Políticas de Segurança da Informação

Prévia do material em texto

POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 1 
 
 
Políticas de Segurança e 
Classificação da 
Informação 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 2 
Políticas de Segurança e Classificação da Informação 
 
Aula: 1 - Compreendendo o porquê da necessidade de uma Política de 
Segurança da Informação 
 
Desde a década de 1980, quando chegava silenciosa mas ligeira a revolução da 
Tecnologia da Informação e Comunicação (TIC), iniciando a popularização dos 
computadores pessoais, com os componentes de memória baixando de preço e 
diminuindo de tamanho e com a diversificação de redes de comunicação, um fator que 
não pode deixar de ser observado foi que os negócios passaram a ser inteiramente 
dependentes de sistemas de informação automatizados. Na época, as grandes 
empresas passaram a atuar mais no mundo do negócio da informação que nos seus 
próprios negócios. 
 
O processamento de sistemas de informação automatizados passou a infiltra-se em 
todos os aspectos das atividades dos negócios, nas grandes empresas e corporações. 
O seu sucesso demandava a coordenação de muitos diferentes profissionais, com 
diferentes perfis especializados além de recursos tecnológicos: de formulários de 
coleta de dados manual até complexos sistemas de alta plataforma para não 
mencionar sofisticados recursos de redes de telecomunicações. 
 
O alicerce sobre o qual as grandes empresa constroem seus sistemas, assumindo um 
compromisso de qualidade, confiabilidade, integridade e segurança das informações 
coletadas, processadas, armazenadas e gerenciadas, passou a ser questionado pelos 
gestores. 
 
Por outro lado, não bastava ter sistemas seguros. Os meios pelos quais as informações 
transitavam na empresa estavam vulneráveis a fragilidades de interceptações 
indesejadas. Um mero relatório jogado no lixo passou a ser uma ameaça. O próprio 
lixo era uma fonte de informação de uma pessoa, como podemos ver no filme sugerido 
“Quebra de Sigilo”. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 3 
O avanço da tecnologia ajudou muito as empresas, mas também trouxe uma gama de 
riscos que não estavam previstos. Surge, então, a necessidade de fazer algo para 
proteger este que é o maior ativo de uma empresa: a informação. 
 
Não é uma tarefa das mais fáceis. Como começar a resolver esse problema de 
segurança? 
 
Aos poucos foram sendo gerados controles. E quanto mais os controles existiam, mais 
ameaças circundavam o meio eletrônico. Nasce, então, o conceito de Gestão da 
Segurança da Informação, que abrange a criação de processos voltados ao 
monitoramento contínuo da integridade das informações, à prevenção de ataques e 
ao furto dos dados, assegurando em casos emergenciais o pronto restabelecimento 
dos sistemas e o acesso seguro às informações das companhias. 
 
Este sistema de segurança é orientado segundo uma norma internacional sobre gestão 
da segurança: norma ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de 
Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos, cuja 
responsabilidade está sob o Comitê Brasileiro sobre as Normas de Gestão de 
Segurança da Informação (série 27000). O grupo é formado por especialistas dos 
países membros que colaboram com a ISO (International Organization for 
Standardization) para o desenvolvimento de padrões internacionais. Falaremos 
sobre esse Comitê na aula 5. 
 
Então perguntamos... Se estamos falando de uma norma ISO, a empresa necessita 
certificar-se nessa norma para que possa ter segurança em seus recursos de TI? Não... 
A obrigação não existe, mas vamos pensar: se existem ameaças ao redor dos recursos 
tecnológicos de uma empresa, incluindo suas informações, o que os gestores 
decidiriam sobre a proteção de seus preciosos ativos? A exposição destes pode gerar 
um impacto tão negativo que a empresa poderia ir à falência. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 4 
Além disso, por questões de custo, uma empresa pode seguir as recomendações de 
uma norma e não certificar-se nela. A certificação em uma norma envolve muitos 
procedimentos e tempo, auditorias externas de qualidade que elevam o custo da 
normatização a um patamar considerado alto. E isso inclui a revalidação da certificação 
de tempos em tempos. 
 
Se você fosse o gestor de uma empresa, o que decidiria? 
Investiria em segurança? Como faria isso? Quais os mecanismos que você adotaria, 
por onde começaria? 
 
Seguindo a norma ISO 27002, as normas para uma gestão da segurança da 
informação eficiente se fundamentam em 10 premissas básicas (macrocontroles) 
aplicadas em qualquer tipo de organização, sendo elas: 
 
- Política de segurança da informação. 
- Segurança organizacional. 
- Classificação e controle dos ativos de informação. 
- Segurança em pessoas. 
- Segurança física e ambiental. 
- Gerenciamento das operações e comunicações. 
- Controle de acesso. 
- Aquisição, desenvolvimento e manutenção de sistemas. 
- Gestão da continuidade do negócio. 
- Gestão da conformidade. 
 
Essas premissas abrangem o conjunto de melhores práticas a serem seguidas pelas 
empresas tais como a estruturação do plano diretor de segurança e de contingência; 
a definição da política de segurança da informação; a análise de riscos, 
vulnerabilidades e testes de invasão; a implementação de controles de segurança; 
autenticação e autorização entre outros. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 5 
Toda essa orientação está prevista no Sistema de Gestão da Segurança da 
Informação (SGSI), um conjunto de processos e procedimentos, fundamentado na 
referida norma ISO, implementado para prover segurança no uso dos ativos 
tecnológicos de uma empresa. Tal sistema deve ser seguido por todos aqueles que se 
relacionam direta ou indiretamente com a infraestrutura de TI da organização. 
Vamos analisar cada uma dessas premissas. 
 
1 - Política de Segurança da Informação 
 
As empresas vêm buscando mitigar os riscos inerentes ao processamento de 
informações adotando boas práticas de gerenciamento e elas começam com as 
políticas de segurança de informação. 
 
O que vem a ser uma política de segurança? 
Políticas de segurança são políticas organizacionais (ou administrativas), de 
cumprimento obrigatório, que tentam homogeneizar o comportamento de todos que 
tem algo a ver com a empresa, os chamados stakeholders, ou seja, gestores, 
colaboradores, clientes, fornecedores, visitas etc. 
 
Se a empresa quer assegurar que determinado ativo tenha um certo controle para que 
sua segurança seja mantida, ela constrói uma política de segurança e assim todos 
agirão conforme os procedimentos daquela política 
 
Um exemplo de política de segurança aplicada a clientes é o uso de senhas para os 
correntistas de um banco. O uso de senhas assegura que quem está acessando 
determinada conta é quem tem permissão para tanto. Então, a empresa (o banco, no 
caso) cria uma política de segurança de informação dizendo que todos os correntistas 
do banco deverão ter uma senha para acessar os dados de sua conta. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 6 
Uma importante observação é que as políticas são compostas de duas partes distintas: 
a política em si que diz o que deve ser feito e os procedimentos, que dizem como a 
política deve ser aplicada. 
 
Estudaremos como construir uma política de segurança na aula 4. 
 
2 - Segurança Organizacional 
 
A segurança organizacional preocupa-se com toda a segurança das instalações, dos 
ativos e das pessoas na empresa, colaboradores ou não. Ela provê ações preventivase/ou reativas para assegurar tal estado de segurança sendo que essas ações estão 
refletidas nos planos de contingência, que serão abordados na aula 7. 
 
Pela especificidade do assunto, a segurança organizacional subdivide-se em partes 
específicas tais como segurança de equipamentos, segurança de pessoas, segurança 
de dados e registros, segurança física, entre outras. 
 
Podemos resumir que o principal objetivo da segurança organizacional é proteger seus 
ativos e recursos, provendo infraestrutura da segurança da informação na 
organização. 
 
Uma das maneiras de garantir a segurança e integridade desses ativos da empresa 
não apenas das informações, mas também das edificações e equipamentos, está em 
definir boas políticas de segurança. Desse modo, haverá um comportamento proativo 
de todos no sentido de preservarem o bom andamento da organização e seus serviços. 
 
3 - Classificação e Controle dos Ativos de Informação 
 
O objetivo de classificar e controlar os ativos de informação da organização é manter 
sua proteção adequada. Para tanto, é necessário que os ativos necessários à 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 7 
segurança da informação sejam inventariados, tenham um responsável e sejam 
controlados. 
 
O modo como protegemos uma informação depende de seu grau de confidencialidade, 
seu nível de sensibilidade. Informações internas, que devem circular somente pela 
empresa terão um nível de controle bem mais brando do que informações sigilosas 
tais como o código de lançamento de um míssil. 
 
Ao definirmos uma política de segurança, devemos atentar que um dos primeiros 
passos é saber a classificação de seus ativos para que possamos definir como a 
organização deseja protegê-los. 
 
4 - Segurança em Pessoas 
 
Aqui tratamos de pessoas no geral, mas particularmente nos serviços terceirizados. O 
objetivo deste macrocontrole é reduzir os riscos de erro humano, roubo, fraudes 
diversas ou uso indevido de instalações. 
A organização necessita assegurar que os funcionários, terceirizados e fornecedores 
entendam suas responsabilidades e estejam de acordo com os seus papéis. 
Tais responsabilidades, limites e deveres de pessoas para com a organização em 
relação aos ativos da organização podem e devem estar refletidos nas políticas de 
segurança. 
 
5 - Segurança Física e Ambiental 
 
Algumas áreas na organização possuem controle mais rígido do que outras, tudo 
dependerá do nível de informação ou do ativo que ali residem. Nessa seara não há 
exceção... Um exemplo seria: somente as pessoas autorizadas devem transitar em 
ambientes críticos (aqueles onde temos informações sensíveis e equipamentos 
imprescindíveis à organização). Não basta ter essa diretriz, controles devem ser 
implementados para assegurar o cumprimento desta orientação. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 8 
 
Assim, deverão ser elaboradas políticas de segurança objetivando prevenir acesso não 
autorizado, dano e interferência às informações e às instalações físicas da organização. 
Isso significa que os mecanismos de liberação de autorização e controle de acesso 
serão seguidos. 
 
6 - Gerenciamento das Operações e Comunicações 
 
Essa premissa existe para assegurar a operação segura e correta de recursos de 
processamento da informação. 
 
O processamento dos dados corporativos pode ser efetuado no Centro de 
Processamento de Dados (CPD ‒ local em que se localizam os computadores da 
organização) como em diversas áreas, mediante processamentos específicos no nível 
gerêncial (extração de dados de arquivos corporativos e processamento dos dados de 
cada área, em particular). 
 
Dentro do processamento de sistemas corporativos devemos observar os ambientes 
em que os sistemas são desenvolvidos, testados e processados. Devemos observar a 
segregação de funções (não permitir que uma mesma pessoa elabore um programa e 
o teste, por exemplo). 
 
Temos que gerenciar e controlar os serviços terceirizados, os testes realizados fora 
das dependências da organização e por aí vai... 
Com a pulverização de microcomputadores na empresa, a possibilidade de exposição 
de dados confidenciais torna-se maior. Mesmo que sejam dados apenas de leitura, sua 
exposição deve ser controlada. 
 
Como exercer todos esses controles e monitoramento? Uma forma mais eficiente é 
identificar o que queremos proteger e criar políticas de segurança que cubram esses 
ativos. Com isso, o trabalho de controle será mais facilmente elaborado. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 9 
 
Uma medida indicada é, para empresas que lidam com sistemas sensíveis, implantar 
uma área de Auditoria de Sistemas interna. Desse modo, os sistemas e o ambiente de 
CPD serão continuamente auditados para verificação de adequação de controles 
internos e conformidade com padrões, normas, leis, metodologia e regulamentos 
vigentes. As grandes corporações possuem essa área, pois seus gestores querem ter 
o conforto de saber que seus sistemas estão seguros e que tomam decisões sobre 
dados processados por sistemas confiáveis. 
 
7 - Controle de Acesso 
 
A organização necessita controlar o acesso à informação, aos recursos de 
processamento das informações (incluindo o CPD) e aos processos de negócios. 
Esse controle de acesso abrange registro de usuários, equipamentos e sistemas, 
gerenciamento de privilégios, concessão, seleção e uso adequado de senhas, controle 
de acesso aos sistemas (operacionais e aplicativos) e às redes, controle de uso de 
computação móvel e dos recursos de trabalho remoto. 
Existem dois tipos de acesso: acesso físico e acesso lógico. 
 
7.1 – Acesso físico 
 
A segurança física pode ser abordada sob duas formas: 
Segurança ambiental: trata da prevenção de danos por causas naturais (incêndios, 
inundações, terremotos etc.). 
Segurança de acesso: trata das medidas de proteção contra o acesso físico não 
autorizado como, por exemplo, vetar a entrada de pessoas não autorizadas no CPD. 
 
 A segurança ambiental é comumente tratada no plano de contingência. 
 
Já a segurança de acesso é feita por controle de acesso físico que pode ser realizado 
de algumas maneiras: 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 10 
Pessoas: recepcionista ou guarda. 
Meios mecânicos: chaves e fechaduras (eletrônicas ou manuais). 
Meios tecnológicos. 
 
Através de meios tecnológicos podemos ter uma gama de opções: podemos ter 
dispositivos tais como controle de acesso com catracas, leitores de cartões magnéticos, 
bottons de aproximação, controle biométrico. Esses controles podem ser on-line e em 
tempo real. Podemos criar arquivos históricos contendo a data e hora de entrada e 
saída de todas as pessoas em determinado recinto para uso em eventuais situações 
com suspeitas de fraude 
 
Além dos meios tecnológicos, devemos observar algumas considerações sobre o 
controle de acesso físico: 
 
 Distinguir colaboradores de visitantes, de fornecedores e de terceirizados. 
 Solicitar a devolução de bens de propriedade da empresa (crachás, chaves etc.), 
quando o visitante se retira ou quando o funcionário é retirado de suas funções. 
 Controle de entrada e saída de materiais, equipamentos, pessoal etc., 
registrando a data, horários e responsável. 
 Instalar sistemas de proteção e vigilância 24 × 7. 
 Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial, 
vigilância etc.). 
 Orientar os funcionários para que não deixem ligados computadores sem a 
devida supervisão, principalmente no horário das refeições ou quando se 
ausentarem dolocal de trabalho. 
 Instalar mecanismo de logout nos sistemas da organização. 
 Proteger as linhas telefônicas internas e externas com dispositivos contra 
“grampos”. 
 Proteger fisicamente as unidades de backup e restringir o acesso a 
computadores e impressoras que possam conter dados confidenciais. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 11 
 Bloquear login e senha de colaboradores desligados da empresa tão logo esteja 
sendo feito o comunicado de desligamento. 
 
7.2 – Acesso lógico 
O controle de acesso lógico permite que os sistemas de tecnologia da informação (TI) 
certifiquem a autenticidade e a identidade dos usuários que tentam acessar seus 
sistemas ou utilizar seus serviços. 
 
Para o controle de acesso lógico podemos usar senha (com nível de alçada ou controle 
de privilégio), contrassenhas, biometria, tokens e assinaturas digitais dentre outros. 
 
Uma forma de controlar o acesso lógico ou físico também é manter um arquivo log de 
acessos. Contudo, devemos ter cuidado em não abusar desse mecanismo, pois 
excesso de controle degrada o desempenho dos sistemas. 
 
Outra forma de monitoramento é o uso de câmeras de segurança. 
Um sistema em voga, que vem apresentando bons resultados, é o controle por RFID 
(Radio Frequency IDentification). 
 
Qualquer dispositivo que demande manutenção e calibração periódica é passível do 
uso da RFID para controle em batch (off-line) ou on-line do histórico de manutenção 
(máquinas copiadoras, impressoras, elevadores etc.). Normalmente munidos de 
memória de armazenamento, esses tags (de diversos formatos) são lidos e 
programados por leitores RFID portáteis que podem estar conectados em tempo real 
por meio de GPS ou rede wi-fi, ou ainda serem operados em batch (off-line). 
 
Considerações sobre o acesso lógico: 
 Apenas usuários autorizados devem ter acesso aos recursos computacionais. 
 Os usuários devem ter acesso apenas aos recursos realmente necessários para 
a execução de suas tarefas. 
 O acesso aos recursos críticos do sistema deve ser monitorado e restrito. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 12 
 Os usuários não podem executar transações incompatíveis com sua função. 
 
 
8 – Aquisição, Desenvolvimento e Manutenção de Sistemas 
 
Essa premissa deve garantir que a segurança seja parte integrante dos sistemas de 
informação. Para tanto os sistemas devem ser incrementados com controles internos, 
minimizando (mas não eliminando) os controles manuais. 
 
Devem ser incrementados controles e mecanismos de segurança também para a 
infraestrutura onde os sistemas serão desenvolvidos, testados e processados, tanto 
por colaboradores internos como terceirizados. 
 
A área de negócios deve igualmente ser beneficiada com controles de segurança, pois 
dados referentes aos seus negócios e clientes são gerados em seus computadores 
locais. 
 
Cuidados especiais devem ser tomados quanto à catalogação de programas fontes em 
bibliotecas de produção tanto no upload para bibliotecas de produção como no 
download para bibliotecas de desenvolvimento e teste. 
A metodologia PMBOK (Project Management Body of Knowledge) desenvolvida pelo 
PMI (Project Management Institute) aborda em um capítulo inteiro a situação de 
aquisições. Nessa situação incluímos os softwares. 
 
Alguns cuidados devem ser tomados na aquisição de softwares: 
 Assegurar-se que o custo benefício da aquisição é melhor que o do 
desenvolvimento em casa. 
 Assegurar-se da idoneidade do fornecedor. 
 Assegurar-se de manutenções no software. 
 Obter feedback de clientes dos fornecedores. 
 Verificar situação financeira da empresa fornecedora. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 13 
 Assegurar-se de participação nos testes do sistema. 
 Assegurar-se de participação teste de aceitação. 
 Assegurar-se de documentação em nível aceitável. 
 Monitorar o desempenho do contrato. 
 
9 - Gestão da Continuidade do Negócio 
 
Há algum tempo atrás, quando eu era gerente de projetos de um grande banco 
comercial no Brasil, perguntei em conversa informal ao diretor da corretora de valores 
mobiliários do grupo como ele faria caso não pudesse entrar no escritório para 
trabalhar (eu trabalhava no Rio e ele em São Paulo). 
 
Bem... Na semana seguinte recebemos uma ligação dizendo que o pessoal de um dos 
prédios do banco, exatamente onde funcionava a corretora dos valores mobiliários do 
grupo, precisou evacuar o prédio, pois havia uma ameaça de bomba. Desceram todos, 
ninguém poderia trabalhar no prédio (realmente houve uma bomba meio fraquinha, 
no banheiro das mulheres). Claro que me lembrei de meu amigo na hora, mas respeitei 
o momento e me segurei, não ligando para ele. 
 
Na semana seguinte nos encontramos novamente e então perguntei como ele havia 
trabalhado no dia da bomba. Ele calmamente me disse que sem problemas, pois usou 
uma sala da Bovespa e tudo fluiu bem. 
 
Claro que, para que isso acontecesse, ele havia tomado providências prévias. 
Considerando que os clientes do banco eram pessoas muito ricas, o banco não poderia 
deixar de ter sua corretora funcionado por um dia. Meu amigo percebeu como seria 
desastroso para o banco não ter possibilidades de trabalhar por um dia útil. Passou a 
manter cópia de seus arquivos e programas em casa e conversou com diretores da 
Bovespa sobre a possibilidade de usar uma sala deles e seus equipamentos em caso 
de emergência. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 14 
Essa situação mostra como pode ser impactante para uma empresa não ter um plano 
de contingência para assegurar a continuidade dos negócios. 
 
Veremos com detalhes como construir um plano de contingência na aula 7. 
 
10 - Gestão da Conformidade 
 
Essa última premissa objetiva garantir conformidade dos sistemas com leis, estatutos, 
normas e políticas organizacionais, metodologias, regulamentos e padrões de 
segurança e de quaisquer outros requisitos de segurança. 
 
Não devemos infringir nenhuma lei, pois estaremos sujeitos a sanções penais e multas 
pecuniárias, além de uma péssima propaganda negativa. A quebra de imagem de uma 
empresa é um dos piores riscos a que a empresa pode expor-se. 
 
Essa conformidade poderá ser verificada por diversas pessoas em diferentes funções, 
conforme a área de aplicação do sistema de informações. O gerente do projeto deve 
elencar os profissionais que verificarão a conformidade do sistema com leis, normas, 
regulamentos, padrões, metodologias. Por exemplo, em um sistema de cobrança o 
gerente de projetos deve solicitar a consultoria de um profissional de contabilidade ou 
do departamento jurídico da empresa, para assegurar que todos os requisitos do 
projeto estão de acordo com as leis vigentes. Um exemplo seria verificar se o 
percentual de multa cobrada por atraso está dentro dos limites legais. 
 
Como os sistemas aplicativos da empresa devem estar coerentes com as leis e padrões 
vigentes este fato deve ser verificado pelos auditores de sistemas. Não é uma 
duplicidade de tarefas. Os gerentes de projeto implementam controles internos 
adequados, coerentes com normas e leis e os auditores de sistema verificam se estes 
controles estão adequados e se a conformidade existe. Mesmo que as restrições não 
sejam referentes aos aspectos de TI, o pessoal de tecnologia de informação deve 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 15 
assegurar que a conformidade existe, pois os sistemas que manipulam os dados são 
recursos de TI. 
 
Uma prática comum a ser adotada e que não está na literatura é observar e respeitaras práticas públicas como, por exemplo, usar três casas decimais em sistemas que 
utilizam moedas estrangeiras. 
 
Se a empresa for certificada em alguma norma ela necessita manter conformidade 
com os requisitos da norma sob a condição de perder a certificação. 
A informação é um recurso fundamental para todas as organizações e a tecnologia 
desempenha um papel significativo desde o momento que a informação é criada até 
o momento em que ela é destruída. A TI está cada vez mais avançada, tornando-se 
disseminada nas organizações e nos ambientes sociais, públicos e corporativos. Como 
consequência, hoje, mais do que nunca, as organizações e seus executivos se 
esforçam para: 
 
 Manter informações de alta qualidade para apoiar decisões corporativas. 
 Agregar valor ao negócio a partir dos investimentos em TI, ou seja, alcançar os 
objetivos estratégicos e obter benefícios para a organização mediante a 
utilização eficiente e inovadora de TI. 
 Alcançar excelência operacional por meio da aplicação confiável e eficiente da 
tecnologia. 
 Manter o risco de TI em um nível aceitável. 
 Otimizar o custo da tecnologia e dos serviços de TI. 
 Cumprir as leis, regulamentos, acordos contratuais e políticas pertinentes cada 
vez mais presentes. Durante a última década, o termo “governança” ganhou 
um lugar de destaque no pensamento das organizações em resposta aos 
exemplos que demonstram a importância da boa governança e, do outro lado 
da balança, aos desafios dos negócios globais. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 16 
Por tudo o que vimos na aula, podemos concluir que as políticas de segurança 
desempenham um papel fundamental no controle de segurança de uma empresa. É o 
ponto inicial para a implantação e controle de segurança das informações da empresa. 
 
Definir uma política de segurança não significa que a empresa estará eliminando riscos, 
evitando fraudes, mas sim que estará uniformizando o comportamento (de trabalho) 
das pessoas e com isso, as chances de os riscos e fraudes ocorrerem são minimizadas. 
 
Não apenas por instinto, mas, conforme apregoa o guia maior de segurança da 
informação que é a família da norma ISO 27000, verificamos que nos seus dez 
controles macro, temos as políticas de segurança como início de qualquer medida 
relativa a segurança das informações. 
 
Então, após vermos as principais normas sobre segurança na aula 2, vamos ver como 
construí-las na aula 4. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 17 
REFERÊNCIAS 
PINHEIRO, José Maurício S. Auditoria e Análise de Segurança da Informação – 
Segurança Física e Lógica. UGB – 2009. Disponível em: 
https://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_audit
oria_e_analise_de_seguranca_aula_02.pdf. Acesso em: 19/09/2016. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 18 
Aula: 2 – Interpretando as Principais Normas Nacionais e Internacionais 
Utilizadas na Elaboração da Política de Segurança da Informação 
 
Nada como ver o que já existe sobre o assunto para que possamos nos inspirar. Muita 
gente já pensou e repensou sobre segurança da informação, só verificar as tantas 
normas de segurança existentes, para os mais variados setores da TI. O objetivo desta 
aula é analisarmos e entendermos algumas dessas importantes normas. Sabendo o 
que essas normas buscam poderemos nos preparar internamente para evitarmos o 
desconforto de ameaças acontecendo. Nunca poderemos evitá-las, mas podemos 
dificultar sua ocorrência e minimizar seus impactos na empresa. Por mais que 
atualizemos os programas de antivírus e de firewalls, mais os hackers e crackers farão 
por onde invadir nossos arquivos, sites e informações sigilosas ou confidenciais. 
 
Aliada ao conforto de saber que seus dados estão sob condições de armazenamento 
e processamento seguras, os gestores podem contar com a vantagem de que uma 
certificação é uma forma bastante clara de mostrar à sociedade que a empresa 
preocupa-se com a segurança de suas informações e de seus clientes, de tal modo 
que podemos prever que em poucos anos todas as grandes empresas terão aderido 
às normas de segurança e obtido suas certificações. 
 
 
 Família ISO 27000 
 
A International Organization dor Standardization (ISO) e a International 
Electrotechnical Comission (IEC) constituem o sistema especializado para 
padronizações mundiais. Os comitês técnicos da ISO e da IEC colaboram em campos 
de mútuo interesse. 
 
As normas da família ISO/IEC 27000 estão listadas a seguir e tratam da Gestão de 
Segurança da Informação, podendo ser utilizadas por qualquer órgão ou entidade da 
administração pública federal, direta e indireta: 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 19 
 ISO 27001 – estabelece um Sistema de Gestão de Segurança da Informação. 
 ISO 27002 – é o Código de Práticas para a Gestão da Segurança da Informação. 
 ISO 27003 – é o guia de implementação de um sistema de Gestão de Segurança 
da Informação (SGSI). 
 ISO 27004 – incide sobre mecanismos de medição e de relatório de um SGSI. 
 ISO 27005 – descreve a gestão de riscos em Segurança da Informação. 
 ISO 27011 – descreve o guia de gestão de Segurança da Informação para 
organizações de telecomunicações, sendo baseada na 27002. 
 
Também existem as demais normas da família ISO/IEC 27000, em fase de 
desenvolvimento: 
 A ISO 27007 – será o guia de auditoria de um SGSI. 
 A ISO 27012 – será o guia de Segurança da Informação para o governo 
eletrônico. 
 A ISO 27032 – guiará a cybersegurança. 
 A ISO 27034 – abordará a segurança de aplicações. 
 A ISO 27037 – mostrará técnicas de segurança na gestão de Segurança da 
Informação, setor a setor. 
 
Breve Histórico da Evolução das Normas ISO 27000 
Em 1987, o departamento de comércio e indústria do Reino Unido (DTI) criou um 
centro de segurança de informações, o CCSC (Commercial Computer Security Centre) 
que dentre suas atribuições tinha a tarefa de criar uma norma de segurança das 
informações para o Reino Unido. 
 
O CCSC foi Criado Considerando Duas Frentes de Atuação: 
 Apoiar fornecedores de produtos de segurança de TI a partir de um conjunto 
de critérios de avaliação e um esquema de certificação. 
 Auxiliar os usuários de TI mediante um Código de Prática do Usuário (esse 
código foi publicado em 1989). 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 20 
O código foi aperfeiçoado posteriormente pela comunidade britânica de TI, o que 
resultou no “Código de prática para a gestão da segurança da informação”. Em 1995, 
este código deu origem à BS 7799:1995, parte 1. 
 
Em abril de 1999, foi publicada a primeira revisão da BS 7799 parte 1 (BS7799:1999). 
 
Em outubro essa norma foi proposta como norma ISO, dando origem, em dezembro 
de 2000, à ISO/IEC 17799:2000. 
 
Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada 
NBR ISO/IEC 17799:2001. 
 
A parte 1 da BS7799 era somente um código de prática e não permitia a certificação 
de um sistema gerencial de segurança da informação, conforme esquema de 
certificação de reconhecimento mútuo em âmbito internacional. Essa necessidade foi 
suprida em 5 de setembro de 2002, quando do lançamento da parte 2 (BS 7799-
2:2002). Essa norma está em harmonia com as normas ISO 9001 (sobre gestão de 
processos e melhorias contínuas) e ISO 14001 (sobre sistemas de gerenciamento 
ambientais).A BS7799-2:2002 transformou-se na norma ISO/IEC 27001:2005, publicada em 15 
de outubro de 2005. A versão atual é a ISO/IEC 27001:2013. 
 
A ISO 17799 cobre os mais diversos tópicos da área de segurança, possuindo um 
grande número de controles e requisitos que devem ser atendidos para garantir a 
segurança das informações de uma empresa, de forma que a obtenção da certificação 
pode ser um processo demorado e muito trabalhoso. Esta norma foi substituída pela 
norma ISO/IEC 27002:2007. 
 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 21 
NBR ISO/IEC 27001:2013 
Resumidamente mostraremos quais os principais itens da norma NBR ISO/IEC 
27001:2013 
 
A visualização de toda a norma está disponível em 
http://www.iso31000qsp.org/2013/11/seguranca-da-informacao-conheca-nova.html 
 
Geral 
 
A norma ISO 27001:2011 é o padrão e a referência internacional para a gestão da 
segurança da informação e ela provê requisitos para estabelecer, implementar, manter 
e melhorar continuamente um Sistema de Gestão de Segurança da Informação 
(SGSI). 
 
O SGSI preserva a confidencialidade, integridade e disponibilidade da informação por 
meio da aplicação de um processo de gestão de riscos e fornece confiança para as 
partes interessadas de que os riscos são adequadamente gerenciados. 
 
Um sistema de gestão da segurança da informação deve ser parte e estar integrado 
com os processos da organização e com a estrutura de administração global, além 
disso, deve ser considerado no projeto dos processos, sistemas de organização e 
controles, sendo sua implementação feita de acordo com as necessidades da empresa. 
 
1. Escopo 
Essa norma especifica os requisitos para estabelecer, implantar, manter e melhorar 
continuamente um SGSI dentro do contexto da organização. Ela também inclui 
requisitos para avaliação e tratamento de riscos de segurança da informação voltados 
para as necessidades da organização. Os requisitos definidos nessa norma são 
genéricos e são pretendidos para serem aplicáveis a todas as organizações, 
independentemente do tipo, do tamanho ou da natureza. A exclusão de quaisquer dos 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 22 
requisitos especificados nas seções 4 a 10 não é aceitável quando a organização busca 
conformidade com esta norma. 
 
2. Referências normativas 
3. Termos e definições 
4 .Contexto da organização 
 
4.1 Entendendo a organização e seu contexto 
4.2 Entendendo as necessidades e as expectativas das partes interessadas 
4.3 Determinando o escopo do sistema de gestão da segurança da informação 
4.4 Sistema de gestão da segurança da informação 
 
5. Liderança 
5.1 Liderança e comprometimento 
5.2 Política de segurança da informação 
5.3 Autoridades, responsabilidades e papéis organizacionais 
 
6. Planejamento 
6.1 Ações para contemplar riscos e oportunidades 
6.1.1 Geral 
6.1.2 Avaliação do risco de segurança da informação 
6.1.3 Tratamento de riscos de segurança da informação 
6.2 Objetivo de segurança da informação e planos para alcançá-los 
 
7. Apoio 
7.1 Recursos (para o SGSI) 
7.2 Competência 
7.3 Conscientização 
7.4 Comunicação 
7.5 Informação documentada 
7.5.1 Geral 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 23 
7.5.2 Criando e atualizando 
7.5.3 Controle da informação documentada 
 
8. Operação 
8.1 Planejamento operacional e controle 
8.2 Avaliação de riscos de segurança da informação 
8.3 Tratamento de riscos de segurança da informação 
 
9. Avaliação do desempenho 
9.1 Monitoramento, medição, análise e avaliação 
9.2 Auditoria interna 
9.3 Análise crítica pela direção 
 
10. Melhoria 
10.1 Não conformidade e ação corretiva 
10.2 Melhoria contínua 
 
A norma possui um anexo (Anexo A) que é a referência aos controles e objetivos de 
controles. Eles são derivados e estão alinhados com os controles e objetivos dos 
controles listados na ABNT NBR ISO/IEC 27002:2013. 
 
NBR ISO/IEC 27002:2013 
 
NBR ISO/IEC 27002:2013 – Tecnologia da informação ‒ Técnicas de segurança ‒ 
Código de prática para controles de segurança da informação, publicada em 
08/12/2013. 
A visualização de toda a norma pode ser vista em: 
http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27002-2013.pdf 
 
Essa norma fornece diretrizes para práticas de gestão de segurança da informação e 
normas de segurança da informação para as organizações, incluindo a seleção, a 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 24 
implementação e o gerenciamento de controles, levando em consideração os 
ambientes de risco da segurança da informação da organização. Ela contém 14 seções 
de controles de segurança da informação, 35 objetivos de controles e 114 controles. 
 
Para a parte que nos interessa, a numeração dessas seções se inicia no número 5 (há 
outros aspectos descritos nas seções anteriores que podem ser vistos na integra da 
norma). 
 
Seção 5 – Política de Segurança da Informação 
A organização deve cuidar de suas informações no que diz respeito à sua 
confidencialidade, integridade e disponibilidade, de acordo com os requisitos do 
negócio e com as leis e regulamentações relevantes. 
 
Para tanto, deve ser criado um documento com a política de segurança da 
informação da organização contendo, entre outros, os conceitos de segurança da 
informação, o comprometimento da direção com a política, uma estrutura para 
estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação 
e gerenciamento de riscos. Essa política deve ser comunicada a todos, bem como 
analisada e revisada criticamente, em intervalos regulares ou quando mudanças se 
fizerem necessárias aliado ao fato de que elas devem ser analisadas criticamente a 
intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar 
a sua contínua pertinência, adequação e eficácia. 
 
Seção 6 – Organizando a Segurança da Informação 
Tem como objetivo estabelecer uma estrutura de gerenciamento para iniciar e 
controlar a implementação da segurança da informação dentro da organização. 
 
Para isso, as atividades de segurança da informação devem ser coordenadas por 
representantes de diversas partes da organização, com funções e papéis relevantes, 
respeitando a segregação de funções. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 25 
É aconselhável que a organização tenha procedimentos implementados que 
especifiquem quando e quais autoridades (p. ex., obrigações legais, corpo de 
bombeiros, autoridades fiscalizadoras, entidades regulatórias) serão contatadas e 
como os incidentes de segurança da informação identificados serão reportados em 
tempo hábil (p. ex., no caso de suspeita de que a lei foi violada). 
 
A norma também aconselha que contatos apropriados com grupos especiais, 
associações profissionais ou outros fóruns especializados em segurança da informação 
sejam mantidos. 
 
Temos que nos preocupar com as informações processadas por dispositivos móveis e 
trabalho remoto criando uma política e medidas que apoiam a segurança da 
informação para gerenciar os riscos decorrentes do uso de dispositivos móveis bem 
uma política e medidas que apoiam a segurança da informação para proteger as 
informações acessadas, processadas ou armazenadas em locais de trabalho remoto. 
 
Seção 7 – Segurança em Recursos Humanos 
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e 
terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de 
acordo com o papel que desempenhará. Portanto, as descrições decargo e os termos 
e condições de contratação devem ser explícitos, especialmente no que tange às 
responsabilidades de segurança da informação. É importante também que quaisquer 
candidatos sejam devidamente analisados, principalmente se forem lidar com 
informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou 
mau uso dos recursos. 
 
Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem 
trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à 
segurança da informação, bem como de suas responsabilidades e obrigações, de tal 
maneira que estejam preparados para apoiar a política de segurança da informação 
da organização. Eles também devem ser educados e treinados nos procedimentos de 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 26 
segurança da informação e no uso correto dos recursos de processamento da 
informação. É fundamental ainda que um processo disciplinar formal seja estabelecido 
para tratar das violações da segurança da informação. 
 
No momento em que ocorrer o encerramento ou uma mudança na contratação os 
acessos homologados deverão ser cancelados. 
 
Seção 8 – Gestão de Ativos 
Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. 
Gestão de ativos, portanto, significa proteger e manter os ativos da organização. Para 
tanto, devemos identificar os ativos da organização, seus proprietários e definir as 
responsabilidades apropriadas para a sua proteção, seguido do levantamento e 
manutenção de um inventário de ativos. 
 
Nesse contexto fazemos a classificação da informação para sabermos o nível de 
segurança que ela deverá possuir conforme sua importância para a organização, 
devemos preparar um conjunto apropriado de procedimentos para rotular e tratar a 
informação de acordo com o esquema de classificação da informação adotado pela 
organização. Não podemos nos esquecer das mídias removíveis, preparando o seu 
gerenciamento de acordo com o esquema de classificação adotado pela organização, 
procedimentos para que as mídias sejam descartadas de modo seguro, quando não 
forem mais necessárias, bem como procedimentos para que o transporte de mídias 
seja seguro, protegendo-as contra acesso não autorizado, uso impróprio ou corrupção 
durante o transporte. 
 
Seção 9 ‒ Controle de acesso 
O objetivo desta seção é falar sobre como limitar o acesso à informação e aos recursos 
de processamento da informação às pessoas autorizadas. 
 
Para tanto, devemos providenciar políticas de controle de acesso e de acesso às redes 
e aos serviços de rede através de gerenciamento de acesso do usuário, criando 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 27 
procedimentos para tornar os usuários responsáveis pela proteção das suas 
informações de autenticação. 
 
Devemos prevenir o acesso não autorizado aos sistemas e aplicações por intermédio 
de políticas de controle de acesso (lógico e físico). 
 
Seção 10 ‒ Criptografia 
A criptografia tem por finalidade proteger a confidencialidade, a autenticidade e/ou a 
integridade da informação. Para que seu uso seja adequado, devemos desenvolver e 
implementar uma política para o uso de controles criptográficos para a proteção da 
informação. 
 
A assinatura digital, método que assegura que o emissor de um texto ou mensagem 
é quem diz ser, é feita com a chave privada do par de chaves assíncronas. Nesse 
método cada pessoa mantém duas chaves: uma pública, que pode ser divulgada 
livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As 
mensagens criptografadas com a chave pública somente podem ser decodificadas com 
a chave privada correspondente. E a recíproca é verdadeira, ou seja, uma mensagem 
criptografada com a chave privada pode ser decodificada apenas com a 
correspondente chave pública. 
 
Este processo é lento. Não seria muito racional usá-lo para grandes textos. Neste caso 
usamos o Message Digest que funciona com um “dígito verificador” para textos. O 
MD5 é o algoritmo mais comum usado para esse fim. 
 
Seção 11 – Segurança Física e do Ambiente 
As instalações onde as informações críticas são processadas devem ser mantidas em 
áreas seguras, incluindo o perímetro considerado de segurança, com níveis de 
controles de acesso e proteção física apropriados. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 28 
Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, 
objetivando impedir a interrupção dos serviços da empresa, sendo que suas remoções 
do ambiente devem ser previamente autorizadas. 
 
Seção 12 ‒ Segurança nas Operações 
Garantir a operação segura e correta dos recursos de processamento da informação é 
o principal objetivo desta seção da norma. Encontraremos recomendações pertinentes 
a implantação de controles de detecção, prevenção e recuperação para proteção 
contra códigos maliciosos, referências a arquivos para cópia de segurança, gestão de 
vulnerabilidades técnicas (planos de contingência), necessidade de termos os 
ambientes de desenvolvimento, de teste e de produção separados, enfatizando a 
importância de que os procedimentos de operação sejam documentados e 
disponibilizados a todos os usuários que deles necessitem. 
 
As mudanças na organização, nos processos do negócio, nos recursos de 
processamento da informação e nos sistemas que afetam a segurança da informação 
devem ser gerenciadas, documentadas e controladas adequadamente. 
 
A auditoria de sistemas de informação é recomendada com o intuito de minimizar o 
impacto das atividades de auditoria nos sistemas operacionais. 
 
Seção 13 ‒ Segurança nas Comunicações 
A garantia da proteção das informações em redes e dos recursos de processamento 
da informação que os apoiam deve ser feita considerando a segurança das redes e 
dos serviços de rede, a segregação de redes. 
 
A transferência de informação deve ser observada, mantendo a segurança da 
informação transferida dentro da organização e com quaisquer entidades externas, 
definindo para tanto políticas e procedimentos para a transferência de informações. 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 29 
Seção 14 ‒ Aquisição, Desenvolvimento e Manutenção de Sistemas 
A preocupação com a segurança da informação desenvolvida tanto interna como 
externamente deve passar por todo o ciclo de vida dos sistemas, desde sua concepção 
com a solicitação dos requisitos dos sistemas até sua descontinuação, passando pela 
transferência dos sistemas e suas respectivas solicitações de mudança. 
 
Isso também inclui os requisitos para sistemas de informação que fornecem serviços 
sobre as redes públicas. 
 
Não podemos deixar de lado os processos referentes a testes de sistemas, desde a 
criação de casos de teste, massa de dados para teste e testes de sistema e de 
aceitação. 
 
Seção 15 ‒ Relacionamento na cadeia de suprimento 
A segurança da informação na cadeia de suprimento tem por objetivo garantir a 
proteção dos ativos da organização que podem ser acessados pelos fornecedores, 
internos e externos à organização. 
 
Entendemos como cadeia de suprimento toda a linha de processos que percorre desde 
a obtenção da matéria prima até a entrega do produto pronto ao cliente final. Podemos 
entender, então, que devemos nos preocupar com todo o fornecimento de 
informações, requisitos e dados para confecção de sistemas ou processamento em 
produção destes, seja interna ou externamente. 
 
Desse modo, devemos definir políticas de segurança para assegurar que tais 
preocupações sejam observadas, preparar e assinaracordos de níveis de serviço com 
os fornecedores de informação para serviços em produção, além de definirmos 
processos para o gerenciamento de mudanças para serviços com fornecedores. 
 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 30 
Seção 16 ‒ Gestão de Incidentes de Segurança da Informação 
Os incidentes envolvendo a informação devem ser primeiramente evitados. Depois 
minimizados e, se ocorrerem, devem ser prontamente reportados e colocadas em 
prática suas respostas. 
 
Previamente devemos desenvolver atividades para eventuais incidentes com a 
segurança, indicando responsáveis para a sua proteção a priori e responsáveis pela 
sua execução, a posteriori. 
 
Seção 17 ‒ Aspectos da Segurança da Informação na Gestão da 
Continuidade do Negócio 
Assim como necessitamos das políticas de segurança para proteger os ativos da 
empresa, precisamos de planos de contingência para assegurar a continuidade do 
negócio da empresa não apenas para os negócios, mas também para os sistemas de 
informação. 
 
Na aula 7 estudaremos com detalhes como planejar, documentar e implementar os 
processos e controles para tanto. 
 
Seção 18 – Conformidade 
 
Para que a empresa não tenha problemas de violação de quaisquer obrigações legais, 
estatutárias, regulamentares ou contratuais relativas à segurança da informação e de 
quaisquer requisitos de segurança, todos os requisitos legislativos, estatutários, 
regulamentares e contratuais pertinentes, direitos de propriedade intelectual, direito 
de uso de imagem de terceiros e o enfoque da organização para atender a esses 
requisitos devem ser explicitamente identificados, documentados e mantidos 
atualizados para cada sistema de informação da organização. 
 
Devem ser tomadas medidas para proteção e privacidade de informações de 
identificação pessoal de funcionários e clientes bem como garantir que a segurança da 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 31 
informação está implementada e operada de acordo com as metodologias e políticas 
e procedimentos da organização. 
 
A organização deve assegurar que controles de criptografia sejam usados em 
conformidade com todas as leis, acordos, legislação e regulamentações pertinentes. 
 
Acordo de Basileia II 
Este acordo foi estabelecido pelo Bank of International Settlements (BIS), situado na 
Basileia, Suíça, que funciona como o Banco Central dos bancos centrais. 
 
Tal acordo estipula requisitos de capital mínimo para instituições financeiras, em 
função de seus riscos de crédito e riscos operacionais. 
 
Entendemos como riscos de crédito a perda financeira sofrida pela incapacidade 
voluntária ou involuntária o tomador do crédito em atender às suas obrigações 
contratuais no tempo requerido. A metodologia dos bancos deve ser para um indivíduo 
ou para uma carteira de crédito. 
 
Entendemos como riscos operacionais as perdas financeiras causadas por processos 
internos inadequados. 
 
O acordo possui três pilares: 
1o ‒ Estabelece regras e procedimentos para cálculo dos requisitos de capital 
considerando os riscos de crédito e operacional. 
2o ‒ Estabelece regras para os Bancos Centrais de cada país executar auditorias nas 
instituições financeiras, para avaliar os riscos e mitigá-los, e considerar a emissão de 
informação para o mercado acerca de exposição do risco da instituição. 
3o ‒ Estabelece regras para a comunicação com o mercado dos requisitos mínimos de 
capital, face aos riscos e aos métodos e resultados de avaliação de risco do primeiro 
pilar. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 32 
Implicações do Acordo de Basileia II sobre a Tecnologia da Informação 
Atualmente o Banco Central do Brasil (BACEN), vem auditando as áreas de TI dos 
bancos por intermédio do COBIT (Control OBjecives for Information and related 
Technlogy), normativo criado pelo Isaca (Information Systems Audit and Control 
Association). 
 
Como os bancos no Brasil estão avançados em TI, o risco operacional de TI 
é de primordial atenção já que a TI é um dos principais elementos de risco 
operacional de um banco junto com pessoas e processos de negócios. 
 
Do ponto de vista de risco operacional, o impacto do Acordo de Basileia 
abrange basicamente todos os processos de TI e respectivas áreas 
organizacionais. 
 
Do ponto de vista do risco de crédito, o impacto recai sobre: 
 Capacidade de armazenamento de dados em face da granularidade 
de informação requerida de cada cliente. 
 Integridade das informações acerca das transações do banco. 
 Integridade das informações armazenadas sobre os clientes e 
operações de crédito (arquivos históricos). 
 Segurança dessas informações. 
 Contingência na operação. 
 Planejamento de capacidade. 
 Planejamento de desastre e recuperação. 
 Integridade do processo da emissão de relatórios requeridos pelos 
BIS. 
 
Para atender ao Acordo, o CIO (Chief Information Officer) deve: 
 Inserir questões do Acordo em seu plano de TI. 
 Implantar novos processos de TI. 
 Ajustar ou melhorar processos existentes. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 33 
 Ajustar a estrutura organizacional de TI para acomodar novos 
processos. 
 Definir e implantar novos indicadores de desempenho, caso 
necessário. 
 Tratar a gestão de riscos de TI. 
 
ISO/IEC 19011 – Linhas de Orientação para Auditoria a Sistemas de Gestão 
Essa norma, publicada em 15 de novembro de 2011, foi desenvolvida por um grupo 
de trabalho multidisciplinar, que envolveu a maioria dos Comités Técnicos e de Projeto 
da ISO, responsáveis pelo portfolio de normas de sistemas de gestão. 
 
Comentaremos a norma conforme o site: 
 http://www.apcergroup.com/portugal/index.php/en/newsroom/429 
 
 
A ISO 19011:2011 é aplicável a diversos sistemas de gestão tais como: 
 Qualidade (ISO 9001). 
 Ambiente (ISO 14001). 
 Segurança e Saúde do Trabalho (OHSAS 18001). 
 Segurança Alimentar (ISO 22000). 
 Segurança da Informação (ISO 27001). 
 Responsabilidade Social (SA8000) – Nota: a ISO 26000 não é uma norma de 
sistema de gestão. 
 Energia (ISO 50001). 
 Eventos sustentáveis (ISO 20121). 
 
Uma das alterações fundamentais na ISO 19011 é a introdução do conceito de risco 
em auditorias a sistemas de gestão. Este conceito está relacionado tanto com o risco 
do processo de auditoria não alcançar os seus objetivos, como com o potencial da 
auditoria em interferir nas atividades e processos do auditado. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 34 
Essa norma não fornece orientações específicas relativamente aos processos de gestão 
do risco das organizações, no entanto reconhece que as organizações podem dedicar 
o esforço em auditoria a assuntos com maior significância para o sistema de gestão. 
 
Estudamos os requisitos para a implantação, manutenção e melhorias contínuas de 
um sistema de gestão de segurança da informação (SGSI) na norma ISO 27001:2013, 
que aplica processos de gestão de risco. 
 
Cláusulas da Norma ISO 19011:2011 
 
Cláusula 1 – Âmbito 
 Enfatiza que a norma é aplicável a todas as organizações que precisam realizar 
auditorias a sistemas de gestão internas ou externas ou que precisam gerir um 
programa de auditoria. 
 Apesar de a norma ter enfoque em sistemas de gestão, é possível aplicar as 
orientações a outros tipos de auditoria, desde que seja dada especial atenção 
às competências específicas necessárias. 
 
Cláusula 2 – Referências Normativas 
 Não existem – manteve-se essa cláusula para igualar a numeração às outras 
normas ISO desistemas de gestão. 
 
Cláusula 3 – Termos e Definições 
 Foram adicionadas as seguintes definições: “observador”, “guia” e “risco”. 
 Foram introduzidas alterações significativas na definição de “competência”, que 
é agora definida como “a capacidade de aplicar conhecimento e habilidade para 
atingir os resultados pretendidos”, com uma NOTA: “capacidade implica na 
aplicação apropriada de comportamento pessoal durante o processo de 
auditoria”. 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 35 
Cláusula 4 – Princípios de Auditoria 
 
 São princípios da auditoria: 
 Integridade – “A base do profissionalismo”. 
 Apresentação imparcial – “Obrigação de relatar com verdade e rigor”. 
 Devido cuidado profissional – “Aplicação de diligência e de discernimento na 
auditoria”. 
 Confidencialidade – “Segurança da informação”. 
 Independência – “A base para a imparcialidade da auditoria e a objetividade 
das conclusões”. 
 Abordagem baseada em evidências – “Método racional para chegar a 
conclusões de auditoria fiáveis e reprodutíveis num processo sistemático de 
auditoria”. O auditor não acha nada, ele apresenta fatos. 
 
Cláusula 5 – Gestão de um Programa de Auditorias 
 É descrito o processo de estabelecimento e gestão de um programa de 
auditoria, estabelecimento de objetivos e coordenação das atividades de 
auditoria. 
 A pessoa que coordena o programa de auditorias deve ter competência para 
tal. 
 A gestão de um programa de auditoria segue o ciclo PDCA. 
 
Gestão de um Programa de Auditoria Utilizando o Ciclo PDCA 
Observe o ciclo na figura adiante. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 36 
 
 
Cláusula 6 – Planejamento e Realização de uma Auditoria 
 
Esta cláusula contém orientações para a preparação e condução das atividades de 
auditoria, como parte do programa de auditorias. As etapas envolvidas incluem: 
 
Início da auditoria: 
 Estabelecer contato inicial com o auditado. 
 Determinar a exequibilidade da auditoria. 
 
 
Planejar: cláusulas 5.2 
e 5.3 => 
Estabelecimento de 
objetivos e programas 
de auditoria.
Executar: cláusula 5.4 
=> Implementação do 
programa de auditoria
Verificar: Cláusula 5.5 
=> Monitoramento do 
programa de auditoria 
Atuar: Cláusula 5.6 => 
Revisão e melhoria do 
programa de 
auditoria.
Cláusula 6 => 
realização da 
auditoria 
 
Cláusula 7 => Definição 
e avaliação das 
competências 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 37 
Preparação das atividades de auditoria: 
 Revisão documental na preparação da auditoria. 
 Preparação do plano de auditoria. 
 Atribuição de tarefas à equipa auditora. 
 Preparação dos documentos de trabalho. 
 
Execução da auditoria: 
 Condução da reunião de abertura. 
 Revisão documental durante a auditoria. 
 Comunicação durante a auditoria. 
 Atribuição de papéis e responsabilidades de guias e observadores. 
 Coleta e verificação da informação. 
 Elaboração das constatações de auditoria. 
 Preparação das conclusões da auditoria. 
 Condução da reunião de encerramento. 
 Preparação e distribuição do relatório de auditoria. 
 Fechamento da auditoria. 
 Continuação da auditoria (quando aplicável). 
 
Cláusula 7 – Competência e Avaliação de Auditores e Equipes Auditoras 
 
A ISO 19011:2011 destaca que a confiança no processo de auditora e a capacidade 
de atingir os seus objetivos depende da competência das pessoas envolvidas no 
planejamento e realização das auditorias, incluindo auditores e auditores 
coordenadores. 
 
A norma recomenda que a competência do auditor seja avaliada por meio de um 
processo que considere o comportamento individual e a capacidade para aplicar o 
conhecimento e as habilidades obtidas mediante formação acadêmica, experiência 
profissional, treinamento e experiência em auditorias. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 38 
 
A Cláusula 7 Cobre os Seguintes Assuntos: 
Determinar a competência do auditor para cumprir as necessidades do programa de 
auditoria, incluindo comportamentos pessoais e os seguintes conhecimentos e 
competências: 
 
 Conhecimentos genéricos de auditoria: princípios de auditoria, procedimentos 
e métodos, sistemas de gestão e documentos de referência, o contexto 
organizacional em que a auditoria vai decorrer e os requisitos legais e 
contratuais aplicáveis. 
 Conhecimentos e competências de disciplinas e setores específicos, incluindo 
competência em gestão do risco. 
 Estabelecer os critérios de avaliação do auditor. 
 Avaliar os auditores. 
 Manter e melhorar as competências dos auditores. 
 
A norma finaliza com dois anexos informativos. 
Anexo A – Fornece orientações e exemplos ilustrativos de conhecimentos e 
competências dos auditores em disciplinas específicas. Os exemplos mencionados são 
para: 
 Gestão da segurança no transporte. 
 Gestão do ambiente. 
 Gestão da qualidade. 
 Gestão de registos. 
 Gestão de resiliência, segurança, preparação e continuidade. 
 Segurança da informação. 
 Segurança e saúde do trabalho. 
 
 Anexo B – Fornece orientações adicionais (que estavam no corpo da norma ISO 
19011:2002) nos seguintes tópicos: 
o Metodologias de auditorias aplicáveis. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 39 
o Revisão da documentação. 
o Critérios de amostragem: 
 Amostragem com base na experiência e intuição dos auditores. 
 Amostragem estatística. 
 Preparação dos documentos de trabalho. 
o Seleção de fontes de informação. 
o Orientações para a visita ao local do auditado. 
o Realização de entrevistas. 
o Constatações de auditoria: 
 Determinação de constatações de auditoria. 
 Registo de conformidades. 
 Registo de não conformidades. 
 Tratamento de constatações relacionadas com critérios múltiplos. 
 
Certificações em Segurança da Informação 
Outras certificações relacionadas a segurança da informação: 
 CISM – Certified Information Security Manager 
 SSCP – Systems Security Certified Practitioner 
 CISSP – Certified Information Systems Security Professional 
 MCSO 
 Cisco Certified Security Professional CCSP® Certification 
 Security+ 
 GIAC 
 Security + 
 GIAC 
 
 
 
 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 40 
REFERÊNCIAS 
FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a Governança 
de TI: da estratégia à gestão dos processos e serviços. 2 ed. Brasport, Rio de Janeiro, 
2008. 
 
Associação Brasileira de Normas Técnicas (ABNT). ABNT NBR ISO/IEC 27002 – 
Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão 
de segurança da informação. ABNT, 2005 
 
Norma ISO 27001:2013 
http://www.iso31000qsp.org/2013/11/seguranca-da-informacao-conheca-
nova.html 
 
Norma ISO 27002:2013 
http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27002-
2013.pdf 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 41 
Aula: 3 - COBIT (versão 5.0) 
 
COBIT é um acrônimo para Control Objectives for Information and Related Techology. 
É um modelo (framework) para controles e governança de TI. Esse modelo foi 
desenvolvido pelo Instituto Isaca (Information Systems Audit and Control Association, 
www.isaca.org), uma instituição americana sem fins lucrativos, que desenvolve 
pesquisas, modelos e certificações para os profissionais de Auditoria de Tecnologia da 
Informação (TI),Segurança, Governança e outros. 
 
O instituto Isaca foi fundado por um pequeno grupo de pessoas em 1969, que 
reconheciam a necessidade de uma fonte centralizada de informações e padrões para 
a área em crescimento de controles de auditoria de sistemas. Hoje o Isaca atende a 
95.000 profissionais em 160 países. 
 
COBIT 5 é um modelo abrangente dos princípios globalmente aceitos, das práticas e 
das ferramentas analíticas e que podem ajudar qualquer organização para 
efetivamente resolver problemas críticos dos negócios relacionados à governança e 
gestão da informação e tecnologia. 
 
Sabendo o que o COBIT 5.0 sugere em seu modelo, podemos nos orientar para 
estabelecermos políticas de segurança para nossas empresas. 
 
Ele é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo (o Tribunal 
de Contas da União tem auditado as unidades de TI do Governo com base nos 
processos do COBIT. Outro usuário é o Banco Central do Brasil). Bancos comerciais 
também são grandes usuários pela grande complexidade de seus processos. 
 
Vejamos a evolução do COBIT: 
 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 42 
Evolução do COBIT 
1996 COBIT 1 Auditoria 
1998 COBIT 2 Controle 
2000 COBIT 3 Gerenciamento 
2005/7 COBIT 4.0/4.1 Governança em TI 
2012 COBIT 5 Governança de negócios em TI 
 
O COBIT 5 consolida e integra os modelos COBIT 4.1, Val IT 2.0 e Risk IT como 
também herda conceitos do Business Model for Information Security (BMIS) e ITAF 
(Information Technology Assurance Framework, um modelo publicado pelo 
Isaca). 
 
O COBIT 5 é um modelo de negócios e de gestão global para governança e gestão de 
TI corporativa, sendo composto por 5 princípios que definem os sete habilitadores que 
apoiam a composição do modelo. Ele é um guia, um instrumento para diagnóstico e 
auditoria, mas não é usado para certificação, ou seja, uma empresa não será 
certificada COBIT. Entretanto, existem certificações para profissionais. 
 
O COBIT 5 baseia-se em cinco princípios básicos para governança e gestão de TI da 
organização: 
 
1o Princípio: Atender às Necessidades das Partes Interessadas 
 - Organizações existem para criar valor para suas partes interessadas mantendo o 
equilíbrio entre a realização de benefícios e a otimização do risco e uso dos recursos. 
O COBIT 5 fornece todos os processos necessários e demais habilitadores para apoiar 
a criação de valor para a organização com o uso de TI. Como cada organização tem 
objetivos diferentes, o COBIT 5 pode ser personalizado de forma a adequá-lo ao seu 
próprio contexto por meio da cascata de objetivos, ou seja, traduzindo os objetivos 
corporativos em alto nível em objetivos de TI específicos e gerenciáveis, mapeando-
os em práticas e processos específicos (ver Figura 4). 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 43 
As necessidades das Partes Interessadas são transformadas em ações estratégicas. O 
COBIT 5 tem mecanismos para tradução dessas necessidades em objetivos 
corporativos, objetivos de TI e objetivos habilitadores. Isso é chamado no COBIT de 
COBIT 5 Goals Cascade (Cascata dos Objetivos). 
 
Figura 4 ‒ Cascata de objetivos no COBIT 5. Fonte: Isaca, 2012. 
(Iniciamos nossas figuras com a de número de 4 para manter coerência com o Modelo 
COBIT 5) 
 
As necessidades das partes interessadas são desdobradas em objetivos corporativos 
usando a ferramenta Balanced Scorecard (BSC) como apoio. 
 
Uma tabela com as necessidades das partes interessadas e os objetivos corporativos 
é apresentada no Apêndice D do modelo, cuja versão em Português do COBIT 5 está 
mencionada em “Referências”. 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 44 
O COBIT lista 17 objetivos empresariais genéricos comuns às empresas e que possuem 
informações como a dimensão BSC sob a qual o objetivo corporativo se enquadra e a 
relação entre os três principais objetivos da governança: realização de benefícios, 
otimização do risco e otimização dos recursos. 
 
 
Dimensão 
BSC 
 
Objetivo corporativo 
Relação com Objetivos de 
Governança 
Realização 
de 
Benefícios 
Otimização 
de Risco 
Otimização 
de 
Recursos 
Financeira 1. Valor dos investimentos da 
organização percebidos pelas 
partes interessadas 
p S 
2. Portfólio de produtos e 
serviços competitivos 
p p S 
3. Gestão do risco do negócio 
(salvaguarda de ativos) 
 P S 
4. Conformidade com as leis e 
os regulamentos externos 
 P 
5. Transparência financeira P S S 
Cliente 6. Cultura de serviço 
orientada ao cliente 
P S 
7. Continuidade e 
disponibilidade do serviço de 
negócio 
 P 
8. Respostas rápidas para um 
ambiente de negócios em 
mudança 
P S 
9. Tomada de decisão 
estratégica com base na 
informação 
P P P 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 45 
10. Otimização dos custos de 
prestação de serviços 
P P 
Interna 11. Otimização da 
funcionalidade do processo de 
negócio 
P P 
12. Otimização dos custos do 
processo de negócio 
P P 
13. Gestão de programas de 
mudanças de negócios 
P P S 
14. Produtividade operacional 
e da equipe 
P P 
15. Conformidade com as 
políticas internas 
 P 
Treinamento e 
Crescimento 
16. Pessoas qualificadas e 
motivadas 
S P P 
17. Cultura de inovação de 
produtos e negócios 
P 
Figura 5 – Objetivos corporativos do COBIT 5. Fonte: Isaca, 2012. 
 
Na tabela da Figura 5, “P” representa uma relação primária e “S” uma relação 
secundária, ou seja, uma relação mais fraca. 
 
Para que os objetivos corporativos sejam alcançados, a empresa necessita do auxílio 
da TI no que diz respeito a obter uma série de resultados de TI que são representados 
pelos objetivos relacionados com a TI, ou seja, a tudo o que estiver relacionado com 
a TI e tecnologias afins. Os objetivos de TI são estruturados de acordo com as 
dimensões do balanced scorecard de TI. O COBIT 5 define 17 objetivos de TI, como 
podemos ver na Figura 6. 
 
A tabela de mapeamento dos objetivos corporativos em objetivos de TI foi incluída no 
Apêndice B, do modelo COBIT 5. 
 
 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 46 
 
Dimensão BSC 
de TI 
 
Objetivo da Informação e Tecnologia Relacionada 
Financeira 01 Alinhamento da estratégia de negócios e de TI 
02 Conformidade de TI e suporte para conformidade 
03 Compromisso da gerência executiva com a tomada de 
decisões de TI 
04 Gestão de risco organizacional de TI 
05 Benefícios obtidos pelo investimento de TI e portfólio 
de serviços 
06 Transparência dos custos, benefícios e riscos de TI 
Cliente 07 Prestação de serviços de TI em consonância com os 
requisitos de negócio 
08 Uso adequado de aplicativos, informações e soluções 
tecnológicas 
Interna 09 Agilidade de TI 
10 Segurança da informação, infraestrutura de 
processamento e aplicativos 
11 Otimização de ativos, recursos e capacidades de TI 
12 Capacitação e apoio aos processos de negócios por 
meio da integração de aplicativos e tecnologia 
13 Entrega de programas fornecendo benefícios, dentro do 
prazo, orçamento e atendendo requisitos 
14 Disponibilidade de informações úteis e confiáveis para 
a tomada de decisão4 
15 Conformidade de TI com as políticas internas 
Treinamento e 16 Equipes de TI e de negócios motivadas e qualificadas 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 47 
Crescimento 17 Conhecimento, expertise e iniciativas para inovação dos 
negócios 
Figura 6 – Objetivoscorporativos do COBIT 5. Fonte: Isaca, 2012. 
 
Por fim, os objetivos de TI são desdobrados em objetivos habilitadores. 
Habilitadores incluem processos, estruturas organizacionais e informações, e para 
cada habilitador um conjunto específico de metas relevantes pode ser definido para 
apoiar os objetivos de TI. 
 
Processos consistem em um dos habilitadores, e o Apêndice C (da versão em 
Português do COBIT 5, cujo link está mencionado em “Referências”) contém o 
mapeamento entre os objetivos de TI e os processos pertinentes do COBIT 5, que, 
por sua vez, contêm os respectivos objetivos do processo. 
 
Esse mapeamento é apresentado como uma matriz em que nas linhas temos os 
processos do COBIT 5 nas quatro percepções do BSC e, nas colunas, os objetivos de 
TI, também nas quatro dimensões do BSC. Nos cruzamentos de cada célula, temos a 
indicação de “P” ou “S”. 
 
A cascata de objetivos do COBIT nos possibilita organizar e entender como a TI pode 
atender às metas da organização. Usando o exemplo que consta no modelo COBIT 5 
podemos verificar isso com mais propriedade. 
 
Uma organização define para si uma série de objetivos estratégicos, dos quais a 
melhoria da satisfação do cliente é o mais importante. A partir dali, ela deseja saber o 
que precisa ser melhorado em todos os aspectos relativos a TI. 
 
A organização decide que definir a satisfação do cliente como a principal prioridade é 
equivalente a elevar a prioridade dos seguintes objetivos corporativos (extraídos da 
Figura 5): 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 48 
6. Cultura de serviço orientada ao cliente 
7. Continuidade e disponibilidade do serviço de negócio 
8. Respostas rápidas para um ambiente de negócios em mudança 
 
A organização dá agora o próximo passo na cascata dos objetivos: analisar quais 
objetivos de TI correspondem a esses objetivos corporativos. 
 
Uma sugestão de mapeamento entre eles foi relacionada no Apêndice B. 
 
A partir dali, os seguintes objetivos de TI são sugeridos como os mais importantes 
(todos como relacionamentos “P”): 
 
01 Alinhamento da estratégia de TI e de negócios 
04 Gestão do risco organizacional de TI 
07 Prestação de serviços de TI em consonância com os requisitos de negócio 
09 Agilidade de TI 
10 Segurança da informação, infraestrutura de processamento e aplicativos 
14 Disponibilidade de informações úteis e confiáveis para tomada de decisão 
17 Conhecimento, expertise e iniciativas para inovação dos negócios 
 
A organização valida essa lista e decide que os quatro primeiros objetivos serão 
considerados prioridade. 
 
No próximo passo da cascata, usando-se o conceito de habilitador, esses objetivos de 
TI levam a diversas metas de habilitador, que incluem objetivos do processo. No 
Apêndice C, um mapeamento é sugerido entre os objetivos de TI e os processos do 
COBIT 5. Aquela tabela possibilita identificar os mais importantes processos de TI que 
apoiam os objetivos de TI, porém os processos por si só não são suficientes. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 49 
Os demais habilitadores, tais como cultura, comportamento e ética, modelos 
organizacionais ou habilidades e expertise são igualmente importantes e requerem um 
conjunto de objetivos bem definidos. 
 
Quando esse exercício for concluído, a organização terá um conjunto de metas 
consistentes para todos os habilitadores que permitirão que ela alcance os objetivos 
estratégicos estabelecidos, além de um conjunto de indicadores correlatos para medir 
o desempenho. 
 
2o Princípio: Cobrir a Organização de Ponta a Ponta 
- O COBIT 5 integra a governança corporativa de TI organização à governança 
corporativa. 
 
- Cobre todas as funções e os processos corporativos; O COBIT 5 não se concentra 
somente na “função de TI”, mas considera a TI e as tecnologias relacionadas ativos 
que devem ser tratados como qualquer outro ativo por todos na organização. 
 
- Considera todos os habilitadores de governança e gestão de TI aplicáveis em toda a 
organização, de ponta a ponta, ou seja, incluindo tudo e todos ‒ interna e 
externamente – que forem considerados relevantes para a governança e gestão das 
informações e de TI da organização. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 50 
 
Figura 7 ‒ A governança de ponta a ponta que está na base do COBIT 5. Fonte: 
Isaca, 2012. 
 
Habilitadores da Governança - são os recursos organizacionais da governança, tais 
como modelos, princípios, processos e práticas. Os habilitadores também incluem os 
recursos da organização – por exemplo, capacidades do serviço (infraestrutura de TI, 
aplicativos etc.), pessoas e informações. A falta de recursos ou habilitadores poderá 
afetar a capacidade da organização na criação de valor. 
 
Escopo da Governança - A governança pode ser aplicada a toda a organização, uma 
entidade, um ativo tangível ou intangível etc. Ou seja, podemos definir diferentes 
visões da organização às quais a governança será aplicada, e é fundamental definir 
bem esse escopo do sistema de governança. 
 
Funções, Atividades e Relacionamentos - É a definição de quem está envolvido 
na governança, como estão envolvidos, o que fazem e como interagem dentro do 
escopo de qualquer sistema de governança. 
 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 51 
O COBIT 5 faz uma clara diferenciação entre as atividades de governança e gestão 
nos domínios de governança e gestão, bem como a interação entre elas e os 
especialistas envolvidos. A Figura 8 mostra em detalhes a parte inferior da Figura 7, 
com as interações entre os diferentes papéis. 
 
 
Figura 8 – Principais funções, atividades e relacionamentos. Fonte: Isaca, 2012. 
 
3o Princípio: Aplicar um Modelo Único Integrado 
- Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações 
para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros padrões 
e modelos importantes em um alto nível, conforme mencionado no início da aula e, 
portanto, pode servir como um modelo unificado para a governança e gestão de TI da 
organização. 
 
São exemplos de modelos e padrões aos quais o COBIT 5 está alinhado: Itil, Togaf e 
ISO (diversas normas), Coso, PMBOK e outros. A lista completa de referências pode 
ser encontrada no Apêndice A do modelo. 
 
4o Princípio: Permitir uma Abordagem Holística 
Governança e gestão eficiente e eficaz de TI da organização requer uma abordagem 
holística (de todos os elementos, estratégias e atividades, que resulta em uma 
representação única da organização), levando em conta seus diversos componentes 
interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a 
implementação de um sistema abrangente de gestão e governança de TI da 
 
 
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 52 
organização. Habilitadores são geralmente definidos como qualquer coisa que possa 
ajudar a atingir os objetivos corporativos. O modelo do COBIT 5 define sete categorias 
de habilitadores: 
Princípios, políticas e modelos são normas de como deve ser o comportamento 
desejado das pessoas em relação à empresa. 
Processos descrevem um conjunto de atividades logicamente sequenciadas, 
visando o atingimento de determinados objetivos e produzem um conjunto de 
resultados em apoio ao atingimento geral dos objetivos de TI. 
Estruturas organizacionais são as principais entidades de tomada de decisão de 
uma organização. 
Cultura, ética e comportamento das pessoas e da organização, pois esses pontos 
são muitas vezes subestimados como um fator de sucesso nas atividades