Livro-Texto Unidade I-2

Prévia do material em texto

Autor: Prof. Ricardo Sewaybriker
Colaboradores: Prof. Antônio Palmeira de Araújo Neto
 Profa. Christiane Mazur Doi
Gestão da Segurança 
da Informação
Professor conteudista: Ricardo Sewaybriker
É mestre em Administração e Negócios pela Fundação Instituto de Administração (FIA) e pós-graduado em Gestão 
de Segurança da Informação pelo Instituto de Pesquisa Energéticas e Nucleares (Ipen) – USP. É coordenador-geral do 
curso de Segurança da Informação na UNIP e coordenador de segurança da informação em instituição financeira 
há 30 anos.
© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou 
quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem 
permissão escrita da Universidade Paulista.
Dados Internacionais de Catalogação na Publicação (CIP)
S514g Sewaybriker, Ricardo.
Gestão da Segurança da Informação / Ricardo Sewaybriker. – 
São Paulo: Editora Sol, 2021.
256 p., il.
Nota: este volume está publicado nos Cadernos de Estudos e 
Pesquisas da UNIP, Série Didática, ISSN 1517-9230.
1. Segurança. 2. Análise de risco. 3. Auditoria. I. Título.
CDU 681.3.004.4
U512.59 – 21
Prof. Dr. João Carlos Di Genio
Reitor
Prof. Fábio Romeu de Carvalho
Vice-Reitor de Planejamento, Administração e Finanças
Profa. Melânia Dalla Torre
Vice-Reitora de Unidades Universitárias
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Pós-Graduação e Pesquisa
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Graduação
Unip Interativa – EaD
Profa. Elisabete Brihy
Prof. Marcello Vannini
Prof. Dr. Luiz Felipe Scabar
Prof. Ivan Daliberto Frugoli
 Material Didático – EaD
 Comissão editorial:
 Dra. Angélica L. Carlini (UNIP)
 Dr. Ivan Dias da Motta (CESUMAR)
 Dra. Kátia Mosorov Alonso (UFMT)
 Apoio:
 Profa. Cláudia Regina Baptista – EaD
 Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos
 Projeto gráfico:
 Prof. Alexandre Ponzetto
 Revisão:
 Vera Saad
 Bruno Barros
Sumário
Gestão da Segurança da Informação
APRESENTAÇÃO ......................................................................................................................................................7
INTRODUÇÃO ...........................................................................................................................................................7
Unidade I
1 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO ....................................................................................9
1.1 Ciclo de vida da informação ............................................................................................................ 10
1.2 Componentes de segurança da informação ............................................................................. 11
1.3 Segurança da informação baseada na tecnologia da informação .................................. 13
1.4 Origem dos problemas e estratégias de proteção ................................................................... 14
1.5 Classificação da informação ............................................................................................................ 15
1.6 Estrutura da segurança da informação ....................................................................................... 22
2 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO .............................................................. 28
2.1 Fatores de sucesso do SGSI .............................................................................................................. 32
2.2 Estabelecendo o SGSI ......................................................................................................................... 33
2.3 Monitorando e analisando o SGSI ................................................................................................. 40
2.4 A auditoria do SGSI ............................................................................................................................. 43
Unidade II
3 GESTÃO E ANÁLISE DE RISCO .................................................................................................................... 61
3.1 O que é risco ........................................................................................................................................... 62
3.2 Tratamento dos riscos à segurança da informação ............................................................... 65
3.3 Sistema de gestão de risco ............................................................................................................... 68
3.4 Implantação do sistema de gestão de risco .............................................................................. 90
4 POLÍTICAS, NORMAS E PADRÕES DE SEGURANÇA DA INFORMAÇÃO ...................................... 99
4.1 Política de segurança da informação .........................................................................................100
4.2 Norma de segurança da informação ..........................................................................................107
4.3 Procedimentos de segurança da informação .........................................................................109
4.4 Padrões internacionais de segurança da informação .........................................................110
4.5 Padrões nacionais de segurança da informação ...................................................................112
Unidade III
5 LEIS E REGULAMENTAÇÕES DE SEGURANÇA DA INFORMAÇÃO ...............................................118
5.1 Direto .......................................................................................................................................................118
5.2 A sociedade digital .............................................................................................................................119
5.3 Direito digital .......................................................................................................................................120
5.4 Lei Geral de Proteção de Dados Pessoais – Lei n. 13.709 de 2018 .................................127
6 CONFORMIDADE E AUDITORIA DE SEGURANÇA DA INFORMAÇÃO ........................................153
6.1 Personagens envolvidos no processo de auditoria ...............................................................156
6.2 Pareceres de auditoria ......................................................................................................................156
6.3 Auditoria de sistemas .......................................................................................................................157
6.4 Técnicas de auditoria de sistemas ...............................................................................................160
6.5 Auditoria de dados.............................................................................................................................163
6.6 Avaliação através dos pontos de controle ...............................................................................164
6.7 Conformidade de segurança da informação ..........................................................................167
Unidade IV
7 TECNOLOGIA DE SEGURANÇA E ASPECTOS FÍSICOS E LÓGICOS ...............................................179
7.1 Criptografia e infraestrutura de chaves ....................................................................................179
7.2 Certificados digitais ...........................................................................................................................183
7.3 Vulnerabilidades, ameaças e mecanismos de proteção ......................................................185
7.4 Resposta a incidentes .......................................................................................................................201
7.5 Segurança física ..................................................................................................................................2067.6 Segurança lógica ................................................................................................................................216
7.7 Segurança no ciclo de vida de sistemas ...................................................................................226
8 PLANO DE CONTINUIDADE DO NEGÓCIO E TESTES DE INVASÃO ..............................................230
8.1 Etapas de um PCN .............................................................................................................................231
8.2 Gestão de continuidade de negócios .........................................................................................232
8.3 Manutenção do plano ......................................................................................................................233
8.4 Estratégias de recuperação ............................................................................................................233
8.5 Tipos de sites ........................................................................................................................................234
8.6 Testes de invasão ................................................................................................................................235
7
APRESENTAÇÃO
Esta disciplina tem como objetivo abordar de forma simples e objetiva os fatores que cercam a 
proteção do ativo mais importante para uma organização, a informação.
O conteúdo que será apresentado visa à interação, envolvimento e despertar da curiosidade do 
aluno a esse importante tema que, apesar de antigo, se transforma e se renova a cada momento em 
razão das modificações tecnológicas e ainda de fraudadores, com novas técnicas de invasão.
Diante desse cenário, veremos: conceitos de segurança da informação; sistema de segurança 
da informação; gestão do risco e como analisá-lo; aspectos éticos e legais do uso tecnológico; 
normas e padrões de segurança da informação; processo de auditoria de sistemas; segurança na 
autenticação e controle de acesso; aspectos tecnológicos da segurança da informação; plano de 
continuidade do negócio; principais práticas em segurança da informação e uso da criptografia.
A importância em proteger os ativos de informação é latente para os profissionais de todas as áreas, 
afinal, vivemos na era da informação, em que o uso adequado auxilia os processos em todos os níveis 
da empresa, desde a operação até a estratégia.
Analisando brevemente pode-se destacar a importância da segurança da informação 
especificamente para área de tecnologia da informação que, com a automação dos mais variados 
processos empresariais, tornou-se responsável em organizar, estruturar, manter, armazenar e proteger 
as mais diversas e variadas informações das organizações, assim sendo o primeiro alvo, a porta de 
entrada das ameaças à informação.
INTRODUÇÃO
A disciplina Gestão de Segurança da Informação demonstrará as principais técnicas para proteção 
dos ativos de informações nas organizações e como os profissionais de tecnologia da informação devem 
utilizar tais mecanismos.
A preocupação com a segurança das informações deve ser individual, não se limitar apenas ao 
ambiente corporativo. O cenário tecnológico atual tornou a informação mais rápida, acessível e 
extremamente sensível a furtos, mau uso, perdas ou falhas sistêmicas.
O desafio dos profissionais diante desse cenário é de criar mecanismos para evitar que as 
informações por algum motivo deixem as organizações vulneráveis às ameaças que são certamente 
reais e imediatas.
Quando o assunto é segurança da informação, estamos imediatamente nos referindo a criar 
mecanismos para proteger as informações sobre três componentes básicos:
8
Processos
Pessoas Tecnologia
Figura 1 – Os componentes de proteção da segurança da informação
Toda e qualquer ameaça explorará as vulnerabilidades contidas em um desses três componentes. 
Quando falamos em segurança da informação, não existe a ideia de algo 100% seguro e protegido; 
ademais, em termos de processo e tecnologia, ainda que a introdução de técnicas, tecnologias, 
padronizações, organização e disciplina consiga atingir patamares eficazes de proteção, como será 
demonstrado no decorrer dos estudos, há que se considerar as pessoas, que representam o grande 
desafio para a segurança da informação, por estarem mais vulneráveis à ação de ameaças.
Algumas referências bibliográficas nomeiam os componentes de segurança da informação de 
“corrente da segurança da informação”, em que a força de uma corrente é verificada através de seu 
elo mais frágil. No caso da corrente de três elos, as pessoas são o elo mais frágil e requerem atenção, 
ou seja, não adianta todo aparato tecnológico de segurança se as pessoas não estão devidamente 
preparadas, instruídas, conscientizadas e treinadas. Nesse sentido, este livro-texto aborda assuntos de 
extrema relevância aos profissionais que lidam com informação em todos os seus estágios e formas.
Na Unidade I serão expostos os conceitos de segurança de forma abrangente, explorando a informação 
desde o seu ciclo de vida, componentes tecnologias, origem, classificação, formas e estruturas até a 
implantação de um sistema de gestão da segurança da informação conhecido como SGSI.
Na Unidade II será demonstrada a importância de uma gestão e análise de riscos bem estruturada 
e, para isso, teremos de compreender o que é o risco, suas formas de tratamento e sua implantação 
sistêmica. Também aprenderemos sobre as políticas, normas e padrões de segurança da informação que 
devem estar amparados nas melhores práticas, nas legislações e na cultura organizacional.
Na Unidade III ressaltaremos a importância de a segurança da informação estar alicerçada nas 
leis e regulamentações e como isso é relevante não apenas para as organizações, como também 
para a sociedade em geral. Após formulada toda a estrutura legal, será primordial aplicar planos de 
conformidade e auditoria de segurança da informação.
Na Unidade IV destacaremos a importância da tecnologia para a aplicação dos controles de segurança 
às informações, tanto para a parte física dos ativos de informação como para sua parte lógica. Após a 
implantação dos controles tecnológicos, será necessário testá-los com testes de invasão e, se mesmo 
assim as coisas saírem do controle, aprenderemos a estruturar os planos de continuidade do negócio.
9
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Unidade I
1 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Os conjuntos de dados agrupados formam a informação, que, assim que definida, pode ser utilizada 
nas mais diversas fontes, meios, canais e organizações.
A segurança da informação, como muitos poderiam supor, não é baseada apenas em recursos 
tecnológicos, apesar de os recursos informatizados serem extremamente necessários e amplamente 
utilizados, existem ativos de informação armazenados apenas na mente das pessoas ou em papéis, 
por exemplo.
Segundo Beal, a segurança da informação “pode ser entendida como o processo de proteger 
informações das ameaças para a sua integridade, disponibilidade e confidencialidade” (BEAL, 2008, p. 1).
As ações voltadas para proteger os ativos de informação estão sempre baseadas nos princípios 
de integridade, disponibilidade e confidencialidade. Vale destacar que os princípios de legalidade e 
legitimidade podem ser adicionados formando os pilares da segurança da informação demonstrado na 
figura a seguir:
Segurança da informação
Co
nfi
de
nc
ia
lid
ad
e
In
te
gr
id
ad
e
Di
sp
on
ib
ili
da
de
Le
ga
lid
ad
e
Le
gi
tim
id
ad
e
Figura 2 – Pilares da Segurança da Informação
Beal (2008) define o princípio de confidencialidade como a garantia de que o acesso à informação 
seja dado apenas para aqueles usuários legitimados a acessar a informação. O princípio de integridade 
remete à responsabilidade de garantir que as informações não sofram alterações em todos os seus 
estados possíveis.
10
Unidade I
Disponibilidade, de acordo com Beal, é a garantia deque a informação esteja disponível para os 
usuários legitimados quando eles requerem o seu acesso. O aspecto de legalidade remete à garantia 
de que a informação siga os aspectos de conformidade com as leis vigentes. Garantir a legitimidade é 
assegurar que as informações não sejam utilizadas por usuários não autorizados.
A transmissão da informação em um processo de comunicação requer atenção especial, pois nesse 
momento a informação trafegará de um ponto a outro e pode incorrer em problemas como interceptação 
e alteração fraudulenta de documentos. Por esse motivo as organizações precisam adotar processos 
adicionais para garantir a segurança da informação no processo de comunicação.
Emissor Canal Receptor
Interceptação 
e alteração
Transmissão
Figura 3 – Processo de comunicação adulterado
Diante desse cenário vulnerável, é necessária a adoção de procedimentos de segurança para proteger 
as informações e assegurar a comunicação de um ponto a outro.
Segundo Beal (2008), garantir a integridade do conteúdo da mensagem é assegurar que esta, enviada 
pelo emissor, chegue ao receptor de forma completa e exata.
A irretratabilidade da comunicação é a garantia de que a comunicação da mensagem seja realmente 
bem-sucedida, evitando assim que o emissor ou receptor negue esse fato. A autenticidade do emissor e 
do receptor é a garantia de que a pessoa emissora ou receptadora seja realmente quem diz ser no processo 
de comunicação. Assegurar a confidencialidade do conteúdo significa que apenas os destinatários 
devem ter acesso ao conteúdo da informação.
E, por fim, deve-se assegurar a capacidade de recuperação do conteúdo em sua forma original pelo 
receptor caso ocorram problemas na comunicação.
 Observação
Beal (2008) define o ativo de informação simplesmente como qualquer 
dado ou informação que esteja vinculado a um valor para o negócio.
1.1 Ciclo de vida da informação
Toda informação é perecível e possui prazo de validade determinado, o que é chamado de ciclo de 
vida da informação. Os diversos estágios do ciclo de vida de uma informação devem possuir formas 
diferenciadas para o seu tratamento, manutenção e para implantação de mecanismos de proteção, por 
esse motivo é fundamental entender o que cada etapa do ciclo de vida da informação necessita.
11
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Ciclo de vida
da informação
Gerada
Descartada
Tratada
TransmitidaArmazenada
Figura 4 – Ciclo de vida da informação
A geração da informação é marcada por sua aquisição, criação no ambiente interno, e pode ser 
retirada de banco de dados, mídias, internet, além de outras fontes de informação ou simplesmente 
herdada de uma área ou empresa.
Após a geração, a informação passa pela fase onde é tratada, manipulada, onde a informação será 
estruturada, organizada, modificada, agrupada ou condensada para se transformar em um autêntico 
ativo de informação.
A próxima etapa refere-se à transmissão da informação onde, por algum motivo, a informação será 
passada de um ponto a outro através de algum canal de comunicação; podemos citar como exemplo 
os canais estruturados como e-mails, internet, links dedicados e os canais não estruturados com a voz.
Na fase de armazenamento, os ativos de informação que não estão sendo ou que já foram tratados 
ou transmitidos devem ser devidamente guardados de forma organizada para possíveis consultas 
futuras, os locais mais comuns de armazenamento são os arquivos físicos e os bancos de dados.
A fase de descarte compreende a informação que, por não ser mais necessária, será finalmente 
excluída do rol de informações da organização. Apesar de não ter mais importância, o descarte 
inadequado pode, ainda assim, causar prejuízos à segurança da informação.
1.2 Componentes de segurança da informação
A segurança da informação deve entender os diversos cenários para estar habilitada a traçar um 
plano eficaz de proteção para os ativos de informação.
Proteções
Proteções podem ser definidas como medidas que serão adotadas para proporcionar segurança aos 
ativos de informação, cabe ressaltar que o balanceamento entre o custo e o benefício é fundamentalmente 
necessário. As proteções são implantadas sob três aspectos.
12
Unidade I
Quadro 1 – Exemplos de medidas de proteção
Tipo de Proteção Exemplos
Lógica 
Permissões em sistemas de arquivos
Firewalls
Perfis de usuários em aplicações 
Física
Portas
Fechaduras
Vigilantes
Administrativa 
Políticas
Normas
Procedimentos
 Observação
Firewalls são dispositivos de controle de acesso em redes de dados.
A implantação de mecanismos de proteção isolados não é suficiente para evitar os ataques, por 
isso uma forma eficaz de implementação de mecanismos baseia-se na utilização de mecanismos em 
camadas, dessa forma uma atua como contingência da outra, sobrepondo-se assim como portas a serem 
ultrapassadas; caso o atacante consiga abrir uma porta, outra diferente se apresenta com proteção.
Tabela 1 – Exemplos de medidas de proteção por camadas
Nível Tipos de Proteção Descrição
00 Preventiva Evita que incidentes ocorram
01 Desencorajadora Desencoraja à prática de ações
02 Limitadora Diminuí danos causados
03 Monitoradora Monitora estado e funcionamento
04 Detectora Detecta a ocorrência de incidentes 
05 Reativa Reage a determinados incidentes
06 Corretiva Repara falhas existentes
07 Recuperadora Repara danos causados 
Valor
É referenciado pela importância que o ativo tem para a organização. Esse valor pode ser medido de 
forma mensurável, como o valor financeiro e o lucro, mas também pode ser medido de forma abstrata 
como o comprometimento da imagem da empresa.
Ameaças à segurança da informação
Evento que tem potencial para causar prejuízos aos ativos de informação da organização, trazendo, 
dessa forma, danos diretos como roubos ou prejuízos com situações inesperadas como incêndio.
13
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Vulnerabilidade
Corresponde à simples ausência de mecanismos de proteção apropriados, falhas em mecanismos de 
proteção existentes. As vulnerabilidades são a porta de entrada para que as ameaças se concretizem.
Impacto
Refere-se ao tamanho do prejuízo, que pode ser medido através de propriedades mensuráveis ou 
abstratas que uma determinada ameaça causará.
Risco
Medida que indica a probabilidade de uma determinada ameaça explorar uma vulnerabilidade e 
assim se concretizar. O risco combinado ao impacto gera uma métrica muito explorada pela segurança 
da informação.
1.3 Segurança da informação baseada na tecnologia da informação
Segundo Beal, Tecnologia da Informação (TI) é uma:
[…] solução ou conjunto de soluções sistematizadas baseadas no uso de 
métodos, recursos de informática, de comunicação e de multimídia que 
visam a resolver problemas relativos à geração, tratamento, processamento, 
armazenamento, veiculação e reprodução de dados, e a subsidiar processos 
que convertem dados em informação (BEAL, 2008, p. 8).
Conforme Beal assinala, grande parte das informações e dos dados importantes para as organizações 
é armazenada em computadores. As organizações dependem da fidelidade da informação fornecida 
pelos seus sistemas baseados em TI.
Podemos compreender como informações baseadas em TI todas as informações residentes em bases 
de dados, arquivos informatizados, mídias magnéticas, tudo, enfim, que exija soluções informatizadas 
para acesso.
A preocupação com a segurança da informação deve ficar atenta por quatro importantes razões.
Em primeiro, as empresas estão cada vez mais dependentes da tecnologia da informação. Os sistemas 
devem oferecer serviços adequados e no tempo certo para a sobrevivência das organizações.
Em segundo, temos as vulnerabilidades da infraestrutura. A composição de um ambiente estável é 
necessária, uma vez que os componentes de hardware e software podem ser alvos dos mais diversos 
importunos, desde origem natural passando por acidental chegando à intencional.
14
Unidade I
Em terceiro, encontramos o alto valor da informação armazenada. As informaçõesarmazenadas 
em sistemas de TI requerem maior grau de proteção por serem um atrativo para espiões e até mesmo 
empregados dispostos a abusar de seus privilégios em troca de dinheiro ou vantagem oferecida.
Por último, a pouca atenção dada à segurança nos estágios iniciais do desenvolvimento de software, 
preceitos de segurança da informação devem acompanhar o desenvolvimento dos sistemas desde seu 
planejamento primário.
 Saiba mais
Para conhecer mais sobre a importância da TI para as empresas e sua 
relação com a segurança da informação, leia:
TININSIDE. Gartner: gastos mundiais com segurança e gerenciamento 
de riscos chegarão a US$ 150 bilhões em 2021. 19 maio 2021. Disponível 
em: https://bit.ly/3wO1ZLC. Acesso em 2 jun. 2021.
1.4 Origem dos problemas e estratégias de proteção
A origem dos problemas de segurança está baseada em três fontes diferentes: natural, acidental ou 
intencional, sendo que as duas últimas estão diretamente relacionadas ao fator humano.
Quadro 2 – Origem dos problemas
Origem do evento Exemplos
Natural Fenômenos meteorológicos
Acidental
Erros de usuários
Falhas nos sistemas
Falta de energia elétrica
Intencional
Invasões
Terrorismo
Chantagem e extorsão
Espionagem e inteligência competitiva
Diante da origem dos problemas, são elaboradas as estratégias de proteção, que por sua vez podem 
criar mecanismos de proteção para mais de um dos problemas mensurados.
As estratégias de proteção estão ganhando importância com o passar dos anos em virtude 
do aumento potencial dos incidentes de segurança das mais diversas formas. Vejamos, a seguir, 
variadas formas de estratégias de proteção, ressaltando que todas as formas de proteção visam 
proteger uma ou mais das três origens de problemas como mencionado:
15
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• Estratégia de privilégio mínimo: consiste em dar permissão mínima de acesso aos usuários aos 
sistemas, ou seja, fornece apenas o acesso necessário para que o usuário desenvolva suas atividades, 
evitando assim o excesso de acessos nos mais variados sistemas, reduzindo a possibilidade de erro 
nas permissões de acesso e preservando a confidencialidade das informações.
• Estratégia de defesa em profundidade: consiste na implantação de vários mecanismos de proteção 
para proteger o mesmo ativo. Essa estratégia pode ser comparada a uma casa com diversos níveis 
de proteção, que funcionam como barreiras inibidoras – primeiro o portão, depois a porta de 
entrada – e funciona como uma contingência da outra.
• Estratégia do elo mais fraco: a força da corrente é determinada pela força de seu elo mais fraco. 
Essa estratégia consiste em encontrar onde está a parte mais fraca nos processos, nas pessoas ou 
na tecnologia e ali adicionar maior carga de mecanismos de proteção para equilibrar a corrente.
• Estratégia do ponto de estrangulamento: trata-se de um processo muito simples, funciona como 
a recepção de um prédio, consiste em concentrar em um único local toda permissão de acesso, ou 
seja, todos devem passar por um único controle de acesso, uma espécie de funil, forçando assim 
o fluxo de proteção por um único canal, o que deixa a implantação de mecanismos de proteção 
mais barata e muito útil. Essa estratégia é muito utilizada para garantir a proteção em rede de 
dados, conforme será demonstrado no decorrer da disciplina.
• Estratégia de segurança através da obscuridade: essa estratégia consiste em esconder a existência 
de um ativo de informação. Ela parte do pressuposto que, se os atacantes não sabem da 
existência do ativo, não teriam interesse em furtá-lo. É a forma mais simples de proteção.
1.5 Classificação da informação
A organização de qualquer item de informação deve passar primeiramente por uma análise 
do seu grau de importância e quem determina isso é sempre o seu proprietário. Ninguém largaria 
o diploma universitário em um local que seria destruído, algo que para outra pessoa, porém, certamente 
não teria importância.
Segundo Kovacich (1998), apesar de não existir uma forma padronizada de classificar a informação 
de uma organização que numerasse três categorias.
Quadro 3 – Categoria de informações
Categoria Tipo de informações
Informações pessoais Dados individuais de empregados, clientes e outras pessoas
Informações de segurança nacional Informações que precisam ser protegidas para garantir a segurança da sociedade e do Estado
Informações de negócio Informações utilizadas pelas organizações para desempenhar suas tarefas
16
Unidade I
Na prática o processo de classificação da informação consiste em organizar as informações pelo seu 
grau de importância e, a partir daí, definir quais os níveis de proteção que cada ativo de informação 
requer. Dessa forma evita-se a implantação desnecessária de mecanismos de proteção para ativos 
de pouca importância e também que sejam aplicados mecanismos inferiores para ativos sensíveis ou 
extremamente importantes, o que os deixaria vulneráveis.
Podemos mensurar os objetivos básicos da classificação da informação como sendo dois:
• Proteção: as organizações manipulam diversos ativos de informação e esses ativos podem estar 
passando por qualquer fase do ciclo de vida, por essa razão é necessário avaliar cada ativo para 
saber em que fase ele está e qual o nível de proteção que será aplicado dessa forma, atingindo o 
máximo de eficácia possível no uso do mecanismo da proteção.
• Economia: quanto maior a necessidade de proteção para o ativo, maior será o investimento 
financeiro em mecanismos de proteção. Na prática, isso quer dizer que a classificação das 
informações representará economia para a organização, uma vez que esta aplicará seu dinheiro 
em mecanismos que protegerão seus ativos mais importantes.
O processo de classificar as informações traz diversos benefícios para uma organização. Dos benefícios 
tangíveis podemos mencionar:
Quadro 4 – Benefícios tangíveis da classificação da informação
Benefício Descrição
Conscientização O envolvimento das pessoas no processo de classificação das informações pode ser um auxiliador na implantação e no processo de melhoria contínua
Responsabilidades Define um responsável por cada ativo de informação da organização e assim define quem deverá classificar a informação
Níveis de proteção Um efetivo e bem aplicado programa de classificação da informação é a maneira mais eficaz de proteger as informações que são realmente importantes
Tomada de decisões Uma vez que as informações estão bem categorizadas do ponto de vista da segurança, o processo de tomada de gestão da segurança da informação é facilitado 
Uso de recursos A classificação eficaz das informações evita o desperdício de recursos de forma indiscriminada
A classificação da informação não é imutável, pelo contrário, assim como a informação passa por um 
ciclo de vida, a classificação da informação pode mudar conforme seu estado e importância, a exemplo 
do balanço patrimonial de uma empresa que inicia seu ciclo de vida classificado no nível mais alto de 
classificação e termina seu ciclo de vida publicada nas mídias com o menor nível de classificação possível.
Não existe um modelo padrão para a classificação da informação. É recomendado que sejam definidos ao 
menos três níveis de classificação, e não muitos mais para não dificultar a organização. A definição dos 
níveis auxilia na identificação e implantação dos critérios e dos mecanismos de proteção.
Assim, a classificação da informação pode ter diversas formas dependendo de qual dos princípios ela 
pretende atender, sua rotulação deve seguir o ponto de vista determinado e suas exigências.
17
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Para o princípio de confidencialidade, as informações, dependendo de sua importância, devem 
preservar o seu sigilo de modo que apenas as pessoas autorizadas tenham acesso a tais informações. 
Para alguns casos, manter a confidencialidade das informações é uma exigência legal.
Algumas questões devem ser respondidas para aqueles que determinam a classificação da informaçãosob o aspecto da confidencialidade, entre elas: “o que aconteceria se alguém que não poderia ter acesso 
a informação de repente obtenha tal acesso?”
Quadro 5 – Exemplo da classificação pública federal de documentos
Categoria Tipo de informações
Ultrassecretos Aqueles cujo conhecimento não autorizado pode acarretar dano excepcionalmente grave à segurança da sociedade e do Estado
Secretos Aqueles cujo conhecimento não autorizado possa causar dano grave à segurança da sociedade e do Estado
Confidenciais
Aqueles que, no interesse do Poder Executivo e das partes, devem 
ser de conhecimento restrito, cuja revelação não autorizada possa 
frustrar seus objetivos ou acarretar dano à segurança da sociedade 
e do Estado
Reservados Aqueles cuja revelação não autorizada possa comprometer planos, operações ou objetivos neles previstos ou referidos
Fonte: Brasil (2002).
As organizações podem seguir diversos esquemas de classificação para suas informações no que se 
refere à confidencialidade, muitas atribuem apenas três categorias para facilitar a análise e a implantação 
de mecanismos de proteção que são: confidencial, restrita e pública.
Para o princípio de disponibilidade, a preocupação é de como recuperar as informações e de como 
mantê-las sempre disponíveis para o acesso dos usuários autorizados.
Diante desse princípio, a classificação dos ativos de informação é estabelecida pelo tempo que a 
informação pode ficar inacessível aos usuários legitimados, sendo assim, quanto menor o tempo 
que a informação ficar inacessível, maior vai ser a sua categoria de classificação.
O princípio de integridade tem como objetivo classificar os ativos de informação no intuito de a 
integridade ser preservada e de, sob hipótese alguma, não ser modificada ou adulterada.
Por último, o princípio de autenticidade que deriva do princípio de integridade e que tem como objetivo: 
“a garantia de que a informação é legítima, criada por alguém com autoridade para fazê-lo e oriunda 
da fonte à qual é atribuída (BEAL, 2008, p. 69).”
Os exemplos mais comuns são das informações destinadas ao público externo que requerem por si 
a verificação da autenticidade.
18
Unidade I
Quadro 6 – Exemplo da classificação da informação 
quanto aos requisitos de autenticidade
Tipo Características Exemplo
Com exigência 
de verificação de 
autenticidade
Informação cuja procedência precisa 
ser confirmada antes de sua utilização
Pedido de criação de senha de acesso para um usuário de 
sistema, comunicados públicos em nome da organização, 
informações relativas a transações financeiras, sistemas de 
publicação eletrônica disponíveis para o público
Sem exigência 
de verificação de 
autenticidade
Informação cuja procedência não 
precisa ser confirmada antes do seu 
uso ou divulgação
Fonte: Beal (2008, p. 69).
A classificação dos ativos físicos, softwares e de serviços não é uma tarefa das mais fáceis, geralmente 
pode ser feita com a criação de grupos de ativos, levando em conta limites preestabelecidos por 
características comuns, como o tipo de usuário. A segmentação dos ativos proporciona a oportunidade 
de criação de estratégias diferenciadas de proteção.
Quadro 7 – Exemplo de classificação da informação por segmentos
Segmento Ativos físicos, software e serviços 
Por pessoas A segregação dos horários de trabalho por cargos 
Por processos O agrupamento de aplicações e equipamentos por tipo de processos associados, classificados por sua relevância ao negócio 
Por tecnologia Controle rígido de acesso aos sistemas através de mecanismos de autenticação diferenciados para sistemas que necessitam de maior segurança
Segundo Beal,
é impossível estabelecer um modelo único de segmentação de ativos físicos, 
de software e de serviços capaz de atender às necessidades de todos os 
tipos de organização. Os esforços gastos no desenvolvimento de uma forma 
de classificação e segmentação desses ativos adapta às características e 
necessidades próprias do negócio, são recompensados pelo entendimento 
claro dos diferentes requisitos associados aos diferentes objetivos de 
segurança (BEAL, 2008, p. 70).
A responsabilidade pela classificação dos ativos de informação recai sobre alguns fatores fundamentais 
no processo de classificação dos ativos de informação nas organizações.
O fato de classificar a informação recai em sujeitar as informações a determinados mecanismos de 
proteção e assim investir financeiramente na proteção desses ativos, algumas organizações preveem 
criar um nível básico de proteção para todas as informações classificadas e nenhum nível de proteção 
para informações que não foram classificadas.
19
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A informação tem vida e por isso às vezes é necessária sua reclassificação. É importante que as 
organizações tenham processos formalizados e padronizados de reclassificação dos ativos de informação.
A desclassificação das informações acontece no ciclo final de vida em seu descarte, quando a 
informação será devidamente apagada por não mais ser útil à organização.
Os processos de classificação, reclassificação, desclassificação e da introdução e manutenção dos 
mecanismos de proteção para os ativos de informação devem ser elaborados e mantidos exclusivamente 
pelo proprietário da informação, essa atribuição geralmente recai sobre os gerentes de área.
Logo abaixo do proprietário da informação vem o chamado custodiante da informação, que é 
aquele que de alguma forma zela pelo armazenamento e prevenção de informações que não lhe 
pertencem, mas que delas faz uso em suas atividades cotidianas. Existem dois tipos de custodiantes: o 
primeiro são aqueles profissionais de perfil técnico responsável pela administração e funcionamento 
de algum sistema. O outro é o proprietário de processo, a pessoa responsável por um processo de 
negócio que faz uso de informações que não lhe pertencem, mas que fazem parte do processo sob 
sua responsabilidade.
A equipe de segurança é responsável por ser o ponto de apoio das áreas de negócio de forma a 
desenvolver, implementar e monitorar estratégias de segurança que atentam os objetivos propostos de 
proteção dos ativos de informação.
Os gerentes de usuários têm a responsabilidade de responder sobre a ação dos membros de sua 
equipe e a função de multiplicar o conceito de classificação determinado pela organização.
Por sua vez, os usuários finais dos ativos de informação são os principais responsáveis pela 
execução das recomendações de classificação da informação uma vez que estão diretamente ligados 
ao operacional.
 Lembrete
A classificação da informação por si própria não consegue proteger as 
informações, essa tarefa é dada aos mecanismos de proteção, mas como 
aplicar os mecanismos apropriados quando não se sabe o que é importante 
proteger? Essa é a tarefa da classificação da informação.
A implantação de mecanismos de controles após o processo de classificação da informação visa 
assegurar a proteção dos ativos de informação. Os mecanismos mais comuns são aqueles que visam 
proteger a confidencialidade das informações das organizações, mas a integridade e a disponibilidade 
também devem ser protegidas, podemos dividir os mecanismos de proteção sobre as esferas da proteção 
dos dados, proteção física e controles administrativos.
20
Unidade I
Quadro 8 – Exemplo de mecanismos de proteção 
ligados à classificação da informação
Esferas Exemplos de mecanismos aplicados
De dados
Criptografia
Backups
Sistemas redundantes
Controle de acesso 
Física 
Controle de acesso físico
Cofres
Circuito fechado de TV
Transporte seguro
Administrativa
Políticas
Revisão e aprovação
Separação de tarefas
Monitoramento
A proteção na esfera de dados é destacada: o uso da criptografia que é uma das principais tecnologias 
existentes para proteger as informações, por meio desse mecanismo é possível disponibilizar, de 
forma segura e eficaz, uma série de serviços mantendo a confidencialidade, a disponibilidade e a 
integridade das informações. Estudaremosmais adiante detalhes sobre o que é, tipos e onde se aplica 
um processo criptográfico.
O uso de cópias de segurança, também conhecidas como backups, tem a finalidade de permitir 
que as informações de um sistema possam ser armazenadas de maneira arquivada, criando um 
mecanismo de recuperação em caso de falha na informação original.
Os sistemas redundantes, apesar de semelhantes aos backups, atuam em situações nas quais as 
informações processadas são ainda mais críticas, não podendo a organização dispor delas, mesmo 
por um período curto. Trata-se de um sistema secundário e semelhante que assume o lugar do 
sistema principal, quando este, por algum motivo, para de funcionar.
A implantação de controle de acesso tem como missão proteger os dados contra problemas de 
segurança relacionados à quebra, principalmente, de confidencialidade e integridade. Sua função é 
garantir que apenas usuários e processos autorizados tenham acesso a determinadas informações 
e possam executar apenas as ações previamente definidas.
Na esfera física temos os seguintes mecanismos: o controle de acesso físico, em que podemos 
destacar o uso de catracas, portas de acesso inteligentes, enfim, dispositivos que impedem a entrada 
física de pessoas em ambientes em que o acesso é restrito a pessoas autorizadas.
O uso de cofres tem duas finalidades: a proteção dos ativos de informação físicos como 
contratos e fitas de backup contra furtos e roubos bem como, para alguns tipos especiais de cofres, 
a proteção em caso de incêndios.
21
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Os circuitos fechados de TV têm como objetivo o monitoramento de áreas para resolução de 
incidentes em caso de furto de informações e têm caráter desencorajador.
Uma informação transportada fisicamente é exposta a uma série de ameaças. O transporte 
seguro de informações visa reduzir as vulnerabilidades do transporte de informações, tais proteções 
vão desde um envelope com um lacre inviolável até o uso de um carro forte.
Na esfera dos controles administrativos, através da política de classificação da informação, as 
políticas definem padrões de conduta, compreendidos como passos necessários para a execução 
segura dos procedimentos, além de alinharem os mecanismos de proteção, a legislação e 
estabelecerem relação jurídica para punir legalmente ações não autorizadas.
O processo de revisão e aprovação tem como objetivo estabelecer que qualquer ação individual 
com maior importância do ponto de vista da segurança deva ser realizada em mais de um passo, 
ressaltando assim a responsabilidade da execução e revisão distintas, incluindo a autorização 
para concretização.
Diante do processo de separação de tarefas podemos destacar que nesse modelo, devido 
à importância dos ativos de informação, é exigida a necessidade de incluir a divisão de 
responsabilidades; dessa forma quem executar uma atividade não pode ser quem a aprova, coibindo 
assim a ação ou a tentativa de fraude.
O monitoramento das atividades também é considerado um mecanismo de proteção. É 
importante para o descobrimento de falhas de segurança além de possuir o papel de desencorajar.
A classificação das informações na prática está ligada ao dia a dia das operações e está aí o maior 
desafio. Para auxiliar nesse processo temos alguns mecanismos que são úteis.
Quadro 9 – Aspectos práticos da classificação da informação
Práticas Meio Canais
Rotulação
Documentos impressos Papéis
Documentos eletrônicos Arquivos eletrônicos
Controle de acesso
Físico Tecnologias biométricas 
Lógico Login de acesso a sistemas 
Quando o assunto é rotulação de documentos para a classificação da informação, a primeira 
coisa que nos surge na mente são os documentos impressos por serem mais fáceis de rotular. 
A rotulação, além de inibir a ação de algum fraudador, visa a principalmente salvaguardar a 
organização no caso de violação da segurança da informação naquele nível de classificação.
Para rotular papéis, o uso de etiquetas, carimbos e outras marcas visuais é recomendado. Pode 
também ser inclusa no rodapé dos documentos ou até mesmo como marca d’água.
22
Unidade I
A rotulação de documentos eletrônicos requer maior atenção e a marca da classificação deverá 
ser mostrada dentro do conteúdo do documento, por exemplo, e-mails devem conter informações 
de classificação no corpo da mensagem ou no campo de assunto.
Sistemas e aplicativos como base de dados de sistemas e aplicativos devem mostrar visualmente 
o nível da classificação de um registro quando esse é acessado. As mídias podem ser rotuladas 
visualmente com etiquetas assim como os documentos impressos.
A segunda forma de criar mecanismos cotidianos é o controle de acesso e isso pode ser realizado 
através dos níveis de classificação. Essa forma de controle é o principal benefício buscado pela 
classificação da informação.
O controle de acesso lógico nos remete ao controle de acesso a redes e a dados. Um exemplo 
claro de controle de acesso lógico seria o login de rede, em que temos que possuir um usuário 
válido e uma senha pessoal e intransferível de acesso para aquele segmento de rede, bem como o 
controle de acesso às pastas e diretórios dentro dos servidores.
O controle de acesso físico está ligado ao uso de ferramentas criptográficas, como os certificados 
digitais, que estão cada vez mais ganhando espaço entre as tecnologias para controle de acesso. O 
uso de biometria também se mostra bem útil no controle de acesso físico.
 Saiba mais
Para se aprofundar nos formatos de classificação das informações do 
nosso governo, acesse:
BRASIL. Presidência da República. Secretaria-Geral. Decreto n. 9.690, de 
23 de janeiro de 2019. Altera o Decreto n. 7.724, de 16 de maio de 2012, 
que regulamenta a Lei n. 12.527, de 18 de novembro de 2011 – Lei de 
Acesso à Informação. Brasília, 2019. Disponível em: https://bit.ly/3yQ9UKl. 
Acesso em: 2 jun. 2021.
1.6 Estrutura da segurança da informação
Apesar de a segurança da informação não compreender apenas a TI, a primeira área que teve 
necessidade de proteger seus ativos foi a área de TI e, por esse motivo, a segurança da informação 
nasceu atrelada às áreas técnicas das organizações e subsidiada por elas.
Para melhor compreensão da atual necessidade de segurança, é preciso entender como a área de TI 
evoluiu durante os anos, o que levou à maior exposição dos ativos de informação.
23
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
A área de TI teve seu início na arquitetura centralizada que utilizava Mainframes. O acesso era 
por meio de terminais seriais, todos os equipamentos concentrados em um CPD e os técnicos com 
conhecimento completo sobre o ambiente.
Dados Dados
Impressora Impressora
Terminal Terminal
CPD
Mainframe
Terminal
Terminal
Terminal
Terminal
Terminal
Figura 5 – Estrutura de TI do início da era computacional
A área de TI sofreu significativas alterações nos últimos anos; os modelos atuais pulverizam as 
informações, o que auxilia o negócio, porém a preocupação em proteger as informações foi redobrada, 
são sinais dessas mudanças a descentralização do processamento computacional, o downsizing, a 
disseminação das redes locais (LAN), a disseminação das redes corporativas (MAN e WAN), a grande 
variedade de arquiteturas de servidores e sistemas operacionais (OS/390, Win2K, Solaris, HP-UX, Linux).
Internet
Parceiros
DMZ
DNS
Linux
Web
Win2K
FW
Solaris
FW
Win2K
FW
Appliance
Database
HP-UX
Database
AIX
Win2K
Mail
Filial
Novell
Win2K
Mail
Filial
Novell
Win2K
Mail
Filial
Novell
Matriz
OS/390
Figura 6 – Estrutura atual da TI
24
Unidade I
As consequências da nova estrutura podem ser representadas por diferentes equipes 
(desenvolvimento e manutenção) especializadas em determinadas tecnologias, como: equipes de alta 
plataforma (Mainframe), equipes de plataforma Windows, equipes de plataforma Unix, equipes de rede 
local e equipes de rede WAN. O maior custo de manutenção do parque de TI e das diferentes equipes 
compreende: dificuldade no desenvolvimento de projetosque integram plataformas diferentes, 
dificuldade em manter os servidores atualizados, dificuldade em mapear e gerenciar os riscos de TI.
A evolução na forma de conduzir os negócios abrange também a área de TI, devido à importância 
da informação, mão de obra, regulamentação e governança corporativa. As empresas brasileiras são 
cada vez mais atingidas pelas regulamentações locais e internacionais, como as definidas pelo Banco 
Central do Brasil, CVM, Sarbanes-Oxley entre outras que no final requerem direta ou indiretamente que 
as empresas sigam os princípios de segurança da informação.
 Observação
A lei Sarbanes-Oxley (SOX), aprovada no Congresso Americano em 2002, 
foi criada devido a problemas com os lançamentos financeiros das empresas 
norte-americanas, uma vez que, das 500 maiores empresas apontadas pela 
revista Forbes, 100 delas tinham fraudes em seus balanços financeiros.
Para evitar essa situação, foi estipulada a exigência de que todas as 
empresas de capital aberto norte-americanas ou do resto do mundo que 
operam na bolsa de valores norte-americana sigam integralmente os 
controles internos estipulados pela lei.
A estruturação da área de segurança da informação tem como objetivo criar uma estrutura funcional 
e operacional destinada a lidar com a segurança da informação dentro do ambiente de TI, para que dessa 
forma possibilite maior agilidade na tomada de decisões e ações quando da verificação de incidentes 
que possam impactar na segurança das informações ou na imagem da empresa.
A segurança da informação dentro do organograma de uma empresa tradicional, por ter sido impulsionada 
pela TI, ainda fica hierarquicamente abaixo, mesmo tendo sob sua responsabilidade os processos e as pessoas.
Vice-presidência
Comitê de 
segurança
Tecnologia da 
informação
Área de segurança 
da informação
Área de negócios Área de negócios
Auditoria interna
Figura 7 – Organograma tradicional
25
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
As empresas devem estar atentas às implicações do modelo tradicional de hierarquia, em que a 
segurança está abaixo da TI. Com a área de segurança da informação sob gerência da TI, a tendência é que se 
invista apenas nos aspectos tecnológicos da segurança da informação; às vezes, são empregados muitos 
recursos em aparatados tecnológicos que não demonstram o custo/benefício das medidas adotadas.
Para não que isso não aconteça, é recomendado alocar a área de segurança da informação da 
seguinte forma no organograma da organização:
Vice-presidência
Comitê de 
segurança
Tecnologia da 
informação
Área de segurança 
da informação
Área de negócios Área de negócios
Auditoria interna
Figura 8 – Organograma ideal
Esse novo organograma proposto abre espaço para uma visão melhor da gestão da segurança da 
informação, dando-lhe liberdade de atuação nos três princípios e facilitando acesso aos profissionais de 
segurança da informação à administração da organização, para exercerem melhor suas responsabilidades, 
que não são poucas.
Entre as atribuições estipuladas para o responsável pela área de segurança da informação, do inglês 
security office, destacam-se:
• Gerenciamento das contas de acesso.
• Gerenciamento contínuo da segurança.
• Time de respostas a incidentes.
• Definição dos processos de revisão preventiva da segurança.
• Gerenciamento para novos projetos e/ou tecnologias.
• Adequação dos documentos às novas tecnologias, por exemplo: ADSL, wireless (LAN e celular), 
VPN, tokens de memória, portas USB.
• Posicionamento claro da empresa quanto ao uso de: e-mails, internet, notebooks, tablets.
• Gerenciamento, desenvolvimento e implementação de políticas globais de segurança onde deve 
ser segmentando em políticas, normas e procedimentos e promover a atualização periódica 
destes documentos.
26
Unidade I
O quê?
Quem?
Como?
Política
Normas
Procedimentos
Est
rat
ég
ico
Tát
ico
Op
era
cio
na
l
Figura 9 – Gerenciamento de normativos
• Coordenação da atividade de classificação das informações junto às diversas áreas da empresa, 
estabelecendo nível de confidencialidade da informação e auxiliando os gestores a classificar 
suas informações.
• Estabelecimento de controles associados ao armazenamento e à transmissão da informação.
• Promoção da divulgação da cultura de segurança na empresa.
• Disseminação da cultura de segurança, seus conceitos e práticas tanto tecnológicas como 
comportamentais, junto aos colaboradores, estagiários e empresas terceirizadas.
• Promoção das atividades de treinamento para: pessoal especializado, técnico de operação 
(telecom, servidores, desenvolvedores), pessoal gerencial e de negócios. São efetuadas palestras 
de conscientização destinadas aos funcionários em geral.
• Gerenciamento dos perfis de acesso para todas as contas de acesso a softwares corporativos da 
organização. Deverão existir informações suficientes para que seja facilitada e agilizada a obtenção de 
informações, como todas as contas de um determinado usuário ou todos os usuários de um determinado 
programa ou software corporativo. Esse controle é importante para assegurar que, no desligamento 
ou em uma transferência de função, o usuário não armazene acessos indevidos. Esse profissional será 
responsável por receber, analisar e autorizar ou negar acessos aos sistemas corporativos da organização. 
Será responsável também pela formalização dos grupos/estruturas de usuários.
• Gerenciamento contínuo da segurança preocupado com a segmentação da rede. Deverá ter 
amplo conhecimento da topologia da rede, sendo capaz de identificar os segmentos críticos para 
o negócio da empresa.
• Preparação do plano diretor para mitigar as vulnerabilidades da rede e garantir a continuidade 
dos negócios em casos de falhas de equipamentos ou aplicações.
27
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• Autorização de concessão de acesso à rede corporativa por meio dos firewalls, não sendo ele 
responsável pela configuração dos firewalls, e verificação contínua do acompanhamento da 
monitoração dos logs do firewall. O responsável pela segurança da informação (security office) 
deverá conhecer a política implementada nos firewalls.
• Determinação de qual política deve ser implementada no IDS (intrusion detection system) e de 
qual ação deve ser tomada em caso de identificação de ataque. O profissional acompanhará o 
processo de monitoração contínua dos relatórios gerados pelo IDS.
• Projeto e acompanhamento da implementação do sistema de antivírus. Também caberá à área de 
segurança da informação a definição de normas e procedimentos relativos à atualização da base 
de assinaturas nas estações e servidores da empresa.
• Elaboração de metodologias de instalação e manutenção segura de servidores críticos (bastion host).
• Elaboração de procedimento formal de gerenciamento de mudanças nos ambientes críticos 
(change management), incluindo os ambientes de teste, homologação e produção.
• Avaliação física regular dos ambientes críticos, que é fundamental para assegurar a segurança 
física das informações.
• Elaboração e atualização do plano de continuidade de negócios, em que devem estar previstos o 
teste periódico de backups, o teste periódico de links backups e o teste periódico de ativação de 
site/aplicações backups.
• Integração com as áreas de negócios e fábrica de software durante a especificação de novos 
projetos e tecnologias no que se refere à segurança dos dados.
Demandas do negócio
Respostas as mudanças 
no negócio
Informações, conhecimento 
e inteligência do negócio
Responsabilidades 
do negócio
Suporte a tecnologia
Desenvolvimento de soluções
Manutenção e 
gerenciamento de mudanças
Fábrica de software
Serviço de suporte
Gerenciamento de 
fornecedores e terceiros
Responsabilidades da TI
Área de segurança 
da informação
Definição das tecnologias de 
segurança
Uso de criptografia
Mecanismos de autenticação
Trilhas de auditoria
Teste, produção e homologação
Figura 10 – Relacionamento das áreas de negócio, TI e segurança da informação28
Unidade I
• Definição dos processos de revisão preventiva da segurança da informação para teste de 
invasão, teste de invasão externa simulando a ação de um “hacker”, teste de invasão externa 
por um “hacker” com nível de acesso de seus parceiros de negócios ou clientes internos, teste de 
invasão interna, revisão de firewall, revisão interna dos mecanismos de proteção de perímetro 
(firewall, IDS etc.).
As pessoas selecionadas para atuarem na área de segurança da informação devem ser funcionários 
da corporação com ampla experiência em segurança da informação e em gerenciamento de projetos de 
tecnologia. Além disso, devem ser capazes de balancear as restrições de segurança com as necessidades 
de negócio. É recomendado que possuam destacadas habilidades de comunicação pessoal e escrita além 
de ampla capacidade de trabalho em grupo e gerenciamento de pessoas.
O líder deve possuir um cargo na hierarquia que possibilite a tomada de decisões, requisição de 
auxílio de funcionários de outras áreas e condução de verificações nas diversas áreas da corporação. 
Esse líder poderá ser um gerente ou um diretor.
As áreas de tecnologia da informação (TI) devem estar representadas no conselho ou na mais alta 
instituição da organização. A TI e a segurança da informação precisam ser mensuradas, como os negócios, 
através da definição ou reformulação do posicionamento hierárquico (CIO, CSO, CRO). Deve-se ter em 
mente que o negócio e segurança não são coisas distintas, ainda que o entendimento dos negócios não 
seja desenvolvimento de software.
O líder da área de segurança da informação (security office) não deve atuar nem como um paranoico 
que sempre inviabiliza o negócio nem como um cowboy que assume sozinho o risco, cabe a ele mostrar 
os riscos inerentes e negociar soluções alternativas com os gestores das áreas de negócio.
2 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Segundo Bastos e Caubit (2009), em consonância com a norma NBR ISO/IEC 27001, a empresa 
deve estabelecer, documentar, implementar e manter um Sistema de Gestão da Segurança de 
Informação – SGSI (ou ISMS em inglês), sendo que este deve mapear os ativos críticos a serem 
protegidos, dessa forma, obterá a abordagem para gerenciamento dos riscos, os objetivos de controle 
e os controles necessários para proteger as informações da empresa e garantir a continuidade 
do negócio no nível de qualidade requerido pela empresa. Na estrutura do PDCA, cada uma das 
atividades pode ser descrita da seguinte forma:
29
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Partes 
interessadas
Requisitos de 
segurança da 
informação e 
expectativas
Partes 
interessadas
Segurança da 
informação 
gerenciada
PLAN
Estabelecer o 
ISMS
CHECK
Manter e 
rever o ISMS
ACT
Manter e 
melhorar o ISMS
DO
Implementar e 
operar o ISMS
Figura 11 – Visão Geral – ISO 27001
Fonte: Bastos e Caubit (2009, p. 32).
• Planejar (P): estabelecer um plano de trabalho definindo cronograma, gráfico ou sequência de 
orientações. Estabelecer as metas e os métodos, sendo que as metas podem decorrer do plano para 
casos de recursos limitados ou o plano pode objetivar o alcance da meta. Estabelecer a política 
do SGSI, os objetivos, os processos e procedimentos mais importantes para a gestão de riscos e a 
melhoria da segurança da informação a fim de entregar resultados conforme as políticas globais 
da organização e seus objetivos de negócio.
• Executar (D): realizar as tarefas conforme foram revistas no plano, coletar dados para verificação 
do funcionamento do processo conforme o previsto. Nessa etapa é fundamental o treinamento 
da equipe nas práticas de trabalho estabelecidas no plano. O Do (executar) significa implementar 
e operacionalizar o SGSI, ou seja, implementar e estabelecer as regras estabelecidas na política do 
SGSI, juntamente com os controles, processos e procedimentos.
• Verificar (check): significa monitorar e revisar o SGSI. A partir dos dados coletados durante a 
execução, analisa e compara os resultados alcançados com a meta planejada. Avaliar e, onde 
aplicável, medir o desempenho do processo de acordo com as regras estabelecidas na política do 
SGSI, com os objetivos e experiência prática, relatando os resultados para os gestores efetuarem 
a revisão ou análise crítica do sistema de gestão.
• Agir corretivamente (A): identificar os desvios, onde a equipe atuará, no sentido de fazer correções 
para que o problema não volte a ocorrer. Essa atuação é sistemática. Act (agir) significa manter 
e melhorar o SGSI. Deve-se tomar as atitudes corretivas e preventivas, amparado nos resultados 
das auditorias internas do SGSI, revisão gerencial ou outra forma de avaliação relevante, para 
alcançar a melhoria contínua do SGSI.
Segundo Bastos e Caubit (2009), o ciclo do PDCA se torna uma ferramenta básica de gerenciamento 
do SGSI. Para facilitar a implementação e estruturação do SGSI de acordo com o PDCA, as organizações 
seguem o modelo de projeto baseado no guia Project management body of knowledge (PMBOK) 2004. 
As atividades de projeto são coordenadas e processadas de forma a auxiliar o gestor a acompanhar 
todas as etapas do projeto de implementação do SGSI.
30
Unidade I
Plan
Check
Do Act
Estabelecer o SGSI
Monitorar e 
melhorar o SGSI
Implementar o SGSI Manter o SGSI
Figura 12 – Estrutura do SGSI
Adaptada de: Bastos e Caubit (2009, p. 33).
As etapas do projeto de preparação do SGSI apresentam uma sequência de atividades que precisam 
ser empreendidas para o sucesso do SGSI:
Planejar Implementar Capacitar Auditar
Análise de posição Contexto da organização Plano de capacitação Plano de testes
Sumário executivo Liderança Treinamentos Testes e validação
Definição do escopo Planejamento Programa de 
conscientização
Plano de auditoria
Definição das equipes Suporte Auditoria
Plano de projeto Operação
Avaliação
Melhoria contínua
Figura 13 – Etapas do projeto de estruturação do SGSI
Adaptada de: Brasil (2013).
Os principais passos para implementação do sistema de gestão de segurança da informação são:
• Planejamento do projeto: onde são definidos e alocados os recursos necessários para o 
projeto destinados à certificação ISO 27001 ou simplesmente adequação do sistema de 
gestão de segurança da informação em conformidade com a norma e consequentemente as 
melhores práticas. Nessa etapa são definidos os prazos do projeto, a forma de monitoramento 
31
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
e controle das ações, ressaltando que sempre é necessário que seja realizada a análise de risco 
prévia e uma avaliação de quanto a organização está adequada aos requisitos obrigatórios da 
norma ISO 27001.
• Criação e manutenção do SGSI: representa a implementação dos requisitos previstos. Essa 
etapa do projeto é composta de várias sub etapas, entre as quais está disposta a definição 
do escopo e diagnóstico inicial, que compreende a identificação dos elementos que formam o 
escopo da certificação ISO 27001 ou simplesmente da amplitude do sistema de gestão baseado 
nas melhores práticas. A identificação do grau de complexidade das atividades técnicas ligadas à 
segurança da informação é necessária para a implementação do sistema de gestão de segurança 
da informação. É nessa etapa que são feitas estimativas de esforço das etapas subsequentes 
do projeto de preparação da certificação e a elaboração de um cronograma de trabalho. Nesse 
momento, o processo é o mesmo tanto para uma organização que busca a certificação ISO 27001 
quanto para uma organização que busca somente conformidade com os requisitos da norma para 
adequação do seu sistema de gestão de segurança da informação às melhores práticas. Quando 
se atinge essa etapa de auditoria interna, são definidas as ações específicas para uma organização 
que busca a certificação ou simples conformidade com a norma.
• Auditoria externa: compreende dois momentos, a pré-auditoria e a auditoria de certificação:
— A preparação para a pré-auditoria consiste em preparar a logística para realização da 
revisãopreliminar pelo órgão certificador, que já deve ter sido selecionado e contratado 
com antecedência. É uma auditoria com pouca profundidade, em que são verificadas as 
condições físicas e a documentação do SGSI para avaliar se a organização está preparada 
para a certificação. A orientação da equipe sob o escopo da certificação de como funciona 
a visita do órgão certificador e como ocorrerão as entrevistas e inspeção das instalações da 
organização é parte do trabalho da equipe de preparação. Após a realização da pré-auditoria, 
será necessário definir as disposições (ações imediatas a serem executadas de modo a resolver as 
não conformidades ou conter seu efeito indesejado) para solucionar os processos desalinhados 
identificados pelos auditores.
— A preparação para a auditoria de certificação consiste em providenciar a logística necessária 
para realização da auditoria pelo órgão certificador, que ocorre mais ou menos de um a dois 
meses após a pré-auditoria, para verificar a conformidade, a eficiência, efetividade e eficácia 
do SGSI. Após a realização da auditoria, caso ocorra não conformidade, será necessário 
apresentar disposições e plano de ação para as não conformidades encontradas pelo órgão 
certificador, tendo como objetivo o alcance do selo de certificação ISO 27001. A maturidade 
de um sistema de gestão de segurança da informação é adquirida com sucessivas rodadas 
do ciclo do PDCA, cujo tempo de execução pode variar de organização para organização. 
Normalmente, um ciclo completo de execução do PDCA dura até um ano, pois é o tempo 
máximo considerado pela norma para análise crítica do funcionamento do SGSI seguindo as 
recomendações da cláusula 7.1 da norma NBR ISO/IEC 27001.
32
Unidade I
2.1 Fatores de sucesso do SGSI
A implantação completa de um sistema de gestão da segurança da informação é algo complexo 
e requer empenho, dessa forma é necessário compreender os fatores críticos de sucesso para a 
implementação e preparação de um SGSI bem-sucedido.
Quadro 10 – Fatores de sucesso (SGSI)
Fatores críticos de sucesso do SGSI
Comprometimento e apoio visíveis pela alta administração
Escolha do gerente do projeto de preparação para certificação 
Unificação conceitual nos vários níveis dos participantes (usuários e gestores) sob o perímetro de abrangência do escopo e 
os princípios do SGSI 
Definição clara do escopo do sistema de gestão de segurança da informação
Definição da abordagem para a implementação da segurança da informação consistente com a cultura organizacional 
Divulgação das diretrizes da política de segurança e padrões para todos os funcionários, cliente e terceiros
Ativos identificados e controle de ativos (inventário) mantido atualizado 
Análise/avaliação de riscos executada e resultados documentados
Adaptado de: Bastos e Caubit (2009, p. 36-37).
Segundo Bastos e Caubit (2009), existem outros fatores críticos de sucesso para determinar 
o sucesso de um SGSI bem-estruturado. É necessário levar em consideração a sequência natural de 
amadurecimento do conhecimento sobre os requisitos de segurança que uma organização adquire com 
aplicação prática das normas.
O nível final de maturidade do SGSI é atingido a partir de conhecimentos gerais dos gestores e da 
parte operacional com os técnicos de tecnologia da informação da organização, que a princípio e de 
forma intuitiva estabelece os controles de segurança, em sequência, transpõe a visão de aplicação dos 
controles da norma ISO 27002 como referência de boas práticas, em uma abordagem de orientação, e 
não de obrigatoriedade de implementação, em que a ISO 27002 é utilizada como referência. Em seguida, 
a busca da conformidade mais conhecida como nível gap analysis da ISO 27001 e ISO 27002 culmina 
com o modelo de gestão organizado que descreve a operacionalização do sistema, que não impedirá a 
ocorrência de incidentes de segurança, mas reduzirá e promoverá de maneira controlada e ordenada o 
tratamento e acompanhamento das ações corretivas e no processo de gestão geral.
Segundo Bastos e Caubit (2009), a certificação ISO 27001 se refere a um nível de maturidade 
mais apurado, que está no topo da pirâmide de utilização das normas conhecidas para aplicação dos 
dispositivos de segurança da informação, pois ela prevê um sistema organizado que será depurado pelo 
ciclo do PDCA.
O SGSI estruturado de acordo com o PDCA será um sistema de gestão de segurança da informação 
que tende a amadurecer mais rapidamente e se estender pela organização além dos limites do seu 
escopo ou da abrangência prevista inicialmente para sua implementação.
33
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
27001
GAP Analysis ISO 
27001 e 27002
ISO 27002 - Utilizada como referência
Processo intuitivo de implementação 
de controles de segurança
Figura 14 – Modelo de maturidade do SGSI
Adaptada de: Bastos e Caubit (2009, p. 38).
2.2 Estabelecendo o SGSI
Segundo Bastos e Caubit (2009), a preparação do SGSI é apresentada na cláusula 4.2.1, estabelecer 
o SGSI, que tem como objetivo estabelecer a política, processos e procedimentos do SGSI, relevantes 
para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo 
com as políticas e objetivos globais de uma organização. Sendo assim, essa cláusula compreende as 
seguintes atividades:
• Definição do escopo da certificação: também engloba o treinamento da equipe do projeto na 
interpretação da norma, para que todos os envolvidos conheçam os requisitos do SGSI.
• Elaboração da política de segurança da informação: desenvolvimento do manual da segurança 
da informação, que é opcional, mas uma grande ajuda para estruturar a documentação, dispondo 
de revisão e validação das normas, procedimentos e instruções de trabalho que compõem a 
documentação do SGSI.
• Realização da análise/avaliação de riscos e elaboração do plano de tratamento dos riscos: 
essa etapa visa à confirmação da seleção dos controles recomendados no Anexo A da norma ISO 
27001, que direcionam a implementação de dispositivos de segurança para proteção correta das 
informações da organização.
Também é necessária a aprovação da direção para os riscos residuais propostos bem como a anuência 
da direção para a efetiva implementação do SGSI.
Após essas etapas, firma-se a elaboração da declaração de aplicabilidade. As principais etapas para 
o início da implementação do SGSI são:
34
Unidade I
Etapa 1
Etapa 2
Etapa 3
Etapa 4
Etapa 5
Etapa 6
Definir escopo 
do SGSI
Definir a 
política de SI
Executar 
análise/avaliação 
de riscos
Aprovar os riscos
Selecionar 
objetivos de 
controle e 
controles a serem 
implementados
Preparar 
declaração de 
aplicabilidade
Estabelecimento de limites 
de cobertura das proteções
Documentos 
e registros do 
SGSI na fase 
de preparação
Diretrizes da organização
Ameaças, vulnerabilidades 
e impactos
Anexo A da ISO 27001: 
Objetivos de controle, 
controles adicionais não 
presentes na ISO 27001
Justificativa da aplicação 
dos controles do anexo A
Abordagem da organização 
para gerenciamento de risco
Grau de segurança requerido 
pela organização
Documento escopo 
do SGSI
Documento 
da política
Relatório de 
avaliação de riscos
Nível de risco 
aceitável definido 
e aprovado
Plano de tratamento 
do risco
Declaração de 
aplicabilidade
Figura 15 – Planejamento do SGSI
Adaptada de: Bastos e Caubit (2009, p. 42).
Segundo Bastos e Caubit (2009), o escopo é o perímetro de abrangência que define os ativos a serem 
contemplados no SGSI, sejam eles sistemas, dispositivos físicos, processos ou ações do pessoal envolvido.
Processo
Aplicativos e sistema
Infraestrutura
Pessoas
Re
qu
isi
to
s 
de
 S
I
Figura 16 – Escopo do SGSI
Fonte: Bastos e Caubit (2009, p. 43).
De acordo com a orientação da norma ISO/IEC 27001 (2013), o escopo deve considerar as características 
do negócio, aspectos gerais da organização, sua localização, ativos e tecnologias, além de também 
incluir detalhes e justificativas para quaisquer exclusões. Diantedisso, recomenda-se que o escopo:
35
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• seja relevante para a organização;
• seja compatível com os interesses do negócio;
• represente valor para os diretores, gestores e demais colaboradores;
• permita implementações, alterações e melhorias.
Para Bastos e Caubit (2009), além de contemplar todos os requisitos exigidos pela norma, acredita-se 
que o escopo do SGSI também deve apresentar os seguintes componentes:
• as pessoas envolvidas que devem estar motivadas e comprometidas com o projeto, o gestor 
responsável pelo SGSI que deve ter acesso à alta direção da organização, com o objetivo de obter 
recursos para a implementação do sistema;
• o escopo, que deve possuir processos definidos e maduros, para melhor estruturação de um SGSI 
que não tem como objetivo definir processos de trabalho, mas sim implementar segurança nos 
processos existentes.
Para as organizações que buscam a certificação, outros aspectos devem ser considerados, tais como:
• Envolver-se em grandes transformações tecnológicas; deve-se aguardar a consolidação das 
mudanças para buscar a certificação.
• Estruturar a sua área de segurança da informação deve-se amadurecer melhor os processos para 
se preparar para a certificação. É importante ter a definição de papéis e responsabilidades em 
segurança da informação bem estabelecidos.
• Ter um bom relacionamento entre as áreas e utilizar do bom relacionamento para divulgar 
internamente o projeto.
• Implementar os controles conforme os requisitos da norma, mas, sobretudo, atender e respeitar as 
necessidades do seu negócio. Devem ser respeitados os limites para implementação dos princípios 
de segurança da informação para cada ramo de atividade.
Esses aspectos variam conforme cada organização e podem ser observados em maior profundidade 
na fase do diagnóstico para a certificação.
No documento do escopo deve ser detalhado com o objetivo de apresentar ao órgão certificador, 
com clareza e objetividade, o perímetro do SGSI em questão.
Segundo Bastos e Caubit (2009), a política de segurança da informação é o documento que contém 
de forma objetiva e estratégica as premissas e diretrizes para o SGSI.
36
Unidade I
As políticas devem:
• Levar em conta os requisitos legais e regulatórios do negócio, além de requisitos contratuais.
• Estabelecer a estratégia e o contexto de gestão dos riscos. O SGSI deverá ser mantido e atualizado 
seguindo o PDCA.
• Estabelecer os critérios de estruturação e avaliação dos riscos.
• Ser aprovadas pela direção e comunicadas a todos os funcionários, terceiros e demais partes 
interessadas.
A política de segurança da informação é o documento mais importante não apenas para o SGSI, mas 
para a organização e para o mercado, pois define as estratégias que a organização precisa adotar para 
alcançar os seus objetivos relacionados à segurança da informação.
Para Bastos e Caubit (2009), antes de realizar a análise/avaliação de riscos é importante selecionar 
qual metodologia será a base para esse fim e adequada à organização.
Nessa hora são definidos os critérios de aceitação dos riscos para a organização. A metodologia 
de análise/avaliação de riscos deve ser definida de forma clara, simples e objetiva, proporcionando 
a imparcialidade necessária às análises e avaliações realizadas, isso significa que não importa quem 
realizará a análise de riscos, sempre serão utilizados os mesmos métodos e critérios, seguindo as 
recomendações da NBR ISO/IEC 27001, em sua cláusula 4.2.1, letra c, que diz que a metodologia deve 
obter resultados comparáveis e reproduzíveis.
Existem muitas e diferentes abordagens de análise/avaliação de riscos à segurança da informação, 
devemos dar atenção especialmente para as normas NBR ISO/IEC 27005, sistema de gestão de segurança 
da informação, gestão de riscos e também a NBR ISO/IEC 31000, que demonstra as melhores práticas 
para o estabelecimento de modelos de análise e avaliação de riscos.
É possível encontrar nessas normas um diagrama que ilustre o processo de gestão dos riscos à 
segurança da informação, com todas as atividades relevantes e suas descrições, destinado às organizações 
que buscam a certificação ISO 27001, ressaltando que a metodologia precisa estar claramente 
documentada ou constar do acervo de informações sobre possíveis softwares de gestão e análise de 
riscos utilizados por ela.
Segundo Bastos e Caubit (2009), a atividade de identificação de riscos é composta de quatro 
momentos, a saber:
• Identificar os ativos sob o escopo do SGSI e seus proprietários, levantando inventário de ativos de 
informação completo que deverá ser mantido atualizado.
37
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• Identificar as ameaças que circulam nesses ativos, levando em consideração os cenários ambientais 
do escopo e os fatores que permeiam a localização física e lógica, diante dos processos de 
negócios e pessoas que trabalham sob o escopo, bem como as tecnologias utilizadas, levando em 
consideração a adequação desses dispositivos ao nível de proteção exigida por requisitos legais, 
contratuais, estatutários e do mercado onde o negócio atua.
• Identificar as vulnerabilidades desses ativos, sempre levando em consideração que as 
vulnerabilidades podem ser invisíveis àqueles ou viciadas em problemas cotidianos, com a visão 
limitada da importância do ativo para organização.
• Identificar os impactos que a perda de confidencialidade, integridade e disponibilidade dos 
ativos pode causar à organização. Essa tarefa deve ser realizada em conjunto com os gestores 
e analistas especialistas, principalmente os envolvidos nos processos críticos. Ressaltando que 
muitos gestores, quando solicitados a avaliar o impacto da perda de alguma informação ou da 
sua indisponibilidade, sempre dizem que esse tipo de evento é impossível de ocorrer. Estão se 
referindo à probabilidade nesse momento, e não ao impacto do evento.
Segundo Bastos e Caubit (2009), na atividade de análise/avaliação, os riscos são identificados, 
investigados e estimados com o objetivo de tomar decisões sobre a melhor forma de tratamento. É por 
meio da análise e avaliação de riscos que se entende melhor os riscos existentes no escopo analisado e 
se avalia de que forma os riscos serão transportados em níveis aceitáveis. Lembrando que esse nível deve 
estar em conformidade com os critérios de riscos estabelecidos pela alta direção.
Segundo a norma ISO/IEC 27005, a avaliação dos riscos compreende a análise e a valoração dos 
riscos. Segundo Bastos e Caubit (2009), o detalhamento e a análise dos riscos consistem na identificação 
e na estimativa dos riscos. Os resultados das avaliações ajudarão a:
• Determinar e direcionar ações estratégicas, táticas e operacionais, além de definir as prioridades 
para um gerenciamento dos riscos da segurança da informação.
• Selecionar controles a serem implementados para a proteger os ativos de informação contra os 
riscos identificados.
É importante realizar revisões programadas dos riscos à segurança da informação e dos controles 
implementados para:
• considerar as mudanças nos requisitos de negócio e suas priorizações;
• considerar novas ameaças e vulnerabilidades;
• confirmar se controles permanecem eficientes e adequados ao escopo.
Para a definição dos requisitos é necessário utilizar três fontes de informações que darão auxílio no 
estabelecimento dos requisitos de segurança para o SGSI, que são:
38
Unidade I
• Avaliação/análise de riscos: são identificadas as ameaças aos ativos de informação e são avaliadas 
a vulnerabilidade e as probabilidades de ocorrência, bem como o possível impacto potencial.
• Requisitos legais: verificar a legislação vigente nacional e internacional, os estatutos, a 
regulamentação e as cláusulas contratuais às quais a organização, seus parceiros, contratados e 
prestadores de serviço têm de obrigatoriamente atender.
• Requisitos do negócio: conjunto particular de princípios, objetivos e requisitos para o processamento 
da informação