POLITCA DE SEGURANA DA INFORMAO NAS

EMPRESAS
Fabio Eder Cardoso 1
Paulo Cesar de Oliveira 2
Faculdade de Tecnologia de Ourinhos - FATEC

1. INTRODUO
A informao o elemento bsico para que a evoluo acontea e o
desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,
(2007, p. 21) A informao elemento essencial para todos os processos de negcio
da organizao, sendo, portanto, um bem ou ativo de grande valor. Logo pode se dizer
que a informao se tornou o ativo mais valioso das organizaes, podendo ser alvo de
uma srie de ameaas com a finalidade de explorar as vulnerabilidades e causar
prejuzos considerveis. Portanto, faz necessrio a implementao de polticas de se
segurana da informao que busque reduzir as chances de fraude ou perda de
informaes.
A Poltica de Segurana da Informao (PSI) um documento que deve conter um
conjunto de normas, mtodos e procedimentos, os quais devem ser comunicado a
todos os funcionrios, bem como analisado e revisado criticamente, em intervalos

Professor da Faculdade de Tecnologia de Ourinhos (FATEC). Av. Vitalina Marcusso 1400

Campus Universitrio Cep: 19910-206 Ourinhos/SP, E-mail: fabioeder.professor@gmail.com

2

Aluno do curso de Analise de Sistemas e Tecnologia da Informao Faculdade de

Tecnologia de Ourinhos (FATEC) e-mail: paulo_gape@yahoo.com.br

regulares ou quando mudanas se fizerem necessrias. o SGSI que vai garantir a

viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente
necessitam delas para realizar suas funes dentro da empresa. (FONTES, 2006)
Para se elaborar uma Poltica de Segurana da Informao, deve se levar em
considerao a NBR ISO/ 27001:2005, que uma norma de cdigos de prticas para a
gesto de segurana da informao, onde podem ser encontradas as melhores prticas
para iniciar, implementar, manter e melhorar a gesto de segurana da informao em
uma organizao.

2. A INFORMAO E A SUA SEGURANA

2.1 A INFORMAO

Segundo a ISO/IEC 27002:2005(2005), a informao um conjunto de dados

que representa um ponto de vista, um dado processado o que gera uma informao.
Um dado no tem valor antes de ser processado, a partir do seu processamento, ele
passa a ser considerado uma informao, que pode gerar conhecimento. Portanto
pode-se entender que informao o conhecimento produzido como resultado do
processamento de dados.
Ainda, segundo a ISO/IEC 27002:2005, a informao um ativo que como
qualquer outro ativo importante, essencial para os negcios de uma organizao, e
deve ser adequadamente protegida. A informao encarada, atualmente, como um
dos recursos mais importantes de uma organizao, contribuindo decisivamente para a
uma maior ou menor competitividade. De fato, com o aumento da concorrncia de
mercado, tornou-se vital melhorar a capacidade de deciso em todos os nveis.
A informao pode existir em diversas formas. Ela pode ser impressa ou escrita
em papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrnicos, apresentada em filmes ou falada em conversas (ISO/IEC 27002:2005,
2005, p. x). Seja qual for a forma em que apresentada ou meio pelo qual

compartilhada ou armazenada, importante no mundo dos negcios, cada vez mais

competitivo. Como resultado deste significante aumento da interconectividade, a
informao est agora exposta a um crescente nmero e a uma grande variedade de
ameaas e vulnerabilidades.

2.2 SEGURANA DA INFORMAO

Para a ABNT NBR ISO/IEC 17799:2005 (2005, p.ix), segurana da informao

a proteo da informao de vrios tipos de ameaas para garantir a continuidade do
negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as
oportunidades de negcio. Entende-se melhor essa necessidade de uma segurana da
informao analisando um banco de dados de uma agncia bancria, onde as
informaes so em grandes quantidades e muito sigilosas. Pois ali, esto
armazenados dados pessoais e tambm da conta bancria dos clientes. Devido a
necessidade de extremo sigilo da informao, exige-se uma segurana eficaz.
Em primeiro lugar, muitas vezes difcil obter o apoio da prpria alta
administrao da organizao para realizar os investimentos
necessrios em segurana da informao. Os custos elevados das
solues contribuem para esse cenrio, mas o desconhecimento da
importncia do tema provavelmente ainda o maior problema.
(CAMPOS, 2007, p.29)

A informao um ativo que deve ser protegido e cuidado por meio de regras e
procedimentos das polticas de segurana, do mesmo modo que protegemos nossos
recursos financeiros e patrimoniais. Segundo Campos (2077, p. 17), um sistema de
segurana da informao baseia-se em trs princpios bsicos: confidencialidade,
integridade e disponibilidade.
Ao se falar em segurana da informao, deve-se levar em considerao estes
trs princpios bsicos, pois

toda

ao que venha a comprometer qualquer uma

desses princpios, seja confidencialidade, integridade ou disponibilidade, estar

atentando contra a sua segurana.

Confidencialidade

A confidencialidade a garantia de que a informao acessvel somente por

pessoas autorizadas a terem acesso (NBR ISO/IEC 27002:2005). Caso a informao
seja acessada por uma pessoa no autorizada, intencionalmente ou no, ocorre a
quebra da confidencialidade. A quebra desse sigilo pode acarretar danos inestimveis
para a empresa ou at mesmo para uma pessoa fsica. Um exemplo simples seria o
furto do nmero e da senha do carto de crdito, ou at mesmo, dados da conta
bancria de uma pessoa.

Integridade
A integridade a garantia da exatido e completeza da informao e dos
mtodos de processamento (NBR ISO/IEC 27002:2005). Garantir a integridade
permitir que a informao no seja modificada, alterada ou destruda sem autorizao,
que ela seja legtima e permanea consistente. (DANTAS, 2011, p11). Quando a
informao alterada, falsificada ou furtada, ocorre quebra da integridade. A
integridade garantida quando se mantm a informao no seu formato original.

Disponibilidade
A disponibilidade a garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes sempre que necessrio (NBR ISO/IEC
27002:2005). Quando a informao est indisponvel para o acesso, ou seja, quando os
servidores esto inoperantes por conta de ataques e invases, considera-se um
incidente de segurana da informao por quebra de disponibilidade. Mesmo as

interrupes involuntrias do sistema, ou seja, no intencionais, configuram quebra de

disponibilidade.

2.2.1 SISTEMA DE GESTO DE SEGURANA DA INFORMAO

A norma ISO 27001 estabelece diretrizes e princpios gerais para se iniciar,

implementar, manter e melhorar a gesto de segurana da informao em uma
organizao. Essa norma possui uma seo introdutria sobre o processo de avaliao
e tratamento de riscos e est dividida em onze sees especficas, que so: poltica de
segurana da informao; organizao da segurana da informao; gesto de ativos;
segurana em recursos humanos; segurana fsica e do ambiente; gesto das
operaes e comunicaes; controle de acesso; aquisio, desenvolvimento e
manuteno de sistemas de informao; gesto de incidentes de segurana da
informao; gesto da continuidade do negcio, e conformidade.

Essas sees

totalizam trinta e nove categorias principais de segurana, e cada categoria contm um

objetivo de controle e um ou mais controles que podem ser aplicados, bem como
algumas diretrizes e informaes adicionais para a sua implementao. Para Fontes e
Araujo (2008), o sistema de gesto de segurana da informao o resultado da sua
aplicao planejada, diretrizes, polticas, procedimentos, modelos e outras medidas
administrativas que, de forma conjunta, definem como so reduzidos os riscos para a
segurana da informao.

2.2.2 CLASSIFICANDO AS INFORMAES

Segundo Fontes (2008), a principal razo em classificar as informaes, de

que elas no possuem o mesmo grau de confidencialidade, ou ento as pessoas
podem ter interpretaes diferentes sobre o nvel de confidencialidade da informao.
Para um simples operrio de uma empresa um relatrio contendo o seu balano anual
pode no significar nada, j para o pessoal do financeiro e a alta direo uma

informao de suma importncia, e que deve ser bem guardada. Para poder classificar
uma informao, importante saber quais as conseqncias que ela trar para a
organizao caso seja divulgada, alterada ou eliminada sem autorizao. Somente
atravs da interao com as pessoas diretamente responsveis pela informao da
empresa ser possvel estabelecer estas conseqncias e criar graus apropriados de
classificao.
Antes de se iniciar o processo de classificao, necessrio conhecer o
processo de negcio da organizao, compreender as atividades
realizadas e, a partir disso, iniciar as respectivas classificaes. As
informaes podem ser classificadas em informaes pblicas, quando
no necessita de sigilo algum; informaes internas, quando o acesso
externo as informaes deve, ser negado; e informaes confidencias,
as informaes devem ser confidencias dentro da empresa e protegida
contra tentativas de acesso externo. (Freitas e Araujo, 2008)

2.2.3 ATIVOS

A definio clssica que o ativo compreende ao conjunto de bens e direitos de

uma entidade. Entretanto, atualmente, um conceito mais amplo tem sido adotado para
se referir ao ativo como tudo aquilo que possui valor para a empresa. (DANTAS, 2011,
p.21). A informao ocupa um papel de destaque no ambiente das organizaes
empresariais, e tambm adquire um potencial de valorizao para as empresas e para
as pessoas, passando a ser considerado o seu principal ativo.

2.2.4 AMEAA

Segundo Campos (2007), a ameaa pode ser considerada um agente externo ao

ativo de informao, pois se aproveita de suas vulnerabilidades para quebrar a os
princpios bsicos da informao, a confidencialidade, integridade ou disponibilidade.
Atualmente, o mundo dos negcios apresenta-se bastante competitivo, onde as
empresas devem estar sempre atentas para as ameaas aos negcios corporativos,
que, se concretizadas podero causar grandes perdas, e conseqentemente encerrar
suas atividades para sempre.

As ameaas podem ser, naturais: so aquelas que se originam de fenmenos

da natureza; involuntrias: so as que resultam de aes desprovidas de inteno
para causar algum dano e intencionais: so aquelas deliberadas, que objetivam causar
danos, tais como hackers. (DANTAS, 2011)

2.2.5 VULNERABILIDADE

A NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma fragilidade de

um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.
Segundo Campos (2007), vulnerabilidade so as fraquezas presentes nos ativos, que
podem ser exploradas, seja ela intencionalmente ou no, resultando assim na quebra
de um ou mais princpios da segurana da informao. Ao ter sido identificado as
vulnerabilidades ou os pontos fracos, ser possvel dimensionar os ricos aos quais o
ambiente esta exposto e assim definir medidas de segurana apropriada para sua
correo.
As vulnerabilidades podem advir de vrios aspectos: instalaes fsicas
desprotegida contra incndios, inundaes, e desastres naturais;
material inadequado empregado nas construes; ausncia de poltica
de segurana para RH; funcionrios sem treinamento e insatisfatrio nos
locais de trabalho; ausncia de procedimento de controle de acesso e
utilizao de equipamentos por pessoal contratado; equipamento
obsoletos, sem manuteno e sem restries para sua utilizao;
software sem patch de atualizao e sem licena de funcionamento,
etc. ( DANTAS, 2001, p.25-26)

2.2.6 RISCO

Com relao a segurana, os riscos so compreendidos como condies que

criam ou aumentam o potencial de danos e perdas. medido pela possibilidade de um
evento vir a acontecer e produzir perdas. (DANTAS, 2001). Para evitar possveis perdas
de informaes, que dependendo do seu grau de sigilo, poder levar a empresa
falncia, necessria a elaborao de uma gesto de risco, onde os riscos so

determinados e classificados, sendo depois especificado um conjunto equilibrado de

medidas de segurana que permitir reduzir ou eliminar os riscos a que a Empresa se
encontra sujeita. A norma NBR ISO 27002(2005) nos oferece uma mtrica, em que o
risco pode ser calculado pela seguinte formula:
RISCO = (Ameaa) x (Vulnerabilidade) x (Valor do Risco)

cada vez mais importante para uma organizao, mesmo em sua fase
inicial, formalizar um documento com a sua anlise de risco, o que prov
alta administrao um indicador sobre o futuro da prpria empresa, em
que sero relacionados os ativos que sero protegidos com
investimentos adequados ao seu valor ao seu risco (LAUREANO, 2005).

2.2.7 BAKUP

A ISO/IEC 27002 (2005) recomenda que backup dos sistemas seja armazenado
em outro local, o mais longe possvel do ambiente atual, como em outro prdio. Um
dos maiores erros cometidos em questo de segurana de backup, foi o atentado de 11
de setembro, onde foram derrubadas as torres gmeas nos EUA, onde empresas
localizadas na torre A tinham backups na torre B, e empresas da torre B tinham backup
na torre A, depois da queda das duas torres, varias empresas simplesmente sumiram,
deixando de existir, um erro que poderia ser controlado caso o backup estivesse
localizado em outro lado da cidade. evidente que o procedimento de backup um
dos recursos mais efetivos para assegurar a continuidade das operaes em caso de
paralisao na ocorrncia de um sinistro. (FFREITAS E ARAUJO, 2008, p. 133)

2.2. 8 SEGURANA FSICA

O objetivo prevenir o acesso fsico no autorizado. Convm que sejam

utilizados permetros de segurana para proteger as reas que contenham informaes
e instalaes de processamento da informao, segundo a ISO/IEC 27002:2005(2005).
Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das
instalaes e dos recursos de processamento da informao, tais como, leitores

biomtricos, portas de acesso com cartes magnticos, portes eltricos, colocando

vigias em local de acesso restrito. Controlar o acesso de quem entra e sai das
instalaes um aspecto importante na segurana fsica. No basta ter um guarda na
entrada identificando os visitantes. fundamental ter a certeza, por exemplo, de que os
visitantes no levem materiais ou equipamentos da empresa.
Apesar de todos os cuidados em se definir os permetros de
segurana, essa ao no produzira resultados positivos se os
colaboradores no estiverem sintonizados com a cultura de segurana
da informao. Essa cultura deve estar pulverizada em toda a
organizao e especialmente consolidada dentro das reas crticas de
segurana. A informao pertinente ao trabalho dentro dessas reas
deve estar restrita a prpria rea e somente durante a execuo das
atividades em que ela se torna necessria. Essas atividades sempre
devero ser realizadas sob superviso para garantir a segurana.
Quando houver atividade, essas reas devem permanecer fechadas de
forma validvel, como, por exemplo, atravs do uso de lacres de
segurana, e supervisionadas regularmente (Campos, 2077, p.169).

A NBR ISO/IEC 27002 (2005) recomenda que seja feito um projeto para a
implementao de reas de segurana com salas fechadas e com vrios ambientes
seguros de ameaas como fogo, vazamento de gua, poeira, fumaa, vibraes,
desastres naturais, e manifestaes. Os locais escolhidos para a instalao dos
equipamentos devem estar em boas condies de uso, com boas instalaes eltricas,
sadas de emergncia, alarme contra incndio, devem conter extintores de incndios,
entre outros aspectos que devem ser levados em considerao.

2.3 POLITCAS DE SEGURANA DA INFORMAO

Para Dantas (2001), pode-se definir a poltica de segurana como um documento

que

estabelece

princpios,

valores,

compromissos,

requisitos,

orientaes

responsabilidades sobre o que deve ser feito par alcanar um padro desejvel de
proteo para as informaes. Ela basicamente um manual de procedimentos que
descreve como os recursos de TI da empresa devem ser protegidos e utilizados e o

pilar da eficcia da segurana da informao. Sem regras pr-estabelecidas, ela tornase inconsistentes e vulnerabilidades podem surgir. A poltica tende a estabelecer regras
e normas de conduta com o objetivo de diminuir a probabilidade da ocorrncia de
incidentes que provoquem, por, exemplo a indisponibilidade do servio, furto ou at
mesmo a perda de informaes. As polticas de segurana geralmente so construdas
a partir das necessidades do negcio e eventualmente aperfeioadas pele experincia
do gestor.
O intervalo mdio utilizado para a reviso da poltica de seis meses ou um ano,
porem deve ser realizada uma reviso sempre que forem identificados fatos novos, no
previstos na verso atual que possam ter impacto na segurana das informaes da
organizao. (FREITAS e ARAUJO, 2008).
Segundo a NBR ISSO/IEC27002(2005), recomendado que a poltica de segurana da
informao seja revisada periodicamente e de forma planejada ou quando ocorrerem
mudanas significativas, para assegurar a sua continua pertinncia, adequao e
eficcia.
Atualmente, a PSI adotada em grande parte das organizaes em todo o
mundo, inclusive no Brasil. Mesmo aquelas empresas que ainda no tem uma poltica
efetiva, reconhecem a necessidade de elaborar e implementar uma. (CAMPOS, 2007,
P. 131). A poltica de segurana da informao deve estabelecer como ser efetuado o
acesso as informaes de todas as formas possveis, seja ela internamente ou
externamente, e quais os tipos de mdias podero transportar e ter acesso a esta
informao. A poltica deve especificar os mecanismos atravs dos quais estes
requisitos podem ser alocados.

2.3.1 ELABORANDO A POLTICA

Para Ferreira e Araujo (2008), deve-se formar um comit de segurana da

informao, constitudo por profissionais de diversos departamentos, como informtica,
jurdico, engenharia, infra-estrutura, recursos humanos e outro que for necessrio. O

comit ser responsvel por divulgar e estabelecer os procedimentos de segurana, se

reunindo periodicamente, ou a qualquer momento conforme requerido pelas
circunstancias, com o objetivo de manter a se segurana em todas as reas da
organizao. Convm que a poltica de segurana da informao tenha um gestor que
tenha responsabilidade de gesto aprovada para desenvolvimento, anlise crtica e
avaliao da poltica de segurana da informao.( ISSO/IEC 27002:2005, 2005. P. 9)

2.3.2 IMPLEMENTANDO A POLTICA DE SEGURANA

Para que a cultura da empresa seja mudada em relao segurana da

informao, fundamental que os funcionrios estejam preparados para a mudana,
por meio de avisos, palestras de conscientizao, elaborao de guias rpidos de
consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 47). A poltica deve
ser escrita de forma clara, no gerando qualquer dvida entre os usurios. Todos os
funcionrios da organizao, incluindo aqueles que so tercirios e prestadores de
servio, devero receber um treinamento adequado para que se adqem as
mudanas. De acordo com a NBR ISSO IEC 27002 (2005) os usurios devem estar
clientes das ameaas e das vulnerabilidades de segurana da informao e estejam
equipados para apoiar a poltica de segurana da informao da organizao durante a
execuo normal do trabalho.
A poltica de segurana deve contar com o apoio e comprometimento da alta
direo da organizao, pois fundamental para que a poltica de Segurana seja
efetiva, sem a presena deste apoio, iniciar qualquer ao neste sentido algo invivel

3. CONSIDERAOES FINAIS
No cenrio atual, em que as empresas dependem cada vez mais da tecnologia e
da informao, vital garantir a segurana adequada deste ativo, considerado
estratgico em sua misso de prestar servios de qualidade. A soluo mais adequada

 o estabelecimento de um conjunto de normas e regras que regulem a utilizao dos

sistemas das empresas, assim como o acesso a redes sociais e e-mails pessoais. As
empresas necessitam aliar essa poltica de segurana da informao ao contrato de
trabalho dos colaboradores. Todo processo de segurana comea no recrutamento.
Tambm importante lembrar que os trabalhadores devem estar cientes do
monitoramento das informaes.
Com base nos princpios da Poltica de Segurana da Informao, foi possvel
avaliar o segmento dos paradigmas bsicos em sua composio: a integridade, como
sendo condio na qual a informao ou os recursos da informao so protegidos
contra modificaes no autorizadas, a confidencialidade, visando a propriedade de
certas informaes que no podem ser disponibilizadas ou divulgadas sem autorizao
prvia do seu dono e a disponibilidade, caracterstica essa que se relaciona diretamente
a possibilidade de acesso por parte daqueles que a necessitam para o desempenho de
suas atividades a qualquer hora.

REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISSO/IEC 27002:2005
tecnologia da informao - tcnicas de segurana - cdigo de pratica para gesto da
informao. Rio de janeiro: 2005, Disponvel
em: http://search.4shared.com/postDownload/M0vePGU6/ISO-IEC_27002-2005.html>,
Acessado em 02 de novembro de 20012

CAMPOS, A. SISTEMAS DE SEGURANA DA INFORMAO. 2 ed. Florianopolis:

Visual Books, 2007.

COURY, RICARDO. Informao poder. Disponvel em

<HTTP//www.timester.om.br/entrevista/artigos/main_artigo.asp?Codigo=424>>,
Acessado em 28 de outubro de 2012

DANTAS, M. SEGURANA DA INFORMAO: UMA ABORDAGEM FOCADA EM

GESTO DE RISCOS. 1 ed. Olinda: Livro rpido, 2011

FONTES, E. PRATICANDO A SEGURANA DA IONFORMAO. Rio de Janeiro:

Brasport, 2008

FREITAS,F;ARAUJO, M. POLITICAS DE SEGURANA DA INFORMAO: Guia

pratico para elaborao e implementao. 2ed. Rio de Janeiro: Cincia Moderna
LTDA, 2008

NETTO, A; SILVEIRA, M. GESTO DE SEGURANA DA INFORMAO: FATOS QUE

INFLUENCIAM SUA ADOO EM PEQUENAS E MDIAS EMPREAS. Disponvel em
<http://dialnet.unirioja.es/descarga/articulo/2734365.pdf> Acessado em 07 de
Novembro de 2012.