Livro_Politicas_Normas_SI_Brasport

•

FAEL

Li Ferreira

01/04/2022

Prévia do material em texto

Políticas e normas para a segurança1-4ª final.indd 1 19/7/2012 10:12:53
Políticas e normas para a segurança1-4ª final.indd 3 19/7/2012 10:12:56
Copyright© 2012 por Brasport Livros e Multimídia Ltda.
Todos os direitos reservados. Nenhuma parte deste livro poderá ser reproduzida, sob qual-
quer meio, especialmente em fotocópia (xerox), sem a permissão, por escrito, da Editora.
Editor: Sergio Martins de Oliveira
Diretora: Rosa Maria Oliveira de Queiroz
Gerente de Produção Editorial: Marina dos Anjos Martins de Oliveira
Assistente de Produção Editorial: Mell Siciliano
Revisão de Texto: Maria Inês Galvão
Editoração Eletrônica: Maristela Carneiro – Algo+
Capa: Use Design
Produção para ebook: Fábrica de Pixel
Técnica e muita atenção foram empregadas na produção deste livro. Porém, erros de digitação e/ou impressão
podem ocorrer. Qualquer dúvida, inclusive de conceito, solicitamos enviar mensagem para editorial@brasport.
com.br, para que nossa equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) não assu-
mem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro.
BRASPORT Livros e Multimídia Ltda.
site: www.brasport.com.br
Rua Pardal Mallet, 23 – Tijuca
20270-280 Rio de Janeiro-RJ
Tels. Fax: (21)2568.1415/2568.1507
e-mails: marketing@brasport.com.br
vendas@brasport.com.br
editorial@brasport.com.br
Filial SP
Av. Paulista, 807 – conj. 915
01311-100 São Paulo-SP
Tel. Fax (11): 3287.1752
e-mail: filialsp@brasport.com.br
Políticas e normas para a segurança1-4ª final.indd 4 19/7/2012 10:12:56
http://www.brasport.com.br
mailto:marketing@brasport.com.br
mailto:vendas@brasport.com.br
mailto:filialsp@brasport.com.br
mailto:editorial@brasport.com.br
mailto:editorial@brasport.com.br
mailto:editorial@brasport.com.br

Dedico este livro:
A todas as crianças da terra.
A todas as pessoas que já foram crianças e
que se esqueceram que foram crianças.
A todas as pessoas que já foram crianças e
que continuam com a pureza das crianças.
A todas as crianças que foram sempre crianças
porque se encantaram antes de se tornarem adultos.
A todas as crianças que, pelos infinitos destinos da vida,
cresceram mas possuem uma mente inocente de criança.
A todos os meus sobrinhos e sobrinhas.
A todos os meus sobrinhos-netos e sobrinhas-netas.
Ao meu primeiro neto, Mateus.

Políticas e normas para a segurança1-4ª final.indd 5 19/7/2012 10:12:56
Eu fico com a pureza da resposta das crianças: é a vida! É bonita e é bonita!
Viver e não ter a vergonha de ser feliz. Cantar e cantar e cantar a beleza
de ser um eterno aprendiz.
Canção: O que é o que é?
Luiz Gonzaga do Nascimento Jr – Gonzaguinha (1945, 1991)
O homem confiará no homem, como o menino confia em outro menino
Parágrafo Único do Artigo Quarto – Estatutos do Homem
Thiago de Mello (1926)
Deixai vir a mim as criancinhas, porque delas é o Reino dos Céus.
Bíblia Sagrada, Evangelho de Mateus, Capítulo 19, Versículo 14
Políticas e normas para a segurança1-4ª final.indd 6 19/7/2012 10:12:57
Agradecimentos

Ao nosso bom Deus pelo dom da vida, sem o qual nada disso seria possível, sem o qual não existiria o eterno sopro divino em cada um de nós.
Ao meus alunos e aos colegas profissionais que sempre exigem material
sobre segurança da informação e mais especificamente sobre políticas e
normas.
Às organizações que me confiaram a tarefa de elaborar e revisar suas
políticas de segurança da informação. A abordagem prática deste livro é fruto
desta experiência, exigindo que cada organização receba o seu regulamento
específico.
Ao Centro Paula Souza do Governo do Estado de São Paulo, pela oportunidade
do Mestrado em Tecnologia e pelo seu objetivo de aproximar a academia das
organizações.
Ao Prof. Napoleão Galegale pela sua orientação, sua sabedoria e seu
compartilhamento de conhecimento para a minha Dissertação de Mestrado em
Tecnologia, documento que embasa a parte teórica deste livro.
À Profa Dra. Marília Macorin de Azevedo e ao Prof. Dr. Pedro Luiz Cortez, pelo
crivo acadêmico durante a qualificação e defesa da Dissertação de Mestrado.
À minha esposa e namorada, Fatima Fontes, que me acompanha no
desenvolvimento dos meus textos.
Políticas e normas para a segurança1-4ª final.indd 7 19/7/2012 10:12:57
VIII Políticas e Normas para a Segurança da Informação
Ao meu Editor Sergio Oliveira pela confiança de sempre e também a todos da
Editora Brasport que contribuíram para a elaboração deste livro.
Aos anjos do Hospital do Coração/SP, na figura do Dr. Saverio Angrisani Neto,
que me deixaram mais forte para a caminhada da vida.
Às entidades profissionais ABSEG, ISACA, ISSA, ASIS e InfoSec Council
que sempre apoiam as minhas atividades profissionais em segurança da
informação.
Políticas e normas para a segurança1-4ª final.indd 8 19/7/2012 10:12:57
Sobre o Autor

EDISON LUIZ GONÇALVES FONTES é profissional de segurança e proteção
da informação na organização e dedica-se a este assunto desde 1989. Possui
Mestrado em Tecnologia pelo Centro Paula Souza do Governo do Estado de
São Paulo, Especialização pelo Mestrado de Ciência da Computação UFPE, pós-
graduação em Gestão Empresarial pela FIA-USP e Bacharelado em Informática
UFPE.
Possui as certificações internacionais: CISA (Certified Information Systems
Auditor), CISM (Certified Information Security Manager) e CRISC (Certified in
Risk and Information System Control) pela ISACA (Information System Audit and
Control Association / USA).
Natural de Recife, PE, é professor de MBAs da FIAP, professor convidado do
MBA Tecnologia da Informação da FIA-USP e Revisor “ad hoc” da RAUSP – Revista
de Administração da USP.
Atuou como Coordenador de Segurança da Informação no Banco BANORTE
e posteriormente fez trabalhos de consultoria em diversas organizações.
Foi Gerente na área de GRMS (Global Risk Management Solutions) da
PricewaterhouseCoopers e posteriormente exerceu a função de Security Officer
and Software Quality Assurance Manager da GTECH Brasil. Foi Gerente Sênior da
Prática da Segurança da Informação da CPM Braxis.
Seu trabalho de políticas de segurança da informação desenvolvido para
o NOSI (Núcleo Operacional para a Sociedade da Informação do Governo da
Políticas e normas para a segurança1-4ª final.indd 9 19/7/2012 10:12:57
X Políticas e Normas para a Segurança da Informação
República de Cabo Verde) foi base para o Decreto Lei 19/2010, aprovado pelo
Conselho de Ministros, promulgado pelo Presidente da República e referendado
pelo Primeiro Ministro. O referido decreto estabelece as políticas, normas e
regras de segurança da informação para Rede Tecnológica Privativa do Estado
(RTPE).
Sua experiência em desenvolvimento e revisão de políticas e normas de
segurança da informação supera cinco centenas de documentos nas mais
diversas organizações.
É autor dos livros “Vivendo a segurança da informação”, Editora Sicurezza,
2000 e “Segurança da informação: o usuário faz a diferença!”, Editora Saraiva,
2006, “Praticando a segurança da informação”, Editora Brasport, 2008, “Clicando
com segurança”, Editora Brasport, 2011. É coautor dos livros “Banco Eletrônico”,
PricewaterhouseCoopers, 2001, “Porque GESITI – Segurança, Inovação e
Tecnologia”, CENPRA/MCT, Editora Komedi, 2007 e Innovations and Advanced
Techniques in Computer and Information Sciences and Engineering, Editora
Springer Netherlands, 2008.
Foi premiado pela apresentação de trabalhos nas Conferências 12 e 13 da
GUIDE LATIN AMERICA e em Congresso Nacional da SUCESU. Foi eleito, através
de voto da comunidade de profissionais e usuários, Profissional do Ano em
Segurança da Informação, recebendo o Prêmio SECMASTER 2003 promovido
pela ISSA (Information Systems Security Association) Capítulo São Paulo e
VIAFORUM.
Em 1978 recebeu o Prêmio Universitário Banorte.
É sócio-fundador do Capítulo São Paulo da ISACA e sócio-fundador da ABSEG-
Associação Brasileira deProfissionais de Segurança. Participa do InfoSec Council,
grupo de profissionais de segurança, sendo coautor das duas publicações deste
grupo.
É colunista da Information Week Brasil.
Atualmente é sócio da Núcleo Consultoria em Segurança.
Políticas e normas para a segurança1-4ª final.indd 10 19/7/2012 10:12:58

Apresentação

Tenho experiência profissional em elaboração, revisão e implantação de políticas, normas e procedimentos nas mais diversas organizações, seja
como Gestor de Segurança da Informação ou como Consultor. Em função desta
experiência fui convidado para ser o Professor da disciplina de Políticas e Normas
no MBA de Gestão da Segurança da Informação da FIAP. Esta disciplina exigiu a
estruturação do assunto para ser levado a estes alunos de pós-graduação.
Por estar envolvido neste tema de regulamentos, decidi desenvolver meu
trabalho de pesquisa e dissertação de Mestrado em Tecnologia abordando o tema
“Política de segurança da informação: uma contribuição para o estabelecimento
de um padrão mínimo”.
Este livro é fruto destas três frentes de trabalho e tem por objetivo facilitar
o desenvolvimento, a implantação e a manutenção de políticas e normas de
segurança da informação. Ele apresenta os aspectos teóricos que precisam
ser considerados pelos profissionais envolvidos no desenvolvimento de
regulamentos de segurança e também apresenta uma parte prática onde foram
disponibilizados trinta exemplos reais de políticas, normas e documentos
complementares. São exemplos que podem ser tomados como base na
construção dos regulamentos de segurança da informação. Utilize estes
exemplos como uma referência. Quero dizer: utilize estes exemplos como uma
trilha e não como um trilho.
Sei que meu DNA de escritor, após algumas centenas de documentos,
está presente em todos os trabalhos que desenvolvo. Alguns leitores poderão
identificar trechos parecidos em regulamentos desenvolvidos para suas
organizações. Mas em nenhum caso o exemplo apresentado neste livro é cópia
Políticas e normas para a segurança1-4ª final.indd 11 19/7/2012 10:12:58
XII Políticas e Normas para a Segurança da Informação
exata de trabalhos finalizados. Este meu DNA de escrita é uma marca que estará
em todos os documentos que desenvolvo.
A utilização deste livro pode acontecer pelos alunos e professores nos cursos
de pós-graduação e de graduação, MBAs e nas organizações pelos profissionais
de segurança da informação, pelos auditores, profissionais de controle,
profissionais de gestão de risco e demais profissionais interessados no tema
segurança da informação.
Sua leitura pode ser sequencial, acompanhando a lógica dos capítulos, ou
pode ser direta para os capítulos e anexos que mais despertem interesse do
leitor.
Este livro supre uma lacuna de literatura neste assunto com esta abordagem
prática e teórica. Ele foi feito pensando em ser proveitoso para os envolvidos
com a segurança da informação.
Um grande abraço,
Edison Fontes, CISM, CISA, CRISC
edison@pobox.com
Políticas e normas para a segurança1-4ª final.indd 12 19/7/2012 10:12:58
mailto:edison@pobox.com

Prefácio

Sinto-me bastante gratificado em fazer este prefácio, atendendo a um gentil convite que me foi feito pelo autor, Prof. Edison Fontes. Tive oportunidade
de conhecer e conviver com o Edison no período em que estava desenvolvendo
estudos e pesquisas para obter seu título de Mestre em Tecnologia no Centro
Estadual de Educação Tecnológica Paula Souza – CEETEPS, mantido pelo Governo
do Estado de São Paulo.
Na ocasião, o Edison já possuía grande experiência profissional na área de
segurança da informação e fiquei muito animado com o seu projeto de pesquisa,
tornando-me seu orientador na elaboração e defesa de sua dissertação, a qual,
de certa forma, está relacionada com o tema central deste livro. Confesso que
o livro me surpreendeu positivamente quanto à abrangência do conteúdo e a
didática de como é apresentado, estendendo e complementando a pesquisa
original.
A segurança da informação faz parte da pauta dos temas de maior importância
a serem tratados pelas organizações, bem como das pesquisas acadêmicas, com
vistas a preservar o principal ativo da nossa sociedade: a informação.
O autor apresenta de forma encadeada, a partir do conceito de informação,
o seu processo de segurança e a necessidade de uma política específica para
tanto, propondo e discutindo estruturas para tais políticas e finalizando com
diversos exemplos práticos abordando os três níveis de direcionamento de
atividades para implementação da segurança da informação: políticas, normas
e procedimentos, exemplos estes, com certeza, frutos de sua experiência prática
como consultor de empresas.
Políticas e normas para a segurança1-4ª final.indd 13 19/7/2012 10:12:58
XIV Políticas e Normas para a Segurança da Informação
Um ponto importante que gostaria de destacar no livro é a análise da segurança
da informação realizada pelo autor, em relação às principais estruturas de
referência para gestão da Tecnologia da Informação, tidas como representativas
das melhores práticas do mercado tais como as normas ISO, o COBIT e o ITIL.
Tenho certeza de que os leitores encontrarão neste livro o conhecimento
necessário para auxiliá-lo a entender, elaborar e/ou avaliar políticas e normas
para a segurança da informação.
Prof. Dr. Napoleão Verardi Galegale
PUC-SP / CEETEPS
Políticas e normas para a segurança1-4ª final.indd 14 19/7/2012 10:12:58
Sumário

Capítulo 1. A Informação ............................................................................................. 1
Capítulo 2. O Processo de Segurança da Informação .......................................... 7
Capítulo 3. A Necessidade da Política e de Outros Regulamentos .................12
Capítulo 4. A Política de Segurança da Informação e a Gestão de Riscos ....17
Capítulo 5. A Política de Segurança da Informação e a
Norma NBR ISO/IEC 27002 ...................................................................23
Capítulo 6. A Política de Segurança da Informação e a
Norma NBR ISO/IEC 27001 .................................................................34
Capítulo 7. A Política de Segurança da Informação e a
Norma NBR ISO/IEC 27005 .................................................................43
Capítulo 8. A Política de Segurança da Informação e o COBIT .....................52
8.1 – O COBIT ..................................................................................................................................... 52
8.2 – Os domínios do COBIT ........................................................................................................ 55
8.3 – Domínios do COBIT e os processos de TI .................................................................... 57
8.4 – Processo de TI – DS5 Garantir a Segurança dos Sistemas .................................... 59
Políticas e normas para a segurança1-4ª final.indd 15 19/7/2012 10:12:58
XVI Políticas e Normas para a Segurança da Informação
8.5 – COBIT e a política de segurança da informação ....................................................... 63
Capítulo 9. A Política de Segurança da Informação e o ITIL ............................64
9.1 – Estrutura do ITIL .................................................................................................................. 64
9.2 – ITIL e a política de segurança da informação ......................................................... 67
Capítulo 10. A Política de Segurança da Informação e a Governança ..........70
10.1 – Governança corporativa ................................................................................................... 70
10.2 – Governança de segurança da informação ................................................................ 71
10. 3 – A participação da direção e das áreas de negócio na governança dasegurança da informação ................................................................................................ 76
Capítulo 11. Arquitetura para Políticas e Normas de Segurança da
Informação ............................................................................................77
Capítulo 12. Escrevendo Políticas e Normas
de Segurança da Informação .............................................................82
12.1 – O processo de criação de regulamentos ................................................................... 82
12.2 – Motivações para a existência da política de segurança da informação ........ 82
12.3 – O projeto de política de segurança da informação ............................................... 84
12.4 – Alinhamento aos objetivos da organização, objetivos do negócio .............88
12.5 – Desenvolvendo a política e normas de segurança da informação ..............90
12.6 – Premissas para uma existência verdadeira de políticas e normas ................... 92
12.7 – Desenvolvendo políticas e normas de segurança da informação ................... 93
12.8 – Escrevendo o texto do documento .............................................................................. 97
12.9 – A definição dos controles a serem considerados .................................................101
Capítulo 13. Exemplos de Políticas, Normas e Procedimentos ......................103
13.1 – Nível 1: Políticas, Diretrizes ...................................................................................105
Exemplo 1. Política de segurança e proteção da informação ......................................105
Exemplo 2. Política de segurança da informação .............................................................110
Políticas e normas para a segurança1-4ª final.indd 16 19/7/2012 10:12:59
XVIISumário
Exemplo 3. Política de segurança da informação ...........................................................111
Exemplo 4. Política de segurança da informação (Prestador) ....................................113
Exemplo 5. Política de segurança e proteção da informação ....................................120
13.2 – Nível 2 políticas, normas .....................................................................................125
Exemplo 6. Uso de correio eletrônico ..................................................................................126
Exemplo 7. Utilização do ambiente internet pelo usuário ...........................................132
Exemplo 8. Classificação da informação ...........................................................................136
Exemplo 9. Acesso à informação ...........................................................................................147
Exemplo 10. Respeito à privacidade do usuário ........................................152
Exemplo 11. Uso de recurso computacional .......................................................................157
Exemplo 12. Continuidade operacional ............................................................ 160
Exemplo 13. Cópias de segurança da informação ............................................................162
Exemplo 14. Validação de cópias de segurança-gestor
da informação .......................................................................................................168
Exemplo 15. Desenvolvimento e manutenção de sistemas........................... 169
Exemplo 16. Conscientização e treinamento de usuário
em segurança da informação .........................................................................172
Exemplo 17. Programas produto de tecnologia da informação ..................................174
Exemplo 18. Acesso à informação no ambiente convencional ....................................176
13.3 – Nível 3 e demais níveis: normas, procedimentos ......................................... 180
Exemplo 19. Acesso lógico ao ambiente de produção pelo pessoal de
desenvolvimento e manutenção de sistemas...........................................180
Exemplo 20. Utilização de senha para o acesso lógico ...................................................184
Exemplo 21. Acesso remoto pelo usuário ............................................................................188
Exemplo 22. Registro de incidentes .................................................................. 190
Exemplo 23. Registro de ocorrência em segurança da informação ...........................192
Exemplo 24. Cadastro de gestores da informação ...........................................................193
Políticas e normas para a segurança1-4ª final.indd 17 19/7/2012 10:12:59
XVIII Políticas e Normas para a Segurança da Informação
Exemplo 25. Documentos em papel – lixo, destruição e reciclagem .........................195
Exemplo 26. Usuário da informação .......................................................................................198
Exemplo 27. Termo de responsabilidade para uso da informação .............................202
Exemplo 28. Termo de responsabilidade do usuário .......................................................204
13.4 – Glossário ...............................................................................................................................205
Exemplo 29. Termos utilizados nos documentos de
segurança da informação ..........................................................................205
13.5 – Planejamento ............................................................................................213
Exemplo 30. Planejamento da gestão da segurança da informação .........................214
Anexo 1. Controles da NBR ISO/IEC 27002 .........................................................222
Anexo 2. Padrão mínimo de política de segurança da informação ..............248
Anexo 3. Alinhamento da política de segurança da informação com os
gestores da organização .........................................................................255
Bibliografia ................................................................................................................ 263
Políticas e normas para a segurança1-4ª final.indd 18 19/7/2012 10:12:59

Capítulo1. A Informação

Desde o início da vida a informação é um elemento fundamental para a sobrevivência dos seres de todas as espécies e mais especialmente para a
raça humana. A informação permitiu descobertas como o fogo, a roda e tantas
outras que são consideradas comuns nos dias de hoje. A informação é parte
das nossas vidas. Chegamos até aqui porque a informação foi compartilhada de
geração para geração.
Considerando o ambiente corporativo, a informação é um recurso essencial
para toda organização, independentemente do seu porte e do seu segmento de
atuação no mercado. É utilizando a informação que processos organizacionais
funcionam, as pessoas podem realizar as suas atividades profissionais, a geração
de conhecimento acontece e o compartilhamento desse conhecimento é realizado.
Enfim, a informação possibilita que a organização atinja os seus objetivos. Silva
e Tomaél (2007) consideram que a organização, pública ou privada, depende
da informação para seus processos decisórios, não pode funcionar sem uma
quantidade significativa de informação e o seu conhecimento acontece pela
utilização do recurso informação. Sem a informação não existe conhecimento,
compartilhamento de conhecimento e crescimento corporativo. A informação
possibilita que a organização tenha mais chances no mercado competitivo onde
atua. Ter a informação correta e disponível no momento certo, se bem utilizado,
pode ser uma vantagem competitiva da organização. A existência e a continuidade
da organização não acontecem apenas pelos fatores de produção e de mercado. A
informação é um fator estruturalpara o sucesso e a continuidade da organização.
A informação possibilita a execução das atividades operacionais, mas, antes
de tudo, é um recurso crítico para a definição da estratégia da organização.
Políticas e normas para a segurança1-4ª final.indd 1 19/7/2012 10:12:59
2 Políticas e Normas para a Segurança da Informação
Nenhuma organização pode estabelecer sua estratégia sem utilizar o recurso
informação. O monitoramento das ações que buscam atender aos objetivos
estabelecidos somente acontece porque existe informação que será utilizada por
todos os níveis hierárquicos da organização. Isto significa que sem informação a
organização não sobrevive, independentemente do seu porte e do seu segmento
de mercado.
O que diferencia o uso da informação entre as organizações é a necessidade
de disponibilidade, a exigência de integridade e o rigor em relação ao sigilo que
cada organização precisa para a sua informação.
O grau de disponibilidade, integridade e confidencialidade (sigilo) protegerá
a informação para que a organização operacionalize os seus negócios e atenda
aos seus objetivos.
Os modernos recursos da tecnologia da informação possibilitam à organização
tratar de maneira segura uma maior quantidade de informação, utilizar mais
rapidamente a informação, disponibilizar esta informação para um maior
número de pessoas, permitir que este acesso seja feito com grande mobilidade e
possibilitar o uso da informação a qualquer momento. Este fato acarreta grandes
possibilidades da organização disponibilizar produtos e serviços nunca antes
imaginados, porém exige uma proteção rigorosa da informação. Informações
que antes estavam escritas em um relatório e poderiam ser protegidas quando
guardadas em uma gaveta com chave hoje estão no ambiente de tecnologia e
podem ficar disponíveis pela Internet para milhões de usuários em todo o mundo.
Uma pequena falha ou uma ação criminosa pode disponibilizar informações
confidenciais ou bloquear o acesso a informações críticas para a realização dos
objetivos da organização. O poder da informação pode levar a organização aos
píncaros do sucesso, como pode colocar a organização em uma situação de
fracasso em função de impactos financeiros, impactos operacionais ou impactos
de imagem ocasionados por falhas, erros ou fraudes no uso da informação.
A informação também é importante para a sociedade. A Unesco considera
o acesso à informação um direito da sociedade e desenvolve ações para que
este direito seja disponibilizado pelo Programa Informação para Todos, que é
uma junção de duas iniciativas: Programa Geral de Informação (PGI) e Programa
Intergovernamental de Informática (IIP). O Programa de Informação para Todos,
desenvolve ações para o conteúdo da sociedade da informação e para a existência
da infoestrutura para esta sociedade em evolução, realizando treinamentos
e atividades para apoiar o estabelecimento de políticas de informação e de
promoção de conexão de redes.
Políticas e normas para a segurança1-4ª final.indd 2 19/7/2012 10:12:59
3A Informação
Werthein (2000, p. 7) explica bem a importância que a Unesco considera
para a informação quando indica que “No espírito da Declaração Universal
dos Direitos do Homem que constitui a base dos direitos à informação na
sociedade da informação, e levando em consideração os valores e a visão
delineados anteriormente, o Programa Informação para Todos deverá prover
uma plataforma para a discussão global sobre acesso à informação, participação
de todos na sociedade da informação global e as consequências éticas, legais e
societárias do uso das tecnologias de informação e comunicação. Deverá prover
também a estrutura para colaboração internacional e parcerias nessas áreas e
apoiar o desenvolvimento de ferramentas comuns, métodos e estratégias para a
construção de uma sociedade de informação global e justa.”
A informação possibilita o conhecimento da organização. Este conhecimento é
a base para a geração de valor nas corporações. Segundo Domeneghetti e Meier
(2009), a informação é a matéria-prima para o conhecimento estruturado nas
organizações. Eles consideram que “A globalização da economia, impulsionada
pela Tecnologia da Informação e pela malha intermitente, multiformato e
multicanal das comunicações, é uma realidade da qual não se pode escapar.
A informação tornou-se a fonte de aproximadamente três quartos do valor
agregado nas indústrias. É neste contexto que o Conhecimento, ou melhor,
que a Gestão do Conhecimento e a Inteligência Competitiva se transformam
em valiosos recursos estratégicos para a vida das pessoas e das empresas.”
(Domeneghetti e Meir, 2009, p. 176).
Assis (2006) considera a informação um dos insumos importantes para o
desenvolvimento empresarial quando disponibilizada com rapidez e precisão,
refletindo o contexto atual do mercado e da economia mundial. Para Laureano
e Moraes (2005) a informação é substrato da inteligência competitiva e deve
ser administrada em seus particulares, diferenciada e salvaguardada. Freitas
e Kladis (1995) defendem que a informação na sociedade é um bem de
extrema importância, sendo um dos fatores responsáveis pela sobrevivência
das organizações e, quando bem gerenciado, um forte fator de vantagem
competitiva. E considerando a informação e a tecnologia da informação, Ikenaga
(2008, p. 2) afirma que “As empresas estão cada vez mais dependentes de seus
sistemas de informação e dos recursos de tecnologia da informação.”
A informação é a fonte do conhecimento. O conhecimento não existirá se
não houver uma origem de informação que possibilita a estruturação desse
conhecimento (Sales e Almeida, 2007).
Políticas e normas para a segurança1-4ª final.indd 3 19/7/2012 10:12:59
4 Políticas e Normas para a Segurança da Informação
O homem depende da informação para o seu crescimento como pessoa e
como sociedade. A informação transformada em conhecimento é reconhecida
como um elemento crítico para o desenvolvimento e crescimento da organização,
como bem demonstra a resposta de um gerente em uma pesquisa sobre a
proteção do conhecimento: “O conhecimento foi um dos fatores críticos que mais
contribuiu para que a empresa chegasse aonde chegou e com as perspectivas
futuras que possui” (Lobo e Jamil, 2008, p. 104).
Sendo a informação um recurso essencial para a realização dos negócios da
organização, a ABNT (2005) normatiza que esta informação precisa ser protegida
adequadamente de maneira a garantir a sua confidencialidade, integridade e
disponibilidade. O não atendimento a estes requisitos (confidencialidade,
integridade e disponibilidade), ou a um deles, acarreta impactos negativos para
a organização.
Uma pesquisa realizada pela Universidade do Texas indicou que 93% das
organizações que tiveram indisponibilidade de informação por mais de dez dias
em função de desastre nos recursos de TI, chegaram à falência um ano depois
(Brotby, 2009). Em termos de impactos financeiros e perda de clientes, Brotby
(2009) complementa: “Uma análise detalhada realizada pela PGP Corporation em
conjunto com a Vontu Company, identificou que 31 companhias que sofreram
violações de informação em um período de doze meses tiveram uma perda média
de US$ 4,8 milhões, além do que 19% dos clientes deixaram de se relacionar com
a companhia e outros 40% dos clientes consideravam a possibilidade de deixar
de serem clientes” (Brotby, 2009, p. 14).
Brotby (2009) continua exemplificando o impacto direto da segurança da
informação quando cita um estudo da Aberdeen Group que considerou empresas
de vários tamanhos, porém todas elas com faturamento anual maior que US$
500 milhões. “Firmas que operaram com excelência (Best-in-class) em segurança
possuem nível de perdas financeiras a menos de um por cento, enquanto as
demais organizações têm experimentado perdas que superam cinco por cento”
(Brotby, 2009, p. 9).
Segundo Pereira e Nascimento (2005), erros e ações de má-fé em relação
à informação acarretam maisdo que prejuízos às organizações e afetam a
sociedade.
As organizações precisam implantar um processo de segurança da informação,
e este processo deve ser considerado um ativo da organização, como tantos
outros. Domeneghetti e Meir (2009) consideram a segurança da informação um
Políticas e normas para a segurança1-4ª final.indd 4 19/7/2012 10:12:59
5A Informação
dos ativos intangíveis de proteção de valor. Na opinião destes autores, os bens
ou ativos de uma organização podem ser classificados como bens tangíveis e
bens intangíveis.
Os bens tangíveis são os bens físicos ou bens financeiros. Os bens intangíveis
podem ser divididos em intangíveis que geram valor e intangíveis que protegem
valor. Como intangíveis que geram valor eles citam as Marcas, a Inovação
e o Capital Intelectual. Como ativos intangíveis de proteção de valor são
considerados a Segurança da Informação, a Gestão de Riscos e a Governança
Corporativa. Estes ativos intangíveis de proteção de valor devem proteger os
ativos intangíveis de geração de valor e os ativos tangíveis.
Para exemplificar que os bens intangíveis possuem valor, Domeneghetti e
Meir (2009) citam três casos reais. O primeiro indica que “Em 1996, especialmente
emblemático, a IBM possuía US$ 19 bilhões de bens móveis, fábricas e
equipamentos. A Microsoft somava US$ 30 milhões, mas seu valor de venda,
traduzido pelos papéis negociados na Bolsa, superava em muito a oponente.
Havia algo muito mais valioso do que ativos físicos ou financeiros” (Domeneghetti
e Meir, 2009, p. 2). O segundo acontece “Quando a Philip Morris incorporou
a Kraft por US$ 10 bilhões, esta última tinha um patrimônio contabilizado de
pouco mais de US$ 1 bilhão. A diferença entre os valores contábeis e os valores
de aquisição da empresa pode ser atribuída a ativos intangíveis” (Domeneghetti
e Meir, 2009, p. 2). Por último cita que, segundo a Economática, “a Nike vale
quase quatro vezes o seu balanço contábil. A diferença são os bens intangíveis”
(Domeneghetti e Meir, 2009, p. 14).
A informação é um bem para organização e necessita ser adequadamente
protegida pela utilização de um processo de segurança da informação. Para
implantar e manter um processo de segurança da informação a Norma NBR ISO/
IEC 27002:2005 – Tecnologia da Informação – Código de prática para a gestão
da segurança da informação – orienta que “Convém que a direção estabeleça
uma clara orientação da política, alinhada com os objetivos de negócio e
demonstre apoio e comprometimento com a segurança da informação por meio
da publicação e manutenção de uma política de segurança da informação para
toda a organização” (ABNT, 2005, p. 8).
Os gestores da organização têm a responsabilidade pelo bom funcionamento
da organização e para tanto devem garantir a existência e a continuidade
do processo de segurança da informação. Portanto, é estrutural que seja
desenvolvida e implantada uma política de segurança da informação para que
Políticas e normas para a segurança1-4ª final.indd 5 19/7/2012 10:13:00
6 Políticas e Normas para a Segurança da Informação
todas as ações de proteção dos recursos de informação sejam bem direcionadas
e adequadas à organização. Esta política e demais regulamentos devem ser
publicados e comunicados a todos os seus usuários.
A segurança da informação é um processo da organização e deve considerar
a informação tanto no ambiente convencional quanto no ambiente de
tecnologia. Muitas vezes as organizações (ou os profissionais que conduzem
o processo de segurança da informação) são direcionadas para contemplar
apenas as informações que estão no ambiente computacional. Evidentemente
este ambiente possui uma grande quantidade de informações, e, dependendo
do tipo de negócio e do grau de sofisticação de uso da tecnologia, a maioria
das informações está neste ambiente. Porém, o ambiente convencional, quando
do uso de papel e o ambiente pessoal com as informações nas mentes dos
indivíduos, precisa ser considerado no processo de segurança da informação.
Mesmo considerando que a maior parte das informações de uma organização
específica está no ambiente de tecnologia, a utilização da informação acontece
pelas pessoas. E as pessoas estão no ambiente convencional. A segurança da
informação acontece pelas pessoas e é um processo corporativo.
Políticas e normas para a segurança1-4ª final.indd 6 19/7/2012 10:13:00

Capítulo 2. O Processo de Segurança
da Informação

Para a existência do processo de segurança da informação na organização é fundamental a existência de política e dos demais regulamentos de proteção
da informação.
A política definirá as diretrizes, os limites e o direcionamento que a organização
deseja para os controles que serão implantados na sua proteção da informação
(ABNT, 2005; Vianez, Segobia e Camargo, 2008).
Por força da legislação, as organizações do segmento financeiro e as
grandes corporações que possuem ações em Bolsas de Valores em alguns
países, como nos Estados Unidos por causa da Lei Sarbanes-Oxley, já foram
obrigadas a elaborar suas políticas de segurança da informação. Outras
organizações, por decidirem seguir a estrutura da Governança Corporativa,
inclusive no Brasil, também se viram obrigadas a desenvolver e implantar
políticas de segurança da informação. Muitas dessas organizações já possuem
políticas de segurança há alguns anos e já fizeram revisões e ajustes práticos
para estes regulamentos.
No entanto, existem outras organizações que não se enquadram nestes
casos e que começam a ser pressionadas para protegerem a sua informação
de uma maneira mais formal e estruturada. Este fato acontece porque estas
organizações prestam serviços para organizações maiores que estão obrigadas
a possuírem uma estrutura de segurança da informação. Estas organizações
maiores entendem que seus fornecedores, que são elementos da sua cadeia de
realização do negócio, devem ter o mesmo grau e estrutura de segurança da
informação que elas possuem.
Políticas e normas para a segurança1-4ª final.indd 7 19/7/2012 10:13:00
8 Políticas e Normas para a Segurança da Informação
Em outros casos, a conscientização do empresário e a atitude madura
dos acionistas, desejando a sustentabilidade do negócio, têm exigido que a
organização funcione de maneira bem estruturada, utilize as melhores práticas e
possua os controles organizacionais adequados para a segurança da informação.
O processo de segurança da informação existe para possibilitar que a
organização utilize de maneira confiável os recursos que suportam as informações
necessárias para as suas atividades estratégicas, táticas e operacionais.
Quando se fala de segurança da informação estamos indicando a proteção
dos recursos de informação. Thomas Peltier (2004) indica que a Segurança da
informação direciona e suporta a organização para a proteção de seus recursos de
informação contra divulgação indevida, seja ela intencional ou não intencional,
modificação não autorizada, destruição não desejada, ou negação de serviço
através da implantação de controles de segurança definidos em políticas e
procedimentos.
A segurança da informação deve estar ligada diretamente aos objetivos de
negócio. A segurança da informação não deve existir para ela mesma; o processo
de segurança da informação por si só não tem valor; a segurança da informação
deve existir para atender à organização e aos seus objetivos de negócio. Peltier
(2004) reforça indicando que, para garantir que os objetivos de negócio sejam
alcançados no tempo previsto e de uma maneira eficiente, padrões e políticas
eficazes devem existir na organização. E complementa ao indicar que a criação
de políticas, padrões e procedimentos deve ser benéfica para a organização.
Nenhuma política deve ser criada para garantir que a organização esteja
em conformidade com os requerimentos de auditoria. Políticas, padrões e
procedimentos são criados para garantir que a organização atenda aos requisitoslegais e às obrigações contratuais para com seus clientes, acionistas, funcionários
e demais colaboradores.
Desta maneira as regras e os controles de segurança da informação não são
criados para atender a própria segurança. Eles são implantados para proteger
os recursos de informação que são utilizados estratégica e operacionalmente
para o funcionamento da organização e para o atendimento dos objetivos da
organização.
Esta proteção se faz necessária para qualquer tipo de organização. A NBR
ISO/IEC 27002:2005 indica explicitamente que o processo de segurança da
informação é importante tanto para o setor público quanto para o setor
privado:
Políticas e normas para a segurança1-4ª final.indd 8 19/7/2012 10:13:00
9O Processo de Segurança da Informação
A segurança da informação é importante para os negócios, tanto do setor
público como do setor privado, e para proteger as infraestruturas críticas.
Em ambos os setores, a função da segurança da informação é viabilizar
os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico
(e-business), e evitar ou reduzir os riscos relevantes (ABNT, 2005, p. x).
A existência do processo de segurança da informação é de responsabilidade
da direção executiva da organização quando da sua definição de Governança
Corporativa. A direção, representação executiva dos acionistas da organização,
define qual o grau de exigência que deseja para que a informação seja
adequadamente protegida. O processo de segurança da informação somente
terá sucesso se a sua implantação for uma decisão estratégica da organização
e consequentemente a direção apoie explicitamente o desenvolvimento, a
implantação e a manutenção deste processo de proteção da informação.
A NBR ISO/IEC 27001 provê um modelo para estabelecer, implantar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de
Segurança da Informação (SGSI) conforme as necessidades da organização.
Neste modelo é considerado o gerenciamento de riscos.
A NBR ISO/IEC 27001 especifica:
A abordagem de processo para a gestão da segurança da informação
apresentada nesta Norma encoraja que os seus usuários enfatizem a
importância de:
a) entendimento dos requisitos de segurança da informação de
uma organização e da necessidade de estabelecer uma política
e objetivos para a segurança da informação;
b) implementação e operação de controles para gerenciar os
riscos de segurança da informação de uma organização no
contexto dos riscos de negócio globais da organização;
c) monitoração e análise crítica do desempenho e eficácia do
SGSI;
d) melhoria contínua baseada em medições objetivas (ABNT,
2006, p. V).
Políticas e normas para a segurança1-4ª final.indd 9 19/7/2012 10:13:00
10 Políticas e Normas para a Segurança da Informação
Para a implantação desta gestão da segurança da informação, a norma adota
uma abordagem de processo utilizando o modelo conhecido como PDCA (Plan-
Do-Check-Act).
A primeira etapa é de Planejamento (P-Plan) e acontece no início do ciclo
PDCA. Nesta etapa deve-se:
Estabelecer a política, os objetivos, os processos e os
procedimentos do SGSI relevantes para a gestão de riscos
e a melhoria da segurança da informação para produzir
resultados de acordo com as políticas e objetivos globais de
uma organização (ABNT, 2006, p. VI).
Nesta etapa de planejamento são enfatizados dois elementos para gestão
da segurança da informação: a política e a gestão de riscos. A orientação para
o desenvolvimento da política encontra-se na ABNT NBR ISO/IEC 27002 –
Tecnologia da informação – Técnicas de segurança – Código de prática para a
gestão da segurança da informação e a orientação para a gestão de risco em
segurança da informação encontra-se na ABNT NBR ISO/IEC 27005 – Tecnologia
da informação – Técnicas de segurança – Gestão de riscos.
Após a definição de que haverá o processo de segurança da informação existe
a necessidade de fazer a gestão deste processo. A Norma NBR ISO/IEC 27001
define esta gestão como o SGSI (Sistema de Gestão de Segurança da Informação)
que deve ser desenvolvido de maneira escalonada e deve seguir o Modelo PDCA
(Plan-Do-Check-Act) que permitirá o planejamento, a operação, a avaliação e
a melhoria contínua da segurança da informação. Neste modelo a política de
segurança da informação e os demais regulamentos são desenvolvidos na etapa
de planejamento (P-Plan).
Considerando o tamanho da organização, seu tipo de negócio e seus
objetivos de negócio, o funcionamento do processo de segurança pode ter o
funcionamento de comitês permanentes com representantes das diversas áreas
da organização ou pode ter a própria direção da organização como validadora
das ações planejadas em segurança da informação. O Gestor da Segurança
da Informação deve garantir que o processo de proteção da informação seja
desenvolvido e funcione de maneira organizada, seguindo as normas e os
regulamentos e deve alinhar com a direção da organização se as prioridades
das ações de segurança estão de acordo com o planejamento estratégico da
organização.
Políticas e normas para a segurança1-4ª final.indd 10 19/7/2012 10:13:00
11O Processo de Segurança da Informação
O processo de segurança da informação da organização deve ser bem
gerenciado (Gestão da Segurança da Informação) e deve estar totalmente
coerente com as prioridades da organização (Governança da Segurança da
Informação e Governança Corporativa).
A estrutura organizacional que deve suportar o processo de segurança da
informação deve ser coerente com as características da organização, como
tamanho, tipo de negócio, objetivos e momento de vida da organização. Mas,
sejam quais forem as suas características, cada organização tem condições de
desenvolver, implantar e manter um processo de segurança da informação.
O posicionamento da Área de Gestão da Segurança da Informação deve
acontecer de maneira que o Gestor de Segurança da Informação tenha a
independência necessária e o poder adequado para desenvolver, implantar e
manter o processo de segurança da informação. Um processo de segurança da
informação abrange muitas áreas da organização, tem contato e exige mudanças
de poder em relação ao acesso à informação, intervém na cultura organizacional,
cria novas responsabilidades para gestores, executivos e usuários de uma maneira
geral. Desta maneira, o Gestor de Segurança da Informação deve ter um nível
hierárquico adequado com o grau de dependência que a organização possui
em relação à informação. Porém, este mesmo Gestor deverá buscar definir junto
com a organização, por meio dos seus executivos e gestores, qual a rigidez que
os controles de proteção da informação deverão ter. Fazendo isso, o Gestor de
Segurança estará atuando com sabedoria e profissionalismo.
Quanto mais independência, autonomia e autoridade tiver o Gestor da
Segurança da Informação, mais chances de sucesso o processo de proteção da
informação terá.
Ter autoridade e autonomia não significa que a Área de Segurança da
Informação e seus regulamentos estarão isentos de controles. Como qualquer
área significativa para a organização, a Área de Segurança da Informação
também precisa ser auditada e controlada para garantir que está desenvolvendo
suas atividades coerentes com a sua missão e sua responsabilidade.
Políticas e normas para a segurança1-4ª final.indd 11 19/7/2012 10:13:00

Capítulo 3. A Necessidade da Política e de
Outros regulamentos

É estrutural que a organização tenha uma política de segurança da informação para que o processo de proteção da informação possa ser elaborado,
implantado e mantido. Esta política (ou conjunto de políticas) definirá as diretrizes,
os limites e o direcionamento que a organização deseja para os controles que
serão implantados na proteção da sua informação.
A necessidade da existência de políticas para a existência do processo de
segurança da informação é descrita na NBR ISO/IEC 27002:
A segurança da informaçãoé obtida a partir da implementação de
um conjunto de controles adequados, incluindo políticas, processos,
procedimentos, estruturas organizacionais e funções de software e
hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados,
analisados criticamente e melhorados, onde necessário, para garantir que
os objetivos do negócio e de segurança da organização sejam atendidos
(ABNT, 2005, p. x).
Porém, muitas organizações possuem dificuldade para o desenvolvimento
de políticas de normas de segurança da informação. Albertin e Pinochet
(2010) descrevem o levantamento realizado em cinco unidades hospitalares no
Estado de São Paulo, onde, em todas elas, de uma maneira direta ou indireta,
os gestores declaram a importância da segurança da informação, porém
nenhuma delas possui uma política adequada para a segurança da informação.
Políticas e normas para a segurança1-4ª final.indd 12 19/7/2012 10:13:01
13A Necessidade da Política e de Outros Regulamentos
Quando muito, possuem algumas regras de controle de acesso ao ambiente
computacional. Algumas das proposições geradas a partir de depoimentos dos
gestores desses hospitais demonstram a dificuldade que estas organizações
têm para gerar uma política de segurança da informação. No seu livro os autores
citam situações em que:
O hospital possui deficiência em desenvolver uma política de segurança
da informação (Albertin e Pinochet, 2010, p. 275).
Os gestores na sua maioria consideram que falta conhecimento de como
mapear as necessidades para se desenvolver uma política de segurança da
informação formal (Albertin e Pinochet, 2010, p. 275).
O hospital possui claras deficiências em desenvolver uma política de
segurança da informação devido à falta de orientação da Secretaria (de
Estado) e do conselho de saúde (Albertin e Pinochet, 2010, p. 275).
Uma grande quantidade das organizações que atuam no Brasil precisa
definir seu conjunto de regulamentos de segurança da informação pelo fato de
serem fornecedoras, ou desejarem ser fornecedoras de organizações que estão
submetidas a regulamentos que exigem um processo de segurança estruturado
e que agora estão exigindo esta mesma proteção das organizações que fazem
parte da sua cadeia de valor. Outras organizações estão implantando Governança
Corporativa, que por sua vez exige a existência da Governança de Segurança
da Informação e consequentemente, será necessária a existência da política
de segurança da informação nesta organização e nas outras organizações que
participam da sua cadeia de valor. Em breve, todas as organizações precisarão
definir e implantar políticas e normas de segurança da informação.
A segurança da informação abrange mais que o ambiente da tecnologia
da informação, porém este ambiente de tecnologia, cada vez mais, processa
e armazena as informações da organização. Desta maneira as atividades
operacionais e o atendimento aos objetivos estratégicos da organização
dependem totalmente do ambiente de tecnologia da informação e da própria
informação. Consequentemente, é necessário proteger a informação e definir
diretrizes (políticas e normas) para que esta proteção possua regras que
direcionem estratégica e operacionalmente a sua existência.
Os gestores das organizações estão cientes dessa criticidade. Albertin e
Pinochet (2010) comentam sobre a 12ª Edição da Pesquisa da FGV-EAESP de
Comércio Eletrônico:
Políticas e normas para a segurança1-4ª final.indd 13 19/7/2012 10:13:01
14 Políticas e Normas para a Segurança da Informação
A Pesquisa da FGV-EAESP de Comercio Eletrônico, em sua 12ª edição, de
março de 2010, apresentou uma mostra significativa formada por 434
empresas, de vários setores e portes, que atuam no ambiente tradicional
e também estão atuando no ambiente de comércio eletrônico, em maior
ou menor nível, e aquelas constituídas apenas por este ambiente. (...)
(...) Esta pesquisa evidenciou que as empresas estão atribuindo maior
importância aos aspectos de relacionamento com clientes, privacidade
e segurança, adoção de clientes e alinhamento estratégico, entre outros.
Sendo que o aspecto de privacidade e segurança é considerado um
dos itens mais críticos. Embora a Pesquisa da FGV-EAESP de Comércio
Eletrônico, em sua 12ª edição de março de 2010, indique que o item
privacidade e segurança esteja posicionado em segundo lugar, a oitava
edição da mesma pesquisa, de março de 2006, apresentou o item
privacidade e segurança em primeiro lugar. Portanto tem-se obtido
certa estabilidade na priorização pelas empresas quanto à necessidade
na utilização de tecnologia da informação em relação ao tema da
privacidade e segurança (Albertin e Pinochet, 2010, p. 10).
Outro fato que reforça que a segurança da informação e a existência de
políticas são preocupações contínuas e prioritárias nas organizações é o conjunto
de respostas do estudo conduzido pela Consultoria PricewaterhouseCopers,
CIO Magazine e CSO Magazine. Este é o maior estudo do gênero do mundo, o
qual representa a análise consolidada dos dados fornecidos por mais de 12.800
executivos, entre CEOs, CFOs, CIOs e CSOs, vice-presidentes e diretores de TI e
segurança da informação de empresas médias, grandes e gigantes de 135 países
e de todos os setores. No Brasil houve a participação de quinhentos executivos.
Apesar de toda a crise mundial em relação à segurança da informação descrita
no estudo, destaca-se no documento da PwC:
▪ A conformidade com políticas internas é um dos cinco fatores
direcionadores mais importantes para o gasto com a segurança
da informação. Isto significa a preexistência de políticas de
segurança. Os outros fatores foram: condições econômicas,
continuidade do negócio/recuperação de desastres, reputação
da empresa e conformidade regulatória.
Políticas e normas para a segurança1-4ª final.indd 14 19/7/2012 10:13:01
15A Necessidade da Política e de Outros Regulamentos
▪ 56% responderam que o ambiente regulatório se tornou mais
complexo e oneroso.
▪ 55% responderam que o ambiente de risco crescente aumentou
o papel e a importância da função de segurança da informação.
▪ 43% responderam que ameaças à segurança dos ativos
aumentaram.
▪ 53% responderam que não reduziram o orçamento para
iniciativas de segurança e nem adiaram estas iniciativas.
▪ 52% responderam que vão aumentar os gastos com segurança
da informação nos próximos doze meses.
Todas estas respostas demonstram que as organizações consideram a
segurança da informação um fator importante para o alcance dos seus objetivos
de negócio. Isto significa que as organizações precisam ter as suas políticas
de segurança, pois, no âmbito das organizações, a manutenção da segurança
depende da adequada formulação e implantação de políticas corporativas.
O termo “política” utilizado neste livro para um tipo de regulamento indica
a diretriz, a orientação básica para a segurança da informação. Maximiniano
(2010) considera que política define em linhas gerais o curso de ação a ser
seguido quando determinado tipo de problema se apresenta. Isto significa que
a política cria critérios que devem ser seguidos quando a tomada de decisões
é necessária. Desta maneira, as decisões, considerando os mesmos critérios,
tenderão a definir a mesma regra de comportamento para um problema que
se apresenta.
A política é o mais alto nível de declaração do que a organização acredita
e quer que exista em todas as suas áreas. A política é uma diretiva da direção
executiva para criar um programa de segurança da informação, estabelecer
seus objetivos e definir responsabilidades. O principal documento da política
indicará qual é a filosofia da organização para o uso da informação pelos seus
funcionários, prestadores de serviço, estagiários, diretores, acionistas e até pelo
executivo-presidente. As regras definidas valem para todos. E se o tratamento for
diferente para tipos de usuários diferentes, esta definição deve estar formalizada
na política e nos demaisregulamentos de segurança da informação.
Outros autores colaboram nesta linha de definição:
Políticas e normas para a segurança1-4ª final.indd 15 19/7/2012 10:13:01
16 Políticas e Normas para a Segurança da Informação
Uma política é um guia genérico para a ação. Ela delimita uma ação,
mas não especifica o tempo. É uma definição de propósitos de uma
empresa e estabelece linhas de orientação e limites para a ação dos
indivíduos responsáveis pela implantação. As políticas são princípios
que estabelecem regras para a ação e contribuem para o alcance bem-
sucedido dos objetivos (Chiavenatto, 2010, p. 173).
Política de segurança é um conjunto de diretrizes gerais destinadas a
governar a proteção que será dada aos ativos de informação (Caruso e
Steffen, 1999, p. 49)
Política de segurança é um conjunto de regras e padrões sobre o que
deve ser feito para assegurar que as informações recebam a proteção
conveniente que possibilite garantir a sua confidencialidade, integridade e
disponibilidade (Barman, 2002, p. 4).
As políticas são as linhas mestras que indicam os limites ou restrições
sobre aquilo que se quer conseguir (Albertin e Pinochet, 2010, p. 34).
A própria NBR ISO/IEC 27002 tem a sua definição do termo política:
2. Termos e definições
2.8 Política
Intenções e diretrizes globais formalmente expressas pela direção (ABNT,
2005, p. 2).
A política e os demais regulamentos de segurança da informação precisam
ter uma arquitetura para que facilite a compreensão da extensão que esses
regulamentos estão considerando. Deve haver a divisão por assuntos (horizontal)
e pela granularidade do conteúdo (profundidade e detalhamento – vertical) das
orientações. No Capítulo 11 deste livro este tema é tratado e é recomendada
uma estrutura para os regulamentos de segurança da informação.
Políticas e normas para a segurança1-4ª final.indd 16 19/7/2012 10:13:01

Capítulo 4. A Política de Segurança da
Informação e a Gestão de riscos

Muitas vezes ficamos confusos sobre a definição da política de segurança da informação e a gestão de riscos. Mas existe o caminho adequado
para o tratamento desta questão: a política de segurança da informação
deve existir primeiro para que a gestão de risco seja definida e em seguida
implantada.
A NBR ISO/IEC 27005 – Tecnologia da Informação – Técnicas de segurança –
Gestão de riscos de segurança da informação indica que, para que a gestão de
risco seja realizada, é necessário que ela seja parte da gestão da segurança da
informação e que seja definida a sua contextualização, indicando onde a gestão
de risco será aplicada: na organização como um todo, em uma área, em um
sistema ou a controles específicos.
Convém que a gestão de riscos de segurança da informação seja parte
integrante das atividades de gestão da segurança da informação e
aplicada tanto à implementação quanto à operação cotidiana de um
SGSI (ABNT, 2008, p. 3).
Em um SGSI, a definição do contexto, a análise/avaliação de riscos, o
desenvolvimento do plano de tratamento do risco e a aceitação do risco,
fazem parte da fase “planejar” (ABNT, 2008, p. 6).
O processo de gestão de riscos de segurança da informação pode ser
aplicado à organização como um todo, a uma área específica da
organização (por exemplo: um departamento, uma localidade, um
serviço), a um sistema de informações, a controles já existentes, planejados
ou apenas aspectos particulares de um controle (por exemplo: o plano de
continuidade de negócio) (ABNT, 2008, p. 4).
Políticas e normas para a segurança1-4ª final.indd 17 19/7/2012 10:13:01
18 Políticas e Normas para a Segurança da Informação
A ABNT NBR ISO/IEC 27002, ao tratar da análise, da avaliação e do tratamento
de risco, orienta:
Convém que a análise/avaliação de riscos de segurança da informação
tenha um escopo claramente definido para ser eficaz (ABNT, 2005, p. 6).
Ao se definir o escopo e os limites para a gestão de riscos, a ABNT NBR ISO/
IEC 27005 declara que:
O escopo e os limites da gestão de riscos de segurança da informação estão
relacionados ao escopo e aos limites do SGSI conforme requerido na ABNT
ISO/IEC 27001 4.2.1.a (ABNT, 2008, p. 9).
A ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de
segurança – Sistema de gestão de segurança da informação – Requisitos, item
4.2.1, indica os primeiros elementos para que a organização estabeleça um SGSI
e cita a política de segurança da informação:
4.2.1 Estabelecer o SGSI
a) Definir o escopo e os limites do SGSI (Sistema de gestão de
Segurança da Informação) nos termos das características do
negócio, a organização, sua localização, ativos de tecnologia,
incluindo detalhes para quaisquer exclusões do escopo.
b) Definir uma política do SGSI nos termos das características
do negócio, a organização, sua localização, ativos e tecnologia
que:
1. inclua uma estrutura para definir objetivos e estabeleça
um direcionamento global e princípios para as ações
relacionadas com a segurança da informação;
2. considere os requisitos de negócio, legais e/ou
regulamentares, e obrigações de segurança contratuais;
3. esteja alinhada com o contexto estratégico de gestão
de risco da organização no qual o estabelecimento e
manutenção do SGSI irá ocorrer;
Políticas e normas para a segurança1-4ª final.indd 18 19/7/2012 10:13:01
19A Política de Segurança da Informação e a Gestão de Riscos
4. estabeleça critérios em relação aos quais os riscos serão
avaliados.
c) Definir a abordagem de análise e avaliação de riscos da
organização (ABNT, 2006, p. 4).
Desta forma a Política do Sistema de Gestão da Segurança da Informação
deverá considerar e contextualizar a gestão de riscos, conforme a própria ABNT
NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão
de riscos em segurança da informação e a ABNT NBR ISO/IEC 27002 – Tecnologia
da informação – Técnicas de segurança – Código de prática para a gestão da
segurança da informação indicam:
Convém que a análise/avaliação de riscos de segurança da informação
tenha um escopo claramente definido para ser eficaz e inclua os
relacionamentos com análises/avaliações de riscos de outras áreas, se
necessário (ABNT, 2005, p. 6).
Convém que a organização defina o escopo e os limites da gestão de
riscos de segurança da informação (ABNT, 2008, p. 8).
O escopo do processo de gestão de riscos de segurança da informação
precisa ser definido para assegurar que todos os ativos relevantes sejam
considerados na análise/avaliação de riscos. Além disso, os limites
precisam ser identificados para permitir o reconhecimento dos riscos que
possam transpor esses limites (ABNT, 2008, p. 8).
Convém que a organização e as responsabilidades para o processo de
gestão de riscos de segurança da informação sejam estabelecidas e
mantidas (ABNT, 2008, p. 9).
O escopo e os limites da gestão de riscos de segurança da informação
estão relacionados ao escopo e aos limites do SGSI (ABNT, 2008, p. 9).
A gestão de riscos por sua vez será parte do Sistema de Gestão de Segurança
da Informação e fará com que este SGSI se mantenha contínuo:
Convém que a gestão de riscos de segurança da informação seja parte
integrante das atividades de gestão da segurança da informação e
aplicada tanto à implementação quanto à operação cotidiana de um
SGSI (ABNT, 2008, p. 3).
Políticas e normas para a segurança1-4ª final.indd 19 19/7/2012 10:13:02
20 Políticas e Normas para a Segurança da Informação
Convém que a gestão de riscos de segurança da informação seja um
processo contínuo (ABNT, 2008, p. 3).
Convém que as análises/avaliações de riscos também sejam realizadas
periodicamente para contemplar as mudanças nos requisitos de
segurança da informação e na situação de risco, ou seja, nos ativos,
ameaças, vulnerabilidades, impactos, avaliação de risco e quando uma
mudança significativa ocorrer. Essas análises/avaliações devem ser
realizadas de forma metódica, capaz de gerar resultados comparáveise
reproduzíveis (ABNT, 2006, p. 6).
Peltier, em todos os seus livros que tratam o assunto segurança da informação,
salienta a importância da política de segurança da informação como o primeiro e
o mais importante aspecto para criar um programa de segurança da informação,
estabelecer seu objetivos e definir as responsabilidades das pessoas que se
relacionam com a informação e com os recursos de informação. Em relação à
Gestão de Riscos, Thomas Peltier declara:
O primeiro e mais importante aspecto da segurança da informação é a
política de segurança. Se a segurança da informação fosse uma pessoa
a política de segurança seria o sistema nervoso. Política é a base da
segurança da informação, providencia a estrutura e define os objetivos
dos demais aspectos da segurança da informação (Peltier, 2005, p. 17).
Um importante fator para o sucesso na implantação de um processo
de segurança da informação é implantar uma completa arquitetura de
gerenciamento de risco. Esta arquitetura deve estar conectada às políticas
e aos padrões de segurança da informação e deve direcionar o risco para
o negócio em um ambiente automático e contínuo (Peltier, 2001, p. 17).
A análise de risco permite à organização colocar foco nos seus objetivos
de segurança da informação (Peltier, 2001, p. 17).
A política define o escopo para o qual serão considerados os controles de
segurança da informação que serão desenvolvidos e implantados. A Gestão de
Risco, considerando o contexto definido pela política de segurança, identificará
os ativos, selecionará os controles apropriados e definirá as prioridades de
implantação destes controles.
A não implantação da política impede o desenvolvimento adequado da segurança
da informação na organização, uma vez que faltarão referenciais para implantação
Políticas e normas para a segurança1-4ª final.indd 20 19/7/2012 10:13:02
21A Política de Segurança da Informação e a Gestão de Riscos
dos controles. Sem a política não haverá a definição do escopo que delimita o campo
de ação dos controles, e esta falta de limites fará com que o processo de segurança
da informação seja infinito e nunca possa ser avaliado adequadamente.
O risco de não existência da política deve ser minimizado e até eliminado.
Para que isto aconteça é necessário implantar o conjunto de regulamentos,
iniciando pela política principal (diretriz) que definirá o escopo e os limites da
própria gestão de risco.
Page (2002) confirma este risco, não existência de regulamentos, ao declarar:
A priorização para o desenvolvimento e a implantação dos elementos de
segurança da informação deve ser obtida da análise e avaliação de riscos.
Entendemos que a ameaça e o risco da não existência de um conjunto de
regulamentos para que os controles tomem por base e sejam implantados
é uma questão estrutural para o processo de segurança da informação,
que deve ser tratado adequadamente, pois a sua ausência pode inclusive
inviabilizar o processo de segurança (Page, 2002, p. 18).
Por fim, a ABNT NBR 27002:2005 orienta o uso de controles como ponto de
partida e a utilização da gestão de riscos para a identificação da relevância da
implantação e existência desses controles:
0.6 – Ponto de partida para a segurança da informação.
Um certo número de controles pode ser considerado um bom ponto
de partida para a implementação da segurança da informação. Estes
controles são baseados tanto em requisitos legais como nas melhores
práticas de segurança da informação normalmente usadas.
Os controles considerados essenciais para uma organização, sob o ponto
de vista legal, incluem dependendo da legislação aplicável:
a) proteção de dados e privacidade de informações pessoais;
b) proteção de registros organizacionais;
c) direitos de propriedade intelectual.
Os controles considerados práticas para a segurança da informação
incluem:
a) documento da política de segurança da informação;
Políticas e normas para a segurança1-4ª final.indd 21 19/7/2012 10:13:02
22 Políticas e Normas para a Segurança da Informação
b) atribuição de responsabilidades para a segurança da
informação;
c) conscientização, educação e treinamento em segurança
da informação;
d) processamento correto nas aplicações;
e) gestão de vulnerabilidades técnicas;
f) gestão de continuidade de negócio;
g) gestão de incidentes de segurança da informação.
Esses controles se aplicam para a maioria das organizações e na maioria
dos ambientes.
Convém observar que, embora todos os controles nesta Norma sejam
importantes e devam ser considerados, a relevância de qualquer controle
deve ser determinado segundo os riscos específicos a que uma organização
está exposta. Por isso, embora o enfoque acima seja considerado um bom
ponto de partida, ele não substitui a seleção de controles, baseado na
análise/avaliação de riscos (ABNT, 2005, p. xII).
Desta maneira as organizações devem primeiramente considerar, para o seu
processo de segurança da informação, os controles definidos/descritos na NBR ISO/
IEC 27002 e tomá-los como controles básicos. Depois deve considerar a análise/
avaliação de riscos específicos a que a organização está exposta, um instrumento
para graduar a relevância da aplicação de cada um destes controles na organização.
Concluindo, a política de segurança da informação deve primeiramente ser
definida e em seguida a gestão de riscos indicará a prioridade dos controles. Mas
estas ações devem se retroalimentar com o objetivo de gerar para a organização
o melhor processo de segurança da informação que ela precisa e que pode ter.
Políticas e normas para a segurança1-4ª final.indd 22 19/7/2012 10:13:02

Capítulo 5. A Política de Segurança da
Informação e a Norma NBr
ISO/IEC 27002
Tecnologia da informação – Técnicas de segurança –
Código de prática para a gestão de segurança da
Informação

A NBR ISO/IEC 27002:2005 é a norma estrutural da gestão da segurança da informação. Ela define um código de prática para a gestão da segurança
da informação e orienta quais elementos devem ser considerados para uma
adequada proteção da informação.
A própria norma considera que “controles adicionais e recomendações
não incluídas nesta norma podem ser necessários” (ABNT, 2005, p. xIII).
Porém, independentemente da existência destes controles adicionais, a norma
recomenda a integração destes controles:
A segurança da informação é obtida a partir da implementação de
um conjunto de controles adequados, incluindo políticas, processos,
procedimentos, estruturas organizacionais e funções de software e
hardware. Estes controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados onde necessários,
para garantir que os objetivos de negócio e de segurança da organização
sejam atendidos (ABNT, 2005, p. x).
As Normas ISO/IEC 27002 e ISO/IEC 27001 têm origem no Padrão Britânico,
que em 1993 criou a Norma BS 7799. Oliveira Jr. (2010), Sêmola (2003) e Martins e
Santos (2005) descrevem que em 1995, em função do avanço das empresas e do
crescimento da tecnologia, este código de prática foi republicado pelo BSI (British
Standart International). No final da década de 1990 o BSI criou um programa de
certificação de empresas certificadoras capazes de atestarem organizações na
Políticas e normas para a segurança1-4ª final.indd 23 19/7/2012 10:13:02
24 Políticas e Normas para a Segurança da Informação
Norma BS 7799. Neste momento a Norma BS 7799 tinha duas partes. A parte 1
continha o código de conduta ou o guia de execução para a gestão da segurança
da informação. A parte 2 continha os requisitos de auditoria para a certificação
de um sistema de gestão de segurança da informação. Em função da importância
do assunto segurança da informação, era fundamental que estas normas fossem
publicadas por um órgão de reconhecimento internacional. No ano de 2000,
foi publicada pela ISO (International Organization for Standardization)a norma
ISO 17799, baseada na Norma BS 7799-1. Em 2005 esta norma passou por uma
nova revisão que culminou na nova versão ISO/IEC 17799:2005. Neste mesmo
ano de 2005, a BS 7799-2 foi adotada pela ISO e foi a primeira norma da família
27000, dedicada à segurança da informação. A BS 7799-2 tornou-se a ISO/IEC
27001:2005. Em 2007 a ISO/IEC 17799:2005 passou para o novo padrão e tornou-
se a Norma ISO/IEC 27002:2005.
No Brasil estas normas foram consideradas pela Associação Brasileira
de Normas Técnicas (ABNT) que é o Foro Nacional de Normatização. Na
ABNT elas foram submetidas ao Comitê Brasileiro de Computadores e
Processamento de Dados (ABNT/CB-2) e foram publicadas como: NBR ISO/
IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistema de
Gestão de segurança da informação – Requisitos, ABNT, 2006; e NBR ISO/
IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de
prática para a gestão da segurança da informação, ABNT, 2005 (ABNT, 2005).
O objetivo da NBR ISO/IEC 27002 é declarado da seguinte forma:
Esta Norma estabelece diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de segurança da informação
em uma organização. Os objetivos definidos nesta Norma proveem
diretrizes gerais sobre as metas geralmente aceitas para a gestão da
segurança da informação (ABNT, 2005, p. 1).
A NBR ISO/IEC 27002:2005 é composta por dezesseis capítulos, numerados
de zero a quinze e são consideradas onze seções de controles de segurança
da informação. Cada seção é composta por um número variado de categorias
principais de segurança da informação e cada categoria possui certo número de
controles. Estes controles são os elementos que definem o que a norma considera
importante para um processo de segurança da informação na organização
e devem ser os elementos considerados para as políticas de segurança da
informação das organizações.
Políticas e normas para a segurança1-4ª final.indd 24 19/7/2012 10:13:02
25A Política de Segurança da Informação e a Norma NBR ISO/IEC 27002
Existem 133 controles explícitos nesta norma. Estes controles, de maneira
isolada ou agrupada, ou considerando outros controles não descritos nesta
norma, são os elementos que devem ser considerados, em granularidade
diferente, nos diversos regulamentos de segurança da informação.
Temos em seguida a descrição de cada capítulo e a relação dos 133 controles
explicitados nesta norma.

a) Capítulo 0 – Introdução
Este capítulo inicia o assunto segurança da informação descrevendo o que
é a segurança da informação, por que a segurança da informação é necessária,
como se deve estabelecer requisitos de segurança da informação, a análise e
avaliação dos riscos de segurança da informação, como começar o processo
segurança da informação, fatores críticos de sucesso e desenvolvimento de
diretrizes.

b) Capítulo 1 – Objetivo
Este capítulo descreve o objetivo da norma.

c) Capítulo 2 – Termos e definições
Neste capítulo estão definidos os termos utilizados na norma. O Anexo 3
contém os termos descritos na norma e que são utilizados nesta pesquisa.

d) Capítulo 3 – Estrutura
A divisão das seções e das categorias de segurança da informação são
explicadas neste capítulo.

e) Capítulo 4 – Análise/avaliação e tratamento de riscos
Neste ponto a Norma descreve o processo de risco em duas fases: análise/
avaliação do risco e tratamento do risco. Apesar deste capítulo definir alguns
controles, eles não são considerados controles oficiais da norma, ficando apenas
como orientações, como por exemplo:
Políticas e normas para a segurança1-4ª final.indd 25 19/7/2012 10:13:02
26 Políticas e Normas para a Segurança da Informação
Convém que as análises/avaliações de riscos identifiquem, quantifiquem
e priorizem os riscos com base em critérios para a aceitação dos riscos e
dos objetivos relevantes para a organização.
Convém que as análises/avaliação de riscos também sejam realizadas
periodicamente, para contemplar as mudanças nos requisitos de
segurança da informação e na situação de risco, ou seja, nos ativos,
ameaças, vulnerabilidades, impactos, avaliação do risco e quando
mudança significativa ocorrer (ABNT, 2005, p. 6).
Em relação à política de segurança, este capítulo não indica diretamente
política, mas faz uma referência indireta quando ele cita a necessidade de escopo
para a gestão de riscos:
Convém que a análise/avaliação de riscos de segurança da informação
tenha um escopo claramente definido para ser eficaz e inclua os
relacionamentos com as análises/avaliações de riscos em outras áreas, se
necessário (ABNT, 2005, p. 6).
Isto porque, mais adiante na cronologia das normas, a NBR ISO/IEC 27005, ao
considerar o escopo e os limites para a gestão de riscos, declara que:
O escopo e os limites da gestão de riscos de segurança da informação estão
relacionados ao escopo e aos limites do SGSI conforme requerido na ABNT
ISO/IEC 27001 4.2.1.a (ABNT, 2008, p. 9).
Por sua vez a NBR ISO/IEC 27001 descreve em relação ao SGSI:
4.2.1 Estabelecer o SGSI
A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das características
do negócio, a organização, sua localização, ativos e tecnologia.
b) Definir uma política do SGSI nos termos das características do
negócio: a organização, sua localização, ativos e tecnologia que:
(....)
3) esteja alinhada com o contexto estratégico de gestão
de risco da organização no qual o estabelecimento e
manutenção do SGSI irão ocorrer;
Políticas e normas para a segurança1-4ª final.indd 26 19/7/2012 10:13:03
27A Política de Segurança da Informação e a Norma NBR ISO/IEC 27002
4) estabeleça critérios em relação aos quais os riscos serão
avaliados (ABNT, 2006, p. 4).
f) Capítulo 5 – Política de segurança da informação
Neste capítulo a norma recomenda que o documento de política de segurança
da informação deve definir como a organização vai se posicionar em relação aos
controles das demais categorias de segurança.
A partir deste capítulo começam a ser definidos os controles de segurança.
Para esta pesquisa, estes controles, de maneira independente ou agrupados, são
a referência para a identificação dos elementos mínimos que devem compor um
padrão mínimo para a política de segurança da informação de uma organização.
g) Controles
Descrevemos a seguir o título (assunto tratado) de cada controle. O Anexo 1
contém a descrição de cada um deles.

Controles do Capítulo 5 – Política de segurança da informação
(1) Documento da política de segurança da informação.
(2) Análise crítica da política de segurança da informação.

Controles do Capítulo 6 – Organizando a segurança da informação
(3) Comprometimento da direção com a segurança da informação.
(4) Coordenação da segurança da informação.
(5) Atribuição de responsabilidades para a segurança da informação.
(6) Processo de autorização para os recursos de processamento da informação.
(7) Acordos de confidencialidade.
(8) Contato com autoridades.
(9) Contato com grupos especiais.
(10) Análise crítica independente de segurança da informação.
Políticas e normas para a segurança1-4ª final.indd 27 19/7/2012 10:13:03
28 Políticas e Normas para a Segurança da Informação
(11) Identificação dos riscos relacionados às partes externas.
(12) Identificando a segurança da informação, quando tratando com os
clientes.
(13) Identificando a segurança da informação nos acordos com terceiros.

Controles do Capítulo 7 – Gestão de ativos
(14) Inventário dos ativos.
(15) Proprietário dos ativos.
(16) Uso aceitável dos ativos.
(17) Classificação da informação – Recomendações para classificação.
(18) Classificação da informação – Rótulos e tratamento da informação.

Controles do Capítulo 8 – Segurança em recursos humanos
(19) Papéis e responsabilidades.
(20) Seleção.
(21) Termos e condições de contratação.
(22) Responsabilidades da direção.
(23) Conscientização, educação e treinamento em segurança da informação.