Aula 12 Segurança em Redes Final

Curso: SEGURANA EM REDES DE COMPUTADORES
Conteudista: Luis Claudio dos Santos

AULA 12
POLTICA DE SEGURANA E PLANEJAMENTO ESTRATGICO DE TI

Ao final desta aula voc dever ser capaz de:

1) Definir pontos do planejamento estratgico de TI em uma empresa.
2) Implementar a Poltica de Segurana da Informao em uma empresa.
3) Distinguir a Poltica de Segurana da Informao do Plano de Continuidade dos
Negcios.
4) Identificar a maturidade de processos de elaborao de polticas e planos
estratgicos.
Pr-requisitos
Conhecimentos bsicos de segurana da informao e da norma ISO/IEC 27001.

1. Poltica de Segurana no Contexto Estratgico
Definimos formalmente um ativo como algo que tem valor para a organizao. Esta
definio nos leva concluso de que um ativo pode ser desde um hardware, um software at
mesmo as prprias pessoas com seu conhecimento acumulado. Neste contexto, a informao
o ativo de maior valor para a empresa, devendo ser adequadamente utilizada e protegida
contra ameaas externas e internas. A adoo de polticas que definam procedimentos para
garantir a segurana da informao deve ser prioridade constante na organizao. Somente
assim, sero reduzidos riscos de falhas, danos ou prejuzos que possam comprometer os
objetivos e metas da instituio.
A informao pode ser armazenada ou transportada atravs de diversos meios, tais como
redes de computadores, bancos de dados, arquivos eletrnicos, mensagens de correio
eletrnico, formato impresso, verbalmente, mdias de udio e vdeo etc. Da a necessidade de
se determinar procedimentos para o seu uso, manipulao e descarte. Tais procedimentos
devem ser determinados em um documento formal que chamamos de Poltica de Segurana
da Informao.
Porm, devemos ressaltar que dentro do contexto moderno de Governana de TI, toda
poltica deve ser resultado de diretrizes estratgicas da organizao. Em regra, as polticas
devem ser desdobramentos das metas e diretrizes do Planejamento Estratgico de TI (PETI). O
PETI o documento da TI que define quais so as suas prioridades, metas e objetivos de curto
mdio e longo prazo dentro da organizao. Toda poltica, inclusive a Poltica de Segurana da
Informao, resultado da anlise do Plano Estratgico de TI.

Incio da Caixa de Verbete
Governana em TI De forma resumida, a Governana em TI se reflete em aes que so
desenvolvidas pela alta gesto da TI e da empresa com o objetivo de promover o alinhamento
entre a TI e o negcio. Este alinhamento se reflete na otimizao dos resultados atingidos
pelos servios prestados pela TI, na proviso dos recursos necessrios para a TI, no
gerenciamento do risco das operaes de TI e na medio constante dos resultados.
Fim da Caixa de Verbete

Seguindo a filosofia central definda pela idia de Governana em TI, o Plano Estratgico de
TI deve ter suas metas e objetivos derivados das metas e objetivos da prpria empresa. Isso
quer dizer que, ao lermos uma meta no PETI, ela deve ter um elo direto com alguma meta da
organizao. Podemos dizer que se uma empresa no possui um Plano Estratgico sua
estrutura de planejamento estar comprometida, pois os planejamentos de suas reas de
negcio (entre elas a TI) no se sustentam em metas da empresa.
Incio da Caixa de Ateno
A Poltica de Segurana da Informao deve estar alinhada ao Plano Estratgico de TI; este,
por sua vez, deve estar alinhado ao Plano Estratgico da Empresa.
Fim da Caixa de Ateno

Figura 12.1: Relacionamento entre os Planos Estratgicos e as Polticas de Segurana.

Na prxima seo passaremos a abordar o Plano Estratgico de TI para, a partir dele,
entendermos como se deve construir uma Poltica de Segurana da Informao na empresa.
Note que a Poltica de Segurana, apesar de ter desdobramentos tcnico-operacionais, um
documento administrativo da TI.
2. Plano Estratgico de TI (PETI)
Segudo o COBIT o Plano Estratgico de TI necessrio para gerenciar todos os recursos
de TI em alinhamento com as prioridades e estratgias da empresa. A TI e as partes
interessadas pelo negcio so responsveis por garantir o gerenciamento adequado do
portflio de TI. Isso quer dizer que o PETI o documento que orienta o que a TI deve e o que
no deve fazer, inclusive em termos de Segurana da Informao.

COBIT um documento que rene um conjunto de objetivos de controle e modelos de
maturidade para os procesos tpicos da rea de TI em uma organizao. Sua verso mais
recente a 4.1 e foi publicada em 2007. Faz parte da misso do COBIT pesquisar,
desenvolver, publicar e promover um modelo de controle para governana de TI atualizado e
internacionalmente reconhecido.
Portflio Define tudo o que uma empresa, rea de negcio etc. realiza, quer seja na forma
de projetos, quer seja na forma de processos contnuos. Uma empresa pode ter vrios
portflios, quando atua em diferentes reas de negcio. Do mesmo modo, uma determinada
rea da empresa pode ter o seu prprio portflio. No caso da TI, seu portflio rene todos os
seus programas, projetos e processos em andamento, ou seja, tudo o que a TI faz.

O Plano Estratgico de TI deve melhorar o entendimento das partes interessadas sobre as
limitaes da rea de TI e ameaas s suas operaes, assim como sobre as oportunidades que
devam ser exploradas para aproveitar todo o potencial de sua fora de trabalho. As
prioridades de negcio devem ser refletidas no portflio da TI. E neste contexto tambm se
encaixam todas as aes visando Segurana da Informao.

Figura 12.1: O planejamento estratgico visa ao alinhamento entre a TI e o negcio.
Digramao favor utilizar a imagem como modelo para representar a mesma idia.
2.1. Processo de Elaborao do Plano Estratgico de TI
O Plano Estratgico de TI deve sustentar ou estender a estratgia de negcio e os
requisitos de governana e, ao mesmo tempo, ser transparente quanto aos benefcios,
custos e riscos das operaes de TI. As estratgicas de TI sustentam o negcio quando
fornecem servios que garantam a operao da empresa rumo s suas metas. Por
outro lado, em uma viso mais moderna de TI, as estratgias de TI tambm podem
ajudar a estender o alcance das metas da organizao. Isso acontece quando a TI
vista e tratada na empresa como uma rea foco de vantagens competitivas.
Note que o foco do planejamento estratgico da TI deve ser o de traduzir os
requisitos de negcio em servios que possam ser oferecidos pelas suas operaes.
Para que isso seja conseguido, necessrio que haja:

o Comprometimento da alta direo da empresa;
o Alinhamento das estratgias da TI com as necessidades da empresa;
o Entendimento da capacidade de recursos e dos limites operacionais da TI;
o Estabelecimento de um mtodo para priorizar os objetivos da empresa.

As boas prticas na rea de TI determinam que o planejamento estratgico deve
ser abordado como um processo organizacional. Isso se deve ao fato de que o Plano
Estratgico de TI deve ser algo vivo dentro da empresa. Ser vivo, quer dizer que o
plano no um documento em papel que elaborado em um determinado dia e
guardado na gaveta para ser revisto quando algum solicitar. O PETI deve ser revisado
periodicamente em intervalos regulares por uma equipe multidisciplinar (envolvendo
pessoas de vrios departamentos, no somente da TI). Ele deve ser revisto
imediatamente, sempre que o Plano Estratgico da Empresa mudar. Como o Plano
Estratgico da Empresa (suas metas, objetivos e estratgias) pode mudar
constantemente nos dias de hoje, o PETI deve acompanhar todas as mudanas e ser
revisado sempre. Por isso deve haver um processo, formal e contnuo, cujas atividades
garantam a existncia de um planejamento estratgico de TI eficiente e eficaz.
2.2. Objetivos do Planejamento Estratgico da TI
Ao realizar o planejamento estratgico a TI deve ter como foco atingir certos
objetivos bem caractersticos. Vrias boas prticas em TI, inclusive o COBIT, tm listado
estes objetivos como os principais a serem atingidos. Note que a Segurana da
Informao algo que, de certa forma, est relacionada a todos os objetivos, mas ela
no um objetivo em si. Ou seja, no um fim, mas um meio.

o Gerenciamento de Valor da TI
A TI deve trabalhar com a direo do negcio para assegurar que haja
investimentos obrigatrios e sustentveis na rea de TI para a realizao de seus
objetivos. Por outro lado, os processos de TI devem prover a entrega eficaz e
eficiente dos produtos ou resultados desejados com prvia advertncia de
qualquer impossibilidade de atingi-los. Os servios de TI devem ser executados em
conformidade com acordos de nvel de servio (do ingls, SLAs) internos.

Sevice Level Agreement (SLA) So acordos estabelecidos entre a rea de TI e os usurios de
seus servios definindo nveis aceitveis para sua prestao. O termo SLA muito usado no
mercado para se referir ao tempo de restabelecimento de um servio que ficou fora do ar, mas
os acordos, na verdade, definem outros detalhes sobre a prestao do servio (perfil do
tcnico responsvel, nvel de documentao, acompanhamento posterior etc.).

o Plano Estratgico de TI
Obviamente, um dos objetivos do planejamento estratgico da TI criar um
documento que contenha as diretrizes para a TI no curto, mdio e longo prazo, ou
seja, o Plano Estratgico de TI (PETI). Isso deve ser feito em cooperao com as
outras partes interessadas relevantes. Esse plano deve contemplar como a TI
aplicar os programas de investimentos e como dar sustentao entrega
operacional de servios. O plano deve definir como os objetivos sero atingidos e
medidos e deve ser formalmente liberado para implementao pelas partes
interessadas. O plano estratgico de TI deve contemplar o oramento operacional
e de investimento, as fontes de recursos financeiros, a estratgia de fornecimento,
a estratgia de aquisio e requisitos legais e regulamentares.

Algo importante quando pensamos em plano estratgico o fato de que ele
no um documento exaustivamente detalhado (pois estratgico). Detalhar
demais informaes no plano estratgico pode dificultar a sua operacionalizao,
pois decises pontuais devem ser tomadas por quem est prximo da execuo. O
detalhamento do Plano Estratgico de TI deve ser suficiente apenas para
possibilitar o planejamento ttico.

o Planos Tticos de TI
Um objetivo que consequncia do anterior a criao dos Planos Tticos de
TI derivados do Plano Estratgico. Esses planos devem descrever quais so as
iniciativas de TI requeridas, quais os recursos necessrios e como o uso de recursos
e os benefcios alcanados sero monitorados e administrados. Os planos tticos
devem ser suficientemente detalhados de forma a permitir a execuo de
procedimentos para operacionalizar os servios.

o Alinhamento entre TI e Negcio
Este objetivo visa estabelecer processos de comunicao que sejam bi-
direcionais e que ajudem a envolver no planejamento estratgico as outras reas
de negcio e a TI. As necessidades imperativas da empresa e da TI precisam ser
mediadas para serem mutuamente aceitas. O valor do portflio da TI deve ser
aumentado atravs da escolha dos projetos certos para serem conduzidos. Isso
significa que projetos que no estejam alinhados aos interesses da organizao
devem ser cancelados (ou melhor, nunca serem iniciados).

o Avaliao da Capacidade e Desempenho Correntes
Uma das reas foco da Governana a constante medio de resultados.
Costuma-se dizer que no se pode gerenciar o que no se controla; e no se pode
controlar aquilo que no pode ser medido. Assim, a capacidade de entregar
solues e servios deve ser medida constantemente atravs de indicadores
previamente determinados. O desempenho da TI deve ser definido em termos da
contribuio com os objetivos de negcio, funcionalidades, estabilidade,
complexidade, custos, pontos fortes e fragilidades.
A TI sempre deve estabelecer indicadores quantitativos para os seus
processos, mesmo que simples. Algo como 1 para ruim, 2 para bom e 3 para
timo j pode ser suficiente para medir os resultados de um servio prestado. Sem
indicadores no h como estabelecer a melhoria contnua dos processos de TI.

Figura 12.2: Indicadores, mesmo que simples, so essenciais para controlar e melhorar o fornecimento
de servios de TI e atingir o SLA.
Digramao, favor, utilizar a imagem como modelo para representar a idia.

Incio da Atividade
Atividade 01 - Objetivo 01
A sua empresa deseja definir diretrizes de Goverana em TI com o objetivo principal de
promover o alinhamento estratgico entre as aes de TI e os objetivos de negcio. A diretoria
executiva envolvida nas discusses define que o primeiro passo seria a construo da Poltica
de Segurana da Informao. A sua opinio, como membro da rea tcnica, solicitada. Que
informaes novas voc poderia trazer discusso?
Quantidade de Linhas: deixar 08 linhas.
Resposta
A primeira questo importante a ser ressaltada o fato de que a Poltica de Segurana
deve ser um subproduto do Plano Estratgico de TI. Portanto, neste caso, o primeiro passo a
ser tomado seria o de construir o PETI, caso a empresa no tenha um. Alm disso, o prprio
Plano Estratgico de TI resultado do planejamento estratgico organizacional. Portanto, a
empresa deve pensar, em primeiro lugar, na elaborao do seu prprio Plano Estratgico
Empresarial, caso ele ainda no exista. Por ltimo, caso j existam estes planos estratgicos, a
diretoria deve ser alertada de que a Segurana da Informao uma das reas vitais da TI, mas
no deve ser vista como a nica. Conhecer e aplicar modelos de controle como o COBIT
ajudaria muito a orientar e direcionar as decises da alta gesto neste caso e a focar no que
mais importante.
Fim da Atividade
3. Poltica de Segurana da Informao
Segundo a norma ISO/IEC 27001:2005, o objetivo do processo de elaborao de uma
Poltica de Segurana na empresa o de prover orientao e apoio da direo para a
segurana da informao de acordo com os requisitos do negcio e com as leis e
regulamentaes relevantes. Note que a questo legal lembrada na definio do objetivo
deste processo.
Na verdade, como vimos nas aulas 10 e 11, esta norma trata a questo da Poltica de
Segurana em uma das 11 sees em que se dividem os controles do Sistema de Gesto da
Segurana. H dois controles nesta seo, conforme veremos a seguir nos itens 3.1 e 3.2.
3.1. Documento da Poltica de Segurana da Informao
A norma determina que um documento da poltica de segurana da informao
seja aprovado pela direo, publicado e comunicado para todos os funcionrios e
partes externas relevantes.
Portanto, a Poltica de Segurana da Informao deve ser materializada em um
documento formal na organizao. Este documento pode ser impresso ou armazenado
em formato digital em um repositrio disponvel para todas as pessoas cujo acesso
seja autorizado.
3.2. Anlise Crtica da Poltica de Segurana da Informao
A norma tambm determina que a Poltica de Segurana da Informao deve ser
analisada criticamente a intervalos planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.
No h uma regra para a periodicidade e formato da anlise crtica da poltica. Ela
deve ser feita periodicamente, no mnimo, para acompanhar as atualizaes do Plano
Estratgico de TI.
4. Modelo de Poltica de Segurana
A seguir veremos um modelo das sees mnimas a serem abordadas em uma Poltica de
Segurana da Informao. Vale ressaltar que se trata de um modelo simples que pode variar
de empresa para empresa dependendo de seu porte, rea de atuao, pas etc.
4.1. Sees Iniciais
As sees iniciais da poltica devem descrever aspectos relevantes sobre o cenrio
atual que envolve a organizao assim como os objetivos da poltica. Obviamente,
dependendo da empresa, haver itens para atender aos padres de documentao
seguindos na empresa (verso, data, autor, ndices etc.).
A Poltica de Segurana da Informao no deve ser escrita com base em termos e
jarges tcnicos desnecessrios, pois ela deve ser entendida por todas as pessoas
afetadas dentro e fora da empresa. Assim, a seo introdutria pode conter um
glossrio de termos usados que no sejam comuns ao dia a dia do pblico alvo.
Muitas vezes a organizao opta por iniciar o texto da poltica com uma declarao
de comprometimento da direo apoiando as metas e princpios de segurana.
4.2. Atribuio de Responsabilidades
A Poltica de Segurana deve conter uma seo que defina papis e
responsabilidades das principais partes interessadas na organizao desde usurios
dos servios de TI at membros da direo executiva da empresa. Algumas
responsabilidades comuns, atribudas conforme o grau de responsabilidade, so:

o Aprovar a verso inicial da Poltica de Segurana e todas as suas revises;
o Prover recursos necessrios para a sustentao da Poltica de Segurana;
o Revisar, propor ajustes e modificaes na Poltica de Segurana;
o Prover ampla divulgao da Poltica de Segurana;
o Autorizar e controlar o acesso informao de acordo com sua classificao;
o Analisar casos de violao interna da Poltica de Segurana;
o Aplicar sanes em caso de violao interna da Poltica de Segurana;
o Propor projetos para aperfeioar a Segurana da Informao;
o Participar da investigao de incidentes de Segurana da Informao;
o Redigir normas internas e procedimentos tcnicos de segurana;
o Criar uma equipe de resposta a incidentes de segurana (CSIRT);
o Manter contato com autoridades no assunto externas organizao;
o Colher assinaturas de Termos de Responsabilidade dos funcionrios.

Computer Security Incident Response Team (CSIRT) um comit formado por pessoas com
responsabilidades especficas (tcnicas e no tcnicas) dentro do contexto da Segurana da
Informao. Muitas vezes o CSIRT recebe nomes diferentes nas organizaes, tais como
Comit Gestor de Segurana da Informao etc., mas a sua funo em si no varia muito:
apoiar e executar aes visando aplicao da Poltica de Segurana.
Termo de Responsabilidade um documento simples, normalmente redigido em um dois
pargrafos, onde o funcionrio declara conhecer as diretrizes da Poltica de Segurana e se
compromete a cumpri-las. Este documento precisa ser escrito de acordo com a legislao
trabalhista vigente no pas onde a empresa atua e a poltica ser aplicada.
4.3. Definio de Diretrizes de Segurana da Informao
Esta uma parte mais tcnica da poltica e tambm pode variar muito de
organizao para organizao. Lembre-se de que a Poltica de Segurana da
Informao no um documento tcnico. Deste modo, as diretrizes a seguir devem
ser apenas orientadoras de procedimentos tcnicos que, se necessrios, sero
posteriormentes escritos pelo pessoal de TI. Todos os exemplos listados a seguir
podem variar, dependendo de vrios fatores dentro da organizao.

Uso da Internet
Neste item o usurio deve ser alertado sob a existncia de regras de
acesso a sites, monitoramento das atividades e possibilidade de
responsabilizao pelo uso indevido dos recursos da internet.
Atualmente tem sido muito comum esta parte da poltica tratar
tambm de outros meios de acesso internet a partir das instalaes da
empresa (celulares, modens, etc.). A determinao sobre o que permitido ou
no, obviamente, cabe organizao e varia caso a caso.
Seguem exemplos de diretrizes que costumam aparecer nesta seo:
o Proibir o uso de ferramentas de varredura (sniffers, scanners de
vulnerabilidade etc.) de qualquer espcie pelos usurios da rede;
o Proibir o acesso a sites de natureza pornogrfica, racista ou de
contedo ilegal;
o Proibir o uso dos recursos de acesso internet para realizar
atividades ilcitas ou inadequadas (assdio, jogos, chats etc.);
o Proibir o uso de outros meios de acesso internet que no sejam
aqueles estabelecidos pela rea de TI;
o Proibir o uso da internet fora do horrio de expediente nas
instalaes da empresa;
o Proibir o uso de aplicaes ou quaisquer outros meios para burlar
as regras de firewall, proxy etc. implementadas na organizao;
o Informar sobre a gerao de relatrios de uso da internet por sites
acessados, por usurio, por departamento etc.
o Dentre outras.

Uso da Rede Sem Fio
As redes sem fio, como vimos, so eminentemente menos seguras que
as redes cabeadas se no forem tomadas as devidas precaues. A Poltica de
Segurana atualmente deve determinar quais so as diretrizes para a
navegao na internet usando estas redes como acesso principal.
Note que as diretrizes da Poltica de Segurana definem no s o
comportamento do pessoal interno, mas tambm o comportamento do
pessoal externo organizao. A poltica pode, por exemplo, determinar que o
acesso rede sem fio no permitido a parceiros, clientes, visitantes etc.

Figura 12.3: A Poltica de Segurana deve tratar especificamente do uso das redes sem fio na
organizao. Adaptado de: http://www.efetividade.net/2009/06/24/wireless-maior-alcance-para-sua-
rede-sem-fio-com-um-repetidor-wi-fi/
Digramao, favor, usar a imagem somente como modelo.

o Proibir o uso do sinal de redes vizinhas de outras empresas ou
residncias cujo sinal alcance as instalaes da empresa;
o Proibir o compartilhamento de informaes para acesso rede
sem fio com visitantes, clientes, parceiros e terceiros;
o Proibir o uso de equipamentos eletrnicos que possam interferir
no sinal da rede sem fio da empresa sem a devida autorizao;
o Informar sobre a gerao de relatrios de uso da rede sem fio por
usurio, por departamento, por ponto de acesso etc.
o Dentre outras.

Contas e Senhas de Usurios
Nesta seo normalmente so definidas as diretrizes para os nomes de
usurios da rede, formato de senhas (tamanho mnimo, periodicidade etc.) e
sobre o uso pessoal e intransfervel do par usurio e senha.
o Proibir o uso de nomes de usurios para acesso rede fora do
padro estabelecido pela empresa;
o Proibir o uso de senhas que no sigam o padro de tamanho,
formato e periodicidade estabelecido pela empresa;
o Estabelecer procedimentos para a reinicializao de senhas
quando isso for solicitado pelo usurio;
o Informar sobre o bloqueio ou excluso dos usurios em caso de
frias, afastamento temporrio etc.;
o Informar sobre a gerao de relatrios de login e sobre alertas de
uso dos recursos fora do horrio de expediente da organizao;
o Proibir explicitamente o compartilhamento de usurios e senhas
sob qualquer pretexto;
o Informar sobre a necessidade de executar logoff das estaes ao
se ausentar de sua estao de trabalho por qualquer motivo;
o Dentre outras diretrizes.

Contas e Senhas de Administradores
Em alguns casos a Poltica de Segurana trata de forma especfica das
contas de usurios e senhas de administradores. H aplicaes (normalmente
legados de sistemas antigos) que no permitem a criao de mais de uma
conta de administrador, caso em que a mesma informao deve ser
compartilhada por mais de uma pessoa. Nestes casos, a Poltica de Segurana
deve indicar as diretrizes para o tratamento desta situao caso haja
necessidade de responsabilizao individual pelo uso indevido destas contas
privilegiadas.

Figura 12.4: A Poltica de Segurana deve tratar da padronizao dos nomes de usurios e da criao,
uso e manuteno das suas respectivas senhas. Fonte: http://gorpaki.blogspot.com/2010/10/solucoes-
para-quem-perdeu-senha-de.html.
Digramao, favor, utilizar essa imagem como modelo.

Uso do Correio Eletrnico
O correio eletrnico uma fonte potencial de riscos Segurana da
Informao. Ao mesmo tempo em que ele um meio indispensvel para a
comunicao nas organizaes modernas, ele tambm pode ser um meio de
propagao indevida de informaes sigilosas, incorretas, danosas, ilcitas etc.
que podem causar prejuzos instituio.

Figura 12.5: muito importante que a Poltica de Segurana trate do uso do correio eletrnico na
empresa. Fonte: http://polemikos.com/?p=83.
Digramao, favor, manter a imagem a us-la como modelo para representar a mesma idia.

o Proibir o uso das contas de correio eletrnico para tratar de
assuntos pessoais;
o Proibir o uso das contas de correio eletrnico para enviar
mensagens para um nmero muito grande de destinatrios (a TI
deve explicitar um nmero mximo de destinatrios...);
o Proibir o uso das contas de correio eletrnico para cadastro em
sites de natureza pornogrfica, racista ou de contedo ilegal;
o Probir o envio ou reenvio de mensagens de propaganda, correntes,
pirmides etc. sem a autorizao formal da empresa;
o Proibir a alterao de quaisquer informaes das mensagens de
trabalho que sejam reencaminhadas;
o Proibir o uso do campo Cco (cpia oculta) nas mensagens;
o Proibir o uso de outros servidores SMTP para enviar mensagens;
o Proibir o uso de outras contas de correio pessoais durante a partir
das instalaes da empresa;
o Proibir a divulgao das listas de endereos de correio eletrnico
da empresa sob qualquer circunstncia.
Simple Mail Transfer Protocol (SMTP) um protocolo utilizado na internet para enviar
mensagens de correio eletrnico e deposit-las nas caixas dos destinatrios. Juntamente com
o protocolo Post Office Protocol (POP), o SMTP a base do sistema de mensagens na internet.
O POP o protocolo mais comum usado pelos usurios para receber as mensagens
depositadas nas caixas de correio eletrnico.

Gesto dos Ativos
Neste item a Poltica de Segurana normalmente se preocupa com a
propriedade das estaes de trabalho, notebooks e outros equipamentos
disponibilizados pela empresa para a execuo das atividades dirias do
funcionrio.

o Proibir o armazenamento de material de natureza pornogrfica,
racista ou de contedo ilegal nas estaes, notebooks etc.;
o Proibir a insatalao de softwares no homologados pela
organizao e sem o acompanhamento do pessoal responsvel;
o Proibir a abertura dos computadores etc. para manuteno,
reparos ou por qualquer outro motivo pelos usurios;
o Proibir a entrada ou sada de equipamentos da empresa sem a
devida autorizao formal e por escrito;
o Proibir o uso de equipamentos particulares para as atividades
profissionais sem a devida autorizao formal e por escrito;

Classificao da Informao
A Poltica de Segurana deve definir as diretrizes para a classificao da
informao verbal e impressa e para o seu tratamento de acordo com esta
classificao.

Figura 12.6: A Poltica de Segurana deve definir as diretrizes para a classificao e tratamento da
informao.
Digramao, favor, criar uma figura usando papis, pastas etc. com carimbos de Ostensivo,
Reservado, Confidencial e Secreto.

o Informar sobre os critrios de classificao da informao de
acordo com o seu grau de criticidade e sensibilidade;
o Definir diretrizes para o tratamento de informaes classificadas;
o Definir os critrios de classificao da informao (ostensiva,
confidencial, reservada, secreta etc.);
o Listar as informaes que no podem ser fornecidas verbalmente
(pessoalmente ou por telefone) dentro ou fora do ambiente da
organizao;
o Listar as informaes que no podero circular em formato escrito
(correio eletrnico, impresso em papel etc.) para fora da
organizao;
4.4. Procedimentos em Caso de Violao da Poltica de Segurana
A Poltica deve conter uma seo que trate das sanes impostas aos
infratores de suas diretrizes e dos procedimentos orientados por ela.
Normalmente as sanes vo do simples aviso e registro do descumprimento
at a demisso e responsabilizao civil e criminal do infrator, dependendo do
caso.
o Informar sobre o encaminhamento ao funcionrio, por e-mail, de
um comunicado informando o descumprimento da norma interna,
com a indicao precisa da violao praticada;
o Informar que uma cpia desse comunicado permanecer
arquivada junto ao departamento de recursos humanos (ou
equivalente) na respectiva pasta funcional do funcionrio;
o Informar sobre a possibilidade de aplicao de pena de
advertncia ou suspenso nos casos de infrao grave ou
reincidncia na prtica de infraes de menor gravidade;
o Informar sobre a possibilidade de demisso por justa causa nas
hipteses legalmente previstas na Consolidao das Leis do
Trabalho (CLT).
o Dentre outras.
4.5. Referncias
Muitas vezes a organizao se baseia na legislao vigente ou mesmo em normas e
regulamentos internos da empresa para redigir a sua Poltica de Segurana. Nestes
casos importante listar os documentos de referncia que do embasamento ao
contedo descrito na poltica.

Alguns exemplos de leis relevantes neste contexto so:
o Decreto Federal n 4.553 de 27 de dezembro de 2002 (Dispe sobre a
salvaguarda de dados, informaes, documentos e materiais sigilosos de
interesse da segurana da sociedade e do Estado);
o Lei Federal n 9.610 de 19/02/1998 (Dispe sobre o Direito Autoral);
o Lei Federal n 9.279 de 14/05/1996 (Dispe sobre Marcas e Patentes);
o Lei Federal n 3.129 de 14/10/1982 (Regula a Concesso de Patentes aos
autores de inveno ou descoberta industrial)
o Decreto n 3.505 de 13/06/2000 (Institui a Poltica de Segurana da
Informao nos rgos e Entidades da Administrao Pblica Federal);
o Decreto n 26.209 de 19/04/ 2000 (Cria a Delegacia de Represso aos
Crimes de Informtica DRCI e d outras providncias).
o Dentre outras leis e regulamentos.

Vale ressaltar que todas as partes interessadas (funcionrios, parceiros, terceiros etc.)
devem entender que planos estratgicos e polticas no so feitos para serem imutveis.
Muitas diretrizes que so adequadas em um contexto no sero adequadas em outro. Alm
disso, h casos em que somente na prtica se poder chegar a um consenso. Portanto, o
trabalho no deve ser visto como algo pontual (com incio e fim), mas como um processo
contnuo.
Assim, em vez de passar horas discutindo cada diretriz da poltica sem chegar a um
consenso, mais indicado gerar uma primeira verso, ainda que simples, e coloc-la em
prtica. Somente assim se poder dar o primeiro passo rumo ao que ser uma Poltica de
Segurana que rena o melhor conjunto de diretrizes de Segurana da Informao para a
empresa.

Incio da Atividade
Voc foi contratado por uma empresa por causa de seu conhecimento tcnico na rea
de Segurana da Informao. Sua tarefa inicial comear a registrar todos os incidentes
relacionados violao da poltica. Ao comear o trabalho voc percebe que nem todos na
empresa conhecem a Poltica de Segurana da empresa. Alm disso, ela nunca foi revisada
desde a sua elaborao, h aproximadamente um ano. Por onde voc comearia a resolver
esta situao?
Resposta
Este contexto deixa claro que a empresa no v a Poltica de Segurana como algo que
deve ser tratado dentro de um processo contnuo. Logo, o primeiro passo seria definir um
processo para criar, revisar e comunicar as diretrizes da poltica. Esta reviso deve ser
peridica e as principais atividades do processo devem ser documentadas (por exemplo,
atravs de fluxogramas etc.). O passo seguinte seria atualizar a poltica existente com base no
Plano Diretor de TI. Caso no haja um PDTI, deve ficar claro que a Poltica de Segurana ficar
restrita interpretao direta das metas estratgicas da organizao, mas que isso no o
ideal. Depois, todos na organizao devem ser comunicados sobre a existncia de uma Poltica
de Segurana e devem ter todas as suas dvidas esclarecidas. Somente depois disso que os
incidentes podero comear a ser registrados e as devidas providncias tomadas.
Fim da Atividade
5. Plano de Continuidade dos Negcios
Muitas empresas se perguntam se o Plano de Continuidade de Negcios (PCN) faz parte da
Poltica de Segurana. Na verdade, embora certos eventos relacionados Segurana da
Informao possam causar a paralisao dos negcios de uma empresa, o objetivo da Poltica
de Segurana diferente do objetivo do Plano de Continuidade dos Negcios.
Segundo a norma ISO/IEC 27001:2005, o objetivo do processo de elaborao de uma
Poltica de Segurana na empresa o de no permitir a interrupo das atividades do negcio
e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar
a sua retomada em tempo hbil, se for o caso.
Na verdade, como vimos nas aulas 10 e 11, esta norma trata a questo do Plano de
Continuidade em uma das 11 sees em que se dividem os controles do Sistema de Gesto da
Segurana. H cinco controles nesta seo, conforme veremos a seguir nos itens 5.1 a 5.5.
Note que o texto fala de efeitos de falhas ou desastres significativos. Ou seja, um evento
que causa decontinuidade aquele que afeta no apenas um grupo de usurios, mas todos
eles; ou aqule que tira no somente um servio do ar, mas vrios servidores de uma vez; etc.

Figura 7: A elaborao do Plano de Continuidade fortalece as bases que sustentam o negcio. Fonte:
http://tudo-dbom.blogspot.com/2011/05/super-castelo-de-cartas.html
Digramao, favor, utilizar a figura somente como modelo da idia.
5.1. Segurana da Informao versus Gesto da Continuidade
A primeira questo a ser tratada pela organizao justamente a incluso do
processo de gesto da continuidade no contexto da Segurana da Informao. Um
processo deve ser criado e mantido para assegurar a continuidade do negcio por toda
a organizao e ele deve atender a todas as diretrizes de Segurana da Informao
definidas na Poltica de Segurana. Ou seja, o Plano de Continuidade no pode ser feito
sem a observncia da Poltica de Segurana (e vice-versa).
5.2. Anlise e Avaliao de Riscos
Como j vimos, um dos pontos chave da Segurana da Informao a anlise e a
avaliao do risco. Um risco altamente crtico quando ele pode causar graves
interrupes aos processos de negcio. Note que a diferena entre aquilo que ser
tratado como um simples incidente ou problema dentro da TI ou como algo que
justifique o acionamento do Plano de Continuidade o grau de criticidade do evento.
Lembre-se de que o grau de criticidade tem a ver com o impacto para os ativos de
negcio e com a sua probabilidade de ocorrncia.
5.3. Planos de Continuidade Relativos Segurana da Informao
Nem tudo no Plano de Continuidade de Negcios tratar de questes de
Segurana da Informao. H vrios itens como causas naturais de fora maior
(incndios, enchentes, terremotos etc.) que devero ser abordados no Plano de
Continuidade, mas no na Poltica de Segurana. Por outro lado, h questes ligadas
Segurana da Informao e que podem causar um alto impacto para os negcios.
prtica comum que o Plano de Continuidade possua uma seo tratando de questes
de Segurana da Informao que possam causar descontinuidade grave ao negcio.
5.4. Estrutura do Plano de Continuidade do Negcio
A estrutura do Plano de Continuidade varia de empresa para empresa e depende
de vrios outros fatores. Normalmente o comum que haja, alm das sees
introdutrias (cabealhos, glossrios etc.), pelo menos as quatro sees a seguir:

o Aes de Continuidade
A seo que trata das aes de continuidade envolve todas as aes
tomadas proativamente pela organizao com o objetivo de evitar eventos
que causem impacto considervel s operaes ou, pelo menos,
minimizem os seus efeitos. Por exemplo, se a empresa determina que ela
no pode ficar mais do que oito horas sem um servio, devem ser
realizados testes, ensaios etc. visando a garantir que possvel
restabelec-lo em menos de oito horas em caso de catstrofe. Estes
testes, ensaios etc., obviamente, devem acontecer antes que o evento
ocorra, por isso so vistos como aes preventivas dentro do
planejamento de continuidade. Do mesmo modo, se a empresa planeja
continuar suas operaes em um ambiente alternativo em caso de
terremoto, incndio etc., devem ser estabelecidos contratos ou acordos a
priori definindo o local e deixando-o minimamente preparado para
receber a empresa.

o Aes de Contingncia
Aes de contingncia so eminentemente reativas. Ou seja, so aes
pensadas e documentadas a priori, mas que s acontecero em caso de
descontinuidade. A empresa deve determinar o que caracteriza seu modo
de operao contingencial estabelecendo, por exemplo, quais servios
sero restabelecidos primeiro em caso de descotinuidade. Pode-se, por
exemplo, definir que em no mximo 24 horas aps o evento de
descontinuidade determinados servios mnimos e determinados usurios
principais devero estar sendo atendidos at o restabelecimento completo
das operaes. Este modo chamado de operao contingencial. As aes
tomadas para colocar a empresa em modo de contingncia dentro do
perodo pr-estabelecido so chamadas aes de contingncia.

o Aes de Recuperao
A recuperao acontece quando a empresa volta a operar da mesma
forma que operava antes do evento que deu origem descontinuidade
dos servios. Ou seja, se o evento aconteceu no dia D, a recuperao
acontece quando tudo volta a funcionar como no dia D-1. As aes de
recuperao tambm so reativas (no faz sentido execut-las se no
houve nenhum problema grave na empresa). Alm disso, elas
normalmente so executadas aps as aes de contingncia. Ou seja, a
prioridade inicial reiniciar a operao, mesmo que em modo de
contingncia; depois, realizar a recuperao total.

o Segurana da Informao
Nem sempre o Plano de Continuidade algo feito pela rea de Tecnologia
da Informao. Em algumas empresas, h vrios setores cujas operaes
podem causar descontinuidade ao negcio. Porm, como a rea de TI
cada vez mais importante nas organizaes, tem sido muito comum que o
Plano de Continuidade contenha uma seo tratando s de questes de
Segurana da Informao ou mesmo de outras questes relacionadas TI
em si que possam ser foco de descontinuidade para o negcio.
5.5. Testes, Manuteno e Reavaliao dos Planos de Continuidade do Negcio
Assim como a Poltica de Segurana, o Plano de Continuidade do Negcio deve ser
abordado dentro de um processo. Ou seja, deve ser constatemente atualizado de
forma a assegurar sua permanente efetividade perante o negcio.

Incio da Atividade
Uma equipe na sua empresa foi designada para revisar o contedo da Poltica de
Segurana e est em dvida sobre onde inserir as questes relativas continuidade do
negcio. Alguns dizem que este assunto tambm deve ser tratado na Poltica de Segurana;
outros dizem que isso deve ser um assunto parte tratado no Plano de Continuidade. Qual
seria a interpretao correta neste caso?
Resposta
Os objetivos da Poltica de Segurana e do Plano de Continuidade so totalmente
distintos. Embora haja eventos de Segurana da Informao que possam causar
descontinuidade no negcio, o Plano de Continuidade deve tratar de vrias outras questes
que tambm podem ocasionar descontinuidade, tais como eventos de fora maior (terremoto,
enchentes etc.). Alm disso, o Plano de Continuidade define aes reativas a serem executadas
em caso de descontinuidade, algo que no objetivo da Poltica de Segurana.
Fim da Atividade
6. Maturidade do Processo
Em toda esta aula ns falamos de planos e polticas. Voc deve ter notado que sempre
ressaltamos que em todos os casos os planos ou polticas devem ser construdos e mantidos
atravs de processos. Com isso queremos dizer que as polticas e planos ficaro melhores na
medida em que o processo de construir e mant-la amadurecem.
Mas, existe como medir o nvel de maturidade do seu processo de planejamento
estratgico? Ou do seu processo de definio de uma poltica de segurana e de um plano de
continuidade?
Bem, genericamente podemos adotar um modelo extrado do COBIT que nos auxilia a
responder tais questes, como veremos a seguir.
6.1. Nvel 0 - Inexistente
Podemos dizer que o processo de planejaento estratgico etc. est no nvel zero se
ele simplesmente no existe na empresa. Ou seja, a alta gesto no se importa com o
fato e no est conscientizada de que deve haver um Plano Estrtgico, uma Poltica de
Segurana ou um Plano de Continuidade para sustentar as metas de negcio. Este nvel
tambm chamado s vezes de nvel catico.
6.2. Nvel 1 - Inicial
A empresa est no nvel inicial com relao ao processo de planejamento e
estabelecimento de polticas quando a necessidade de construir e executar planos e
polticas reconhecida pela alta gesto da empresa. Porm, o planejamento ainda
realizado caso a caso (sob demanda), em resposta a um requisito especfico de negcio
(de forma reativa). A posio estratgica com relao ao planejamento estratgico de
TI, Poltica de Segurana etc. identificada informalmente projeto a projeto. Este
nvel tambm conhecido como nvel ad hoc.
6.3. Nvel 2 - Repetvel
Neste nvel j existem planos e polticas compartilhados com a direo do negcio.
Porm, a atualizao destes documentos ainda acontece em resposta a demandas
pontuais e s decises estratgicas ainda so tomadas projeto a projeto e sem
promover o alinhamento estratgico. O processo de reviso dos planos e polticas
ainda no est totalmente pronto, embora existam aes que so repetidas dentro da
organizao para manter os planos e polticas.

Figura 12. 8: O processo de construo de planos e polticas precisa amadurecer na organizao. Fonte:
http://www.efagundes.com/Artigos/CMM.htm
Digramao, favor, melhorar as fontes etc.
6.4. Nvel 3 - Processo Definido
Neste nvel j existe um processo formal e documentado determinando como e
quando os planos e polticas so analisados e modificados a fim de manterem a sua
efetividade. A Poltica de Segurana e o Plano de Continuidade refletem o Plano
Estratgico de TI. O prprio processo de realizar o planejamento estratgico de TI e de
definir as polticas e planos est pronto e definido. Entretanto, ainda falta um rigor
maior com relao aplicao ou no do processo para manter e revisar as polticas e
planos. A implementao do processo fica a critrio de cada direo e no h
procedimentos para examinar o processo.
6.5. Nvel 4 - Gerenciado e Mensurvel
Neste nvel, o nvel de maturidade atinge um ponto em que possvel controlar o
processo. Ou seja, a efetividade dos planos e polticas medida quantitativamente
atravs de indicadores de meta. O planejamento estratgico de TI, a definio de
diretrizes para a Poltica de Segurana e a constante reviso do Plano de Continuidade
uma prtica padro na empresa. Todo planejamento de curto, mdio e longo prazo
cascateado de cima para baixo na organizao, com atualizaes quando necessrio. A
estratgia de TI e a estratgia global da organizao esto se tornando gradativamente
mais coordenadas por abordar processos de negcio, capacidades de valor agregado e
alavancar o uso de aplicativos e tecnologias na reengenharia dos processos de
negcios.
6.6.Nvel 5 - Otimizado
Neste nvel a empresa atinge o ponto mximo de amadurecimento em seus
processos, porm, a melhoria continua acontecendo atravs de aes de automao
dos processos, pesquisas de mercado, comparao como processos de outras
empresas visando melhoria interna etc. Os planos e polticas da empresa refletem as
suas reais necessidades de fato agregam o valor defido s operaes. Comparaes
com normas confiveis e bem conhecidas do mercado so realizadas e integradas ao
processo de formulao de estratgias (benchmarking).

Incio da Atividade
Uma empresa apresenta o seguinte cenrio com relao ao desenvolvimento de sua
Poltica de Segurana: H uma clara definio de quando e como a poltica revisada. A
construo da poltica segue uma abordagem estruturada e todas as atividades do processo
esto claramente documentadas. As diretrizes da poltica so comunicadas dentro da
organizao e a outras partes interessadas. Porm, no existem procedimentos para auditar e
examinar a aplicao do processo, ou seja, a aplico fica a critrio dos responsveis pela
poltica. Em que nvel de maturidade se encontra este processo na empresa?
Resposta
Como o processo est inteiramente documentado, podemos dizer que, no mnimo,
este processo atingiu o nvel de maturidade definido. Porm, o fato de no haver uma
auditoria que permite garantir o cumprimento do processo sempre, ele ainda no atingiu o
nvel de maturidade gerenciado. Perceba que o fato de se ter um processo pronto e
documentado no garantia de que ele ser usado dentro da empresa. Por isso preciso
haver procedimentos que garantam isso. Esta a diferena que separa o nvel 3 (definido) do
nvel 4 (gerenciado).
Fim da Atividade
7. Concluso
Nesta aula terminamos o nosso curso com um contedo menos tcnico. importante
ressaltar que o tema Poltica de Segurana no pode ser estudado em separado do
planejamento estratgico de TI e do Plano de Continuidade de Negcios devido confuso que
estes termos tm causado no mercado.
Vimos tambm que a primeira preocupao da empresa, antes mesmo da confeco de
um Plano Estratgico de TI, a construo do seu prprio Plano Estratgico Empresarial. Ou
seja, no h como a TI saber quais so as suas direes se a prpria empresa no sabe.
Lembre-se e que tudo o que a TI faz dentro de uma empresa deve ter uma justificativa
razovel de negciopara ser realizado. Isso alinhamento.
Antes de falar em Poltica de Segurana, a empresa precisa definir um Plano Estratgico de
TI. Somente a partir dele que se poder definir diretrizes de segurana. Por exemplo, muito
que pode ser escrita dentro da Poltica de Segurana pode implicar a necessidade de gastos
adicionais na rea de TI. At que ponto estes gastos esto alinhados aos rumos que a empresa
deseja tomar no curto, mdio e longo prazos?
Por ltimo, vimos que o Plano de Continuidade deve ser realizado como um trabalho
parte daquele realizado para definir uma Poltica de Segurana. Embora estes documentos
tenham muita coisa a ver um com o outro, seus objetivos so distintos.
Resumo
A Poltica de Segurana da Informao deve estar alinhada ao Plano Estratgico de TI.
O Plano Estratgico de TI deve ser construdo a partir do Plano Estratgico Empresarial
de forma que toda meta de TI tenha uma relao com alguma meta de negcio.
A Poltica de Segurana deve ser formalizada em um documento escrito disponvel
para todas as partes envolvidas e a sua construo, execuo e evoluo devem
acontecer na forma de um processo contnuo na organizao.
O Plano de Continuidade de Negcios documenta tanto aes proativas quanto aes
reativas que devem ser tomadas em caso de evento com impacto significativo para os
negcios.
Aes de contingncia so as aes tomadas para colocar a empresa em modo de
contingncia o mais rapidamente possvel. O que caracteriza o modo de
contingncia e o que significa o mais rapidamente possvel deve ser algo explcito e
documentado a priori no Plano de Continuidade.
Aes de recuperao so as aes tomadas para restabelecer os servios da empresa
totalmente e coloc-la em operao normal assim como antes do evento que causou a
descontinuidade ao negcio.
O que caracteriza a necessidade de acionamento do Plano de Continuidade a
ocorrncia de um evento que afete todos os usurios da empresa, ou todos os
servidores etc. Estes eventos se distinguem de incidentes e problemas pontuais.
Os objetivos da Poltica de Segurana da Informao e do Plano de Continuidade de
Negcios so distintos, mas estes documentos devem ser construdos de forma
alinhada por possurem vrias reas de interseco, principalmente no que diz
respeito Segurana da Informao.
Questes Finais
1) [Analista de Segurana Banco do Brasil/2009 CESPE] Acerca da poltica de
segurana da informao de uma empresa, analise as asseres.
A poltica de segurana e as diretrizes, as normas e os procedimentos dela
decorrentes, em uma empresa, devem ser simples e de fcil compreenso,
porque
esto alinhados com as estratgias de negcios da empresa, padres e
procedimentos.
Assinale a opo correta a respeito desse enunciado.
A. As duas asseres so verdadeiras, e a segunda justifica a primeira.
B. As duas asseres so verdadeiras, mas a segunda no justifica a primeira.
C. A primeira assero falsa, e a segunda verdadeira.
D. A primeira assero verdadeira, e a segunda falsa.
E. Tanto a primeira assero quanto a segunda so falsas.
2) [Perito Criminal Federal PF/2004 CESPE] A poltica de segurana um conjunto de
diretrizes, normas, procedimentos e instrues de trabalho que estabelecem os
critrios de segurana para serem adotados no nvel local ou a institucional, visando o
estabelecimento, a padronizao e a normalizao da segurana tanto no mbito
humano quanto tecnolgico. Acerca das boas prticas para elaborao, implantao e
monitorao da poltica de segurana, julgue os itens seguintes.
A. Uma fonte primria para a definio dos requisitos de segurana consiste na
avaliao de riscos dos ativos de informao. Essa anlise permite ainda equilibrar os
gastos com os controles de segurana de acordo com os danos causados aos negcios
gerados pelas potenciais falhas na segurana.
B. A poltica precisa ser aprovada pela administrao da organizao e formalmente
comunicada a todos que devem cumpri-la, caso contrrio sua aplicao torna-se de
difcil controle e aceitao.
C. A elaborao de uma poltica de segurana institucional deve refletir, sobretudo, o
know-how de segurana dos profissionais envolvidos com a sua elaborao e no a
cultura da organizao.
3) [Tcnico Cientfico Banco da Amaznia/2009 - CESPE] No que se refere s normas
ISO/IEC 27001 e ISO/IEC 27002, julgue os seguintes itens:
[66] O documento da poltica de segurana da informao estabelece as suas linhas
mestras, expressa as preocupaes da administrao e por ela aprovado e
comunicado a todos os funcionrios.
[67] So exemplos de contedos que constam no documento de poltica da
informao: conformidade com a legislao e clusulas contratuais, requisitos na
educao de segurana, gesto da continuidade do negcio e regras para controle de
acesso.
[68] Convm que a poltica de segurana da informao tenha um patrocinador
responsvel por sua manuteno e anlise crtica e que esteja de acordo com um
processo de submisso definido.
4) [Tcnico Cientfico Banco da Amaznia/2009 - CESPE] Com relao a segurana de
redes de computadores, julgue os itens a seguir.
[91] A poltica de segurana define o que deve ser feito para proteger a informao,
seja ela armazenada ou esteja em trnsito.
[92] recomendvel que a poltica de segurana determine medidas especficas a
serem implementadas e a forma de implementlas.
5) [Analista de TI TRT21 Regio CESPE] Julgue o item abaixo.
Um dos controles da poltica de segurana da informao estabelece que ela deve ser
analisada criticamente a intervalos planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.
Respostas
1) Alternativa B. Embora ambas a afirmaes sejam corretas, os termos da poltica
devem ser simples porque precisam ser entendidos por toda a organizao e outras
partes envolvidas.
2) A afirmao A correta. A poltica de segurana obtm vrios de seus requisitos da
anlise e avaliao do risco para os ativos. A afirmao B correta. A poltica deve
receber apoio formal da alta gesto e ser comunicada formalmente, algo que,
inclusive, um dos controles citados na norma ISO 27001. A afirmao C falsa. O
conhecimento envolvido na elaborao da poltca deve conter informaes tcnicas e
de negcio, pois ela ser usada em todas as reas da organizao.
3) A afirmao [66] verdadeira. Conforme visto na teoria. A afirmao [67] falsa. Estes
itens no so obrigatrios e a Poltica de Segurana contm informaes menos
tcnicas. Por exemplo, itens relativos continuidade devem aparecer no Plano de
Continuidade de Negcios, conforme vimos. A afirmao [68] falsa. O patrocinador
da poltica no o responsvel pela anlise crtica. E, na verdade, deve ser a empresa,
representada na figura das pessoas que compem a alta gesto, que deve patrocinar
os itens da Poltica de Segurana.
4) A afirmao [91] verdadeira. Conforme visto na teoria. A afirmao [92] falsa. O
texto da Poltica de Segurana nunca deve ser muito especfico, pois ele um
documento mais estratgico. Especificar demais poderia dificultar a sua operao.
5) A afirmao verdadeira, conforme vimos na teoria.
Referncias
COBIT 4.1 Control Objectives for Information and Related Technology. Illinois: IT
Governance Institute, 2007.
ABNT NBR ISO/IEC 27001:2006 - Tecnologia da informao - Tcnicas de segurana
Requisitos do sistema de gesto de segurana da informao. Brasil, 2006. 34 p.
ABNT NBR ISO/IEC 27002:2005 - Tecnologia da informao - Tcnicas de segurana
Cdigo de prticas para a gesto da segurana da informao. Brasil: 2005. 120 p.

Aula 12 Segurança em Redes Final

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 12 Segurança em Redes Final

Enviado por

Direitos autorais:

Formatos disponíveis

Curso: SEGURANA EM REDES DE COMPUTADORES

Conteudista: Luis Claudio dos Santos

Você também pode gostar