Aula 3

Prévia do material em texto

Estrutura de uma política de 
segurança de informação
Apresentação
Para tudo o que é feito diariamente, exige-se um script, regra a ser seguida. Dentro das 
corporações, a necessidade de os usuários seguirem determinado script de boas práticas é 
fundamental. Este entra em um manual de políticas de segurança da informação e indicará formas 
seguras de lidar com informações, sem que vulnerabilidades sejam encontradas.
Nesta Unidade de Aprendizagem, você vai compreender o que é uma política de segurança da 
informação e sua importância, bem como sua composição básica e modelos predefinidos.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Descrever o que é uma política de segurança de informação (PSI) e sua importância.•
Explicar a composição básica de uma política de segurança da informação.•
Definir modelos predefinidos para uma PSI.•
Desafio
A política de segurança da informação (PSI) é um documento que deve conter conjunto de normas, 
métodos e procedimentos o qual deve ser comunicado a todos os funcionários.
Considerando isso, para este Desafio, imagine que você é funcionário de TI, de certa empresa X.
 
Então, foi chamado para indicar o que poderia ser feito a fim de que as atitudes dos colaboradores 
fossem restringidas. Afinal, verificou-se, também, que inúmeros malwares e spywares foram 
baixados a partir das ações realizadas. Portanto, indique quais serão suas ações a fim de evitar que 
continuem sendo efetivadas tais práticas. 
Infográfico
Ser apenas profissional da área de TI não é o suficiente para desenvolver uma política de segurança 
da informação. É preciso saber o que é PSI, como desenvolver e por onde começar.
Na elaboração de uma PSI, deve-se levar em consideração a NBR ISO/IEC 27001:2005, norma em 
que são encontradas as melhores práticas a fim de iniciar, implementar, manter e melhorar a gestão 
de segurança da informação nas organizações.
Desenvolver um manual de política de segurança da informação pode gerar dúvidas no caso de 
quem nunca o fez. Por isso, você verá algumas dicas sobre como iniciar esse material. Após, você 
até vai perceber que outros tópicos podem ser criados conforme a necessidade de cada empresa.
Confira no Infográfico.
Aponte a câmera para o 
código e acesse o link do 
conteúdo ou clique no 
código para acessar.
https://statics-marketplace.plataforma.grupoa.education/sagah/b3d61bdc-9c13-4560-8fce-a9dcc47af723/96bb5baf-d93a-4f29-a082-dbd390483944.png
As políticas de segurança da informação (PSI) são documentos estratégicos que definem as regras a 
serem observadas durante o uso da informação de determinada organização com objetivo de 
resguardar os pilares básicos da segurança da informação (confidencialidade, integridade e 
disponibilidade). Neste vídeo, você vai conhecer a estrutura de uma PSI e dicas de como criá-la.
 
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
 
https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/5b22424c3f29909bd43f30171d5f0100
Conteúdo do livro
Para assegurar que bons costumes sejam utilizados dentro da empresa em relação à segurança da 
informação, é imprescindível que haja um manual que indique quais são os bons hábitos a serem 
seguidos.
No capítulo Estrutura de uma política de segurança de informação, da obra Segurança de sistemas da 
informação, você vai entender o que é a política de segurança da informação, como é composta e os 
modelos predefinidos existentes.
Boa leitura.
SEGURANÇA DE 
SISTEMAS DA 
INFORMAÇÃO
Andressa Dellay Agra
Estrutura de uma política 
de segurança de informação
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Descrever o que é uma política de segurança de informação (PSI) e 
sua importância.
  Explicar a composição básica para uma PSI.
  Definir modelos predefinidos para uma PSI.
Introdução
A segurança da informação está diretamente relacionada à proteção 
de um conjunto de informações, cuja necessidade de investimento não 
para de crescer.
Para manter bons costumes e regras dentro de corporações, com a 
finalidade de manter seguras todas as suas informações, é preciso criar 
um manual de regras o qual usuários possam seguir. Esse manual contém 
o que chamamos de política de segurança da informação.
Conceito de PSI e sua importância
A política de segurança da informação impõe restrições sobre quais ações ou 
sujeitos em um sistema pode-se fazer a respeito de objetos desse sistema, a 
fi m de atingir objetivos específi cos de segurança.
A política de segurança da informação (PSI) é um documento que 
deve conter um conjunto de normas, métodos e procedimentos, comunicado 
a todos os funcionários, bem como analisado e revisado criticamente, em 
intervalos regulares ou quando de eventuais mudanças. E é o sistema de gestão 
de segurança da informação (SGSI) que garantirá a viabilidade e o uso dos 
ativos somente por pessoas autorizadas e que realmente necessitam delas para 
realizar suas funções dentro da empresa (FONTES, 2008).
Para elaborar uma PSI, deve-se levar em consideração a NBR ISO/IEC 
27001:2005, uma norma de códigos de práticas para a gestão de segurança da 
informação, na qual podem ser encontradas as melhores práticas para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em 
uma organização.
A ISO 27001 é uma norma de gestão que define os requisitos para a empresa ter e 
administrar um SGSI certificado. Ela considera os ativos da companhia e as necessidades 
da área de negócio para definir a melhor maneira de administrar o sistema. Com 
isso, todas as responsabilidades são definidas e os objetivos estabelecidos, medidos, 
analisados e auditados internamente.
Entre seus benefícios, estão:
  redução de risco de responsabilidade pela não implementação ou determinação 
de políticas e procedimentos;
  oportunidade de identificar e corrigir pontos fracos;
  a segurança da informação passa a ser responsabilidade da alta gestão da companhia;
  permite uma revisão independente do sistema de gestão da segurança da 
informação;
  garante maior confiabilidade aos parceiros e clientes;
  aumenta a conscientização interna sobre segurança;
  combina recursos com outros sistemas de gestão;
  possibilita medir o sucesso do sistema.
Fonte: Costa (2017, documento on-line).
Basicamente, a PSI é um manual de procedimentos que descreve como os 
recursos de tecnologia da informação (TI) da empresa devem ser protegidos 
e utilizados, representando o pilar da eficácia da segurança da informação. Se 
não existirem regras preestabelecidas, a segurança desejada torna-se inconsis-
tente e inúmeras vulnerabilidades podem surgir. A política tende a estabelecer 
regras e normas de conduta com o objetivo de diminuir a probabilidade da 
ocorrência de incidentes que provoquem a indisponibilidade do serviço, furto 
ou até mesmo a perda de informações. Em geral, as políticas de segurança são 
construídas a partir das necessidades do negócio e eventualmente aperfeiçoadas 
pela experiência do gestor.
Segundo Freitas e Araujo (2008), o intervalo médio utilizado para a revisão 
da política é de 6 meses a 1 ano, porém deve-se realizar uma revisão sempre 
Estrutura de uma política de segurança de informação2
que forem identificados fatos novos, não previstos na versão atual capazes de 
impactar na segurança das informações da organização.
A PSI deve estabelecer como serão acessadas as informações de todas as 
formas possíveis. A política deve especificar os mecanismos pelos quais esses 
requisitos podem ser alocados.
Tem como objetivo manter os pilares da segurança da informação, como:
  confidencialidade — segundo a NBR ISSO/IED 27002:2005, é a ga-
rantia de que a informação é acessível somente para pessoas autorizadas 
a terem acesso;
  integridade — segundo Dantas (2011), a garantia da integridade consiste 
em permitir que a informação não sejamodificada ou destruída sem 
autorização, seja legítima e permaneça persistente;
  disponibilidade — segundo a NBR ISSO/IED 27002:2005, trata-se da 
garantia de que os usuários autorizados obtenham acesso à informação 
e aos ativos correspondentes sempre que necessário.
A ISO 27002 estabelece um código de melhores práticas para apoiar a implantação do 
SGSI nas organizações e tem como objetivo estabelecer diretrizes e princípios gerais 
para iniciar, implementar, manter e melhorar a gestão de segurança da informação 
em uma organização.
A ISO/IEC 27002 funciona como um guia completo de implementação, em que 
descreve como os controles devem ser estabelecidos. Tem como base uma avaliação 
dos riscos dos ativos mais importantes da empresa.
São benefícios da aplicação da norma:
  maior controle de ativos e informações estratégicas;
  identificação e correção de pontos fracos do sistema;
  diferencial competitivo para clientes que valorizam a conformidade com normas 
internacionais;
  melhor organização dos processos;
  redução de custos com a prevenção de incidentes de segurança da informação;
  conformidade com a legislação e outras regulamentações.
Fonte: Costa (2017, documento on-line).
3Estrutura de uma política de segurança de informação
Composição básica daa PSI
Conforme Campos (2007), “[...] atualmente, a PSI é adotada em grande parte 
das organizações em todo o mundo, inclusive no Brasil. Mesmo aquelas 
empresas que ainda não têm uma política efetiva reconhecem a necessidade 
de elaborar e implementar uma”. 
Um componente importante de um framework consiste em permitir que 
projetistas definam uma política de segurança, um conjunto de regras bem 
definidas que incluem os seguintes componentes:
  sujeitos — os agentes que interagem com o sistema, que podem ser 
definidos em termos de indivíduos específicos ou de papéis ou cate-
gorias que grupos de indivíduos consigam representar dentro de uma 
organização. Indivíduos podem ser identificados por seus nomes ou 
cargos, como presidente, diretor ou gerente. Grupos podem ser definidos 
usando termos como usuários, administradores, professores, diretores 
e gerentes. Essa categoria também inclui atacantes e visitantes;
  objetos — os recursos de informação e computacionais que uma política 
de segurança deve proteger e administrar. Exemplos de informação 
incluem documentos críticos, arquivos e bancos de dados, e recursos 
computacionais servidores, estações de trabalho e software;
  ações — as coisas que os sujeitos podem ou não fazer com relação aos 
objetos. Exemplos incluem leitura e escrita de documentos, atualização 
de software em um servidor web e acesso aos conteúdos de um banco 
de dados;
  permissões — mapeamentos entre sujeitos, ações e objetos, que esta-
belecem claramente quais tipos de ações são permitidas ou proibidas;
  proteções — as características específicas de segurança ou regras 
incluídas na política para ajudar a atingir determinados objetivos de 
segurança, como confidencialidade, integridade, disponibilidade ou 
anonimato.
Alguns autores da área de segurança da informação, como Freitas e Araujo 
(2008), defendem que se deva formar um comitê de segurança da informação, 
constituído por profissionais de diversos departamentos, como informática, 
jurídico, engenharia, infraestrutura, recursos humanos, etc. No caso, o comitê 
deve ser responsável por divulgar e estabelecer os procedimentos de segurança, 
reunindo-se periodicamente com o objetivo de manter a segurança em todas 
as áreas da organização.
Estrutura de uma política de segurança de informação4
A política deve ser escrita de maneira que todos possam entendê-la, desde 
uma pessoa mais leiga até um profissional da área específica. Todos os cola-
boradores precisam receber treinamentos adequados.
Conforme Fontes, para elaborar uma política de segurança e seus regula-
mentos complementares, devemos considerar as seguintes etapas.
  Inicialização do projeto — nessa etapa, descreve-se o projeto e justifica-
-se e declara-se o seu objetivo. Depois, é preciso definir o escopo do 
projeto, limitado em relação à abrangência dos documentos gerados 
e/ou em relação ao detalhamento do texto destes documentos. Nesta 
etapa, é importante que sejam registradas as restrições, isto é, os fatores 
que podem impactar o projeto e impedir a construção do produto final. 
  Definição das premissas assumidas pelo projeto — premissas são fa-
tos, situações ou compromissos tomados como existentes, isto é, que 
acontecerão.
  Desenvolvimento do projeto — deve-se realizar um levantamento do 
que existe na organização ou no grupo de organizações em relação ao 
tema trabalhado para a definição dos regulamentos.
  Desenvolvimento dos regulamentos — com base nos levantamentos e 
nas reuniões de trabalho, o gestor da segurança da informação precisa 
desenvolver os regulamentos. Após a escrita do texto inicial, é necessário 
e conveniente que os participantes das reuniões de trabalho o revisem, 
considerando cada documento. Essa etapa poderá significar não apenas 
uma revisão, mas também várias revisões e novas reuniões de trabalho.
  Concordância dos documentos — todos os documentos gerados devem 
estar em conformidade com o padrão dos documentos de regulamen-
tação da organização. Caso a organização não tenha um padrão, o 
profissional da área de segurança da informação, deverá definir um 
padrão para as políticas e normas de segurança da informação.
  Entrega, comunicação e treinamento do produto — é necessário realizar 
formalmente a entrega do projeto, pois, para regras que legislarão in-
ternamente a organização, é importante a data da implantação de cada 
um dos regulamentos. A partir da data de entrega, as regras valerão 
para todos os usuários da informação da organização. Além disso, é 
necessário que todos saibam das novas regras, incluindo um treinamento 
para repassar as regras.
  Definição dos processos de manutenção e atualização — nessa etapa, 
define-se como acontecerão a manutenção e a atualização das políticas 
e normas de segurança da informação. É necessária uma documentação 
5Estrutura de uma política de segurança de informação
mais detalhada, indicando quem é o responsável pela atualização e em 
que situações específicas deve acontecer uma manutenção. Definidos 
os processos de manutenção e atualização das políticas e das normas de 
segurança da informação, esse projeto pode se encerrar. Evidentemente, 
nesse momento, um novo projeto contínuo começará: o de atualização 
e manutenção dos regulamentos. 
Ainda, segundo Fontes, deve haver alguns blocos de informações com o 
objetivo de melhorar o entendimento da PSI (Figura 1), conforme descrito a 
seguir.
Figura 1. Estrutura de um documento de regulamento em segurança da informação.
Fonte: Fontes (2012).
Escopo
Regras
Responsabilidade
Cumprimento
Definições/glossário
Objetivo/justificativa
  Objetivo do documento — nesse bloco, indicam-se o objetivo do do-
cumento, o que é o documento e o que a organização deseja comunicar 
com esse documento. Além disso, devem ser alinhadas e indicadas a 
aderência desse documento a outros regulamentos, legislação, normas 
e estruturas de tratamento de informações e projetos. Pode-se, também, 
indicar as razões da existência da política ou da norma.
  Escopo do documento — nesse bloco, deve-se indicar os ambientes 
físicos, os ambientes lógicos, os tipos de usuários, as regiões geográficas 
ou outras definições que indicam os limites da aplicação do documento 
e das regras. Esse bloco aponta para quem e para quais ambientes 
organizacionais as regras serão aplicadas e exigidas.
  Definições ou glossário — nesse bloco, deverão estar definidos os 
termos específicos, as abreviaturas, os termos técnicos, os nomes-siglas 
Estrutura de uma política de segurança de informação6
de entidades e áreas organizacionais, etc. No caso de nomenclaturas que 
não sejam de uso comum em vários níveis de usuários, deve haver uma 
explicação paraque todos, inclusive os leigos, consigam compreendê-las.
  Regras — nesse bloco, teremos as orientações, as regras e a organiza-
ção deseja que todos os usuários cumpram. Esse bloco é considerado 
a essência do documento. Aqui, a organização indicará o que deve ser 
feito, o que é obrigatório, o que não se pode fazer e os princípios que 
se deseja seguir. O importante é que as regras não deixem dúvidas 
para os usuários.
  Responsabilidades — nesse bloco, devem ser definidas as respon-
sabilidades referentes ao documento, ou seja, indicar o responsável 
pela atualização, a revisão e a manutenção do texto do regulamento; 
pelo treinamento necessário para que os usuários consigam cumprir o 
regulamento; pela divulgação do texto para os usuários; e por outras 
ações necessárias para garantir que o documento será sempre verdadeiro, 
atualizado, passível de cumprir e de conhecimento de todos.
  Cumprimento — nesse bloco, devem estar explícitas as possíveis 
penalidades caso o usuário não cumpra adequadamente as regras des-
critas no regulamento. É preciso, também, indicar o procedimento do 
usuário em caso de erro, dúvidas ou em situações que não estejam 
previstas no documento.
Modelos predefinidos para uma PSI
Segundo Goodrich e Tamassia (2013), um modelo de segurança consiste em 
uma abstração que fornece uma linguagem conceitual para administradores 
especifi carem políticas de segurança. Geralmente, modelos de segurança de-
fi nem possíveis hierarquias de acesso ou direito de modifi cação dos membros 
de uma organização, de modo que sujeitos em uma organização consigam 
facilmente receber direitos específi cos com base na posição desses direitos 
na hierarquia.
7Estrutura de uma política de segurança de informação
Podemos citar como exemplo de direitos específicos com base na posição de direi-
tos e hierarquias as classificações militares de direitos de acesso para documentos, 
fundamentando-se em conceitos como “não confidencial”, “confidencial”, “secreto” 
e “altamente secreto”.
As abstrações do exemplo fornecem aos escritores uma notação abreviada 
para definir direitos de acesso. Sem elas, políticas de segurança seriam muito 
longas. É muito comum, por exemplo, que um gerente tenha todos os mesmos 
direitos de acesso que seus colaboradores e mais alguns. Uma PSI poderia 
descrever isso com detalhes ou simplesmente definir os direitos de um gerente 
em termos de um modelo de segurança que automaticamente inclui os direitos 
dos subordinados em uma lista de gerentes usando uma hierarquia.
Controle de acesso arbitrário e obrigatório
Dois modelos de controle de acesso mais usados são os de controle de acesso 
arbitrário e obrigatório.
O controle de acesso arbitrário (DAC) refere-se a um esquema em que os 
usuários recebem a capacidade de determinar as permissões que governam 
o acesso a seus próprios arquivos. Em geral, usa os conceitos de usuários e 
de grupos e permite que usuários estabeleçam medidas de controle de acesso 
em termos dessas categorias. Além disso, possibilita que um usuário conceda 
a outros o mesmo privilégio sobre recursos. A maioria dos softwares adota 
alguma variante do esquema DAC para controle de acesso a seus recursos.
Tanto o sistema operacional Linux quanto o Windows possibilitam que o usuário 
especifique permissões de arquivo e diretório por meio de listas de controle de acesso. 
Essas permissões afetam os direitos que outros usuários têm em relação a esses arquivos.
Estrutura de uma política de segurança de informação8
O controle de acesso obrigatório é um esquema mais restritivo, que não 
possibilita que um usuário defina permissões sobre arquivos, qualquer que 
seja o proprietário. Nesse caso, as decisões são tomadas por um administrador 
central de política. Cada regra de segurança consiste em: um sujeito, que 
representa a parte que tenta obter acesso; um objeto, que se refere ao recurso 
sendo acessado; e uma série de permissões que definem a extensão em que 
esse recurso pode ser acessado.
O Security-Enhanced Linux (SELinux) incorpora controle de acesso obrigatório como 
um meio de definir explicitamente as permissões para minimizar problemas de abuso 
e configuração inadequada. Modelos de controle de acesso obrigatório tentam evitar 
a transferência de informação não permitida pelas regras.
Gerência de confiança 
Um sistema de gerenciamento de confi ança é um framework formal para 
especifi car uma política de segurança em uma linguagem precisa, com um 
mecanismo para assegurar o cumprimento da política especifi cada. Portanto, 
consiste em dois componentes principais: uma linguagem de política e um 
verifi cador de conformidade. Essa linguagem e os componentes de conformi-
dade geralmente envolvem regras que descrevem quatro conceitos:
KeyNote
O sistema KeyNote é uma linguagem que especifi ca termos de política de 
segurança da informação. Além de implementar os termos defi nidos, defi ne 
uma aplicação como um programa ou sistemas que usam KeyNote. Um valor 
de conformidade política (PCV) refere-se à resposta emitida pelo sistema em 
questão. Para a requisição de um principal para realizar alguma ação, indica 
se a ação requisitada está de acordo com as políticas existentes. 
Para usar o KeyNote, uma aplicação consulta o sistema quando um prin-
cipal requisita uma ação, incluindo na consulta as políticas adequadas e as 
credenciais. A ação é descrita usando um conjunto de pares atributo-valor, 
9Estrutura de uma política de segurança de informação
conhecidos como conjuntos de atributos da ação que ilustra as implicações de 
segurança dessa ação. Então, o KeyNote responde com um PCV indicando se a 
ação deve ser permitida ou não, e a aplicação se comporta de acordo com essa 
questão. Em suma, o KeyNote interpreta se uma dada ação deve ser permitida 
ou não de acordo com as políticas fornecidas, sendo de responsabilidade da 
aplicação invocar um KeyNote adequadamente e interpretar corretamente suas 
respostas. A seguir, veja um exemplo de sistema de gerência de confiança.
Alice tem credenciais válidas suficientes para a ação requisitada, em relação às políticas 
especificadas, mas Bob não (Figura 2).
Figura 2. Sistema de gerência de confiança.
Fonte: Goodrich e Tamassia (2013).
Principais
Verificador de
 conformidade
Credenciais
Bob
Alice
Ações
Ler
Escrever
Executar
Delegar
Transacionar
Reportar
Divulgar
...
Políticas
Estrutura de uma política de segurança de informação10
XACML
A linguagem XACML (Extensible Access Control Markup Language) foi 
divulgada em 2009. A XACML alavanca a linguagem XML (Extensible 
Markup Language) para defi nir políticas de segurança descrevendo como 
estas devem ser cumpridas. Assim como o KeyNote, XACML inclui todas as 
características tradicionais de gerência de confi ança: um principal é chamado 
de sujeito, o qual pode requisitar a realização de ações sobre um recurso. 
Um ponto de administração de política gerencia políticas de segurança; um 
ponto de decisão de política é responsável pela emissão de autorizações, de 
forma análoga à de emissão de PCV em KeyNote; um ponto de cumprimento 
de política requisita acesso como representando de um principal e se comporta 
de acordo com a resposta PDP; e um ponto de informação de política fornece 
informação adicional relacionada à segurança. A XACML também inclui uma 
abordagem para delegação que permite às partes conceder direitos a outras partes 
sem um administrador central de política. Isso é possível porque os direitos de 
delegar privilégios são mantidos independentemente dos direitos de acesso.
CAMPOS, A. Sistemas de segurança da informação. 2. ed. Florianópolis: Visual Books, 2007.
COSTA, S. O que são ISO 27001 e 27002 e como elas podem ajudar a sua empresa? Any 
Consulting, 2 mar. 2017. Disponível em: <https://www.anyconsulting.com.br/o-que-
sao-iso-27001-e-iso-27002/>. Acesso em: 30 nov. 2018.
DANTAS, M. Segurança da informação: uma abordagem focada em gestão de riscos. 
Olinda: Livro Rápido, 2011.
FONTES, E. Políticas enormas para segurança da informação. Rio de Janeiro: Brasport, 2012.
FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.
FREITAS, F.; ARAUJO, M. Políticas de segurança da informação: guia prático para elaboração 
e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2008.
GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto Alegre: 
Bookman, 2013.
Leitura recomendada
OLIVEIRA, W. J. Dossiê hacker. São Paulo: Digerati Books, 2006. 
11Estrutura de uma política de segurança de informação
Conteúdo:
Dica do professor
Saber como descrever a política de segurança da informação é fundamental. Ela deve ser escrita de 
maneira simples a fim de que todos possam entender o que cada tópico abordado indica.
Na Dica do Professor a seguir, você verá quais são os tópicos que devem ser tratados dentro de um 
manual de PSI.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
https://fast.player.liquidplatform.com/pApiv2/embed/cee29914fad5b594d8f5918df1e801fd/f50304a73e0256aadce4207dfc79390f
Exercícios
1) Conforme Fontes (2008), devem-se considerar algumas etapas para elaborar política de 
segurança. Assinale a alternativa que apresenta tais fases corretamente.
A) Inicialização do projeto; desenvolvimento; comunicação e treinamento do produto; definição 
dos processos de manutenção e atualização.
B) Início do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; 
definição dos processos.
C) Inicialização do projeto; entrega, comunicação e treinamento do produto; definição dos 
processos de manutenção e atualização.
D) Inicialização do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; 
definição dos processos de manutenção e atualização.
E) Inicialização do projeto; desenvolvimento; entrega do produto; definição dos processos de 
manutenção e atualização.
2) Em relação à gerência de confiança, é possível citar conceitos como:
Ações: operações com consequências relacionadas à segurança do sistema.
Política: regras escritas precisamente que determinam as principais autorizadas e quais 
ações realizar.
Quais são os outros dois conceitos que faltam?
A) Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; 
credenciais: documentos assinados digitalmente que associam as identidades principais a 
ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a 
outros principais.
B) Princípios: usuários, processos ou outras entidades que podem realizar ações no sistema; 
credenciais: documentos assinados digitalmente que associam as identidades principais a 
ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a 
outros principais.
C) Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; 
acessibilidade: documentos assinados digitalmente que associam as identidades principais a 
ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a 
outros principais.
D) Principais: documentos assinados digitalmente que associam as identidades principais a ações 
permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros 
principais; credenciais: usuários, processos ou outras entidades que podem realizar ações no 
sistema.
E) Principais: gerentes, processos ou outras entidades que podem realizar ações no sistema; 
credenciais: assinatura virtual que associa as identidades principais a ações permitidas, 
incluindo a autoridade de permitir que principais deleguem autoridade a outros principais.
3) A política de segurança da informação é o pilar da eficácia da segurança da informação. 
Sobre seu conceito, assinale a alternativa correta.
A) A política de segurança da informação é um manual de procedimentos que descreve como os 
recursos de TI da empresa devem manter privilégios e serem utilizados. Se não existirem 
regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras 
vulnerabilidades podem surgir.
B) A política de segurança da informação é basicamente um manual de procedimentos que 
descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se não 
existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras 
vulnerabilidades podem surgir.
C) A política de segurança da informação é apenas um manual de procedimentos que descreve 
como os recursos da empresa devem ser protegidos e utilizados. Se não existirem regras 
preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades 
podem surgir.
D) A política de segurança da informação é basicamente um manual de procedimentos que 
descreve como os recursos de TI da empresa não devem ser protegidos.
E) A política de segurança da informação é basicamente um manual de procedimentos que 
descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se existirem 
regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras 
vulnerabilidades não irão surgir.
4) 
Um sistema de gerenciamento de confiança consiste em dois componentes principais: 
linguagem de política e verificador de conformidade. Assinale a alternativa que melhor 
define o KeyNote.
A) O sistema KeyNote é um software que especifica termos de política de segurança da 
informação. Além de implementar esses itens definidos, também indica uma aplicação como 
sendo programa ou sistema que usa KeyNote.
B) O sistema KeyNote é uma linguagem que especifica termos de TI. Além de implementar os 
termos definidos, também indica uma aplicação como sendo programa ou sistema que usa 
KeyNote.
C) O sistema KeyNote é uma linguagem que especifica termos de política de segurança da 
informação. Além de implementar os termos definidos, também indica uma aplicação como 
sendo programa ou sistema que usa KeyNote.
D) O sistema KeyNote é uma linguagem que especifica apenas termos de política de segurança 
da informação.
E) O sistema KeyNote é um software que implementa os termos de TI e também define uma 
aplicação como sendo programa ou sistema que usa KeyNote.
5) A política de segurança da informação tem como objetivo proteger os pilares da segurança 
da informação. Quais são esses pilares?
A) Seguridade, integridade e disponibilidade.
B) Confidencialidade, integralidade e disponibilidade.
C) Confidencialidade, seguridade e disposição.
D) Confidencialidade, integridade e disposição de arquivos.
E) Confidencialidade, integridade e disponibilidade.
Na prática
Para manter uma empresa a salvo de qualquer intenção negativa vinda de funcionários ou mesmo 
de atitudes que não sejam mal-intencionadas, mas que possam prejudicar a empresa, é preciso 
conscientizar os colaboradores.
A política de segurança de informação consiste em um manual de bons costumes que deve ser 
usado por todos os colaboradores de uma organização. Esse material fará com que se tenha baixa 
taxa de vulnerabilidade na rede e sistema de utilização da empresa e deve ser composto por uma 
série de regras sobre o que fazer e não fazer.
Na Prática, você verá informações sobre o uso de e-mail corporativo, entendendo como deve ser 
empregado adequadamente pelos colaboradores.
Acompanhe a seguir.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
https://statics-marketplace.plataforma.grupoa.education/sagah/7ddda0ed-985e-49b2-a42c-5fd5272ea4a5/1872ef5a-d193-4470-b117-105aef4977e4.png
Saiba +
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:
ISO 27001 em 5 minutos
A ISO 27001 é a norma que define os requisitos para um Sistema de Gestão da Segurança da 
Informação (SGSI). Neste vídeo, você verá mais sobre o assunto.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
ISO 27002 em 5 minutos
A ISO 27002 consiste em código de práticas com conjuntocompleto de controles que auxiliam a 
aplicação do Sistema de Gestão da Segurança da Informação (SGSI). Acesse o vídeo indicado.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
Passo a passo: como fazer uma política de segurança da 
informação para a sua empresa?
No link disponível a seguir, você conhecerá algumas dicas sobre como elaborar uma política de 
segurança da informação.
Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
https://www.youtube.com/embed/68cphWTnsmw
https://www.youtube.com/embed/fa4A-OBe67E
https://www.siteware.com.br/seguranca/politica-de-seguranca-da-informacao-2/