APOSTILA POLITICAS DE SEGURANÇA E CLASS INFO

Prévia do material em texto

Politicas de Segurança e Classificação da Informação 
 
Maria Benedicta Graziella Guimarães 
mbgg1000@gmail.com 
 
Aula: 1 - Compreendendo o porquê da necessidade de uma Politica de 
Segurança da Informação 
 
Desde os anos de 1980 quando chegava silenciosa mas ligeira a revolução da TIC 
(Tecnologia da Informação e Comunicação), iniciando a popularização dos 
computadores pessoais, com os componentes de memória baixando de preço e 
diminuindo de tamanho e com a diversificação de redes de comunicação, um fator 
que não pode deixar de ser observado foi que os negócios passaram a ser 
inteiramente dependentes de sistemas de informação automatizados. Na época, as 
grandes empresas passaram a atuar mais no mundo do negócio da informação que 
nos seus próprios negócios. 
O processamento de sistemas de informação automatizados passou a infiltra-se em 
todos os aspectos das atividades dos negócios, nas grandes empresas e corporações. 
O seu sucesso demandava a coordenação de muitos diferentes profissionais, com 
diferentes perfis especializados além de recursos tecnológicos: de formulários de 
coleta de dados manual até complexos sistemas de alta plataforma para não 
mencionar sofisticados recursos de redes de telecomunicações. 
O alicerce sobre o qual as grandes empresa constroem seus sistemas, assumindo um 
compromisso de qualidade, confiabilidade, integridade, e segurança das informações 
coletadas, processadas, armazenadas e gerenciadas passou a ser questionado pelos 
gestores. 
 
 
 
 
Por outro lado não bastava ter sistemas seguros. Os meios pelos quais as 
informações transitavam na empresa estava vulnerável à fragilidades de 
interceptações indesejadas. Um mero relatório jogado no lixo passou a ser uma 
ameaça. O próprio lixo era uma fonte de informação de uma pessoa, como podemos 
ver no filme sugerido, “Quebra de Sigilo”. 
 
O avanço da tecnologia ajudou em muito as empresas mas por outro lado trouxe uma 
gama de riscos que não estavam previstos. Surge então a necessidade de fazer 
alguma coisa para proteger este que é o maior ativo de uma empresa: a informação. 
Não é uma tarefa das mais fáceis. Como começar a resolver este problema de 
segurança? 
 
Aos poucos foram sendo gerados controles. E quanto mais os controles existiam, 
mais ameaças circundavam o meio eletrônico. Nasce então o conceito de Gestão da 
Segurança da Informação que abrange a criação de processos voltados ao 
monitoramento contínuo da integridade das informações, à prevenção de ataques e 
ao furto dos dados, assegurando em casos emergenciais o pronto restabelecimento 
dos sistemas e o acesso seguro às informações das companhias. 
 
Este sistema de segurança é orientado segundo uma norma internacional sobre 
gestão da segurança: norma ISO/IEC 27001:2013 - Tecnologia da Informação - 
Técnicas de Segurança - Sistemas de Gestão da Segurança da Informação - 
Requisitos, cuja responsabilidade está sob o Comitê Brasileiro sobre as Normas de 
Gestão de Segurança da Informação (série 27000). O grupo é formado por 
especialistas dos países membros que colaboram com a ISO (International 
Organization for Standardization) para o desenvolvimento de padrões internacionais. 
Falaremos sobre esse Comitê na aula 5. 
 
 
 
 
Então perguntamos... se estamos falando de uma norma ISO, a empresa necessita 
certificar-se nessa norma para que possa ter segurança em seus recursos de TI? 
Não... A obrigação não existe mas vamos pensar... Se existem ameaças ao redor dos 
recursos tecnológicos de uma empresa, incluindo suas informações, o que os gestores 
decidiriam sobre a proteção de seus preciosos ativos? A exposição dos mesmos pode 
gerar um impacto tão negativo que a empresa poderia ir à falência. 
 
Além do mais, por questões de custo, uma empresa pode seguir as recomendações 
de uma norma e não certificar-se nela. A certificação em uma norma envolve muitos 
procedimentos e tempo, auditorias externas de qualidade que elevam o custo da 
normatização a um patamar considerado alto. E isso inclui a revalidação da 
certificação de tempos em tempos. 
 
Se você fosse o gestor de uma empresa, o que decidiria? 
Investiria em segurança? Como faria isso? Quais os mecanismos que você adotaria, 
por onde começaria? 
 
Seguindo a norma ISO 27002, as normas para uma gestão da segurança da 
informação eficiente se fundamentam em 10 premissas básicas (macro controles) 
aplicadas em qualquer tipo de organização, sendo elas: 
 
- Política de Segurança da Informação 
- Segurança Organizacional 
- Classificação e controle dos ativos de informação 
- Segurança em pessoas 
- Segurança Física e Ambiental 
- Gerenciamento das operações e comunicações 
- Controle de Acesso 
 
 
 
- Aquisição, Desenvolvimento e Manutenção de Sistemas 
- Gestão da continuidade do negócio e 
- Gestão da Conformidade. 
Essas premissas abrangem o conjunto de melhores práticas a serem seguidas pelas 
empresas tais como: a estruturação do plano diretor de segurança e de contingência; 
a definição da política de segurança da informação; a análise de riscos, 
vulnerabilidades e testes de invasão; a implementação de controles de segurança; 
autenticação e autorização entre outros. 
Toda essa orientação está prevista no Sistema de Gestão da Segurança da 
Informação (SGSI), um conjunto de processos e procedimentos, baseado na 
referida norma ISO, implementado para prover segurança no uso dos ativos 
tecnológicos de uma empresa. Tal sistema deve ser seguido por todos aqueles que se 
relacionam direta ou indiretamente com a infraestrutura de TI da organização. 
Vamos analisar cada uma dessas premissas. 
 
1 - Política de Segurança da Informação 
 
As empresas vem buscando mitigar os riscos inerentes ao processamento de 
informações adotando boas práticas de gerenciamento e elas começam com as 
politicas de segurança de informação. 
 
O que vem a ser uma politica de segurança? 
Políticas de segurança são políticas organizacionais (ou administrativas), de 
cumprimento obrigatório, que tentam homogeneizar o comportamento de todos que 
tem algo a ver com a empresa, os chamados stakeholders ou seja, gestores, 
colaboradores, clientes, fornecedores, visitas, etc. 
 
 
 
 
Se a empresa quer assegurar que determinado ativo tenha um certo controle para 
que sua segurança seja mantida, ela constrói uma política de segurança e assim 
todos agirão conforme os procedimentos daquela política 
 
Um exemplo de politica de segurança aplicada a clientes é o uso de senhas para os 
correntistas de um banco. O uso de senhas assegura que quem está acessando 
determinada conta é quem tem permissão para tanto. Então a empresa (o banco, no 
caso) cria uma politica de segurança de informação dizendo que todos os correntistas 
do banco deverão ter uma senha para acessar os dados de sua conta. 
Uma importante observação é que as politicas são compostas de duas partes 
distintas: a politica em si que diz o que deve ser feito e os procedimentos, que dizem 
como a politica deve ser aplicada. 
Estudaremos como construir uma politica de segurança na aula 4. 
 
2 - Segurança Organizacional 
 
A segurança organizacional preocupa-se com toda a segurança das instalações, dos 
ativos e das pessoas na empresa, colaboradores ou não. Ela provê ações preventivas 
e/ou reativas para assegurar tal estado de segurança sendo que estas ações estão 
refletidas nos planos de contingência, abordados na aula 7. 
 
Pela especificidade do assunto, a segurança organizacional subdivide-se em partes 
especificas tais como segurança de equipamentos, segurança depessoas, segurança 
de dados e registros, segurança física, entre outras. 
 
 
 
 
Podemos resumir que o principal objetivo da segurança organizacional é proteger 
seus ativos e recursos, provendo infraestrutura da segurança da informação, na 
organização. 
 
Uma das formas de garantir a segurança e integridade desses ativos da empresa não 
só das informações mas também das edificações e equipamentos, está em definir 
boas politicas de segurança. Desta forma haverá um comportamento proativo de 
todos no sentido de preservarem o bom andamento da organização e seus serviços. 
 
3 - Classificação e controle dos ativos de informação 
 
O objetivo de classificar e controlar os ativos de informação da organização é manter 
sua proteção adequada. Para tanto, é necessário que os ativos necessários à 
segurança da informação sejam inventariados, tenham um responsável e sejam 
controlados. 
 
A forma como protegemos uma informação depende de seu grau de 
confidencialidade, seu nível de sensibilidade. Informações internas, que só devem 
circular pela empresa terão um nível de controle bem mais brando do que 
informações sigilosas tais como o código de lançamento de um míssil. 
 
Ao definirmos uma politica de segurança devemos atentar que um dos primeiros 
passos é saber a classificação de seus ativos para que possamos definir como a 
organização deseja protege-los. 
 
 
 
 
 
 
 
4 - Segurança em pessoas 
 
Aqui tratamos de pessoas no geral, mas particularmente nos serviços terceirizados. 
O objetivo deste macro controle é reduzir os riscos de erro humano, roubo, fraudes 
diversas ou uso indevido de instalações. 
A organização necessita assegurar que os funcionários, terceirizados e fornecedores 
entendam suas responsabilidades e estejam de acordo com os seus papéis. 
Essas responsabilidades, limites e deveres de pessoas para com a organização em 
relação aos ativos da organização podem e devem estar refletidos nas politicas de 
segurança. 
 
5 - Segurança Física e Ambiental 
 
Algumas áreas na organização possuem controle mais rígido do que outras, tudo 
dependerá do nível de informação ou do ativo que ali residem. Nesta seara não há 
exceção... Um exemplo seria: Somente as pessoas autorizadas devem transitar em 
ambientes críticos (aqueles onde temos informações sensíveis e equipamentos 
imprescindíveis à organização). Não basta ter esta diretriz, controles devem ser 
implementados para assegurar o cumprimento desta orientação. 
 
Assim, deverão ser elaboradas politicas de segurança objetivando prevenir acesso 
não autorizado, dano e interferência às informações e instalações físicas da 
organização. Isto significa que os mecanismos de liberação de autorização e controle 
de acesso serão seguidos. 
 
 
 
 
 
 
 
6 - Gerenciamento das operações e comunicações 
 
Esta premissa existe para assegurar a operação segura e correta de recursos de 
processamento da informação. 
 
O processamento dos dados corporativos pode ser efetuado no CPD (Centro de 
Processamento de Dados, local onde se localizam os computadores da organização) 
como em áreas várias, através de processamentos específicos no nível gerêncial 
(extração de dados de arquivos corporativos e processamento dos dados de cada 
área, em particular). 
 
 Dentro do processamento de sistemas corporativos devemos observar os ambientes 
em que os sistemas são desenvolvidos, testados e processados. Devemos observar a 
segregação de funções (não permitir que uma mesma pessoa elabore um programa e 
o teste, por exemplo). 
 
Temos que gerenciar e controlar os serviços terceirizados, os testes realizados fora 
das dependências da organização e por ai vai... 
Com a pulverização de micro computadores na empresa, a possibilidade de exposição 
de dados confidenciais torna-se maior. Mesmo que sejam dados apenas de leitura, 
sua exposição deve ser controlada. 
 
Como exercer todos esses controles e monitoramento? Uma forma mais eficiente é 
identificar o que queremos proteger e criar politicas de segurança que cubram esses 
ativos. Com isso, o trabalho de controle será mais facilmente elaborado. 
 
Uma medida indicada é, para empresas que lidam com sistemas sensíveis, implantar 
uma área de Auditoria de Sistemas interna. Desta forma os sistemas e o ambiente de 
 
 
 
CPD serão continuamente auditados para verificação de adequação de controles 
internos e conformidade com padrões, normas, leis, metodologia e regulamentos 
vigentes. As grandes corporações possuem esta área pois seus gestores querem ter o 
conforto de saber que seus sistemas estão seguros e que tomam decisões sobre 
dados processados por sistemas confiáveis. 
 
7- Controle de Acesso 
 
A organização necessita controlar o acesso à informação, aos recursos de 
processamento das informações (incluindo o CPD) e aos processos de negócios. 
 Esse controle de acesso abrange o registro de usuários, aos equipamentos e 
sistemas, o gerenciamento de privilégios, a concessão, seleção e uso adequado de 
senhas, o controle de acesso aos sistemas (operacionais e aplicativos) e às redes, o 
controle de uso de computação móvel e dos recursos de trabalho remoto. 
Temos dois tipos de acesso: acesso físico e acesso lógico. 
 
7.1 – Acesso físico 
 
A segurança física pode ser abordada sob duas formas: 
• Segurança ambiental – trata da prevenção de danos por causas naturais 
(incêndios, inundações, terremotos, etc) 
• Segurança de acesso - trata das medidas de proteção contra o acesso físico não 
autorizado como por exemplo vetar a entrada de pessoas não autorizadas no 
CPD. 
 
 A segurança ambiental é comumente tratada no plano de contingência. 
 
 
 
 
Já a segurança de acesso é feita por controle de acesso físico que pode ser realizado 
de algumas maneiras: 
• Através de pessoas : uma recepcionista ou um guarda 
• Através de meios mecânicos: chaves e fechaduras (eletrônicas ou manuais) 
• Através de meios tecnológicos 
 Através de meios tecnológicos podemos ter uma gama de opções: podemos ter 
dispositivos tais como controle de acesso com catracas, leitores de cartões 
magnéticos, bottons de aproximação, controle biométrico. Esses controles podem ser 
online e em tempo real. Podemos criar arquivos históricos contendo a data e hora 
de entrada e saída de todas as pessoas em determinado recinto para uso em 
eventuais situações com suspeitas de fraude 
 
Além dos meios tecnológicos, devemos observar algumas considerações sobre o 
controle de acesso físico: 
 
• Distinguir colaboradores de visitantes, de fornecedores e de terceirizados 
• Solicitar a devolução de bens de propriedade da empresa (crachás, chaves, 
etc), quando o visitante se retira ou quando o funcionário é retirado de suas 
funções. 
• Controle de entrada e saída de materiais, equipamentos, pessoal, etc, 
registrando a data, horários e responsável. 
• Instalar sistemas de proteção e vigilância 24 x 7. 
• Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial, 
vigilância, etc). 
• Orientar os funcionários para que não deixem ligados computadores sem a 
devida supervisão, principalmente no horário das refeições ou quando se 
ausentarem do local de trabalho 
• Instalar mecanismo de log-out nos sistemas da organização 
 
 
 
• Proteger as linhas telefônicas internas e externas com dispositivos contra 
“grampos” 
• Proteger fisicamente as unidades de backup e restringir o acesso a 
computadores e impressoras que possam conter dados confidenciais. 
• Bloquear login e senha de colaboradores desligadosda empresa tão logo esteja 
sendo feito o comunicado de desligamento 
 
7.2 – Acesso lógico. 
O controle de acesso lógico permite que os sistemas de tecnologia da informação 
certifiquem a autenticidade e a identidade dos usuários que tentam acessar seus 
sistemas ou utilizar seus serviços. 
 
Para o controle de acesso lógico podemos usar senha (com nível de alçada ou 
controle de privilégio), contra-senhas, biometria, tokens e assinaturas digitais dentre 
outros. 
 
Uma forma de controlar o acesso lógico ou físico também é manter um arquivo log de 
acessos. Contudo, devemos ter cuidado em não abusar desse mecanismo pois 
excesso de controle degrada o desempenho dos sistemas. 
 
Outra forma de monitoramento é o uso de câmeras de segurança. 
Um sistema em voga, apresentando bons resultados , é o controle por RFID (Radio 
Frequency IDentification). 
 
Qualquer dispositivo que demande manutenção e calibração periódica é passível do 
uso da RFID para controle em batch (offline) ou online do histórico de manutenção 
(maquinas copiadoras, impressoras, elevadores, etc..). Normalmente munidos de 
memória de armazenamento, esses tags (de diversos formatos) são lidos e 
 
 
 
programados por leitores RFID portáteis que podem estar conectados em tempo real 
por meio de GPS ou rede Wi-Fi, ou ainda serem operados em batch (off-line). 
 
Considerações sobre o acesso lógico: 
• Apenas usuários autorizados devem ter acesso aos recursos computacionais. 
• Os usuários devem ter acesso apenas aos recursos realmente necessários para 
a execução de suas tarefas. 
• O acesso aos recursos críticos do sistema deve ser monitorado e restrito. 
• Os usuários não podem executar transações incompatíveis com sua função. 
 
8 – Aquisição, Desenvolvimento e Manutenção de Sistemas 
 
Esta premissa deve garantir que a segurança seja parte integrante dos sistemas de 
informação. Para tanto os sistemas devem ser incrementados com controles 
internos, minimizando (mas não eliminando) os controles manuais. 
 
Devem ser incrementados controles e mecanismos de segurança também para a 
infraestrutura onde os sistemas serão desenvolvidos, testados e processados, tanto 
por colaboradores internos como terceirizados. 
 
A área de negócios deve igualmente ser beneficiada com controles de segurança, pois 
dados referentes aos seus negócios e clientes são gerados em seus computadores 
locais. 
 
Cuidados especiais devem ser tomados quanto à catalogação de programas fontes em 
bibliotecas de produção tanto no upload para bibliotecas de produção como no 
download para bibliotecas de desenvolvimento e teste. 
 
 
 
A metodologia PMBOK (Project Management Body of Knowledge) desenvolvida pelo 
PMI (Project Management Institute) aborda em um capitulo inteiro a situação de 
aquisições. Nesta situação incluimos os softwares. 
 
Alguns cuidados devem ser tomados na aquisição de softwares: 
• Assegurar-se que o custo benefício da aquisição é melhor que o do 
desenvolvimento em casa 
• Assegurar-se da idoneidade do fornecedor 
• Assegurar-se de manutenções no software 
• Obter feedback de clientes dos fornecedores 
• Verificar situação financeira da empresa fornecedora 
• Assegurar-se de participação nos testes do sistema 
• Assegurar-se de participação teste de aceitação 
• Assegurar-se de documentação em nível aceitável 
• Monitorar o desempenho do contrato 
 
9 - Gestão da continuidade do negócio 
 
Há algum tempo atrás, quando eu era gerente de projetos de um grande banco 
comercial no Brasil, perguntei em conversa informal ao diretor da corretora de 
valores mobiliários do grupo como ele faria caso não pudesse entrar no escritório 
para trabalhar (eu trabalhava no Rio e ele em São Paulo). 
 
Bem... na semana seguinte recebemos uma ligação dizendo que o pessoal de um 
dos prédios do banco, exatamente onde funcionava a corretora do valores mobiliários 
do grupo, precisou evacuar o prédio pois havia uma ameaça de bomba. Desceram 
todos, ninguém poderia trabalhar no prédio (realmente houve uma bomba meio 
 
 
 
fraquinha, no banheiro das mulheres). Claro que me lembrei de meu amigo na hora. 
Mas respeitei o momento e me segurei, não ligando para ele. 
 
Na semana seguinte nos encontramos novamente e então perguntei como ele havia 
trabalhado no dia da bomba. Ele calmamente me disse que sem problemas, usou 
uma sala da BOVESPA e tudo fluiu bem. 
 
Claro que para que isso acontecesse ele havia tomado providencias prévias. 
Considerando que os clientes do banco eram pessoas muito ricas, o banco não 
poderia deixar de ter sua corretora funcionado por um dia. Meu amigo percebeu 
como seria desastroso para o banco não ter possibilidades de trabalhar por um dia 
útil. Passou a manter cópia de seus arquivos e programas em casa e conversou com 
diretores da BOVESPA sobre a possibilidade de usar uma sala deles e seus 
equipamentos em cassa de emergência. 
 
Esta situação mostra como pode ser impactante para uma empresa não ter um plano 
de contingência para assegurar a continuidade dos negócios. 
 
Veremos com detalhes como construir um plano de contingência na aula 7. 
 
10 - Gestão da Conformidade 
 
Esta última premissa objetiva garantir conformidade dos sistemas com as leis, 
estatutos, normas e politicas organizacionais, metodologias, regulamentos e padrões 
de segurança e de quaisquer outros requisitos de segurança. 
 
 
 
 
Não devemos infringir nenhuma lei pois estaremos sujeitos à sanções penais e 
multas pecuniárias, além de uma péssima propaganda negativa. A quebra de imagem 
de uma empresa é um dos piores riscos a que a empresa pode expor-se. 
 
Essa conformidade poderá ser verificada por diversas pessoas em diferentes funções 
, conforme a área de aplicação do sistema de informações. O gerente do projeto deve 
elencar os profissionais que verificarão a conformidade do sistema com leis , normas, 
regulamentos, padrões, metodologias. Por exemplo, em um sistema de cobrança o 
gerente de projetos deve solicitar a consultoria de um profissional de contabilidade ou 
do departamento jurídico da empresa, para assegurar que todos os requisitos do 
projeto estão de acordo com as leis vigentes. Um exemplo seria verificar se o 
percentual de multa cobrada por atraso está dentro dos limites legais. 
 
• 
 
Como os sistemas aplicativos da empresa devem estar coerentes com as leis e 
padrões vigentes este fato deve ser verificado pelos auditores de sistemas. Não é 
uma duplicidade de tarefas. Os gerentes de projeto implementam controles internos 
adequados, coerentes com as normas e leis e os auditores de sistema verificam se 
estes controles estão adequados e se a conformidade existe. Mesmo que as 
restrições não sejam referentes aos aspectos de tecnologia da informação, o pessoal 
de tecnologia de informação deve assegurar que a conformidade existe, pois os 
sistemas que manipulam os dados são recursos de tecnologia da informação. 
Uma prática comum a ser adotada e que não está na literatura é observar e respeitar 
as práticas públicas como por exemplo usar três casas decimais em sistemas que 
utilizam moedas estrangeiras. 
 
Se a empresa for certificada em alguma norma ela necessita manter conformidade 
com os requisitos da norma sob a condição de perder a certificação. 
 
 
 
A informação é um recurso fundamental para todas as organizações e a tecnologia 
desempenha um papel significativo desde o momento que a informação é criada até o 
momento em que ela é destruída. A tecnologia da informação está cada vez mais 
avançada, tornando-se disseminada nasorganizações e nos ambientes sociais, 
públicos e corporativos. Como consequência, hoje, mais do que nunca, as 
organizações e seus executivos se esforçam para: 
• Manter informações de alta qualidade para apoiar decisões corporativas. 
• Agregar valor ao negócio a partir dos investimentos em TI, ou seja, atingir os 
objetivos estratégicos e obter benefícios para a organização através da utilização 
eficiente e inovadora de TI. 
• Alcançar excelência operacional por meio da aplicação confiável e eficiente da 
tecnologia. 
• Manter o risco de TI em um nível aceitável. 
• Otimizar o custo da tecnologia e dos serviços de TI. 
• Cumprir as leis, regulamentos, acordos contratuais e políticas pertinentes cada vez 
mais presentes. Durante a última década, o termo ‘governança’ ganhou um lugar de 
destaque no pensamento das organizações em resposta aos exemplos que 
demonstram a importância da boa governança e, do outro lado da balança, aos 
desafios dos negócios globais. 
 
Por tudo o que vimos na aula, podemos concluir que as politicas de segurança 
desempenham um papel fundamental no controle de segurança de uma empresa. É o 
ponto inicial para a implantação e controle de segurança das informações da 
empresa. 
 
Definir uma politica de segurança não significa que a empresa estará eliminando 
riscos, evitando fraudes mas sim que estará uniformizando o comportamento (de 
 
 
 
trabalho) das pessoas e com isso, as chances de os riscos e fraudes ocorrerem são 
minimizadas. 
 
Não apenas por instinto mas conforme apregoa o guia maior de segurança da 
informação que é a família da norma ISO 27000, verificamos que nos seus dez 
controles macro, temos as politicas de segurança como inicio de qualquer medida 
relativa a segurança das informações. 
 
Então, após vermos as principais normas sobre segurança na aula 2, vamos ver 
como construí-las na aula 4. 
 
REFERÊNCIAS 
Auditoria e Análise de Segurança da Informação Segurança Física e Lógica. Prof. José 
Maurício S. Pinheiro - UGB – 2009 - 
https://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_audito
ria_e_analise_de_seguranca_aula_02.pdf 
 
 
 
 
 
 
 
 
 
 
 
 
 
Aula: 2 - INTERPRETANDO AS PRINCIPAIS NORMAS NACIONAIS E 
INTERNACIONAIS UTILIZADAS NA ELABORAÇÃO DA POLITICA DE 
SEGURANÇA DA INFORMAÇÃO 
 
Nada como ver o que já existe sobre o assunto para que possamos nos inspirar. Muita 
gente já pensou e repensou sobre segurança da informação, só verificar as tantas 
normas de segurança existentes, para os mais variados setores da tecnologia da 
informação. O objetivo desta aula é analisarmos e entendermos algumas dessas 
importantes normas. Sabendo o que essas normas buscam poderemos nos preparar 
internamente para evitarmos o desconforto de ameaças acontecendo. Nunca 
poderemos evita-las, mas podemos dificultar sua ocorrência e minimizar seus 
impactos na empresa. Por mais que atualizemos os programas de antivírus e de 
firewalls, mais os hackers e crackers farão por onde invadirem nossos arquivos, sites 
e informações sigilosas ou confidenciais. 
 
Aliada ao conforto de saber que seus dados estão sob condições de armazenamento e 
processamento seguras, os gestores podem contar com a vantagem de que uma 
certificação é uma forma bastante clara de mostrar à sociedade que a empresa 
preocupa-se com a segurança de suas informações e de seus clientes, de tal forma 
que podemos prever que em poucos anos todas as grandes empresas terão aderido 
às normas de segurança e obtido suas certificações. 
 
 
• Familia ISO 27000 
 
A ISO (International Organization dor Standardization) e a IEC ( International 
Electrotechnical Comission) constituem o sistema especializado para padronizações 
 
 
 
mundiais . Os comitês técnicos da ISO e da IEC colaboram em campos de mútuo 
interesse. 
As Normas da família ISO/IEC 27000 estão mostradas abaixo e tratam da Gestão de 
Segurança da Informação, podendo ser utilizadas por qualquer órgão ou entidade da 
Administração Pública Federal, direta e indireta: 
• ISO 27001 – estabelece um Sistema de Gestão de Segurança da Informação. 
• ISO 27002 – é o Código de Práticas para a Gestão da Segurança da 
Informação. 
• ISO 27003 – é o guia de implementação de um sistema de Gestão de 
Segurança da Informação (SGSI). 
• ISO 27004 – incide sobre mecanismos de medição e de relatório de um SGSI. 
• ISO 27005 – descreve a gestão de riscos em Segurança da Informação. 
• ISO 27011 – descreve o guia de gestão de Segurança da Informação para 
organizações de telecomunicações, sendo baseada na 27002. 
Também temos as demais normas da família ISO/IEC 27000, em fase de 
desenvolvimento: 
• A ISO 27007 – será o guia de auditoria de um SGSI. 
• A ISO 27012 – será o guia de Segurança da Informação para o governo 
eletrônico. 
• A ISO 27032 – guiará a cybersegurança. 
• A ISO 27034 – abordará a segurança de aplicações. 
• A ISO 27037 – mostrará técnicas de segurança na gestão de Segurança da 
Informação, setor a setor. 
 
• Breve Histórico da evolução das normas ISO 27000 
Em 1987 o departamento de comércio e indústria do Reino Unido (DTI) criou um 
centro de segurança de informações, o CCSC (Commercial Computer Security Centre) 
 
 
 
que dentre suas atribuições tinha a tarefa de criar uma norma de segurança das 
informações para o Reino Unido. 
O CCSC foi criado considerando duas frentes de atuação: 
• Apoiar fornecedores de produtos de segurança de TI a partir de um conjunto de 
critérios de avaliação e um esquema de certificação 
• Auxiliar os usuários de TI através de um Código de Prática do Usuário (este 
código foi publicado em 1989) 
O código foi aperfeiçoado posteriormente pela comunidade britânica de TI, o que 
resultou no “Código de prática para a gestão da segurança da informação”. Em 1995, 
este código deu origem à BS 7799:1995, parte 1. 
Em abril de 1999, foi publicada a primeira revisão da BS 7799 parte 1 
(BS7799:1999). Em outubro esta norma foi proposta como norma ISO, dando 
origem, em dezembro de 2000, à ISO/IEC 17799:2000. 
Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada 
NBR ISO/IEC 17799:2001. 
A parte 1 da BS7799 era somente um código de prática e não permitia a certificação 
de um sistema gerencial de segurança da informação, conforme esquema de 
certificação de reconhecimento mútuo em âmbito internacional. Esta necessidade foi 
suprida em 5 de setembro de 2002, quando do lançamento da parte 2 (BS 7799-
2:2002). Esta norma está em harmonia com as normas ISO 9001 (sobre gestão de 
processos e melhorias contínuas) e ISO 14001 (sobre sistemas de gerenciamento 
ambientais). 
A BS7799-2:2002 transformou-se na norma ISO/IEC 27001:2005, publicada em 15 
de outubro de 2005. A versão atual é a ISO/IEC 27001:2013. 
A ISO 17799 cobre os mais diversos tópicos da área de segurança, possuindo um 
grande número de controles e requisitos que devem ser atendidos para garantir a 
segurança das informações de uma empresa, de forma que a obtenção da certificação 
 
 
 
pode ser um processo demorado e muito trabalhoso. Esta norma foi substituída pela 
norma ISO/IEC 27002:2007. 
 
• NBR ISO/IEC 27001:2013 
Resumidamente mostraremos quais os principais itens da norma NBR ISO/IEC 
27001:2013 
A visualização de toda a norma está disponível em 
http://www.iso31000qsp.org/2013/11/seguranca-da-informacao-conheca-nova.html 
 
0.1 Geral 
 
A norma ISO 27001:2011 é o padrão e a referência internacional para a gestão da 
segurança da informação e ela provê requisitos para estabelecer, implementar,manter e melhorar continuamente um Sistema de Gestão de Segurança da 
Informação (SGSI). 
 
O SGSI preserva a confidencialidade, integridade e disponibilidade da informação por 
meio da aplicação de um processo de gestão de riscos e fornece confiança para as 
partes interessadas de que os riscos são adequadamente gerenciados. 
 
Um sistema de gestão da segurança da informação deve ser parte e estar integrado 
com os processos da organização e com a estrutura de administração global e que a 
segurança da informação seja considerada no projeto dos processos, sistemas de 
organização e controles, sendo sua implementação feita de acordo com as 
necessidades da empresa. 
 
 
 
1 Escopo 
Esta norma especifica os requisitos para estabelecer, implantar, manter e melhorar 
continuamente um SGSI dentro do contexto da organização. Ela também inclui 
requisitos para avaliação e tratamento de riscos de segurança da informação voltados 
para as necessidades da organização. Os requisitos definidos nesta norma são 
genéricos e são pretendidos para serem aplicáveis a todas as organizações, 
independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos 
requisitos especificados nas seções 4 a 10 não é aceitável quando a organização 
busca conformidade com esta norma. 
2 Referências normativas 
3 Termos e definições 
4 Contexto da organização 
4.1 Entendendo a organização e seu contexto 
4.2 Entendendo as necessidades e as expectativas das partes interessadas. 
4.3 Determinando o escopo do sistema de gestão da segurança da informação 
4.4 Sistema de gestão da segurança da informação 
5 Liderança 
5.1 Liderança e comprometimento 
5.2 Política de segurança da informação 
5.3 Autoridades, responsabilidades e papéis organizacionais 
6 Planejamento 
6.1 Ações para contemplar riscos e oportunidades 
 
 
 
6.1.1 Geral 
6.1.2 Avaliação do risco de segurança da informação 
6.1.3 Tratamento de riscos de segurança da informação 
6.2 Objetivo de segurança da informação e planos para alcança-los 
7 Apoio 
7.1 Recursos (para o SGSI) 
7.2 Competência 
7.3 Conscientização 
7.4 Comunicação 
7.5 Informação documentada 
7.5.1 Geral 
7.5.2 Criando e atualizando 
7.5.3 Controle da informação documentada 
8 Operação 
8.1 Planejamento operacional e controle 
8.2 Avaliação de riscos de segurança da informação 
8.3 Tratamento de riscos de segurança da informação 
 
9 Avaliação do desempenho 
 
 
 
9.1 Monitoramento, medição, análise e avaliação 
9.2 Auditoria interna 
9.3 Análise crítica pela direção 
10 Melhoria 
10.1 Não conformidade e ação corretiva 
10.2 Melhoria contínua 
A norma possui um anexo (Anexo A) que é a referência aos controles e objetivos de 
controles. Eles são derivados e estão alinhados com os controles e objetivos dos 
controles listados na ABNT NBR ISO/IEC 27002:2013. 
 
• NBR ISO/IEC 27002:2013 
 
NBR ISO/IEC 27002:2013 - Tecnologia da informação — Técnicas de segurança — 
Código de prática para controles de segurança da informação, publicada em 
08/12/20113 
A visualização de toda a norma pode ser vista em 
http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27002-2013.pdf 
Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e 
normas de segurança da informação para as organizações, incluindo a seleção, a 
implementação e o gerenciamento de controles, levando em consideração os 
ambientes de risco da segurança da informação da organização. Ela contém 14 
seções de controles de segurança da informação, 35 Objetivos de controles e 114 
controles. 
 
 
 
Para a parte que nos interessa, a numeração dessas seções se inicia no número 5 (há 
outros aspectos descritos nas seções anteriores que podem ser vistos na integra da 
norma). 
Seção 5 – Política de Segurança da Informação 
A organização deve cuidar de suas informações no que diz respeito à 
confidencialidade, integridade e disponibilidade das mesmas, de acordo com os 
requisitos do negócio e com as leis e regulamentações relevantes. 
Para tanto, deve ser criado um documento que contém a política de segurança da 
informação da organização contendo entre outros, os conceitos de segurança da 
informação, o comprometimento da direção com a política, uma estrutura para 
estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação 
e gerenciamento de riscos. Essa política deve ser comunicada a todos, bem como 
analisada e revisada criticamente, em intervalos regulares ou quando mudanças se 
fizerem necessárias aliado ao fato de que elas devem ser analisadas criticamente a 
intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a 
sua contínua pertinência, adequação e eficácia. 
 
Seção 6 – Organizando a Segurança da Informação 
 
Tem como objetivo estabelecer uma estrutura de gerenciamento para iniciar e 
controlar a implementação da segurança da informação dentro da organização. 
Para isso, as atividades de segurança da informação devem ser coordenadas por 
representantes de diversas partes da organização, com funções e papéis relevantes, 
respeitando a segregação de funções. 
É aconselhável que a organização tenha procedimentos implementados que 
especifiquem quando e quais autoridades (por exemplo, obrigações legais, corpo de 
bombeiros, autoridades fiscalizadoras, entidades regulatórias) serão contatadas e 
 
 
 
como os incidentes de segurança da informação identificados serão reportados em 
tempo hábil (por exemplo, no caso de suspeita de que a lei foi violada). 
A norma também aconselha que contatos apropriados com grupos especiais, 
associações profissionais ou outros fóruns especializados em segurança da informação 
sejam mantidos. 
Temos que nos preocupar com as informações processadas por dispositivos móveis e 
trabalho remoto criando uma política e medidas que apoiam a segurança da 
informação para gerenciar os riscos decorrentes do uso de dispositivos móveis bem 
uma política e medidas que apoiam a segurança da informação para proteger as 
informações acessadas, processadas ou armazenadas em locais de trabalho remoto. 
 
Seção 7 - Segurança em recursos humanos 
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e 
terceiros, é importante que cada um deles entenda suas responsabilidades e esteja 
de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os 
termos e condições de contratação devem ser explícitos, especialmente no que tange 
às responsabilidades de segurança da informação. É importante também que 
quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar 
com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, 
fraude ou mau uso dos recursos. 
Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem 
trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à 
segurança da informação, bem como de suas responsabilidades e obrigações, de tal 
maneira que estejam preparados para apoiar a política de segurança da informação 
da organização. Eles também devem ser educados e treinados nos procedimentos de 
segurança da informação e no uso correto dos recursos de processamento da 
informação. É fundamental ainda que um processo disciplinar formal seja estabelecido 
para tratar das violações da segurança da informação. 
 
 
 
No momento em que ocorrer o encerramento ou uma mudança na contratação os 
acessos homologados deverão ser cancelados. 
 
Seção 8 – Gestão de Ativos 
Ativo, de acordo com a norma,“é qualquer coisa que tenha valor para a 
organização”. Gestão de Ativos, portanto, significa proteger e manter os ativos da 
organização. Para tanto, devemos identificar os ativos da organização, seus 
proprietários e definir as responsabilidades apropriadas para a sua proteção, seguido 
do levantamento e manutenção de um inventário de ativos. 
 
Neste contexto fazemos a classificação da informação para sabermos o nível de 
segurança que ela deverá possuir conforme sua importância para a organização, 
devemos preparar um conjunto apropriado de procedimentos para rotular e tratar a 
informação de acordo com o esquema de classificação da informação adotado pela 
organização. Não podemos nos esquecer das mídias removíveis, preparando o seu 
gerenciamento de acordo com o esquema de classificação adotado pela organização, 
procedimentos para que as mídias sejam descartadas de forma segura, quando não 
forem mais necessárias, bem como procedimentos para que o transporte de mídias 
seja seguro, protegendo-as contra acesso não autorizado, uso impróprio ou 
corrupção, durante o transporte. 
 
Seção 9 - Controle de acesso 
O Objetivo desta seção é falar sobre como limitar o acesso à informação e aos 
recursos de processamento da informação às pessoas autorizadas. 
Para tanto devemos providenciar políticas de controle de acesso e de acesso às redes 
e aos serviços de rede através de gerenciamento de acesso do usuário, criando 
 
 
 
procedimentos para tornar os usuários responsáveis pela proteção das suas 
informações de autenticação. 
Devemos prevenir o acesso não autorizado aos sistemas e aplicações através de 
políticas de controle de acesso (lógico e físico) 
Seção 10 - Criptografia 
A criptografia tem por finalidade proteger a confidencialidade, autenticidade e/ou a 
integridade da informação. Para que seu uso seja adequado, devemos desenvolver e 
implementar uma política para o uso de controles criptográficos para a proteção da 
informação. 
 
A assinatura digital, método que assegura que o emissor de um texto ou mensagem é 
quem diz ser, é feita com a chave privada do par de chaves assíncronas. Neste 
método cada pessoa mantém duas chaves: uma pública, que pode ser divulgada 
livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As 
mensagens criptografadas com a chave pública só podem ser decodificadas com a 
chave privada correspondente. E a recíproca é verdadeira, ou seja, uma mensagem 
criptografada com a chave privada só pode ser decodificada com a correspondente 
chave pública. 
 
Este processo é lento. Não seria muito racional usa-lo para grandes textos. Neste 
caso usamos o Message Digest que funciona com um “dígito verificador” para textos. 
O MD5 é o algoritmo mais comum usado para este fim. 
 
 
 
 
 
 
 
Seção 11 – Segurança Física e do Ambiente 
As instalações onde as informações críticas são processadas devem ser mantidas em 
áreas seguras, incluindo o perímetro considerado de segurança, com níveis de 
controles de acesso e proteção física apropriados. 
Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, 
objetivando impedir a interrupção dos serviços da empresa, sendo que suas 
remoções do ambiente devem ser previamente autorizadas. 
Seção 12 - Segurança nas operações 
Garantir a operação segura e correta dos recursos de processamento da informação é 
o principal objetivo desta seção da norma. Encontraremos recomendações 
pertinentes a implantação de controles de detecção, prevenção e recuperação para 
proteção contra códigos maliciosos, referências a arquivos para cópia de segurança, 
gestão de vulnerabilidades técnicas (planos de contingência), necessidade de termos 
os ambientes de desenvolvimento, de teste e de produção separados, enfatizando a 
importância de que os procedimentos de operação sejam documentados e 
disponibilizados a todos os usuários que necessitem deles. 
As mudanças na organização, nos processos do negócio, nos recursos de 
processamento da informação e nos sistemas que afetam a segurança da informação 
devem ser gerenciadas, documentadas e controladas adequadamente. 
A auditoria de sistemas de informação é recomendada, com o intuito de minimizar o 
impacto das atividades de auditoria nos sistemas operacionais. 
Seção 13 - Segurança nas comunicações 
A garantia da proteção das informações em redes e dos recursos de processamento 
da informação que os apoiam deve ser feita considerando a segurança das redes e 
dos serviços de rede, a segregação de redes. 
 
 
 
A transferência de informação deve ser observada, mantendo a segurança da 
informação transferida dentro da organização e com quaisquer entidades externas, 
definindo para tanto políticas e procedimentos para transferência de informações 
 
Seção 14 - Aquisição, desenvolvimento e manutenção de sistemas 
A preocupação com a segurança da informação desenvolvida tanto interna como 
externamente deve passar por todo o ciclo de vida dos sistemas, desde sua 
concepção com a solicitação dos requisitos dos sistemas até sua descontinuação, 
passando pela transferência dos sistemas e suas respectivas solicitações de mudança. 
Isto também inclui os requisitos para sistemas de informação que fornecem serviços 
sobre as redes públicas. 
Não podemos deixar de lado os processos referentes a testes de sistemas, desde a 
criação de casos de teste, massa de dados para teste e testes de sistema e de 
aceitação. 
 
Seção 15 - Relacionamento na cadeia de suprimento 
A Segurança da informação na cadeia de suprimento visa garantir a proteção dos 
ativos da organização que podem ser acessados pelos fornecedores, internos e 
externos à organização. 
Entendemos como cadeia de suprimento toda a linha de processos que percorre 
desde a obtenção da matéria prima até a entrega do produto pronto ao cliente final. 
Podemos entender então que devemos nos preocupar com todo o fornecimento de 
informações, requisitos e dados para confecção de sistemas ou processamento em 
produção dos mesmos, seja interna ou externamente. 
Neste sentido devemos definir politicas de segurança para assegurar que tais 
preocupações sejam observadas, preparar e assinar acordos de níveis de serviço com 
 
 
 
os fornecedores de informação para serviços em produção, além de definirmos 
processos para o gerenciamento de mudanças para serviços com fornecedores. 
 
Seção 16 - Gestão de incidentes de segurança da informação 
Os incidentes envolvendo a informação devem ser primeiramente evitados. Depois 
minimizados e, se houver a ocorrência de tais incidentes, eles devem ser 
prontamente reportados e colocadas em prática suas respostas. 
Previamente devemos desenvolver atividades para eventuais incidentes com a 
segurança, indicando responsáveis para a sua proteção a priori e responsáveis pela 
sua execução, a posteriori. 
 
Seção 17 - Aspectos da segurança da informação na gestão da continuidade 
do negócio 
Da mesma forma que necessitamos das politicas de segurança para proteger os 
ativos da empresa, precisamos de planos de contingência para assegurar a 
continuidade do negócio da empresa, não apenas para os negócios como para os 
sistemas de informação. 
Na aula 7 estudaremos com detalhes como planejar, documentar e implementar os 
processos e controles para tanto. 
Seção 18 – Conformidade 
Para que a empresa não tenha problemas de violação de quaisquer obrigações legais, 
estatutárias, regulamentares ou contratuais relacionadas à segurança da informação 
e de quaisquer requisitos de segurança, todos os requisitos legislativos, estatutários, 
regulamentares econtratuais pertinentes, direitos de propriedade intelectual, direito 
de uso de imagem de terceiros e o enfoque da organização para atender a esses 
 
 
 
requisitos, sejam explicitamente identificados, documentados e mantidos atualizados 
para cada sistema de informação da organização. 
Devem ser tomadas medidas para proteção e privacidade de informações de 
identificação pessoal de funcionários e clientes bem como garantir que a segurança 
da informação está implementada e operada de acordo com as metodologias e 
políticas e procedimentos da organização. 
A organização deve assegurar que controles de criptografia sejam usados em 
conformidade com todas as leis, acordos, legislação e regulamentações pertinentes. 
 
• Acordo de Basiléia II 
 
Foi estabelecido pelo Bank of International Settlements (BIS), situado na Basiléia, 
Suiça. Ele funciona como o Banco Central dos bancos centrais. 
 
Este acordo estipula requisitos de capital mínimo para instituições financeiras, em 
função de seus riscos de crédito e riscos operacionais. 
 
Entendemos como riscos de crédito a perda financeira sofrida pela incapacidade 
voluntária ou involuntária o tomador do crédito em atender às suas obrigações 
contratuais no tempo requerido. A metodologia dos bancos deve ser para um 
indivíduo ou para uma carteira de crédito. 
 
Entendemos como riscos operacionais as perdas financeiras causadas por processos 
internos inadequados. 
O acordo possui três pilares: 
1º - Estabelece regras e procedimentos para cálculo dos requisitos de capital 
considerando os riscos de crédito e operacional 
 
 
 
2º - Estabelece regras para os Bancos Centrais de cada país executar auditorias nas 
instituições financeiras, para avaliar os riscos e mitiga-los, e considerar a emissão de 
informação para o mercado acerca de exposição do risco da instituição. 
3º - Estabelece regras para a comunicação com o mercado dos requisitos mínimos de 
capital, face aos riscos e aos métodos e resultados de avaliação de risco do primeiro 
pilar. 
 
Implicações do Acordo de Basiléia II sobre a TI 
 
Atualmente o Banco Central do Brasil (BCEN) vem auditando as áreas de TI dos 
bancos através do COBIT (Control OBjecives for Information and related Technlogy), 
normativo criado pelo ISACA ( Information Systems Audit and Control Association) 
Como os bancos no Brasil estão avançados em TI, o risco operacional de TI é de 
primordial atenção já que a TI é um dos principais elementos de risco operacional de 
um banco junto com pessoas e processos de negócios. 
 
Do ponto de vista de risco operacional o impacto do Acordo de Basiléia abrange 
basicamente todos os processos de TI e respectivas áreas organizacionais. 
 
Do ponto de vista do risco de crédito, o impacto recai sobre: 
 - capacidade de armazenamento de dados em face da granularidade de 
informação 
 requerida de cada cliente 
 - Integridade das informações acerca das transações do banco 
 - Integridade das informações armazenadas sobre os clientes e operações de 
crédito 
 (arquivos históricos) 
 
 
 
 - Segurança dessas informações 
 - Contingência na operação 
 - Planejamento de capacidade 
 - Planejamento de desastre e recuperação 
 - Integridade do processo da emissão de relatórios requeridos pelos BIS 
 
Para atender ao Acordo, o CIO (Chief Information Officer) deve: 
 - Inserir questões do Acordo em seu plano de TI 
 - Implantar novos processos de TI 
 - Ajustar ou melhorar processos existentes 
 - Ajustar a estrutura organizacional de TI para acomodar novos processos 
 - Definir e implantar novos indicadores de desempenho, caso necessário 
 - Tratar a gestão de riscos de TI; 
 
• ISO/IEC 19011 – Linhas de orientação para Auditoria a Sistemas 
de Gestão 
 
Esta norma, publicada em 15 de novembro de 2011, foi desenvolvida por um grupo de 
trabalho multidisciplinar, que envolveu a maioria dos Comités Técnicos e de Projeto da 
ISO, responsáveis pelo portfolio de normas de sistemas de gestão. 
 
Comentaremos a norma conforme o site: 
 http://www.apcergroup.com/portugal/index.php/en/newsroom/429 
 
 
 
 
 
A ISO 19011:2011 é aplicável a diversos sistemas de gestão tais como: 
• Qualidade (ISO 9001) 
• Ambiente (ISO 14001) 
• Segurança e Saúde do Trabalho (OHSAS 18001) 
• Segurança Alimentar (ISO 22000) 
• Segurança da Informação (ISO 27001) 
• Responsabilidade Social (SA8000) – Nota: a ISO 26000 não é uma norma de 
sistema de gestão 
• Energia (ISO 50001) 
• Eventos sustentáveis (ISO 20121) 
 
Uma das alterações fundamentais na ISO 19011 é a introdução do conceito de risco em 
auditorias a sistemas de gestão. Este conceito está relacionado tanto com o risco do 
processo de auditoria não atingir os seus objetivos, como com o potencial da auditoria em 
interferir nas atividades e processos do auditado. 
 
Esta norma não fornece orientações específicas relativamente aos processos de gestão do 
risco das organizações, no entanto reconhece que as organizações podem dedicar o 
esforço em auditoria a assuntos com maior significância para o sistema de gestão. 
 
Estudamos os requisitos para a implantação, manutenção e melhorias contínuas de um 
sistema de gestão de segurança da informação (SGSI) na norma ISO 27001:2013, que 
aplica processos de gestão de risco. 
 
 
 
 
 
 
 
 
 
 
Cláusulas da norma ISO 19011:2011 
 
Cláusula 1 – Âmbito 
• Enfatiza que a norma é aplicável a todas as organizações que precisam realizar 
auditorias a sistemas de gestão internas ou externas ou que precisam gerir um 
programa de auditoria. 
• Apesar de a norma ter enfoque em sistemas de gestão, é possível aplicar as 
orientações a outros tipos de auditoria, desde que seja dada especial atenção às 
competências específicas necessárias. 
 
Cláusula 2 – Referência normativas 
• Não existem – manteve-se esta cláusula para igualar a numeração às outras 
normas ISO de sistemas de gestão. 
 
Cláusula 3 – Termos e definições 
• Foram adicionadas as seguintes definições: “observador”, “guia” e “risco”. 
• Foram introduzidas alterações significativas na definição de “competência”, que é 
agora definida como “a capacidade de aplicar conhecimento e habilidade para 
atingir os resultados pretendidos”, com uma NOTA: “capacidade implica na 
aplicação apropriada de comportamento pessoal durante o processo de auditoria”. 
 
Cláusula 4 – Princípios de auditoria 
 
 São princípios da auditoria: 
• Integridade – “A base do profissionalismo”; 
• Apresentação imparcial – “Obrigação de relatar com verdade e rigor”; 
 
 
 
• Devido cuidado profissional – “Aplicação de diligência e de discernimento na 
auditoria”; 
• Confidencialidade – “Segurança da informação”; 
• Independência – “A base para a imparcialidade da auditoria e a objetividade das 
conclusões”; 
• Abordagem baseada em evidências – “Método racional para chegar a conclusões de 
auditoria fiáveis e reprodutíveis num processo sistemático de auditoria”. O auditor 
não acha nada, ele apresenta fatos. 
 
Cláusula 5 – Gestão de um programa de auditorias 
• É descrito o processo de estabelecimento e gestão de um programa de auditoria, 
estabelecimento de objetivos e coordenação das atividades de auditoria; 
• A pessoa que coordena o programa de auditorias deve ter competência para tal; 
• A gestão de um programa de auditoria segue o ciclo PDCA 
 
Gestão de um programa de auditoria utilizando o ciclo PDCA 
 
Observe o ciclo na figura abaixo. 
 
 
 
 
 
Cláusula 6 – Planejamento e realização deuma auditoria 
 
Esta cláusula contém orientações para a preparação e condução das atividades de 
auditoria, como parte do programa de auditorias. As etapas envolvidas incluem: 
• Início da auditoria: 
o Estabelecer contato inicial com o auditado; 
o Determinar a exequibilidade da auditoria; 
• Preparação das atividades de auditoria: 
o Revisão documental na preparação da auditoria; 
Cláusula 6 => realização 
da auditoria 
 
Cláusula 7 => Definição e 
avaliação das competências 
 
 
 
o Preparação do plano de auditoria; 
o Atribuição de tarefas à equipa auditora; 
o Preparação dos documentos de trabalho; 
• Execução da auditoria: 
o Condução da reunião de abertura; 
o Revisão documental durante a auditoria; 
o Comunicação durante a auditoria; 
o Atribuição de papéis e responsabilidades de guias e observadores; 
o Coleta e verificação da informação; 
o Elaboração das constatações de auditoria; 
o Preparação das conclusões da auditoria; 
o Condução da reunião de encerramento; 
• Preparação e distribuição do relatório de auditoria; 
• Fechamento da auditoria; 
• Continuação da auditoria (quando aplicável). 
 
Cláusula 7 – Competência e avaliação de auditores e equipas auditoras 
 
A ISO 19011:2011 enfatiza que a confiança no processo de auditora e a capacidade de 
atingir os seus objetivos depende da competência das pessoas envolvidas no 
planejamento e realização das auditorias, incluindo auditores e auditores coordenadores. 
 
A norma recomenda que a competência do auditor seja avaliada através de um processo 
que considere o comportamento individual e a capacidade para aplicar o conhecimento e 
habilidades obtidas através da formação acadêmica, experiência profissional, treinamento 
e experiência em auditorias. 
 
A cláusula 7 cobre os seguintes assuntos: 
 
 
 
• Determinar a competência do auditor para cumprir as necessidades do programa de 
auditoria, incluindo comportamentos pessoais e os seguintes conhecimentos e 
competências: 
o Conhecimentos genéricos de auditoria: princípios de auditoria, procedimentos 
e métodos, sistemas de gestão e documentos de referência, o contexto 
organizacional em que a auditoria vai decorrer e os requisitos legais e 
contratuais aplicáveis; 
o Conhecimentos e competências de disciplinas e setores específicos, incluindo 
competência em gestão do risco; 
• Estabelecer os critérios de avaliação do auditor; 
• Avaliar os auditores; 
• Manter e melhorar as competências dos auditores. 
 
A norma finaliza com dois anexos informativos: 
Anexo A – Fornece orientações e exemplos ilustrativos de conhecimentos e competências 
dos auditores em disciplinas específicas. Os exemplos mencionados são para: 
• Gestão da segurança no transporte; 
• Gestão do ambiente; 
• Gestão da qualidade; 
• Gestão de registos; 
• Gestão de resiliência, segurança, preparação e continuidade; 
• Segurança da informação; 
• Segurança e saúde do trabalho. 
 Anexo B – Fornece orientações adicionais (que estavam no corpo da norma ISO 
19011:2002) nos seguintes tópicos: 
• Metodologias de auditorias aplicáveis; 
• Revisão da documentação; 
• Critérios de amostragem: 
 
 
 
• Amostragem com base na experiência e intuição dos auditores; 
o Amostragem estatística; 
o Preparação dos documentos de trabalho; 
• Seleção de fontes de informação; 
• Orientações para a visita ao local do auditado; 
• Realização de entrevistas; 
• Constatações de auditoria: 
o Determinação de constatações de auditoria; 
o Registo de conformidades; 
o Registo de não-conformidades; 
o Tratamento de constatações relacionadas com critérios múltiplos. 
• Certificações em Segurança da Informação 
 
Outras certificações relacionadas a segurança da informação: 
• CISM – Certified Information Security Manager 
• SSCP – Systems Security Certified Practitioner 
• CISSP – Certified Information Systems Security Professional 
• MCSO 
• Cisco Certified Security Professional CCSP® Certification 
• Security+ 
• GIAC 
• Security + 
• GIAC 
 
REFERÊNCIAS : 
FERNADES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a Governaça de 
TI: da estratégia à gestão dos processos e serviços. 2 ed. Brasport, Rio de Janeiro, 
2008. 
 
 
 
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – 
Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão 
de segurança da informação. ABNT, 2005 
Norma ISO 27001:2013 
http://www.iso31000qsp.org/2013/11/seguranca-da-informacao-conheca-nova.html 
Norma ISO 27002:2013 
http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27002-2013.pdf 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Aula: 3 - COBIT (versão 5.0) 
 
COBIT é um acrônimo para Control Objectives for Information and Related 
Techology. É um modelo (framework) para controles e governança de Tecnologia da 
Informação (TI). Este modelo foi desenvolvido pelo Instituto ISACA (Information 
Systems Audit and Control Association, WWW.ISACA.ORG ), uma instituição 
americana sem fins lucrativos, que desenvolve pesquisas, modelos e certificações 
para os profissionais de Auditoria de Tecnologia da Informação (TI), Segurança, 
Governança e outros. 
 
O instituto ISACA foi fundado por um pequeno grupo de pessoas em 1969, que 
reconheciam a necessidade de uma fonte centralizada de informações e padrões para 
a área em crescimento de controles de auditoria de Sistemas. Hoje o ISACA atende a 
95.000 profissionais em 160 países. 
 
COBIT 5 é um modelo abrangente dos princípios globalmente aceitos, das práticas e 
das ferramentas analíticas e que podem ajudar qualquer organização para 
efetivamente resolver problemas críticos dos negócios relacionados à governança e 
gestão da informação e tecnologia. 
 
Sabendo o que o COBIT 5.0 sugere em seu modelo, podemos nos orientar para 
estabelecermos políticas de segurança para nossas empresas. 
 
Ele é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo, (o 
Tribunal de Contas da União tem auditado as unidades de TI do Governo com base 
nos processos do COBIT. Outro usuário é o Banco Central do Brasil). Bancos 
 
 
 
comerciais também são grandes usuários devido à grande complexidade de seus 
processos. 
Vamos ver a evolução do COBIT 
Evolução do COBIT 
1996 COBIT 1 Auditoria 
1998 COBIT 2 Controle 
2000 COBIT 3 Gerenciamento 
2005/7 COBIT 4.0/4.1 Governança em TI 
2012 COBIT 5 Governança de negócios em TI 
 
O COBIT 5 consolida e integra os modelos COBIT 4.1, Val IT 2.0 e Risk IT como 
também herda conceitos do Business Model for Information Security (BMIS) e ITAF 
(Information Technology Assurance Framework, um modelo publicado pelo ISACA). 
O COBIT 5 é um modelo de negócios e de gestão global para governança e gestão de 
TI corporativa, sendo composto por 5 princípios que definem os sete habilitadores 
que apoiam a composição do modelo. Ele é um guia, um instrumento para 
diagnóstico e auditoria, mas não é usado para certificação, ou seja, uma empresa não 
será certificada COBIT. Entretanto, existem certificações para profissionais. 
O COBIT 5 baseia-se em cinco princípios básicos para governança e gestão de TI da 
organização: 
• 1º Princípio: Atender às Necessidades das Partes Interessadas 
 - Organizações existem para criar valor para suas Partes Interessadas mantendo o 
equilíbrio entre a realização de benefícios e a otimização do risco e uso dos recursos. 
O COBIT 5 fornece todos os processos necessários e demais habilitadores para apoiara criação de valor para a organização com o uso de TI. Como cada organização tem 
 
 
 
objetivos diferentes, o COBIT 5 pode ser personalizado de forma a adequá-lo ao seu 
próprio contexto por meio da cascata de objetivos, ou seja, traduzindo os objetivos 
corporativos em alto nível em objetivos de TI específicos e gerenciáveis, mapeando-
os em práticas e processos específicos (ver Figura 4). 
As necessidades das Partes Interessadas são transformadas em ações estratégicas. O 
COBIT 5 tem mecanismos para tradução dessas necessidades em objetivos 
corporativos, objetivos de TI e objetivos habilitadores. Isto é chamado no COBIT de 
COBIT 5 Goals Cascade (Cascata dos Objetivos). 
 
Figura 4 - Cascata de Objetivos no COBIT 5. Fonte: ISACA, 2012 
(Iniciamos nossas figuras com a de número de 4 para manter coerência com o Modelo 
COBIT 5) 
As necessidades das Partes Interessadas são desdobradas em objetivos corporativos 
usando a ferramenta Balanced Scorecard (BSC) como apoio. 
 
 
 
Uma tabela com as necessidades das partes interessadas e os objetivos corporativos 
é apresentada no Apêndice D do modelo, cuja versão em Português do COBIT 5 está 
mencionada em “Referências”. 
O COBIT lista 17 objetivos empresariais genéricos, comuns às empresas e que 
possuem informações como a dimensão BSC sob a qual o objetivo corporativo se 
enquadra e a relação entre os três principais objetivos da governança: realização de 
benefícios, otimização do risco e otimização dos recursos. 
 
Dimensão BSC 
 
Objetivo corporativo 
Relação com Objetivos de 
Governança 
Realização 
de 
Benefícios 
Otimização 
de Risco 
Otimização 
de 
Recursos 
Financeira 1. Valor dos investimentos da 
organização percebidos pelas partes 
interessadas 
p S 
2. Portfólio de produtos e serviços 
competitivos 
p p S 
3. Gestão do risco do negócio 
(salvaguarda de ativos) 
 P S 
4. Conformidade com as leis e 
regulamentos externos 
 P 
5. Transparência financeira P S S 
Cliente 6. Cultura de serviço orientada ao 
cliente 
P S 
7. Continuidade e disponibilidade do 
serviço de negócio 
 P 
8. Respostas rápidas para um ambiente 
de negócios em mudança 
P S 
9. Tomada de decisão estratégica com P P P 
 
 
 
base na informação 
10. Otimização dos custos de prestação 
de serviços 
P P 
Interna 11. Otimização da funcionalidade do 
processo de negócio 
P P 
12. Otimização dos custos do processo 
de negócio 
P P 
13. Gestão de programas de mudanças 
de negócios 
P P S 
14. Produtividade operacional e da 
equipe 
P P 
15. Conformidade com as políticas 
internas 
 P 
Treinamento e 
Crescimento 
16. Pessoas qualificadas e motivadas S P P 
17. Cultura de inovação de produtos e 
negócios 
P 
Figura 5 – Objetivos Corporativos do COBIT 5 – Fonte: ISACA, 2012 
Na Tabela, “P” representa uma relação primária e “S” uma relação secundária, ou 
seja, uma relação mais fraca. 
Para atingirmos os objetivos corporativos, a empresa necessita do auxilio da TI, no 
tangente a obter uma série de resultados de TI que são representados pelos 
objetivos relacionados a TI ou seja, a tudo o que estiver relacionado à tecnologia da 
informação e tecnologias afins. Os objetivos de TI são estruturados de acordo com as 
dimensões do balanced scorecard de TI. O COBIT 5 define 17 objetivos de TI, como 
podemos ver na Figura 6. 
A tabela de mapeamento dos objetivos corporativos em objetivos de TI foi incluída no 
Apêndice B, do modelo COBIT 5. 
 
 
 
 
Dimensão BSC de 
TI 
 
Objetivo da Informação e Tecnologia Relacionada 
Financeira 01 Alinhamento da estratégia de negócios e de TI 
02 Conformidade de TI e suporte para conformidade 
03 Compromisso da gerência executiva com a tomada de 
decisões de TI 
04 Gestão de risco organizacional de TI 
05 Benefícios obtidos pelo investimento de TI e portfólio de 
serviços 
506 Transparência dos custos, benefícios e riscos de TI 
Cliente 07 Prestação de serviços de TI em consonância com os 
requisitos de negócio 
08 Uso adequado de aplicativos, informações e soluções 
tecnológicas 
Interna 09 Agilidade de TI 
10 Segurança da informação, infraestrutura de processamento 
e aplicativos 
11 Otimização de ativos, recursos e capacidades de TI 
12 Capacitação e apoio aos processos de negócios através da 
integração de aplicativos e tecnologia 
13 Entrega de programas fornecendo benefícios, dentro do 
prazo, orçamento e atendendo requisitos 
14 Disponibilidade de informações úteis e confiáveis para a 
tomada de decisão4 
 
 
 
15 Conformidade de TI com as políticas internas 
Treinamento e 
Crescimento 
16 Equipes de TI e de negócios motivadas e qualificadas 
17 Conhecimento, expertise e iniciativas para inovação dos 
negócios 
Figura 6 – Objetivos Corporativos do COBIT 5 – Fonte: ISACA, 2012 
 
Por fim, os objetivos de TI são desdobrados em objetivos habilitadores. 
Habilitadores incluem processos, estruturas organizacionais e informações, e para 
cada habilitador um conjunto específico de metas relevantes pode ser definido para 
apoiar os objetivos de TI. 
 
Processos são um dos habilitadores, e o Apêndice C (da versão em Português do 
COBIT 5, cujo link está mencionado em “Referências”) contém o mapeamento entre 
os objetivos de TI e os processos pertinentes do COBIT 5, que por sua vez contêm os 
respectivos objetivos do processo. 
 
Este mapeamento é apresentado sob a forma de uma matriz onde nas linhas temos 
os processos do COBIT 5 nas quatro percepções do BSC e, nas colunas, os objetivos 
de TI, também nas quatro dimensões do BSC.. Nos cruzamentos de cada célula, 
temos a indicação de “P” ou “S”, conforme usamos acima (veja página 52 d modelo). 
 
A cascata de objetivos do COBIT nos permite organizar e entender como a TI pode 
atender as metas da organização. Usando o exemplo que consta no modelo COBIT 5 
podemos verificar isso com maior propriedade. 
 
 
 
Uma organização define para si uma série de objetivos estratégicos, dos quais a 
melhoria da satisfação do cliente é o mais importante. A partir dali, ela deseja saber o 
que precisa ser melhorado em todos os aspectos relativos a TI. 
A organização decide que definir a satisfação do cliente como a principal prioridade é 
equivalente a elevar a prioridade dos seguintes objetivos corporativos (extraídos da 
Figura 5): 
6. Cultura de serviço orientada ao cliente 
7. Continuidade e disponibilidade do serviço de negócio 
8. Respostas rápidas para um ambiente de negócios em mudança 
A organização dá agora o próximo passo na cascata dos objetivos: analisar quais 
objetivos de TI correspondem a esses objetivos corporativos. 
Uma sugestão de mapeamento entre eles foi relacionada no Apêndice B. 
A partir dali, os seguintes objetivos de TI são sugeridos como os mais importantes 
(todos como relacionamentos ‘P’): 
01 Alinhamento da estratégia de TI e de negócios 
04 Gestão do risco organizacional de TI 
07 Prestação de serviços de TI em consonância com os requisitos de negócio 
09 Agilidade de TI 
10 Segurança da informação, infraestrutura de processamento e aplicativos 
14 Disponibilidade de informações úteis e confiáveis para tomada de decisão 
17 Conhecimento, expertise e iniciativas para inovação dos negócios 
A organização valida esta lista e decide que os quatro primeiros objetivos serão 
considerados prioridade. 
 
 
 
No próximo passo da cascata, usando o conceito de habilitador, esses objetivos de TI 
levam a diversas metas de habilitador, que incluem objetivosdo processo. No 
Apêndice C, um mapeamento é sugerido entre os objetivos de TI e os processos do 
COBIT 5. Aquela tabela permite a identificação dos mais importantes processos de TI 
que apoiam os objetivos de TI, porém, os processos por si só não são suficientes. 
Os demais habilitadores, tais como cultura, comportamento e ética; modelos 
organizacionais ou habilidades e expertise são igualmente importantes e requerem 
um conjunto de objetivos bem definidos. 
Quando este exercício for concluído, a organização terá um conjunto de metas 
consistentes para todos os habilitadores que permitirão que ela alcance os objetivos 
estratégicos estabelecidos, além de um conjunto de indicadores correlatos para medir 
o desempenho. 
• 2º Princípio: Cobrir a Organização de Ponta a Ponta 
- O COBIT 5 integra a governança corporativa de TI organização à governança 
corporativa: 
− Cobre todas as funções e processos corporativos; O COBIT 5 não se concentra 
somente na ‘função de TI’, mas considera a tecnologia da informação e tecnologias 
relacionadas como ativos que devem ser tratados como qualquer outro ativo por 
todos na organização. 
 − Considera todos os habilitadores de governança e gestão de TI aplicáveis em toda 
a organização, de ponta a ponta, ou seja, incluindo tudo e todos - interna e 
externamente - que forem considerados relevantes para a governança e gestão das 
informações e de TI da organização. 
 
 
 
 
Figura 7 - A governança de ponta a ponta que está na base do COBIT 5 - Fonte: 
ISACA, 2012 
Habilitadores da Governança - são os recursos organizacionais da governança, tais 
como modelos, princípios, processos e práticas. Os habilitadores também incluem os 
recursos da organização - por exemplo, capacidades do serviço (infraestrutura de TI, 
aplicativos, etc.), pessoas e informações. A falta de recursos ou habilitadores poderá 
afetar a capacidade da organização na criação de valor. 
 
Escopo da Governança - A governança pode ser aplicada a toda a organização, uma 
entidade, um ativo tangível ou intangível, etc. Ou seja, podemos definir diferentes 
visões da organização às quais a governança será aplicada, e é fundamental definir 
bem este escopo do sistema de governança. 
 
Funções, Atividades e Relacionamentos É a definição de quem está envolvido na 
governança, como estão envolvidos, o que fazem e como interagem, dentro do 
escopo de qualquer sistema de governança. 
 
 
 
O COBIT 5 faz uma clara diferenciação entre as atividades de governança e gestão 
nos domínios de governança e gestão, bem como a interação entre elas e os 
especialistas envolvidos. A figura 8 mostra em detalhes a parte inferior da figura 7, 
com as interações entre os diferentes papéis. 
 
 
Figura 8 – Principais Funções, atividades e relacionamentos – fonte: ISACA, 2012 
 
• 3º Princípio: Aplicar um Modelo Único Integrado 
 - Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações 
para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros 
padrões e modelos importantes em um alto nível, conforme mencionado no início da 
aula e, portanto, pode servir como o um modelo unificado para a governança e 
gestão de TI da organização. 
São exemplos de modelos e padrões aos quais o COBIT 5 está alinhado: ITIL, 
TOGAF e ISO (diversas normas), COSO, PMBOK e outros. A lista completa de 
referências pode ser encontrada no Apêndice A do modelo 
 
 
 
 
 
 
 
• 4º Princípio: Permitir uma Abordagem Holística 
Governança e gestão eficiente e eficaz de TI da organização requer uma abordagem 
holística (de todos os elementos, estratégias e atividades, que resulta em uma 
representação única da organização), levando em conta seus diversos componentes 
interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a 
implementação de um sistema abrangente de gestão e governança de TI da 
organização. Habilitadores são geralmente definidos como qualquer coisa que possa 
ajudar a atingir os objetivos corporativos. O modelo do COBIT 5 define sete 
categorias de habilitadores: 
 Princípios, políticas e modelos são normas de como deve ser o comportamento 
desejado das pessoas em relação à empresa. 
 Processos descrevem um conjunto de atividades logicamente sequenciadas, 
visando o atingimento de determinados objetivos e produzem um conjunto de 
resultados em apoio ao atingimento geral dos objetivos de TI. 
 Estruturas organizacionais são as principais entidades de tomada de decisão de 
uma organização. 
 Cultura, ética e comportamento das pessoas e da organização, pois esses 
pontos são muitas vezes subestimados como um fator de sucesso nas atividades de 
governança e gestão. 
 Informação permeia qualquer organização e inclui todas as informações 
produzidas e usadas pela organização. A informação por si só é muitas vezes o 
principal produto da organização. 
 Serviços, infraestrutura e aplicativos incluem a infraestrutura, a tecnologia e 
os aplicativos que fornecem à organização o processamento e os serviços de 
tecnologia da informação. 
 Pessoas, habilidades e competências estão associadas às pessoas e são 
necessárias para a conclusão bem-sucedida de todas as atividades bem como para a 
tomada de decisões corretas e tomada de medidas corretivas. 
 
 
 
 
Alguns dos habilitadores definidos acima também são recursos da organização que 
devem ser gerenciados e governados. 
Isto se aplica: 
 À informação, que deve ser gerenciada como um recurso. Algumas informações, 
tais como relatórios de gestão e informações de inteligência organizacional são 
importantes habilitadores para a governança e gestão da organização. 
 Aos serviços, infraestrutura e aplicativos. 
 Às pessoas, habilidades e competências. 
 
• 5º Princípio: Distinguir a Governança da Gestão 
O modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas 
disciplinas compreendem diferentes tipos de atividades, exigem modelos 
organizacionais diferenciadas e servem a propósitos diferentes. A visão do COBIT 5 
sobre esta importante distinção entre governança e gestão é: 
 
• Governança 
A governança defende as necessidades, condições e opções das Partes Interessadas, 
priorizando as tomadas de decisão e monitorando o desempenho e a conformidade 
com a direção e os objetivos estabelecidos. 
 
Na maioria das organizações, a governança geral é de responsabilidade do conselho 
de administração sob a liderança do presidente. 
 
 
 
 
• Gestão 
 A gestão é responsável pelo planejamento, desenvolvimento, execução e 
monitoramento das atividades em consonância com a direção definida pelo órgão de 
governança a fim de atingir os objetivos corporativos. 
 Na maioria das organizações, a gestão é de responsabilidade da diretoria executiva 
sob a liderança do diretor executivo (CEO, Chief Executive Officer). 
 
 
 
Figura 9 – Principais áreas de Governança no COBIT 5. Fonte : ISACA, 2012 
 
Os processos de governança e gestão de TI da organização abrangem os seguintes 
domínios: 
 
 
 
 
 Governança - Contém cinco processos de governança; e dentro de cada processo 
são definidas práticas para Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - 
EDM). 
 
 Gestão - Contém quatro domínios: planejar, construir, executar e monitorar (Plan, 
Build, Run and Monitor - PBRM), oferecendo cobertura de TI de ponta a ponta. Esses 
domínios são uma evolução do modelo de processos e domínios do COBIT 4.1. 
 
 Alinhar, Planejar e Organizar (Align, Plan and Organise – (APO) 
 Construir, Adquirir e Implementar (Build, Acquire and Implement