Baixe o app para aproveitar ainda mais
Prévia do material em texto
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO W B A 04 58 _v 1. 0 2 Marcia Maria Savoine Londrina Editora e Distribuidora Educacional S.A. 2020 POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 1ª edição 3 2020 Editora e Distribuidora Educacional S.A. Avenida Paris, 675 – Parque Residencial João Piza CEP: 86041-100 — Londrina — PR e-mail: editora.educacional@kroton.com.br Homepage: http://www.kroton.com.br/ Presidente Rodrigo Galindo Vice-Presidente de Pós-Graduação e Educação Continuada Paulo de Tarso Pires de Moraes Conselho Acadêmico Carlos Roberto Pagani Junior Camila Braga de Oliveira Higa Carolina Yaly Giani Vendramel de Oliveira Henrique Salustiano Silva Juliana Caramigo Gennarini Mariana Gerardi Mello Nirse Ruscheinsky Breternitz Priscila Pereira Silva Tayra Carolina Nascimento Aleixo Coordenador Henrique Salustiano Silva Revisor Ítalo Diego Teotônio Editorial Alessandra Cristina Fahl Beatriz Meloni Montefusco Gilvânia Honório dos Santos Mariana de Campos Barroso Paola Andressa Machado Leal Dados Internacionais de Catalogação na Publicação (CIP)__________________________________________________________________________________________ Savoine, Marcia Maria S268p Políticas de segurança e classificação da informação/ Marcia Maria Savoine, – Londrina: Editora e Distribuidora Educacional S.A. 2020. 44 p. ISBN 978-65-87806-88-4 1. Política 2. Segurança 3. Informação I. Título. CDD 003 ____________________________________________________________________________________________ Raquel Torres - CRB: 6/278 © 2020 por Editora e Distribuidora Educacional S.A. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, da Editora e Distribuidora Educacional S.A. 4 SUMÁRIO Introdução à política de segurança da informação __________________ 05 ITIL, COBIT e governança na política de segurança da informação __ 21 Classificação da informação _________________________________________ 35 Políticas, normas e procedimentos práticos _________________________ 54 POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 5 Introdução à política de segurança da informação Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio Objetivos • Entender os conceitos de uma Política de Segurança da Informação. • Compreender a importância da Política de Segurança da Informação nas organizações. • Compreender a estrutura geral de uma Política de Segurança da Informação. 6 1. Introdução a Política de Segurança da Informação Neste tema, iniciaremos os estudos sobre os princípios da política de segurança da informação em uma Organização. Além disso, apresentaremos as características que uma política de segurança deve ter e especificaremos a estrutura de uma política de uso adequado. O conteúdo deste tema será de grande auxílio quando você estiver atuando na área para a qual está se especializando. 1.1 Segurança da informação A segurança é um assunto de recorrente discussão na atualidade, pois faz referência a bens de informação, independentemente do seu formato em uma organização, a informação é considerada um dos maiores patrimônios do mundo contemporâneo. Com enfoque na informação digital, para o desenvolvimento organizacional e, também, para a continuidade dos negócios, ela deve gerenciada e protegida. A segurança da informação visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações processadas por qualquer empresa. Essas características (integridade, confidencialidade e autenticidade) das informações estão intimamente relacionadas aos controles de acesso. Então, a Segurança da Informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e a sua missão seja alcançada (FONTES, 2012). 7 Importante relembrar: • Confidencialidade é a necessidade de garantir que as informações sejam divulgadas somente aos que estão autorizados a vê-las. • Disponibilidade é a necessidade de garantir que os propósitos de um sistema possam ser alcançados, e que ele esteja acessível àqueles que precisam. • Integridade é a necessidade de garantir que as informações não sejam alteradas acidentalmente ou deliberadamente, e que estejam corretas e completas (LIMA, 2018, p. 10). Nesse sentido, consideramos que a segurança da informação se inicia através da definição de uma política de segurança da informação clara e precisa acerca da proteção das informações. Assim, a política possui um dos papéis mais importantes nas organizações de qualquer natureza. 1.2 A Política de Segurança da Informação A Política de Segurança da Informação (PSI) deve ser compreendida como a interpretação do que a organização considera em relação à segurança, alinhando com os seus objetivos de negócio, estratégias e cultura. Então, é por meio de uma Política de Segurança da Informação que a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos. De acordo com a ISO 17799:2005, uma Política de Segurança da Informação é imprescindível para prover uma orientação de apoio da direção para a segurança da informação, isto de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. 8 Desse modo, é importante compreendermos que a política de segurança da informação é uma das diretrizes que compõem a segurança da informação em uma organização. Portanto, a política de segurança da informação caminha junto com as normas e procedimentos (que orienta os colaboradores, clientes e fornecedores e, também, a própria TI da organização), pois eles são documentos que se completam. Para iniciar o desenvolvimento de uma Política de Segurança da Informação em qualquer organização, o gestor deve analisar todos as regras de negócio, alinhar com as boas práticas de governança corporativa, pois não existe uma estrutura definida de uma Política de Segurança da Informação para as organizações seguirem. Ou seja, tudo depende das características do negócio, e também como a organização quer utilizá-las alinhados ao seu negócio. Em um documento de política é comum que ele tenha uma estrutura hierárquica, ou seja, ele é organizado em níveis, conforme demonstrado na Figura 1. Por sua vez, esses níveis devem estar sempre em conformidade com a política corporativa e prover diretrizes mais detalhadas para cada área específica. Figura 1–Estrutura hierárquica em níveis de Política de Segurança nas organizações Fonte: elaborada pela autora. 9 Nesse sentido, é importante entender que essa estrutura permite que a Organização entenda e planeje (antes de ter os regulamentos) como será o seu conjunto de documentos, que apresentaram em seus textos as regras de segurança da informação a serem seguidas por todo empresa. 1.2.1 Etapas de desenvolvimento da Política de Segurança da Informação Para iniciar o desenvolvimento da política de segurança da informação (ou de um conjunto de políticas), como também das normas e dos regulamentos, de acordo com Fontes (2018), é importante considerar que esse desenvolvimento seja feito por meio das seguintes etapas: a. Iniciar o projeto: • Fazer uma descrição do projeto com detalhamento suficiente para que ele seja compreendido por todos. Para isso, é importante uma boa justificativa para desenvolvê-lo. Após isto, apresentar o objetivo do projeto e o escopo do que deve ser definido. • Apresentar as restrições, isto é, os fatores que podem trazer empecilhos ou limitações ao projeto e impedir o desenvolvimento do produto final. • Determinar as situações ou compromissosque podem ocorrer durante a execução do projeto. Por exemplo: estabelecimento de datas de entregas, se ocorrer atrasos nas entregas, o que deve ser feito? • Determinar o que exatamente será o produto a ser entregue com riquezas de detalhes para não haver problemas ao final do projeto. b. Desenvolvimento do projeto: 10 • Nesta etapa é necessário realizar o levantamento de tudo que existe na Organização, como: regulamentos, normas, regras etc., e fazer uma análise bem aprofundada de cada um deles. • Para começar a estruturar a política em si, o Gestor da Segurança precisa conhecer profundamente as normas de segurança da informação, em particular, as normas internacionais divulgadas pela ISO/IEC, como: ISO/IEC 27001 e ISO/IEC 27002, que são normas específicas com indicações de controles de segurança da informação e gestão de requisitos de segurança da informação; como também frameworks de melhores práticas, como o ITIL e o COBIT, que ajudarão a gerenciar todo o processo de TI e a realizar o alinhamento com os negócios da empresa. • Depois destas duas subetapas, o Gestor de Segurança da Informação irá com cada representante das áreas da empresa (jurídica, negócio, recursos humanos e tecnologia da informação) para analisar, levantar os requisitos e apontar os itens ou características a serem inseridos para o desenvolvimento das políticas e normas de segurança da informação na organização. Não é uma decisão realizada apenas pelo Gestor de Segurança da Informação, mas em conjunto por todos que tem poder de decisão e influência na segurança da informação da Organização. • Após o desenvolvimento do projeto, o Gestor de Segurança da Informação deve identificar quem são as pessoas que assinarão cada documento. • Nessa etapa é importante destacar que os documentos desenvolvidos devem estar de acordo com o padrão dos documentos de regulamentação da organização. c. Entrega, comunicação e treinamento do produto final: • Com a conclusão do desenvolvimento das normas, procedimentos e regulamentos e sua aprovação, é necessário realizar oficialmente 11 a entrega. Isto deve ocorrer para que todos entendam e tenham acesso ao documento. • Em seguida, deve-se realizar treinamentos, pois, a partir da subetapa “Conclusão”, automaticamente, passamos para realização dos treinamentos. Somente com esta ação é consolidado a entrega, pois ela provoca a compreensão e a utilização efetiva das políticas e normas de segurança da informação pelos stakeholders da organização. d. Definição dos processos de manutenção e atualização: • É importante definir como ocorrerá a atualização das políticas e normas de segurança da informação. Nesse sentido, recomenda- se que seja elaborado um documento de uma política específica para a manutenção e atualização dos regulamentos. • Após isto, o projeto de desenvolvimento da política de segurança da informação se encerra. Considerando os níveis organizacionais apresentados na Figura 1, após a sequência de fases a serem seguidas para o desenvolvimento do documento da política de segurança da informação, devemos considerarmos o que cada nível representa nos documentos da PSI: • Nível estratégico: a organização descreve exatamente o deve ser feito, pois, é neste nível que são desenvolvidas as políticas e diretrizes. • Nível tático: a organização, com base nas políticas, cria as regras a serem adotadas, ou seja, as normas da organização. • Nível operacional: com base nas normas desenvolvidas, a organização define como as regras serão implementadas, ou seja, define os procedimentos da organização. 12 De acordo com Fontes (2012), essa estrutura é como uma Arquitetura da Política de Segurança da Informação em suas dimensões (na norma ISO/IEC 27002 são denominados como capítulos), associados aos níveis da organização, como você pode observar na Figura 2. Nesta estrutura, pode-se perceber que a Gestão de Risco e Regulamentação e Regras de negócio entram como suporte em consonância com as Políticas de Segurança da Informação. Figura 2 – Arquitetura da Política de Segurança da Informação em suas dimensões e níveis Fonte: Fontes (2012, p. 78). Nesse sentido, as dimensões mencionadas pelo autor se refere estão contidas na estrutura da Norma ISO/IEC 27002 (ABNT, 2013b). Por sua vez, essa norma é composta por 19 capítulos (numerados de 0 a 18), e nestes capítulos são distribuídos os 114 controles que devem ser considerados para as Dimensões da Segurança da Informação. 13 Além disso, a Dimensão Política de Segurança da Informação deve contemplar esses controles (os 114 controles contidos na norma ISO/ IEC 27002) para o desenvolvimento, implantação e manutenção dos regulamentos que vão compor o Processo Organizacional de Segurança da Informação, pois, uma vez que são utilizados mundialmente, mantem-se a estrutura. De acordo com Fontes (2012, p. 98), ao desenvolver a estrutura do documento da política, o Gestor da Segurança da Informação deve considerar as seguintes dimensões (Figura 2), sequencialmente: Acesso lógico à informação, Continuidade de negócio, Resiliência operacional, Desenvolvimento e aquisição de sistemas, Conscientização e treinamento de usuários, Acesso físico à informação, Gestão de riscos, Classificação da informação, Proteção técnica do ambiente computacional, Regulamentação legal e de mercado, Gestão de incidentes, Cópias de segurança, Tratamento forense de erros e fraudes. Ademais, ressaltamos que essa é apenas uma recomendação, pois cada empresa tem suas regras de negócio e características a serem abortadas para garantir a segurança da informação. Segundo Sêmola (2014), há outra estrutura para a Política de Segurança Informática nos níveis estratégico, tático e operacional, alinhando ao desenvolvimento de diretrizes, normas, procedimentos e instruções. Porém, na base da estrutura é alocado como pilares de sustentação à PSI: Natureza do Negócio, Cultura Organizacional, Ativos Físicos, Ativos Tecnológicos e Ativos Humanos, conforme a Figura 3. Essa estrutura é esclarecedora para entendermos exatamente em qual nível da Organização serão utilizadas as Diretrizes, Normas e Procedimentos que comporão a Política de Segurança da Informação da Organização. Além de estar desenvolvendo a Política considerando os itens: Natureza do Negócio, a Cultura Organizacional, os Ativos Físicos, os Ativos Tecnológicos e os Ativos Humanos, deve-se considerar os 14 níveis organizacionais (estratégico, tático e operacional), pois eles têm total influência simbiótica no documento da política. Figura 3 – Estrutura da Política de Segurança da Informação com seus pilares Fonte: Sêmola (2014, p. 106). Para entendermos exatamente o que cada documento deve realizar, temos: • Diretrizes: fornecem as orientações, descrevendo os aspectos que devem ser examinados em função de determinados pontos de vista de segurança. 15 • Normas: conjunto de regras gerais de segurança que se aplicam a todos os segmentos envolvidos. Geralmente, as normas são elaboradas com foco em assuntos mais específicos como: controle de acesso, uso da Internet, uso do correio eletrônico, acesso físico, instruções sobre senhas e realização de backups etc. Para isso, indica-se que sua elaboração seja da forma mais genérica possível e que compreenda a configuração padrão de certas plataformas. • Regulamentos: são mais detalhados que o documento de política. Normalmente, eles são considerados obrigatórios e sua não observância pode levar a procedimentos disciplinares. • Procedimentos: consiste em um conjunto de orientações ou recomendações para execução das atividades e instruções operacionais relacionadas à segurança. Trata-se de diretrizes operacionais detalhadas que devem ser efetuadas no momento da realização de um procedimento de segurança, ou seja, quais ações devem ser seguidas em caso de alguma ocorrência (ou incidente) de segurança da informação. É importante que exista uma estrutura de registro dessesprocedimentos executados (são as evidências objetivas), como logs de registro de acesso aos sistemas e equipamentos, troca de senha por períodos de tempos etc. 1.3 Estrutura de uma Política de Segurança da Informação Conforme dito anteriormente, a Política de Segurança é um conjunto estruturado de documentos que consistem em diretrizes, normas, procedimentos e instruções destinadas simultaneamente aos níveis estratégico, tático e operacional; com o objetivo de instituir, padronizar e normatizar a segurança tanto no escopo humano como no tecnológico, então, é importante explicar como cada documento se relaciona com a política de segurança da informação e qual será o produto final entregue. 16 Antes de expor como cada elemento relaciona-se a PSI, é necessário recomendar que, na construção das políticas e normas de segurança da informação, um Gestor da Segurança da Informação ou um Consultor de Segurança da Informação deve conduzi-la. Essa não é atividade para um gestor executivo ou administrativo, mas para alguém específico da área de segurança da informação. • Estratégico–Nível 1: políticas e diretrizes Essa política deve ser utilizada, transmitida e processada em todo o ambiente da organização. Ou seja, para todos os usuários (colaboradores, prestadores de serviços e estagiários) que utilizam as informações da organização, como também a todas as organizações que compõem o Grupo da Organização (filiais, unidades etc.) Quadro 1–Modelo de Documento de Política e Regulamentos Nível 1 1. Objetivo. 2. Abrangência. 3. Implantação ou Implementação. 4. Definições. 5. Diretrizes e Regras. 6. Responsabilidades Complementares. 7. Conclusão. 8. Anexos. Fonte: elaborado pela autora. • Tático–Nível 2: políticas e diretrizes Esta política deve ser utilizada, transmitida e processada em todo o ambiente da organização, ou seja, para todos os usuários (colaboradores, prestadores de serviços e estagiários) que utilizam as informações da organização. Porém, como a estrutura é destinada ao Nível 2, ela deverá ter uma política para cada um dos itens: Acesso à Informação, Recursos de Tecnologia, Desenvolvimento, Aquisição 17 de Sistemas, Acesso Físico/Acesso Lógico, Cópias de Segurança, Classificação da Informação, Continuidade do Negócio, Conscientização/ Treinamento em Segurança. Neste nível, há efetivamente todo o controle da segurança da informação de minimizar possíveis danos e questionamentos sobre o que pode, o que não pode e o que é obrigatório em relação aos usos das tecnologias e serviços. Nesse sentido, é importante ressaltarmos que na estrutura dessa política, o tópico “Regras”, onde deve explicitar ao usuário que, o não cumprimento das regras descritas neste documento que complementam a Política de Segurança e Proteção da Informação constitui falta grave, e o usuário está sujeito às penalidades administrativas ou contratuais. Isto fará diferença principalmente em organizações de ambientes críticos, como em locais que tratam com a vida humana, como laboratórios de manipulação de material radioativo, usinas nucleares etc. Quadro 2–Modelo de Documento de Política e Regulamentos Nível 2 1. Objetivo. 2. Abrangência. 3. Implementação. 4. Política de Segurança e Proteção da Informação. 5. Definições. 6. Regras. 7. Responsabilidades Complementares. 8. Conclusão. 9. Anexos. Fonte: elaborado pela autora. • Operacional–Nível 3 e Demais Níveis: Normas e procedimentos No nível operacional, no documento da política são descritas as regras e os procedimentos de segurança da informação, ou seja, aonde deve ser aplicada, comunicada e conferida em todo o ambiente que o pessoal 18 técnico de desenvolvimento e manutenção de sistemas ou do ambiente de tecnologia utilizem na organização. Isto é, são regulamentos que se aplicam a todos os usuários que utilizam as informações do ambiente de tecnologia da organização. Quadro 3–Modelo de Documento de Política–Normas e Procedimentos Nível 3 1. Objetivo deste Regulamento 2. Abrangência deste Regulamento 3. Implementação deste Regulamento 4. Definições 5. Regras e Procedimentos 6. Controles e Responsabilidades 7. Conclusão Fonte: elaborado pela autora. Para o nível 3, a norma ISO/IEC 27002 (ABNT, 2013b) indica que: No nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas de tópicos específicos, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização ou para cobrir tópicos específicos. (ABNT, 2013b, p. 110) As normas são variáveis de acordo com os tipos de ambientes e recursos que as regras de negócio da organização determinam. Exemplificando, em uma organização bancária, o acesso às informações dos usuários com os devidos níveis de criticidade é totalmente diferente de uma usina nuclear, mas todos têm obrigatoriamente regras e procedimentos, porém, com características diferentes, assim como sua implementação do regulamento. De maneira geral, os produtos finais que compõem toda a Documentação da Política de Segurança da Informação são: 19 • Carta ao presidente ou ao executivo principal. • Diretrizes de Segurança da Informação. • Normas Gerais de Segurança da Informação. • Procedimentos Operacionais e Instruções Técnicas. A carta ao presidente é fundamental em toda política, pois é sua assinatura que autoriza sua implementação na organização, como a data da sua última alteração e em quando iniciou sua validade. Com essas informações, todos na empresa estão cientes de que é uma implementação em toda a organização, e será realizado o controle de atualizações, obtendo uma melhor gestão das atualizações. Importante relembrar: A Norma ISO 27002 (ABNT, 2013b) faz uma observação importante: convém que um documento da política de SI seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Neste tema, você estudou sobre todos os principais conceitos sobre a Política de Segurança da Informação e sua estrutura, assim, ficou mais simples de entender a importância de se ter uma Política de Segurança da Informação e, partir disto, desenvolvê-la dentro do contexto das regras de negócio de uma organização. Referências Bibliográficas ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. ISO/IEC 17799. Tecnologia da informação–Técnicas de segurança–Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 20 ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. ISO/IEC 27001. Tecnologia da informação–Técnicas de segurança–Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2013a. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. ISO/IEC 27002. Tecnologia da informação–Técnicas de segurança–Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013b. AGUILERA, Fernandes Edson. Padrões, normas e política de segurança da informação. São Paulo: Senac, 2019. FONTES, Edison. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. FONTES, Edison. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018. LIMA, Adriano. Gestão da segurança e infraestrutura de tecnologia da informação. São Paulo: Senac, 2018. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2014. 21 ITIL, COBIT e governança na política de segurança da informação Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio Objetivos • Expor os princípios fundamentais da Governança de TI em consonância com a Política de Segurança da Informação. • Apresentar uma visão geral do CobiT em consonância com a Política de Segurança da Informação. • Compreender o conceito da ITIL e as melhores práticas em conformidade com a Política de Segurança da Informação. 22 1. Governança, COBIT e ITIL na Políticade Segurança da Informação Neste tema, você entenderá como os princípios de governança, juntamente com as boas práticas dos frameworks COBIT e ITIL e o conceito de segurança da informação, podem auxiliar em uma efetiva implementação de uma política de segurança da informação em uma organização. Além disso, serão expostas as características de alinhamento do COBIT, ITIL em uma política de segurança da informação. 1.1 Governança em Política de Segurança da Informação Ao trabalharmos com o desenvolvimento e implantação da política de segurança da informação em uma organização, e para que todas as ações e processos sejam bem fundamentados, eles devem ser realizados em conformidade com a governança corporativa e também com a governança de TI (Tecnologia da Informação), que consequentemente serão alinhados à Segurança da Informação da organização e, automaticamente, implicará em processos já bem definidos para efetivação da Política de Segurança da Informação. Assim, é importante ressaltarmos que uma política de segurança a informação deve estar aderente a governança de TI de uma organização. E a governança de TI da organização deve estar alinhada à governança corporativa da organização. Nesse sentido, o IBGC (2015, p. 20) define Governança Corporativa como: O sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa 23 convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum. Portanto, a Governança Corporativa é o padrão, modelo ou sistema pelo qual a organização é dirigida e gerenciada, utilizando as melhores práticas para criar mecanismos de proteção, transparência, equidade, auditoria e responsabilidade corporativa com seus stakeholders (acionistas, executivos, conselheiros, clientes, fornecedores, entre outros). Alinhado ao conceito de Governança Corporativa, temos a Governança de TI, que é responsável por definir como funcionam toda a infraestrutura de TI (processos, softwares e hardwares) e verificar se as normas e políticas estão sendo seguidas corretamente. Na Figura 1, você pode observar esse alinhamento entre Governança Corporativa e Governança de TI. Figura 1 - Integração entre Governança Corporativa e Governança de TI Fonte: Fernandes e Abreu (2014, p. 28). 24 Considerando que a Governança de TI é um desdobramento da governança corporativa, atuando como uma estrutura de controle e estabelecendo políticas, normas e regras que orientam os processos de tecnologia da informação. Por sua vez, realizar o monitoramento dessas normas e verificar se estão sendo seguidas, garante que a TI está contribuindo para alcançar os objetivos estratégicos da organização, diminuindo as chances de riscos ao negócio. A ISO/IEC 38500 (ABNT, 2009), sobre Governança de TI, define que: Governança Corporativa de TI como o sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. Governança Corporativa de TI significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos. Inclui a estratégia e as políticas de uso da TI dentro da organização. (ABNT, 2009, p. 3) Ainda segundo a norma ISO/IEC 38500 (ABNT, 2009), além de definir os princípios, a norma também recomenda que os dirigentes governem a TI por meio de três tarefas principais: avaliar o uso atual e futuro da TI; orientar a preparação e a implementação de planos e políticas para assegurar que o uso da TI atenda aos objetivos do negócio; e, por fim, monitorar que as políticas e o desempenho definido nos planos sejam cumpridos. Desse modo, a Governança de TI possui alguns fatores motivadores que a impulsionam a ser eficaz em uma organização, conforme a figura seguir. 25 Figura 2 – Fatores motivadores da Governança de TI Fonte: Fernandes e Abreu (2014, p. 7). Considerando os fatores motivadores citados por Fernandes e Abreu (2014, p. 7), em específico, a Segurança da Informação, que também é considerada uma subárea da Governança de TI, é composta por uma política de segurança da informação que visa garantir a integridade do negócio. Portanto, nesta estrutura de governança de segurança, a política de segurança da informação é um dos seus elementos primordiais, pois visa garantir a integridade do negócio. 1.2 O COBIT na Política de Segurança da Informação O COBIT (Control Objectives for Information and Related Technology, em inglês, ou Objetivos de Controle para a Informação e Tecnologia Relacionada, em português) foi desenvolvido e difundido pelo ISACA (Information System Audit and Control), e lançada sua primeira versão no ano de 1996, denominada COBIT1, e a sua última versão é o COBIT5, 26 lançada no final de 2012. Ele consiste em um framework de governança e gestão corporativa de TI focado em princípios, transformando-o em um framework orientado por princípios. Por sua vez, o COBIT 5 é composto pelos seguintes princípios: 1º princípio–atender às necessidades das partes interessadas; 2º princípio– cobrir a organização de ponta a ponta; 3º princípio–aplicar um modelo único integrado; 4º princípio–permitir uma abordagem holística; e, por fim, 5º princípio–distinguir a governança da gestão. Figura 3 – Princípios do COBIT 5 Fonte: ISACA (2015, p. 15). De acordo com ISACA (2015, p. 15): “O COBIT 5 ajuda as organizações a criar valor por meio da TI, mantendo o equilíbrio entre a realização de benefícios e a otimização dos níveis de risco e de utilização dos recursos”. 27 Justamente por apontar que o COBIT 5 ajuda as organizações a criar valor por meio da TI, nesta sua última versão foi criado um conjunto de produtos denominado como família de produtos COBIT 5, sendo: COBIT 5 (o modelo), Guias de Habilitadores do COBIT 5 (são os Habilitadores de Governança e Gestão), Guias Profissionais do COBIT 5 (incluem itens do COBIT 5: para Implementação, para Segurança da Informação, para Risco, para Garantia e para Programa de Avaliação), e um ambiente colaborativo on-line (para apoiar o uso do COBIT 5). Na Figura 3, você pode observar a estrutura da família de produtos COBIT 5. Figura 4 – Família de Produtos COBIT 5 Fonte: Axelos (2019, p. 13). Apesar do COBIT ser um framework voltado à Governança de TI, em sua versão 5 a grande pretensão da ISACA é que todos os produtos (por constituir uma família de produtos) cubram toda a organização e forneça uma base para integrar estes outros modelos, padrões e práticas como um modelo único. Logo, deve-se observar que o framework é um modelo genérico que pode ser utilizado em todos os tipos e tamanhos de organizações. Desse modo, o COBIT 5 interliga o conceito de governança de TI com vários conceitos importantes da Tecnologia da Informação, entre 28 eles a Segurança da Informação e, especificamente, uma Política de Segurança da Informação. O próprio framework em seu Apêndice E, também permite se alinhar a outros importantes padrões e modelos do mercado (quando pertinentes), como: ITIL, PMBOK, COSO e Normas Internacionais da ISO (por exemplo: 27002 e 38500), CMMI, entre outros. Isto ajudará as partes interessadas a entender como os diversos modelos, boas práticas e padrões se inter-relacionam e como elas podem ser usadas em conjunto. Ainda, considerando o ISACA (2015), em especificamente dentro da Dimensão dos Habilitadores do COBIT 5, enfocando o item Segurança da Informação dentro da tabela de Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI, é indicado que tenha três itens importantes, como: gestão de risco organizacional, conformidade com as leis e regulamentosexternos; continuidade e disponibilidade do serviço de negócio e conformidade com as políticas internas. Por sua vez, esses itens são desdobrados no Processo Gerenciar Segurança, mostrado na figura a seguir. Figura 5 – Processo Gerenciar Segurança no COBIT 5 Fonte: Axelos (2019, p. 53). Para percebemos como a Segurança da Informação e a Política de Segurança da Informação na versão 5 do COBIT é um item importante no framework, a ISACA (2015, p. 30) afirma que: 29 A necessidade de segurança da informação exige a criação e adoção de diversas políticas e procedimentos. Essas políticas, por sua vez, exigem a implementação de diversas práticas de segurança. No entanto, se a cultura e a ética da organização e das pessoas não forem apropriadas, os processos e os procedimentos de segurança das informações não serão efetivos. Desse modo, o COBIT 5, ao ser utilizado nas práticas de gestão de segurança da informação, possibilitará que a organização identifique em sua Política de Segurança da Informação itens relevantes e necessários e, também, adote as recomendações para sua elaboração e implantação. 1.3 ITIL na Política de Segurança da Informação A ITIL (Information Technology Infrastructure Library, em inglês, ou Biblioteca de Infraestrutura para a Tecnologia de Informação, em português) consiste em um conjunto de boas práticas para o gerenciamento dos serviços de TI por meio de bibliotecas que fazem parte de cada módulo de gestão, tendo como foco maior os serviços de TI em si. Esse conjunto de boas práticas foi desenvolvido no fim dos anos 1980 pela Agência Central de Computação e Telecomunicações (CCTA) do governo britânico, ele se encontra em sua versão 4, denominado ITIL 4, publicado em 2019. O principal objetivo da ITIL é a melhoria da qualidade dos serviços de tecnologia da informação de uma organização por meio de uma gestão com foco no cliente. O trabalho será feito usando um conjunto de processos e procedimentos de governança, especificamente a ITIL 4, que oferece uma versão mais ágil, flexível e adaptável para as organizações atuais. Essa última versão incentiva a maior colaboração, comunicação em toda a organização, além da integração das metodologias Agile, Lean e DevOps. 30 A ITIL V4 consiste em dois componentes chave, sendo: Modelo de Quatro Dimensões e o Sistema de Valor de Serviço (SVS). As quatro dimensões que são definidas na ITIL 4 devem ser consideradas para garantir uma abordagem holística ao gerenciamento de serviços, sendo elas: organizações e pessoas; informação e tecnologia; parceiros e fornecedores e fluxos de valor e processos, em que essas dimensões são aplicáveis ao SVS em geral e aos serviços específicos. A grande mudança da ITIL 4 é o SVS (Sistema de Valor de Serviço), que consiste em um novo modelo que é menos orientado a processo e mais orientado ao valor. Com isso, temos os cinco componentes (mostrados na Figura 4) que compõem o Sistema de Valor do ITIL 4: 1ª. Os princípios norteadores, que se tratam das recomendações que orientam a organização em todas as circunstâncias. 2ª. A Governança, que faz o direcionamento e o controle em uma organização. 3ª. A Cadeia de Valor de Serviço, que consiste em um conjunto de atividades interligadas que a organização executa para entregar um produto ou serviço ao consumidor final, facilitando, portanto, a realização de valor. 4ª. Os Princípios Orientadores, que consistem em uma recomendação que orienta uma organização em qualquer circunstância. Independentemente de mudanças nos objetivos, na estratégia, no tipo de trabalho e da estrutura de gerenciamento de serviços. 4ª. As Práticas, que são conjuntos de recursos organizacionais em projetos para atingir um objetivo. 5ª. A Melhoria Contínua, que representa a atividade organizacional recorrente, realizada em todos os níveis organizacionais para garantir que o desempenho de uma organização atenda continuamente às expectativas das partes interessadas. 31 A ITIL é composta por nove princípios norteadores que abrangem o gerenciamento de mudanças organizacionais, comunicação, medição e métricas. Esses princípios incluem: foco no valor; comece por onde você está; progrida iterativamente com feedback; colabore e promova a visibilidade; pense e trabalhe de forma holística; mantenha simples e prático; otimize e automatize. Na Figura 4, você pode observar como esses princípios orientadores são utilizados no novo conceito SVS do ITIL 4. Figura 6 – Sistema de Valor do Serviço do ITIL 4 Fonte: Lyra (2020, p. 5). A ITIL 4 inclui 34 práticas de gerenciamento com diferentes combinações destas práticas, que trabalham em conjunto para agregar valor e atingir o objetivo. Então, para cada prática, a ITIL 4 fornece vários tipos de orientação como: termos e conceitos-chave, fatores de sucesso, atividades-chave, objetos de informação, entre outros. Além disso, essas 34 práticas da ITIL 4 estão agrupadas em três categorias: a) práticas gerais de gerenciamento; b) práticas de gerenciamento de serviços e c) práticas de gerenciamento técnico. Toda 32 a estrutura de cada categoria com a composição das práticas é listada no Quadro 1. Quadro 1 – Gerenciamento de práticas do ITIL 4 CATEGORIAS a) Práticas gerais de geren- ciamento b) Práticas de gerenciamen- to de serviços c) Práticas de gerenciamen- to técnico 1) Gerenciamento de estra- tégia. 2) Gerenciamento de port- fólio. 3) Gerenciamento de arqui- tetura. 4) Gerenciamento financeiro de serviços. 5) Gerenciamento de talento e força de trabalho. 6) Melhoria contínua. 7) Medição e relatórios. 8) Gerenciamento de riscos. 9) Gerenciamento de se- gurança da informação. 10) Gestão do conhecimento. 11) Gerenciamento de mu- danças organizacionais. 12) Gerenciamento de proje- tos. 13) Gerenciamento de rela- cionamento. 14) Gerenciamento de forne- cedores. 1) Análise de negócio. 2) Gerenciamento de catálo- go de serviços. 3) Design de serviço. 4) Gerenciamento de nível de serviço. 5) Gerenciamento de dispo- nibilidade. 6) Gerenciamento de capa- cidade e desempenho. 7) Gerenciamento de conti- nuidade de serviço. 8) Monitoramento e geren- ciamento de eventos. 9) Central de serviço. 10) Gerenciamento de inci- dentes. 11) Gerenciamento de requi- sição de serviço. 12) Gerenciamento de pro- blemas. 13) Gerenciamento de libera- ção. 14) Habilitação de mudança. 15) Validação e teste de ser- viço. 16) Gerenciamento de confi- guração de serviço. 17) Gerenciamento de ativos de TI. 1) Gerenciamento de implan- tação. 2) Gerenciamento de infraes- trutura e plataforma. 3) Desenvolvimento e geren- ciamento de software. Fonte: adaptado de Axelos (2019). De acordo com Fontes (2012), a política de segurança da informação aparece como um importante elemento no Gerenciamento da Segurança da Informação no ITIL. Considerando que uma organização 33 deseja utilizar o ITIL, ela precisará considerar a prática de segurança da informação e, consequentemente, precisará ter uma efetiva e estruturada Política de Segurança da Informação. A ITIL 4 faz referência a Segurança da Informação com a indicação do uso de Política de Segurança da Informação para se manter ou garantir que não ocorram incidentes com os dados nas organizações. A segurança exigida é estabelecida por meio de políticas, processos, comportamentos, gerenciamento de riscos e controles, que devem manter um equilíbrio entre: Prevenção Garantir que não ocorram incidentes de segurança; Detecção rápida e confiável de incidentes que não podem ser evitados; Correção Recuperando-se de incidentes após serem detectados. (AXELOS, 2019, p. 114) Consideramos que, de maneira geral, a ITIL 4 tem como objetivo oferecer um conjunto de recomendações universais que podem nortear as organizações passando por todos os níveis (do estratégico ao operacional) e dar suporte para que as ações sejam bem-sucedidas, com decisões adequadas com relação a segurança da informação, sendo um produto, um serviçoou projetos para a organização como um todo. Com este conteúdo, esperamos que você tenha compreendido como os conceitos de governança e os frameworks ITIL e COBIT podem ser agregados na política de segurança da informação. Antes de avançarmos, caso encontre dificuldades, revise os conteúdos para tirar suas dúvidas. Referências Bibliográficas ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS–ABNT. ISO/IEC 38500: governança corporativa de tecnologia da informação. Rio de Janeiro: ABNT, 2009. AXELOS. ITIL–Information Technology Infrastructure Library. 4. ed. London: AXELOS, 2019. 34 INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA–IBGC. Código das melhores práticas de governança corporativa. 5. ed. São Paulo: IBGC, 2015. ISACA. COBIT–Control Objectives for Information and Related Technologies. COBIT 5–Modelo Corporativo para Governança e Gestão de TI da Organização. Illinois: ISACA, 2015. INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA–IBGC. Código das melhores práticas de governança corporativa. 5. ed. São Paulo: IBGC, 2015. FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014. FONTES, Edison. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. LYRA, Mauricio Rocha. Gerenciamento de serviços de TI com ITIL®v4: Volume 5– Sistema de valor do serviço – SVS. Itu: Amazon, 2020. 35 Classificação da informação Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio Objetivos • Entender os conceitos de Classificação da Informação. • Compreender os conceitos de Rótulos e Tratamento da Informação. • Compreender a estrutura geral da Classificação da Informação, contendo os rótulos e tratamentos da informação. 36 1. Classificação da informação Iniciaremos este conteúdo relembrando que a política de segurança da informação caminha junto com as normas e os procedimentos (que orientam os colaboradores, clientes e fornecedores e, também, a própria TI da organização), pois são documentos que se completam. Nestes documentos, vários conceitos são aplicados quando se trata de proteger as informações de uma organização. Neste contexto, você aprenderá como classificar, rotular e tratar uma informação a fim de tornar o processo de segurança da informação mais transparente, detalhado e eficiente. Na atualidade, a informação assume uma importância crescente. Ela se tornou fundamental nas organizações para a descoberta e introdução de novas tecnologias, na exploração de oportunidades de novos negócios, além de ser uma ferramenta estratégica para competitividade. Assim, pode-se afirmar que a informação, em conjunto com recursos tecnológicos, é uma necessidade para o funcionamento tático, estratégico e operacional de qualquer organização. Diante disso e em plena era digital, os dados são os maiores bens de uma organização e devem ser protegidos e, portanto, a segurança da informação se torna cada vez mais essencial nesse cenário. Pois, quando aplicada, ela garante que apenas pessoas autorizadas tenham acesso aos dados da organização. Lembrando que, o ativo principal de uma organização é a informação, por isso devemos garantir sua segurança. 37 Na implementação de segurança da informação em uma organização, um item que merece uma atenção específica é a Classificação da Informação. Por ser uma atividade essencial para a gestão de Segurança da Informação dentro de uma organização, ela deve ser viabilizada por meio da elaboração de um documento que será utilizado em conjunto com a política de segurança da informação da organização. A Norma ISO 27002 (ABNT, 2013b) prevê, no item 8.2, a Classificação da Informação, que tem por objetivo: “assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização”. (ABNT, 2013b, p. 25) Então, para atender esse item, é importante garantir que a informação seja classificada. Desse modo, ainda, a ISO 27002 (ABNT, 2013b, p. 25) recomenda que: “a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.” A ISO tem uma outra norma que oferece suporte e apoio à Classificação da Informação, que é a ISO/IEC 16167, de 2013, que trata da Segurança da Informação com Diretrizes para classificação, rotulação e tratamento da informação. Em geral, a ISO 16167 é usada em conjunto com a ISO 27002, que trata do Código de Prática para controles de segurança da informação. Isso ocorre, pois, a última, a ISO 27002, recomenda o uso da ISO 16167. Nesse contexto, é importante ressaltar que uma Política de Segurança da Informação coerente e consistente deve ter uma seção que trate da Classificação da Informação e que contenha regras, que possam garantir a segurança da informação da organização. Essas regras, 38 indicadas dentro da Política de Segurança da Informação, podem ser geradas em um documento a parte, com todos os detalhamentos da Classificação da Informação que a organização necessita. Então, o documento que trata da Classificação da Informação define o tipo de informação que será classificada e quais os grupos que terão acesso a ela. Porém, antes da Classificação da Informação, é necessário conhecer o Ciclo de Vida da Informação. Por sua vez, o ciclo de vida da informação é o registro ou o histórico da informação desde o momento de sua criação até o seu descarte. Assim, um dado gerado permanece disponível pelo tempo necessário, sofre atualizações e, após perder sua utilidade, deve ser descartado de maneira adequada. Nesse sentido, ao separar a informação de maneira sistemática e organizada, devemos considerar todos os aspectos ligados à sua segurança, ou seja, as propriedades que devem ser preservadas e protegidas para que a informação esteja efetivamente controlada e, principalmente, destacar as fases ou etapas que fazem parte de seu ciclo de vida. Há três propriedades principais que devem ser preservadas e protegidas: confidencialidade, integridade e disponibilidade, além das propriedades complementares: autenticidade, auditabilidade, não repúdio, responsabilidade e privacidade, que complementam essa influência. Importante relembrar: De acordo com Fernandes (2019, p. 14), há as propriedades principais ou fundamentais, além das propriedades complementares da Segurança da Informação, conforme o quadro a seguir. 39 Quadro 1 - Resumo dos princípios de Segurança da Informação Fundamentais (CID) Complementares Confidencialidade As informações são acessadas apenas por agentes explicitamente autorizados Autenticidade É garantida a veracidade da identidade e das informações dos agentes. Auditabilidade Todas as atividades são monitoradas e registradas em trilhas de auditoria Integridade São mantidos os níveis de acuidade e completeza das informações Não repúdio A identidade do agente responsável por uma ação é inquestionável Responsabilidade Os agentes são responsáveis pelo resultado de suas atividades sobre as informações Disponibilidade As informações estão sempre disponíveis para atendimento da demanda Privacidade Todo indivíduo tem controle de suas informações pessoas armazenadas Fonte: adaptado de Fernandes (2019, p. 14). De acordo com Sêmola (2014, p. 10), as fases que compõem o ciclo de vida da informação são: • Manuseio: trata-se do momento da criação e da manipulação da informação, seja esta física ou virtual. • Armazenamento: trata-se do armazenamento da informação, seja ele em arquivos físicos ou em bancos de dados de sistemas computadorizados. • Transporte: momento em que a informação é transportada, seja ao encaminhar informações por e-mail, via correspondência ou via telefone, por exemplo. 40 • Descarte: ato de descartar a informação, quando esta deixa de ser relevante; por exemplo: apagar informações de computadores ou depositar documentos na lixeira.Cada fase do ciclo de vida da informação tem relação com alguma propriedade de segurança da informação, sendo que é isso que faz com que possa ser garantido a segurança da informação naquela fase (Figura 1). Figura 1 – Fases do ciclo de vida da informação considerando os pilares de segurança da informação Fonte: Sêmola (2014, p. 11). 1.1 Itens para classificação da informação A classificação da informação é utilizada para definir diferentes níveis de sensibilidade no qual a informação deve ser organizada. Então, a 41 ação de classificar é atribuir a classificação adequada, como: pública, interna e confidencial; mas podem existir outros níveis, de acordo com a necessidade do negócio. Por exemplo, geralmente as organizações utilizam 4 níveis de sensibilidade; para organizações privadas utiliza-se: pública, interna, confidencial e restrita; para organizações públicas são utilizadas: governo brasileiro ultrassecreto, secreto, confidencial e reservado. Ressaltamos que, a classificação poderá seguir tantos níveis de sensibilidade da informação quanto o negócio necessite. Isso ocorre, justamente, para salvaguardar seus ativos sigilosos, veja os exemplos na Figura 2 e 3. Nesse sentido, de acordo com Fontes (2008, p. 2): “O que diferencia o uso da informação entre as organizações é a necessidade de disponibilidade, a exigência de integridade e o rigor em relação ao sigilo que cada organização precisa para a sua informação”. Figura 2 - Classificação da Informação sobre confidencialidade, integridade e disponibilidade Fonte: Silva (2010, p. 45). 42 Quadro 2–Exemplo de modelo classificação da informação Classificação da informação Descrição Exemplos Informação secreta Não são todos os funcionários que têm autoridade para jugar uma informação secreta. Essa prerrogativa só cabe ao Conselho Diretor, ao Conselho Fiscal, ao diretor- presidente, ao diretor- superintendente e aos demais diretores. As informações que pode sem classificadas como secretas, entre outras, são: • Planos ou detalhes de operações econômicas ou financeiras. • Segredos de negócios. • Decisões estratégicas, em planejamento ou sem divulgação autorizada. • Planos ou detalhes de programas ou instalações estratégicas. São passíveis de classificação, como reservadas, entre outras, as seguintes informações internas ou relacionadas a seus clientes: • Relatório de vulnerabilidades. • Relatório de gestão de riscos, de sistemas, de ambientes, de missão crítica, de negócio e de financeiro. • Regras de configuração de equipamentos (firewall, roteadores, máquinas servidoras, e outras). Fonte: adaptado de Lima (2018, p. 8). Uma informação pode ser classificada com base em diversos critérios, de acordo com a norma ISO 27002, é recomendado que: Convém que os resultados da classificação indiquem o valor dos ativos em função da sua sensibilidade e criticidade para a organização, em termos da confidencialidade, integridade e disponibilidade. (ABNT, 2013b, p. 25) Com a criação da Lei nº 13.709/2018, chamada de Lei de Proteção de Dados Pessoais (LGPD), tem se discutido novos aspectos para classificar a informação, como: classificação de sigilo, classificação de criticidade, classificação de dado pessoal, classificação de atividade e classificação de coleta. Esses novos itens a serem considerados na classificação da informação, além dos termos de confidencialidade, integridade e disponibilidade, ficam sob a responsabilidade do gestor de segurança 43 da informação analisar a necessidade de sua implementação de acordo com as regras de negócios da organização. A. Classificação da informação com relação a confidencialidade Considerando a Figura 2 como descrição da classificação da informação com relação a confidencialidade, temos: • A1) Confidencial, sigilosa ou secreta: constitui o nível mais alto de segurança. Em que são confidenciais as informações divulgadas a pessoas não autorizadas, interna ou externamente, e têm potencial para trazer grandes prejuízos financeiros ou à imagem da empresa. Elas devem ser protegidas, por exemplo, por criptografia. A integridade é vital neste nível e devem existir regras com severas restrições para o seu uso. • A2) Restrita, reservado ou setorial: compõe o nível médio de segurança, sendo compostas por informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores, por exemplo: gerentes ou coordenadores. Elas devem ser protegidas, limitando o acesso à uma pasta ou diretório da rede, por exemplo. O acesso deve ser restrito dentro da organização e protegidos contra acesso externo, o acesso não autorizado pode trazer comprometimento às operações da organização e causar perdas financeiras. Neste nível, a integridade é vital. • A3) Uso interno ou interna: representa o baixo nível de confidencialidade. São informações que não podem ser divulgadas para indivíduos de fora da organização, mas, caso isso aconteça, as consequências não serão críticas. A preocupação nesse nível está relacionada principalmente à integridade da informação. Por exemplo: normas corporativas, campanhas internas e memorandos internos. • A4) Pública ou externa: são dados que não necessitam de proteção sofisticada contra vazamentos, pois podem ser de conhecimento público. No entanto, sempre cabe lembrar dos outros dois pilares: a disponibilidade e a integridade. Sua integridade não é vital e seu uso é livre, porém ela deve estar sempre disponível. 44 Nesse sentido, ressalta-se que a organização deve assegurar que a informação receba um nível adequado de proteção. Para isso, a informação deve ser classificada para indicar as necessidades, prioridades e os níveis esperados de proteção. Dessa forma, a entidade deve ter um sistema de classificação da informação, para que aquelas que sejam sensíveis e críticas para o negócio recebam tratamento específico, veja o exemplo na Figura 4. De acordo com a Lei nº 12.527, de 18 de novembro de 2011 (chamada de Lei de Acesso à Informação), para classificação da informação em uma organização pública (como o caso do Governo Federal no Brasil) e militar é estabelecida na Seção II–Da Classificação da Informação quanto ao Grau e Prazos de Sigilo e de acordo com o art. 24 (BRASIL, 2011): Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada. (BRASIL, 2011, art. 24) Ainda, no parágrafo 1º, estabelece-se a seguinte classificação da informação, com relação a confidencialidade: § 1º Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes: I–ultrassecreta: 25 (vinte e cinco) anos; II–secreta: 15 (quinze) anos; e III–reservada: 5 (cinco) anos. (BRASIL, 2011, 1º) B. Classificação da informação com relação a Integridade Considerando a Figura 2 como descrição da classificação da informação com relação a integridade (proteger as informações contra alterações indevidas, intencionais ou acidentais), temos: • B1) Registrada: são informações fundamentais para o negócio da organização, exige uma maior atenção quanto ao seu conteúdo, em caso de mudanças indesejáveis, podendo gerar resultados 45 negativos tanto no contexto interno organizacional (causando danos ou resultados deturpados) como no contexto externo organizacional (afetando a imagem da organização). • B2) Controlada: são informações reservadas ao contexto interno da organização e que não exigem os controles rígidos aplicáveis às classificadas como Registradas (B1), mas que exigem medidas atípicas de controle para alterações não autorizadas. • B3) Normal: são informações que exigem controles quanto a alterações menos rigorosas que os aplicáveis as informações Controladas (B2). Um exemplo do documento de classificação de informaçãoconsiderando a confidencialidade e integridade é apresentado na figura a seguir. Figura 3 – Exemplo de classificação da informação do SERPRO Fonte: SERPRO (2016, p. 28). C. Classificação da informação com relação a indisponibilidade Segundo Fontes (2008, p. 80): “a indisponibilidade da informação é uma ameaça que tem o potencial de causar um grande impacto 46 no negócio (financeiro ou de imagem) e também de comprometer a continuidade no mercado onde atua”. Ainda, considerando a Figura 2 como descrição da classificação da informação com relação a indisponibilidade, temos: • C1) Vital: são informações indispensáveis para a continuidade da organização, em que ocorrendo danos ou indisponibilidade por determinado período, causa perdas irrecuperáveis para a organização. • C2) Crítica: são informações em que, ocorrendo danos de indisponibilidade por tempo acima do delimitado, origina graves perdas para a organização. • C3) Comum: são informações em que, ocorrendo danos de indisponibilidade por tempo acima do permitido, ocasiona em graves perdas para a organização, então, não há necessidade de controles rígidos de contingência e recuperação aplicáveis como as informações vitais (C1) e críticas (C2). Desse modo, é importante ressaltarmos que dentro da Classificação da Informação, temos os responsáveis inseridos no processo a serem considerados: • Proprietário: é a pessoa responsável por assegurar que as informações e os ativos associados estejam adequadamente classificados. É o responsável por classificar as informações. Também tem como responsabilidade definir e realizar a análise crítica das classificações e restrições de acesso. • Custodiante: responsável pela guarda do ativo da informação. Garante que o ativo da informação está sendo protegido conforme determinado pelo proprietário. Geralmente, não faz parte do grupo de acesso e, portanto, não está autorizado a acessar a informação. 47 • Grupos de acesso: pessoas, grupos de tralhado ou áreas autorizadas a terem acesso à determinada informação. • Usuário: pessoa autorizada a interagir com a informação. Tem como base a necessidade de conhecer a informação para execução das tarefas. 1.2 Rótulos e tratamento da informação Os rótulos atribuídos às informações classificadas, assim como o tratamento da informação, têm relacionamento direto com o grau de confidencialidade, integridade e disponibilidade delas, e devem ser citados na Política de Segurança da Informação. A norma ISO/IEC 27002 afirma que: Convém que um conjunto apropriado de procedimentos para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização. (ABNT, 2013b, p. 26) 1.2.1 Rótulos das informações Depois de classificadas, as informações precisam ser rotuladas apropriadamente, ou seja, elas devem indicar os níveis de classificação que identificam o conteúdo daquela informação. Além disso, deve-se desenvolver orientações para cada tipo de ativo de informação, sobre como ele precisa ser rotulado. Toda vez que um usuário receber um documento (um e-mail ou qualquer outro dado) é necessário saber sobre o seu nível de confidencialidade. O rótulo de um documento pode ser apresentado, por exemplo, no cabeçalho, porém isso fica a cargo do gestor de segurança da informação que está desenvolvendo o documento 48 de classificação da informação e inserindo os rótulos. A norma de segurança da informação ISO/IEC 27001, de 2005, ao considerar rótulos de informação, ela não determina o que deve ser feito, ou seja, não descreve exatamente como serão os rótulos, então, é imprescindível criar regras próprias para a organização. Geralmente, a rotulagem da informação é de responsabilidade do proprietário da informação. Na Figura 4, você pode observar um exemplo dessa rotulagem em um documento de classificação da informação. Figura 4 – Exemplo de rótulos em uma classificação da informação Fonte: SERPRO (2016, p. 2). 1.2.2 Tratamento das informações Após a informação ser classificada e rotulada, é o momento de realizar o tratamento da informação, afinal, esse é o objetivo final do processo. No entanto, é somente por meio do tratamento apropriado 49 das informações que são fornecidas aos controles e a proteção apropriada, propondo assegurar sua confidencialidade, integridade e disponibilidade que é possível chegarmos ao objetivo final. O tratamento da informação consiste em um conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação. A norma ISO/IEC 27002 recomenda as seguintes diretrizes para sua implementação: Convém que procedimentos sejam estabelecidos para o tratamento, processamento, armazenamento e a transmissão da informação, de acordo com a sua classificação. Convém que os seguintes itens sejam considerados: a) Restrições de acesso para apoiar os requisitos de proteção para cada nível de classificação; b) Manutenção de um registro formal dos destinatários de ativos autorizados; c) Armazenamento dos ativos de TI de acordo com as especificações dos fabricantes; d) Identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados. (ABNT, 2013b, p. 27) Com o objetivo de possibilizar esse processo, é recomendável que sejam identificados os contextos que ocorrem no dia a dia das organizações, no que se refere ao fluxo de informações e, assim, para cada contexto devem ser estabelecidas as diretrizes básicas de tratamento em função do nível de classificação da informação. Por sua vez, esses contextos e suas diretrizes formam o entendimento estrutural para o tratamento das informações, assim, a despeito das pessoas e áreas, o tratamento deve ser igual para as diversas situações e contextos. 50 Ainda, a norma ISO/IEC 27002 recomenda que: Convém que procedimentos para o tratamento dos ativos sejam desenvolvidos e implementados de acordo com o esquema de classificação da informação adotada pela organização. O esquema de classificação usado na organização pode não ser equivalente aos esquemas usados por outras organizações, mesmo se os nomes dos níveis são similares. (ABNT, 2013b, p. 27) Na Figura 5, você pode observar um exemplo de todo o processo de tratamento da informação, em que as informações foram classificadas, rotuladas e tratadas. Para finalizarmos, é importante apontar alguns benefícios que a classificação da informação traz para a organização a partir da Política de Segurança da Informação, sendo eles: • Informações (ativos) adequadamente classificadas são menos vulneráveis a vazamento e quebra de integridade. • Uma situação de risco é uma mais facilmente identificada, além de poder reagir em menor espaço de tempo, diminuindo os danos causados. • Os procedimentos e ferramentas adotados de proteção mais apropriados a cada tipo de informação reduzem os custos e aumentam a segurança. 51 Figura 5–Exemplo de todo o processo de tratamento da informação Fonte: adaptado de Schwaitzer (2016). 52 Por fim, neste tema, focamos nossos estudos na classificação das informações que deve ser feita a partir do alinhamento com a Política de Segurança da Informação. Além disso, detalhamos especificamente sobre a classificação da informação a partir da confidencialidade, integridade e disponibilidade da informação, desde conceitos até suas funções e aplicação. Abordamos sobre o processo de atribuição de Rótulos nas informações classificadas e, também, sobre o tratamento da informação que se inicia no objetivo e percorre todo o processo do ciclo de vida da informação. Referências Bibliográficas ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS–ABNT. ISO/IEC 16167: Segurança da Informação–Diretrizes para classificação, rotulação e tratamento da informação. Rio de Janeiro: ABNT, 2013a. ASSOCIAÇÃOBRASILEIRA DE NORMAS TÉCNICAS – ABNT. ISO/IEC 27001: Tecnologia da informação–Técnicas de segurança–Sistemas de gestão de segurança da informação–Requisitos. Rio de Janeiro: ABNT, 2005. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS–ABNT. ISO/IEC 27002: Tecnologia da Informação–Técnicas de Segurança – Código de Prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013b. BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Brasília, DF: Presidência da República, [2011]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527. htm. Acesso em: 15 out. 2020. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 15 out. 2020. FERNANDES, Edson Aguilera. Padrões, normas e política de segurança da informação (Série Universitária). São Paulo: Senac, 2019. FONTES, Edison. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm 53 LIMA, Adriano. Gestão da segurança e infraestrutura de tecnologia da informação. São Paulo: Senac, 2018. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2014. SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS–SERPRO. Classificação dos ativos de informação do SERPRO. Brasília, DF: SERPRO, 2016. Disponível em: https://bit.ly/3ekEX5e. Acesso em: 11 jul. 2020. SILVA, Luiz Fernando Costa Pereira. Gestão de riscos em tecnologia da informação como fator crítico de sucesso na gestão de segurança da informação dos órgãos da administração pública federal: estudo de caso da Empresa Brasileira de Correios e Telégrafos–ECT. 2010. Dissertação (Mestrado em Ciência da Informação e Documentação) Universidade de Brasília, Brasília, 2010. SCHWAITZER, Lenora. Classificação da Informação. 2016. Disponível em: https://cutt. ly/mplMqY2. Acesso em: 11 jul. 2020. https://bit.ly/3ekEX5e https://cutt.ly/mplMqY2 https://cutt.ly/mplMqY2 54 Políticas, normas e procedimentos práticos Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio Objetivos • Entender na prática o desenvolvimento da Política Principal de Segurança de Informação de uma organização. • Entender na prática o desenvolvimento das Políticas Complementares de Segurança de Informação de uma organização. • Compreender na prática como desenvolver a classificação, rotulagem e tratamento da informação em uma política de segurança da informação. 55 1. Políticas, normas e procedimentos práticos Neste tema, você irá colocar em prática os itens que devem conter uma política de segurança da informação em uma organização. Além disso, você também verá na prática as normas, diretrizes, procedimentos e padrões que devem conter uma política de segurança alinhada as necessidades da organização. 1.1 Conceitos práticos sobre a Política de Segurança da Informação A política de segurança da informação é um conjunto de práticas e controles adequados formado por diretrizes, normas e procedimentos, com objetivo de minimizar os riscos com perdas e violações em uma organização. Se ela for aplicada de maneira adequada, visa garantir a proteção das informações que são consideradas como um ativo essencial da organização. Nesse sentido, é importante relembrar que, para iniciar o desenvolvimento de uma Política de Segurança da Informação em uma organização, o gestor ou especialista de segurança da informação deve analisar todos as regras de negócio e alinhar com as boas práticas de governança corporativa. Após isso, a alta gerência deve designar um Comitê de Segurança da Informação, em que é indicado, que o gestor de segurança da informação seja responsável por ele. De acordo com a ISO 27002: “Convém que cada política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas de segurança da informação”. (ABNT, 2013b, p. 10) Na Figura 1, enfatizamos como devem ser as instruções da Política de Segurança da Informação em cada nível. Desse modo, observe que, no nível estratégico cria-se a Política Principal de Segurança da Informação (PPSI) e, a partir dela, as políticas secundárias chamadas de 56 Políticas Complementares. Ou seja, o nível Tático pode-se definir como uma Política Complementar ou como Normas Técnicas de Segurança da Informação. Já no nível Operacional, pode-se definir como Política Complementar ou como Padrões ou Procedimentos de Segurança. No entanto, isso depende de como a organização percebe que é o melhor para atender as suas regras de negócio. Na Figura 1 estão ilustradas as estruturas dos documentos. Ainda, a norma ISO/IEC 27002 afirma que: “Políticas de segurança da informação podem ser emitidas em um único documento, política de segurança da informação ou como um conjunto de documentos individuais, relacionados”. (ABNT, 2013b, p. 9) Figura 1–Estrutura hierárquica em níveis de Política de Segurança nas organizações Fonte: elaborada pela autora. 2. Caso prático como exemplo Para que você possa entender como deve ser desenvolvida uma Política de Segurança da Informação, utilizaremos uma organização-exemplo fictícia, porém, com o máximo de características reais para que você entenda na prática como deve ser a Política com todas as diretrizes, normas e procedimentos que a compõem. No Quadro 1 apresentamos toda a problemática enfrentada pela organização-exemplo fictícia “DC Couros”. 57 É importante ressaltar que, quando necessário, abordaremos sobre Políticas de Segurança da Informação reais, que estão divulgadas nas páginas das organizações brasileiras de maneira pública. Em razão disso, este material não tem por objetivo ser limitado, mas de mostrar a você o máximo de realismo prático em Políticas de Segurança da Informação e o quão importante ela é, consistindo assim, uma importante ferramenta para controle e gerenciamento dos ativos de qualquer organização. Quadro 1 - Descrição do caso prático utilizando uma organização- exemplo fictícia. Organização DC Couros A pequena organização DC Couros, foi fundada pelos amigos Bruce Wayne e Robin Grayson, nos anos 1960. Os dois amigos se juntaram e começaram a produzir sapatos sob medida no interior do Brasil. Com um trabalho sólido e consistente a pequena organização cresceu muito e começou a produzir vários artigos de couro, além de sapatos. Com a sua expansão, na atualidade, a DC Couros já trabalha exportando seus produtos para terras além das Tupiniquins, atingindo mercados internacionais em países como a Rús- sia, Índia, China, Itália e Estados Unidos. Os amigos Bruce e Robin (Presidente e Vice-Presidente, respectivamente) não pararam por aí, com toda as características de visionários, eles realizaram aquisições de uma frota logística de navios para entre- ga dos seus produtos exclusivos e de qualidade com maior rapidez. Com esse salto gigantesco de expansão, a pequena DC Couros tornou-se uma gigante brasileira em exportação e entrega de produtos de couro em mercados internacionais, possuindo atualmente mais de 10.000 funcionários no Brasil e exterior. Então, para gerenciar esta quantidade de colaboradores e um grande volume de produção e exporta- ção dos produtos, foi necessário fazer toda uma reestruturação tecnológica, tanto em sistemas de e-commer- ce e logística, como em equipamentos(datacenters, links dedicados de internet etc.). Preocupados com todo a expansão e melhoria tecnológica, a organização se esqueceu da Segurança da Informação. Recentemente, a organização sofreu vários incidentes gravíssimos de segurança da informação, com violações de dados, de maneira recorrente. Tais como: acesso às informações pessoais de mais de 100 mi- lhões de clientes através do equipamento de um colaborador, e também os equipamentos dos presidentes e vice-presidentes tiveram dados sequestrados por um código malicioso (ransomware). Além de campanhas de design para os próximos produtos a serem lançados em mercados internacionais da China e Rússia, que foram rastreados e vazaram para os concorrentes. Houve também a exploração da baixa segurança em um fornecedor, comprometendo seus sistemas de pagamento e usurpando os detalhes de pagamento de milhões de clientes. E, por último, um grande incidente foi a indisponibilidade do sistema de logística para carregamento e acompanhamento das cargas dos navios que ficaram indisponíveis por duas horas. Todos esses incidentes na segurança da informação trouxeram para a organização vários impactos negativos, tanto financeiros como na imagem da empresa. Então, o presidente e vice-presidente, em conjunto, decidiram tomar medidas mais drásticas e contra- taram um especialista de segurança da informação com muitos anos de experiência, Sr. Alfred Pennyworth. Como o Sr. Alfred já lidou com problemas graves como estes, ele de imediato ao assumir o cargo, já propôs criar uma equipe de segurança da informação na organização e, iminentemente, os presidentes aprovaram. Também de maneira adjacente, ele criou o Comitê Gestor de Segurança da Informação e similarmente foi aprovado pelos presidentes. Apesar de todo apoio da alta administração da organização, o Sr. Alfred e sua equipe estão enfrentan- do muita resistência por parte dos usuários de toda organização DC Couros. Então, com toda sua experiência e contando com o apoio da alta gerência e presidindo o Comitê Ges- tor da Segurança da Informação, o Sr. Alfred propôs a criação da Política de Segurança da Informação visando assegurar a proteção dos ativos da empresa e, prontamente, foi analisado pelos presidente e apro- vado para o seu desenvolvimento. Fonte: elaborada pela autora. 58 2.1 Desenvolvimento da PSI para a Organização- Exemplo Com a criação do Comitê Gestor de Segurança da Informação (CGSI), que foi composto pelos responsáveis dos seguintes setores: da TI, do jurídico, da contabilidade, dos recursos humanos, da logística, da fábrica de produção e da gestão estratégica, foram realizadas algumas etapas de imediato, sendo elas: 1. Em reunião com toda a diretoria, a alta gestão da organização também determinou e aprovou o Sr. Alfred como gestor responsável pela Política de Segurança da Informação. 2. Desse modo, a ele foi atribuída a responsabilidade pelo desenvolvimento, análise crítica e avaliação de todas políticas de segurança da informação da organização, em consonância com a ISO/IEC 27002 (ABNT, 2013b), como a norma assim indica. 3. Foi discutido pelo comitê se seria indicado ter uma Política Principal que seria composta por Políticas Complementares do nível estratégico e operacional ou se a organização adotaria uma única Política que seria composta por Normas do nível Tático e Procedimentos do nível Operacional. 3.1. O Sr. Alfred, devido a sua larga experiência em Políticas de Segurança da Informação, indicou a criação de uma Política Principal definida a partir do nível Estratégico e Políticas Complementares para os níveis Tático e Operacional da organização. 3.2. O Comitê estabeleceu o desenvolvimento das Políticas de Segurança da Informação de acordo com a indicação do Sr. Alfred. 59 4. Na Política Principal de Segurança da Informação, para iniciar o desenvolvimento das Políticas, foi estabelecido que será também analisado pelo comitê: • Todas as estratégias e regras de negócios da DC Couros. • Todas as regulamentações, legislação e contratos. • Todos os perfis de ameaças à segurança da informação. 4.1. A partir destas 3 análises, indica-se a criação da Política Principal de Segurança da Informação da DC Couros, com todas as características e necessidades, estabelecendo assim o perfil específico da organização. A estrutura de uma política de segurança da informação deve ser adaptada e flexibilizada de acordo com as regras de negócio da organização, para que atenda suas necessidades. O modelo estrutural sugerido não tem a pretensão de ser permanente e inalterável. Na Figura 2, você pode observar um exemplo dos tópicos 1, 2 e 3 (objetivo, abrangência e implantação, respectivamente), da Política Principal de Segurança da Informação da DC Couros (a organização- exemplo), do nível 1 – tático. 60 Figura 2 – Parte inicial da Política Principal de Segurança da DC Couro Fonte: elaborada pela autora. 61 O tópico “Diretrizes” consiste em uma parte importante da PPSI, pois são os controles que serão implantados na proteção da informação e que indica o direcionamento da organização; ou seja, as normas de conduta. Na figura a seguir, você pode observar o exemplo da organização fictícia DC Couros. Figura 3 – Diretrizes da Política Principal de Segurança da Informação Fonte: elaborada pela autora. Uma outra parte importante desta Política Principal consiste na definição dos Papéis e Responsabilidades, parte dessas regras são mostradas na Figura 4, com um exemplo da organização fictícia DC Couros. 62 Figura 4 – Papéis e responsabilidade do CGSI da PPSI Fonte: elaborada pela autora. Lembrando que, todas as pessoas envolvidas na empresa devem ter os papéis e responsabilidades descritas e regulamentadas na Política Principal de Segurança da Informação. Veja o exemplo sobre as regras descritas de Papéis e Responsabilidades sobre os Usuários da Informação na figura a seguir. Figura 5 - Papéis e responsabilidade dos usuários da informação da PPSI Fonte: elaborada pela autora. 63 Fontes (2012) reitera a importância da descrição dos papéis e responsabilidades na Política Principal de Segurança da Informação: São normas que explicitam que todos os cargos (e consequentemente todas as pessoas) possuem responsabilidades com o processo de segurança da informação e que orientações corporativas, como o código de ética, devem falar da proteção da informação, indicando dessa maneira que a segurança da informação deve ser uma preocupação da organização. (FONTES, 2012, p. 248) O item sobre “Responsabilidade Complementares” pode descrever as Sanções e Punições para todos os colaboradores, pois, em caso de problemas, todos devem estar conscientes das sanções a serem aplicadas. Lembrando que a formalização destes tópicos na política e a assinatura de termos de sigilo e de responsabilidade devem anteceder qualquer tipo de medida administrativa. Na figura a seguir é mostrado um exemplo da organização fictícia DC Couros. Figura 6 – Descrição de sanções e punições de violações na PPSI Fonte: elaborada pela autora. 64 Por sua vez, há as seções finais, Revisões e Gestão da Política, onde a seção “Revisões” determina o monitoramento constante acerca da implementação efetiva das normas previstas e a seção “Gestão da Política” estabelece por quem a PPSI foi aprovada, juntamente com a assinatura da Gerência Principal ou Presidência da organização. Na Figura 7 é mostrado um exemplo da organização fictícia DC Couros. Figura 7 – Seções finais da PPSI Fonte: elaborada pela autora. No Nível 2–Estratégico temos as Políticas Complementares que devem ser elaboradas após o desenvolvimento da Política Principal e aprovação. Uma política muito importante que contribui para assegurar a confidencialidade, integridade e disponibilidade das informações na organização é a Classificação da Informação, Rotulagem e Tratamento da Informação. Na Figura 8 é mostrado um exemplo dos tópicos 1, 2 e 3 (introdução, objetivo
Compartilhar