GESTAO_TSD_1_2017_AULA_11_Politica_Seguranca_da_Informacao

Prévia do material em texto

POLITICA DE SEGURANÇA DA 
INFORMAÇÃO
1Professor MSc Rogério Alves
INTRODUÇÃO
A informação é o elemento básico para que a evolução aconteça e
o desenvolvimento humano se realize de forma completa (COURY,
2001).
A informação é elemento essencial para todos os processos de
negocio da organização, ela é um ativo de grande valor”
(CAMPOS, 2007) .
A informação agrega valor ao negócio, tem natureza estratégica e
permite que empresas se diferenciem de outras pela
competitividade.
Em síntese quem tem informação tem poder!!!!!
A INFORMAÇÃO
• Segundo a ISO/IEC 27002:2005(2005), a informação é um conjunto 
de dados que representa um ponto de vista, um dado processado é 
o que gera uma informação. 
• Ainda segundo a ISO/IEC 27002:2005, a informação é um ativo que, 
como qualquer outro ativo é importante, é essencial para os 
negócios de uma organização, e deve ser adequadamente 
protegida. 
• De fato, com o aumento da concorrência de mercado, tornou-se 
vital melhorar a capacidade de decisão em todos os níveis.
INTRODUÇÃO
A informação é o ativo mais valioso das empresas/organizações, o
que a faz um alvo de uma série de ameaças com a finalidade de
explorar as vulnerabilidades e causar prejuízos consideráveis.
ATENÇÃO!
A informação deve ser protegida(SEMPRE);
Para isso é necessário a implementação de políticas de se
segurança da informação que busquem reduzir as chances de
fraudes ou perda de informações.
Desafios relacionados a segurança da 
informação
• Evitar vazamento de informações confidenciais:
Ex: Caso de Edward Snowden, que revelou espionagem 
dos EUA, Wikleaks etc;
• Manter a segurança dos dados de clientes;
Ex: Evitar fraudes diversas, cartões de crédito;
• Proteger a propriedade intelectual da empresa;
Ex – evitar espionagem industrial
• Prover Disponibilidade de serviços essenciais
A segurança da informação pode ser definida como um 
conjunto de ações que são executadas com a finalidade de 
prover segurança às informações de indivíduos e 
organizações (CONCEIÇÃO, 2014).
Segurança da Informação
Atributos básicos de Segurança da Informação
Autenticidade: A autenticidade é um atributo que visa estabelecer a
origem da informação, buscando verificar a identidade de um usuário
(CONCEIÇÃO, 2014). Assim, objetiva-se garantir que o usuário ou serviço
é realmente quem diz ser e que tem os privilégios necessários para
acessar e ou enviar uma determinada informação;
Integridade: A integridade é aquela que se preocupa em evitar ou em
detectar a modificação não autorizada de informações ou mensagens;
Confidencialidade: preocupa-se com a proteção contra acessos não
autorizados de dados e informações. Esse atributo procura proteger o
conteúdo de uma mensagem ou informação para que ele não possa ser
visualizado no momento da transmissão, exceto por serviços autorizados
a visualizá-los (BERTINO et al., 2010);
Disponibilidade: a disponibilidade está preocupada com a garantia de que
os serviços de informação permaneçam acessíveis somente a usuários
autorizados. Em outras palavras, esse atributo busca garantir que a
informação, recurso estará disponível quando solicitada (CONCEIÇÃO,
2014).
Tipos de Segurança da Informação 
SEGURANÇA FÍSICA
• Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, 
algo que possa danificar a parte física da segurança, acesso indevido de estranhos 
(controle de acesso), forma inadequada de tratamento e manuseio do veículo.
• O objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados 
perímetros de segurança para proteger as áreas que contenham informações e instalações 
de processamento da informação, segundo a ISO/IEC 27002:2005(2005). Pode-se obter 
proteção física criando uma ou mais barreiras ao redor das instalações e dos recursos de 
processamento da informação, tais como, leitores biométricos, portas de acesso com 
cartões magnéticos, portões elétricos, colocando vigias em local de acesso restrito. 
• Controlar o acesso de quem entra e sai das instalações é um aspecto importante na 
segurança física. 
• Não basta ter um guarda na entrada identificando os visitantes. É fundamental ter a 
certeza, por exemplo, de que os visitantes não levem materiais ou equipamentos da 
empresa.
• Políticas de Backups: O processo de backup envolve segurança física e lógica – física: 
armazenamento das mídias
https://pt.wikipedia.org/wiki/Controle_de_acesso
SEGURANÇA FÍSICA
• Apesar de todos os cuidados em se definir os perímetros de segurança, essa ação não 
produzira resultados positivos se os colaboradores não estiverem sintonizados com a 
cultura de segurança da informação. 
• Essa cultura deve estar pulverizada em toda a organização e especialmente consolidada 
dentro das áreas críticas de segurança. 
• A informação pertinente ao trabalho dentro dessas áreas deve estar restrita a própria área 
e somente durante a execução das atividades em que ela se torna necessária. 
• A NBR ISO/IEC 27002 (2005) recomenda que seja feito um projeto para a implementação 
de áreas de segurança com salas fechadas e com vários ambientes seguros de ameaças 
como fogo, vazamento de água, poeira, fumaça, vibrações, desastres naturais, e 
manifestações. Os locais escolhidos para a instalação dos equipamentos devem estar em 
boas condições de uso, com boas instalações elétricas, saídas de emergência, alarme 
contra incêndio, devem conter extintores de incêndios, entre outros aspectos que devem 
ser levados em consideração
Tipos de Segurança da Informação 
SEGURANÇA FÍSICA
A norma NBR ISO/IEC 17799:2001 divide a área de segurança física da seguinte forma: 
• Áreas de segurança (Prevenir acesso n ã o autorizado, dano e interfer ê ncia às informações e instalações físicas da 
organização.)
• perímetro da segurança física
• controles de entrada física 
• segurança em escritórios, salas e instalações de processamento 
• trabalhando em áreas de segurança 
• isolamento das áreas de expedição e carga
• Segurança dos equipamentos (Prevenir perda, dano ou comprometimento dos ativos, e a interrupção das atividades 
do negócio)
• instalação e proteção de equipamentos 
• fornecimento de energia 
• segurança do cabeamento 
• manutenção de equipamentos 
• segurança de equipamentos fora das instalações
• reutilização e alienação segura de equipamentos
• Controles gerais (Evitar exposição ou roubo de informação e de recursos de processamento da informação.)
• política de mesa limpa e tela limpa 
• remoção de propriedade
Tipos de Segurança da Informação 
Tipos de Segurança da Informação 
SEGURANÇA LÓGICA
▪ Autenticação
▪ Senhas
▪ Biometria
▪ Cartões de Acesso com RFID
▪ Antivírus
▪ Backups : O processo de backup envolve segurança física e lógica – lógica: software de 
backup;
▪ Políticas de Senhas
▪ Criptografia (Simétrica ou Assimétrica), Assinatura digitais, Certificados Digitais
▪ Ferramentas de:
▪ Bloqueio de acesso
▪ Firewall
▪ Detecção de invasões - IPS
▪ Detecção de Vulnerabilidades
▪ VPN (Virtual Private Networks) É uma rede privada construída sobre a infra-
estrutura de uma rede pública, normalmente a Internet.
Política de Segurança da Informação (PSI)
• A Segurança da Informação deve ser definida por
meio de políticas claras e sólidas acerca da proteção
das informações.
• A PSI deve ser compreendida como a tradução das
expectativas da empresa em relação a segurança
considerando o alinhamento com os seus objetivos de
negócio, estratégias e cultura.
Política de Segurança da Informação (PSI)
• A Política de Segurança da Informação (PSI) é um
documento que deve conter um conjunto de normas,
métodos e procedimentos, os quais devem ser
comunicados a todos os funcionários, bem como
analisado e revisado criticamente, em intervalos regulares
ou quando mudanças se fizerem necessárias.
• A propor uma PSI, a organização define suas estratégias e
abordagens para a preservação de seus ativos.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
▪ Aborda os princípios: integridade, confidencialidadee 
disponibilidade da informação.
▪ Propósitos: informar aos usuários suas responsabilidades com 
relação à proteção da tecnologia e ao acesso à informação e 
oferecer um ponto de referência a partir do qual se possa adquirir, 
configurar e auditar sistemas computacionais e de redes.
▪ A norma ISO/IEC 27002 descreve as três fontes principais de 
requisitos de segurança da informação:
▪ Análise dos princípios, objetivos e requisitos dos serviços 
prestados.
▪ Legislação vigente, estatutos e regulamentos.
▪ Análise de riscos, ameaças e vulnerabilidades.
http://www.profissionaisti.com.br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/
Política de Segurança da Informação (PSI)
• Para se elaborar uma Política de Segurança da
Informação, deve se levar em consideração a NBR ISO/IEC
27001:2005;
• NBR ISO/IEC 27001:2005 é uma norma de códigos de
práticas para a gestão de segurança da informação, onde
podem ser encontradas as melhores práticas para iniciar,
implementar, manter e melhorar a gestão de segurança da
informação em uma organização.
http://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
• Para Dantas (2001), pode-se definir a política de segurança como um 
documento que estabelece princípios, valores, compromissos, requisitos, 
orientações e responsabilidades sobre o que deve ser feito para alcançar 
um padrão desejável de proteção para as informações. 
• Ela é basicamente um manual de procedimentos que descreve como os 
recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da 
eficácia da segurança da informação. 
• Sem regras pré-estabelecidas, ela torna-se inconsistentes e 
vulnerabilidades podem surgir. A política tende a estabelecer regras e 
normas de conduta com o objetivo de diminuir a probabilidade da 
ocorrência de incidentes que provoquem, por, exemplo a 
indisponibilidade do serviço, furto ou até mesmo a perda de informações.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
• As políticas de segurança geralmente são construídas a partir das 
necessidades do negócio e eventualmente aperfeiçoadas pele experiência 
do gestor.
• O intervalo médio utilizado para a revisão da política é de seis meses ou 
um ano, porém, deve ser realizada uma revisão sempre que forem 
identificados fatos novos, não previstos na versão atual que possam ter 
impacto na segurança das informações da organização.(FREITAS e 
ARAUJO, 2008).
• Segundo a NBR ISO/IEC27002(2005), é recomendado que a política de 
segurança da informação seja revisada periodicamente e de forma 
planejada ou quando ocorrerem mudanças significativas, para assegurar a 
sua continua pertinência, adequação e eficácia
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Segundo Fontes (2008), a principal razão em classificar as informações, 
é de que elas não possuem os mesmo grau de confidencialidade, ou 
então as pessoas podem ter interpretações diferentes sobre o nível de 
confidencialidade da informação. 
Além da análise de requisitos, é recomendável também que 
gerentes/supervisores de cada área estabeleçam critérios relativos ao 
nível de confidencialidade da informação (relatórios e/ou mídias) 
gerada por sua área, classificando as informações de acordo com a 
lista abaixo:
• pública;
• interna;
• confidencial e
• restrita.
CLASSIFICANDO AS INFORMAÇÕES
http://www.profissionaisti.com.br/2013/02/a-importancia-dos-requisitos-nao-funcionais/
CLASSIFICANDO AS INFORMAÇÕES
• Pública: É uma informação da organização ou de seus clientes com linguagem e formato 
dedicado à divulgação ao público em geral, sendo seu caráter informativo, comercial ou 
promocional. É destinada ao público externo ou ocorre devido ao cumprimento de 
legislação vigente que exija publicidade da mesma. 
• Interna: É uma informação da organização que ela não tem interesse em divulgar, onde o 
acesso por parte de indivíduos externos à empresa deve ser evitado. Caso esta informação 
seja acessada indevidamente, poderá causar danos à imagem da Organização, porém, não 
com a mesma magnitude de uma informação confidencial. Pode ser acessada sem 
restrições por todos os empregados e prestadores de serviços. 
• Confidencial: É uma informação crítica para os negócios da organização ou de seus clientes. 
A divulgação não autorizada dessa informação pode causar impactos de ordem financeira, 
de imagem, operacional ou, ainda, sanções administrativas, civis e criminais à organização, 
empresa ou aos seus clientes. É sempre restrita a um grupo específico de pessoas, 
podendo ser este composto por empregados, clientes e/ou fornecedores. 
• Restrita: É toda informação que pode ser acessada somente por usuários da organização 
explicitamente indicado pelo nome ou por área a que pertence. A divulgação não 
autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a 
estratégia de negócio da organização. 
PORQUE CLASSIFICAR AS INFORMAÇÕES
• Para um simples operário de uma empresa um relatório contendo o seu
balanço anual pode não significar nada, já para o pessoal do financeiro e a
alta direção é uma informação de suma importância, e que deve ser bem
guardada.
• Para poder classificar uma informação, é importante saber quais as
consequências que ela trará para a organização caso seja divulgada, alterada
ou eliminada sem autorização.
• Somente através da interação com as pessoas diretamente responsáveis
pela informação da empresa será possível estabelecer estas consequências e
criar graus apropriados de classificação.
• Antes de se iniciar o processo de classificação, é necessário conhecer o
processo de negócio da organização, compreender as atividades realizadas e,
a partir disso, iniciar as respectivas classificações.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
O que faz uma boa política de segurança?
As características de uma boa política de segurança são: 
• Ela deve ser implementável através de procedimentos de administração, 
publicação das regras de uso aceitáveis, ou outros métodos apropriados.
• Ela deve ser exigida com ferramentas de segurança, onde apropriado, e com 
sanções onde a prevenção efetiva não seja tecnicamente possível.
• Ela deve definir claramente as áreas de responsabilidade para os usuários, 
administradores e gerentes.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A IMPORTANCIA DENTRO DE UMA ORGANIZAÇÃO
• Atualmente, a PSI é adotada em grande parte das organizações 
em todo o mundo, inclusive no Brasil. Mesmo aquelas empresas 
que ainda não tem uma política efetiva, reconhecem a 
necessidade de elaborar e implementar uma (CAMPOS, 2007).
• A política de segurança da informação deve estabelecer como 
será efetuado o acesso as informações de todas as formas 
possíveis, seja ela internamente ou externamente, e quais os 
tipos de mídias poderão transportar e ter acesso a esta 
informação. 
• A política deve especificar os mecanismos através dos quais estes 
requisitos podem ser alocados.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO -
Quem são os responsáveis por elaborar a PSI?
É recomendável que na estrutura da organização exista uma área 
responsável pela segurança de informações, a qual deve iniciar o 
processo de elaboração da política de segurança de informações, 
bem como coordenar sua implantação, aprová-la e revisá-la, além de 
designar funções de segurança.
Vale salientar, entretanto, que pessoas de áreas críticas da 
organização devem participar do processo de elaboração da PSI, 
como a alta administração e os diversos gerentes e proprietários dos 
sistemas informatizados. 
Além disso, é recomendável que a PSI seja aprovada pelo mais alto 
dirigente da organização.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Que assuntos devem ser abordados na PSI?
A política de segurança de informações deve extrapolar o escopo 
abrangido pelas áreas de sistemas de informação e pelos 
recursos computacionais. 
Ela não deve ficar restrita à área de informática. Ao contrário, 
ela deve estar integrada à visão, à missão, aonegócio e às metas 
institucionais, bem como ao plano estratégico de informática e 
às políticas da organização concernentes à segurança em geral.
O conteúdo da PSI varia, de organização para organização, em 
função de seu estágio de maturidade, grau de informatização, 
área de atuação, cultura organizacional, necessidades 
requeridas, requisitos de segurança, entre outros aspectos. 
No entanto, é comum a presença de alguns tópicos na PSI, tais 
como: 
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Que assuntos devem ser abordados na PSI?
No entanto, é comum a presença de alguns tópicos na PSI, tais 
como: 
• Definição de segurança de informações e de sua importância 
como mecanismo que possibilita o compartilhamento de 
informações;
• Declaração do comprometimento da alta administração com a 
PSI, apoiando suas metas e princípios;
• Objetivos de segurança da organização;
• Definição de responsabilidades gerais na gestão de segurança 
de informações;
• Orientações sobre análise e gerência de riscos;
• Princípios de conformidade dos sistemas computacionais com 
a PSI;
• Padrões mínimos de qualidade que esses sistemas devem 
possuir;
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Que assuntos devem ser abordados na PSI?
• Políticas de controle de acesso a recursos e sistemas 
computacionais;
• Classificação das informações (de uso irrestrito, interno, 
confidencial e secretas);
• Procedimentos de prevenção e detecção de vírus;
• Princípios legais que devem ser observados quanto à 
tecnologia da informação (direitos de propriedade de 
produção intelectual, direitos sobre software, normas legais 
correlatas aos sistemas desenvolvidos, cláusulas contratuais);
• Princípios de supervisão constante das tentativas de violação 
da segurança de informações;
• Consequências de violações de normas estabelecidas na 
política de segurança;
• Princípios de gestão da continuidade do negócio;
• Plano de treinamento em segurança de informações
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A elaboração da política de segurança de cada empresa possui suas particularidades de 
acordo com os requisitos de segurança analisados e alinhados a gestão de processos. 
Abaixo são sugeridos itens a serem estudados para a criação de regras:
• utilização da rede e administração de contas;
• política de senhas;
• utilização de correio eletrônico;
• acesso à Internet;
• uso das estações de trabalho;
• uso dispositivos de mídias removíveis;
• uso de impressoras;
• uso de equipamentos particulares;
• controle de acesso físico (controle de entrada e saída de pessoas);
• termo de compromisso (documento onde usuário se compromete a respeitar a política 
de segurança);
• verificação da utilização da política (supervisão realizada por gestores e equipe de TI) e
• Violação da política (definição de ações tomadas nos casos de desrespeito a política de 
segurança).
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
ELABORANDO A POLÍTICA DE SEGURANÇA
• Para Ferreira e Araujo (2008), deve-se formar um comitê de segurança da
informação, constituído por profissionais de diversos departamentos, como
informática, jurídico, engenharia, infraestrutura, recursos humanos e outro
que for necessário.
• O comitê será responsável por divulgar e estabelecer os procedimentos de
segurança, se reunindo periodicamente, ou a qualquer momento conforme
requerido pelas circunstancias, com o objetivo de manter a segurança em
todas as áreas da organização. “Convêm que a política de segurança da
informação tenha um gestor que tenha responsabilidade de gestão aprovada
para desenvolvimento, análise crítica e avaliação da política de segurança da
informação”.( ISO/IEC 27002:2005, 2005.)
http://www.profissionaisti.com.br/2013/03/politica-de-seguranca-da-informacao-introducao-ao-desenvolvimento/
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
PARA ELABORAR A POLÍTICA DE SEGURANÇA DEVE-SE
• Entender e definir claramente o processo de desenvolvimento. 
• Definir uma forma de obter dados da empresa/organização.
• Buscar entender quais são os:
❖ Negócios 
❖ Objetivos 
❖ Cultura 
• O que já existe? 
• O que é necessário desenvolver? 
• Definir responsabilidade e penalidades adequadas 
• Como será a implementação / monitoramento
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
IMPLEMENTANDO A POLÍTICA DE SEGURANÇA
• Para que a cultura da empresa seja mudada em relação à 
segurança da informação, é fundamental que os funcionários 
estejam preparados para a mudança, por meio de avisos, 
palestras de conscientização, elaboração de guias rápidos de 
consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 
47).
• A política deve ser escrita de forma clara, não gerando qualquer 
dúvida entre os usuários. Todos os funcionários da organização, 
incluindo aqueles que são terciários e prestadores de serviço, 
deverão receber um treinamento adequado para que se 
adequem às mudanças. 
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
IMPLEMENTANDO A POLÍTICA DE SEGURANÇA
• De acordo com a NBR ISSO IEC 27002 (2005), os usuários devem
estar clientes das ameaças e das vulnerabilidades de segurança
da informação e estejam equipados para apoiar a política de
segurança da informação da organização durante a execução
normal do trabalho.
• A política de segurança deve contar com o apoio e
comprometimento da alta direção da organização, pois é
fundamental para que a mesma seja efetiva, sem a presença
deste apoio, iniciar qualquer ação neste sentido é algo inviável.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
IMPLEMENTANDO A POLÍTICA DE SEGURANÇA
• O processo de implantação da política de segurança de informações 
deve ser formal. No decorrer desse processo, a PSI deve permanecer 
passível a ajustes para melhor adaptar-se às reais necessidades. 
• O tempo desde o início até a completa implantação tende a ser longo. 
Em resumo, as principais etapas que conduzem à implantação bem-
sucedida da PSI são: elaboração, aprovação, implementação, 
divulgação e manutenção. Muita atenção deve ser dada às duas 
últimas etapas, haja vista ser comum sua não observância. 
• Normalmente, após a consecução das três primeiras etapas, as 
gerências de segurança acreditam ter cumprido o dever e esquecem da 
importância da divulgação e atualização da PSI.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
IMPLEMENTANDO A POLÍTICA DE SEGURANÇA
De forma mais detalhada, pode-se citar como as principais fases que compõem o processo 
de implantação da PSI:
• identificação dos recursos críticos;
• classificação das informações;
• definição, em linhas gerais, dos objetivos de segurança a serem atingidos;
• análise das necessidades de segurança (identificação das possíveis ameaças, análise de 
riscos e impactos);
• elaboração de proposta de política;
• discussões abertas com os envolvidos;
• apresentação de documento formal à gerência superior;
• aprovação;
• publicação;
• divulgação;
• treinamento;
• implementação;
• avaliação e identificação das mudanças necessárias; revisão;
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A quem deve ser divulgada a PSI?
• A divulgação ampla a todos os usuários internos e externos à
organização é um passo indispensável para que o processo de
implantação da PSI tenha sucesso. A PSI deve ser de conhecimento de
todos que interagem com a organização e que, direta ou indiretamente,
serão afetados por ela.
• É necessário que fique bastante claro, para todos, as consequências
advindas do uso inadequado dos sistemas computacionais e de
informações, as medidas preventivas e corretivas que estão a seu cargo
para o bom, regular e efetivo controle dos ativos computacionais.
• A PSI fornece orientação básica aos agentes envolvidos de como agir
corretamente para atender às regras nela estabelecidas.
• É importante, ainda, que a PSI esteja permanentemente acessível a
todos.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A quem deve ser divulgada a PSI?
A própria Política de Segurança de Informações deve prever os 
procedimentos a serem adotados para cada caso de violação, de 
acordo com sua severidade,amplitude e tipo de infrator que a 
perpetra. A punição pode ser desde uma simples advertência verbal 
ou escrita até uma ação judicial.
A Lei n.º 9.983, de 14 de julho de 2000, que altera o Código Penal 
Brasileiro, já prevê penas para os casos de violação de integridade e 
quebra de sigilo de sistemas informatizados ou banco de dados da 
Administração Pública. 
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A quem deve ser divulgada a PSI?
O novo art. 313A trata da inserção de dados falsos em
sistemas de informação, enquanto o art. 313-B discorre
sobre a modificação ou alteração não autorizada desses
mesmos sistemas. O § 1º do art. 153 do Código Penal foi
alterado e, atualmente, define penas quando da
divulgação de informações sigilosas ou reservadas,
contidas ou não nos bancos de dados da Administração
Pública. O fornecimento ou empréstimo de senha que
possibilite o acesso de pessoas não autorizadas a sistemas
de informações é tratado no inciso I do § 1º do art. 325 do
Código Penal.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A quem deve ser divulgada a PSI?
O artigo evidencia a importância da conscientização dos funcionários quanto à 
PSI. 
Uma vez que a Política seja de conhecimento de todos da organização, não será 
admissível que as pessoas aleguem ignorância quanto às regras nela 
estabelecidas a fim de livrar se da culpa sobre violações cometidas.
Quando detectada uma violação, é preciso averiguar suas causas, consequências 
e circunstâncias em que ocorreu. 
Pode ter sido derivada de um simples acidente, erro ou mesmo desconhecimento 
da PSI, como também de negligência, ação deliberada e fraudulenta. 
Essa averiguação possibilita que vulnerabilidades, até então desconhecidas pelo 
pessoal da gerência de segurança, passem a ser consideradas, exigindo, se for o 
caso, alterações na PSI.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - PSI
PRINCIPAIS PROBLEMAS NA IMPLEMENTAÇÃO DE UM 
PSI?
• Falta de Consciência Sobre e Importância da PSI; 
• Orçamento Reduzido; 
• Falta de Recursos Humanos Adequados; 
• Ausência de Ferramentas adequadas.
Referências
https://www.profissionaisti.com.br/2013/05/cuidado-com-os-mitos-de-seguranca-dos-
aplicativos-web/
http://portal3.tcu.gov.br/portal/page/portal/TCU/comunidades/biblioteca_tcu/biblioteca_di
gital/BOAS_PRATICAS_EM_SEGURANCA_DA_INFORMACAO_0.pdf
http://www.vert.com.br/blog-vert/5-desafios-dos-gestores-de-seguranca-da-informacao/
ABNT NBR ISO/IEC 27002:2008. Código de Prática para a Gestão da Segurança da 
Informação. 
Ferreira, Fernando Nicolau Freitas; Araújo, Márcio Tadeu. Política da Segurança da 
Informação: Guia Prático para Elaboração e Implementação. Editora Ciência Moderna, 2006. 
Bacik, Sandy. Building an Effective Information Security Policy Architecture. Auerbach Book, 
2008
https://www.profissionaisti.com.br/2013/05/cuidado-com-os-mitos-de-seguranca-dos-aplicativos-web/
http://portal3.tcu.gov.br/portal/page/portal/TCU/comunidades/biblioteca_tcu/biblioteca_digital/BOAS_PRATICAS_EM_SEGURANCA_DA_INFORMACAO_0.pdf
http://www.vert.com.br/blog-vert/5-desafios-dos-gestores-de-seguranca-da-informacao/