Seg01 Bruno Santana

Faculdade SENAC DF
Ps-Graduao em
Segurana da Informao

Autores

Bruno Rodrigues Santana
rodribruno2@hotmail.com

Edilberto Magalhes Silva
edilms@yahoo.com

Jos Henrique Ferreira da Silva
jhferreira@gmail.com

Braslia-DF
2012
Trabalho de Concluso de Curso
apresentado a FACSENAC-DF
Faculdade Senac do DF como
requisito para a obteno do ttulo
de Especialista em Segurana da
n!ormao"
Ficha Catalogrfica

Santana# $runo %odrigues"
&roposta de um Sistema de 'esto da
Segurana da n!ormao S'S baseado nas
normas S()EC *+,,-.*,,/# S()EC
*+,,*.*,,0# S()EC *+,,0.*,-- em
con!ormidade com a realidade e necessidades de
uma nstituio de Ensino Superior )$runo
%odrigues Santana 1 $raslia . Faculdade Senac-
DF# *,-*"
(rientador. Edilberto da Sil2a 3agalhes
Co-orientador. 4os5 6enrique Ferreira da Sil2a
Trabalho de Concluso de Curso Especiali7ao
em Segurana da n!ormao# Faculdade Senac-
DF# *,-*"
-"Segurana da n!ormao" *" S'S 8" Normas
de Segurana"
Henrique Ferreira da Silva
Proposta de um Sistema de Gesto da
Segurana da Informao SGSI baseado nas
normas ISO/IEC 27001:2006, ISO/IEC
27002:2007, ISO/IEC 27005:201
conformidade com a realidade e necessidades
de uma Instituio de Ensino Superior
RESUMO
Com crescimento contnuo do mercado tecnolgico e o
surgimento cada vez maior de novas ameaas, os riscos
segurana da informao nas organizaes
na mesma proporo.
O presente artigo apresenta uma proposta de SGSI,
estabelecido como um conjunto de aes coordenadas no
sentido de garantir a segurana da informao, explicitada em
forma de fluxo, baseado nas normas ISO/IEC 27001:2006,
ISO/IEC 27002:2007, ISO/IEC 27005:2011, em conformidade
com a realidade e necessidades de uma instituio de ensino
superior em meio ao cenrio resultante deste crescimento
A instituio foco deste estudo de caso
especificidade em relao a sua metodologi
qual esto sendo adequados, de forma a alcanar a aderncia
dos processos abordados pelo Modelo de Excelncia na
Gesto MEG. Alinhando a realidade na gesto
organizacional, a proposta apresentada foi construda em
conformidade a esta realidade, atendendo a
Gesto aplicadas a Segurana da Informao, abordadas no
Modelo de Excelncia da Gesto MEG.

Palavras-Chave:Segurana da informao; Modelo de
Excelncia da Gesto, SGSI.
ABSTRACT
With continued growth of technological market and the
emergence of new threats, the risks to information security in
organizations also are moving in the same proportion.
article presents a proposal of SGSI, established as a set of
coordinated actions to ensure the security of information, made
explicit in the form of flow based on the standards ISO/IEC
27001:2006, ISO/IEC 27002:2007, ISO/IEC 27005:2011, in
accordance with reality and needs of an institution
education amid the resulting growth scenario.
By aligning the reality in organizational management, the
proposal was built in accordance to this reality, given the good
management practices applied to information sec
addressed in the model of Management Excellence
Aligning the reality in organizational management, the proposal
was built in accordance to this reality, in view of the good
management practices applied to information security,
addressed in the model of Management Excellence

Key Words: Information Security; Model of Management
Excellence, SGSI.
Proposta de um Sistema de Gesto da
Segurana da Informao SGSI baseado nas
C 27001:2006, ISO/IEC
, ISO/IEC 27005:2011 em
conformidade com a realidade e necessidades
de uma Instituio de Ensino Superior
Com crescimento contnuo do mercado tecnolgico e o
surgimento cada vez maior de novas ameaas, os riscos
organizaes tambm avanam
uma proposta de SGSI,
estabelecido como um conjunto de aes coordenadas no
sentido de garantir a segurana da informao, explicitada em
forma de fluxo, baseado nas normas ISO/IEC 27001:2006,
02:2007, ISO/IEC 27005:2011, em conformidade
com a realidade e necessidades de uma instituio de ensino
em meio ao cenrio resultante deste crescimento.
nstituio foco deste estudo de caso possui uma
especificidade em relao a sua metodologia de gesto, ao
qual esto sendo adequados, de forma a alcanar a aderncia
Modelo de Excelncia na
. Alinhando a realidade na gesto
organizacional, a proposta apresentada foi construda em
idade, atendendo as boas prticas de
Gesto aplicadas a Segurana da Informao, abordadas no
MEG.
Segurana da informao; Modelo de
With continued growth of technological market and the
emergence of new threats, the risks to information security in
zations also are moving in the same proportion. This
article presents a proposal of SGSI, established as a set of
coordinated actions to ensure the security of information, made
explicit in the form of flow based on the standards ISO/IEC
7002:2007, ISO/IEC 27005:2011, in
accordance with reality and needs of an institution of higher
education amid the resulting growth scenario.
By aligning the reality in organizational management, the
proposal was built in accordance to this reality, given the good
addressed in the model of Management Excellence - MEG.
Aligning the reality in organizational management, the proposal
this reality, in view of the good
addressed in the model of Management Excellence-MEG.
ecurity; Model of Management
Proposta de um Sistema de Gesto da Segurana da Informao SGSI baseado nas normas ISO/IEC 27001:2006,
ISO/IEC 27002:2007, ISO/IEC 27005:2011 em conformidade com a realidade e necessidades de uma Instituio de
Ensino Superior 2
Artigo apresentado na Ps-Graduao em Segurana da Informao da FACSENAC-DF 21/07/2012
1. INTRODUO
Conhecer os conceitos sobre segurana da informao no significa
necessariamente saber garantir esta segurana. Muitos tm experimentado esta
sensao quando elaboram seus planos de segurana e acabam no atingindo os
resultados desejados.
O Gestor de Segurana da Informao (CISO)* trabalha com fatos, com resultados
de anlise e exames da organizao em questo. A partir destes resultados o CISO
estabelece um conjunto de aes coordenadas no sentido de garantir a segurana da
informao.
A importncia de um Sistema de Gerenciamento de Segurana da Informao
(SGSI) para uma organizao depender do valor agregado que seus dados representam
para o negcio, pois sua implantao pode gerar custos relevantes. Se a organizao
decidir que a segurana dos seus dados importante, o mtodo para se criar um SGSI
est descrito na ABNT NBR ISO/IEC 27002:2007[2], que estabelece em passos gerais
uma forma considerada ideal por muitas empresas para a anlise e implantao de um
SGSI, que visa elevar a segurana dos dados levando em considerao os riscos ao
negcio e a necessidade de manter os dados disponveis.
A ABNT NBR ISO/IEC 27005:2011[3] fornece controles que auxiliam na criao de
um SGSI, mas diferente da ABNT NBR ISO/IEC 27002:2007[2] que so regras gerais de
implementao, esta norma est focada na gesto de risco. Para se obter uma segurana
relativamente alta, faz-se necessrio avaliar os ativos organizacionais e as ameaas que
estes esto sujeitos a sofrerem, para assim viabilizar a consolidao de uma gesto de
riscos eficiente que antecipe a maioria dos casos e consiga agir de acordo com a
situao.
O Desenvolvimento de um SGSI traz consigo uma srie de regras de utilizao dos
servios, acessos e disponibilidades dos recursos de Tecnologia da Informao e
Comunicao de forma consolidada em consonncia ao tipo de negcio em que a
organizao atua para que no haja extremismo em seus critrios, mas sim a eficincia
no seu propsito. Pois todas as aes tecnolgicas refletiro diretamente nos produtos e
servios oferecidos pela instituio, tendo em vista a dependncia tecnolgica expressiva
*Nota: Chief Information Security Officer (CISO) no Brasil e representado pelo Gestor de Segurana da Informao.
Ensino Superior 3
em seu negcio. Segundo levantamento de processos institucionais, realizado em 2011, a
organizao alvo deste estudo de caso possui 96% dos seus processos dependentes de
tecnologia da informao e comunicao para sua execuo correta.
Com o SGSI implementado na organizao espera-se garantir a salva-guarda, a
perenidade, a disponibilidade, a confidencialidade e confiabilidade de seus dados, alm
da disseminao dos mtodos utilizados, consolidando as suas diretrizes e os seus
benefcios, focando na continuidade do negcio.
Todo processo de implementao de um SGSI deve ser verificado e registrado,
pois, havendo falha neste processo, seja vivel a restaurao das verses anteriores,
viabilizando assim, a continuidade das atividades, mantendo o controle e qualidade dos
servios. Os registros devem ser sempre atualizados contendo atividades dos usurios,
excees, eventos relacionados segurana da informao, esses dados devem ser
mantidos por um perodo de tempo para auxiliar em futuras investigaes e
monitoramento de acesso. Alm disto, o SGSI dever passar por constantes avaliaes
em relao a sua eficincia e eficcia no que diz respeito ao seu propsito, de forma que,
os seus processos sejam alinhados aos objetivos do negcio e aos riscos atrelados aos
seus processos principais e de apoio.
Aps a implementao do SGSI, a organizao j estar inclusa em outro patamar
em relao maturidade em suas prticas de gesto voltadas para a segurana da
informao, pois segundo o Modelo de Excelncia na Gesto - MEG[4], disseminado pela
Fundao Nacional da Qualidade, as organizaes de classe mundial devem aderir a
prticas de gesto de forma a assegurar a atualizao, a confidencialidade, a integridade
e a disponibilidade das suas informaes.
1.1. Motivao
A organizao foco deste estudo de caso passa pelo processo de adoo do
Modelo de Excelncia na Gesto MEG[4], editado anualmente pela FNQ - Fundao
Nacional da Qualidade, desde 1992. O Modelo baseado em 11 fundamentos que
representam o estado da arte da gesto para a excelncia do desempenho organizacional
e constituem um modelo de caracterstica sistmica.
O Modelo de Excelncia da Gesto MEG[4] reflete os valores reconhecidos
internacionalmente e que expressam conceitos atuais que se traduzem em prticas ou
Ensino Superior 4
fatores de desempenho encontrados em organizaes lderes de Classe Mundial, ou
seja, aquelas organizaes que buscam constantemente se aperfeioar e se adaptar s
mudanas globais. Esses Fundamentos so: 1. Pensamento Sistmico; 2. Aprendizado
Organizacional; 3. Cultura da Inovao; 4. Liderana e Constncia de Propsitos; 5
Orientao por Processos e Informaes; 6. Viso de Futuro; 7. Gerao de Valor; 8.
Valorizao de Pessoas; 9. Conhecimento sobre o Cliente e Mercado; 10.
Desenvolvimento de Parceiras; 11. Responsabilidade Social. O MEG[4] colocado em
prtica por meio de oito Critrios de Avaliaes: 1. Liderana; 2. Estratgias e Planos; 3.
Clientes; 4. Sociedade; 5. Informaes e Conhecimento; 6. Pessoas; 7. Processos; 8.
Resultados.
Neste Modelo, os Fundamentos da Excelncia so expressos em caractersticas
tangveis, mensurveis quantitativa ou qualitativamente, por meio de requisitos presentes
em questes formuladas e em solicitaes de informaes especficas. Essas, por sua
vez, so agrupadas em itens em cada um dos oito critrios citados acima. O objetivo
dessa distribuio est focado em facilitar o entendimento de contedos afins
considerados no Modelo e reproduzir, de forma lgica, a conduo de temas essenciais
de uma organizao.
Este artigo prope praticas de forma a atender ao critrio 5, que aborda aspectos
direcionados a Informaes e Conhecimento, mais precisamente descrito no item 5.1
Informaes da Organizao, alnea E Como a segurana das informaes garantida.
Esta alnea tem por objetivo abordar o Como a organizao trata a gesto da
segurana, a atualizao, a confidencialidade, a integridade e a disponibilidade das suas
informaes por meio da criao de um SGSI baseado nas normas ISO/IEC
27001:2006[1], ISO/IEC 27002:2007[2], ISO/IEC 27005:2011[3] em conformidade com a
realidade e necessidades de uma instituio de ensino superior.
2. Referencial Terico
Neste tpico sero explicitadas as aplicabilidades das normas ABNT NBR ISO/IEC
27001:2006[1] e seu modelo baseado no ciclo PDCA; o uso da ABNT NBR ISO/IEC
27002:2007[2] e os objetivos de controle e controles de risco; a utilizao da ABNT NBR
ISO/IEC 27005:2011[3] no que diz respeito ao processo da gesto, anlise/avaliao,
tratamento, aceitao, comunicao e monitoramento e anlise crtica dos riscos
Ensino Superior 5
envolvidos nos processos tecnolgicos da organizao; e a criao e implementao de
um SGSI para uma Instituio de Ensino Superior.
2.1. ABNT NBR ISO/IEC 27001:2006 - Voltada para Criao de um SGSI
A organizao deve estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades
de negcios globais da organizao e os riscos que ela enfrenta. Para os efeitos da
Norma, o processo usado est baseado no modelo de PDCA mostrado na figura 1 ABNT
NBR ISO/IEC 27001:2006 [1].

Figura 1 - Modelo do PDCA aplicado aos processos do SGSI
Um Sistema de Gerenciamento de Segurana da Informao (SGSI), uma srie
de aes tomadas com o objetivo de gerenciar a segurana da informao, incluindo
pessoas, infraestrutura e negcios, reduzindo os riscos a um nvel aceitvel, enquanto
mantm em perspectiva os objetivos do negcio e as expectativas do cliente (Academia
Latino-Americana de Segurana da Informao Introduo ABNT NBR ISO/IEC
17799:2005 - Mdulo 1).
Segundo a ABNT NBR ISO/IEC 27001:2006 [1], o processo de implantao de um
SGSI deve seguir os seguintes passos:
1. Desenho do SGSI: seleo do modelo por meio do qual o SGSI ir atuar (tipo de
norma: BS7799, ABNT NBR ISO/IEC 17799:2005, ABNT NBR ISO/IEC 27001:2006,
ABNT NBR ISO/IEC 27002:2007[2], ABNT NBR ISO/IEC 27005:2011[3] e demais normas
Ensino Superior 6
utilizadas para a construo do SGSI). Planejamento inicial das fases do projeto.
Levantamento dos ativos envolvidos (equipamentos, infraestrutura, sistemas, pessoas e
servios);
2. Avaliao dos riscos: identificar e avaliar ameaas e vulnerabilidades. Para cada
ameaa deve ser atribudo um nvel de risco;
3. Tratamento dos riscos: o gerenciamento dos riscos, envolvendo as atividades
que tentaro impedir um ataque antes que ele ocorra e/ou reduziro os efeitos da
ameaa;
4. Definio de controles: a necessidade de controles um resultado da avaliao
de riscos. A escolha deve ser feita com base na relao custo x benefcio de sua
implantao. Os controles podem ser baseados em software, hardware, pessoas ou
processos;
5. Implementao: Implantao em si das contramedidas de segurana;
6. Auditoria: verificao se as condies estabelecidas nos passos anteriores
ocorrem de maneira satisfatria;
7. Melhoria contnua: aprimoramento contnuo do SGSI por meio da busca de
assertivas que acrescentem maior valor s atividades de segurana da informao.
A implementao do SGSI extremamente facilitada por meio do uso de softwares
que alm de coletar informaes importantes, possuem ferramentas para auxlio em todo
o ciclo. Algumas destas ferramentas sero tratadas na prxima sesso.
2.2. ABNT NBR ISO/IEC 27002:2007 - Cdigo de Boas Prticas para Gesto da
Segurana da Informao
A informao trata-se de um ativo que como qualquer outro com grande relevncia
para os negcios, necessita ser adequadamente protegida. Podendo existir em diversas
formas, tais como: impressas ou escritas, armazenada eletronicamente, transmitida pelo
correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja
qual for forma em que a informao estiver apresentada ou o meio por meio do qual for
compartilhada ou armazenada, recomendado que ela seja sempre protegida
adequadamente, segundo a ABNT NBR ISO/IEC 27002:2007[2].
Ensino Superior 7
Segundo Caruso (1991, p. 83[10]), a informao confidencial da empresa no est
mais sob a proteo da segurana tradicional associada ao Central de Processamento de
Dados - CPD, devido ao grande risco de exposio dos dados. Quando as informaes
residiam apenas nos mainframes, os administradores tinham mais garantias quanto sua
segurana porque apenas as pessoas treinadas e autorizadas tinham acesso s
mquinas e, de maneira geral, eram as nicas que sabiam como o equipamento
funcionava. O risco de exposio, portanto, estava concentrado no prprio CPD.
Segundo a ABNT NBR ISO/IEC 27002:2007[2] a informao e os processos de
apoio, sistemas e redes so importantes ativos para os negcios. Definir, alcanar,
manter e melhorar a segurana da informao podem ser atividades essenciais para
assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos
requisitos legais e a imagem da organizao junto ao mercado.
essencial que a organizao identifique os seus requisitos de segurana da
informao, conforme descrito na tabela 1 do Apndice A deste artigo.
Cada categoria explicitada na tabela de avaliao de ativos de segurana da
informao dever conter objetivos que definam o que deve ser alcanado e os controles
que podem ser aplicados para alcanar a segurana deste ativo.
De acordo com a ABNT NBR ISO/IEC 27002:2007[2] os objetivos de controle e
controles devero ser baseados nos resultados e concluses dos processos de
anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares,
obrigaes contratuais e os requisitos de negcio da organizao para que o SGSI possa
garantir a segurana da informao, mitigar os riscos associados ao negcio e contribuir
para bom andamento das atividades relacionadas a organizao.
2.3. ABNT NBR ISO/IEC 27005:2011 voltada para gesto de riscos
A norma ABNT NBR ISO/IEC 27005:2011[3] diz que o processo da gesto de
riscos consiste na definio do contexto, anlise/avaliao de riscos, tratamento do risco,
aceitao do risco, comunicao do risco e monitoramento e anlise crtica destes riscos.
A anlise/avaliao de riscos consiste em definir o contexto da organizao, que
composto por critrios bsicos descritos na norma, assim como o escopo da organizao
em que o SGSI ser usado. Alm disso, h tambm a identificao dos ativos, dos riscos,
das vulnerabilidades da organizao, das possveis ameaas e das consequncias de
Ensino Superior 8
incidentes. Na anlise de riscos h tambm estimativas para os riscos e seus respectivos
nveis, e por fim a avaliao da probabilidade dos incidentes. De acordo com a norma, o
processo de gesto de riscos de SGSI composto pelas seguintes atividades (ABNT
NBR ISO/IEC 27005:2011[3]):

Figura 2 - Overview do gerenciamento de Riscos ISO/IEC 27005:2011

O gerenciamento de riscos de segurana da informao deve ser tratado como um
processo contnuo, e este processo dever definir os contextos internos e externos,
avaliar e tratar os riscos por meio de um plano de tratamento, com intuito de se construir
recomendaes e decises que devero ser analisadas em consonncia com as
ocorrncias e suas consequncias, antes de decidir o que e quando sero aplicados.
Todo este processo tem como foco mitigar os riscos a um nvel aceitvel,
contribuindo para:
1. A identificao dos riscos;
2. O processo de avaliao de riscos em funo dos impactos ao negcio e as
probabilidade de sua ocorrncia;
Ensino Superior 9
3. A comunicao e entendimento da probabilidade e das consequncias
destes riscos;
4. O estabelecimento de prioridade para tratamento do risco;
5. A priorizao das aes para reduzir a ocorrncia dos riscos;
6. O envolvimento das partes interessadas quando as decises de gesto de
riscos so tomadas e para que as partes interessadas sejam mantidas
informadas sobre a situao da gesto de riscos;
7. A eficcia do monitoramento do tratamento dos riscos;
8. O monitoramento e anlise crtica peridica dos riscos e do processo de
gesto de riscos;
9. A coleta de informaes de forma a melhorar a abordagem da gesto de
riscos;
10. O treinamento de gestores e suas equipes a respeito dos riscos e das aes
para mitig-los.
O processo de gerenciamento de riscos de segurana da informao pode ser
aplicado organizao como um todo, a uma rea especfica da organizao, a qualquer
sistema de informaes, a controles j existentes, aos planejados ou apenas aos
aspectos particulares de um controle.
3. Proposta para criao e implementao de um SGSI em uma
Instituio de Ensino Superior
Segundo Smola (2010)[6], a importncia da Gesto da Segurana da Informao
hoje um fator fundamental para o sucesso do negcio de qualquer organizao,
independente de seu tamanho ou rea de atuao. A implantao de um Sistema de
Gesto de Segurana da Informao (SGSI), em conformidade com os requisitos
descritos na norma ABNT ISO IEC 27001:2006[1], fator estratgico e de sucesso para o
negcio da organizao. Em paralelo, a aplicao de boas prticas de segurana da
informao, conforme citadas na ABNT ISO IEC 27002:2007[2], e ABNT NBR ISO/IEC
27005:2011[3] no que diz respeito ao processo da gesto de riscos tambm deve ser
adotada no projeto de segurana de informao da organizao.
Ensino Superior 10
O fluxo apresentado na figura 3 descreve os passos a serem implementados, tendo
como base para construo desta proposta as normas ABNT NBR ISO/IEC 27001:2006,
ABNT NBR ISO/IEC 27002:2007[2] e ABNT NBR ISO/IEC 27005:2011[3].

Figura 3 - Fluxo para implementao do SGSI
Conforme descrito no ciclo PDCA apresentado na figura 1 proposto pela norma
ABNT NBR ISO/IEC 27001:2006[1], na primeira etapa (Planejar), iniciam-se as definies
das estratgias e as formas de como sero alcanadas, ou seja, a definio de polticas,
controles, critrios de riscos e procedimentos, de forma a garantir a segurana das
informaes, alm de alinhar o SGSI com as estratgias de negcio, competitividade,
atuao no mercado, relao com clientes e fornecedores, dentre outros. O momento
atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI.
A seguir sero apresentados os passos propostos na figura 3 (Fluxo para
implementao do SGSI) em uma IES, tendo como referncia as ABNT NBR ISO/IEC
27001:2006[1], ABNT NBR ISO/IEC 27002:2007[2] e ABNT NBR ISO/IEC 27005:2011[3]
3.1. Definio do Contexto e Critrios de Riscos
A definio do contexto trar quais sero os critrios adotados para a avaliao de
riscos, critrios de impacto e de aceitao de riscos. Nessa etapa so coletadas todas as
Ensino Superior 11
informaes relevantes sobre a organizao, mas principalmente para a gesto de riscos
de segurana.
Os resultados da definio do contexto e critrios de riscos devem ser a descrio
dos objetivos da gesto dos riscos e dos ambientes nos quais eles esto
contextualizados. Tambm so definidos os critrios que sero utilizados na determinao
dos riscos, isto , a determinao das consequncias de segurana e os mtodos usados
para a anlise e avaliao dos riscos.
3.1.1. Exemplo de Definio do Contexto e Critrios de Riscos
O Ambiente de negcio em uma Instituio de Ensino Superior traz consigo
inmeros riscos inerentes ao negcio. Exemplificando riscos envolvendo a Tecnologia da
Informao e o contexto aplicado as aulas prticas para os cursos tecnlogos em Gesto
da Tecnologia da Informao, ministradas de forma indispensvel, segundo as normas do
MEC aplicado a este curso, tendo em vista sua importncia para o desenvolvimento do
plano de curso agregado a qualidade dos contedos providos como essenciais para a
formao acadmica do discente, podemos citar a descontinuidade do servio de Internet
nos laboratrios da Instituio, causado por negao de servios por parte da operadora.
Como se trata de um servio essencial para continuidade das aulas prticas.
O impacto causado por este risco se torna alto, e a aceitao de risco passiva,
tendo em vista o tipo de contrato com a prestadora de servio, que por sua vez, garante o
funcionamento do servio em 99,8% do tempo, com prazo de 4 horas para apresentar
soluo, caso acontea incidente, sujeita a penalidade financeira pelo no comprimento
do contrato.
3.2. Avaliao dos Ativos
A avaliao dos ativos um importante passo para a criao bem sucedida de um
SGSI. Os ativos devem ser qualificados de acordo com a sua importncia para a
organizao, sendo que os ativos com maior importncia para a continuidade do negcio
devero receber maior ateno na hora de se tratar os riscos e definir os controles. Esta
avaliao ser decisiva para calcular a prioridade para resoluo de incidentes,
juntamente com o impacto e o nvel de aceitao de riscos destes ativos, de forma a
garantir a mitigao destes riscos e dos impactos refletidos nos produtos e servios
oferecidos pela instituio, contribuindo assim, para a perenidade do negcio.
Ensino Superior 12
3.2.1. Exemplo de Avaliao dos Ativos
Explicitou-se exemplo de Avaliao dos Ativos na tabela 1 do Apndice A, tendo
como referncia o Ambiente Organizacional da Faculdade Alfa. Descrevendo os Locais
dos ativos, Pontos de controle, Objetos de controle, Quantidade, Utilidade, Prioridade
para resoluo de incidentes, Riscos, Impactos e Aceitao de Riscos.
3.3. Avaliao dos Riscos e Critrios de impacto
O processo de avaliao se inicia com a identificao dos riscos do negcio, por
meio de coleta de informaes, junto aos gestores da organizao, sobre eventos que
possam interferir no funcionamento dos processos de negcio, causando perdas
potenciais. Estas informaes devem responder aos seguintes questionamentos: O que
pode acontecer?, Quando e onde? e Como e por qu?.
Outro ponto a ser observado antes de se definir a avaliao de risco so as
estimativas destes riscos, que analisar a origem dos riscos, suas consequncias e as
probabilidades de ocorrncia. Os dados devem ser mensurados por meio de metodologia
qualitativa ou quantitativa.
A ABNT NBR ISO/IEC 27005:2011[3] norteia a mensurao de riscos da seguinte
forma:
Qualitativa: Onde utilizada uma escala com atributos como, por exemplo,
baixa, mdia e alta;
Anlise de risco qualitativa utiliza uma escala para qualificar os atributos e descrever a
magnitude das conseqncias potenciais. Uma vantagem da anlise qualitativa a sua
facilidade de entendimento por todos os envolvidos no processo, enquanto a
desvantagem a dependncia de escolha subjetiva da escala.
Quantitativa: Deve ser utilizado escala numrica como, por exemplo, 20, 30,
100.
A qualidade da anlise de risco qualitativa depender da preciso e integridade dos
valores numricos e a validade dos modelos utilizados. Anlise quantitativa de risco na
maioria dos casos usa dados de incidentes histricos, oferecendo a vantagem de que
pode estar relacionado diretamente com os objetivos de segurana da informao e as
Ensino Superior 13
necessidades da organizao. Uma desvantagem a falta de tais dados sobre novos
riscos ou pontos fracos de segurana da informao.
O objetivo da Avaliao de Riscos tomar decises, baseadas nos resultados da
anlise de risco (Identificao e Estimativa de Riscos). necessrio definir as prioridades
e a real necessidade de tratamento dos riscos analisados. A avaliao envolve a
comparao dos nveis de risco encontrados, com os critrios estabelecidos quando o
contexto foi considerado. importante que seja considerada a propriedade da segurana
da informao e a importncia do processo de negcio ou a atividade suportada por um
determinado ativo ou conjunto de ativos.
Aps a avaliao dos riscos e importante que se defina os critrios de impacto para
cada risco avaliado.Segundo a ABNT NBR ISO/IEC 27005:2011[3], os critrios de
impacto devem ser desenvolvidos e especificados em funo dos danos ou custos
causados por um evento relacionado com a segurana da informao, considerando os
seguintes critrios: Nvel de classificao do ativo afetado; Ocorrncia de violao de
segurana da informao (exemplo: perda de disponibilidade, confidencialidade ou
integridade); operaes comprometidas; perda de oportunidade de negcio e de valor
financeiro; interrupo de planos e ou no comprimento de prazos; dano reputao;
violao de requisitos legais, regulatrios ou contratuais.
Para a definio de impactos descritos na tabela 1 do Apndice A foi considerado
os seguintes critrios:
Alto: Risco cujo impacto no tempo ou custo seja igual ou maior que 50%
(cinqenta por cento) do bem adquirido ou tempo na execuo da atividade;
Mdio: Risco cujo impacto no tempo ou custo seja igual ou maior que 25%
(vinte e cinco por cento) ou menor que 50% (cinqenta por cento) do bem
adquirido ou tempo na execuo da atividade;
Baixo: Risco cujo impacto no tempo ou custo seja menor que 25% (vinte e
cinco por cento) do bem adquirido ou tempo na execuo da atividade.

3.3.1. Exemplo de Avaliao dos Riscos e Critrios de Impacto
Nesta etapa realizada a sumarizao dos impactos relacionados e as suas
respectivas probabilidades, de forma que seja calculado o risco real de um determinado
Ensino Superior 14
evento, causando perdas potenciais. Exemplo: Risco de interrupo do funcionamento da
Rede Acadmica, causada por pane eltrica, ataque de negao de servios ou falha de
hardware no objeto de controle Roteador Cisco, modelo: 1800 Sries. Cujo Risco e
resultante da multiplicao do Impacto X Probabilidade. Exemplo de Avaliao dos Ativos
disponvel na tabela 1 do Apndice A tendo como exemplo o Ambiente Organizacional da
Faculdade Alfa. Descrevendo o impacto que um evento relacionado ao ativo trar ao
funcionamento dos processos desenvolvidos na instituio.
3.4. Tratamento dos Riscos
O Tratamento de riscos se inicia com a priorizao entre os riscos encontrados,
levando em conta os riscos que tm maior probabilidade de se concretizar, tornando-se
um incidente.
Segundo a ABNT NBR ISO/IEC 27005:2011[3] os riscos devem ser relacionados
conforme as opes de tratamento, que so: Reduo, Reteno, Evitao e
transferncia.
Reduo: definida em como as aes tomadas para reduzir a
probabilidade, as consequncias negativas, ou ambas, associadas a um
risco;
Reteno: a aceitao do nus da perda associada a um determinado
risco;
Evitao: Decidir por no se envolver ou agir em uma determinada atividade
para evitar situao de risco;
Transferncia: o compartilhamento do risco com outra parte do nus da
perda ou do benefcio do ganho associado ao risco.

3.4.1. Exemplo de Tratamento dos Riscos
Implementar aes que evitem os riscos e cubram grande parte dos pontos de
falhas identificados na instituio, tais como: fechadura e travas de ltima gerao nas
portas de acesso aos servidores, criao de polticas de segurana da informao
institucional com intuito em orientar os usurios quanto aos servios disponveis e suas
possveis penalidades administrativas e penais se houver o uso indevido.
Ensino Superior 15
Evitar os riscos o objetivo de organizaes comprometidas com a segurana da
informao, que por meio de um conjunto de controles e aes conseguem abranger a
proteo a todos os ativos da empresa, eliminando grande parte dos riscos naquele
momento.
Pode-se exemplificar o tratamento de riscos citando o acesso a internet, disponvel
nos laboratrios de informtica da Faculdade Alfa, pois se faz necessrio que o acesso a
informao seja oferecido e utilizado para as aulas prticas, de toda forma, o risco
agregado a liberao da navegao na internet pode ser mitigado utilizando Firewall
como barreira contra possveis ataques e ameaas, alm de se utilizar um Proxy, tendo
como objetivo filtrar as informaes nas navegaes, liberando o que se entende como
informaes acadmicas e bloqueando os contedos com caractersticas inadequada ao
ambiente educacional, utilizando ferramentas automatizadas de analise de contedo das
paginas acessadas.
Regularmente necessrio refazer a anlise de risco e verificar o que pode ser
melhorado para proteo dos ativos.
3.5. Definio dos Critrios de Aceitao de Riscos
Os critrios para aceitao de riscos devem ser desenvolvidos e especificados
levando em considerao as polticas, metas e objetivos da organizao, assim como os
interessem dos stakeholders. A ABNT NBR ISO/IEC 27005:2011[3] prope que a
organizao defina sua prpria escala de nvel de aceitao de riscos, considerando os
seguintes tpicos durante sua construo:
1. Critrios para a aceitao do risco podem incluir mais de um limite,
representando um nvel desejvel de risco, porm precaues podem ser
tomadas por gestores seniores para aceitar riscos acima desse nvel desde
que sob circunstncias definidas;
2. Critrios para a aceitao do risco podem ser expressos como a razo entre
o lucro estimado (ou outro benefcio ao negcio) e o risco estimado;
3. Diferentes critrios para a aceitao do risco podem ser aplicados a
diferentes classes de risco, por exemplo: riscos que podem resultar em no
conformidade com regulamentaes ou leis podem no ser aceitos,
Ensino Superior 16
enquanto riscos de alto impacto podero ser aceitos se isto for especificado
como um requisito contratual;
4. Critrios para a aceitao do risco podem incluir requisitos para um
tratamento adicional futuro, por exemplo: um risco poder ser aceito se for
aprovado e houver o compromisso de que aes para reduzi-lo a um nvel
aceitvel sero tomadas dentro de um determinado perodo de tempo.
Critrios para a aceitao do risco podem ser diferenciados de acordo com o
tempo de existncia previsto do risco, por exemplo: o risco pode estar associado a uma
atividade temporria ou de curto prazo. Convm que os critrios para a aceitao do risco
sejam estabelecidos, considerando os seguintes itens: Critrios de negcio; Aspectos
legais e regulatrios; Operaes; Tecnologia; Finanas; Fatores sociais e humanitrios.
Para a definio de aceitao de riscos descritos na tabela 1 do Apndice A foram
considerados os seguintes critrios:
Aceitao ativa: Riscos para os quais so planejadas aes de
contingncia.
Aceitao passiva: Riscos para os quais no necessrio definir aes de
contingncia. Nestes casos, quando o risco ocorrer ser avaliada a resposta
vivel (workaround).

3.5.1. Exemplo dos Critrios de Aceitao de Riscos
Tendo como referncia o ambiente organizacional da Faculdade Alfa e os riscos
agregados ao negcio, pode-se citar como exemplo de Aceitao ativa a contratao de
um link de dados MPLS de outra fornecedora, sendo utilizado como contingenciamento,
caso ocorra algum problema envolvendo os servios da fornecedora principal, mantendo
os servios de rede de comunicao ativos. Deste modo, caso tenho descontinuidade nos
servios da fornecedora principal, o impacto ao negcio ser mitigado.
3.6. Avaliao e Aprovao da Alta Gerncia
A Alta Gerncia organizacional dever realizar uma anlise da avaliao dos
ativos, considerando o escopo e cenrios definidos anteriormente, quanto ao contexto e
critrio de riscos e seus respectivos impactos, as propostas de tratamento e aceitao
Ensino Superior 17
para cada risco elencado, pois esta analise dever verificar se as definies esto em
concordncia com as necessidades e os objetivos da instituio. Este processo ter
grande relevncia para a aderncia do SGSI ao modelo de gesto organizacional e o
sucesso na implantao de seus controles, de forma a agregar valor aos produtos e
servios oferecidos, buscando a perenidade no mercado e o sucesso do negocio.
A avaliao dever ser realizada com valores qualitativos (alto, mdio, baixo) e a
avaliao dever contar com anlise de mais de um dirigente. Est anlise ser utilizada
para validar a escalabilidade da avaliao dos ativos, de forma a garantir que os ativos
recebam a ateno devida, de acordo com a sua importncia para a organizao.
3.6.1. Exemplo de Anlise da Alta Gerncia
A alta gerncia da instituio realiza anlise da Avaliao dos Ativos, previamente
descrita pelo Departamento de Tecnologia da Informao, com objetivo em validar a
ordem de prioridade de tratamento dos ativos, os impactos e o tipo de aceitao de risco,
qualificando-os de acordo com o mtodo aplicado para a respectiva mensurao em
relao ao impacto que um incidente trar ao negcio. Exemplo de Avaliao dos Ativos
disponvel na tabela 1 do Apndice A.
3.7. Definio e Implementao dos Controles
Os Objetivos de controle e controles devem ser selecionados e implementados
para atender aos requisitos identificados pela anlise/avaliao de riscos e pelo processo
de tratamento de riscos. Os objetivos de controle e controles apresentados no anexo A da
norma ABNT NBR ISO/IEC 27002: 2007[2] devem ser selecionados como parte do
processo de construo de um SGSI, alinhados aos requisitos j identificados.
Os controles apresentados para esta proposta sero:
A.5.1 Poltica de segurana da informao: Com objetivo em prover uma orientao e
apoio da direo para a segurana da informao de acordo com os requisitos do negcio
e com as leis e regulamentaes relevantes;
A.5.1.1. Documento da poltica de segurana da informao:

Controle: Um documento da poltica de segurana da informao deve ser aprovado pela
direo, publicado e comunicado para todos os funcionrios e partes externas relevantes.

Ensino Superior 18
A.6.1 Infraestrutura da segurana da informao: Com objetivo em gerenciar a
segurana da informao dentro da organizao;
A.6.1.1. Comprometimento da direo com a segurana da informao:
Controle: A Direo deve apoiar ativamente a segurana da informao dentro da
organizao, por meio de um claro direcionamento, demonstrando o seu
comprometimento, definindo atribuies de forma explcita e conhecendo as
responsabilidades pela segurana da informao.
A.7.1 Responsabilidade pelos ativos: Com objetivo em alcanar e manter a proteo
adequada dos ativos da organizao;
A.7.1.1 Inventrio dos ativos:
Controle: Todos os ativos devem ser claramente identificados e um inventrio de todos
os ativos importantes deve ser estruturado e mantido.
A.9.1 reas seguras: Com objetivo em prevenir o acesso fsico no autorizado, danos e
interferncias com as instalaes e informaes da organizao;
A.9.1.1 Permetro de segurana fsica:
Controle: Devem ser utilizados permetros de segurana (barreiras tais como paredes,
portes de entrada controlados por carto ou balces de recepo com recepcionistas)
para proteger as reas que contenham informaes e recursos de processamento da
informao.
A.9.1.2 Controles de entrada fsica:
Controle: As reas seguras devem ser protegidas por controles apropriados de entrada
para assegurar que somente pessoas autorizadas tenham acesso.
A.10.4 Proteo contra cdigos maliciosos e cdigos mveis: Com objetivo em
proteger a integridade do software e da informao;
A.10.4.1 Controle contra cdigos maliciosos:
Controle: Devem ser implantados controles de deteco, preveno e recuperao para
proteger contra cdigos maliciosos, assim como procedimentos para a devida
conscientizao dos usurios.
A.10.6 Gerenciamento da segurana em redes: Com objetivo em garantir a proteo
das informaes em redes e a proteo da infraestrutura de suporte;
A.10.6.1 Controles de redes:
Controle: Redes devem ser adequadamente gerenciadas e controladas, de forma a
proteg-las contra ameaas e manter a segurana de sistemas e aplicaes que utilizam
estas redes, incluindo a informao em trnsito.
Ensino Superior 19
A.10.6.2 Segurana dos servios de rede:
Controle: Caractersticas de segurana, nveis de servio e requisitos de gerenciamento
dos servios de rede devem ser identificados e includos em qualquer acordo de servios
de rede, tanto para servios de rede providos internamente como para terceirizados.
A.10.10 Monitoramento: Com objetivo em detectar atividades no autorizadas de
processamento da informao;
A.10.10.1 Registros de auditoria:
Controle: Registros (log) de auditoria contendo atividades dos usurios, excees e
outros eventos de segurana da informao devem ser produzidos e mantidos por um
perodo de tempo acordado para auxiliar em futuras investigaes e monitoramento de
controle de acesso.
A.10.10.3 Proteo das informaes dos registros (logs):
Controle: Os recursos e informaes de registros (log) devem ser protegidos contra
falsificao e acesso no autorizado.
A.11.2 Gerenciamento de acesso do usurio: Com objetivo de assegurar acesso de
usurio autorizado e prevenir acesso no autorizado a sistemas de informao;
A.11.2.1 Registro de usurio:
Controle: Deve existir um procedimento formal de registro e cancelamento de usurio
para garantir e revogar acessos em todos os sistemas de informao e servios.
A.11.2.2 Gerenciamento de privilgios:
Controle: A concesso e o uso de privilgios devem ser restritos e controlados.
A.11.2.3 Gerenciamento de senha do usurio:
Controle: A concesso de senhas deve ser controlada por meio de um processo de
gerenciamento formal.
A.11.3 Responsabilidades dos usurios: Com objetivo em prevenir o acesso no
autorizado dos usurios e evitar o comprometimento ou roubo da informao
e dos recursos de processamento da informao;
A.11.3.1 Uso de senhas:
Controle: Os usurios devem ser orientados a seguir boas prticas de segurana da
informao na seleo e uso de senhas.
A.11.3.2 Equipamento de usurio sem monitorao:
Controle: Os usurios devem assegurar que os equipamentos no monitorados tenham
proteo adequada.
Ensino Superior 20
A.11.4 Controle de acesso rede: Com objetivo em prevenir acesso no autorizado aos
servios de rede;
A.11.4.1 Poltica de uso dos servios de rede:
Controle: Os usurios devem receber acesso somente aos servios que tenham sido
especificamente autorizados a usar.
A.11.4.2 Autenticao para conexo externa do usurio:
Controle: Mtodos apropriados de autenticao devem ser usados para controlar o
acesso de usurios remotos.
A.11.4.3 Identificao de equipamento em redes:
Controle: Devem ser consideradas as identificaes automticas de equipamentos como
um meio de autenticar conexes vindas de localizaes e equipamentos especficos.
A.11.4.4 Proteo e configurao de portas de diagnstico remotas:
Controle: Deve ser controlado o acesso fsico e lgico para diagnosticar e configurar
portas.
A.12.2 Processamento correto de aplicaes: Com objetivo em prevenir a ocorrncia
de erros, perdas, modificao no autorizada ou mau uso de informaes em aplicaes;
A.12.2.1 Validao dos dados de entrada:
Controle: Os dados de entrada de aplicaes devem ser validados para garantir que so
corretos e apropriados.

A.12.2.2 Controle do processamento interno:
Controle: Devem ser incorporadas, nas aplicaes, checagens de validao com o
objetivo de detectar qualquer corrupo de informaes, por erros ou por aes
deliberadas.
A.12.2.3 Integridade de mensagens:
Controle: Requisitos para garantir a autenticidade e proteger a integridade das
mensagens em aplicaes devem ser identificados e os controles apropriados devem ser
identificados e implementados.
A.12.2.4 Validao de dados de sada:
Controle: Os dados de sada das aplicaes devem ser validados para assegurar que o
processamento das informaes armazenadas est correto e apropriado s
circunstncias.
A.12.4 Segurana dos arquivos do sistema: Com objetivo de Garantir a segurana de
arquivos de sistema;
Ensino Superior 21
A.12.4.1 Controle de software operacional:
Controle: Procedimentos para controlar a instalao de software em sistemas
operacionais devem ser implementados.
A.12.4.2 Proteo dos dados para teste de sistema:
Controle: Os dados de teste devem ser selecionados com cuidado, protegidos e
controlados.
A.12.4.3 Controle de acesso ao cdigo- fonte de programa:
Controle: O acesso ao cdigo-fonte de programa deve ser restrito.
A.15.2 Conformidade com normas e polticas de segurana da informao e
conformidade tcnica: Com objetivo de Garantir conformidade dos sistemas com as
polticas e normas organizacionais de segurana da informao;
A.15.2.1 Conformidade com as polticas e normas de segurana da informao:
Controle: Os gestores devem garantir que todos os procedimentos de segurana dentro
da sua rea de responsabilidade sejam executados corretamente para atender
conformidade com as normas e polticas de segurana da informao.
A.15.2.2 Verificao da conformidade tcnica:
Controle: Os sistemas de informao devem ser periodicamente verificados quanto
sua conformidade com as normas de segurana da informao implementadas.

A.15.3 Consideraes quanto auditoria de sistemas de informao: Com objetivo
de maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas
de informao.
A.15.3.1 Controles de auditoria de sistemas de informao:
Controle: Os requisitos e atividades de auditoria envolvendo verificao nos sistemas
operacionais devem ser cuidadosamente planejados e acordados para minimizar os
riscos de interrupo dos processos do negcio.
A.15.3.2 Proteo de ferramentas de auditoria de sistemas de informao:
Controle: O acesso s ferramentas de auditoria de sistema de informao deve ser
protegido para prevenir qualquer possibilidade de uso imprprio ou comprometimento.

3.8.1. Exemplo de Definio e Implementao de Controles
Pode ser utilizado como exemplo de Definio e Implementao de Controles a
adoo do item A.9.1 reas seguras, apresentado no anexo A da norma ABNT NBR
Ensino Superior 22
ISO/IEC 27001: 2006[1], com objetivo em controlar o acesso as reas que alocam ativos
imprescindveis para o bom funcionamento da organizao, criando nveis de acesso,
sala cofre, circuito de vigilncia e outros dispositivos que garantam a segurana destas
reas. Como exemplo, podemos citar o CPD, onde so alocados todos os servidores de
rede, sistemas e dados, tambm serve como sala de atendimento aos clientes, sem
nenhum tipo de nvel de acesso para o ambiente. Expondo, desta forma, todos os ativos
responsveis por gerenciar a informao da instituio e inviabilizando qualquer forma de
segurana destas informaes no que diz respeito ao item 9.1 rea Segura.
3.8. Auditoria
De acordo com a norma ABNT NBR ISO/IEC 27001:2006[1] e proposto que a
organizao conduza auditorias internas do SGSI, em intervalos planejados, para
determinar a situao dos objetivos de controle, controle, processos e procedimentos do
SGSI.
Nesta mesma norma esta descrito que a organizao deve continuamente
melhorar a eficincia do SGSI por meio do uso da Poltica de Segurana da informao,
objetivos de segurana, os resultados das auditorias, anlise e monitoramento de
eventos, alm de aplicar aes preventivas e corretivas.
O sucesso da implantao e manuteno do SGSI est baseado na verificao
constante das suas atividades. A auditoria dos seus componentes possibilita que o SGSI
esteja sempre alinhado s necessidades de segurana da informao do negcio da
organizao. Esse fato torna a auditoria, de forma ampla, uma ferramenta fundamental
manuteno e adequao do SGSI estratgia do negcio.
A ABNT NBR ISO/IEC 19011[5] define auditoria como um processo sistemtico,
documentado e independente para obter evidncias de auditoria e avali-las
objetivamente de modo a determinar a extenso na qual os critrios de auditoria so
atendidos.
Evidncias de auditoria: so registros, apresentao de fatos ou outras informaes,
pertinentes aos critrios de auditoria. A auditoria pode ser quantitativa ou qualitativa.
Critrios de auditoria: consiste em um conjunto de polticas, procedimentos ou
requisitos. Os critrios de auditoria so usados como uma referncia contra a qual a
evidncia da auditoria comparada.
Ensino Superior 23
Segundo a UFERSA (2010)[8], auditoria so exames, anlises, avaliaes,
levantamento e comprovaes, metodologicamente estruturados para a avaliao da
integridade, adequao, eficincia, eficcia e economicidade dos processos, dos sistemas
de informaes e de controles internos integrados da organizao, visando a atingir o
cumprimento de seus objetivos.
Segundo Mello (2005)[7], a auditoria pode ser definida como uma atividade que
engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de
uma determinada entidade, com o intuito de verificar a sua conformidade com certos
objetivos e polticas institucionais, oramentos, regras, normas ou padres. Poderiam ser
mencionadas, ainda, algumas definies mais: acredita-se, entretanto, que essas duas
atendam s expectativas deste estudo.
importante ressaltar que uma auditoria possui a caracterstica de confiana e
princpios, tornando- se ferramenta eficiente e confivel. Dessa forma, contribui para as
polticas de gesto e controle, provendo as organizaes de informaes que possibilitem
melhorar os seus processos de negcio.
O processo de auditoria dever ser alinhado ao objetivo, a periodicidade e o
posicionamento do auditor/rgo fiscalizador e a prpria organizao. O objetivo de uma
auditoria pode estar relacionado necessidade de se verificarem falhas em um processo
e, assim, poder corrigi-lo. A periodicidade de uma auditoria pode estar relacionada
necessidade ou ao tipo de negcio.
Boas prticas de uma auditoria
Conforme citado em BSI 2008[9], Curso Auditor Interno, algumas boas prticas
durante uma auditoria devem ser observadas:
Notifique sempre e com antecedncia a realizao de uma auditoria, seja ela
externa ou interna, e tambm informe a importncia dela para a organizao;
Faa as perguntas s pessoas responsveis pela rea que est sendo auditada.
No se esquea de que as perguntas devem ser claras e objetivas. Evite realizar
vrias perguntas ao mesmo tempo;
Seja imparcial durante todo o processo de auditoria, buscando sempre evidncias:
com isso, voc evita quaisquer concluses precipitadas;
Ensino Superior 24
Seja sempre atencioso e educado, procure usar uma linguagem polida, no
argumente com qualquer pessoa ou segmento da organizao; no discuta, no
faa crticas; e
Procure sempre apresentar as suas constataes durante o processo da auditoria.

3.8.1. Exemplo de Auditoria
Um programa de auditoria, segundo a ABNT NBR ISO/IEC 19011[5], consiste em
uma ou um conjunto de auditorias planejado para um determinado perodo de tempo e
com um propsito especfico. A quantidade de auditorias que iro compor um programa
de auditoria est diretamente relacionada ao escopo de abrangncia, natureza (ex.:
corretiva ou punitiva) e ao tipo de negcio da organizao, o nvel de complexidade da
organizao que ser auditada.
O programa de auditoria responsvel, tambm, por estabelecer todas as
atividades que possibilitam o planejamento e organizao, execuo e manuteno de
todas as auditorias que fazem parte do programa, independente do tipo, fornecendo todos
os recursos necessrios para que sejam executadas de forma eficiente, em um
determinado perodo de tempo (ABNT NBR ISO/IEC 19011[5]).
Desta forma, pode-se dizer que o programa de auditoria um plano de ao,
detalhado, com o objetivo de dar ao auditor as diretivas necessrias realizao de seu
trabalho. Possui objetivos, escopo de abrangncia, um conjunto de procedimentos
necessrios equipe de auditoria na realizao de seu trabalho.
O programa de auditoria dever ser estruturado, com base em um padro, e
poder conter elementos como:
Caractersticas do sistema organizacional a ser auditado;
reas/segmentos de negcio envolvidos;
Perodo de realizao da auditoria;
Objetivos da auditoria;
Cronograma dos trabalhos;
Equipe de auditores;
Ensino Superior 25
Custos envolvidos para a realizao da auditoria;
Procedimentos para a realizao da auditoria;
Questionrios de coleta de informaes;
Campo para observaes dos auditores;
Ressalta-se que o programa de auditoria deve ser flexvel o suficiente para sofrer
alteraes, no caso de situaes no previstas ou intempestivas durante o processo de
auditoria. Ele tambm deve apoiar-se no processo de deciso da equipe de auditoria,
caso exista a necessidade de ampliar a coleta de informaes, anlises e/ou realizaes
de teste de auditoria.
3.9. Avaliao e Implementao de Melhoria
Segundo a norma ABNT ISO/IEC 27001:2006[1], a organizao deve
continuamente melhorar a eficincia do SGSI atravs do uso da Poltica de Segurana da
Informao, objetivos de segurana, resultados das auditorias, anlise e monitoramento
de eventos, aes corretivas e preventivas.
A Melhoria Contnua um dos requisitos mais importantes da norma ABNT
ISO/IEC 27001:2006[1]. atravs da Melhoria Continua que voc garante a evoluo do
seu SGSI. A norma determina que existam quatro dados de entrada para os processos
de melhoria contnua melhoria continua:
Incidentes
Resultados de desempenho de controles e processos do SGSI
Resultados de Auditoria Interna
Reunies de Anlise Crtica
Os resultados da anlise destes aspectos podem gerar aes corretivas ou aes
preventivas.
A organizao dever executar procedimentos de monitorao e outros
controles para:
Detectar erros dos resultados de processamentos;
Ensino Superior 26
Identificar falhas e insucessos em funo de brechas e incidentes de
segurana;
Gerenciar se a delegao de atividades seguras para pessoas ou as
Implementaes da TI esto sendo realizadas de acordo com as
expectativas;
Determinar se as aes executadas para resolver uma falha de
segurana esto de acordo com as prioridades do negcio;
Verificar regularmente a eficincia do SGSI considerando os
resultados das auditorias de segurana, incidentes, sugestes e
feedback de todas as partes interessadas.
Rever regularmente o nvel de risco residual.

Promover auditorias internas do SGSI, em intervalos regulares e planejados.
Promover reviso do SGSI em intervalos regulares (pelo menos uma vez por
ano) para assegurar que a adequao do escopo e que o processo de
melhorias do sistema so identificados.
Registrar aes e eventos que possam impactar a eficincia e performance
do SGSI.
Deste modo, torna-se essencial a execuo de aes corretivas e preventivas ao
fim do fluxo proposto, com base nos resultados da auditoria interna do SGSI e da anlise
crtica pela direo e/ou outras informaes pertinentes, focado na busca pela melhoria
contnua do SGSI, garantindo alinhamento constante com o negcio, agregando valor os
produtos e servios oferecidos pela instituio e o fortalecimento da perenidade no
mercado.
3.9.1. Exemplo Avaliao e Implementao de Melhoria
O programa de auditoria auxilia a determinar se processos ou atividades de
segurana descrita no SGSI da instituio precisam ser modificados ou melhorados.O
programa de auditoria de segurana da informao utilizado pela Faculdade Alfa tem
como foco apoiar os gestores da instituio na identificao e avaliao de processos e
controles ineficazes. O modelo tambm auxilia a sua instituio a prover evidncias de
conformidade com a ABNT NBR ISO/IEC 2700:2006 [1].
Ensino Superior 27
Aps o uso de mtricas e medies, ser elaborado um plano de melhorias de
curto e longo prazo, bem como realizado o monitoramento do desempenho dos
processos.
importante que a organizao continue trabalhando na melhoria contnua. O
processo de melhoria permite a manuteno do SGSI, de forma a monitorar o progresso
dos processos de segurana da informao da Faculdade Alfa, alm de produzir a
documentao que contribuir para demonstrar que a eficcia dos controles est sendo
medida e avaliada.
4. DISCUSSO
O presente estudo de caso tem como objetivo, propor um fluxo para a criao e
implementao de um SGSI para uma Instituio de Ensino Superior. Utilizada como
exemplo, a Faculdade Alfa est passando por uma fase de adoo do Modelo de
Excelncia na Gesto - MEG[4], disseminado pela Fundao Nacional da Qualidade FNQ.
Conforme apresentado na figura 4 (Fluxo para implementao do SGSI) para
implementao, e em conformidade com o Ciclo PDCA proposto pela norma ABNT NBR
ISO/IEC 27001:2006[1] voltada para criao de um SGSI, o cdigo de boas prticas para
gesto da segurana da informao abordado pela norma ABNT NBR ISO/IEC
27002:2007[2] e a gesto de riscos abordada na norma ABNT NBR ISO/IEC
27005:2011[3], traz em sua essncia a definio de polticas, controles e procedimentos,
de forma a garantir a segurana das informaes, alm de alinhar o SGSI com as
estratgias de negcio, competitividade, atuao no mercado, relao com clientes e
fornecedores, dentre outros.
Seguindo o fluxo proposto, o Gestor de Segurana da Informao, poder, de
forma sistmica, planejar e definir o contexto do SGSI, avaliar os ativos, envolver a alta
administrao da organizao neste processo, avaliar os riscos, produzir respostas para
tratar, mitigar, reter ou transferir estes riscos, avaliar o impacto de possveis eventos
envolvendo os ativos de Tecnologia da Informao, definir critrios para aceitao dos
riscos inerentes ao negcio, definir e implementar controles.
Deste modo, ser exequvel a preveno e o atendimento dos requisitos
identificados pela anlise/avaliao de riscos e pelo processo de tratamento de riscos,
alm de propiciar a busca contnua pelo excelncia nos processos do SGSI por meio de
Ensino Superior 28
auditorias planejadas, trazendo assim, um alinhamento da gesto da segurana da
informao com o Modelo de Excelncia na Gesto[4], cuja abordagem e focada na
busca pela melhoria continua. Segundo o Critrio 5 Informaes e Conhecimentos, Item
5.1 informaes da Organizao, do Modelo e Excelncia na Gesto MEG[4], a
organizao deve gerenciar e disponibilizar as informaes necessrias para apoiar as
operaes dirias, acompanhar o progresso dos planos de ao e subsidiar a tomada de
deciso; desenvolver sistema de informao; e gerenciar a segurana das informaes.
Descreve ainda, a alnea e deste modelo com foco em: Como gerenciada a
segurana das informaes?.
Sendo assim, esta proposta vem subsidiar com informaes essenciais para a
construo e implementao de um SGSI em uma Instituio de Ensino Superior, visando
a avaliao, preveno e tratamento dos riscos e a segurana da informao agregada a
melhoria continua de seus processos, contribuindo para a busca pela excelncia na
gesto agregando valor ao negcio, alm de mantm em perspectiva os objetivos
organizacionais e as expectativas do cliente.
5. CONSIDERAES FINAIS
Em nossa atualidade, a proteo dos ativos de informao se torna fator de
sucesso e perenidade para o negcio, e em consequncia uma priorizao financeira e
intelectual maior da alta direo. E importante ressaltar que a segurana da informao
no deve ser tratada somente como um processo isolado de tecnologia da informao.
A organizao deve envolver todos os nveis hierrquicos e departamentais e
compromet-los em relao importncia da Segurana da Informao e suas
consequncias, caso ocorra indisponibilidade, inconfidencialidade ou indisponibilidade
das informaes organizacionais, pois o insucesso de um SGSI e seus processos
podero trazer impactos relevantes as atividades desenvolvidas pela organizao e sua
continuidade no mercado.
A realizao deste artigo proporcionou um maior conhecimento em relao as
normas e procedimentos abordados nas ABNT NBR ISO/IEC 27001:2006[1], ISO/IEC
27002:2007[2], ISO/IEC 27005:2011[3] em conformidade com criao de um SGSI focado
em Instituio de Ensino Superior.
Ensino Superior 29
Aps a implementao do SGSI a organizao estar de acordo com o Critrio 5.1
alnea E do Modelo de Excelncia na Gesto[4] que solicita a criao de prticas
gerenciais que contemple a garantia da Segurana da Informao de forma a assegurar a
atualizao, a confidencialidade, a integridade e a disponibilidade das informaes. Cujo
objetivo e estabelecer polticas, processos e controles que garantam a segurana dos
ativos tecnolgicos. Estas informaes devem ser gerenciadas durante todo seu ciclo de
vida (criao, armazenamento e descarte), de forma que os riscos envolvidos sejam
conhecidos e estejam dentro dos padres aceitveis pela organizao.
Com isto, espera-se que a Faculdade Alfa busque a Excelncia na Gesto no que
diz respeito a Segurana da Informao, mantendo os seus ativos tecnolgicos seguros e
a disponibilidade das informaes em nveis aceitveis, melhorando assim, as atividades
desenvolvidas pela organizao e viabilizar o alcance dos objetivos estratgicos e o
alinhamento com a metodologia proposta pelo Modelo de Excelncia na Gesto MEG[4]
disseminado pela Fundao Nacional da Qualidade.

6. TRABALHOS FUTUROS
Sugere-se a ampliao deste estudo de caso, incluindo avaliao da implantao
do SGSI, sua aderncia com o Modelo de Excelncia na Gesto MEG[4], os resultados
da auditoria do SGSI e suas possveis melhorias resultantes deste processo.
Ser de grande relevncia a anlise e verificao da aderncia da organizao,
aps a implementao do SGSI, em relao ao Critrio 5.1 alnea E do Modelo de
Excelncia na Gesto - MEG[4] que solicita a criao de prticas gerenciais que
contemple a garantia da Segurana da Informao de forma a assegurar a atualizao, a
confidencialidade, a integridade e a disponibilidade das informaes.

Ensino Superior 30
7. REFERNCIAS
[1]. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da Informao -
Tcnicas de segurana - Sistemas de gesto de segurana da informao. ABNT
NBR ISO/IEC 27001. Rio de Janeiro. ABNT, 2006.

Tcnicas de segurana - Cdigo de prtica para a gesto da segurana da
Informao. ABNT NBR ISO/IEC 27002. Rio de Janeiro: ABNT, 2007.

Tcnicas de segurana - Gesto de riscos de segurana da informao. ABNT NBR
ISO/IEC 27005. Rio de Janeiro: ABNT, 2011.

[4]. FNQ. Critrios da Excelncia. So Paulo: Fundao Nacional da Qualidade, 2011.

[5]. ABNT NBR ISO/IEC 19011. Diretrizes para auditorias de sistema de gesto da
qualidade, NBR. 2002.

[6]. SMOLA, Marcos. A importncia da gesto da segurana da informao. 2010.
Disponvel em:
<http://www.lyfreitas.com/ant/artigos_mba/GestaoSegurancaInformacao.pdf>. Acesso
em: 14 dez. 2012.

[7]. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organizao
bsica da auditoria interna. Biblioteca Tcnica de Auditoria Interna, 2005.

[8]. UNIDADE de auditoria interna. Definies de auditoria interna. Universidade
Federal Rural do Semi-rido (UFERSA), 05 mar. 2009. Disponvel em:
<http://www2.ufersa.edu.br/portal/divisoes/audint/1315>. Acesso em: 14 dez. 2012

[9]. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005
Sistema de Gesto de Segurana da Informao BSI Learning, 2008.

[10]. CARUSO, Carlos A. A.; STEFFEN, Flavio Deny. Segurana em Informtica e de
Informao. So Paulo. Editora Senac/sp, 2006

[11]. Silva, Edilberto. Polticas de Segurana e Planos de Continuidade de Negcios.
TextoBase. Disponvel: http://www.edilms.eti.br/uploads/file/politicasseg/textobase-
PoliticasdeSeguranca.pdf. Acessado em 10 de Abril de 2012, 20:10:15.

Ensino Superior 31

8. AGRADECIMENTOS
Agradeo primeiramente a Deus, autor da vida, por ter me concedido a
oportunidade de vencer tantos obstculos em minha caminhada.
A minha famlia, pela compreenso e apoio sempre prestado nos momentos de
ausncia.
Aos professores desta Ps Graduao, pelo compartilhamento do conhecimento e
contribuies valiosas durante todo o curso, e em especial ao professor Edilberto, pela
forma to rica com a orientao e exposio de seus conhecimentos. A professora Denise
e Serique, Coordenadores desta Ps Graduao, pela misso to importante de gerir
todo este processo.
Aos colegas de turma, pela riqueza nas participaes das aulas e pelas
contribuies que fizeram durante o curso e que me proporcionaram um aprendizado rico
e bem fundamentado.

Proposta de um Sistema de Gesto da Segurana da Informao SGSI baseado nas normas ISO/IEC 27001:2006, ISO/IEC 27002:2005, ISO/IEC 27005:2011 em
conformidade com a realidade e necessidades de uma Instituio de Ensino Superior 32
Apndice A Avaliao dos Ativos Faculdade Alfa

Tabela 1 Avaliao de Ativos

Ambiente Organizacional Faculdade Alfa
Local
Pontos de
controle
Objetos de
controle
QTD Utilidade Prioridade Risco Probabilidade Riscos Impactos
Aceitao de
Riscos
CPD Contrato de Link
Link 4mbs
MPLS Fibra
tica - Rede
corporativa
1
Link de Dados
para acesso a
Internet e
sistemas
1 3 1
Negao de
Servios por
parte da
operadora
Alto Passiva
Link 2mbs
Frame Relay
- Rede
Acadmica
1

1 3 1
Negao de
Servios por
parte da
operadora
Alto Passiva
CPD
Equipamentos de
Rede
Roteador
Cisco
Modelo: 1800
Sries
2
Rede
Acadmica
1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware.
Alto Passiva Rede
Corporativa

Modem Parks
Modelo: DT
2048
2
Rede
Acadmica
1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware.
Alto Passiva
Rede
Corporativa

Switch 3Com
Modelo:
Gigabit 2SFP
4500 26
portas
3
2 Unidades
Rede
Corporativa
1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware.
Alto Passiva
1 Unidade
Rede
acadmica

Local
Pontos de
controle
Objetos de
controle
Aceitao de
Riscos
CPD
Servidor
DELL Power
Edge Modelo:
T105
1 Active Directory 1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware e
software.
Alto Passiva

Servidor
DELL Power
Edge
Modelo: T105

1
Servidor
Segurana e
Proxy
1
6

2

Pane eltrica,
ataque de
negao de
servios, falha de
hardware e
software.
Alto Passiva
Pane eltrica,
ataque de
negao de
servios, falha de
hardware e
software.
DELL Power
Edge
Modelo: T105

1
Servidor de
Correio
Eletrnico
2 6 2 Alto Passiva
1
Firewall,
DHCP, DNS e
Proxy - Sistema
Operacional:
Linux Ubuntu
9.04
1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware e
software.
Alto Passiva
HP Proliant
Modelo: ML
110

Servidor de
Aplicao
Pergamum
2 2 1
Pane eltrica,
ataque de
negao de
servios, falha de
hardware e
software.
Mdio Ativa
Local
Pontos de
controle
Objetos de
controle
Aceitao de
Riscos
DELL Power
Edge
Modelo: T05
1
Servidor de
Vigilncia
Interna
1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware e
software.
Alto Passiva
1
Servidor
Tarifao
Telefnica
2 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware e
software.
Alto Passiva
DELL Power
Edge Modelo:
T05
1
Servidor de
Imagens
1 1 1
Pane eltrica,
ataque de
negao de
servios, falha de
hardware e
software.
Baixo Passiva
1 1 3
CPD Softwares
Windows
Server 2003
R2 Enterprise
Edition
Prover
administrao
de rede lgica
(DHCP, DNS,
CONTROLE
DE ACESSO
AOS
USURIOS)
1
Falha na
atualizao,
ataque, falta de
suporte, fim de
contrato de
licenciamento.
Alto Passiva
Servidor de
Arquivos
Windows
Server 2003
R2 Enterprise
Edition e ISA
Server 2006
1
Firewall e
Proxy da rede
corporativa da
Faculdade Alfa
3 6 2
Falha na
atualizao,
ataque, falta de
suporte, fim de
contrato de
licenciamento.
Alto Passiva
Servidor CPD
Servidor CPD
Local
Pontos de
controle
Objetos de
controle
Aceitao de
Riscos
Windows
Server 2003
R2 Enterprise
Edition e
Exchange
Server 2007
1
Correio
Eletrnico
1 6 2
Falha na
atualizao,
ataque, falta de
suporte, fim de
contrato de
licenciamento.
Alto Passiva

Linux Ubuntu
9.04
1
Squid,
Dansguardian
1 6 2
Falha na
atualizao,
ataque, falta de
suporte, fim de
contrato de
licenciamento.
Alto Passiva
Windows
Server 2003
Standard e
Sumus
Tarifao

Gesto em
tarifao
telefnica
1 6 2
Falha na
atualizao,
ataque, falta de
suporte, fim de
contrato de
licenciamento.
Alto Passiva
Linux Ubuntu
10.04
Gesto de
Imagens
(softwares)
para os
laboratrios
2 1 1
Falha na
atualizao,
ataque, falta de
suporte, fim de
contrato de
licenciamento.
Baixo Ativa
Secretaria
Acadmica e
Central de
Atendimento
Computadores
Desktop
12
Estaes de
Trabalho
2 6 2
Pane eltrica,
ataques, falha de
hardware e
software.
Alto Passiva
Modelo: Dell
Optplex 760
Impressora
HP Laser Jet
2600 - Color
1 Colorida 3 2 1
Pane
eltrica,falha de
hardware e
software e falta
de suprimentos.
Mdio Passiva
Local
Pontos de
controle
Objetos de
controle
Aceitao de
Riscos
HP Laser Jet
3005
1 Monocromtica 2 3 1
Pane
eltrica,falha de
hardware e
software e falta
de suprimentos.
Alto Passiva
Multifuncional
2050
1
Impresso de
Certificados
3 2 1
Pane
eltrica,falha de
hardware e
software e falta
de suprimento.
Mdio Ativa
Switch
3com
Modelo:
3CR17561-91
1 Roteador 1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware.
Alto Passiva
Ncleo de
Comunicao
e Marketing
Computadores
Desktop
4
Estao de
Trabalho
2 2 1
Pane eltrica,
ataques, falha de
hardware e
software.
Mdio Passiva
Modelo: Dell
Optplex 760
Impressora
HP LaserJet
2600 - Color
1 Impressora 3 6 2
Pane
eltrica,falha de
hardware e
software e falta
de suprimento.
Alto Passiva
Switch
3com
1 Roteador 1 3 1
Pane eltrica,
ataque de
negao de
servios, falha de
hardware.
Alto Passiva Modelo:
3CR17561-91
Ncleo de
Valorizao do
Aluno
Computadores
Desktop
3
Estao de
Trabalho
3 4 2
Pane eltrica,
ataques, falha de
hardware e
software.
Mdio Passiva
Modelo: Dell
Optplex 760
Ncleo de
Informtica
Computadores
Desktop
4
Estao de
Trabalho
2 6 2
Pane eltrica,
ataques, falha de
hardware e
software.
Alto Passiva
Modelo: Dell
PowerEdge
T110
Local
Pontos de
controle
Objetos de
controle
Aceitao de
Riscos
Switch
3com
1 Roteador 1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware.
Alto Passiva
Modelo:
3CR17561-91
Diretoria
Faculdade Alfa
Computadores
Desktop
3
Estao de
Trabalho
1 6 2
Pane eltrica,
ataques, falha de
hardware e
software.
Alto Passiva
Modelo: Dell
Optplex 760
Impressora
HP LaserJet
2024 - Mono
1 Impressora 1 6 2
Pane
eltrica,falha de
hardware e
software e falta
de suprimento.
Alto Passiva
Switch
3com
1 Roteador 1 6 2
Pane eltrica,
ataque de
negao de
servios, falha de
hardware.
Alto Passiva
Modelo:
3CR17561-91
Coordenao
de Cursos
Computadores
Desktop
6
Estao de
Trabalho
1 4 2
Pane eltrica,
ataques, falha de
hardware e
software.
Mdio Passiva
Modelo: Dell
Optplex 760
Impressora
HP LaserJet
3005 Mono
1 Impressora 2 4 2
Pane
eltrica,falha de
hardware e
software e falta
de supri.
Mdio Passiva
Revista
Tcnica
Cientfica
Faculdade Alfa
Computadores
Desktop
2

Estao de
Trabalho
3 4 2
Pane eltrica,
ataques, falha de
hardware e
software.
Mdio
Passiva
Passiva
Modelo: Dell
Optplex 760
Passiva
Administrativo
e Pessoal
Computadores
Desktop
5 2 4 2
Pane eltrica,
ataques, falha de
hardware e
software.
Mdio
Passiva

Modelo: Dell
Optplex 760
Local
Pontos de
controle
Objetos de
controle
Aceitao de
Riscos
Biblioteca
Faculdade Alfa
Computadores
Desktop
6 2 4 2
Pane eltrica,
ataques, falha de
hardware e
software.
Mdio Passiva Modelo: Dell
Optplex 760
Impressora
HP LaserJet
3005
Monocromtic
a
1 Impressora 3 6 3
Pane
eltrica,falha de
hardware e
software e falta
de suprimento.
Mdio Passiva
Impressora
Trmica
3 Impressora 2 2 1
Pane
eltrica,falha de
hardware e
software e falta
de suprimento.
Mdio Passiva
Leitor tico

3

2 4 2
Pane eltrica,
falha de
hardware e
software.
Mdio Passiva
Switch
3com
1

1 2 1
Pane eltrica,
ataque de
negao de
servios, falha de
hardware.
Mdio Passiva
Modelo:
3CR17561-91

Legenda sobre o que e quais foram os critrios para definio das Probabilidades, Riscos, Impactos e Aceitao de Riscos apresentados na
tabela 1 do Apndice A:

Probabilidades: Qual a possibilidade da ameaa se concretizar sobrepujando o controle.
Alto: Possibilidade de se concretizar por grande variedade de ameaas e baixa eficcia dos controles (Valor: 3);
Mdio: Possibilidade de se concretizar por grande variedade de ameaas e alta eficcia dos controles (Valor: 2);
Baixo: Possibilidade de se concretizar por pequena variedade de ameaas e alta eficcia dos controles (Valor: 1).

Riscos: Esta etapa envolve a sumarizao dos impactos relacionados e as suas respectivas probabilidades, de forma a que seja calculado o risco real de um determinado
evento (e o seu impacto) vir a ocorrer. O Risco ser o resultado da multiplicao do Impacto X Probabilidade.

I
m
p
a
c
t
o

Probabilidade
Baixo Mdio Alto
Baixo 1 2 3
Mdio 2 4 6
Alto 3 6 9

Impactos: Os critrios de impacto devem ser desenvolvidos e especificados em funo dos danos ou custos causados por um evento relacionado com a segurana da
informao
Alto: Risco cujo impacto no tempo ou custo seja igual ou maior que 50% do bem adquirido ou tempo na execuo da atividade (Valor: 3);
Mdio: Risco cujo impacto no tempo ou custo seja igual ou maior que 25% ou menor que 50% do bem adquirido ou tempo na execuo da atividade (Valor: 2);
Baixo: Risco cujo impacto no tempo ou custo seja menor que 25% do bem adquirido ou tempo na execuo da atividade (Valor: 1).
Aceitao de Riscos: Critrios para a aceitao do risco podem ser diferenciados de acordo com o tempo de existncia previsto do risco, por exemplo: o risco pode estar
associado a uma atividade temporria ou de curto prazo. Convm que os critrios para a aceitao do risco sejam estabelecidos, considerando os seguintes itens: Critrios de
negcio; Aspectos legais e regulatrios; Operaes; Tecnologia; Finanas; Fatores sociais e humanitrios.

Aceitao ativa: Riscos para os quais so planejadas aes de contingncia.
Aceitao passiva: Riscos para os quais no necessrio definir aes de contingncia. Nestes casos, quando o risco ocorrer ser avaliada a resposta vivel
(workaround).

Bruno Rodrigues Santana

Proposta de um Sistema de Gesto da Segurana da Informao SGSI baseado
nas normas ISO/IEC 27001:2006, ISO/IEC 27002:2007, ISO/IEC 27005:2011 em
conformidade com a realidade e necessidades de uma Instituio de Ensino
Superior

Aprovado em XX de XXXXX de 20xx.

BANCA EXAMINADORA

____________________________________________________
Prof. Ms. Edilberto da Silva Magalhes

____________________________________________________
Prof. Esp. Jos Henrique Ferreira da Silva
Convidado

____________________________________________________
Prof. Ms. Luiz Fernando Sirotheau Serique Junior
Coordenador do Curso

Trabalho de Concluso de Curso
apresentado a FACSENAC-DF
Faculdade Senac do DF como requisito
para a obteno do ttulo de Especialista
em Segurana da Informao.

Seg01 Bruno Santana

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seg01 Bruno Santana

Enviado por

Direitos autorais:

Formatos disponíveis

Faculdade SENAC DF

Você também pode gostar