SEGURANÇA DA INFORMAÇÃO (25)

Prévia do material em texto

Governança da Segurança da Informação 
 
 
 
 
 
Mauricio Rocha Lyra (org.) 
 
 
 
 
 
 
 
 
 
 
 
Brasília 
2015 
 
 
 
 
 
 
Copyright © 2015 de Mauricio Rocha Lyra 
 
Direitos desta edição reservados à Mauricio Rocha Lyra 
Impresso no Brasil / Printed in Brazil 
Todos os direitos reservados. A reprodução não autorizada desta publicação, no todo ou em parte, constitui 
violação do copyright (Lei nº 9.610/98) 
Os conceitos emitidos nesta publicação são de inteira responsabilidade dos respectivos autores 
 
1ª edição – 2015 
 
Capa – Wanderson Tavares Borges 
Diagramação – Luciana Mara de Sousa Castro 
Revisão Técnica – Mauricio Rocha Lyra 
 
 
 
ISBN: 978-85-920264-1-7 
 
 
 
 
 
L992 
Lyra, Mauricio Rocha 
 Governança da Segurança da Informação/ Edição do Autor – Brasília, 2015 
 160p. 17,5cm x 25cm 
 
 ISBN 978-85-920264-1-7 
 
 1. Governança. 2. Segurança da Informação. 3. Planos de Segurança da Informação 
 
 CDD-600-000 
Índices para catálogo sistemático 
 
1. Segurança da informação: Ciência da computação 005.1 
 
 
 
 
 
PREFACIO 
 
 
Atualmente, as organizações estão se tornando mais e mais 
dependentes dos seus sistemas de informação. A clientela, por sua vez, está 
cada vez mais preocupada com o uso adequado das informações, 
notadamente com a privacidade dos seus dados pessoais. Entretanto, as 
ameaças ao principal ativo organizacional, isto é, à informação, aumentam a 
cada dia. Portanto, como a informação é a base da vantagem competitiva de 
uma organização, é vital garantir a segurança dessa informação. 
Apesar do que pensam alguns, não é possível comprar soluções de 
prateleira de gestão e Governança de segurança da informação. Essa é uma 
atividade complexa, que demanda um olhar pleno sobre o ambiente 
organizacional, abordando temas tais como: estratégia, planejamento, 
aspectos humanos, normativos e políticas de segurança entre outros. 
É essa abordagem sistêmica que nos traz o livro Governança de 
Segurança da Informação, organizado pelo Prof. Maurício Rocha Lyra, com 
capítulos escritos por alunos, mestres e doutores da pós-graduação do 
UNICEUB. O livro cobre desde a estratégia organizacional até aspectos de 
segurança da informação na produção de software, com foco, sempre, na 
agregação de valor que essa segurança da informação traz aos negócios. 
Vivemos anos difíceis, de crescimento acelerado do crime cibernético, 
que coloca em xeque todo o comércio eletrônico. Para vencer essas ameaças, 
precisaremos de modelos de gestão e governança de segurança da 
informação. Nesse sentido, a publicação deste livro no Brasil é um marco, 
mostrando uma visão integrada e estratégica, que vai muito além das 
ferramentas e das soluções prontas do mercado. 
 
João Souza Neto 
 
 
 
 
 
 
 
 
APRESENTAÇÃO 
 
 
A Governança é um tema muito presente na sociedade moderna, pois 
procura apresentar o sistema pelo qual as organizações são dirigidas e 
monitoradas, melhorando a transparência e a responsabilização das decisões 
nas corporações. A governança é um tema multifacetado e por isso a 
Governança da Segurança da Informação exerce seu papel trazendo o foco da 
discussão para a Segurança da Informação. 
A obra inicia abordando a relação entre o planejamento estratégico e a 
segurança da informação. Remete o debate sobre segurança da informação 
para o nível estratégico da organização, colocando a questão em termos de 
danos potenciais e do eventual prejuízo financeiro que ela trará. O 
entendimento dessa relação auxiliará a alta direção da empresa a reconhecer a 
importância dos investimentos em segurança da informação para a 
organização. 
O capitulo 1 apresenta os principais conceitos e princípios da segurança 
da informação que serão utilizados ao longo de toda a obra. O capítulo 2 trata 
do ciclo de vida da informação e os principais cuidados que devemos tomar 
com a segurança dos ativos da informação. 
O capitulo 3 trabalha a organização da função segurança da informação 
nas empresas. Apresenta algumas possibilidades com suas características, 
vantagens e desvantagens e ainda apresenta os profissionais que trabalham 
com segurança da informação. O capítulo 4 mostra a importância de classificar 
os ativos da informação apresentando um roteiro de como fazê-lo utilizando a 
ISO27002. 
O capitulo 5 trata dos aspectos humanos da segurança da informação, 
onde as pessoas são consideradas o elo mais frágil dessa corrente e como a 
engenharia social atua nessa fragilidade. O capítulo 6 apresenta os pilares da 
governança da segurança da informação e faz a separação conceitual entre os 
termos gestão e governança. 
Os capítulos 7 e 8 desenvolvem a governança da segurança da 
informação segundo o COBIT 5 e a ISO27014. Nesses capítulos vamos 
entender como essa faceta da governança deve ser aplicada nas 
organizações. 
 
 
 
Os capítulos 9 ao 13 apresentam os planos da segurança da 
informação: O Planejamento Estratégico da Segurança da Informação, no 
capítulo 9; o Plano Diretor da Segurança da Informação, no capítulo 10; a 
Política de Segurança da Informação, no capítulo 11; o Plano de Continuidade 
é visto no capítulo 12 e no capítulo 13 temos o Plano de Contingência. 
Por fim, o capitulo 14 apresenta um conjunto de reflexões sobre o 
impacto da segurança da informação no desenvolvimento de software. Nesse 
capítulo são apresentados os aspectos de segurança no desenvolvimento de 
software, a influência das normas de segurança na produção de software, o 
perfil dos recursos humanos na produção de software seguro e os novos 
desafios da área de produção de software no contexto da cibersegurança. O 
autor apresenta um framework a ser seguido na preparação dos aplicativos 
para a cibersegurança. 
 
 
Mauricio Rocha Lyra 
 
 
 
 
 
Sumário 
 
ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO ............................................................................ 1 
CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO .................................................... 9 
O CICLO DE VIDA DA INFORMAÇÃO ........................................................................................... 21 
ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ................................................................... 27 
CLASSIFICAÇÃO DOS ATIVOS DA INFORMAÇÃO ......................................................................... 37 
ASPECTOS HUMANOS DA SEGURANÇA DA INFORMAÇÃO ......................................................... 47 
GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO .................................................................... 59 
GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO SEGUNDO A ISO 27014:2013 ...................... 67 
GESTÃO DA SEGURANÇA DA INFORMAÇÃO SEGUNDO O COBIT 5 ............................................ 77 
O PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO – PESI ............................ 95 
PLANO DIRETOR DE SEGURANÇA DA INFORMAÇÃO ................................................................ 105 
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ........................................................................... 117 
PLANO DE CONTINUIDADE DE NEGÓCIOS ................................................................................ 125 
PLANO DE CONTINGÊNCIA ....................................................................................................... 135 
ASPECTOS DA SEGURANÇA DA INFORMAÇÃO NA PRODUÇÃO DE SOFTWARES ...................... 145 
 
 
 
 
 
 
 
 
 
 
 
Governança da Segurança da Informação 
 
1 
 
 
INTRODUÇÃO 
 
 
ESTRATÉGIA E SEGURANÇA 
DE INFORMAÇÃO 
 
Autor: Paulo RogérioFoina 
 
Que a Tecnologia da Informação é fundamental para a operação das 
empresas, já é um fato consolidado e exaustivamente debatido na bibliografia, 
assim como a necessidade de se preservar os sistemas dos ataques de 
hackers e as informações dos vazamentos não autorizados. O que queremos 
mostrar neste capítulo é a necessidade de se tratar a segurança da informação 
no nível estratégico das organizações e não deixar essa tarefa apenas para as 
equipes técnicas especializadas. 
Para se estabelecer o grau de importância para as informações, que 
existem dentro de uma organização, é necessário avaliar o dano que a sua 
perda, ou o seu vazamento, poderá provocar para a operação ou para os 
negócios. Essa análise deve ser feita durante o planejamento estratégico da 
empresa 
O planejamento estratégico, que as organizações realizam 
periodicamente, se destina a uma reavaliação crítica da sua situação atual e o 
estabelecimento de objetivos (estratégicos) para os próximos anos. É nesse 
planejamento que se estabelece objetivos de lançamento de novos produtos, 
entrada ou saída de mercados, aquisições, expansões e todos os demais 
objetivos que afetam a organização como um todo (FOINA, 2013). 
Um planejamento estratégico é realizado em três etapas básicas: a) 
etapa de diagnóstico: onde é analisada criticamente a situação atual da 
organização em relação aos objetivos propostos anteriormente; b) etapa de 
prospecção: nessa etapa são desenhados os cenários futuros para o 
ecossistema da organização e estabelecidos novos objetivos estratégicos para 
os próximos anos; b) etapa de elaboração de planos: os objetivos estratégicos 
estabelecidos são desdobrados em planos de ações para cada área de 
organização (finanças, marketing&vendas, recursos humanos, tecnologia, 
Governança da Segurança da Informação 
 
2 
 
produção etc.). Posteriormente os planos de ações receberão metas objetivas 
e orçamentos necessários para a sua realização (Da VEIGA, 2010). 
Propomos uma escala de cinco níveis de sensibilidade a ser aferida para 
cada conjunto de informações referentes a uma mesma entidade ou conceito: 
Nível 1 – Informação pública – informação que foi obtida sem ônus, de 
fontes públicas, ou que foi produzida internamente pela empresa mas 
que tem interesse público. Essas informações não precisam de controle 
de acesso e de distribuição. Apenas deve-se cuidar para que elas não 
sejam danificadas ou alteradas. São exemplos de informações de nível 
1: Dados do balanço de empresas de capital aberto; Lista de produtos; 
Notícias sobre a empresa. 
Nível 2 – Informação restrita - informação que foi adquirida de 
terceiros com cláusula de sigilo mas que outras empresas também 
podem adquirir, ou que foi produzida pela empresa e que tem interesse 
restrito à ela. Essas informações, se vazadas, podem comprometer a 
imagem da organização mas não sua operação. São exemplos de 
informações de nível 2: Relatórios de consultoria sobre empresas 
concorrentes; Dados pessoais dos funcionários e executivos da 
empresa; Relatos de defeitos de produtos e serviços. 
Nível 3 – Informação sigilosa - informação que foi obtida, com 
exclusividade, de terceiros, ou que foi produzida pela empresa e que 
trata de decisões, processos ou produtos críticos para a sua operação. 
Essas informações, se vazadas ou danificadas, podem gerar decisões 
erradas e prejudiciais para a operação da empresa ou inviabilizar o 
lançamento de um novo produto ou serviço. São exemplos de 
informações de nível 3: Relatórios de investigação de práticas 
concorrenciais ilegais; Detalhes sobre campanhas de lançamento 
comercial; Detalhes sobre planos de fusão, aquisição ou fechamento de 
empresas. 
Nível 4 – informação secreta – informação referente a detalhes de 
produtos e serviços que estão em processo de desenvolvimento ou, 
decisões sobre significativas alterações do valor patrimonial da empresa. 
Essas informações, se vazadas ou danificadas, podem comprometer o 
protagonismo no lançamento de um novo produto ou ainda permitir que 
concorrentes o lancem antes da empresa. Podem ainda inviabilizar 
fusões ou aquisições de empresas ou, pior, leva a empresa a ser alvo de 
investigação por parte da CVM. São exemplos de informações de nível 
4: Detalhes de produtos e serviços em desenvolvimento; Detalhes sore a 
negociação de compra ou venda de empresas ou filiais; Relatórios sobre 
falhas graves, em produtos, serviços ou processos internos, que podem 
afetar o valor das ações da empresa na bolsa de valores; 
Governança da Segurança da Informação 
 
3 
 
Nível 5 – Informações ultra secretas– informações sobre atos e fatos 
da organização cujo acesso é limitado apenas à mais alta direção 
executiva e seus acionistas. Essas informações, se vazadas, podem 
levar a ações judiciais à empresa ou a seus executivos e acionistas. 
Compreendem ainda informações sobre segredos industriais que 
diferenciam a empresa de seus concorrentes. São exemplos de 
informações de nível 5: Detalhes sobre operações ilícitas ou de alto risco 
jurídico; Segredos industriais sobre componentes, insumos ou processos 
de produção dos principais produtos da empresa ainda não patenteados 
ou protegidos por lei. 
As informações de níveis 1 e 2 não precisam ser tratadas pelo nível 
estratégico da empresa, bastando as salvaguardas tradicionais das áreas 
técnicas. Já as demais precisam ser consideradas no planejamento 
estratégico, pois sua guarda e proteção implicam em despesas significativas e 
riscos a serem mitigados e compartilhados pela alta direção. As informações de 
nível 5 devem ficar fora das redes corporativas (em computadores isolados) e, 
preferencialmente, não documentadas sob qualquer meio ou formato. 
A separação das informações nesses níveis de sensibilidade permite 
que sejam planejados investimentos de salvaguardas e de proteção adequados 
para cada uma delas, reduzindo assim os custos totais e permitindo a 
atribuição de responsabilidades explícitas para as pessoas que as manipulam 
(DOHERTY, 2005). 
Para o planejamento das ações de proteção e salvaguarda das 
informações podemos usar uma tabela, como mostrado a seguir. Nesta tabela 
colocamos os conjuntos de informações de acordo com o seu nível de 
sensibilidade (NS) e, nos campos de ações de proteção e de controle de 
acesso, as ações que precisam ser feitas para garantir o sigilo e integridade em 
cada um dos níveis de sensibilidade. 
No exemplo mostrado na tabela a seguir vemos que uma mesma ação 
de TIC pode atender a várias ações de proteção e de controle. Quando isso 
acontece, o curso dessas soluções pode ser compartilhado pelas ações 
estratégicas correspondentes aumentando o retorno financeiro da sua 
implantação. 
A estimativa de dano potencial corresponde ao valor necessário para 
corrigir ou reparar o dano provocado pelo vazamento ou pela alteração das 
informações. Esse valor pode ser baixo, como por exemplo o custo para 
restaurar um backup do dia anterior, ou pode ser muito alto, como o pagamento 
de multas elevadas aplicadas pelos órgãos de controle ou ainda os custos dos 
honorários de advogados a serem contratados para defender a empresa e seus 
executivos. 
Governança da Segurança da Informação 
 
4 
 
 
Tabela de Ações Estratégicas de Segurança 
 
NS Conjunto de 
informações 
Ações de 
Proteção 
Ações de 
Controle 
de Acesso 
Dano 
Potencial 
(R$) 
Ações de 
TIC 
Custos 
Estimados 
(R$) 
2 Cadastros de 
clientes 
Backups 
periódicos 
Controles e 
acesso 
automáticos 
Médio 
(~R$ 50k) 
Software 
de backup 
R$ 20k 
LDAP R$ 20k 
2 Cadastros de 
Contas a 
Pagar e 
Receber 
Backups 
periódicos 
Controles e 
acesso 
automáticos 
Médio 
(~R$ 50k) 
Software 
de backup 
R$ 20k 
LDAP R$ 20k 
4 Documentos 
de projetos de 
pesquisapara 
novos 
produtos 
Armazenag
em em 
subrede 
segregada 
da Internet 
com 
criptografia 
Biometria 
avançada 
Altíssimo 
(> R$ 10 
milhões) 
SW 
Criptografia 
R$ 20k 
Subrede 
com 
storage 
R$ 50k 
Disp. 
Biométricos 
R$ 30k 
4 Ata de 
reuniões do 
Conselho de 
Administração 
Armazenag
em em 
subrede 
segregada 
da Internet 
com 
criptografia 
Acesso 
apenas pelo 
presidente e 
secretário 
com biometria 
Alto (acima 
R$ 1 
milhão) 
SW 
Criptografia 
R$ 20k 
Subrede 
com 
storage 
R$ 50k 
Disp. 
Biométricos 
R$ 30k 
5 Relatórios de 
ações políticas 
para 
promoção do 
setor 
Armazenag
em em 
dispositivos 
isolados de 
posse da 
Presidência 
Acesso 
apenas pelo 
presidente 
Altíssimo 
(acima R$ 
1 milhão) 
SW 
Criptografia 
R$ 20k 
Storage R$ 10k 
1 Balanços 
publicados 
Backup 
periódico 
Controle de 
acesso por 
senhas 
Baixo (< 
R$ 10.000) 
Software 
de backup 
R$ 20k 
1 Cadastros de 
produtos e 
preços 
Backup 
periódico 
Controle de 
acesso por 
senhas 
Baixo (< 
R$ 10.000) 
Software 
de backup 
R$ 20k 
 
Governança da Segurança da Informação 
 
5 
 
As ações de proteção e controle de acesso devem ser ações de nível 
estratégicas que definam parâmetros gerais para proteger as informações de 
contra danos (alterações indevidas) e vazamentos não autorizados. Cada uma 
dessas ações será posteriormente desdobrada em ações de TIC capazes de 
implementar essas ações estratégicas. 
Cada uma das ações de TIC deve ser avaliada e ter um custo estimado 
para sua implantação, assim como, a cada conjunto de informações, deve ser 
estabelecido um valor decorrente do dano em caso de seu vazamento ou 
alteração indevida. A comparação entre o valor do potencial dano versus o 
custo para a sua proteção dará uma dimensão da viabilidade, ou não, de se 
implementar as ações preconizadas. 
A análise proposta objetiva o reconhecimento da alta direção da 
empresa da importância dos investimentos em segurança da informação para a 
organização. Sem essa explicitação fica muito difícil para o gestor de TIC 
justificar os investimentos e gastos com os aparatos de segurança. Lembramos 
que a alta direção das organizações não precisa conhecer tecnologia mas deve 
saber muito bem como avaliar investimentos e os retornos financeiros 
esperados. É nessa linguagem que o gestor de TIC precisa fundamentar suas 
necessidades orçamentárias para oferecer a segurança desejada pela 
organização. 
Ao trazer a discussão sobre segurança da informação para o nível 
estratégico da organização, colocamos a questão em termos de danos 
potenciais e do eventual prejuízo financeiro que ele trará, se não for 
adequadamente tratado. Ao mesmo tempo, envolvemos toda a alta direção 
nessa questão facilitando a implantação de procedimentos e normas de 
controle e gestão de informação. Notem que em nenhum momento da 
discussão com a alta direção, são abordadas as ferramentas e tecnologias 
envolvidas mas sim as questões financeiras envolvidas numa potencial invasão 
dos sistemas de informação. 
A alta direção da organização deve preservar os interesses dos 
acionistas (ou da sociedade, em caso de organizações públicas) e por isso 
deve estar bem informada sobre os investimentos a serem realizados, sejam 
eles para qual finalidade for. Cada valor investido deve ter, em contrapartida, 
um valor maior de retorno, caso contrário não vale a pena ser feito. Com a 
base de comparação investimento/retorno é sempre monetária, é fundamental 
que os gestores de TIC consigam transformar os benefícios esperados com 
seus investimentos em valores monetários comparáveis com os valores a 
serem investidos. 
Aqui reside o maior desafio para os gestores de TIC: converter 
benefícios intangíveis em benefício monetizados. É preciso ter sempre em 
mente que todo gasto com TIC deve ser encarado como um investimento e, 
Governança da Segurança da Informação 
 
6 
 
portanto, deve trazer benefícios financeiros tangíveis e mesuráveis. O 
envolvimento dos setores afetados com a maior exposição ao risco ajuda a 
estabelecer o valor do eventual dano para a empresa. 
Uma informação terá maior probabilidade de ser atacada quanto maior o 
valor dela para o atacante. Por essa razão, a ponderação do dano potencial 
pela probabilidade de ocorrência, como fazemos nas análises de riscos de 
projetos, não é suficiente para a definição dos investimentos necessários para 
a mitigação desses riscos. É preciso avaliar também os impactos desses 
ataques para a imagem e reputação da organização junto ao seu mercado. 
Com e elevado grau de digitização das empresas e da sociedade, o 
acesso indevido a dados empresariais passou a ser muito fácil e rentável para 
os hackers e crackers. Os melhores programadores são contratados por 
empresas criminosas especializadas em roubar dados relevantes ou até 
mesmo “sequestrar” diretórios inteiros cobrando assim um resgate para liberar 
esses dados1. 
Não são apenas empresas que estão sujeitas ao roubo de dados. As 
pessoas físicas também podem ser afetadas. Recentemente um famoso site de 
encontros extraconjugais teve os dados dos seus usuários roubados e foi 
ameaçado de divulga-los se não se retratasse publicamente. Como a empresa 
não cedeu aos criminosos esses dados foram tornados públicos. Alguns 
usuários receberam ainda ameaças de divulgação pública do seu nome e das 
conversas trocadas no site se eles não fizessem um pagamento em Bitcoins2 
para esses criminosos. 
 
 
 
1 O sequestro de arquivos é feito através do acesso criminoso aos arquivos e a criptografia deles com 
chave conhecida apenas pelo sequestrador. Se a empresa não tiver backups seguros e atualizados 
desses dados ela poderá ser obrigada a pagar o resgate cobrado para poder receber a chave de 
criptografia usada pelos criminosos. 
2 Bitcoins é uma moeda virtual muito usada em transações na Internet e que, por não ter registro 
público, dificulta o rastreamento do seu fluxo. 
Governança da Segurança da Informação 
 
7 
 
Referências 
FOINA, P.R., Tecnologia da informação: planejamento e gestão, 3ª edição, Ed. 
Atlas, 2013 
DOHERTY, N.F., FULFORD, H., Aligning the information security policy qwith 
the stracegic information systems plan, Computer & Security, 2005, vol. 25 
Da VEIGA, A., ELOFF , J.H.P., A framework and assessment instrument for 
information security culture, Computers & Security, 2010, Vol. 29 
 
Sobre o autor 
 
 
Paulo Rogério Foina 
 
Físico com mestrado e doutorado em informática. 
Professor, executivo e empresário de computação há 
mais de 30 anos. Coordena os cursos de graduação em 
Ciência da Computação e o programa de pós-graduação 
em Gestão de Tecnologia (Governança de TI e Gerência 
de Projetos de TI) do Centro Universitário de Brasília - 
UniCEUB 
 
 
 
Governança da Segurança da Informação 
 
8 
 
 
Governança da Segurança da Informação 
 
9 
 
CAPÍTULO 1 
 
 CONCEITOS E PRINCÍPIOS 
DA SEGURANÇA DA INFORMAÇÃO 
 
Autor: Fábio Cabral Torres 
 
 
1.1 Segurança da Informação 
De uma forma simples e direta, a Informação pode ser definida por um 
conjunto de dados tratados e organizados de tal maneira que tragam algum 
significado ou sentido dentro de um dado contexto. 
A título de exemplo, imagine um encontro entre dois profissionais onde 
um deles, em um determinado momento, proferisse somente a palavra 
“Segurança”. A princípio, tal palavra não traz nenhum sentido ao profissional 
receptor da mensagem. Não há um contexto; Não há um significado. Portanto, 
até o momento, a palavra “Segurança” representou apenas um dado qualquer, 
um dado bruto, um fato, um elemento não interpretado.Entendido isto, imagine a mesma situação, porém, com uma pequena 
mudança: O profissional profere uma mensagem da seguinte forma “Estudo 
Segurança da Informação”. Perceba que desta maneira, o profissional receptor 
da informação será capaz de compreender a mensagem. Portanto, a presença 
de um contexto definido (neste caso, o contexto da segurança da informação) e 
da organização e tratamento dos dados não interpretados (estudar, segurança 
e informação) trouxe um sentido (significado) para a frase. 
Trazendo este entendimento para o lado das organizações, a 
informação não se trata de um conceito atual. Desde a Era Industrial (inclusive 
antes disso) até os dias de hoje, a informação é consumida para suprir 
determinadas necessidades como tomada de decisões estratégicas, 
incremento de produtividades, aumento da competitividade no mercado, 
redução de custos, publicidades e marketing, prospecções de negócios, 
construções de pontes, investimentos em bolsas de valores, compra de 
produtos, dentre várias outras. A informação é crítica para negócio de uma 
organização. Importante destacar também que a informação pode assumir 
diferentes formas como informação falada, escrita, guardada eletronicamente, 
impressa, etc. 
Devido à tamanha importância da informação, a necessidade de 
protegê-las passou a ser crucial para estas organizações. Afinal de contas, que 
empresa quer que suas estratégias de negócio sejam vistas pelos seus 
Governança da Segurança da Informação 
 
10 
 
concorrentes? Ou que executivo, em um momento de decisão de compra de 
uma determinada empresa, gostaria de ter sua informação manipulada e 
alterada? De fato, percebe-se que a falta de uma correta abordagem da 
segurança da informação pode trazer altíssimos prejuízos para uma empresa. 
Definido o conceito de informação, faz-se necessário definir o que seria 
a Segurança da Informação. Há várias definições de diversos autores, porém, 
destacam-se três, sendo as duas primeiras mais formais e a terceira, mais 
comum: 
1) Preservação da confidencialidade, integridade e 
disponibilidade da informação; adicionalmente, outras 
propriedades, tais como autenticidade, responsabilidade, 
não repúdio e confiabilidade, podem também estar 
envolvidas. (ABNT NBR ISO/IEC 27002: 2005) 
2) Podemos definir a Segurança da Informação como uma 
área do conhecimento dedicada à proteção de ativos da 
informação contra acessos não autorizados, alterações 
indevidas ou sua indisponibilidade. (Sêmola, 2003, p. 43). 
3) A segurança de informação é caracterizada pela 
aplicação adequada de dispositivos de proteção sobre um 
ativo ou um conjunto de ativos visando preservar o valor que 
este possui para as organizações. A aplicação destas 
proteções busca preservar a confidencialidade, a integridade 
e a disponibilidade (CID), não estando restritos somente a 
sistemas ou aplicativos, mas também informações 
armazenadas ou veiculadas em diversos meios além do 
eletrônico ou em papel. (Bastos & Caubit, 2009, p. 17). 
Verificado os conceitos expostos acima, percebe-se um aspecto 
comum a todos eles: os elementos “confidencialidade, integridade e 
disponibilidade” – conhecidos por diversos autores como “CID”. Tais elementos 
não são uma mera coincidência, mas sim, os três pilares principais (ou 
princípios básicos) da Segurança da Informação. 
Como diria (Lyra, 2008, p.4), 
Quando falamos em segurança da informação, estamos nos 
referindo a tomar ações para garantir a confidencialidade, 
integridade, disponibilidade e demais aspectos da 
segurança das informações dentro das necessidades do 
cliente. 
Vejamos os conceitos destes três principais pilares: 
• Confidencialidade: “Garantia de que o acesso à informação é 
restrito aos seus usuários legítimos.” (Beal, 2008, p. 1). Ou seja, 
seu acesso é permitido apenas a determinados usuários. 
Governança da Segurança da Informação 
 
11 
 
• Integridade: “Toda informação deve ser mantida na mesma 
condição em que foi disponibilizada pelo seu proprietário, 
visando protegê-las contra alterações indevidas, intencionais ou 
acidentais” (Sêmola, 2003, p. 45). Ou seja, informação não 
adulterada. 
• Disponibilidade: “Garantia de que a informação e os ativos 
associados estejam disponíveis para os usuários legítimos de 
forma oportuna” (Beal, 2008, p. 1). Ou seja, independente da 
finalidade, a informação deve estar disponível. 
Além destes, segundo Lyra (2008, p.4), podemos citar mais alguns 
aspectos complementares para garantia da segurança da informação: 
• Autenticação: “Garantir que um usuário é de fato quem alega 
ser”. 
• Não repúdio: “Capacidade do sistema de provar que um 
usuário executou uma determinada ação”. Lyra (2008, p.4) 
• Legalidade: “Garantir que o sistema esteja aderente à 
legislação”. 
• Privacidade: “Capacidade de um sistema de manter anônimo 
um usuário, impossibilitando o relacionamento entre o usuário e 
suas ações”. 
• Auditoria: “Capacidade do sistema de auditar tudo o que foi 
realizado pelos usuários, detectando fraudes ou tentativas de 
ataque”. 
A segurança da informação é alcançada através de um conjunto de 
práticas e atividades como a definição/elaboração de processos, políticas de 
segurança da informação (PSI), procedimentos, treinamento de profissionais, 
uso de ferramentas de monitoramento e controle, dentre outros pontos. 
E o que proteger? Aquilo que tenha algum valor para seu 
negócio/organização: Os ativos de informação! 
 
1.2 Ativo de Informação 
De acordo com a ISO/IEC 27001:2005, um ativo é “qualquer coisa que 
tenha valor para organização”. Portanto, podem existir diversos tipos de ativos 
incluindo a própria informação (contratos e acordos, documentações de 
sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de 
continuidade, etc), pessoas e suas qualificações/experiências, ativos de 
software (sistemas, aplicativos, ferramentas, etc), ativos físicos (mídias 
Governança da Segurança da Informação 
 
12 
 
removíveis, equipamentos computacionais, equipamentos de comunicação, 
etc), serviços (iluminação, eletricidade, refrigeração, etc) e aqueles que são 
intangíveis como é o caso da reputação da organização. (ABNT NBR ISO/IEC 
27002:2005) 
 
 
Fonte: LYRA (2008) – Adaptado pelo Autor 
Um dos fatores críticos de sucesso para a garantia da segurança da 
informação é a correta identificação, controle e constante atualização dos 
diferentes tipos de ativos (inventário). Com a finalidade de alcançar uma 
correta proteção, torna-se importante conhecer o que seria a Gestão de Ativos. 
Como principio básico, é recomendado que todo ativo seja identificado 
e documentado pela organização. A cada um deles deve-se estabelecer um 
proprietário responsável cujo qual lidará com a manutenção dos controles. 
Controles estes que podem ser delegados a outros profissionais, porém, 
sempre sob a responsabilidade do proprietário. 
Pode-se resumir o que foi dito nos dois parágrafos acima pelo quadro 
abaixo: 
Quadro 1: Gestão de Ativos – Responsabilidade pelos Ativos 
 
 
Fonte: ABNT NBR ISO/IEC 27001:2006 
Governança da Segurança da Informação 
 
13 
 
Sabendo da responsabilidade dos ativos, deve-se realizar a sua correta 
classificação com base na importância, criticidade, sensibilidade e seu valor 
para o negócio. Como resultado, será possível definir os níveis adequados de 
proteção. (ABNT NBR ISO/IEC 27002: 2005) 
Quadro 2: Gestão de Ativos – Classificação da Informação 
 
 
 
De acordo com Beal (2008, p. 63), a classificação dos ativos “ocorre de 
acordo com o valor e o grau de sensibilidade atribuído pela organização”. Logo, 
muitos ativos com alto grau de sensibilidade, alto impacto no negócio ou no 
processo, resultam em alto investimento. 
Uma criteriosa classificação dos ativos está diretamente ligadaao 
custo dispendido para “proteger” (não somente a classificação), visto que, 
através desta, serão definidos o que tem necessidade de ser protegido e o que 
não tem. Destaca-se que nem todo ativo tem alto grau de sensibilidade, 
portanto, nem todo ativo deve ser protegido. 
A classificação eficiente é aquela que considera as necessidades do 
negócio, consequentemente, convém que seja feita por alguém que possua 
elevado conhecimento do negócio da organização. 
Para mais detalhes sobre classificação dos ativos, vide capítulo 4 mais 
adiante. 
 
1.3 Vulnerabilidade 
A vulnerabilidade está intimamente ligada ao ponto fraco de um ativo, 
ou seja, pode ser entendida como uma fragilidade. Trata-se de um erro no 
procedimento (no caso de sistemas), falha de um agente ou má configuração 
dos aplicativos de segurança, de maneira não proposital ou proposital, gerando 
assim, uma informação não confiável. Quando isso ocorre, temos um 
“rompimento” de um ou mais princípios da segurança da informação. 
Beal (2008, p. 14) elucida o conceito de vulnerabilidade como sendo 
uma “fragilidade que poderia ser explorada por uma ameaça para concretizar 
um ataque”. 
Em complemento a este conceito, Lyra (2008, p.06) afirma que: 
Fonte: ABNT NBR ISO/IEC 27001:2006 
Governança da Segurança da Informação 
 
14 
 
Essas vulnerabilidades poderão ser exploradas ou não, 
sendo possível que um ativo da informação apresente um 
ponto fraco que nunca será efetivamente explorado. 
 
Após serem detectadas falhas é necessário tomar algumas 
providências. O primeiro passo é identificar a falha, onde esta aconteceu e 
tentar corrigi-la da melhor maneira. 
Sêmola (2003, p.48) cita exemplos de vulnerabilidades: 
 
Físicas - Instalações prediais fora do padrão; salas de CPD 
mal planejadas; falta de extintores, detectores de fumaça e de 
outros recursos para combate a incêndio em sala com armários 
e fichários estratégicos; risco de explosões, vazamento ou 
incêndio. 
Naturais - Computadores são suscetíveis a desastres naturais, 
como incêndios, enchentes, terremotos, tempestades, e outros, 
como falta de energia, acúmulo de poeira, aumento umidade e 
de temperatura etc. 
Hardware - Falha nos recursos tecnológicos (desgaste, 
obsolescência, má utilização) ou erros durante a instalação. 
Software - Erros na instalação ou na configuração podem 
acarretar acessos indevidos, vazamento de informações, perda 
de dados ou indisponibilidade do recurso quando necessário. 
Mídias - Discos, fitas, relatórios e impressos podem ser 
perdidos ou danificados. A radiação eletromagnética pode 
afetar diversos tipos de mídias magnéticas. 
Comunicação - Acessos não autorizados ou perda de 
comunicação. 
Humanas - Falta de treinamento, compartilhamento de 
informações confidenciais, não execução de rotinas de 
segurança, erros ou omissões; ameaça de bomba, sabotagens, 
distúrbios civis, greves, vandalismo, roubo, destruição da 
propriedade ou dados, invasões ou guerras." 
 
1.4 Ameaça 
No começo deste capítulo, ao definirmos o conceito de Segurança da 
Informação, foi lançada a seguinte questão: “O que proteger?”. A partir de 
então, foi destacado que o objetivo da segurança era garantir a 
confidencialidade, integridade e disponibilidade (e, como vimos, vários outros 
aspectos) dos elementos de valor da organização, ou seja, dar proteção 
adequada aos ativos da informação que representassem alta 
Governança da Segurança da Informação 
 
15 
 
sensibilidade/criticidade para o negócio, preservando assim, os pilares da 
segurança da informação. 
Após a questão “O que proteger” podemos inserir um novo elemento 
para discursão: “Contra que será protegido?”. A resposta para esta pergunta é 
relativamente simples: De ameaças! 
Beal (2008, p.14) define ameaça como sendo “a expectativa de 
acontecimento acidental ou proposital, causado por um agente, que pode afetar 
um ambiente, sistema ou ativo de informação”. Estes agentes podem ser 
pessoas, eventos, meio ambiente, sistemas, etc. 
Exemplos de ameaças acidentais são falhas de hardware, desastres 
naturais, erros de programação, etc; enquanto que ameaças propositais podem 
entendidas por roubos, invasões, fraudes, dentre outros. 
No que tange às ameaças propositais, podem ser passivas ou ativas, 
como podemos ver na explicação de Dias (2000, p.57): 
• Ativas: “Envolvem alteração de dados”. 
• Passivas: “Envolvem invasão e/ou monitoramento, mas sem 
alteração de informações”. 
Sêmola (2003, p. 47) também classifica as ameaças quanto a sua 
intencionalidade assumindo que as mesmas podem ser divididas em três 
grupos: 
• “Naturais: Ameaças decorrentes de fenômenos da natureza” 
• “Involuntárias: Ameaças inconsistentes, quase sempre 
causadas pelo desconhecimento.” 
• “Voluntárias: Ameaças propositais causadas por agentes 
humanos como hackers, invasores, espiões, ladrões, criadores e 
disseminadores de vírus de computador, incendiários.” 
 
1.5 Ataque 
Conhecidos os conceitos de Vulnerabilidade e Ameaça, torna-se fácil 
compreender o que seria um ataque. Segundo Beal (2008, p.14), trata-se de 
um “evento decorrente da exploração de uma vulnerabilidade por uma 
ameaça”, em outras palavras um ataque representa a concretização de uma 
ameaça. 
Ataques podem ter como foco diferentes princípios da segurança. Um 
exemplo seria a invasão de uma rede corporativa por um hacker a deixando 
inoperante. Tal resultado está diretamente ligado ao princípio da 
disponibilidade, visto que, a informação requerida pelo usuário provavelmente 
não poderá ser acessada (não estará disponível). Em complementação a essa 
Governança da Segurança da Informação 
 
16 
 
situação hipotética, suponhamos que o mesmo invasor, além de tornar a rede 
inoperante, tenha adulterado um arquivo, logo, além da quebra da 
disponibilidade, este acaba de praticar a quebra de integridade. 
Segundo Dias (2000, p.77), os ataques podem ser categorizados em 
passivos e ativos: 
• Passivos: São aqueles que não interferem no conteúdo 
do recurso que foi atacado, como por exemplo, observação e 
conhecimento de informações armazenadas nos sistemas 
institucionais ou análise de tráfego de uma rede. 
• Ativos: Prejudicam diretamente o conteúdo do recurso 
atacado, modificando e eliminando informações ou gerando 
informações falsas. 
 
1.6 Incidente de Segurança 
Conforme exposto na ISO/IEC TR 18044:2004, um incidente pode ser 
entendido por “um simples ou uma série de eventos de segurança da 
informação indesejados ou inesperados, que tenham uma grande probabilidade 
de comprometer as operações do negócio e ameaçar a segurança da 
informação”. Ou seja, eventos de segurança indesejados que violem algum dos 
principais aspectos da segurança da informação (Confiabilidade, integridade, 
disponibilidade, dentre outros). 
São exemplos de incidentes de segurança a perda da integridade de 
informações, divulgações indevidas, desastres causados por fenômenos da 
natureza (incendidos, inundações, etc), quedas de energia, greves, invasões 
por hackers, defeito em equipamentos e muitos outros. 
Outro conceito que une definição e exemplo prático de incidente de 
segurança foi explanado por Beal (2008, p. 15): 
Incidente: evento com consequências negativas resultante 
de um ataque bem-sucedido. Exemplos de incidentes: 
dados incorretos armazenados num sistema, inundação que 
danifica máquinas do CPD, pagamento indevido em 
decorrência da inclusão indevida de fatura de compra no 
sistema. Tais incidentes podem não se concretizar, em caso 
de ataque, se houver controles suficientes para interrompê-
los (rejeição de dados incorretos inseridos pelos usuários, 
barreiras e alertas para evitar que o vazamento de água 
atinja os equipamentos, controles gerenciais que impeçam o 
pagamento sem a prévia conferência por umsupervisor). 
Para fornecer orientações a respeito do gerenciamento de incidentes 
de segurança da informação voltadas a organizações de grande e médio porte, 
não podemos deixar de destacar a ISO/IEC 27035:2011. Seu escopo 
Governança da Segurança da Informação 
 
17 
 
apresenta uma abordagem estruturada e planejada para as seguintes 
atividades (porém não se limitando): 
• Detectar, relatar e avaliar os incidentes de segurança da informação; 
• Responder e gerenciar incidentes de segurança da informação; 
• Melhorar continuamente a segurança da informação e o gerenciamento 
de incidentes; 
A falta de uma correta gestão dos incidentes de segurança da 
informação podem causar sérios danos para os negócios. Em outras palavras, 
um incidente pode ou não trazer um impacto, sendo este último mensurado 
pela consequência que este causa ao ativo da organização. Logo, um ativo de 
considerável valor implica em alto impacto e vice-versa. 
 
 
1.7 Probabilidade e Impacto 
A Probabilidade é a possibilidade de uma falha de segurança 
acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as 
ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06). 
Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas. Em um 
entendimento mais simples, podemos dizer que a probabilidade trata-se das 
“chances” de uma vulnerabilidade se tornar uma ameaça. 
É perfeitamente possível que um ativo possua várias vulnerabilidades 
que não representem ameaças, ou seja, podemos falar de uma probabilidade 
próxima de zero. Porém, é possível que todas essas vulnerabilidades se 
tornem ameaças. 
Em se tratando de impacto, diferente da probabilidade, este se 
“localiza” após o incidente. Em outras palavras isso significa que um incidente 
de segurança da informação pode ou não causar um impacto nos 
processos/negócios da organização. 
Segundo Beal (2008, p.14) seria um “efeito ou consequência de um 
ataque ou incidente para a organização.". 
Complementando este conceito, podemos citar o trecho em que Lyra 
(2008, p.07) explica o que seria um impacto: 
"O impacto de um incidente de segurança é medido pelas 
consequências que possa causar aos processos de 
negócios suportados pelo ativo em questão. Os ativos 
possuem valores diferentes, pois suportam informações com 
relevâncias diferentes para o negócio da organização. 
Quanto maior for o valor do ativo, maior será o impacto de 
um eventual incidente que possa ocorrer." 
Governança da Segurança da Informação 
 
18 
 
Dias (2000, p.69) informa que o impacto pode ser pode ser de curto ou 
longo prazo em função do tempo em que atinge significativamente os negócios 
da instituição. Dentro deste contexto, temos as seguintes categorias: 
0. Impacto irrelevante 
1. Efeito pouco significativo, sem afetar a maioria dos processos de 
negócios da instituição. 
2. Sistemas não disponíveis por um determinado período de tempo, 
podendo causar perda de credibilidade junto aos clientes e pequenas 
perdas financeiras. 
3. Perdas financeiras de maior vulto e perda de clientes para a 
concorrência. 
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da 
instituição. 
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição. 
Portanto, conhecidos os conceitos de Ativos de Informação, 
Vulnerabilidades, Agentes, Ameaças, Ataques, Incidentes de Segurança e 
Probabilidade e Impacto, vejamos um esboço gráfico que explica a conexão 
entre todas essas características de uma maneira mais simples. 
Imagem 1: Resumo - Relacionamento entre Características dos Ativos de 
Informação 
Fonte: O autor 
Governança da Segurança da Informação 
 
19 
 
1.8 Referências 
BEAL, Adriana. Segurança da Informação. Princípios e Melhores Práticas 
para a Proteção dos Ativos de Informação nas Organizações. São Paulo. Atlas, 
2005 – Reimpressão 2008. 
BASTOS Alberto; CAUBIT, Rosângela. Gestão de Segurança da Informação. 
ISO 27001 e 27002 Uma Visão Prática. Rio Grande do Sul. Zouk, 2009. 
SÊMOLA, Marcos. Gestão da Segurança da Informação. Uma visão 
executiva. Rio de Janeiro. Elsevier, 2003 – 11º reimpressão. 
LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação 
Rio de Janeiro. Ciência Moderna, 2008. 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 
27001:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 
2006. 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 
27002:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 
2006. 
ISO/IEC 27035:2011 ISO/IEC 27035:2011, Disponível em: 
<http://www.iso.org/iso/catalogue_detail?csnumber=44379> Acesso em 03 de Outubro 
de 2015 
 
 
Sobre o autor 
 
 
Fábio Cabral Torres 
Consultor da área de Desenvolvimento de Negócios, 
graduado em Ciência da Computação e Pós-graduando 
em Governança da TI; atua na elaboração de propostas 
técnicas e comerciais para serviços de Outsourcing de TI 
nas áreas de Application Management Services (AMS) e 
Gestão Tecnológica. 
 
 
 
Governança da Segurança da Informação 
 
20 
 
 
 
Governança da Segurança da Informação 
 
21 
 
CAPÍTULO 2 
 
 O CICLO DE VIDA DA INFORMAÇÃO 
 
Autores : Leonardo Carvalho Lima 
Rosemberg de Oliveira Santos 
 
 
 O ciclo de vida da informação diz respeito a todos os momentos onde a 
informação é criada, até o momento da inutilidade dela acontecendo o 
descarte. 
A criação, obtenção, tratamento, distribuição, uso, armazenamento, 
descarte, podemos dizer, que essas etapas são a espinha dorsal da 
informação. 
O ciclo de vida da informação passa pela: 
 
1. Identificação das necessidades e dos requisitos (Criação) 
 Identificar as necessidades de informação dos grupos e indivíduos que 
integram a organização e de seus públicos externos é um passo fundamental 
para que possam ser desenvolvidos serviços e produtos informacionais 
orientados especificamente para cada grupo e necessidade interna e externa. 
O esforço de descoberta das necessidades e dos requisitos de informação é 
recompensado quando a informação se torna mais útil e os seus destinatários, 
mais receptivos a aplicá-la na melhoria de produtos e processos (usuários 
internos) ou no fortalecimento dos vínculos e relacionamentos com a 
organização (usuários externos). (BEAL, 2008) 
 
 
2. Obtenção 
 Nesta etapa são desenvolvidos procedimentos para captura e recepção 
da informação proveniente de uma fonte externa (Em qual quer mídia ou 
formato), ou da sua criação. 
 No caso da captura de informações de fontes externas, devemos ter a 
preocupação com integridade da informação, ou seja, é preciso garantir que é 
genuína, produzidas por pessoas ou entidades autorizadas, está completa e 
compatível com os requisitos apontados na etapa anterior. (LYRA, 2008) 
Governança da Segurança da Informação 
 
22 
 
 
3. Tratamento 
Antes de estar em condições de ser aproveitada é comum que a 
informação precise passar por processos de organização, formatação, 
estruturação, classificação, análise, síntese, apresentação e reprodução, com o 
propósito de torná-la mais acessível, organizada e fácil de localizar pelos 
usuários. Nesta etapa, a preocupação com a integridade continua em 
evidência, principalmente se estiverem envolvidas técnicas de adequação do 
estilo e adaptação de linguagem, contextualização e condensação da 
informação, entre outras. 
O uso dessas técnicas deve levar em conta a preservação das 
características de quantidade e qualidade necessárias para que a informação 
efetivamente sirva ao fim a que se propõe. No caso das atividades de 
reprodução da informação para posterior distribuição, as questões relacionadas 
à preservação da confidencialidade podem adquirir grande relevância, uma vez 
que a existênciade diversas cópias de uma mesma informação, qualquer que 
seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo, 
etc.), amplia os problemas de restrição de acesso aos usuários devidamente 
autorizados. (BEAL, 2008) 
 
4. Distribuição 
 Esta etapa consiste em levar a informação até seus consumidores. 
Quanto mais capilar for a rede de distribuição, mais eficiente será esta etapa. 
Fazendo chegar a informação certa a quem necessita dela para tomada de 
decisão. (LYRA, 2008) 
 
5. Uso 
O uso é sem dúvida a etapa mais importante de todo o processo de 
gestão da informação, embora seja frequentemente ignorado nos processos de 
gestão das organizações. 
 
Não é a existência da informação que garante melhore resultados 
em uma organização, mas sim o uso, dentro de suas finalidades 
básicas: conhecimento dos ambientes interno e externo da 
organização e atuação nesses ambientes (Chaumier, 1986). 
 
Na etapa de uso, os objetivos de integridade e disponibilidade devem 
receber atenção especial: uma informação deturpada, difícil de localizar ou 
indisponível pode prejudicar os processos decisórios e operacionais da 
organização. Como já mencionado, a preocupação com o uso legítimo da 
informação pode levar a requisitos de confidencialidade, destinados a restringir 
Governança da Segurança da Informação 
 
23 
 
o acesso e o uso de dados e informação as pessoas devidamente autorizadas. 
(BEAL, 2008) 
 
6. Armazenamento 
 
 Momento em que a informação é armazenada seja em um banco de 
dados compartilhado, em uma anotação de papel posteriormente postada em 
um arquivo de ferro, ou ainda, em uma mídia de disquete depositada na gaveta 
da mesa de trabalho, por exemplo. (SEMOLA, 2003) 
 
7. Descarte 
 
Quando uma informação torna-se obsoleta ou perde a utilizada para a 
organização, ela deve ser objeto de processos de descarte que obedeçam a 
normas legais, políticas operacionais e exigências internas. Excluir dos 
repositórios de informação corporativos os dados e as informações inúteis 
melhoram o processo de gestão da informação de diversas formas: 
economizando recursos de armazenamento, aumentando a rapidez e eficiência 
na localização da informação necessária, melhorando a visibilidade dos 
recursos informacionais importantes etc. Entretanto, o descarte de dados e 
informação precisa ser realizado dentro de condições de Segurança, 
principalmente no que tange ao aspecto da confidencialidade, e, em menor 
grau, também de disponibilidade. No que tange à confidencialidade, o descarte 
de documentos e mídias que contenham dados de caráter sigiloso precisa ser 
realizado com observância de critérios rígidos de destruição segura (por 
exemplo, o uso de máquinas fragmentadoras para documentos em papel, ou 
de softwares destinados a apagar com Segurança arquivos de um 
microcomputador que, se simplesmente excluídos do sistema, poderiam ser 
facilmente recuperados com o uso de ferramentas de restauração de dados). 
Do ponto de vista da disponibilidade, as preocupações incluem a 
legalidade da destruição de informação que podem vir a ser exigidas no futuro 
e a necessidade de preservar dados históricos valiosos para o negócio, entre 
outras. 
São relativamente comuns os casos de descoberta de informações 
sigilosas ou dados pessoais sujeitos a normas de privacidade em 
computadores usados quando estes são transferidos de área, doados ou 
vendidos durante um processo de renovação do parque de computadores da 
organização. A existência de procedimentos formais de descarte de 
computadores e mídias pode evitar constrangimentos e prejuízos à imagem e a 
credibilidade da organização, possibilitando que os itens descartados sejam 
auditados e tenham seus dados apagados de forma segura antes de serem 
transferidos para os novos proprietários. (BEAL 2008) 
Governança da Segurança da Informação 
 
24 
 
 
Riscos e ameaças à informação durante o ciclo de vida 
 
Para mitigarmos os eventos de riscos de segurança da informação, 
podemos adotar as seguintes medidas: 
 A tabela 01 (STONEBURNER, 2004), apresenta a relação entre 
uma descrição de cada objetivo de segurança (Integridade, disponibilidade e 
confidencialidade) com as consequências ou impactos caso tais objetivos não 
sejam alcançados. 
 
Tabela 01 – Objetivo de segurança e sua consequência para a organização. 
 
Objetivo de segurança Causa e consequências 
Perda de integridade 
 
Causa: 
Modificações não autorizadas sejam feitas de forma 
acidental ou intencional. Além disto, a violação da 
integridade pode ser o primeiro passo para um 
ataque com sucesso a disponibilidade ou 
confidenciabilidade da informação. 
Consequências: 
 – Imprecisão das informações, fraude; 
 – Tomada de decisão errada; 
 – Reduz a garantia da informação. 
Perda de 
disponibilidade 
Causa: 
Se as informações não estiverem disponíveis para 
o usuário final, a missão da organização pode ser 
afetado. 
Consequências: 
 – Perda de produtividade por parte dos usuários; 
 – Impedir que os usuários executem suas 
atividades normalmente. 
 
Perda de 
confiabilidade 
Causa: 
Divulgação das informações de forma não 
autorizada. 
Consequências: 
 – Comprometimento da credibilidade; 
 – Embaraço ou ação legal contra a organização. 
Fonte: STONEBURNER (2004, p.25) 
 
Referências 
 
Governança da Segurança da Informação 
 
25 
 
ADACHI, Tomi. Gestão de Segurança em Internet Banking - São Paulo: FGV, 
2004. 121p. Mestrado. Fundação Getúlio Vargas - Administração. Orientador: 
Eduardo Henrique Diniz. 
 
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento 
de Software - Como desenvolver sistemas seguros e avaliar a segurança de 
aplicações desenvolvidas com base na ISO 15.408. Editora Campus. Rio de 
Janeiro, 2002. 
 
CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em Informática e 
de Informações - São Paulo: Editora SENAC São Paulo, 1999. 
 
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel 
Books. Rio de Janeiro, 2000. 
 
SEMOLA, MARCOS. Gestão da Segurança da Informação. Uma visão 
executiva Rio de janeiro: Editora Elsevier, 2003 
 
BEAL, ADRIANA. Segurança da informação. Princípios e melhores práticas 
para a Proteção dos Ativos de Informação nas Organizações. 
São Paulo: Editora Atlas- 2008 
 
LYRA, MAURICIO ROCHA. Segurança e Auditoria em Sistemas da 
Informação.Rio de janeiro: Editora Ciência Moderna Ltda-2008 
 
Stoneburner, Gary GOGUEN. Alice & FERINGA.Alexis : Risk Management 
Guide for Information Technology Systems, NIST, Washington, 2004. 
 
CUNHA, Renato Menezes. Modelo de governança da segurança da 
informação no escopo da governança computacional. Recife, 2008. 
 
 
 
Governança da Segurança da Informação 
 
26 
 
Sobre os autores 
 
 
Leonardo Carvalho Lima de Sousa. 
 
Formando em Redes de computadores, Pós graduando 
em Governança de TI, atua na area a 7 anos ,com foco 
em areas voltadas para gestão de TI . 
 
 
Rosemberg de Oliveira Santos 
 
Escriturário do Banco de Brasília S.A, graduado em 
Gestão de Tecnologia da Informação e Pós-graduando em 
Governança da TI 
 
 
Governança da Segurança da Informação 
 
27 
 
CAPÍTULO 3 
 
ORGANIZAÇÃO DA SEGURANÇA DA 
INFORMAÇÃO 
 
Autor: Edilberg Nunes Barros 
Luana de Souza Estrela 
 
Diante das mudanças presenciadas por organizações de todo o mundo 
no cotidiano de suas atribuições corporativas e pela necessidade de 
acompanhar essas mudanças sem prejuízos informacionais e materiais, a 
tecnologia da informação tem sido utilizada nos diversos setores 
organizacionais com o objetivo de agregar valor ao negócio, minimizando as 
taxas de erros e aumentando o retorno do investimento aos acionistas. 
Atualmente a arquitetura corporativaé o termo, o conceito e a 
estrutura utilizados para transportar a organização do estágio do 
uso técnico da tecnologia para o estágio do uso direcionado dessa 
tecnologia para negócio. Isto exige transparência dos objetivos de 
negócio, padronizações, uso de soluções corporativas sem 
esquecer situações específicas, uso efetivo de governança e, 
sobretudo, desejo verdadeiro do comando da organização para 
isso. (Fontes, 2008, p.43). 
Entende-se que a arquitetura corporativa associa a tecnologia da 
informação com o objetivo de negócio e se tratando de tecnologia, existe a 
preocupação com a segurança da informação. A arquitetura da segurança da 
informação é um elemento da arquitetura corporativa, que para Fontes (2008), 
tem uma característica distinta dos outros elementos. Ela na sua estrutura 
permeia por todos os elementos da arquitetura corporativa. 
Uma arquitetura de segurança define padrões e estruturas que 
devem ser seguidas pela organização com o objetivo de proteger 
a informação considerando os requisitos de negócio. Caso a 
organização esteja muito confusa na pratica teremos um modelo a 
ser alcançado com dificuldade. Caso a organização esteja menos 
confusa, com algum esforço alcançaremos a situação desejada. 
(Fontes, 2008, p. 44). 
Espera-se que esta estrutura possibilite soluções para a corporação 
de modo a intensificar os controles de segurança da informação existentes, 
tomando por base, dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é 
prover um modelo para estabelecer, implementar, operar, monitorar, analisar 
Governança da Segurança da Informação 
 
28 
 
criticamente, manter e melhorar um Sistema de Gestão de Segurança da 
Informação (SGSI). 
Para Fontes (2008), a governança é a gestão da gestão, sendo 
necessário que exista o básico da gestão da segurança da informação. Muitas 
organizações não possuem essa gestão básica e adotam a governança de 
tecnologia da informação. Para a gestão da segurança existir, Fontes (2008) 
sugere que alguns requisitos sejam implementados, sendo que o primeiro deles 
é a existência de uma pessoa responsável pelo processo de segurança da 
informação, não sendo essa pessoa responsável pela segurança, mas, 
responsável pelo processo de segurança, que terá como consequência uma 
boa política de segurança da informação implementada. 
O mesmo Fontes (2008), aponta a necessidade de disponibilidade 
financeira, tempo e recursos operacionais para a implementação do processo 
de segurança da informação e sua gestão, e por fim e não mais importante que 
os itens acima apresentados Fontes preconiza a necessidade de existir um 
processo de segurança que se inicie na alta administração da organização, 
uma vez que este processo interfere em muitos aspectos da organização e 
principalmente nas pessoas e cultura organizacional. 
Neste contexto a literatura já elaborada para a segurança da 
informação sugere o desenvolvimento de uma estrutura que dê suporte físico e 
geográfico aos processos de implementação de segurança, dentre os quais, 
apresenta-se o Escritório da Segurança da Informação, cujo objetivo é 
centralizar os recursos humanos, materiais e estruturais necessários ao 
desenvolvimento, implantação e acompanhamento das políticas de SI, ou como 
ocorre em alguns casos, os Comitês de Segurança da Informação, cujos 
objetivos assemelham-se aos do Escritório, porém, sem a necessidade de 
centralização dos recursos humanos, materiais e estruturais, necessários ao 
processo. 
 
Modelos da Organização da Segurança da Informação 
 
No que diz respeito às atribuições de cada uma das estruturas acima 
descritas, ambas possuem os mesmos propósitos, a saber: 
 
� Analisar o posicionamento da empresa no mercado em que se situa, 
visando mapear seus clientes, fornecedores, concorrentes, produtos/ 
serviços e os riscos que cada um destes pode representar à empresa; 
� Definir as políticas de controle de acesso físico às instalações da 
empresa; 
Governança da Segurança da Informação 
 
29 
 
� Implementar os aspectos sócio-técnicos da Segurança da Informação, 
mapeando as características sociais referentes ao ambiente da 
organização e as pessoas que nela vivem e trabalham; 
� Definir as políticas de controle de acesso lógico aos dados 
organizacionais; 
� Desenvolver a matriz de riscos do negócio, identificando, priorizando e 
qualificando todos os riscos inerentes ao processo mapeando pelo 
menos uma resposta a cada risco identificado; 
� Garantir a sustentabilidade do processo de controle da segurança da 
informação; 
� Escrever e implementar os acordos de nível de serviço de segurança da 
informação na empresa; 
� Avaliar novas tecnologias e suas devidas adequações e aplicações nos 
processos de segurança da informação organizacional; 
� Mapear e definir os planos de contingência dos processos 
organizacionais; 
� Definir os procedimentos a serem adotados em situações de crises, 
emergências e desastres para a continuidade de negócio; 
� Avaliar o nível de proteção atual dos processos organizacionais; 
� Garantir a eficácia dos processos da segurança da informação por meio 
de testes periódicos; 
� Desenvolver políticas de treinamento de funcionários visando garantir o 
comprometimento destes com os processos de SI organizacionais; 
� Aplicar políticas de certificação digital de segurança da informação; 
� Implementar políticas de desenvolvimento de software seguro; 
� Definir políticas de controle de versão de arquivos; 
� Promover auditorias nos processos sistêmicos organizacionais; 
� Regulamentar as políticas de uso dos recursos informacionais da 
empresa (computadores, redes de dados, e-mails corporativos, 
ferramentas de redes sociais, etc.). 
A implantação do Escritório de Segurança da Informação requer 
disponibilidade de um ambiente próprio para as instalações físicas e estruturais 
que darão suporte ao desenvolvimento das atividades descritas no item 
anterior, proporcionando que a equipe de analistas de Segurança da 
Informação possa compartilhar experiências, atividades e rotinas inerentes ao 
processo de suas atribuições diárias. Esta estrutura deve permitir o 
desenvolvimento das atividades de segurança da informação e possui a grande 
vantagem de disponibilizar em tempo integral – e em um local exclusivo e de 
Governança da Segurança da Informação 
 
30 
 
conhecimento de toda empresa – os recursos humanos e tecnológicos 
necessários aos andamentos das atividades de SI. 
Esta estrutura apresenta a desvantagem de contribuir com um custo 
fixo no plano de contas da organização pincipalmente pelo fato de manter 
disponíveis em tempo integral a equipe do escritório de segurança da 
informação, seu parque tecnológico e o ambiente físico (espaço) das 
instalações. 
Uma alternativa muito utilizada em empresas de todo mundo para 
manter uma estrutura de SI fugindo dos altos custos encontrados na 
implantação dos Escritórios de SI, é a adoção dos Comitês de Segurança da 
Informação, cujos propósitos são os mesmos dos Escritórios de SI, porém não 
existe a dedicação exclusiva dos recursos humanos e também não existe a 
disponibilidade física de um local destinado exclusivamente a este propósito. A 
adoção de Comitês de SI apresenta a desvantagem de não se ter em tempo 
integral uma equipe disponível para o cumprimento das atividades da 
governança de segurança da informação, fato que permite que os custos de 
um Comitê de SI sejam muito mais baixos que os custos de implantação de um 
Escritório de SI. 
No caso dos Comitês de SI, os profissionais alocados nas atividades 
de governança de segurança da informação continuam com suas atividades 
seculares em seus postos de trabalho, compartilhando suas horas de trabalho 
diárias também com os processos do Comitê de SI, motivo principal pelo qual 
os Comitês de SI possuemum custo menor que os Escritórios de SI. 
Abaixo são apresentadas as vantagens e desvantagens, tanto do 
Escritório quanto do Comitê de Segurança da Informação: 
 
Tabela 1 - Vantagens e Desvantagens dos Escritórios e Comitês de SI 
 Vantagens Desvantagens 
Escritório de 
Segurança da 
Informação 
1. Disponibilidade da 
equipe em um local fixo 
2. Disponibilidade da 
equipe em tempo integral 
3. Atribuições da equipe 
somente focadas em 
segurança da informação 
1. Custo com local físico e 
equipamentos 
2. Custo com pagamento de 
pessoal específico para 
segurança de informação 
 
Comitê de 
Segurança da 
Informação 
1. Custo inexistente de 
pagamento para pessoal 
específico de segurança 
da informação 
2. Custo inexistente com 
local físico 
1. Não disponibilidade em 
tempo integral da equipe 
2. Equipe com diversas 
atribuições além de 
segurança da informação 
Fonte: os autores 
 
Governança da Segurança da Informação 
 
31 
 
Localização na estrutura organizacional 
 
A localização departamental da célula de governança da segurança da 
informação pode apresentar-se hierarquicamente no mesmo nível da diretoria 
de tecnologia da informação ou pode apresentar-se subordinada a essa. 
Abaixo são apresentadas estas duas estruturas organizacionais com suas 
características: 
1. Nesse modelo de estrutura organizacional a segurança da 
informação encontra-se subordinada à diretoria de TI, sendo assim, 
depende do orçamento da diretoria de TI e também das aprovações 
das políticas de TI. 
 
Figura 1 - Organograma funcional apresentando a gerencia de SI subordinada à diretoria de TI 
 
 
2. Nesse modelo de estrutura de TI, a segurança da informação 
encontra-se no mesmo nível hierárquico que a Diretoria de TI, sendo 
assim, possui seu próprio orçamento, ficando independente para 
criação de políticas e tomadas de decisões. 
 
Figura 2 - Organograma funcional apresentando a gerencia de SI n mesmo nível hierárquico da diretoria 
de TI 
 
 
Governança da Segurança da Informação 
 
32 
 
Profissionais da Segurança da Informação 
 
Tal qual ocorre nas demais áreas da tecnologia da informação, a 
governança de segurança da informação também conta com diversas 
especialidades de atribuições de recursos humanos. 
A necessidade da distribuição dos profissionais de segurança da 
informação dá-se ao fato de que cada profissional precisa responsabilizar-se 
por determinadas atribuições técnicas para o desempenho dos papéis na 
segurança da informação organizacional. 
A informação é algo muito importante para a empresa e sua 
existência, pois observa-se a crescente necessidade de proteger seus ativos 
informacionais, por isso várias normas foram escritas para subsidiara área de 
segurança da informação. Para que essas normas fossem colocadas em 
prática e com excelência pela organização, foi preciso capacitar pessoas e 
desenvolver profissionais específicos para que a segurança da informação 
exista na organização. Esses profissionais têm a responsabilidade de 
estruturar, desenvolver, implementar e auditar os processos de proteção da 
informação organizacional. 
De acordo com a NBR ISO/IEC 27002, o profissional de Segurança 
da Informação deve possuir algumas características e responsabilidades, 
dentre as quais, citam-se: 
� Garantir que as atividades da Segurança da Informação sejam 
executadas em conformidade com a política de Segurança da 
Informação; 
� Buscar soluções adequadas à realidade da organização; 
� Estruturar o processo de segurança; 
� Trabalhar em paralelo com a auditoria; 
� Saber por onde começar. 
Serão apresentadas abaixo as principais atribuições da governança 
de segurança da informação, ordenadas do mais alto cargo (importância na 
cadeia hierárquica da GSI) para o mais baixo cargo, em outras palavras, 
ordenados do cargo mais estratégico ao mais técnico: 
 
 
 
Governança da Segurança da Informação 
 
33 
 
CSO – Chief Security Officer (Diretor Geral) 
Em conformidade com a NBR ISO/IEC 27002, este é o profissional 
responsável por dirigir toda a cadeia da segurança da informação corporativa 
do nível técnico ao gerencial estratégico. Entre suas responsabilidades estão, 
organizar e coordenar as iniciativas da SI que buscam a eficácia e a eficiência 
para a organização, estabelece procedimentos e transações corporativos. 
O CSO além de segurança deve conhecer sobre negócios e 
participar de todas as ações estratégicas da empresa, implantar políticas e 
escolher as melhores práticas para a necessidade do negócio. Deve atentar a 
toda forma de segurança, não somente a tecnológica, mas também a 
segurança física do local. O CSO deve proporcionar à empresa a diminuição de 
riscos nas operações. 
Qual a formação necessária? 
� Ciência da Computação; 
� Engenharia da Computação; 
� Auditoria de Sistema; 
� Governança de Tecnologia da Informação. 
 
CISM – Certified Information Security Manager 
 
São os profissionais que gerenciam, projetam, supervisionam e 
avaliam a segurança das informações na organização. 
Que experiências deve possuir? 
� Governança de Segurança da Informação; 
� Gerenciamento de Riscos das Informações; 
� Gestão de Programas de Segurança da Informação; 
� Gestão de Incidentes e Respostas em Segurança da Informação. 
Qual a formação necessária? 
� Ciência da Computação; 
� Engenharia da Computação; 
� Auditoria de Sistema; 
� Governança de Tecnologia da Informação; 
� Análise e Desenvolvimento de Sistemas. 
Governança da Segurança da Informação 
 
34 
 
CISP – Certified Information Security Profissional 
São os profissionais que realizam e operam as rotinas e protocolos 
da segurança das informações na organização. 
Que experiências deve possuir? 
� Governança de Segurança da Informação; 
� Gerenciamento de Riscos das Informações; 
� Desenvolvimento de Programas de Segurança da Informação; 
� Gestão de Incidentes e Respostas em Segurança da Informação. 
Qual a formação necessária? 
� Ciência da Computação; 
� Engenharia da Computação; 
� Governança de Tecnologia da Informação; 
� Análise e Desenvolvimento de Sistemas. 
CISA - Certified Information Systems Auditor 
São os profissionais que supervisionam e auditam a segurança das 
informações na organização. 
Que experiências deve possuir? 
� Governança de Segurança da Informação; 
� Gerenciamento de Riscos das Informações; 
� Gestão de Programas de Segurança da Informação; 
� Gestão de Incidentes e Respostas em Segurança da Informação. 
Qual a formação necessária? 
� Auditoria de Sistema; 
� Governança de Tecnologia da Informação; 
� Administração de Empresas com ênfase em Tecnologia da Informação; 
� Análise e Desenvolvimento de Sistemas. 
 
Governança da Segurança da Informação 
 
35 
 
 
Referencia Bibliográfica 
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia 
da informação: técnicas de segurança. Rio de Janeiro, 2013. 
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Tecnologia 
da informação: técnicas de segurança. Rio de Janeiro, 2013. 
Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Tecnologia 
da informação: técnicas de segurança. Rio de Janeiro, 2011. 
Fontes, Edson. Políticas e normas para a Segurança da Informação, Editora 
BRASPORT, 1ª edição, 2012 
Fontes, Edson. Praticando a Segurança da Informação, Editora BRASPORT, 1ª 
edição, 2008. 
 
 
Sobre os autores 
 
 
Edilberg Nunes Barros. 
 
Analista de Infraestrutura de TI. Graduado em Sistemas de 
Informação. Certificado ITILV3F e ISO20000. Cursando 
MBA Governança de TI. 
 
 
Luana de Souza Estrela 
 
Graduação em Gestão Comercial pelo Senac DF, Pós- 
Graduação em Governançade TI pelo UniCeub, atua na 
área de Gerente Comercial. 
 
 
 
Governança da Segurança da Informação 
 
36 
 
 
Governança da Segurança da Informação 
 
37 
 
CAPÍTULO 4 
 
CLASSIFICAÇÃO DOS ATIVOS DA INFORMAÇÃO 
 
Autor: Carlos Alberto Schneider 
 
4.1 Classificação do Ativo da Informação 
 
 A ABNT NBR ISO/IEC 27005 (2011) define que “um ativo é algo 
que tenha valor para a organização” e a ABNT NBR ISO/IEC 27003 (2011) 
apresenta como diretrizes para implementação do Sistema de Gestão da 
Segurança da Informação a “classificação da informação (confidencialidade, 
integridade, disponibilidade, controle de acesso, não repúdio, e/ou outras 
propriedades importantes para a organização [...]). 
 A classificação abordada neste capítulo, busca manter o foco nas 
normas ABNT ISO/IEC, que trata da Segurança baseada nos três pilares; 
confidencialidade, integridade e disponibilidade. 
 
Figura 3 Momentos do ciclo de vida da informação, considerando os 
conceitos básicos da segurança e os aspectos complementares 
 
 
Fonte: Adaptado de Sêmola (2003, p 11); 
 
Governança da Segurança da Informação 
 
38 
 
4.1.1 Confidencialidade. 
 
 Sêmola (2003) entende que toda a informação e os dados que a 
compões devem ser protegidas conforme o grau de sigilo atribuído a ela. Isso 
remete ao fato de que toda a informação deverá ter sua classificação conforme 
o nível de sigilo atribuído a seu conteúdo, cada dado ou a informação deve 
estar acessível apenas a quem tem declarada autorização para conhece-la. 
 O Governo Brasileiro atribui os níveis Ultrassecreto, Secreto, 
Confidencial e Reservado, definido pelo Decreto nº 60.417, de 11 de março 
de 1967, já as empresas privadas costumam atribuir outras nomenclaturas 
como por exemplo: Restrita, Confidencial, Interna e Pública. A nomenclatura 
utilizada é uma adaptação de Lyra (2008) e Sêmola (2003), terá quatro 
níveis com os seguintes identificadores: Confidencial, Restrita, Interna e 
Pública. Esta classificação é meramente pedagógica, cada organização 
deve adotar a nomenclatura que melhor será entendia por seus 
intervenientes. Apesar de não ser obrigatório, o mais encontrado são quatro 
níveis de privacidade aplicados, porém pode ser utilizado mais ou menos 
níveis conforme a necessidade da organização. 
 A informação classificada como Confidencial, está no mais alto 
grau de restrição, apenas pessoas que comprovadamente necessitem da 
informação, poderão ter acesso a ela, em condições bem definidas e 
aceitas. São informações que representam grande valor para a empresa, e a 
exclusividade é um fator relevante para a manutenção do sua importância e 
valor. Algumas informações podem se enquadrar nesse nível por força legal. 
 O grau Confidencial, estabelece que deve estar claro quem pode 
ter acesso, e quem será responsabilizado caso identifique que parte ou toda 
a informação tornou-se pública, também deve ser definido como será feito a 
guarda, o acesso, o transporte ou transferência e o descarte, garantindo sua 
restrição. Recomenda-se atribuir um vencimento a essa classificação. Por 
exemplo: Um novo produto e sua estratégia de venda, é confidencial até o 
momento de seu lançamento, depois passa a ser pública. Outro exemplo de 
uma informação que pode ser classificada como confidencial: a fórmula de 
um remédio que ainda não foi registrado e patenteado. 
 Informações Restritas, são classificadas nesse nível de sigilo, as 
que representam ativos para a empresa, ou por se tratar de conhecimento 
exclusivo, ou por normativos externos. O acesso a este conteúdo por 
pessoas ou processos não autorizados, pode gerar perdas para a 
organização. Entretanto, são necessárias para algumas pessoas ou setores 
dentro da organização realizarem seu trabalho. As informações podem se 
manter como restritas por longos prazos, devido a isso o planejamento do 
armazenamento deve prever todo o período, o acesso, o transporte, e o 
descarte, também não podem ser negligenciados. 
 Exemplo de uma informação que pode ser classificada como 
restrita: o cadastro de cliente. 
Governança da Segurança da Informação 
 
39 
 
 As informações Internas, não devem extrapolar o ambiente da 
organização, não representa ameaça significativa, mas o vazamento deve 
ser evitado. São enquadradas neste nível de sigilo as informações que 
qualquer membro da organização ou que esteja prestando um serviço para 
ela pode ter acesso para realizar suas atividades, este é considerado o 
menor grau de restrição ao acesso aos dados, porém ainda são informações 
que teve ter sua consulta identificada e autorizada, além de todos os demais 
ciclos da vida da informação observados. 
 Exemplo de uma informação que pode ser classificada como 
interna: o processo de montagem em uma esteira de produção. 
 Pública são todas as demais informações que no geral já são de 
conhecimento geral, interno e externo, que não apresente nenhum risco para 
a organização e seus intervenientes, estas informações podem ser 
divulgadas, sendo que a organização pode ter como objetivo a divulgação, e 
obter o alcance de um grande número de pessoas ou processos ciente da 
informação. 
 Exemplo de uma informação que pode ser classificada como 
pública: os produtos ofertados pela empresa. 
 
4.1.2 Disponibilidade 
 
 Há duas formas de avaliar a disponibilidade, a primeira que 
apresentaremos, é em relação ao tempo estabelecido para sua 
apresentação, a segunda é a forma de acesso. 
 Lyra (2008) afirma que a informação deve estar disponível no 
momento que é necessária, caso contrário pode perder sua utilidade, em 
alguns casos é previsto que as informações possam demorar até ser 
recuperada ou gerada, então recomenda atribuir um prazo para sua 
disponibilização, que pode variar de imediatamente até longos períodos. 
Considerando que uma informação que foi solicitada tenha uma aplicação 
definida, e a obtenção após o momento determinado para uso pode torná-la 
desnecessária, os prazos devem estar bem claros para evitar problemas 
nesse sentido. 
 Cada organização deve estabelecer seus prazos para 
apresentação para as informações, como por exemplo a nomenclatura a 
seguir: imediatamente (até uma hora), urgente (até um dia), brevemente (até 
uma semana), tardio (até um mês), ou definir prazos mais curtos ou longos, 
permitindo que todos estejam cientes de qual a antecedência exigida para 
seu fornecimento. 
 Um exemplo onde prazo é crucial, e quando há a necessidade de 
um relatório, para uma apresentação que ocorrerá em dois dias, se o 
relatório for obtido após a apresentação ter ocorrido, o relatório não atenderá 
a necessidade inicial. Se a demora de três dias para o fornecimento é 
prevista e de conhecimento dos interessados, o requerente pode se planejar 
Governança da Segurança da Informação 
 
40 
 
para fazer a solicitação em tempo hábil, ou buscar outras fontes ou dados se 
não houver mais tempo suficiente para sua produção. 
 A ABNT NBR ISO/IEC 27003 (2011) propõem que seja 
estabelecido os meios de entrada e saída do processos, que basicamente 
diz respeito a forma de acesso a informação, deve ser considerado os meios 
possíveis e aceitos, como por exemplo; o acesso a informação pode ser em 
meios digitais (computador, smartfones, pen-drive, fitas, entre outros 
dispositivos) ou impresso, ou sonoro, ou áudio visual, dependendo da 
informação e da utilização. 
 A forma que é disponibilizada a informação, tem grande 
relevância na definição da segurança de seu ciclo de vida. Uma informação 
impressa tem seu transporte, armazenamento, controle de acesso, e 
descarte diferente de uma informação em mídia digital, contudo a mesma 
informação pode estar presente em ambos os meios, e sua classificação 
quanto a segurança deve ser a mesma, como já apresentado no tópico 
anterior. 
 
4.1.3