Políticas de segurança e classificação da informação_- aprendizagem em foco

Prévia do material em texto

WBA0458_v1.0
POLÍTICAS DE SEGURANÇA E 
CLASSIFICAÇÃO DA INFORMAÇÃO 
APRENDIZAGEM EM FOCO
2
APRESENTAÇÃO DA DISCIPLINA
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
Olá, estudante! 
Nesta disciplina, você conhecerá os principais controles de 
segurança da informação: a política de segurança da informação e 
a classificação da informação. 
A segurança da informação não tem relação somente com os 
softwares, mas com todo processo que compreenda pessoas, 
equipamentos de hardware (computadores, dispositivos, 
impressoras, entre outros), comunicação de dados e qualquer 
outra atividade relacionada ao uso da tecnologia nas 
organizações. É importante ter o controle para preservar a 
integridade dos dados, garantir sua disponibilidade para as 
pessoas adequadas, além de estabelecer a confidencialidade 
das informações para a organização, todas essas características 
de segurança da informação devem ser estabelecidas em uma 
política de segurança da informação nas organizações. 
Então, para se ter esse controle de segurança da informação, 
trabalharemos com quatro temáticas relevantes para o 
desenvolvimento da política de segurança em uma organização: 
(1) introdução à política de segurança da informação; (2) os 
frameworks ITIL e Cobit e governança na política de segurança da 
informação, em que o Cobit consiste em um framework de gestão 
da área de TI e de alinhamento estratégico para ajudar a entender 
e a gerenciar os riscos e benefícios associados, já o ITIL fornece 
boas práticas, orientações sobre a concepção de serviços de TI, 
processos e outros aspectos do esforço de gestão de serviços; 
3
(3) a classificação da informação, que consiste na definição de 
níveis de proteção que cada dado deve receber na segurança 
da informação; e (4) exemplos práticos de políticas, normas e 
procedimentos.
Vamos lá? Bons estudos!
INTRODUÇÃO
Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira 
direta e assertiva, os principais conceitos inerentes à temática 
abordada na disciplina. Além disso, também pretende provocar 
reflexões que estimulem a aplicação da teoria na prática 
profissional. Vem conosco!
TEMA 1
Introdução à política de 
segurança da informação
______________________________________________________________
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
5
DIRETO AO PONTO
Neste conteúdo, você estudou o quão uma política de segurança 
da informação se faz necessária em uma organização, pois ela 
determina o uso de regras e controles para preservação dos 
ativos pelos usuários, além disso, podemos identificar quais as 
características que uma política de segurança deve ter para ser 
desenvolvida. 
Para que uma política de segurança de informação atenda às 
necessidades de uma organização, é importante utilizar alguns 
critérios no seu desenvolvimento e na sua implantação, como 
também fazer o desenvolvimento de uma política em etapas, de 
acordo com o nível organizacional que aquela diretriz ou aquele 
regulamento se enquadram. São indicadas as seguintes etapas: 
(I) iniciar o projeto; (II) desenvolvimento do projeto; (III) entrega, 
comunicação e treinamento do produto final; e (IV) definição 
dos processos de manutenção e atualização. Para um melhor 
desenvolvimento dessas etapas, elas podem ser divididas em 
subetapas. É altamente indicado que o gestor de segurança, ao 
estruturar a política, tenha um conhecimento sedimentado nas 
normas ISO/IEC 27001 (ABNTa, 2013), ISO/IEC 27002 (ABNTb, 
2013), frameworks de melhores práticas como o ITIL e o Cobit, 
pois são normas e frameworks internacionais que orientam a 
segurança da informação. Desenvolver a política de segurança da 
informação considerando o nível organizacional (tático, estratégico 
e operacional), para determinar quais tipos de documentos 
(normas, procedimentos, regulamentos ou regras) devem ser 
criados, faz com que a política seja efetiva na organização, 
conforme Tabela 1.
6
Tabela 1 – Síntese dos níveis organizacionais com os 
documentos relacionados
ESTRATÉGICO
(Nível 1)
TÁTICO
(Nível 2)
OPERACIONAL
(Nível 3 e demais 
níveis)
Documentos: 
políticas e diretrizes
Documentos: 
políticas e diretrizes
Documentos: 
normas e 
procedimentos
1. Objetivo.
2. Abrangência.
3. Implantação ou 
implementação.
4. Definições.
5. Diretrizes e regras.
6. Responsabilidades 
complementares .
7. Conclusão.
8. Anexos.
1. Objetivo. 
2. Abrangência. 
3. Implementação.
4. Política de 
segurança e 
proteção da 
informação. 
5. Definições. 
6. Regras.
7. Responsabilidades 
complementares.
8. Conclusão.
9. Anexos.
1. Objetivo deste 
regulamento. 
2. Abrangência deste 
regulamento. 
3. Implementação 
deste regulamento.
4. Definições.
5. Regras e 
procedimentos.
6. Controles e 
responsabilidades.
7. Conclusão
Fonte: elaborada pela autora.
É mostrada na Figura 1 a estrutura de uma política de segurança 
da informação que é indicada de acordo com os níveis 
organizacionais.
7
Figura 1 - Estrutura da política de segurança da informação de 
acordo com níveis organizacionais
Fonte: Elaborada pela autora.
Referências bibliográficas
ABNTa, Associação Brasileira de Normas Técnicas. NBR ISO/IEC 
27001:2013. Tecnologia da informação - Técnicas de segurança - 
Sistemas de gestão da segurança da informação - Requisitos. Rio 
de Janeiro, p. 30. 2013. 
ABNTb, Associação Brasileira de Normas Técnicas. NBR ISO/IEC 
27002:2013. Tecnologia da informação - Técnicas de segurança - 
Código de prática para controles de segurança da informação. Rio 
de Janeiro, p. 99. 2013. 
FONTES, E. Políticas e normas para a segurança da informação. 
Rio de Janeiro: Brasport, 2012.
8
SÊMOLA, M. Gestão da segurança da informação: uma visão 
executiva. 2. ed. Rio de Janeiro: Elsevier, 2014. 
PARA SABER MAIS
Atualmente, há uma grande preocupação com segurança da 
informação. Então, as empresas estão criando suas políticas para 
assegurar seus bens ativos, ou seja, as informações. Apenas em 
2019, ocorreram mais de 875.327 mil incidentes de segurança 
da informação no Brasil, de acordo com o Centro de Estudos, 
Resposta e Tratamento de Incidentes de Segurança no Brasil 
(CERT.br), em que os tipos de incidentes reportados como ataques 
e suas porcentagens são de: Scan, 46,81%; DoS, 34,42%; Worm, 
11,48%; fraude, 4,5%; web, 2,55%; invasão, 0,06%; e outros, 
0,17%. Esses números são indicativos de um fator importante: os 
gestores de segurança da informação estão falhando em proteger 
os seus dados com uma política de segurança da informação que 
o tornam vulneráveis.
Referências bibliográficas
CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes 
de Segurança no Brasil. c2020. Disponível em: https://www.cert.
br//. Acesso em: 24 jun. 2020.
TEORIA EM PRÁTICA
A empresa XYZ teve, recentemente, vários ataques virtuais e 
dados foram roubados por pessoas não autorizadas. O vazamento 
foi tratado como um problema interno, ou seja, a empresa não 
9
divulgou a seus clientes tais ataques e roubos de dados com 
medo da reação do mercado e, consequentemente, dos clientes. 
Esta empresa possui uma política de segurança da informação 
que foi desenvolvida e implantada por cinco anos. Contudo, de 
acordo com o texto da nova Lei Geral de Proteção de Dados (Lei 
n° 13.709/18, (BRASIL, 2018)), que entrou em vigor em agosto 
de 2020, qualquer vazamento de dados deve ser comunicado 
imediatamente à agência reguladora e aos titulares da informação, 
sob pena de multas e sanções para as empresas, sejam públicas 
ou privadas. Então, de acordo com esta lei, a responsabilidade na 
garantia da segurança da informação aumenta bastante e torna-
se fundamental evitar situações que possam, em casos extremos, 
vir a impedir a continuidade dos negócios por determinação do 
governo. Preocupada com os ataques recebidos e com os dados 
roubados, a empresa XYZ contratou você para ser gestor de 
segurança da informação. Qual sua primeira ação para garantir a 
segurança da informaçãona empresa?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Para que uma política de segurança da informação seja 
desenvolvida, implantada e mantida adequadamente, é 
importante termos exemplos reais desses processos. O capítulo 
Indicações de leitura
10
Lorem ipsum dolor sit amet
Autoria: Nome do autor da disciplina
Leitura crítica: Nome do autor da disciplina
13, “Exemplos de políticas, normas e procedimentos” mostra 
exatamente isto. 
Para realizar a leitura, acesse a plataforma EBSCOhost, na 
Biblioteca Virtual da Kroton, e busque pelo título da obra.
FONTES, E. Políticas e normas para a segurança da informação: 
como desenvolver, implantar e manter regulamentos para 
a proteção da informação nas organizações. Rio de Janeiro: 
Brasport, 2012.
Indicação 2
A NBR ISO/IEC 27.002 faz parte do grupo de normas internacionais 
que focam nas boas práticas para a gestão da segurança da 
informação. A norma, em sua íntegra, é dividida em seções, e em 
sua seção 5 faz referência exclusivamente à política de segurança 
da informação. Para ampliar seus conhecimentos sobre as 
melhores práticas de gestão de segurança da informação para 
desenvolvimento de uma política de segurança da informação, 
estude o capítulo 6 – “Política de segurança baseada na ISO 
27.002”.
Para realizar a leitura, acesse a plataforma Biblioteca Senac, na 
Biblioteca Virtual da Kroton, e busque pelo título da obra.
AGUILERA, F. E. Padrões, normas e política de segurança da 
informação. São Paulo: Senac, 2019. 
11
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. Em uma política de segurança da informação, o nível 
operacional é onde são criados(as): 
a. Normas.
b. Regras.
c. Procedimentos e instruções.
d. Políticas.
e. Normas e regras. 
2. É importante que uma política de segurança de 
informação seja organizada em uma estrutura 
hierárquica, apresentando seus elementos categorizados. 
A respeito de tais categorias (regulamentos, 
procedimentos, diretrizes e normas), considere as 
afirmações: 
12
I. Regulamentos não são obrigatórios, porém, ao serem 
desenvolvidos na organização, o seu não cumprimento 
pode levar a penalidades disciplinares. 
II. Procedimentos devem ser descritivos vagos e superficiais 
a respeito de práticas cotidianas.
III. Diretrizes são obrigatórias e têm caráter consultivo. 
IV. Normas estabelecem parâmetros a serem observados. 
 
Assinale a alternativa correta.
a. A afirmação I é verdadeira.
b. A afirmação II é verdadeira.
c. A afirmação IV é verdadeira.
d. A afirmação III é verdadeira.
e. As afirmações I, II e III são verdadeiras. 
GABARITO
Questão 1 - Resposta C
Resolução: No nível operacional, são descritos na política 
quais instruções ou procedimentos que o usuário técnico tem 
que realizar para poder acessar informações do ambiente de 
tecnologia da organização. 
Questão 2 - Resposta C
Resolução: A afirmação I está errada porque regulamentos 
são obrigatórios. A afirmação II está errada porque faz 
referência à forma específica de executar uma atividade 
ou um processo, e isto não pode ser vago ou superficial, e 
sim direto e exato. A afirmação III está errada porque não 
é obrigatório desenvolver diretrizes, pois elas têm caráter 
somente de consulta em caso de dúvida. E a afirmação IV está 
13
correta, pois as normas realmente descrevem parâmetros a 
serem observados. 
TEMA 2
ITIL, Cobit e governança na 
política de segurança da 
informação 
______________________________________________________________
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
15
DIRETO AO PONTO
Neste conteúdo, você estudou como a política de segurança da 
informação deve estar integrada à governança, tanto corporativa 
como a de TI de uma organização. E também aprendeu a utilizar 
frameworks internacionais, Cobit e ITIL, que são um suporte 
robusto para a efetivação da segurança da informação, pois eles 
fornecem métricas para garantir a eficácia da prática.
A governança de TI consiste em um conjunto estruturado de 
políticas, normas, métodos e procedimentos destinados a permitir 
à alta administração e aos executivos o planejamento, a direção e 
o controle da utilização atual e futura de tecnologia da informação, 
em total alinhamento com os objetivos do negócio, com o objetivo 
de ter a segurança da informação em um nível aceitável de risco. 
E a governança de TI, por ter como foco o direcionamento e 
monitoramento das práticas de gestão e uso da TI de uma 
organização, alinhados aos seus objetivos, constitui padrões e 
relacionamentos construídos de forma estruturada. Isto vem 
ao encontro do desenvolvimento da política de segurança 
da informação, pois ela precisa estar alinhada aos objetivos 
estratégicos do negócio.
Para realizar a implementação da governança de TI, é indicado 
fortemente utilizar frameworks ou modelos já consolidados no 
mercado que podem fornecer gerenciamento de controles para 
garantir a eficácia de sua implementação. Frameworks como o 
Cobit e o ITIL são modelos voltados para a governança de TI e 
práticas de gerenciamento dos serviços de TI.
Neste sentido, o Cobit tem como foco principal orientar as 
organizações na implementação, operação e melhoria dos 
16
processos de governança e gestão de TI. Já a biblioteca ITIL 
proporciona orientações de boas práticas para gestão e 
execução de serviços de TI, sob a perspectiva da geração de 
valor ao negócio. Ou seja, ao serem utilizados em conjunto e 
em consonância com a governança de TI e acoplados na política 
de segurança da informação, podem trazer controle efetivo de 
segurança da informação na organização.
Figura 1 – Estrutura da política de segurança da informação 
em consonância com governanças e frameworks
Fonte: elaborada pela autora.
Referências bibliográficas
AXELOS. ITIL Foundation – ITIL. 4. ed. Londres: AXELOS, 2019. 
ISACA. Cobit 5 – Modelo corporativo para governança e gestão de 
TI da organização. Illinois, EUA: Isaca, 2012.
17
PARA SABER MAIS
Em plena Indústria 4.0, manter a governança de TI com toda 
a infraestrutura atualizada e atendendo a todas as exigências 
dos clientes e do mercado, e com um nível de segurança da 
informação considerado adequado de acordo com as regras do 
negócio, é considerado um dos grandes desafios para os gestores 
organizacionais.
Em 2017, a Isaca realizou uma pesquisa junto a 732 líderes 
de organizações ao redor do mundo, denominada Better tech 
governance is better for business, e descobriu que 92% dos 
entrevistados acreditavam que uma melhor governança de TI 
resulta em melhores resultados econômicos, enquanto 89% 
acreditavam que isso levava mais agilidade aos negócios. De 
acordo com a pesquisa, pressupõe-se que a governança de 
TI é uma prioridade que ascendeu ao conselho superior das 
organizações. Os entrevistados também disseram acreditar que 
uma forte governança de TI pode levar a operações mais eficientes 
e enxutas, maior capacidade de resposta aos clientes e parceiros, 
retornos mais demonstráveis dos investimentos e melhor 
priorização de projetos. 
Neste contexto, pergunta-se: “Quais são as chaves para uma 
governança de TI efetiva na Era Digital?” – este é o título de uma 
matéria da revista CIO, que expõe a importância da governança de 
TI nas organizações atuais e, também, contém algumas pesquisas 
da Isaca (Associação de Auditoria e Controle de Sistemas de 
Informação) e da Gartner Group (que é um instituto de pesquisa 
e consultoria na área toda tecnologia da informação,reconhecido 
e respeitado mundialmente). Além de expor os modelos de 
governança de TI adotados pelas empresas, é comentado, 
também, na matéria sobre o Cobit, um importante framework 
18
desenvolvido pela Isaca para uso na governança de TI e que pode 
contribuir para a segurança da informação nas organizações. Uma 
importante afirmação dos entrevistados na matéria é colocada 
ao final: “Fazer negócios à velocidade do digital requer que a 
organização avalie continuamente se suas capacidades de tomada 
de decisão apoiam sua ambição digital”.
Referências bibliográficas
PRATT, M. K. Quais são as chaves para uma governança de TI 
efetiva na Era Digital? Revista CIO From IDG, Estados Unidos, . 
Disponível em: https://cio.com.br/gestao/quais-sao-as-chaves-
para-uma-governanca-de-ti-efetiva-na-era-digital//. Acesso em: 2 
jul. 2020.
TEORIA EM PRÁTICA
Analise a seguinte situação: a empresa ZYX Digital diariamente 
tem acontecimentos anormais em seus ativos digitais, tais como: 
vazamentos de dados, enganos não intencionais de funcionários 
e incidentes relativos aos seus dispositivos pessoais. Isso tem 
aumentado consideravelmente o nível de instabilidade da 
infraestrutura de TI e também não há como garantir que as 
informações continuem seguras. O gerente de segurança da 
informação da ZYX Digital, apesar de já ter implantado políticas de 
segurança da informação, tem sua carga de trabalho aumentada 
por todos estes acontecimentos, fazendo com que ele não 
tenha tempo para gerenciar a infraestrutura de segurança da 
informação de forma proativa. Para melhorar essa situação 
problemática, está sendo estudada por ele, em conjunto com os 
gestores da empresa, a implantação de frameworks voltados para 
19
o gerenciamento de TI que abordem fortemente segurança da 
informação, pois percebeu-se que existem processos indefinidos 
e a gestão em segurança não consegue manter a integridade 
da informação e proteger os ativos de TI, e está maximizando 
o impacto sobre os negócios devido às vulnerabilidades e aos 
incidentes da segurança. Diante desta problemática, você, na 
situação do gerente de segurança da informação da empresa 
ZYX Digital, tendo que aplicar boas práticas de gerenciamento, 
uma vez que a alta gerência já sinalizou a implantação de algum 
framework de governança de TI, já apontado sendo a ITIL ou Cobit, 
qual(is) ação(ões) você tomaria? Qual seria sua decisão junto à alta 
gerência?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Como já visto, o Cobit é um framework de gerenciamento de 
TI concebido pela Isaca para auxiliar as empresas em torno do 
gerenciamento de informações e governança de TI. Para ampliar 
seu aprendizado sobre este framework, acesse o material de 
Fernandes e Abreu, realize a leitura do capítulo 6, “Modelos 
abrangentes de governança de TI”, em específico o tópico 6.2, que 
é detalhado sobre o Cobit. 
Para realizar a leitura, acesse a plataforma EBSCOhost, na 
Biblioteca Virtual da Kroton, e busque pelo título da obra.
Indicações de leitura
20
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de 
TI: da estratégia à gestão dos processos e serviços. 4. ed. Rio de 
Janeiro: Brasport, 2014.
Indicação 2
Considerando que a ITIL constitui uma biblioteca para 
implementação de boas práticas de gerenciamento de serviços de 
TI, vamos aprender mais sobre ela? Para isto, acesse o material de 
Fernandes e Abreu, realize a leitura do capítulo 7, “Modelos para 
gerenciamento de serviços de TI”, em específico o tópico 7.1, que é 
detalhado sobre o ITIL. 
Para realizar a leitura, acesse a plataforma EBSCOhost, na 
Biblioteca Virtual da Kroton, e busque pelo título da obra.
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de 
TI: da estratégia à gestão dos processos e serviços. 4. ed. Rio de 
Janeiro: Brasport, 2014. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
21
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. A ITIL é uma biblioteca de boas práticas desenvolvida 
pelo governo britânico e, atualmente, a propriedade e 
a comercialização deste portfólio de melhores práticas 
pertencem à Axelos. As boas práticas do modelo têm como 
objetivo: 
a. O gerenciamento de serviços de tecnologia de informação 
de alta qualidade.
b. Identificar e fornecer uma visão geral para a prática de BPM.
c. Servir como base de conhecimento para que os profissionais 
de análise de negócios compreendam seu papel nas 
organizações.
d. Traduzir a estratégia da empresa em termos operacionais.
e. Sistema abrangente e flexível para alcançar, sustentar e 
maximizar o sucesso empresarial. 
2. O Cobit é um modelo de boas práticas de governança e 
gerenciamento da TI empresarial desenvolvida pela Isaca. 
Este framework é sustentado por cinco princípios. Assinale 
a alternativa que indica estes cinco princípios: 
a. Controle empírico do processo; auto-organização; 
colaboração; priorização baseada em valor,; 
desenvolvimento iterativo.
b. Proteger os ativos da empresa; produzir dados contábeis 
confiáveis; estabelecer protocolos e procedimentos 
que colaboradores devem seguir; manter informações 
financeiras organizadas; reduzir erros.
22
c. Desenvolvimento iterativo do software; gestão de requisitos; 
uso de arquiteturas baseadas em componentes; verificação 
contínua da qualidade do software; controle de mudanças 
no software.
d. Justificação de negócio contínua; aprender com a 
experiência; papéis e responsabilidade definidos; gerenciar 
por estágios; gerenciar por exceção. 
e. Satisfazer as necessidades das partes interessadas; cobrir 
a organização de ponta a ponta; III) aplicar um framework 
integrado único; possibilitar uma visão holística; separar 
governança de gerenciamento. 
GABARITO
Questão 1 - Resposta A
Resolução: O framework é voltado para o gerenciamento 
de serviços de TI, ou seja, elevar o grau de maturidade e 
qualidade que permita o uso eficaz e eficiente dos seus 
ativos estratégicos de TI (incluindo sistemas de informação e 
infraestrutura de TI). 
Questão 2 - Resposta E
Resolução: Satisfazer as necessidades das partes 
interessadas; cobrir a organização de ponta a ponta; aplicar 
um framework integrado único; possibilitar uma visão 
holística; separar governança de gerenciamento, constituem 
todos os princípios do Cobit. 
TEMA 3
Classificação da informação 
______________________________________________________________
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
24
DIRETO AO PONTO
Neste conteúdo, você estudou sobre como a classificação 
da informação é essencial para que as organizações possam 
centralizar seus recursos para a segurança da informação 
de maneira eficiente. Sabendo aplicar as propriedades de 
disponibilidade, confidencialidade e integridade das informações 
com as quais a organização trabalha, esta pode gerar políticas 
de segurança da informação que foram meticulosamente 
analisadas e desenvolvidas especificamente para cada recurso da 
organização. 
Neste contexto, o desenvolvimento da classificação da informação 
com os rótulos e o tratamento da informação deve estar 
totalmente alinhado à política de segurança da informação de 
uma organização e, também, às regras de negócio. Os critérios 
de controle para a classificação devem ser desenvolvidos 
em consonância com as propriedades disponibilidade, 
confidencialidade e integridade. Sendo que, na confidencialidade, 
têm-se os critérios: confidencial, restrita, interna e pública. Com 
relação à integridade, os critérios são: registrada, controladae 
normal. E, com relação à indisponibilidade, têm-se os seguintes 
critérios: vital, crítica e comum. Na classificação da informação, os 
responsáveis inseridos no processo são: proprietário, custodiante, 
grupos de acesso e o usuário. 
Após as informações serem classificadas, é necessário realizar 
a rotulagem das informações, que consiste em definir os níveis 
de classificação que identificam o conteúdo daquela informação. 
Por exemplo, se um cliente recebe um e-mail, é necessário saber 
o controle do seu nível de confidencialidade; ou se um usuário 
faz um pedido de criação de senha de acesso, é necessária 
a comprovação de controle do seu nível de autenticidade. E 
25
o processo final da classificação da informação consiste no 
tratamento da informação, ou seja, conjunto de ações referentes a 
recepção, classificação, utilização, acesso, reprodução, transporte, 
distribuição, armazenamento, eliminação, avaliação ou controle 
da informação. Então, é somente por meio deste tratamento 
apropriado das informações que são fornecidos os controles e a 
proteção adequada, propondo assegurar sua confidencialidade, 
integridade e disponibilidade. Na Figura 1, você tem uma estrutura 
sobre a classificação da informação e os elementos que a 
compõem.
Figura 1 – Estrutura da classificação da informação
Fonte: Elaborada pela autora.
26
Referências bibliográficas
FONTES, E. Políticas e normas para a segurança da informação. 
Rio de Janeiro: Brasport, 2012.
SÊMOLA, M. Gestão da segurança da informação: uma visão 
executiva. 2. ed. Rio de Janeiro: Elsevier, 2014. 
PARA SABER MAIS
Você sabe quando foi publicada no Brasil a primeira lei sobre 
a Política Nacional de Segurança da Informação, com todas as 
características de confidencialidade, disponibilidade e integridade, 
como também a classificação das informações? Vamos lá, então, 
para um pouco de história e fatos importantes sobre a política 
de segurança da informação no Brasil, que fortalece a cultura 
de segurança da informação na sociedade brasileira. O primeiro 
passo para a criação de uma PSI foi a Lei nº 8.159, de 8 de janeiro 
de 1991 (BRASIL, 1991), que dispõe sobre a política nacional de 
arquivos públicos e privados e providências, e foi sancionada pelo 
presidente Fernando Collor de Melo. Porém, a lei ainda não era 
a política de segurança da informação do país. Não continha a 
estrutura sobre a proteção das informações nacionais. 
A próxima atualização foi em 1998, com o Decreto nº 2.910, 
de 29 de dezembro de 1998, que foi sancionada pelo então 
presidente Fernando Henrique Cardoso, e estabelecia 
normas para a salvaguarda de documentos, materiais, áreas, 
comunicações e sistemas de informação de natureza sigilosa, e 
dava outras providências. E também não era ainda uma política 
de segurança da informação, mas já dava indícios de classificação 
da informação, pois atribuía, na seção II da Lei, o conceito de 
27
Documento Sigiloso Controlado – DSC e, no capítulo III, os 
conceitos de segurança das comunicações e dos sistemas de 
informação. 
E, finalmente, no ano 2000, temos oficialmente a primeira PSI 
com o decreto nº 3.505, de 13 de junho de 2000 (BRASIL, 2000), 
promulgado pelo presidente Fernando Henrique Cardoso, que 
institui a política de segurança da informação nos órgãos e 
entidades da Administração Pública Federal no Brasil. E no art. 3º, 
são atribuídos os objetivos da política da informação, sendo: 
I - dotar os órgãos e as entidades da Administração Pública 
Federal de instrumentos jurídicos, normativos e organizacionais 
que os capacitem científica, tecnológica e administrativamente a 
assegurar a confidencialidade, a integridade, a autenticidade, o não-
repúdio e a disponibilidade dos dados e das informações tratadas, 
classificadas e sensíveis. 
Já se asseguravam os pilares principais da segurança da 
informação (confidencialidade, integridade e a disponibilidade) 
e os complementares (autenticidade e não repúdio) em uma 
política de segurança da informação, como também classificar 
as informações e tratá-las. Que tal agora analisar o decreto na 
íntegra, com todos estes detalhes que foram estudados por você? 
E 18 anos depois, o presidente Michel Temer promulga o Decreto 
nº 9.637, de 26 de dezembro de 2018 (BRASIL, 2018), que institui a 
Política Nacional de Segurança da Informação e, também, dispõe 
sobre a governança da segurança da informação, alterando todos 
os decretos anteriores. No capítulo I do decreto, especificamente 
nos artigos 1º e 2º, é instituído: 
Art. 1º Fica instituída a Política Nacional de Segurança da 
Informação – PNSI, no âmbito da administração pública federal, 
28
com a finalidade de assegurar a disponibilidade, a integridade, a 
confidencialidade e a autenticidade da informação a nível nacional. 
Art. 2º Para os fins do disposto neste Decreto, a segurança da 
informação abrange: I - a segurança cibernética; II - a defesa 
cibernética; III - a segurança física e a proteção de dados 
organizacionais; e IV - as ações destinadas a assegurar a 
disponibilidade, a integridade, a confidencialidade e a autenticidade 
da informação.
A Política Nacional de Segurança da Informação dispõe sobre 
princípios, objetivos, instrumentos, atribuições e competências 
de segurança da informação para os órgãos e entidades da 
Administração Pública Federal, sob o prisma da governança, 
e previu, para sua implementação, a elaboração da Estratégia 
Nacional de Segurança da Informação e dos Planos Nacionais. 
Para proceder à classificação da informação, é necessário fazer 
o preenchimento do Termo de Classificação de Informação – TCI, 
conforme Anexo do Decreto 7.724 de 16 de maio de 2012. Dentre 
as informações que compõem o citado termo, tem-se o Código de 
Indexação de Documento que contém Informação Classificada – 
CIDIC.
Referências bibliográficas
BRASIL. Lei nº 8.159, de 8 de janeiro de 1991. Dispõe sobre a 
política nacional de arquivos públicos e privados e dá outras 
providências. Brasília, DF, 1991. Disponível em: https://www2.
camara.leg.br/legin/fed/lei/1991/lei-8159-8-janeiro-1991-322180-
normaatualizada-pl.html. Acesso em: 11 jul. 2020.
BRASIL. DECRETO No 2.910, DE 29 DE DEZEMBRO DE 1998. 
Disponível em: <http://legislacao.planalto.gov.br/legisla/legislacao.
29
nsf/Viw_Identificacao/dec%202.910-1998?OpenDocument>. 
Acesso em: 11 jul. 2020.
BRASIL. Decreto nº 3.505, de 13 de junho de 2000. Institui a 
Política de Segurança da Informação nos órgãos e entidades da 
Administração Pública Federal. Brasília, DF, 2000. Disponível em: 
https://www2.camara.leg.br/legin/fed/decret/2000/decreto-3505-
13-junho-2000-368759-publicacaooriginal-1-pe.html. Acesso em: 
11 jul. 2020.
BRASIL. Decreto nº 7.724, de 16 de maio de 2012. Disponível 
em: <http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_
Identificacao/DEC%207.724-2012?OpenDocument>. Acesso em: 
11 jul. 2020.
BRASIL - Decreto nº 9.637, de 26 de dezembro de 2018. Política 
Nacional de Segurança da Informação. Brasília, DF, 2018. 
Disponível em: https://www.in.gov.br/materia/-/asset_publisher/
Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-
9-637-de-26-de-dezembro-de-2018-56969938 Acesso em: 11 jul. 
2020.
TEORIA EM PRÁTICA
Reflita sobre a seguinte situação: foi definido que você é o 
responsável pela classificação da informação, ou seja, quem 
definiu e realizou a análise crítica das classificações e restrições 
de acesso (proprietário da informação) na política de segurança 
da informação da empresa XYZ Telecom. No desenvolvimento da 
política de segurança da informação, em específico na realização 
da classificação e rotulagem das informações dos clientes, 
os dados pessoais (como o CPF) e para cobrança não foram 
30
classificados e rotulados como sigilosos, mas sim como públicos, 
e foram expostos na internet pelo site da empresa. Esse tipo 
de situação causou prejuízos financeiros à empresa, além de 
penalidades jurídicas. Qual a solução mais adequada para esta 
situação? Quais ações emergenciaisdevem ser realizadas por 
você? E na perspectiva do meio e longo prazo, quais ações você 
deve realizar? 
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Neste livro, o exemplo 8 ilustra com detalhes a classificação da 
informação.
Para realizar a leitura, acesse a plataforma Virtual 3.0_Pearson, na 
Biblioteca Virtual da Kroton, e busque pelo título da obra.
FONTES, E. Políticas e normas para a segurança da informação. 
1. ed. Rio de Janeiro: Brasport, 2012. Cap.13, p. 136-146.
Indicação 2
Nesta obra de Lima, o tópico 3, “Classificação da informação”, 
mostra com detalhes o grau de complexidade do processo de 
classificação da informação. 
Indicações de leitura
31
Para realizar a leitura, acesse a plataforma Biblioteca Virtual 3.0_
Pearson, na Biblioteca Virtual da Kroton, e busque pelo título da 
obra.
LIMA, A. Gestão da segurança e infraestrutura de tecnologia da 
informação. São Paulo: Senac, 2018. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
1. Em qual ano foi promulgado o Decreto nº 9.637, que institui a 
Política Nacional de Segurança da Informação e dispõe sobre 
a governança da segurança da informação, alterando todos os 
decretos anteriores?
a. 2012.
b. 2018.
c. 2000.
d. 1991.
e. 1998. 
32
2. Os rótulos que são atribuídos às informações, após a 
classificação da informação, consiste em: 
a. Conjunto de ações referentes a recepção, classificação, 
utilização, armazenamento e descarte da informação.
b. Realizar um tratamento das informações.
c. Estabelecer as propriedades de disponibilidade, 
confidencialidade e integridade das informações.
d. Definir os níveis de classificação que identificam o conteúdo 
daquela informação
e. Tratar as informações classificadas. 
GABARITO
Questão 1 - Resposta B
Resolução: Em 2018, 18 anos depois do último decreto que 
instituiu a Política de Segurança da Informação, Decreto nº 
3.505, de 13 de junho de 2000, promulgado pelo presidente 
Fernando Henrique Cardoso. 
Questão 2 - Resposta D
Resolução: Consiste em efetivar os níveis das informações 
já classificadas, identificando o tipo de conteúdo daquela 
informação. Por exemplo: confidencial, restrita, interna e 
pública, entre outros. 
TEMA 4
Políticas, normas e 
procedimentos práticos 
______________________________________________________________
Autoria: Márcia Maria Savoine
Leitura crítica: Ítalo Diego Teotônio
34
DIRETO AO PONTO
Neste conteúdo, você estudou o quão importante é o 
desenvolvimento prático de uma política de segurança da 
informação e o quanto é necessária em uma organização, pois ela 
determina o uso de regras e controles para preservação dos ativos 
pelos usuários. Utilizar critérios no desenvolvimento de uma 
política de segurança da informação, tanto na política principal 
como nas complementares, é importante e traz maior segurança à 
equipe que a desenvolve e, também, aos gestores da organização.
A organização também se sentirá mais confortável com a 
participação de um especialista de segurança da informação, 
pois a responsabilidade deste profissional é ajudar na 
prevenção para que dados não sejam roubados ou vazem para 
os concorrentes. Importante também para a organização ter 
um comitê de segurança da informação, pois proporcionará 
maior robustez em assegurar a disponibilidade dos recursos de 
informação, resguardar a integridade das informações e garantir a 
confidencialidade do conteúdo da organização. 
Este comitê gestor de segurança da informação é o órgão na 
organização que irá desenvolver as políticas de segurança da 
informação, tanto a política principal de segurança da informação 
– PPSI, que consiste na política gerada no nível 1 – estratégico e 
que, a partir desta, são geradas todas as outras políticas, tanto 
do nível 2 – tático, como do nível 3 – operacional. Dependendo 
de como a organização quer estruturar o documento da política, 
ela pode ser estruturada como uma política principal ou central 
de segurança da informação e ter alinhadas a ela as políticas 
complementares, ou pode, ainda, a partir da política principal, ter 
as diretrizes no nível 2 e as normas ou os procedimentos no nível 
3. Não há uma regra sobre isto, quem define é o comitê gestor 
35
de segurança da informação, de acordo com as necessidades da 
organização.
Porém, independente do que o comitê gestor definir para 
estruturar o documento das políticas, é necessário, antes de 
iniciar o desenvolvimento de qualquer tipo de política (principal ou 
complementar), ou, ainda, política principal e diretrizes, normas ou 
procedimentos, entender todas as estratégias e regras de negócios 
da organização, analisar e utilizar todas as regulamentações, 
legislação e os contratos, como também compreender todos os 
perfis de ameaças à segurança da informação que ocorreram e 
poderão ocorrer na organização. A partir de executadas todas 
estas ações e estes procedimentos, o comitê gestor desenvolverá 
as políticas dentro das necessidades reais da organização e 
poderá garantir, eficientemente, a segurança das informações. 
Na Figura 1, é mostrado todo o ciclo de desenvolvimento de uma 
política de segurança da informação em uma organização, assim 
como os recursos humanos envolvidos.
36
Figura 1 – Ciclo de desenvolvimento de uma política de 
segurança da informação em uma organização
Fonte: Elaborada pela autora.
Referências bibliográficas
AGUILERA, F. E. Padrões, normas e política de segurança da 
informação. São Paulo: Senac, 2019. 
37
FONTES, E. Políticas e normas para a segurança da informação. 
Rio de Janeiro: Brasport, 2012. 
PARA SABER MAIS
Uma pesquisa divulgada no primeiro bimestre de 2020 pela 
Identity Defined Security Alliance (IDSA), uma aliança que tem por 
objetivo fornecer orientações para que as empresas estabeleçam 
o gerenciamento seguro de identidades como fator principal de 
suas estratégias de segurança da informação, apontou que 79% 
das organizações sofreram uma violação de segurança associada 
à identidade nos dois últimos anos. Este resultado faz parte 
do estudo denominado Segurança de identidade: um trabalho 
em andamento, que teve por objetivo identificar tendências em 
segurança relacionada à identidade e verificar como as empresas 
estão procedendo para reduzir os riscos de uma violação. Os 
pesquisadores de segurança da IDSA constataram que violações 
relacionadas à identidade são tão comuns quanto spyware ou 
ataques DDoS. 
Eles descobriram também que 94% das organizações já sofreram 
esse tipo específico de invasão em algum momento e 79% 
das violações ocorreram nos dois últimos anos. Outro dado 
descoberto pelos pesquisadores foi que 99% dos entrevistados 
acreditam que a violação sofrida era evitável, porém, menos 
da metade implementou totalmente os principais recursos de 
segurança relacionados à identidade.
Outra informação importante é que 66% dos entrevistados 
identificaram o phishing como a causa mais comum das violações 
relacionadas à identidade. O phishing consiste em um tipo de 
roubo de identidade on-line, é caracterizado por tentativas de 
38
adquirir ilicitamente dados pessoais de outra pessoa, sejam 
senhas, dados financeiros, bancários, números de cartões de 
crédito ou simplesmente dados pessoais. E algo realmente a ser 
considerado é que os resultados sugerem que o treinamento 
em segurança da informação pode reduzir o risco de uma 
violação. Houve ainda mais resultados marcantes sobre a redução 
dos riscos de violação que eles indicaram, em que o phishingrepresenta um desafio significativo para os líderes de segurança, 
pois, de todas as empresas que tiveram a segurança violada, 71% 
disseram que o ataque poderia ter sido evitado com um melhor 
treinamento e conscientização sobre segurança. 
O estudo mostra, ainda, um vínculo entre as atitudes tomadas 
pelas organizações em relação à segurança da informação 
e a ocorrência de uma violação. Eles concluíram que apenas 
34% das empresas com uma cultura de segurança, revisões 
em suas políticas e atualizações adequadas (chamadas de 
empresas proativas) tiveram somente uma violação relacionada 
à identidade no passado; isto comparando com os 59% das 
empresas que adotam uma cultura de segurança reativa. Ou seja, 
as organizações reativas trabalham com resolver o problema 
de violação após ele ter ocorrido, e não na sua prevenção. Uma 
importante disparidade entre as empresas reativas e proativas 
foi o impacto causado por uma violação. As empresas proativas 
experimentaram violações similares sobre o phishing, porém 
com menos credenciais roubadas (34% x 42%), credenciais 
privilegiadas comprometidas (27% x 32%), privilégios gerenciados 
inadequadamente (35% x 40%) e senhas de engenharia social (32% 
x 41%).
A conclusão final dos pesquisadores de segurança da IDSA 
consiste em que as organizações poderiam fazer mais para evitar 
futuras violações. As empresas precisam investir em especialistas 
de segurança da informação e realizar treinamento e atualização 
39
constantes com seus colaboradores, assim como, também, 
atualizar as políticas de segurança da informação. Não há dúvida 
de que, com um crescimento explosivo de identidades nos últimos 
cinco anos e o que ainda está por vir, as organizações estão 
mudando as estratégias para proteger seu vetor de ataque mais 
vulnerável com algum sucesso. Porém existe muito trabalho a ser 
realizado.
Referências bibliográficas
ANRODRIGUES13. Violações de identidade atingem 79% das 
empresas. Security Information News, 22 maio 2020. Disponível 
em: https://securityinformationnews.com/ 2020/05/22/violacoes-
de-identidade-atingem-79-das-empresas/. Acesso em: 26 jul. 2020.
SMITH, J. The state of identity: with explosive identity growth, 
organizational disconnects creating security risk. Identity Defined 
Security Alliance (IDSA), USA, 9 dez. 2019. Disponível em: https://
www.idsalliance.org/blog/2019/12/09/the-state-of-identity-with-
explosive-identity-growth-organizational-disconnects-creating-
security-risk/. Acesso em: 26 jul. 2020.
TEORIA EM PRÁTICA
Um profissional de segurança da informação acabou de integrar 
a equipe de segurança da informação da organização em que ele 
foi contratado recentemente como assistente de segurança da 
informação. Porém, este profissional não tem muita experiência 
prática, terminou a especialização sobre segurança da informação 
recentemente e realmente tem muito conhecimento teórico. O 
gestor de segurança da informação solicitou que o assistente 
40
faça parte da equipe do comitê de segurança da informação 
para servir como auxiliar na redação do documento da política 
de segurança da informação e também disse que irá indicá-
lo para fazer a classificação da informação como proprietário 
da informação, na política de segurança da informação da 
organização. Reflita sobre os limites do trabalho do assistente de 
segurança recém-contratado, ou seja, aquilo que ele pode ou não 
assumir para não comprometer a qualidade do trabalho para o 
qual foi contratado. Como você responderia à solicitação do seu 
chefe imediato (com muitos anos de experiência) para que fosse 
o redator do documento da política de segurança da informação 
da organização? Qual seria sua decisão se ele também lhe pedisse 
que fizesse a classificação da informação na política de segurança 
da organização?
Para conhecer a resolução comentada proposta pelo 
professor, acesse a videoaula deste Teoria em Prática no 
ambiente de aprendizagem.
LEITURA FUNDAMENTAL
Indicação 1
Colocar em prática o desenvolvimento de uma política de 
segurança da informação por meio de etapas estruturadas e 
exercícios práticos é foco deste capítulo. 
Para realizar a leitura, acesse a plataforma Biblioteca Senac, na 
Biblioteca Virtual da Kroton, e busque pelo título da obra.
Indicações de leitura
41
AGUILERA, F. E. Padrões, normas e política de segurança da 
informação. São Paulo: Senac, 2019. Cap. 6, p. 95-103.
Indicação 2
As principais etapas e os modelos para políticas de segurança da 
informação no nível estratégico, tático e operacional são focos 
deste capítulo. 
Para realizar a leitura, acesse a plataforma Biblioteca Virtual 3.0_
Pearson, na Biblioteca Virtual da Kroton, e busque pelo título da 
obra.
FONTES, E. Políticas e normas para a segurança da informação. 
Rio de Janeiro: Brasport, 2012. Cap. 13, p. 103-205. 
QUIZ
Prezado aluno, as questões do Quiz têm como propósito a 
verificação de leitura dos itens Direto ao Ponto, Para Saber 
Mais, Teoria em Prática e Leitura Fundamental, presentes 
neste Aprendizagem em Foco.
Para as avaliações virtuais e presenciais, as questões serão 
elaboradas a partir de todos os itens do Aprendizagem em 
Foco e dos slides usados para a gravação das videoaulas, 
além de questões de interpretação com embasamento no 
cabeçalho da questão.
42
1. Segundo a pesquisa recente da Identity Defined Security 
Alliance (IDSA), uma solução para a redução dos riscos de 
violação da segurança da informação nas organizações é: 
a. Treinamento e conscientização sobre segurança da 
informação.
b. Empresas serem mais proativas em ações de controle lógico 
em segurança da informação.
c. Mudança da cultura organizacional com relação à segurança 
da informação.
d. Política de mudança de senhas em períodos curtos de 
tempo.
e. Empresas precisam ser mais reativas em ataques de 
segurança da informação. 
2. O comitê gestor de segurança da informação na 
organização é responsável: 
a. Por realizar os descartes das informações desnecessárias.
b. Por trabalhar em conjunto com o departamento jurídico da 
organização.
c. Pelo órgão que irá desenvolver as políticas de segurança da 
informação.
d. Pelo departamento que treina os profissionais de segurança 
da informação.
e. Pelo órgão que executa as sanções de quebra de sigilo da 
segurança da informação. 
43
GABARITO
Questão 1 - Resposta A
Resolução: A pesquisa aponta que os usuários não estão 
sabendo lidar com o phishing (roubo de dados pessoais 
on-line) e um maior treinamento e conscientização é uma 
solução adequada. 
Questão 2 - Resposta C
Resolução: É o comitê que desenvolve todas as políticas 
de segurança da informação na organização e deve ser 
composto por representantes de vários departamentos, tais 
como: jurídico, recursos humanos, TI, financeiro, etc. 
BONS ESTUDOS!
	Apresentação da disciplina
	Introdução
	TEMA 1
	Direto ao ponto
	Para saber mais
	Teoria em prática
	Leitura fundamental
	Quiz
	Gabarito
	TEMA 2
	Direto ao ponto
	TEMA 3
	Direto ao ponto
	TEMA 4
	Direto ao ponto
	Botão TEMA 5: 
	TEMA 2: 
	Botão 158: 
	Botão TEMA4: 
	Inicio 2: 
	Botão TEMA 6: 
	TEMA 3: 
	Botão 159: 
	Botão TEMA5: 
	Inicio 3: 
	Botão TEMA 7: 
	TEMA 4: 
	Botão 160: 
	Botão TEMA6: 
	Inicio 4: 
	Botão TEMA 8: 
	TEMA 5: 
	Botão 161: 
	Botão TEMA7: 
	Inicio 5: