Slides de Aula II

Prévia do material em texto

Prof. Me. Ricardo 
Sewaybriker
UNIDADE II
Gestão da Segurança 
da Informação
O que é Risco?
Fonte: Autoria própria
Identificar 
antecipadamente os 
perigos nas instalações, 
processos, produtos e 
serviços.
Verificar os danos 
eventuais (consequências, 
severidade) e a frequência 
(probabilidade) de 
ocorrência.
Quantificar os riscos 
associados para o 
homem, o meio ambiente 
e a propriedade.
Propor medidas para o 
seu controle.
Objetivos do 
estudo dos 
Riscos
Identificar ameaças e 
vulnerabilidades.
Estimular o risco de cada 
vulnerabilidade ser explorada 
(probabilidade e gravidade do 
dano).
Decidir sobre a melhor forma 
de tratar o risco.
Objetivos de Estudo do Risco 
Fonte: Autoria própria
Terminologia 
Fonte: Autoria própria
Gestão de 
Riscos 
Risco:
o efeito da 
incerteza 
Parte 
Interessada 
Fonte de 
Risco Evento 
Consequência 
Probabilidade 
Controle
Tratamento do Risco 
Fonte: Autoria própria
Tratamento 
do Risco 
Aceitar 
Evitar 
Transferir
Controlar
Tratamento do Risco 
Fonte: Autoria própria
Evitar: não adotar 
tecnologias ou processos 
que ofereçam riscos ao 
negócio.
Controlar: quando o 
risco, geralmente, ou a 
maior parte dos riscos não 
pode ser evitada.
Transferir: o risco é 
extremamente alto que a 
organização simplesmente 
não conseguiria absorver.
Aceitar: o risco fica 
abaixo do risco 
considerado mínimo. 
Todavia, não deve ser 
ignorado.
Tratamento do 
Risco de SI
Sistema de gestão de risco 
 Assegurar que o sistema de gestão da segurança da 
informação pode alcançar seus resultados pretendidos.
 Prevenir ou reduzir os efeitos indesejados.
 Alcançar a melhoria contínua.
Sendo assim, a organização deve planejar devidamente: 
 As ações para considerar esses riscos e oportunidades; e
 Como integrar e implementar essas ações dentro dos 
processos do seu sistema de gestão da segurança da 
informação; e avaliar a eficácia dessas ações.
Equação do Risco
Fonte: Autoria própria
RISCO
VULNERABILIDADES AMEAÇAS IMPACTOS
MEDIDAS DE SEGURANÇA
Fatores de Relevância ao Negócio
Fonte: Autoria própria
NEGÓCIO
PROCESSO 
DE NEGÓCIO
PESSOAS
INFORMAÇÕES
SISTEMAS
SISTEMAS
AMBIENTES 
FÍSICOS
PROCESSOS
Processo de 
Negócio
Processo de 
Negócio
Processo de 
Negócio
Fatores de Relevância ao Negócio
 Relação de relevância que um processo de negócio tem para 
o negócio.
 Relação de dependência que um ou mais processos de 
negócio têm do ativo.
 Projeção do impacto resultante da concretização da ação de 
uma ameaça. 
 Probabilidade de a ameaça explorar uma vulnerabilidade.
 Severidade potencial da exploração no ativo. 
 Qualificação das vulnerabilidades presentes nos ativos. 
 Qualificação das ameaças potenciais. 
Exemplo de Cálculo de Risco
Fonte: Adaptado de: SÊMOLA, 2014, p. 111.
Processos 
de Negócio
Ativos Ameaças
Relevância 
dos 
Processos 
para os 
Negócios
Vulnerabilidades Probabilidade 
1-5
Severidade 
1-5
Impactos Riscos do 
Ativo
5
Vital
3
Importante
4
Crítico PN 3
PN 2
PN 1 Servidor
1
Data
Center
Banco de 
dados
Equipe Call 
Center
1 – Conta Adm 
com Full 
Control
2 – Sistema 
Operacional 
Desatualizado
Ataque de 
DDOs
Sabotagem
Vírus
Incêndio 
Sabotagem
3 5 Indisponibilidade 
dos Serviços e 
dos processos de 
negócios 
dependentes
3,72
Quadrante de Risco
Fonte: Adaptado de: SÊMOLA, 2014, p. 112.
Quais são as quatro formas de tratamento do risco? 
a) Evitar, Remediar, Transferir e Aceitar.
b) Evitar, Controlar, Transferir e Aceitar.
c) Evitar, Transpor, Transferir e Aceitar.
d) Evitar, Dificultar, Transferir e Aceitar.
e) Evitar, Expor, Transferir e Aceitar.
Interatividade
Quais são as quatro formas de tratamento do risco? 
a) Evitar, Remediar, Transferir e Aceitar.
b) Evitar, Controlar, Transferir e Aceitar.
c) Evitar, Transpor, Transferir e Aceitar.
d) Evitar, Dificultar, Transferir e Aceitar.
e) Evitar, Expor, Transferir e Aceitar.
Resposta
Gestão dos Gaps de Riscos 
Fonte: Adaptado de: SÊMOLA, 2014, p. 113.
Terminologia de Risco 
Fonte: Adaptado de: ISO 31000, 2009.
Terminologia Descrição
Termos básicos
Consequência Resultado de um evento.
Critério de Risco
Termos de referência pelos quais a 
relevância do risco é avaliada.
Evento
Ocorrência de um conjunto particular de 
circunstâncias, que caracterizam uma única 
ocorrência ou uma série delas.
Fonte
Item ou atividade associada a uma 
consequência potencial.
Gestão do risco
Coordena atividades para direcionar e 
controlar uma organização com relação ao 
risco. A gestão do risco normalmente inclui 
avaliação do risco, tratamento do risco, 
aceitação do risco e comunicação do risco.
Probabilidade
Associada a um evento, é calculada para 
determinado período de tempo, e é definida 
como número real na escala de 0 a 1 
associado a um evento aleatório, que pode 
estar relacionado a uma frequência de 
ocorrência relativa de longo prazo ou a um 
grau de confiança de que um evento irá 
ocorrer (para um alto grau de confiança na 
ocorrência, a probabilidade é próxima de 1).
Terminologia de Risco 
Fonte: Adaptado de: ISO 31000, 2009.
Risco Combinação da probabilidade de um evento e sua consequência.
Termos relacionados às pessoas ou organizações afetadas pelo risco
Comunicação do risco
Troca ou compartilhamento da informação sobre o risco feita entre o 
tomador de decisão e outros stakeholders. A informação pode estar 
relacionada à existência, natureza, forma, probabilidade, gravidade, 
aceitabilidade, tratamento ou outros aspectos do risco.
Parte interessada
Pessoa ou grupo que possui interesse no desempenho ou sucesso de 
uma organização. Exemplos: clientes, proprietários, integrantes da 
organização, fornecedores, bancos, sindicatos, parceiros, sociedade.
Percepção do risco
Maneira pela qual um stakeholder vê um risco, com base em um 
conjunto de valores ou preocupações.
Stakeholder
Qualquer indivíduo, grupo ou organização que pode influir, sofrer 
influência ou perceber-se como sendo afetado por um risco. O termo 
stakeholder inclui, mas tem significado maior do que partes 
interessadas (termo definido na ISO 9000)
Terminologia de Risco 
Fonte: Adaptado de: ISO 31000, 2009.
Termos relacionados à avaliação de riscos
Análise de Risco
Uso sistemático de informação (dados históricos, análise teórica, 
opiniões fundamentadas, preocupações dos stakeholders) para 
identificar fontes e estimar o risco. A análise de risco oferece uma 
base para a avaliação, o tratamento e a aceitação do risco.
Avaliação do risco (risk
evaluation)
Processo de comparação do risco estimado com determinado critério 
de risco para determinar sua relevância. A avaliação do risco pode ser 
usada para subsidiar a decisão de aceitar ou tratar um risco.
Estimativa do risco 
(risk estimation)
Processo usado para atribuir valores à probabilidade e às
consequências de um risco. A estimativa do risco pode considerar 
custo, benefícios, preocupações de stakeholders e outras variáveis 
apropriadas para a avaliação do risco.
Estudo do risco (risk
assessment)
Processo global de análise e avaliação do risco. Identificação do 
risco: processo de localizar, listar e caracterizar elementos do risco. 
Os elementos podem incluir fonte, evento, consequência e 
probabilidade.
Terminologia de Risco 
Fonte: Autoria própria
(probabilidade)
Provoca
Produz
Ajuda
Explora
Aplicadas
Protege
Foca
Causa
Gera
Evitam
Reduzem
Evitam
Afastam
INCIDENTE
IMPACTO
MEDIDAS DE 
PROTEÇÃO
ALVO
ATAQUE
VULNERABILIDADE
AMEAÇA
AGENTE
Ciclo PDCA para Gestão de Riscos 
Fonte: Autoria própria
• Execução do plano 
de tratamento dos 
riscos identificados.
• Colocar o plano em 
prática.
• Verificar se os 
objetivos foram 
atingidos.
• Verificar os 
Indicadores.
• Localizar os riscos de 
SI.
• Estabelecer o plano 
de ação para gestão 
dos riscos de SI.
• Ação Corretiva no 
Insucesso.
• Padronizar e buscar osucesso aprendendo 
com os erros.
AGIR
Action
PLANEJAR
Plan
FAZER
Do
CHECAR
Check
Etapas da Gestão de Riscos 
Fonte: Adaptado de: BEAL, 2008, p. 17.
C
O
M
U
N
IC
A
Ç
Ã
O
 D
O
 R
IS
C
O
M
O
N
IT
O
R
A
Ç
Ã
O
 E
 A
V
A
L
IA
Ç
Ã
O
 D
O
S
 R
E
S
U
L
T
A
D
O
S
ANÁLISE DO RISCO
IDENTIFICANDO O RISCO
ESTABELECENDO O CONTEXTO
AMEAÇA VULNERABILIDADE IMPACTO
probabilidade grau de incerteza perda estimada
ESTIMATIVA DE RISCO CRITÉRIOS DE RISCO
AVALIAÇÃO DO RISCO
TRATAMENTO DO RISCO
ACEITAÇÃO DO RISCO RESIDUAL
Lista de Ameaças e Impactos Relacionados a TI
Fonte: Autoria própria
Ameaça
Tipo de Recurso 
vulnerável
Impacto para o 
Objetivo de 
Confidencialidade
Impacto para o 
Objetivo de 
Integridade
Impacto para o 
Objetivo de 
Disponibilidade
Desastres naturais 
como terremoto, 
nevasca e furação
Edifícios torres de 
comunicação
Controles físicos de 
acesso podem ser 
desconsiderados 
durante a 
recuperação do 
desastre e 
equipamentos 
descartados podem 
conter informações 
confidenciais
Falhas ambientais,
incluindo queda da 
energia elétrica
Hardware
Serviços podem ser 
interrompidos e 
hardware pode ser 
danificado
Furto
Equipamentos 
valiosos e portáteis
Equipamentos
furtados podem 
conter informações 
confidenciais
Serviços podem ser 
interrompidos e 
dados podem ser 
perdidos
Vírus
Principalmente 
computadores 
pessoais conectados
em rede
Dados podem ser 
corrompidos pelo 
vírus
Computadores 
infectados podem 
parar de funcionar e 
dados importantes 
podem ser apagados
Lista de Ameaças e Impactos Relacionados a TI
Fonte: Autoria 
própria
Hacking
Todos os sistemas 
em rede
O objetivo dos hackers pode ser a quebra do sigilo de informações 
ou a indisponibilidade dos serviços (ataque do topo Dos, Denial of 
Service), a alteração ou destruição de dados ou a utilização dos 
recursos informatizados da organização para realizar invasões a 
terceiros
Código escondido Todo o software
Código não 
autorizado pode 
levar ao vazamento 
de informações 
sigilosas, tais como 
senhas de acesso
Funções escondidas
podem manipular 
dados indevidamente
Programas podem 
ser projetados para 
destruir dados ou 
negar acesso 
autorizado a serviços
Falha de hardware Todo o hardware
Hardware danificado
pode ser enviado 
para manutenção 
contendo informação 
sigilosa
Dados podem ser 
corrompidos quando 
o hardware falha
Serviço indisponível
Falha de software Todo o software
A falha dos controles 
de acesso pode 
levar à divulgação 
indevida de dados e 
informações
Dados podem ser 
corrompidos
Serviço indisponível
Erro humano Todos os sistemas
Funcionários podem 
divulgar 
acidentalmente 
informações 
sigilosas, por 
exemplo, enviando 
dados para a 
impressora errada
Funcionários podem 
inserir dados 
incorretamente
Funcionários podem 
destruir informações 
acidentalmente, 
danificar hardware
ou interromper o 
funcionamento do 
sistema por erro de 
configuração
Processos de Gestão de Riscos
Fonte: ABNT, 2018b, p. 9.
Processo de Gestão de Riscos
Escopo, contexto e critério
Processo de Avaliação de 
Riscos
Identificação de Riscos
Análise de Riscos
Avaliação de Riscos
Tratamento de Riscos
C
o
m
u
n
ic
a
ç
ã
o
 e
 C
o
n
s
u
lt
a
M
o
n
ito
ra
m
e
n
to
 e
 A
n
á
lis
e
 C
rític
a
Registro e Relato
Definição do 
Escopo
Análise do 
Risco
Planejamento 
de 
Tratamento 
do Risco
Etapas do Planejamento do Sistema de Segurança 
Fonte: Adaptado de: CAMPOS, 2006, p. 37. 
As etapas do planejamento do sistema de segurança são:
a) Definição do Escopo, Análise de Risco e Planejamento do Tratamento do Risco.
b) Definição do Escopo, Manutenção do Plano e Revisão do Tratamento do Risco.
c) Definição do Escopo, Análise de Risco e Revisão do Tratamento do Risco.
d) Definição do Escopo, Análise de Risco e Manutenção do Plano.
e) Manutenção do Plano, Gestão do Plano e Correção do Plano.
Interatividade
As etapas do planejamento do sistema de segurança são:
a) Definição do Escopo, Análise de Risco e Planejamento do Tratamento do Risco.
b) Definição do Escopo, Manutenção do Plano e Revisão do Tratamento do Risco.
c) Definição do Escopo, Análise de Risco e Revisão do Tratamento do Risco.
d) Definição do Escopo, Análise de Risco e Manutenção do Plano.
e) Manutenção do Plano, Gestão do Plano e Correção do Plano.
Resposta
Modelos de Análise de Riscos 
Fonte: CAMPOS, 2006, p. 45.
 
Quantitativo 
 
Qualitativo 
 
Resultados baseados em valores 
objetivos 
 
Resultados baseados em valores 
subjetivos 
 
Cálculos complexos 
 
Cálculos simples 
 
Valores financeiros são atribuídos ao 
risco 
 
Não há valoração do risco 
 
Grande tempo e esforço são 
necessários para atribuir as taxas de 
risco. 
 
Menor trabalho para atribuir as taxas de 
risco. 
 
Facilita o cálculo de custo/benefício 
 
Dificulta o cálculo de custo/benefício. 
 
Matriz de Graduação das Ameaças
Fonte: CAMPOS, 2006, p. 46.
Matriz de Graduação das Vulnerabilidades 
Fonte: CAMPOS, 2006, p. 47.
Matriz de Graduação das Vulnerabilidades 
Fonte: CAMPOS, 2006, p. 48.
Implantando o Sistema de Gestão de Risco
Fonte: Autoria própria
Principais Atividades para Gestão e Análise de Riscos
Fonte: Autoria própria
Modelo de Gestão da Capacidade de Governança dos Riscos de SI
Fonte: Autoria própria
Modelo de Gestão da Capacidade de Organização da Gestão dos Riscos – SI
Fonte: Autoria própria
Modelo de Gestão da Capacidade de Processos da Gestão dos Riscos de SI
Fonte: Autoria própria
Modelo de Gestão da Capacidade Tecnológica da Gestão dos Riscos de SI
Fonte: Autoria própria
Modelo de Gestão da Capacidade de Métrica para Gestão dos Riscos de SI
Fonte: Autoria própria
• Os indicadores que estão implantados 
remetem apenas à volumetria de 
atendimento de pareceres de riscos, 
que, por sua vez, têm periodicidade 
mensal.
Situação Atual
• Relatório de Risco de Informações.
• Gerenciamento de Conformidade de 
Segurança da Informação.
Baseline Escolhido 
ISF (2018)
• Definir modelo de reporte funcional, 
estabelecendo os indicadores de 
Avaliação de Riscos e de 
Conformidade de Segurança da 
Informação.
Resultado Desejável
Entregas do Projeto de Implantação da Gestão de Riscos à SI
Fonte: Autoria própria
Estabelecer e comunicar processo de avaliação 
de riscos de SI, Cyber e Conformidade, 
suportada por Norma e uma metodologia 
estruturada e integridade com a Metodologia 
Corporativa.
Descrever as habilidades e competências 
necessárias para a operacionalização da 
gestão e análise de riscos à Segurança da 
Informação.
• Definir modelo de reporte funcional 
estabelecendo os indicadores de 
Avaliação de Riscos e de 
Conformidade de Segurança da 
Informação.
Operacionalizar avaliação de riscos de 
Segurança da Informação e Cibernética.
Operacionalizar avaliação de 
conformidade de Segurança da 
Informação e Cibernética.
Selecionar, adquirir e implantar 
ferramenta de GRC – Gestão de Riscos 
e Compliance.
Cronograma Simplificado do Projeto de Implantação da Gestão de Riscos à SI
Fonte: Autoria própria
ENTREGAS
JAN FEV MAR ABR MAI JUN JUL AGO SET OUT NOV DEZ TEMPO
Quais são as cinco capacidades dispostas no modelo das 5 Capacidades? 
a) Manutenção, Organização, Processo, Tecnologia e Métricas.
b) Gestão, Manutenção, Capacitação, Reação e Métricas.
c) Governança, Organização, Processo, Tecnologia e Métricas.
d) Manutenção, Reação, Processo, Tecnologia e Métricas.
e) Organização, Reação, Processo, Tecnologia e Métricas.
Interatividade
Quais são as cinco capacidades dispostas no modelo das 5 Capacidades? 
a) Manutenção, Organização, Processo, Tecnologia e Métricas.
b) Gestão, Manutenção, Capacitação, Reação e Métricas.
c) Governança, Organização, Processo, Tecnologia e Métricas.
d) Manutenção, Reação, Processo, Tecnologia e Métricas.
e) Organização, Reação, Processo, Tecnologia e Métricas.Resposta
Política de segurança da informação
Fonte: Autoria própria
Política ► O que fazer ► em nível Estratégico;
Normas ► O que fazer ► em nível Tático;
Procedimentos ► Como fazer ► em nível Operacional.
Política
Normas
Procedimentos
Política de segurança da informação
Para o desenvolvimento de uma Política de Segurança é 
necessário realizar uma Análise de Riscos da empresa, que 
considere os seguintes aspectos:
 O que se deve proteger?
 Possíveis ameaças aos ativos de informação.
 Valor/importância de cada ativo de informação.
 Grau de proteção desejado pela empresa.
 Possíveis impactos no caso de perda de informações.
 Qual custo? E quanto a empresa está disposta a investir?
 Auditoria (medição de quão efetiva está sendo a Política). 
Processo de elaboração da política de segurança
Fonte: Autoria própria
Controles
Requisitos
Legais
Requisitos
do Negócio
Análise de 
Riscos
Política de 
Segurança
Fatores para o Desenvolvimento da Política e Normas de SI
Fonte: FONTES, 2012, p. 83-84.
Legislação
A organização realiza um tipo de negócio que está submetido a leis e/ou que possui um órgão 
regulamentador que tem poder sobre todas as organizações desse segmento de negócio. É 
mandatário que a organização siga estas regras (leis, regulamentos) existentes.
Exigência do 
mercado e/ou dos 
clientes
Neste caso, a organização não precisa obrigatoriamente atender a uma lei ou um regulamento, 
porém o próprio mercado começa a ficar mais exigente e começa a considerar um diferencial, as 
organizações que possuem um processo de segurança da informação que necessita ter um 
conjunto de políticas, normas e procedimentos. Em muitos casos, a demanda por um processo 
formal de segurança da informação e, consequentemente, a existência da política de segurança 
começa a exigir o processo de segurança da informação nos seus fornecedores.
Adequação às 
melhores práticas
Muitas organizações começam a desenvolver políticas de segurança da informação porque as 
melhores práticas de gestão da informação consideram este fato e porque diretivas aceitas 
globalmente, como COBIT. ITIL. Normas internacionais da família ISSO 27000 exigem a política 
de segurança da informação para cada organização. Então, esta organização precisa estar 
adequada a estas normas e diretivas para que apareça como seguidora das melhores práticas.
Avanço 
tecnológico
A rapidez do avanço tecnológico pode levar a organização a sentir a necessidade de 
regulamentar o uso de novas tecnologias. Dai a necessidade de escrever políticas e normas 
para que se controle o uso destas novas tecnologias que tratam a informação da organização. 
Necessidade do 
negócio
Na essência, esta deveria ser a única motivação para que uma organização desenvolva seus 
regulamentos de segurança da informação. Evidentemente, para considerar esta motivação, 
todas as motivações anteriores devem ser consideradas. Elas seriam subitens deste item maior.
Etapas para o desenvolvimento das Políticas de Normas de SI
Fonte: FONTES, 2012, p. 85-86.
Iniciando o projeto
Necessário ter bem claro nessa fase:
Descrição do projeto;
Objetivos do projeto;
Definir o escopo e suas limitações;
Estabelecer a abrangência de documento.
Possíveis assuntos a serem tratados:
Definir Política, Normas e Procedimentos;
Política de Segurança da Informação;
Política de Acesso à Informação;
Política de Continuidade do Negócio;
Selecionar as áreas de apoio, exemplo Jurídico e RH e Negócio.
Desenvolvimento
de projeto
Realizar levantamento do que existe na organização e no mercado;
Desenvolver as Políticas, Normas e Procedimentos com o auxílio das áreas de negócio, 
jurídico, TI, RH e Alta Administração;
Conhecer as melhores práticas internacionais (ISO);
Conhecer a cultura da organização;
Após a escrita do texto inicial, o texto deverá ser revisado pelos participantes das reuniões de 
trabalho referentes a cada documento;
Definir padrão de documentação.
Entrega, 
comunicação e 
treinamento do 
resultado
Apoio da Alta Administração;
Formalizar a entrega;
Comunicar a todos;
Planejar e Treinamento.
Definição dos 
processos de 
manutenção e 
atualização
Criar regras formais de manutenção da Política e das normas;
Iniciar ciclo de atualização e manutenção destes controles;
Aplicabilidade ao negócio e usuários.
Objetivos da implantação das Políticas de Normas de SI
Fonte: FONTES, 2012, p. 90-91.
Requisitos fundamentais para as Políticas de Normas de SI
Fonte: FONTES, 2012, p. 90-91.
Estrutura do documento das Políticas de Normas de SI
Fonte: FONTES, 2012, p. 94.
Recomendações para Elaboração da Política de Normas de SI
Fonte: FONTES, 2012, p. 100.
Normas de Segurança da Informação
Rede sem 
fio 
Classificação 
da Informação
Uso do 
E-mail
Acesso 
Remoto –
Externo 
Administrador 
de Rede 
Usuários de 
Rede
Equipamentos 
Portáteis 
Uso da 
Internet 
Segurança 
Lógica
Segurança 
Física
Dispositivos 
Móveis 
Mesa Limpa
Controle de 
Acesso
Desenvolvimen
to Seguro 
Fonte: Autoria própria
Padrões Internacionais de Segurança da Informação 
Fonte: Autoria própria
Normas Descrição
ISO 27000 Vocabulário de Gestão da Segurança da Informação
ISO 27001
Define os requisitos para implementação de um 
Sistema de Gestão de Segurança da Informação
ISO 27002
Código de boas práticas para a gestão da segurança 
da informação
ISO 27003
Guia para implementação de Sistemas de Gestão de 
Segurança da Informação
ISO 27004
Define métricas e meios de medição para avaliar a 
eficácia de um sistema de gestão de segurança da 
informação 
ISO 27005
Define linhas de orientação para Gestão do Risco da 
Segurança da Informação
ISO 27006
Requisitos e orientações para os organismos que 
prestam serviços de auditoria e certificação de um 
Sistema de Gestão da Segurança da Informação
ISO 27007
Define critérios específicos para auditoria dos 
processos do Sistema de Gestão de Segurança da 
Informação
Padrões nacionais de segurança da informação
 Constituição Federal; 
 Código Civil; 
 Código Penal; 
 Banco Central - Resoluções e Instruções Normativas; 
 CVM – Comissão de Valores Mobiliários; 
 Lei 105/2001 - Lei do Sigilo Bancário (voltada principalmente as 
instituições financeiras); 
 Decreto 3.505/2000 - Política Nacional de Segurança da Informação 
(voltado às informações governamentais); 
 Decreto 5.495/2005 - Política Nacional de Segurança da Informação (da 
nova redação a Decreto 3.505/2000); 
 Decreto Lei 4.553/2002 - Classificação da Informação (voltado às 
informações governamentais); 
 Lei Federal 8159/1991 - Dispõe sobre a Política Nacional de Arquivos 
Públicos e Privados; 
 Lei 9609/1996 - Dispõe sobre Programa de Computador (Lei do Software) 
 Lei 9610/1998 - Dispõe sobre o Direito Autoral; 
 Lei 9279/1996 - Dispõe sobre Propriedade Intelectual; 
 Lei 13709/2018 – Lei Geral de Proteção de Dados Pessoais 
 ABNT - Associação Brasileira de Normas técnicas. 
O que deve influenciar o processo de elaboração da política de segurança da informação?
a) Requisitos de Porte, Requisitos de Mercado e Requisitos de Riscos.
b) Requisitos de Negócio, Requisitos de Porte e Requisitos de Riscos.
c) Requisitos de Negócio, Requisitos de Porte e Requisitos Legais.
d) Requisitos Tecnológicos, Requisitos de Mercado e Requisitos Legais.
e) Requisitos Legais, Requisitos de Negócio e Análise de Riscos.
Interatividade
O que deve influenciar o processo de elaboração da política de segurança da informação?
a) Requisitos de Porte, Requisitos de Mercado e Requisitos de Riscos.
b) Requisitos de Negócio, Requisitos de Porte e Requisitos de Riscos.
c) Requisitos de Negócio, Requisitos de Porte e Requisitos Legais.
d) Requisitos Tecnológicos, Requisitos de Mercado e Requisitos Legais.
e) Requisitos Legais, Requisitos de Negócio e Análise de Riscos.
Resposta
ATÉ A PRÓXIMA!