
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO 
DA INFORMAÇÃO
5
Introdução à política de 
segurança da informação
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
Objetivos
• Entender os conceitos de uma Política de Segurança 
da Informação. 
• Compreender a importância da Política de 
Segurança da Informação nas organizações. 
• Compreender a estrutura geral de uma Política de 
Segurança da Informação.
6
1. Introdução a Política de Segurança da 
Informação
Neste tema, iniciaremos os estudos sobre os princípios da política 
de segurança da informação em uma Organização. Além disso, 
apresentaremos as características que uma política de segurança deve 
ter e especificaremos a estrutura de uma política de uso adequado.
O conteúdo deste tema será de grande auxílio quando você estiver 
atuando na área para a qual está se especializando.
1.1 Segurança da informação
A segurança é um assunto de recorrente discussão na atualidade, 
pois faz referência a bens de informação, independentemente do seu 
formato em uma organização, a informação é considerada um dos 
maiores patrimônios do mundo contemporâneo. Com enfoque na 
informação digital, para o desenvolvimento organizacional e, também, 
para a continuidade dos negócios, ela deve gerenciada e protegida.
A segurança da informação visa garantir a integridade, 
confidencialidade, autenticidade e disponibilidade das informações 
processadas por qualquer empresa. Essas características (integridade, 
confidencialidade e autenticidade) das informações estão intimamente 
relacionadas aos controles de acesso.
Então, a Segurança da Informação é o conjunto de orientações, normas, 
procedimentos, políticas e demais ações que tem por objetivo proteger 
o recurso informação, possibilitando que o negócio da organização seja 
realizado e a sua missão seja alcançada (FONTES, 2012).
7
Importante relembrar:
• Confidencialidade é a necessidade de garantir que as 
informações sejam divulgadas somente aos que estão 
autorizados a vê-las.
• Disponibilidade é a necessidade de garantir que os propósitos 
de um sistema possam ser alcançados, e que ele esteja 
acessível àqueles que precisam.
• Integridade é a necessidade de garantir que as informações 
não sejam alteradas acidentalmente ou deliberadamente, e 
que estejam corretas e completas (LIMA, 2018, p. 10).
Nesse sentido, consideramos que a segurança da informação se inicia 
através da definição de uma política de segurança da informação clara e 
precisa acerca da proteção das informações. Assim, a política possui um 
dos papéis mais importantes nas organizações de qualquer natureza.
1.2 A Política de Segurança da Informação
A Política de Segurança da Informação (PSI) deve ser compreendida 
como a interpretação do que a organização considera em relação à 
segurança, alinhando com os seus objetivos de negócio, estratégias e 
cultura. Então, é por meio de uma Política de Segurança da Informação 
que a empresa formaliza suas estratégias e abordagens para a 
preservação de seus ativos.
De acordo com a ISO 17799:2005, uma Política de Segurança da 
Informação é imprescindível para prover uma orientação de apoio 
da direção para a segurança da informação, isto de acordo com os 
requisitos do negócio e com as leis e regulamentações relevantes.
8
Desse modo, é importante compreendermos que a política de segurança 
da informação é uma das diretrizes que compõem a segurança da 
informação em uma organização. Portanto, a política de segurança da 
informação caminha junto com as normas e procedimentos (que orienta 
os colaboradores, clientes e fornecedores e, também, a própria TI da 
organização), pois eles são documentos que se completam.
Para iniciar o desenvolvimento de uma Política de Segurança da 
Informação em qualquer organização, o gestor deve analisar todos 
as regras de negócio, alinhar com as boas práticas de governança 
corporativa, pois não existe uma estrutura definida de uma Política de 
Segurança da Informação para as organizações seguirem. Ou seja, tudo 
depende das características do negócio, e também como a organização 
quer utilizá-las alinhados ao seu negócio.
Em um documento de política é comum que ele tenha uma estrutura 
hierárquica, ou seja, ele é organizado em níveis, conforme demonstrado 
na Figura 1. Por sua vez, esses níveis devem estar sempre em 
conformidade com a política corporativa e prover diretrizes mais 
detalhadas para cada área específica.
Figura 1–Estrutura hierárquica em níveis de Política de Segurança 
nas organizações
Fonte: elaborada pela autora.
9
Nesse sentido, é importante entender que essa estrutura permite que 
a Organização entenda e planeje (antes de ter os regulamentos) como 
será o seu conjunto de documentos, que apresentaram em seus textos 
as regras de segurança da informação a serem seguidas por todo 
empresa.
1.2.1 Etapas de desenvolvimento da Política de Segurança 
da Informação
Para iniciar o desenvolvimento da política de segurança da informação 
(ou de um conjunto de políticas), como também das normas e dos 
regulamentos, de acordo com Fontes (2018), é importante considerar 
que esse desenvolvimento seja feito por meio das seguintes etapas:
a. Iniciar o projeto:
• Fazer uma descrição do projeto com detalhamento suficiente para 
que ele seja compreendido por todos. Para isso, é importante 
uma boa justificativa para desenvolvê-lo. Após isto, apresentar o 
objetivo do projeto e o escopo do que deve ser definido.
• Apresentar as restrições, isto é, os fatores que podem trazer 
empecilhos ou limitações ao projeto e impedir o desenvolvimento 
do produto final.
• Determinar as situações ou compromissosque podem ocorrer 
durante a execução do projeto. Por exemplo: estabelecimento de 
datas de entregas, se ocorrer atrasos nas entregas, o que deve ser 
feito?
• Determinar o que exatamente será o produto a ser entregue com 
riquezas de detalhes para não haver problemas ao final do projeto.
b. Desenvolvimento do projeto:
10
• Nesta etapa é necessário realizar o levantamento de tudo que 
existe na Organização, como: regulamentos, normas, regras etc., e 
fazer uma análise bem aprofundada de cada um deles.
• Para começar a estruturar a política em si, o Gestor da Segurança 
precisa conhecer profundamente as normas de segurança da 
informação, em particular, as normas internacionais divulgadas 
pela ISO/IEC, como: ISO/IEC 27001 e ISO/IEC 27002, que são 
normas específicas com indicações de controles de segurança da 
informação e gestão de requisitos de segurança da informação; 
como também frameworks de melhores práticas, como o ITIL e o 
COBIT, que ajudarão a gerenciar todo o processo de TI e a realizar 
o alinhamento com os negócios da empresa.
• Depois destas duas subetapas, o Gestor de Segurança da 
Informação irá com cada representante das áreas da empresa 
(jurídica, negócio, recursos humanos e tecnologia da informação) 
para analisar, levantar os requisitos e apontar os itens ou 
características a serem inseridos para o desenvolvimento das 
políticas e normas de segurança da informação na organização. 
Não é uma decisão realizada apenas pelo Gestor de Segurança da 
Informação, mas em conjunto por todos que tem poder de decisão 
e influência na segurança da informação da Organização.
• Após o desenvolvimento do projeto, o Gestor de Segurança da 
Informação deve identificar quem são as pessoas que assinarão 
cada documento.
• Nessa etapa é importante destacar que os documentos 
desenvolvidos devem estar de acordo com o padrão dos 
documentos de regulamentação da organização.
c. Entrega, comunicação e treinamento do produto final:
• Com a conclusão do desenvolvimento das normas, procedimentos 
e regulamentos e sua aprovação, é necessário realizar oficialmente 
11
a entrega. Isto deve ocorrer para que todos entendam e tenham 
acesso ao documento.
• Em seguida, deve-se realizar treinamentos, pois, a partir da 
subetapa “Conclusão”, automaticamente, passamos para realização 
dos treinamentos. Somente com esta ação é consolidado a 
entrega, pois ela provoca a compreensão e a utilização efetiva das 
políticas e normas de segurança da informação pelos stakeholders 
da organização.
d. Definição dos processos de manutenção e atualização:
• É importante definir como ocorrerá a atualização das políticas e 
normas de segurança da informação. Nesse sentido, recomenda-
se que seja elaborado um documento de uma política específica 
para a manutenção e atualização dos regulamentos.
• Após isto, o projeto de desenvolvimento da política de segurança 
da informação se encerra.
Considerando os níveis organizacionais apresentados na Figura 1, 
após a sequência de fases a serem seguidas para o desenvolvimento 
do documento da política de segurança da informação, devemos 
considerarmos o que cada nível representa nos documentos da PSI:
• Nível estratégico: a organização descreve exatamente o deve 
ser feito, pois, é neste nível que são desenvolvidas as políticas e 
diretrizes.
• Nível tático: a organização, com base nas políticas, cria as regras a 
serem adotadas, ou seja, as normas da organização.
• Nível operacional: com base nas normas desenvolvidas, a 
organização define como as regras serão implementadas, ou seja, 
define os procedimentos da organização.
12
De acordo com Fontes (2012), essa estrutura é como uma Arquitetura 
da Política de Segurança da Informação em suas dimensões (na norma 
ISO/IEC 27002 são denominados como capítulos), associados aos níveis 
da organização, como você pode observar na Figura 2. Nesta estrutura, 
pode-se perceber que a Gestão de Risco e Regulamentação e Regras 
de negócio entram como suporte em consonância com as Políticas de 
Segurança da Informação.
Figura 2 – Arquitetura da Política de Segurança da Informação em 
suas dimensões e níveis
Fonte: Fontes (2012, p. 78).
Nesse sentido, as dimensões mencionadas pelo autor se refere estão 
contidas na estrutura da Norma ISO/IEC 27002 (ABNT, 2013b). Por sua 
vez, essa norma é composta por 19 capítulos (numerados de 0 a 18), 
e nestes capítulos são distribuídos os 114 controles que devem ser 
considerados para as Dimensões da Segurança da Informação.
13
Além disso, a Dimensão Política de Segurança da Informação deve 
contemplar esses controles (os 114 controles contidos na norma ISO/
IEC 27002) para o desenvolvimento, implantação e manutenção dos 
regulamentos que vão compor o Processo Organizacional de Segurança 
da Informação, pois, uma vez que são utilizados mundialmente, 
mantem-se a estrutura.
De acordo com Fontes (2012, p. 98), ao desenvolver a estrutura do 
documento da política, o Gestor da Segurança da Informação deve 
considerar as seguintes dimensões (Figura 2), sequencialmente:
Acesso lógico à informação, Continuidade de negócio, Resiliência 
operacional, Desenvolvimento e aquisição de sistemas, Conscientização 
e treinamento de usuários, Acesso físico à informação, Gestão de riscos, 
Classificação da informação, Proteção técnica do ambiente computacional, 
Regulamentação legal e de mercado, Gestão de incidentes, Cópias de 
segurança, Tratamento forense de erros e fraudes.
Ademais, ressaltamos que essa é apenas uma recomendação, pois cada 
empresa tem suas regras de negócio e características a serem abortadas 
para garantir a segurança da informação.
Segundo Sêmola (2014), há outra estrutura para a Política de Segurança 
Informática nos níveis estratégico, tático e operacional, alinhando ao 
desenvolvimento de diretrizes, normas, procedimentos e instruções. 
Porém, na base da estrutura é alocado como pilares de sustentação à 
PSI: Natureza do Negócio, Cultura Organizacional, Ativos Físicos, Ativos 
Tecnológicos e Ativos Humanos, conforme a Figura 3.
Essa estrutura é esclarecedora para entendermos exatamente em 
qual nível da Organização serão utilizadas as Diretrizes, Normas e 
Procedimentos que comporão a Política de Segurança da Informação da 
Organização. Além de estar desenvolvendo a Política considerando os 
itens: Natureza do Negócio, a Cultura Organizacional, os Ativos Físicos, 
os Ativos Tecnológicos e os Ativos Humanos, deve-se considerar os 
14
níveis organizacionais (estratégico, tático e operacional), pois eles têm 
total influência simbiótica no documento da política.
Figura 3 – Estrutura da Política de Segurança da Informação com 
seus pilares
Fonte: Sêmola (2014, p. 106).
Para entendermos exatamente o que cada documento deve realizar, 
temos:
• Diretrizes: fornecem as orientações, descrevendo os aspectos que 
devem ser examinados em função de determinados pontos de 
vista de segurança.
15
• Normas: conjunto de regras gerais de segurança que se aplicam 
a todos os segmentos envolvidos. Geralmente, as normas são 
elaboradas com foco em assuntos mais específicos como: controle 
de acesso, uso da Internet, uso do correio eletrônico, acesso físico, 
instruções sobre senhas e realização de backups etc. Para isso, 
indica-se que sua elaboração seja da forma mais genérica possível 
e que compreenda a configuração padrão de certas plataformas.
• Regulamentos: são mais detalhados que o documento de política. 
Normalmente, eles são considerados obrigatórios e sua não 
observância pode levar a procedimentos disciplinares.
• Procedimentos: consiste em um conjunto de orientações ou 
recomendações para execução das atividades e instruções 
operacionais relacionadas à segurança. Trata-se de diretrizes 
operacionais detalhadas que devem ser efetuadas no momento da 
realização de um procedimento de segurança, ou seja, quais ações 
devem ser seguidas em caso de alguma ocorrência (ou incidente) 
de segurança da informação. É importante que exista uma 
estrutura de registro dessesprocedimentos executados (são as 
evidências objetivas), como logs de registro de acesso aos sistemas 
e equipamentos, troca de senha por períodos de tempos etc.
1.3 Estrutura de uma Política de Segurança da 
Informação
Conforme dito anteriormente, a Política de Segurança é um conjunto 
estruturado de documentos que consistem em diretrizes, normas, 
procedimentos e instruções destinadas simultaneamente aos níveis 
estratégico, tático e operacional; com o objetivo de instituir, padronizar e 
normatizar a segurança tanto no escopo humano como no tecnológico, 
então, é importante explicar como cada documento se relaciona com 
a política de segurança da informação e qual será o produto final 
entregue.
16
Antes de expor como cada elemento relaciona-se a PSI, é necessário 
recomendar que, na construção das políticas e normas de segurança da 
informação, um Gestor da Segurança da Informação ou um Consultor de 
Segurança da Informação deve conduzi-la. Essa não é atividade para um 
gestor executivo ou administrativo, mas para alguém específico da área 
de segurança da informação.
• Estratégico–Nível 1: políticas e diretrizes
Essa política deve ser utilizada, transmitida e processada em 
todo o ambiente da organização. Ou seja, para todos os usuários 
(colaboradores, prestadores de serviços e estagiários) que utilizam as 
informações da organização, como também a todas as organizações que 
compõem o Grupo da Organização (filiais, unidades etc.)
Quadro 1–Modelo de Documento de Política e Regulamentos Nível 1
1. Objetivo.
2. Abrangência.
3. Implantação ou Implementação.
4. Definições.
5. Diretrizes e Regras.
6. Responsabilidades Complementares.
7. Conclusão.
8. Anexos.
Fonte: elaborado pela autora.
• Tático–Nível 2: políticas e diretrizes
Esta política deve ser utilizada, transmitida e processada em 
todo o ambiente da organização, ou seja, para todos os usuários 
(colaboradores, prestadores de serviços e estagiários) que utilizam 
as informações da organização. Porém, como a estrutura é destinada 
ao Nível 2, ela deverá ter uma política para cada um dos itens: Acesso 
à Informação, Recursos de Tecnologia, Desenvolvimento, Aquisição 
17
de Sistemas, Acesso Físico/Acesso Lógico, Cópias de Segurança, 
Classificação da Informação, Continuidade do Negócio, Conscientização/
Treinamento em Segurança.
Neste nível, há efetivamente todo o controle da segurança da 
informação de minimizar possíveis danos e questionamentos sobre o 
que pode, o que não pode e o que é obrigatório em relação aos usos das 
tecnologias e serviços.
Nesse sentido, é importante ressaltarmos que na estrutura dessa 
política, o tópico “Regras”, onde deve explicitar ao usuário que, o não 
cumprimento das regras descritas neste documento que complementam 
a Política de Segurança e Proteção da Informação constitui falta grave, e 
o usuário está sujeito às penalidades administrativas ou contratuais. Isto 
fará diferença principalmente em organizações de ambientes críticos, 
como em locais que tratam com a vida humana, como laboratórios de 
manipulação de material radioativo, usinas nucleares etc.
Quadro 2–Modelo de Documento de Política e Regulamentos Nível 2
1. Objetivo.
2. Abrangência.
3. Implementação.
4. Política de Segurança e Proteção da Informação.
5. Definições.
6. Regras.
7. Responsabilidades Complementares.
8. Conclusão.
9. Anexos.
Fonte: elaborado pela autora.
• Operacional–Nível 3 e Demais Níveis: Normas e procedimentos
No nível operacional, no documento da política são descritas as regras 
e os procedimentos de segurança da informação, ou seja, aonde deve 
ser aplicada, comunicada e conferida em todo o ambiente que o pessoal 
18
técnico de desenvolvimento e manutenção de sistemas ou do ambiente 
de tecnologia utilizem na organização. Isto é, são regulamentos que se 
aplicam a todos os usuários que utilizam as informações do ambiente de 
tecnologia da organização.
Quadro 3–Modelo de Documento de Política–Normas e 
Procedimentos Nível 3
1. Objetivo deste Regulamento
2. Abrangência deste Regulamento
3. Implementação deste Regulamento
4. Definições
5. Regras e Procedimentos
6. Controles e Responsabilidades
7. Conclusão
Fonte: elaborado pela autora.
Para o nível 3, a norma ISO/IEC 27002 (ABNT, 2013b) indica que:
No nível mais baixo, convém que a política de segurança da informação 
seja apoiada por políticas de tópicos específicos, que exigem a 
implementação de controles de segurança e que sejam estruturadas 
para considerar as necessidades de certos grupos de interesse dentro da 
organização ou para cobrir tópicos específicos. (ABNT, 2013b, p. 110)
As normas são variáveis de acordo com os tipos de ambientes e recursos 
que as regras de negócio da organização determinam. Exemplificando, 
em uma organização bancária, o acesso às informações dos usuários 
com os devidos níveis de criticidade é totalmente diferente de uma 
usina nuclear, mas todos têm obrigatoriamente regras e procedimentos, 
porém, com características diferentes, assim como sua implementação 
do regulamento.
De maneira geral, os produtos finais que compõem toda a 
Documentação da Política de Segurança da Informação são:
19
• Carta ao presidente ou ao executivo principal.
• Diretrizes de Segurança da Informação.
• Normas Gerais de Segurança da Informação.
• Procedimentos Operacionais e Instruções Técnicas.
A carta ao presidente é fundamental em toda política, pois é sua 
assinatura que autoriza sua implementação na organização, como a 
data da sua última alteração e em quando iniciou sua validade. Com 
essas informações, todos na empresa estão cientes de que é uma 
implementação em toda a organização, e será realizado o controle de 
atualizações, obtendo uma melhor gestão das atualizações.
Importante relembrar:
A Norma ISO 27002 (ABNT, 2013b) faz uma observação importante: 
convém que um documento da política de SI seja aprovado pela 
direção, publicado e comunicado para todos os funcionários e partes 
externas relevantes.
Neste tema, você estudou sobre todos os principais conceitos sobre a 
Política de Segurança da Informação e sua estrutura, assim, ficou mais 
simples de entender a importância de se ter uma Política de Segurança 
da Informação e, partir disto, desenvolvê-la dentro do contexto das 
regras de negócio de uma organização.
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. ISO/IEC 17799. Tecnologia 
da informação–Técnicas de segurança–Código de prática para a gestão da 
segurança da informação. Rio de Janeiro: ABNT, 2005.
20
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. ISO/IEC 27001. Tecnologia 
da informação–Técnicas de segurança–Sistemas de gestão da segurança da 
informação – Requisitos. Rio de Janeiro: ABNT, 2013a.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. ISO/IEC 27002. Tecnologia 
da informação–Técnicas de segurança–Código de prática para controles de 
segurança da informação. Rio de Janeiro: ABNT, 2013b.
AGUILERA, Fernandes Edson. Padrões, normas e política de segurança da 
informação. São Paulo: Senac, 2019.
FONTES, Edison. Políticas e normas para a segurança da informação. Rio de 
Janeiro: Brasport, 2012.
FONTES, Edison. Fundamentos de segurança da informação: com base na ISO 
27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.
LIMA, Adriano. Gestão da segurança e infraestrutura de tecnologia da 
informação. São Paulo: Senac, 2018.
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 2. ed. 
Rio de Janeiro: Elsevier, 2014.
21
ITIL, COBIT e governança 
na política de segurança da 
informação
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
Objetivos
• Expor os princípios fundamentais da Governança de 
TI em consonância com a Política de Segurança da 
Informação. 
• Apresentar uma visão geral do CobiT em 
consonância com a Política de Segurança da 
Informação. 
• Compreender o conceito da ITIL e as melhores 
práticas em conformidade com a Política de 
Segurança da Informação.
22
1. Governança, COBIT e ITIL na Políticade 
Segurança da Informação
Neste tema, você entenderá como os princípios de governança, 
juntamente com as boas práticas dos frameworks COBIT e ITIL e 
o conceito de segurança da informação, podem auxiliar em uma 
efetiva implementação de uma política de segurança da informação 
em uma organização. Além disso, serão expostas as características 
de alinhamento do COBIT, ITIL em uma política de segurança da 
informação.
1.1 Governança em Política de Segurança da Informação
Ao trabalharmos com o desenvolvimento e implantação da política de 
segurança da informação em uma organização, e para que todas as 
ações e processos sejam bem fundamentados, eles devem ser realizados 
em conformidade com a governança corporativa e também com a 
governança de TI (Tecnologia da Informação), que consequentemente 
serão alinhados à Segurança da Informação da organização e, 
automaticamente, implicará em processos já bem definidos para 
efetivação da Política de Segurança da Informação.
Assim, é importante ressaltarmos que uma política de segurança a 
informação deve estar aderente a governança de TI de uma organização. 
E a governança de TI da organização deve estar alinhada à governança 
corporativa da organização.
Nesse sentido, o IBGC (2015, p. 20) define Governança Corporativa como:
O sistema pelo qual as empresas e demais organizações são dirigidas, 
monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, 
conselho de administração, diretoria, órgãos de fiscalização e controle e 
demais partes interessadas. As boas práticas de governança corporativa 
23
convertem princípios básicos em recomendações objetivas, alinhando 
interesses com a finalidade de preservar e otimizar o valor econômico de 
longo prazo da organização, facilitando seu acesso a recursos e contribuindo 
para a qualidade da gestão da organização, sua longevidade e o bem comum.
Portanto, a Governança Corporativa é o padrão, modelo ou sistema pelo 
qual a organização é dirigida e gerenciada, utilizando as melhores práticas 
para criar mecanismos de proteção, transparência, equidade, auditoria e 
responsabilidade corporativa com seus stakeholders (acionistas, executivos, 
conselheiros, clientes, fornecedores, entre outros).
Alinhado ao conceito de Governança Corporativa, temos a Governança de 
TI, que é responsável por definir como funcionam toda a infraestrutura de 
TI (processos, softwares e hardwares) e verificar se as normas e políticas 
estão sendo seguidas corretamente. Na Figura 1, você pode observar esse 
alinhamento entre Governança Corporativa e Governança de TI.
Figura 1 - Integração entre Governança Corporativa e Governança de TI
Fonte: Fernandes e Abreu (2014, p. 28).
24
Considerando que a Governança de TI é um desdobramento da 
governança corporativa, atuando como uma estrutura de controle e 
estabelecendo políticas, normas e regras que orientam os processos 
de tecnologia da informação. Por sua vez, realizar o monitoramento 
dessas normas e verificar se estão sendo seguidas, garante que 
a TI está contribuindo para alcançar os objetivos estratégicos da 
organização, diminuindo as chances de riscos ao negócio.
A ISO/IEC 38500 (ABNT, 2009), sobre Governança de TI, define que:
Governança Corporativa de TI como o sistema pelo qual o uso atual 
e futuro da TI é dirigido e controlado. Governança Corporativa de TI 
significa avaliar e direcionar o uso da TI para dar suporte à organização 
e monitorar seu uso para realizar os planos. Inclui a estratégia e as 
políticas de uso da TI dentro da organização. (ABNT, 2009, p. 3)
Ainda segundo a norma ISO/IEC 38500 (ABNT, 2009), além de 
definir os princípios, a norma também recomenda que os dirigentes 
governem a TI por meio de três tarefas principais: avaliar o uso atual 
e futuro da TI; orientar a preparação e a implementação de planos 
e políticas para assegurar que o uso da TI atenda aos objetivos do 
negócio; e, por fim, monitorar que as políticas e o desempenho 
definido nos planos sejam cumpridos.
Desse modo, a Governança de TI possui alguns fatores motivadores 
que a impulsionam a ser eficaz em uma organização, conforme a 
figura seguir.
25
Figura 2 – Fatores motivadores da Governança de TI
Fonte: Fernandes e Abreu (2014, p. 7).
Considerando os fatores motivadores citados por Fernandes e Abreu 
(2014, p. 7), em específico, a Segurança da Informação, que também é 
considerada uma subárea da Governança de TI, é composta por uma 
política de segurança da informação que visa garantir a integridade 
do negócio. Portanto, nesta estrutura de governança de segurança, 
a política de segurança da informação é um dos seus elementos 
primordiais, pois visa garantir a integridade do negócio.
1.2 O COBIT na Política de Segurança da Informação
O COBIT (Control Objectives for Information and Related Technology, 
em inglês, ou Objetivos de Controle para a Informação e Tecnologia 
Relacionada, em português) foi desenvolvido e difundido pelo ISACA 
(Information System Audit and Control), e lançada sua primeira versão no 
ano de 1996, denominada COBIT1, e a sua última versão é o COBIT5, 
26
lançada no final de 2012. Ele consiste em um framework de governança e 
gestão corporativa de TI focado em princípios, transformando-o em um 
framework orientado por princípios.
Por sua vez, o COBIT 5 é composto pelos seguintes princípios: 1º 
princípio–atender às necessidades das partes interessadas; 2º princípio–
cobrir a organização de ponta a ponta; 3º princípio–aplicar um modelo 
único integrado; 4º princípio–permitir uma abordagem holística; e, por 
fim, 5º princípio–distinguir a governança da gestão.
Figura 3 – Princípios do COBIT 5
Fonte: ISACA (2015, p. 15).
De acordo com ISACA (2015, p. 15): “O COBIT 5 ajuda as organizações 
a criar valor por meio da TI, mantendo o equilíbrio entre a realização 
de benefícios e a otimização dos níveis de risco e de utilização dos 
recursos”.
27
Justamente por apontar que o COBIT 5 ajuda as organizações a criar 
valor por meio da TI, nesta sua última versão foi criado um conjunto de 
produtos denominado como família de produtos COBIT 5, sendo: COBIT 
5 (o modelo), Guias de Habilitadores do COBIT 5 (são os Habilitadores 
de Governança e Gestão), Guias Profissionais do COBIT 5 (incluem itens 
do COBIT 5: para Implementação, para Segurança da Informação, para 
Risco, para Garantia e para Programa de Avaliação), e um ambiente 
colaborativo on-line (para apoiar o uso do COBIT 5). Na Figura 3, você 
pode observar a estrutura da família de produtos COBIT 5.
Figura 4 – Família de Produtos COBIT 5
Fonte: Axelos (2019, p. 13).
Apesar do COBIT ser um framework voltado à Governança de TI, em sua 
versão 5 a grande pretensão da ISACA é que todos os produtos (por 
constituir uma família de produtos) cubram toda a organização e forneça 
uma base para integrar estes outros modelos, padrões e práticas como 
um modelo único. Logo, deve-se observar que o framework é um modelo 
genérico que pode ser utilizado em todos os tipos e tamanhos de 
organizações.
Desse modo, o COBIT 5 interliga o conceito de governança de TI com 
vários conceitos importantes da Tecnologia da Informação, entre 
28
eles a Segurança da Informação e, especificamente, uma Política de 
Segurança da Informação. O próprio framework em seu Apêndice E, 
também permite se alinhar a outros importantes padrões e modelos 
do mercado (quando pertinentes), como: ITIL, PMBOK, COSO e Normas 
Internacionais da ISO (por exemplo: 27002 e 38500), CMMI, entre 
outros. Isto ajudará as partes interessadas a entender como os diversos 
modelos, boas práticas e padrões se inter-relacionam e como elas 
podem ser usadas em conjunto.
Ainda, considerando o ISACA (2015), em especificamente dentro da 
Dimensão dos Habilitadores do COBIT 5, enfocando o item Segurança 
da Informação dentro da tabela de Mapeamento dos Objetivos 
Corporativos do COBIT 5 em Objetivos de TI, é indicado que tenha três 
itens importantes, como: gestão de risco organizacional, conformidade 
com as leis e regulamentosexternos; continuidade e disponibilidade do 
serviço de negócio e conformidade com as políticas internas. Por sua 
vez, esses itens são desdobrados no Processo Gerenciar Segurança, 
mostrado na figura a seguir.
Figura 5 – Processo Gerenciar Segurança no COBIT 5
Fonte: Axelos (2019, p. 53).
Para percebemos como a Segurança da Informação e a Política de 
Segurança da Informação na versão 5 do COBIT é um item importante 
no framework, a ISACA (2015, p. 30) afirma que:
29
A necessidade de segurança da informação exige a criação e adoção de 
diversas políticas e procedimentos. Essas políticas, por sua vez, exigem 
a implementação de diversas práticas de segurança. No entanto, se a 
cultura e a ética da organização e das pessoas não forem apropriadas, os 
processos e os procedimentos de segurança das informações não serão 
efetivos.
Desse modo, o COBIT 5, ao ser utilizado nas práticas de gestão de 
segurança da informação, possibilitará que a organização identifique em 
sua Política de Segurança da Informação itens relevantes e necessários 
e, também, adote as recomendações para sua elaboração e implantação.
1.3 ITIL na Política de Segurança da Informação
A ITIL (Information Technology Infrastructure Library, em inglês, ou 
Biblioteca de Infraestrutura para a Tecnologia de Informação, 
em português) consiste em um conjunto de boas práticas para o 
gerenciamento dos serviços de TI por meio de bibliotecas que fazem 
parte de cada módulo de gestão, tendo como foco maior os serviços de 
TI em si.
Esse conjunto de boas práticas foi desenvolvido no fim dos anos 1980 
pela Agência Central de Computação e Telecomunicações (CCTA) do 
governo britânico, ele se encontra em sua versão 4, denominado ITIL 4, 
publicado em 2019.
O principal objetivo da ITIL é a melhoria da qualidade dos serviços de 
tecnologia da informação de uma organização por meio de uma gestão 
com foco no cliente. O trabalho será feito usando um conjunto de 
processos e procedimentos de governança, especificamente a ITIL 4, que 
oferece uma versão mais ágil, flexível e adaptável para as organizações 
atuais. Essa última versão incentiva a maior colaboração, comunicação 
em toda a organização, além da integração das metodologias Agile, Lean 
e DevOps.
30
A ITIL V4 consiste em dois componentes chave, sendo: Modelo de 
Quatro Dimensões e o Sistema de Valor de Serviço (SVS).
As quatro dimensões que são definidas na ITIL 4 devem ser consideradas 
para garantir uma abordagem holística ao gerenciamento de serviços, 
sendo elas: organizações e pessoas; informação e tecnologia; parceiros e 
fornecedores e fluxos de valor e processos, em que essas dimensões são 
aplicáveis ao SVS em geral e aos serviços específicos.
A grande mudança da ITIL 4 é o SVS (Sistema de Valor de Serviço), que 
consiste em um novo modelo que é menos orientado a processo e mais 
orientado ao valor. Com isso, temos os cinco componentes (mostrados 
na Figura 4) que compõem o Sistema de Valor do ITIL 4:
 1ª. Os princípios norteadores, que se tratam das recomendações que 
orientam a organização em todas as circunstâncias.
 2ª. A Governança, que faz o direcionamento e o controle em uma 
organização.
 3ª. A Cadeia de Valor de Serviço, que consiste em um conjunto de 
atividades interligadas que a organização executa para entregar 
um produto ou serviço ao consumidor final, facilitando, portanto, 
a realização de valor.
 4ª. Os Princípios Orientadores, que consistem em uma recomendação 
que orienta uma organização em qualquer circunstância. 
Independentemente de mudanças nos objetivos, na estratégia, no 
tipo de trabalho e da estrutura de gerenciamento de serviços.
 4ª. As Práticas, que são conjuntos de recursos organizacionais em 
projetos para atingir um objetivo.
 5ª. A Melhoria Contínua, que representa a atividade organizacional 
recorrente, realizada em todos os níveis organizacionais para 
garantir que o desempenho de uma organização atenda 
continuamente às expectativas das partes interessadas.
31
A ITIL é composta por nove princípios norteadores que abrangem o 
gerenciamento de mudanças organizacionais, comunicação, medição 
e métricas. Esses princípios incluem: foco no valor; comece por onde 
você está; progrida iterativamente com feedback; colabore e promova 
a visibilidade; pense e trabalhe de forma holística; mantenha simples e 
prático; otimize e automatize. Na Figura 4, você pode observar como esses 
princípios orientadores são utilizados no novo conceito SVS do ITIL 4.
Figura 6 – Sistema de Valor do Serviço do ITIL 4
Fonte: Lyra (2020, p. 5).
A ITIL 4 inclui 34 práticas de gerenciamento com diferentes combinações 
destas práticas, que trabalham em conjunto para agregar valor e 
atingir o objetivo. Então, para cada prática, a ITIL 4 fornece vários tipos 
de orientação como: termos e conceitos-chave, fatores de sucesso, 
atividades-chave, objetos de informação, entre outros.
Além disso, essas 34 práticas da ITIL 4 estão agrupadas em três 
categorias: a) práticas gerais de gerenciamento; b) práticas de 
gerenciamento de serviços e c) práticas de gerenciamento técnico. Toda 
32
a estrutura de cada categoria com a composição das práticas é listada 
no Quadro 1.
Quadro 1 – Gerenciamento de práticas do ITIL 4
CATEGORIAS
a) Práticas gerais de geren-
ciamento
b) Práticas de gerenciamen-
to de serviços
c) Práticas de gerenciamen-
to técnico
1) Gerenciamento de estra-
tégia.
2) Gerenciamento de port-
fólio.
3) Gerenciamento de arqui-
tetura.
4) Gerenciamento financeiro 
de serviços.
5) Gerenciamento de talento 
e força de trabalho.
6) Melhoria contínua.
7) Medição e relatórios.
8) Gerenciamento de riscos.
9) Gerenciamento de se-
gurança da informação.
10) Gestão do conhecimento.
11) Gerenciamento de mu-
danças organizacionais.
12) Gerenciamento de proje-
tos.
13) Gerenciamento de rela-
cionamento.
14) Gerenciamento de forne-
cedores.
1) Análise de negócio.
2) Gerenciamento de catálo-
go de serviços.
3) Design de serviço.
4) Gerenciamento de nível 
de serviço.
5) Gerenciamento de dispo-
nibilidade.
6) Gerenciamento de capa-
cidade e desempenho.
7) Gerenciamento de conti-
nuidade de serviço.
8) Monitoramento e geren-
ciamento de eventos.
9) Central de serviço.
10) Gerenciamento de inci-
dentes.
11) Gerenciamento de requi-
sição de serviço.
12) Gerenciamento de pro-
blemas.
13) Gerenciamento de libera-
ção.
14) Habilitação de mudança.
15) Validação e teste de ser-
viço.
16) Gerenciamento de confi-
guração de serviço.
17) Gerenciamento de ativos 
de TI.
1) Gerenciamento de implan-
tação.
2) Gerenciamento de infraes-
trutura e plataforma.
3) Desenvolvimento e geren-
ciamento de software.
Fonte: adaptado de Axelos (2019).
De acordo com Fontes (2012), a política de segurança da informação 
aparece como um importante elemento no Gerenciamento da 
Segurança da Informação no ITIL. Considerando que uma organização 
33
deseja utilizar o ITIL, ela precisará considerar a prática de segurança 
da informação e, consequentemente, precisará ter uma efetiva e 
estruturada Política de Segurança da Informação.
A ITIL 4 faz referência a Segurança da Informação com a indicação do 
uso de Política de Segurança da Informação para se manter ou garantir 
que não ocorram incidentes com os dados nas organizações.
A segurança exigida é estabelecida por meio de políticas, processos, 
comportamentos, gerenciamento de riscos e controles, que devem manter 
um equilíbrio entre: Prevenção Garantir que não ocorram incidentes de 
segurança; Detecção rápida e confiável de incidentes que não podem ser 
evitados; Correção Recuperando-se de incidentes após serem detectados. 
(AXELOS, 2019, p. 114)
Consideramos que, de maneira geral, a ITIL 4 tem como objetivo 
oferecer um conjunto de recomendações universais que podem 
nortear as organizações passando por todos os níveis (do estratégico ao 
operacional) e dar suporte para que as ações sejam bem-sucedidas, com 
decisões adequadas com relação a segurança da informação, sendo um 
produto, um serviçoou projetos para a organização como um todo.
Com este conteúdo, esperamos que você tenha compreendido como 
os conceitos de governança e os frameworks ITIL e COBIT podem 
ser agregados na política de segurança da informação. Antes de 
avançarmos, caso encontre dificuldades, revise os conteúdos para tirar 
suas dúvidas.
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS–ABNT. ISO/IEC 38500: governança 
corporativa de tecnologia da informação. Rio de Janeiro: ABNT, 2009.
AXELOS. ITIL–Information Technology Infrastructure Library. 4. ed. London: 
AXELOS, 2019.
34
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA–IBGC. Código das 
melhores práticas de governança corporativa. 5. ed. São Paulo: IBGC, 2015.
ISACA. COBIT–Control Objectives for Information and Related Technologies. COBIT 
5–Modelo Corporativo para Governança e Gestão de TI da Organização. Illinois: 
ISACA, 2015.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA–IBGC. Código das 
melhores práticas de governança corporativa. 5. ed. São Paulo: IBGC, 2015.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a 
governança de TI: da estratégia à gestão dos processos e serviços. 4. ed. Rio de 
Janeiro: Brasport, 2014.
FONTES, Edison. Políticas e normas para a segurança da informação. Rio de 
Janeiro: Brasport, 2012.
LYRA, Mauricio Rocha. Gerenciamento de serviços de TI com ITIL®v4: Volume 5–
Sistema de valor do serviço – SVS. Itu: Amazon, 2020.
35
Classificação da informação
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
Objetivos
• Entender os conceitos de Classificação da 
Informação.
• Compreender os conceitos de Rótulos e Tratamento 
da Informação.
• Compreender a estrutura geral da Classificação da 
Informação, contendo os rótulos e tratamentos da 
informação.
36
1. Classificação da informação
Iniciaremos este conteúdo relembrando que a política de segurança 
da informação caminha junto com as normas e os procedimentos 
(que orientam os colaboradores, clientes e fornecedores e, também, 
a própria TI da organização), pois são documentos que se completam. 
Nestes documentos, vários conceitos são aplicados quando se trata 
de proteger as informações de uma organização.
Neste contexto, você aprenderá como classificar, rotular e tratar uma 
informação a fim de tornar o processo de segurança da informação 
mais transparente, detalhado e eficiente.
Na atualidade, a informação assume uma importância crescente. 
Ela se tornou fundamental nas organizações para a descoberta e 
introdução de novas tecnologias, na exploração de oportunidades 
de novos negócios, além de ser uma ferramenta estratégica para 
competitividade. Assim, pode-se afirmar que a informação, em 
conjunto com recursos tecnológicos, é uma necessidade para 
o funcionamento tático, estratégico e operacional de qualquer 
organização.
Diante disso e em plena era digital, os dados são os maiores bens de 
uma organização e devem ser protegidos e, portanto, a segurança 
da informação se torna cada vez mais essencial nesse cenário. 
Pois, quando aplicada, ela garante que apenas pessoas autorizadas 
tenham acesso aos dados da organização. Lembrando que, o ativo 
principal de uma organização é a informação, por isso devemos 
garantir sua segurança.
37
Na implementação de segurança da informação em uma organização, 
um item que merece uma atenção específica é a Classificação 
da Informação. Por ser uma atividade essencial para a gestão de 
Segurança da Informação dentro de uma organização, ela deve ser 
viabilizada por meio da elaboração de um documento que será 
utilizado em conjunto com a política de segurança da informação da 
organização.
A Norma ISO 27002 (ABNT, 2013b) prevê, no item 8.2, a Classificação 
da Informação, que tem por objetivo: “assegurar que a informação 
receba um nível adequado de proteção, de acordo com a sua 
importância para a organização”. (ABNT, 2013b, p. 25)
Então, para atender esse item, é importante garantir que a 
informação seja classificada. Desse modo, ainda, a ISO 27002 (ABNT, 
2013b, p. 25) recomenda que: “a informação seja classificada em 
termos do seu valor, requisitos legais, sensibilidade e criticidade para 
evitar modificação ou divulgação não autorizada.”
A ISO tem uma outra norma que oferece suporte e apoio à 
Classificação da Informação, que é a ISO/IEC 16167, de 2013, que 
trata da Segurança da Informação com Diretrizes para classificação, 
rotulação e tratamento da informação. Em geral, a ISO 16167 é usada 
em conjunto com a ISO 27002, que trata do Código de Prática para 
controles de segurança da informação. Isso ocorre, pois, a última, a 
ISO 27002, recomenda o uso da ISO 16167.
Nesse contexto, é importante ressaltar que uma Política de Segurança 
da Informação coerente e consistente deve ter uma seção que trate 
da Classificação da Informação e que contenha regras, que possam 
garantir a segurança da informação da organização. Essas regras, 
38
indicadas dentro da Política de Segurança da Informação, podem ser 
geradas em um documento a parte, com todos os detalhamentos da 
Classificação da Informação que a organização necessita.
Então, o documento que trata da Classificação da Informação define o 
tipo de informação que será classificada e quais os grupos que terão 
acesso a ela.
Porém, antes da Classificação da Informação, é necessário conhecer o 
Ciclo de Vida da Informação. Por sua vez, o ciclo de vida da informação é 
o registro ou o histórico da informação desde o momento de sua criação 
até o seu descarte. Assim, um dado gerado permanece disponível pelo 
tempo necessário, sofre atualizações e, após perder sua utilidade, deve ser 
descartado de maneira adequada.
Nesse sentido, ao separar a informação de maneira sistemática e 
organizada, devemos considerar todos os aspectos ligados à sua segurança, 
ou seja, as propriedades que devem ser preservadas e protegidas para que 
a informação esteja efetivamente controlada e, principalmente, destacar as 
fases ou etapas que fazem parte de seu ciclo de vida.
Há três propriedades principais que devem ser preservadas e protegidas: 
confidencialidade, integridade e disponibilidade, além das propriedades 
complementares: autenticidade, auditabilidade, não repúdio, 
responsabilidade e privacidade, que complementam essa influência.
Importante relembrar:
De acordo com Fernandes (2019, p. 14), há as propriedades 
principais ou fundamentais, além das propriedades complementares 
da Segurança da Informação, conforme o quadro a seguir.
39
Quadro 1 - Resumo dos princípios de Segurança da Informação
Fundamentais (CID) Complementares
Confidencialidade
As informações são acessadas apenas 
por agentes explicitamente autorizados
Autenticidade
É garantida a veracidade da identidade 
e das informações dos agentes.
Auditabilidade
Todas as atividades são monitoradas 
e registradas em trilhas de auditoria
Integridade
São mantidos os níveis de acuidade 
e completeza das informações
Não repúdio
A identidade do agente responsável 
por uma ação é inquestionável
Responsabilidade
Os agentes são responsáveis 
pelo resultado de suas atividades 
sobre as informações
Disponibilidade
As informações estão sempre disponíveis 
para atendimento da demanda
Privacidade
Todo indivíduo tem controle de suas 
informações pessoas armazenadas
Fonte: adaptado de Fernandes (2019, p. 14).
De acordo com Sêmola (2014, p. 10), as fases que compõem o ciclo de 
vida da informação são:
• Manuseio: trata-se do momento da criação e da manipulação da 
informação, seja esta física ou virtual.
• Armazenamento: trata-se do armazenamento da informação, 
seja ele em arquivos físicos ou em bancos de dados de sistemas 
computadorizados.
• Transporte: momento em que a informação é transportada, seja 
ao encaminhar informações por e-mail, via correspondência ou via 
telefone, por exemplo.
40
• Descarte: ato de descartar a informação, quando esta deixa de ser 
relevante; por exemplo: apagar informações de computadores ou 
depositar documentos na lixeira.Cada fase do ciclo de vida da informação tem relação com alguma 
propriedade de segurança da informação, sendo que é isso que faz com 
que possa ser garantido a segurança da informação naquela fase (Figura 1).
Figura 1 – Fases do ciclo de vida da informação considerando os 
pilares de segurança da informação
Fonte: Sêmola (2014, p. 11).
1.1 Itens para classificação da informação
A classificação da informação é utilizada para definir diferentes níveis 
de sensibilidade no qual a informação deve ser organizada. Então, a 
41
ação de classificar é atribuir a classificação adequada, como: pública, 
interna e confidencial; mas podem existir outros níveis, de acordo com a 
necessidade do negócio. Por exemplo, geralmente as organizações utilizam 
4 níveis de sensibilidade; para organizações privadas utiliza-se: pública, 
interna, confidencial e restrita; para organizações públicas são utilizadas: 
governo brasileiro ultrassecreto, secreto, confidencial e reservado.
Ressaltamos que, a classificação poderá seguir tantos níveis de 
sensibilidade da informação quanto o negócio necessite. Isso ocorre, 
justamente, para salvaguardar seus ativos sigilosos, veja os exemplos na 
Figura 2 e 3.
Nesse sentido, de acordo com Fontes (2008, p. 2): “O que diferencia 
o uso da informação entre as organizações é a necessidade de 
disponibilidade, a exigência de integridade e o rigor em relação ao sigilo 
que cada organização precisa para a sua informação”.
Figura 2 - Classificação da Informação sobre confidencialidade, 
integridade e disponibilidade
Fonte: Silva (2010, p. 45).
42
Quadro 2–Exemplo de modelo classificação da informação
Classificação 
da informação
Descrição Exemplos
Informação 
secreta
Não são todos os 
funcionários que 
têm autoridade 
para jugar uma 
informação secreta.
Essa prerrogativa só 
cabe ao Conselho 
Diretor, ao Conselho 
Fiscal, ao diretor-
presidente, ao diretor-
superintendente e aos 
demais diretores.
As informações que pode sem classificadas 
como secretas, entre outras, são:
• Planos ou detalhes de operações 
econômicas ou financeiras.
• Segredos de negócios.
• Decisões estratégicas, em planejamento 
ou sem divulgação autorizada.
• Planos ou detalhes de programas 
ou instalações estratégicas.
São passíveis de classificação, 
como reservadas, entre outras, as 
seguintes informações internas ou 
relacionadas a seus clientes:
• Relatório de vulnerabilidades.
• Relatório de gestão de riscos, de 
sistemas, de ambientes, de missão 
crítica, de negócio e de financeiro.
• Regras de configuração de 
equipamentos (firewall, roteadores, 
máquinas servidoras, e outras).
Fonte: adaptado de Lima (2018, p. 8).
Uma informação pode ser classificada com base em diversos critérios, 
de acordo com a norma ISO 27002, é recomendado que:
Convém que os resultados da classificação indiquem o valor dos ativos em 
função da sua sensibilidade e criticidade para a organização, em termos da 
confidencialidade, integridade e disponibilidade. (ABNT, 2013b, p. 25)
Com a criação da Lei nº 13.709/2018, chamada de Lei de Proteção de 
Dados Pessoais (LGPD), tem se discutido novos aspectos para classificar 
a informação, como: classificação de sigilo, classificação de criticidade, 
classificação de dado pessoal, classificação de atividade e classificação 
de coleta. Esses novos itens a serem considerados na classificação 
da informação, além dos termos de confidencialidade, integridade e 
disponibilidade, ficam sob a responsabilidade do gestor de segurança 
43
da informação analisar a necessidade de sua implementação de acordo 
com as regras de negócios da organização.
 A. Classificação da informação com relação a confidencialidade
Considerando a Figura 2 como descrição da classificação da 
informação com relação a confidencialidade, temos:
• A1) Confidencial, sigilosa ou secreta: constitui o nível mais alto 
de segurança. Em que são confidenciais as informações divulgadas 
a pessoas não autorizadas, interna ou externamente, e têm 
potencial para trazer grandes prejuízos financeiros ou à imagem da 
empresa. Elas devem ser protegidas, por exemplo, por criptografia. 
A integridade é vital neste nível e devem existir regras com severas 
restrições para o seu uso.
• A2) Restrita, reservado ou setorial: compõe o nível médio 
de segurança, sendo compostas por informações estratégicas 
que devem estar disponíveis apenas para grupos restritos de 
colaboradores, por exemplo: gerentes ou coordenadores. Elas devem 
ser protegidas, limitando o acesso à uma pasta ou diretório da rede, 
por exemplo. O acesso deve ser restrito dentro da organização e 
protegidos contra acesso externo, o acesso não autorizado pode 
trazer comprometimento às operações da organização e causar 
perdas financeiras. Neste nível, a integridade é vital.
• A3) Uso interno ou interna: representa o baixo nível de 
confidencialidade. São informações que não podem ser divulgadas 
para indivíduos de fora da organização, mas, caso isso aconteça, 
as consequências não serão críticas. A preocupação nesse nível 
está relacionada principalmente à integridade da informação. 
Por exemplo: normas corporativas, campanhas internas e 
memorandos internos.
• A4) Pública ou externa: são dados que não necessitam de proteção 
sofisticada contra vazamentos, pois podem ser de conhecimento 
público. No entanto, sempre cabe lembrar dos outros dois pilares: a 
disponibilidade e a integridade. Sua integridade não é vital e seu uso é 
livre, porém ela deve estar sempre disponível.
44
Nesse sentido, ressalta-se que a organização deve assegurar que 
a informação receba um nível adequado de proteção. Para isso, 
a informação deve ser classificada para indicar as necessidades, 
prioridades e os níveis esperados de proteção. Dessa forma, a entidade 
deve ter um sistema de classificação da informação, para que aquelas 
que sejam sensíveis e críticas para o negócio recebam tratamento 
específico, veja o exemplo na Figura 4.
De acordo com a Lei nº 12.527, de 18 de novembro de 2011 (chamada de 
Lei de Acesso à Informação), para classificação da informação em uma 
organização pública (como o caso do Governo Federal no Brasil) e militar 
é estabelecida na Seção II–Da Classificação da Informação quanto ao 
Grau e Prazos de Sigilo e de acordo com o art. 24 (BRASIL, 2011):
Art. 24. A informação em poder dos órgãos e entidades públicas, 
observado o seu teor e em razão de sua imprescindibilidade à segurança 
da sociedade ou do Estado, poderá ser classificada como ultrassecreta, 
secreta ou reservada. (BRASIL, 2011, art. 24)
Ainda, no parágrafo 1º, estabelece-se a seguinte classificação da 
informação, com relação a confidencialidade:
§ 1º Os prazos máximos de restrição de acesso à informação, conforme a 
classificação prevista no caput, vigoram a partir da data de sua produção 
e são os seguintes: I–ultrassecreta: 25 (vinte e cinco) anos; II–secreta: 15 
(quinze) anos; e III–reservada: 5 (cinco) anos. (BRASIL, 2011, 1º)
 B. Classificação da informação com relação a Integridade
Considerando a Figura 2 como descrição da classificação da 
informação com relação a integridade (proteger as informações 
contra alterações indevidas, intencionais ou acidentais), temos:
• B1) Registrada: são informações fundamentais para o negócio da 
organização, exige uma maior atenção quanto ao seu conteúdo, 
em caso de mudanças indesejáveis, podendo gerar resultados 
45
negativos tanto no contexto interno organizacional (causando 
danos ou resultados deturpados) como no contexto externo 
organizacional (afetando a imagem da organização).
• B2) Controlada: são informações reservadas ao contexto interno 
da organização e que não exigem os controles rígidos aplicáveis 
às classificadas como Registradas (B1), mas que exigem medidas 
atípicas de controle para alterações não autorizadas.
• B3) Normal: são informações que exigem controles quanto a 
alterações menos rigorosas que os aplicáveis as informações 
Controladas (B2).
Um exemplo do documento de classificação de informaçãoconsiderando a 
confidencialidade e integridade é apresentado na figura a seguir.
Figura 3 – Exemplo de classificação da informação do SERPRO
Fonte: SERPRO (2016, p. 28).
 C. Classificação da informação com relação a indisponibilidade
Segundo Fontes (2008, p. 80): “a indisponibilidade da informação 
é uma ameaça que tem o potencial de causar um grande impacto 
46
no negócio (financeiro ou de imagem) e também de comprometer 
a continuidade no mercado onde atua”.
Ainda, considerando a Figura 2 como descrição da classificação da 
informação com relação a indisponibilidade, temos:
• C1) Vital: são informações indispensáveis para a continuidade 
da organização, em que ocorrendo danos ou indisponibilidade 
por determinado período, causa perdas irrecuperáveis para a 
organização.
• C2) Crítica: são informações em que, ocorrendo danos de 
indisponibilidade por tempo acima do delimitado, origina graves 
perdas para a organização.
• C3) Comum: são informações em que, ocorrendo danos de 
indisponibilidade por tempo acima do permitido, ocasiona em 
graves perdas para a organização, então, não há necessidade de 
controles rígidos de contingência e recuperação aplicáveis como as 
informações vitais (C1) e críticas (C2).
Desse modo, é importante ressaltarmos que dentro da Classificação 
da Informação, temos os responsáveis inseridos no processo a serem 
considerados:
• Proprietário: é a pessoa responsável por assegurar que as 
informações e os ativos associados estejam adequadamente 
classificados. É o responsável por classificar as informações. 
Também tem como responsabilidade definir e realizar a análise 
crítica das classificações e restrições de acesso.
• Custodiante: responsável pela guarda do ativo da informação. 
Garante que o ativo da informação está sendo protegido conforme 
determinado pelo proprietário. Geralmente, não faz parte do 
grupo de acesso e, portanto, não está autorizado a acessar a 
informação.
47
• Grupos de acesso: pessoas, grupos de tralhado ou áreas 
autorizadas a terem acesso à determinada informação.
• Usuário: pessoa autorizada a interagir com a informação. Tem 
como base a necessidade de conhecer a informação para execução 
das tarefas.
1.2 Rótulos e tratamento da informação
Os rótulos atribuídos às informações classificadas, assim como o 
tratamento da informação, têm relacionamento direto com o grau de 
confidencialidade, integridade e disponibilidade delas, e devem ser 
citados na Política de Segurança da Informação.
A norma ISO/IEC 27002 afirma que:
Convém que um conjunto apropriado de procedimentos para rotular e 
tratar a informação seja desenvolvido e implementado de acordo com o 
esquema de classificação da informação adotado pela organização. (ABNT, 
2013b, p. 26)
1.2.1 Rótulos das informações
Depois de classificadas, as informações precisam ser rotuladas 
apropriadamente, ou seja, elas devem indicar os níveis de classificação 
que identificam o conteúdo daquela informação. Além disso, deve-se 
desenvolver orientações para cada tipo de ativo de informação, sobre 
como ele precisa ser rotulado.
Toda vez que um usuário receber um documento (um e-mail ou 
qualquer outro dado) é necessário saber sobre o seu nível de 
confidencialidade. O rótulo de um documento pode ser apresentado, 
por exemplo, no cabeçalho, porém isso fica a cargo do gestor de 
segurança da informação que está desenvolvendo o documento 
48
de classificação da informação e inserindo os rótulos. A norma de 
segurança da informação ISO/IEC 27001, de 2005, ao considerar rótulos 
de informação, ela não determina o que deve ser feito, ou seja, não 
descreve exatamente como serão os rótulos, então, é imprescindível 
criar regras próprias para a organização. Geralmente, a rotulagem da 
informação é de responsabilidade do proprietário da informação. Na 
Figura 4, você pode observar um exemplo dessa rotulagem em um 
documento de classificação da informação.
Figura 4 – Exemplo de rótulos em uma classificação da informação
Fonte: SERPRO (2016, p. 2).
1.2.2 Tratamento das informações
Após a informação ser classificada e rotulada, é o momento de 
realizar o tratamento da informação, afinal, esse é o objetivo final do 
processo. No entanto, é somente por meio do tratamento apropriado 
49
das informações que são fornecidas aos controles e a proteção 
apropriada, propondo assegurar sua confidencialidade, integridade e 
disponibilidade que é possível chegarmos ao objetivo final.
O tratamento da informação consiste em um conjunto de ações 
referentes à produção, recepção, classificação, utilização, acesso, 
reprodução, transporte, transmissão, distribuição, arquivamento, 
armazenamento, eliminação, avaliação, destinação ou controle da 
informação.
A norma ISO/IEC 27002 recomenda as seguintes diretrizes para sua 
implementação:
Convém que procedimentos sejam estabelecidos para o tratamento, 
processamento, armazenamento e a transmissão da informação, de 
acordo com a sua classificação. Convém que os seguintes itens sejam 
considerados: a) Restrições de acesso para apoiar os requisitos de 
proteção para cada nível de classificação; b) Manutenção de um registro 
formal dos destinatários de ativos autorizados; c) Armazenamento 
dos ativos de TI de acordo com as especificações dos fabricantes; 
d) Identificação eficaz de todas as cópias das mídias, para chamar a 
atenção dos destinatários autorizados. (ABNT, 2013b, p. 27)
Com o objetivo de possibilizar esse processo, é recomendável que 
sejam identificados os contextos que ocorrem no dia a dia das 
organizações, no que se refere ao fluxo de informações e, assim, 
para cada contexto devem ser estabelecidas as diretrizes básicas de 
tratamento em função do nível de classificação da informação.
Por sua vez, esses contextos e suas diretrizes formam o 
entendimento estrutural para o tratamento das informações, assim, 
a despeito das pessoas e áreas, o tratamento deve ser igual para as 
diversas situações e contextos.
50
Ainda, a norma ISO/IEC 27002 recomenda que:
Convém que procedimentos para o tratamento dos ativos sejam 
desenvolvidos e implementados de acordo com o esquema de 
classificação da informação adotada pela organização.
O esquema de classificação usado na organização pode não ser 
equivalente aos esquemas usados por outras organizações, mesmo se 
os nomes dos níveis são similares. (ABNT, 2013b, p. 27)
Na Figura 5, você pode observar um exemplo de todo o processo 
de tratamento da informação, em que as informações foram 
classificadas, rotuladas e tratadas.
Para finalizarmos, é importante apontar alguns benefícios que a 
classificação da informação traz para a organização a partir da Política 
de Segurança da Informação, sendo eles:
• Informações (ativos) adequadamente classificadas são menos 
vulneráveis a vazamento e quebra de integridade.
• Uma situação de risco é uma mais facilmente identificada, além 
de poder reagir em menor espaço de tempo, diminuindo os 
danos causados.
• Os procedimentos e ferramentas adotados de proteção mais 
apropriados a cada tipo de informação reduzem os custos e 
aumentam a segurança.
51
Figura 5–Exemplo de todo o processo de tratamento da informação
 
Fonte: adaptado de Schwaitzer (2016).
52
Por fim, neste tema, focamos nossos estudos na classificação das 
informações que deve ser feita a partir do alinhamento com a Política 
de Segurança da Informação. Além disso, detalhamos especificamente 
sobre a classificação da informação a partir da confidencialidade, 
integridade e disponibilidade da informação, desde conceitos até suas 
funções e aplicação. Abordamos sobre o processo de atribuição de 
Rótulos nas informações classificadas e, também, sobre o tratamento da 
informação que se inicia no objetivo e percorre todo o processo do ciclo 
de vida da informação.
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS–ABNT. ISO/IEC 16167: Segurança 
da Informação–Diretrizes para classificação, rotulação e tratamento da informação. 
Rio de Janeiro: ABNT, 2013a.
ASSOCIAÇÃOBRASILEIRA DE NORMAS TÉCNICAS – ABNT. ISO/IEC 27001: Tecnologia 
da informação–Técnicas de segurança–Sistemas de gestão de segurança da 
informação–Requisitos. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS–ABNT. ISO/IEC 27002: Tecnologia 
da Informação–Técnicas de Segurança – Código de Prática para controles de 
segurança da informação. Rio de Janeiro: ABNT, 2013b.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações 
previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 
da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga 
a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro 
de 1991; e dá outras providências. Brasília, DF: Presidência da República, [2011]. 
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.
htm. Acesso em: 15 out. 2020.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, DF: Presidência da República, [2018]. Disponível em: 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso 
em: 15 out. 2020.
FERNANDES, Edson Aguilera. Padrões, normas e política de segurança da 
informação (Série Universitária). São Paulo: Senac, 2019.
FONTES, Edison. Praticando a segurança da informação. Rio de Janeiro: Brasport, 
2008.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
53
LIMA, Adriano. Gestão da segurança e infraestrutura de tecnologia da 
informação. São Paulo: Senac, 2018.
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 2. ed. 
Rio de Janeiro: Elsevier, 2014.
SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS–SERPRO. Classificação dos 
ativos de informação do SERPRO. Brasília, DF: SERPRO, 2016. Disponível em: 
https://bit.ly/3ekEX5e. Acesso em: 11 jul. 2020.
SILVA, Luiz Fernando Costa Pereira. Gestão de riscos em tecnologia da 
informação como fator crítico de sucesso na gestão de segurança da 
informação dos órgãos da administração pública federal: estudo de caso da 
Empresa Brasileira de Correios e Telégrafos–ECT. 2010. Dissertação (Mestrado em 
Ciência da Informação e Documentação) Universidade de Brasília, Brasília, 2010.
SCHWAITZER, Lenora. Classificação da Informação. 2016. Disponível em: https://cutt.
ly/mplMqY2. Acesso em: 11 jul. 2020.
https://bit.ly/3ekEX5e
https://cutt.ly/mplMqY2
https://cutt.ly/mplMqY2
54
Políticas, normas e 
procedimentos práticos
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
Objetivos
• Entender na prática o desenvolvimento da Política 
Principal de Segurança de Informação de uma 
organização.
• Entender na prática o desenvolvimento das Políticas 
Complementares de Segurança de Informação de 
uma organização. 
• Compreender na prática como desenvolver a 
classificação, rotulagem e tratamento da informação 
em uma política de segurança da informação.
55
1. Políticas, normas e procedimentos práticos
Neste tema, você irá colocar em prática os itens que devem conter uma 
política de segurança da informação em uma organização. Além disso, 
você também verá na prática as normas, diretrizes, procedimentos 
e padrões que devem conter uma política de segurança alinhada as 
necessidades da organização.
1.1 Conceitos práticos sobre a Política de Segurança da 
Informação
A política de segurança da informação é um conjunto de práticas e 
controles adequados formado por diretrizes, normas e procedimentos, 
com objetivo de minimizar os riscos com perdas e violações em uma 
organização. Se ela for aplicada de maneira adequada, visa garantir 
a proteção das informações que são consideradas como um ativo 
essencial da organização.
Nesse sentido, é importante relembrar que, para iniciar o 
desenvolvimento de uma Política de Segurança da Informação em uma 
organização, o gestor ou especialista de segurança da informação deve 
analisar todos as regras de negócio e alinhar com as boas práticas de 
governança corporativa. Após isso, a alta gerência deve designar um 
Comitê de Segurança da Informação, em que é indicado, que o gestor de 
segurança da informação seja responsável por ele.
De acordo com a ISO 27002: “Convém que cada política de segurança 
da informação tenha um gestor que tenha aprovado a responsabilidade 
pelo desenvolvimento, análise crítica e avaliação das políticas de 
segurança da informação”. (ABNT, 2013b, p. 10)
Na Figura 1, enfatizamos como devem ser as instruções da Política 
de Segurança da Informação em cada nível. Desse modo, observe 
que, no nível estratégico cria-se a Política Principal de Segurança da 
Informação (PPSI) e, a partir dela, as políticas secundárias chamadas de 
56
Políticas Complementares. Ou seja, o nível Tático pode-se definir como 
uma Política Complementar ou como Normas Técnicas de Segurança 
da Informação. Já no nível Operacional, pode-se definir como Política 
Complementar ou como Padrões ou Procedimentos de Segurança. No 
entanto, isso depende de como a organização percebe que é o melhor 
para atender as suas regras de negócio. Na Figura 1 estão ilustradas as 
estruturas dos documentos.
Ainda, a norma ISO/IEC 27002 afirma que: “Políticas de segurança da 
informação podem ser emitidas em um único documento, política 
de segurança da informação ou como um conjunto de documentos 
individuais, relacionados”. (ABNT, 2013b, p. 9)
Figura 1–Estrutura hierárquica em níveis de Política de Segurança 
nas organizações
Fonte: elaborada pela autora.
2. Caso prático como exemplo
Para que você possa entender como deve ser desenvolvida uma Política 
de Segurança da Informação, utilizaremos uma organização-exemplo 
fictícia, porém, com o máximo de características reais para que você 
entenda na prática como deve ser a Política com todas as diretrizes, normas 
e procedimentos que a compõem. No Quadro 1 apresentamos toda a 
problemática enfrentada pela organização-exemplo fictícia “DC Couros”.
57
É importante ressaltar que, quando necessário, abordaremos sobre 
Políticas de Segurança da Informação reais, que estão divulgadas nas 
páginas das organizações brasileiras de maneira pública. Em razão disso, 
este material não tem por objetivo ser limitado, mas de mostrar a você o 
máximo de realismo prático em Políticas de Segurança da Informação e 
o quão importante ela é, consistindo assim, uma importante ferramenta 
para controle e gerenciamento dos ativos de qualquer organização.
Quadro 1 - Descrição do caso prático utilizando uma organização-
exemplo fictícia.
Organização DC Couros
A pequena organização DC Couros, foi fundada pelos amigos Bruce Wayne e Robin Grayson, nos 
anos 1960. Os dois amigos se juntaram e começaram a produzir sapatos sob medida no interior do Brasil. 
Com um trabalho sólido e consistente a pequena organização cresceu muito e começou a produzir vários 
artigos de couro, além de sapatos. Com a sua expansão, na atualidade, a DC Couros já trabalha exportando 
seus produtos para terras além das Tupiniquins, atingindo mercados internacionais em países como a Rús-
sia, Índia, China, Itália e Estados Unidos.
Os amigos Bruce e Robin (Presidente e Vice-Presidente, respectivamente) não pararam por aí, com 
toda as características de visionários, eles realizaram aquisições de uma frota logística de navios para entre-
ga dos seus produtos exclusivos e de qualidade com maior rapidez. Com esse salto gigantesco de expansão, 
a pequena DC Couros tornou-se uma gigante brasileira em exportação e entrega de produtos de couro em 
mercados internacionais, possuindo atualmente mais de 10.000 funcionários no Brasil e exterior.
Então, para gerenciar esta quantidade de colaboradores e um grande volume de produção e exporta-
ção dos produtos, foi necessário fazer toda uma reestruturação tecnológica, tanto em sistemas de e-commer-
ce e logística, como em equipamentos(datacenters, links dedicados de internet etc.). Preocupados com todo 
a expansão e melhoria tecnológica, a organização se esqueceu da Segurança da Informação.
Recentemente, a organização sofreu vários incidentes gravíssimos de segurança da informação, com 
violações de dados, de maneira recorrente. Tais como: acesso às informações pessoais de mais de 100 mi-
lhões de clientes através do equipamento de um colaborador, e também os equipamentos dos presidentes 
e vice-presidentes tiveram dados sequestrados por um código malicioso (ransomware). Além de campanhas 
de design para os próximos produtos a serem lançados em mercados internacionais da China e Rússia, que 
foram rastreados e vazaram para os concorrentes. Houve também a exploração da baixa segurança em 
um fornecedor, comprometendo seus sistemas de pagamento e usurpando os detalhes de pagamento de 
milhões de clientes. E, por último, um grande incidente foi a indisponibilidade do sistema de logística para 
carregamento e acompanhamento das cargas dos navios que ficaram indisponíveis por duas horas.
Todos esses incidentes na segurança da informação trouxeram para a organização vários impactos 
negativos, tanto financeiros como na imagem da empresa.
Então, o presidente e vice-presidente, em conjunto, decidiram tomar medidas mais drásticas e contra-
taram um especialista de segurança da informação com muitos anos de experiência, Sr. Alfred Pennyworth. 
Como o Sr. Alfred já lidou com problemas graves como estes, ele de imediato ao assumir o cargo, já propôs 
criar uma equipe de segurança da informação na organização e, iminentemente, os presidentes aprovaram. 
Também de maneira adjacente, ele criou o Comitê Gestor de Segurança da Informação e similarmente foi 
aprovado pelos presidentes.
Apesar de todo apoio da alta administração da organização, o Sr. Alfred e sua equipe estão enfrentan-
do muita resistência por parte dos usuários de toda organização DC Couros.
Então, com toda sua experiência e contando com o apoio da alta gerência e presidindo o Comitê Ges-
tor da Segurança da Informação, o Sr. Alfred propôs a criação da Política de Segurança da Informação 
visando assegurar a proteção dos ativos da empresa e, prontamente, foi analisado pelos presidente e apro-
vado para o seu desenvolvimento.
Fonte: elaborada pela autora.
58
2.1 Desenvolvimento da PSI para a Organização-
Exemplo
Com a criação do Comitê Gestor de Segurança da Informação (CGSI), 
que foi composto pelos responsáveis dos seguintes setores: da TI, do 
jurídico, da contabilidade, dos recursos humanos, da logística, da fábrica 
de produção e da gestão estratégica, foram realizadas algumas etapas 
de imediato, sendo elas:
1. Em reunião com toda a diretoria, a alta gestão da organização 
também determinou e aprovou o Sr. Alfred como gestor 
responsável pela Política de Segurança da Informação.
2. Desse modo, a ele foi atribuída a responsabilidade pelo 
desenvolvimento, análise crítica e avaliação de todas políticas de 
segurança da informação da organização, em consonância com a 
ISO/IEC 27002 (ABNT, 2013b), como a norma assim indica.
3. Foi discutido pelo comitê se seria indicado ter uma Política 
Principal que seria composta por Políticas Complementares do 
nível estratégico e operacional ou se a organização adotaria uma 
única Política que seria composta por Normas do nível Tático e 
Procedimentos do nível Operacional.
 3.1. O Sr. Alfred, devido a sua larga experiência em Políticas de 
Segurança da Informação, indicou a criação de uma Política 
Principal definida a partir do nível Estratégico e Políticas 
Complementares para os níveis Tático e Operacional da 
organização.
 3.2. O Comitê estabeleceu o desenvolvimento das Políticas de 
Segurança da Informação de acordo com a indicação do Sr. 
Alfred.
59
4. Na Política Principal de Segurança da Informação, para iniciar o 
desenvolvimento das Políticas, foi estabelecido que será também 
analisado pelo comitê:
• Todas as estratégias e regras de negócios da DC Couros.
• Todas as regulamentações, legislação e contratos.
• Todos os perfis de ameaças à segurança da informação.
 4.1. A partir destas 3 análises, indica-se a criação da Política 
Principal de Segurança da Informação da DC Couros, com 
todas as características e necessidades, estabelecendo assim o 
perfil específico da organização.
A estrutura de uma política de segurança da informação deve ser 
adaptada e flexibilizada de acordo com as regras de negócio da 
organização, para que atenda suas necessidades. O modelo estrutural 
sugerido não tem a pretensão de ser permanente e inalterável.
Na Figura 2, você pode observar um exemplo dos tópicos 1, 2 e 3 
(objetivo, abrangência e implantação, respectivamente), da Política 
Principal de Segurança da Informação da DC Couros (a organização-
exemplo), do nível 1 – tático.
60
Figura 2 – Parte inicial da Política Principal de Segurança da DC 
Couro
Fonte: elaborada pela autora.
61
O tópico “Diretrizes” consiste em uma parte importante da PPSI, pois são 
os controles que serão implantados na proteção da informação e que 
indica o direcionamento da organização; ou seja, as normas de conduta. 
Na figura a seguir, você pode observar o exemplo da organização fictícia 
DC Couros.
Figura 3 – Diretrizes da Política Principal de Segurança da 
Informação
Fonte: elaborada pela autora.
Uma outra parte importante desta Política Principal consiste na 
definição dos Papéis e Responsabilidades, parte dessas regras são 
mostradas na Figura 4, com um exemplo da organização fictícia DC 
Couros.
62
Figura 4 – Papéis e responsabilidade do CGSI da PPSI
Fonte: elaborada pela autora.
Lembrando que, todas as pessoas envolvidas na empresa devem ter 
os papéis e responsabilidades descritas e regulamentadas na Política 
Principal de Segurança da Informação. Veja o exemplo sobre as 
regras descritas de Papéis e Responsabilidades sobre os Usuários da 
Informação na figura a seguir.
Figura 5 - Papéis e responsabilidade dos usuários da informação 
da PPSI
Fonte: elaborada pela autora.
63
Fontes (2012) reitera a importância da descrição dos papéis e 
responsabilidades na Política Principal de Segurança da Informação:
São normas que explicitam que todos os cargos (e consequentemente 
todas as pessoas) possuem responsabilidades com o processo de 
segurança da informação e que orientações corporativas, como o código 
de ética, devem falar da proteção da informação, indicando dessa 
maneira que a segurança da informação deve ser uma preocupação da 
organização. (FONTES, 2012, p. 248)
O item sobre “Responsabilidade Complementares” pode descrever 
as Sanções e Punições para todos os colaboradores, pois, em caso 
de problemas, todos devem estar conscientes das sanções a serem 
aplicadas. Lembrando que a formalização destes tópicos na política e a 
assinatura de termos de sigilo e de responsabilidade devem anteceder 
qualquer tipo de medida administrativa.
Na figura a seguir é mostrado um exemplo da organização fictícia DC Couros.
Figura 6 – Descrição de sanções e punições de violações na PPSI
Fonte: elaborada pela autora.
64
Por sua vez, há as seções finais, Revisões e Gestão da Política, onde 
a seção “Revisões” determina o monitoramento constante acerca da 
implementação efetiva das normas previstas e a seção “Gestão da 
Política” estabelece por quem a PPSI foi aprovada, juntamente com a 
assinatura da Gerência Principal ou Presidência da organização. Na 
Figura 7 é mostrado um exemplo da organização fictícia DC Couros.
Figura 7 – Seções finais da PPSI
Fonte: elaborada pela autora.
No Nível 2–Estratégico temos as Políticas Complementares que 
devem ser elaboradas após o desenvolvimento da Política Principal e 
aprovação. Uma política muito importante que contribui para assegurar 
a confidencialidade, integridade e disponibilidade das informações na 
organização é a Classificação da Informação, Rotulagem e Tratamento 
da Informação.
Na Figura 8 é mostrado um exemplo dos tópicos 1, 2 e 3 (introdução, 
objetivo