Você está na página 1de 15

SEGURANA DA INFORMAO

E CONTINUIDADE

Crditos
Centro Universitrio Senac So Paulo Educao Superior a Distncia
Diretor Regional
Luiz Francisco de Assis Salgado
Superintendente Universitrio
e de Desenvolvimento
Luiz Carlos Dourado
Reitor
Sidney Zaganin Latorre
Diretor de Graduao
Eduardo Mazzaferro Ehlers
Diretor de Ps-Graduao e Extenso
Daniel Garcia Correa
Gerentes de Desenvolvimento
Claudio Luiz de Souza Silva
Luciana Bon Duarte
Roland Anton Zottele
Sandra Regina Mattos Abreu de Freitas
Coordenadora de Desenvolvimento
Tecnologias Aplicadas Educao
Regina Helena Ribeiro
Coordenador de Operao
Educao a Distncia
Alcir Vilela Junior
Professor Autor
William Alevate
Tcnico de Desenvolvimento
Ozas Vieira Santana Filho
Coordenadoras Pedaggicas
Aridiny Carolina Brasileiro Silva
Izabella Saadi Cerutti Leal Reis
Nivia Pereira Maseri de Moraes
Equipe de Design Educacional
Alexsandra Cristiane Santos da Silva
Anglica Lcia Kan
Cristina Yurie Takahashi
Diogo Maxwell Santos Felizardo
Elisangela Almeida de Souza
Flaviana Neri
Francisco Shoiti Tanaka
Gizele Laranjeira de Oliveira Sepulvida
Joo Francisco Correia de Souza
Juliana Quitrio Lopez Salvaia
Jussara Cristina Cubbo
Kamila Harumi Sakurai Simes
Karen Helena Bueno Lanfranchi
Katya Martinez Almeida
Lilian Brito Santos
Luciana Marcheze Miguel
Luciana Saito

Mariana Valeria Gulin Melcon


Mnica Maria Penalber de Menezes
Mnica Rodrigues dos Santos
Nathlia Barros de Souza Santos
Paula Cristina Bataglia Buratini
Renata Jessica Galdino
Sueli Brianezi Carvalho
Thiago Martins Navarro
Wallace Roberto Bernardo
Equipe de Qualidade
Ana Paula Pigossi Papalia
Aparecida Daniele Carvalho do Nascimento
Gabriela Souza da Silva
Vivian Martins Gonalves
Coordenador Multimdia e Audiovisual
Adriano Tanganeli
Equipe de Design Audiovisual
Adriana Matsuda
Caio Souza Santos
Camila Lazaresko Madrid
Carlos Eduardo Toshiaki Kokubo
Christian Ratajczyk Puig
Danilo Dos Santos Netto
Hugo Naoto
Incio de Assis Bento Nehme
Karina de Morais Vaz Bonna
Lucas Monachesi Rodrigues
Marcela Corrente
Marcio Rodrigo dos Reis
Renan Ferreira Alves
Renata Mendes Ribeiro
Thalita de Cassia Mendasoli Gavetti
Thamires Lopes de Castro
Vandr Luiz dos Santos
Victor Giriotas Maron
William Mordoch
Equipe de Design Multimdia
Alexandre Lemes da Silva
Cludia Antnia Guimares Rett
Cristiane Marinho de Souza
Eliane Katsumi Gushiken
Elina Naomi Sakurabu
Emlia Abreu
Fernando Eduardo Castro da Silva
Mayra Aniya
Michel Iuiti Navarro Moreno
Renan Carlos Nunes De Souza
Rodrigo Benites Gonalves da Silva
Wagner Ferri

Segurana da Informao e Continuidade


Aula 01
Gesto da Segurana da Informao: ISO27000 e estrutura
Poltica de Segurana da Informao

Objetivos Especficos
Identificar os elementos chave da ISO27000 e apresentar o conceito de
Poltica de Segurana da Informao.

Temas
Introduo
1 Segurana
2 Aspectos da segurana da informao
3 Premissa bsica da segurana de informao
4 Poltica de segurana da informao
Consideraes finais
Referncias

Professor

William Alevate

Segurana da Informao e Continuidade

Introduo
Os adventos da internet no campo tecnolgico e os efeitos da globalizao no
campo socioeconmico transformaram completamente o mundo em que vivemos. Essas
transformaes afetaram em cheio as organizaes nas quais trabalhamos, quebrando
diversos paradigmas e promovendo uma profunda reavaliao das prioridades por parte
daqueles que esto no comando.
E se fssemos elaborar uma lista dos principais problemas que as organizaes
enfrentam neste sculo, considerando o que vemos diariamente na pauta da grande mdia,
provavelmente incluiramos o terrorismo religioso, os altos ndices de criminalidade, a exploso
de crimes eletrnicos, a guerra ciberntica, entre muitos outros. Todas essas situaes, alm
de provocarem muita dor de cabea para empresas e Estados, geralmente trazem grandes
prejuzos financeiros e uma srie de problemas de segurana.
Diariamente somos bombardeados com notcias nas quais a palavra segurana est
inserida. De conflitos de guerra a fraudes bancrias, passando por crimes e desastres,
podemos v-la sendo aplicada a diferentes contextos. Afinal, o que significa segurana?

1 Segurana
Conforme Silva (2000), segurana pode ser definida como um estado no qual estamos
livres de perigos e incertezas. No contexto organizacional, o estado de segurana
representado pelos ativos, que de acordo com o Security Officer (2006), ativo tudo aquilo
que possui valor e, consequentemente, demanda proteo.

1.1 Ativos
A determinao e classificao de ativos em grupos se d por meio das diversas
propriedades e semelhanas de necessidades, estratgias e ferramentas de proteo. Nesse
conceito mais abrangente, os ativos normalmente acabam sendo divididos em reas. Um
exemplo comum so empresas que possuem departamentos de segurana patrimonial que
cuidam da segurana fsica enquanto outro departamento de segurana lgica responsvel
pela segurana dos sistemas de TI.
Se de um lado, esta estruturao traz benefcios de especializao tcnica das equipes
envolvidas, por outro lado, cria uma grande dificuldade na hora de implementar a segurana
de maneira uniforme, focada em prioridades previamente definidas e compartilhadas por
toda a organizao.
A tabela 1 apresenta alguns tipos de exemplos de ativos.
Senac So Paulo- Todos os Direitos Reservados

Segurana da Informao e Continuidade


Tabela 1 Exemplo de classificao de ativos

Categoria de ativos

Exemplo

Tangveis

Informaes de qualquer tipo impressas e digitais.


Impressoras e computadores.
Mveis de escritrio.

Intangveis

Imagem da empresa.
Confiabilidade de um rgo pblico.
Marca de um produto.

Lgicos

Dados armazenados em computadores.


Sistemas diversos.
Redes de telecom.
VOIP.

Fsicos

Estaes de trabalho.
Ar-condicionado.
Fbrica.
Sala de aula.

Humanos

Empregados.
Prestadores de servio.
Estagirios.

1.2 Demandas de segurana


Assim como os ativos, as demandas de segurana tambm devem possuir caractersticas
e abordagens especializadas. Segundo o Guia oficial para formao de em Segurana da
Informao (2006), o termo de proteo dado s medidas que visam livrar os ativos de
situaes que possam trazer prejuzo.
As demandas de segurana podem ser classificadas de diversas formas como se pode ver
na tabela 2.
Tabela 2 Exemplo de classificao de proteo: lgicas, fsicas e administrativas

Tipo de proteo

Exemplo

Lgicas

Permisses em sistemas de acesso e de arquivos.


Firewalls.
Perfis de usurio em aplicaes.

Fsicas

Portas.
Fechaduras.
Guardas.

Administrativas

Polticas.
Normas.
Procedimentos.

Senac So Paulo- Todos os Direitos Reservados

Segurana da Informao e Continuidade

De acordo com as necessidades das empresas, criam-se novas classificaes e grupos de


proteo.

Uma implementao de segurana eficaz pautada na utilizao de


diferentes tipos e aes de proteo que, em alguns casos, complementam-se
e sobrepem-se fornecendo redundncias entre si, caso uma delas falhe ou
seja violada.

Tabela 3 Tipos de protees

Tipo de proteo

Descrio

Preventiva

Evita que incidentes ocorram.

Desencorajadora

Desencoraja a prtica de aes.

Limitadora

Diminui danos causados.

Monitoradora

Monitora estado e funcionamento.

Detectora

Detecta a ocorrncia de incidentes.

Reativa

Reage a determinados incidentes.

Corretiva

Repara falhas existentes.

Recuperadora

Repara danos causados por incidentes.

1.3 Segurana da Informao (SI)


Em Segurana da Informao (SI) lidamos com um tipo especfico de ativo que so
chamados de ativo de informao. So aqueles que geram, processam, manipulam,
transmitem, armazenam e descartam informaes, alm das informaes em si.
Conforme definio da norma ABNT NBR ISO/IEC 27002:2013:
A informao um ativo que, como qualquer outro ativo importante, essencial para
os negcios de uma organizao e, consequentemente, necessita ser adequadamente
protegida. [...] A informao pode existir em diversas formas. Ela pode ser impressa
ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por
meios eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a
forma de apresentao ou o meio atravs do qual a informao compartilhada ou
armazenada, recomendado que ela seja sempre protegida adequadamente.

Muitas vezes, os ativos que fazem parte do escopo da SI so equivocadamente avaliados


como sendo os ativos de TI. A TI envolve basicamente o uso de hardwares (HW) e softwares
(SW) para processar informaes em sistemas de forma automatizada.
Senac So Paulo- Todos os Direitos Reservados

Segurana da Informao e Continuidade

Apesar do papel primordial dos HW e SW nas atividades de tratamento de informao,


v-los como o nico universo em que as protees devem ser implementadas leva a uma
concepo extremamente limitada e falha. As informaes da organizao para a qual voc
trabalha esto presentes em conversas telefnicas, impressas em relatrios e repassadas
a terceiros. Isso nos mostra um campo de atuao muito mais amplo, com uma srie de
particularidades que sero conhecidas conforme a maturidade e experincia de cada
profissional.

2 Aspectos da segurana da informao


Quando pensamos na segurana de um carro, a primeira coisa que nos vem cabea
o seguro contra roubo e coliso, alm da instalao de alarmes e travas. Temos definido
claramente o tipo de incidente que esperamos, o que estamos buscando proteger, bem como
nossas necessidades pessoais em relao a este ativo. De modo simples, preocupamo-nos
com os possveis prejuzos.
Caso seu carro seja roubado ou danificado, a perda decorrer da aquisio de um novo
veculo e do custo de reparao. Se voc ficar sem o carro por um perodo, os prejuzos sero
causados por uma situao adversa para a qual voc no se preparou adequadamente.

De modo simples, a segurana busca a proteo contra situaes nas quais


o prejuzo causado por conta dos danos diretos aos ativos ou por situaes
inesperadas para as quais precisamos nos preparar pelo histrico e pela forma
de tratar as contingncias.

Especificamente no caso da SI, quando nos debruamos sobre aspectos que devemos
observar em nossos ativos de informao para os quais tais situaes no ocorram, veremos
que eles formam aquilo que chamamos de pirmide ou trade de SI:
Para Gonzlez Jnior (apud SMOLA, 2011, p. 33):
[...] um sistema de informao baseado na trade CIA (Confidentiality, Integrity
and Availability) Confidencialidade, Integridade e Disponibilidade. Ela representa
as principais propriedades que, atualmente, orientam a anlise, o planejamento e
a implementao da segurana para um determinado grupo de informaes que se
deseja proteger.

Senac So Paulo- Todos os Direitos Reservados

Segurana da Informao e Continuidade


Figura 1 Pirmide ou Trade de CIA

Fonte: do autor.

Tais propriedades de segurana podem ser explicadas da seguinte forma:


confidencialidade: propriedade que limita o acesso da informao somente
empresa proprietrias ou a quem ela autorizar que acesse. Por exemplo: a frmula
plstica utilizada pela Havaianas em seus chinelos, que so lderes de vendas;
integridade: propriedade que consiste em proteger as informaes contra qualquer
tipo de alterao em seu estado original, seja de forma intencional, seja acidental.
Por exemplo, se um funcionrio tenta alterar o valor do seu salrio no sistema de
RH de sua empresa est tentando comprometer a integridade desta informao de
maneira intencional. J um pacote de comunicao, cujo contedo foi alterado por
conta de uma falha na transmisso, teve a sua integridade comprometida de maneira
acidental;
disponibilidade: propriedade que garante que a informao esteja sempre disponvel
para o seu uso legtimo, ou seja, por usurios autorizados pelo proprietrio da
informao. Novamente aqui podemos ter situaes acidentais ou intencionais
que comprometeriam este aspecto. Uma pessoa m intencionada pode inserir um
vrus em um servidor apenas para comprometer o seu funcionamento. J uma falha
prolongada no fornecimento de energia eltrica pode impossibilitar o funcionamento
de toda uma empresa.

Senac So Paulo- Todos os Direitos Reservados

Segurana da Informao e Continuidade

Existem algumas discusses acadmicas acerca das principais propriedades da SI, a


maioria sobre as normas, considerando a famlia da ISO 27000, que incluem a questo da
legalidade e autenticidade no grupo de propriedades que se deseja proteger.
Autenticidade: propriedade entre confidencialidade e integridade que garante
se a informao legtima mediante meios eletrnicos ou processuais. Os principais
elementos para a defesa e implantao desta premissa so os conhecidos PINs,
senhas e contrassenhas, ou ainda a utilizao de chaves pblicas e privadas
Legalidade: propriedade inserida entre os trs preceitos bsicos confidencialidade,
integridade e disponibilidade e que possui base legal para sua utilizao. Tratase de informaes bsicas que contm necessidades legais ou que seguem leis e
regulamentos para sua implantao e uso. Informaes ilegais so aquelas que no
podem ser apresentadas em determinados fruns ou documentos sob pena de
acionamentos legais.

3 Premissa bsica da segurana de informao


A segurana mxima prxima aos 100%, uma meta buscada, normalmente, dentro do
meio militar, onde as falhas podem custar a vida, um ativo de valor imensurvel. Inicialmente,
grande parte da doutrina acadmica relacionada SI foi desenvolvida neste ambiente. Por
conta disso, muitos profissionais tm uma tendncia de ver a segurana pela perspectiva do
ativo e da maior proteo que ele pode possuir.
Entretanto, podemos-se afirmar que no existe segurana absoluta, por mais medidas
ou precaues que tomemos. Hipoteticamente, at poderia existir tal segurana se houvesse
oramento infinito, mas na prtica, isso impossvel.

Se tivssemos um oramento infinito nas organizaes, poderamos


implementar aes desejveis para determinadas condies, mas que, na
prtica, seriam abstratas ou desnecessrias.
como um porto de uma casa que j possui proteo por chaves,
acionamento eletrnico, olho mgico e, pensando em aumentar a segurana, o
proprietrio resolve colocar mais um cadeado. Ser que uma soluo
necessria?

Senac So Paulo- Todos os Direitos Reservados

Segurana da Informao e Continuidade

Por isso, essa tica de superproteo no adequada dentro das empresas, nas quais
as concesses so feitas objetivando as estratgias da empresa como um fim e no a
segurana puramente. Toda empresa possui um oramento determinado para solues em
SI, considerando suas necessidades. Algumas solues so desejveis, porm no entram na
mbito da necessidade e podem ser deixadas de lado.
Com isso, considera-se a premissa de que segurana custa dinheiro e deve ser executada
onde e quando for necessria. A SI deve ser implantada e adequada ao longo do tempo para
proteger o que existe de mais til dentro e fora das organizaes, estudando continuamente
e adequando o oramento com a realidade da segurana.
Partindo deste pressuposto, podemos concluir que h uma srie de fatores e componentes
a serem gerenciados. necessrio garantir que a segurana dos ativos esteja dentro de nveis
adequados para a organizao e, tambm, que os recursos gastos para atingir tais nveis
sigam as premissas bsicas da relao entre custo e benefcio.

3.1 Os componentes bsicos


O Guia oficial para formao de gestores em segurana da informao (2006) informa
que, para oferecer a segurana adequada a uma organizao sem perder de vista o bom
senso financeiro dos investimentos, necessria a interao de alguns agentes. Por isso,
consideramos os seguintes fatores:
valor: importncia do ativo para a organizao. Pode ser avaliado por propriedades
mensurveis, como o seu valor financeiro, o lucro que ele poder prover ou o custo
para substitu-lo ou ainda propriedades abstratas como o comprometimento da
imagem da empresa por causa do vazamento de uma informao sigilosa;
ameaa: evento que tem potencial em si prprio para comprometer os objetivos
da organizao, seja trazendo danos diretos aos ativos, seja provocando prejuzos
decorrentes de situaes inesperadas. Gases txicos, gases no ambiente e botijes
sem a devida segurana so ameaas que podem desencadear um incndio. Um
meliante armado dentro de um banco ou uma joalheria podem praticar um roubo.
Estes so exemplos de ameaa;
vulnerabilidade: a ausncia de um mecanismo de proteo ou falha em um
mecanismo de proteo existente. So as vulnerabilidades que permitem que as
ameaas se concretizem. O que vai determinar se um incndio pode ou no ocorrer
e afetar o negcio a ausncia ou ineficcia de mecanismos de proteo, deteco
e extino;

Senac So Paulo- Todos os Direitos Reservados

Segurana da Informao e Continuidade

impacto: tamanho do prejuzo decorrente da concretizao de uma determinada


ameaa medido por propriedades mensurveis ou abstratas. Diferentes ameaas
possuem impactos diferentes. O impacto de um incndio geralmente maior que um
roubo. Dependendo do ativo afetado, podemos ter tambm impactos diferentes para
uma mesma ameaa. O impacto decorrente do roubo de um servidor , em geral,
maior que aquele causado pelo roubo de uma estao de trabalho;
risco: medida que indica a probabilidade de uma determinada ameaa se concretizar,
combinada com os impactos que ela trar. a principal mtrica gerencial de SI.
Quanto mais probabilidades de ocorrer uma ameaa e o impacto dela se concretizar,
maior ser o risco associado a este incidente.
Tabela 4 - Evoluo do cenrio recente da segurana da informao

poca

Ambiente

Proteo

Foco principal

Posio da
informtica

1970 a 1980

Mainframe

Dados

Confidencialidade

Retaguarda

1980 a 1990

Mainframe +
Redes

Dados +
Informao

Confidencialidade
+ Integridade

Retaguarda +
Administrao e
Operao

1990 a 2000

Mainframe +
Redes + IP

Dados +
Informao +
Conhecimento

Confidencialidade
+ Integridade +
Disponibilidade

Negcio

A partir de 2000

Interativo
(nuvem e
elementos
conectveis)

Dados+
Informao
+Conhecimento
+Monitoramento

Confidencialidade
+ Integridade +
Disponibilidade +
Autenticidade +
Legalidade

Negcio +
Comunidade +
Sociedade Civil
organizada

Fonte: Guia oficial para formao de gestores em segurana da informao (2006).

O Marco Civil da Internet, lei primria em processo de aprovao pelo


Congresso brasileiro trar luzes a questes a muito discutidas como o que se
pode e o que no se pode fazer nas comunicaes web em todo Brasil.
fundamental o seu conhecimento e o estudo dos desdobramentos que ele
trar, a forma como se utilizam e se difundem as questes da informtica e da
por diante. A segurana da informao dever seguir pelo mesmo caminho,
apoiando a legislao e respondendo a questes de como se faz a comunicao
pela internet com segurana.

Senac So Paulo- Todos os Direitos Reservados

10

Segurana da Informao e Continuidade

4 Poltica de segurana da informao


J abordamos os conceitos de segurana da informao, seus principais aspectos e
premissas e, agora, trataremos sobre sua poltica dentro das organizaes.
A poltica de segurana da informao de uma organizao um conjunto de documentos
que descreve os objetivos que todas as atividades ligadas SI devem trabalhar para atingir.
Em linhas gerais, a poltica resume os princpios de SI que a organizao reconhece como
importantes e que devem estar presentes no dia a dia de suas atividades.
A existncia desses princpios na poltica tambm significa que a organizao os v de
forma alinhada aos objetivos de negcio. Tais polticas servem como linhas-mestras para todas
as atividades de SI desempenhadas em uma organizao e so de extrema importncia, pois
por meio delas que a estratgia de SI montada e passada para todas as reas envolvidas nas
mais diversas esferas. As polticas tambm demonstram o comprometimento da alta direo
da organizao com a segurana, ponto fundamental para que ela possa ser gerida de forma
eficaz, contando com o apoio da maior quantidade possvel de colaboradores.
Os problemas relacionados SI esto no topo da lista de prioridades de muitas
organizaes. O desenvolvimento de polticas o ponto crucial na criao de um plano de
SI coeso e que faa sentido. Deve ser gradualmente implantado e deve servir como norte,
evitando iniciativas isoladas que, muitas vezes, desperdiam recursos e tm a sua efetividade
comprometida em virtude da falta de uniformidade.
A necessidade da poltica tambm surge quando analisada por uma perspectiva de
conformidade legal. Muitas organizaes tm seu funcionamento controlado por entidades
externas que impem requisitos em relao SI. O desenvolvimento das polticas ponto
fundamental em uma srie de normas e regulamentaes, alm de ser incentivado por normas
internacionais de melhores prticas. Esse fator importante, pois o no desenvolvimento
de polticas pode ser considerado como negligncia administrativa, caso a empresa seja
processada por problemas de SI que tenham causado danos a terceiros, como acionistas ou
funcionrios.

4.1 A implementao das polticas de segurana


As polticas de segurana so importantes para o trabalho de todos os colaboradores
de uma organizao, tendo ainda importncia adicional para aqueles que trabalham na sua
aplicao como profissionais de tecnologia e segurana.
O momento ideal para o desenvolvimento das polticas antes que um problema de
segurana mais grave ocorra, pois a preveno e o preparo so justamente a sua principal
finalidade. Quando a poltica for iniciada imediatamente aps um problema de segurana
Senac So Paulo- Todos os Direitos Reservados

11

Segurana da Informao e Continuidade

que serviu como pretexto, deve-se tomar cuidado para no focar de forma excessiva no ndice
recente. Exemplos de outras situaes:
reduo de riscos: incidentes de segurana comprometem, em ltima instncia, a
capacidade das organizaes de atingir seus objetivos. Desenvolver polticas uma
forma de conhecer esses riscos e traz-los a patamares gerenciveis;
conformidade: o processo de conformidade com aspectos legais e regulatrios pode,
muitas vezes, exigir o desenvolvimento total ou parcial de polticas. Essa situao pode
permitir que os custos possam ser incorporados ao projeto que origina tal demanda.

4.1.1 Como as polticas devem ser desenvolvidas


A poltica de segurana trabalha como viabilizador estratgico para objetivos maiores
alinhados s necessidades de negcio de cada organizao. Descobrir quais so esses objetivos
e desenvolver o documento, tendo em mente que eles devem ser atingidos e executados,
a melhor forma de desenvolver a poltica de forma eficaz.
Exemplos de objetivos:
proteo da imagem da organizao;
proteo de segredos corporativos ou industriais; e
minimizao dos problemas de disponibilidade de sistemas.
Feito isso, o prximo passo detectar os pontos prioritrios de ateno de acordo com
sua importncia e relevncia, mantendo sempre o foco nos objetivos. Se a proteo de
segredos industriais o objetivo, ento, provavelmente, os dispositivos de armazenamento e
os processos de manipulao dessas informaes despontaro como importantes e urgentes.
A prioridade tambm afetada pela existncia ou ausncia de controles e vulnerabilidades.
Uma das melhores formas de levantar essas informaes por meio da Anlise e Avaliao
de Risco (AAR), passo considerado fundamental para o desenvolvimento da poltica. Essa
abordagem enfrenta problemas em muitas organizaes, pois os processos de AAR nem
sempre so simples e, muito menos, de fcil execuo. Alm disso, muitos profissionais
querem, de uma s vez, efetu-la em toda a corporao. Esta tentativa pode-se mostrar, em
termos prticos, invivel. Diminuir o escopo focando em ambientes menores, que tenham
mais importncia, pode ser a melhor estratgia.
Alm de obedecer a esses princpios, o profissional deve tentar definir o time que vai
participar do desenvolvimento das polticas. importante no subestimar o trabalho e
avaliar de forma realista os recursos disponveis. A contratao de terceiros pode ser um bom
recurso, mas nem todas as organizaes podem, ou querem, contratar tal servio. Sem um
Senac So Paulo- Todos os Direitos Reservados

12

Segurana da Informao e Continuidade

apoio especializado, trabalhos de grande porte podem estar fadados ao fracasso. Na ausncia
de profissionais j gabaritados e experientes, o conhecimento e a partilha dos escopos pode
ser o foco para atingir os objetivos. Cortar o escopo e determinar limites faz com que o
trabalho alcance seu fim e, ao trmino, pode-se revisar a poltica daquele escopo e, com isso,
ampliar o processo para outros escopos e assim por diante.
Figura 2 - Exemplo de modelo de poltica de segurana

Fonte: do autor.
Tabela 5 Comportamento dos nveis da poltica de segurana

Tipo de documento

Nvel de atuao

Diretriz

Estratgico

Norma

Ttico

Procedimentos e Instrues

Operacional

Fonte: Guia oficial para formao de gestores em segurana da informao (2006, p. 93).

Cada nvel, com cada especificidade, determina o que se espera dele e complementa
uma poltica em uma pirmide que faz sentido e d as expectativas especficas a cada nvel
e cada termo.

Senac So Paulo- Todos os Direitos Reservados

13

Segurana da Informao e Continuidade

Consideraes finais
A segurana da informao tangvel tanto quanto suas polticas permitam esta fase
de lapidamendo e deve ser encarada da forma mais absoluta possvel. Se a empresa no tiver
uma poltica que embase o seu processo de segurana, no ser um projeto tangvel.
Tambm temos a certeza que no h caminho certo para uma organizao, no momento
presente, se no for desenvolvido, implementado e realizado um adequado projeto de
segurana da informao. Ento, os projetos de segurana so mandatrios e, para que
existam e se concretizem, eles dependem de polticas bem escritas e implementadas.
Mas do que realmente precisamos?
De vontade poltica e principalmente de conhecimento. Esta singela palavra que estrutura
cabeas e que cria uma comunidade mais preparada e estabelecida para que haja aes efetivas
e bem estruturadas. Empresas com esta disposio tero sucesso e formaro o que se chama
de conscincia coletiva, pois quando um colaborador sai da empresa e se destina a outra,
levar consigo o conhecimento. Isto ocorre repetidamente e faz com que todos venham, em
algum tempo, a ter o mesmo conhecimento, difundi-lo, divulg-lo e viv-lo.

Referncias
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR/ISO/IEC 17799: Tecnologia da Informao
Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro, 2005.
______________. NBR ISSO/IEC 27002: Tecnologia da informao Tcnicas de segurana
Cdigo de prtica para controles de segurana da informao. Rio de Janeiro, 2013.
FONTES, E. Polticas e normas para segurana da informao. So Paulo: Brasport, 2012.
GONZLEZ JNIOR, I. P. Avaliao dos sistemas de informao nas organizaes: um estudo
de caso em empresas do comrcio varejista da cidade de Cruz das Almas BA. Dissertao
(Mestrado em Administrao Estratgica) Universidade de Salvador UNIFACS. Disponvel
em: <http://tede.unifacs.br/tde_busca/arquivo.php?codArquivo=668>. Acesso em: 28 mar.
2014.
RAMOS, A. (org.) Guia oficial para formao de gestores em segurana da informao. Porto
Alegre, RS: Zouk, 2006.
SILVA, P. Vocabulrio jurdico. Rio de Janeiro: Forense, v. IV, 2000.

Senac So Paulo- Todos os Direitos Reservados

14