Melhores Práticas para Segurança Da Informação No Âmbito Das Atividades de Negócios

FIAP - FACULDADE DE INFORMTICA E ADMINISTRAO PAULISTA
GESTO DE SEGURANA DA INFORMAO
MELHORES PRTICAS PARA SEGURANA DA INFORMAO NO MBITO

DAS ATIVIDADES DE NEGCIOS
Carlos Fernando Mendes

4975.carlos@bradesco.com.br
Daniela Maxime Chirinian
4040.daniela@bradesco.com.br
Edson de Laurentys Rodrigues Camargo
4040.edson@bradesco.com.br
Luiz Messias dos Santos
4040.luiz@bradesco.com.br
Orientador: Prof. Msc. Marcelo Lau

RESUMO
Este trabalho visa identificar as atividades de negcios com maiores tendncias a

incidentes relacionados segurana da informao, bem como mapear para estas
atividades os principais mtodos e prticas baseadas em normas existentes como a
ISO 27001 e ISO 27002, e em algumas solues e metodologias existentes, que
possam mitigar os riscos em que estas atividades esto expostas. A metodologia
utilizada para a elaborao da pesquisa foi a pesquisa documental.
Palavras-chave: Segurana da Informao, Setores Crticos, Melhores Prticas
ABSTRACT
This work aims to identify the business activities with major trends in incidents related
to information security as well as map to these activities the main methods and
practices based on existing standards such as ISO 27001 and ISO 27002, and some
existing solutions and methodologies, which can mitigate the risks that these activities
are exposed. The methodology used for the preparation of the research was to
document research.
Keywords: Information Security, Key Issues, Best Practices

Sumrio
1. INTRODUO ..................................................................................................... 4
2. VISO DE NEGCIOS E SUAS ATIVIDADES ................................................... 5

2.1 O SIGNIFICADO DE NEGCIO E SUAS ATIVIDADES .............................................................. 5
2.2 SETORES CRTICOS ........................................................................................................................ 9
2.3 CLASSIFICAO DOS RISCOS DE NEGCIOS ...................................................................... 11
3. SEGURANA DA INFORMAO ..................................................................... 14

3.1 CONCEITOS DE SEGURANA DA INFORMAO ................................................................. 14
3.2 O SURGIMENTO DA SEGURANA DA INFORMAO ......................................................... 14
3.3 O SURGIMENTO DAS NORMAS DE SEGURANA ................................................................. 15
3.4 NORMAS EXISTENTES .................................................................................................................. 16
3.5 SEGURANA CIBERNTICA........................................................................................................ 19
4. CONSIDERAES INICIAIS PARA BOAS PRTICAS ................................... 20

4.1 MODELO DE NEGCIO ................................................................................................................. 20
4.2 LEVANTAMENTO DE REQUISITOS ............................................................................................ 22
4.3 SETORES CRTICOS E SUAS REGULAMENTAES ........................................................... 23
4.4 SETORES CRTICOS E SEUS CONTROLES ............................................................................. 25
5. MELHORES PRTICAS PARA SEGURANA DA INFORMAO ................. 27

5.1 BOAS PRTICAS BASEADAS EM NORMAS ........................................................................... 27
5.2 BOAS PRTICAS BASEADAS EM CONTROLES, METODOLOGIAS E SOLUES

EXISTENTES .................................................................................................................................................. 34
6. APLICANDO AS MELHORES PRTICAS ........................................................ 38

6.1 CONSIDERAES PARA A APLICAO DAS BOAS PRATICAS ...................................... 38
6.2 CONSIDERAES PARA IMPLEMENTAO DO SGSI ........................................................ 39
6.3 PlANEJAMENTO DA GESTO DE RISCOS .............................................................................. 40
6.4 CERTIFICAO DA ISO 27001 .................................................................................................... 41
CONCLUSO ........................................................................................................... 43
REFERNCIAS ......................................................................................................... 44
1. INTRODUO
A prtica de Segurana da Informao SI, no meio corporativo, surge como

uma alternativa para as organizaes que necessitam proteger seus ativos (tangveis1
e intangveis2) contra ameaas fsicas e lgicas, tanto internas quanto externas. Diante
de crescentes ameaas segurana da informao3, as organizaes podem se
proteger com base em boas prticas que podem ser encontradas em normas de
segurana, como por exemplo, as normas da famlia ISO 27000 4, e tambm em
estabelecimento e implementao de controles e solues existentes, que visam a
atender determinados tipos de atividades em especfico.
A famlia ISO 27000 possui 30 normas publicadas5 relacionadas segurana

da informao, sendo suas principais as normas ISO 27001, ISO 27002 e ISO 27005,
que ajudam a definir requisitos de segurana da informao para a implementao de
um SGSI6 dentro das organizaes. Alm das normas, os controles, metodologias e
solues existentes tambm fornecem diversas opes de boas prticas em
segurana da informao.
Esta pesquisa tem como principal objetivo, destacar os setores de atividades

mais propensos a incidentes relacionados segurana da informao, bem como
mapear para estas organizaes mtodos e prticas baseadas nas perspectivas de
normas existentes como a ISO 27001, ISO 27002 e ISO 27005. A pesquisa tambm
menciona a aplicao de solues existentes, leis e regulamentaes em segurana
da informao que so aplicveis para estes setores de atividades.
De acordo com Marconi e Lakatos (2003), a pesquisa documental utilizada

para o levantamento de dados de vrias fontes primrias ou secundrias, sendo:
Fontes Primrias (dados histricos, bibliogrficos e estatsticos; informaes; registros
em geral etc.), Fontes Secundrias (imprensa em geral e obras literrias).
1
Tangveis So os bens de propriedade da empresa que podem ser tocados. Ex.: Mquinas; Computadores;
Impressoras; etc. - Disponvel em <http://www.dicio.com.br/tangivel/>
2
Intangveis So as propriedades da empresa difcil de se ver e de se tocar. Ex.: Imagem da Organizao;
Estratgias, Valores; etc. - <http://www.dicio.com.br/intangivel/>
3
Conforme Pesquisa realizada pela PWC, existe um aumento permanente de ameaas relacionadas
segurana da informao. Informao disponvel em:
,https://www.pwc.com.br/pt/10minutes/assets/2016/pwc-10min-pesq-global-seg-inf-16.pdf>
4
Famlia ISO 27000 So normas de padres internacionais sobre boas prticas na gesto da segurana da
informao.
5
Informao Disponvel em: <http://www.iso270012013.info/iso27001/family.aspx>
6
SGSI Sistema de Gesto de Segurana da Informao.
Desta forma, para o desenvolvimento deste trabalho foi necessrio recorrer
ao tipo de pesquisa documental, pois foi necessrio realizar uma reviso bibliogrfica
atravs de consultas em artigos, sites, bibliografias e estatsticas, buscando
conceituar atividades de negcios e segurana da informao para melhor destacar
os setores de atividades com os maiores ndices de incidentes relacionadas
segurana da informao e as melhores prticas em segurana a serem adotadas por
estas atividades.
A pesquisa foi organizada em torno de cinco tpicos. O primeiro item constitui

na conceituao de negcios e suas atividades, informando tambm quais so as
atividades com maiores ndices de incidentes relacionados segurana da
informao. O segundo item conta a histria de segurana da informao, como ela
evoluiu at os dias atuais e a necessidade da segurana junto s atividades de
negcios. No terceiro item informado sobre as consideraes iniciais a ser
observado pelas organizaes antes de se iniciar a aplicao de boas prticas de
segurana da informao. No quarto item informado os melhores mtodos e prticas
em que os setores considerados como crticos podem se valer para a devida proteo
dos seus ativos, atravs de modelos existentes e de requisitos/controles encontrados
em normas de padres para segurana da informao. Por ltimo sugerido as
principais dicas para a implementao do SGSI bem como os procedimentos
necessrios para a certificao da ISO 27001.
2. VISO DE NEGCIOS E SUAS ATIVIDADES
2.1 O SIGNIFICADO DE NEGCIO E SUAS ATIVIDADES
A palavra Negcio tem o significado em latim (aquilo que no lazer). Negcio

teve sua origem na Roma antiga, poca que se propagava o culto do cio7, quando
opositores a esta situao usavam o trabalho como forma de protesto, denominando
este ato como negotiu. Assim o ato de se opor ao cio originalizou a palavra negcio,
que com o passar dos anos ganhou outras concepes (EVANGELISTA, 2014;
CHIAVENATO, 2014).
Nos dias atuais, negcio conhecido como o elo de conexo entre pessoas
fsicas ou jurdicas que buscam selar um acordo para obter fins lucrativos. Tentar
explicar o significado de Negcio o mesmo que evidenciar o mbito de atuao em
que pessoas ou empresas se dedicam para a obteno de recursos financeiros.
Negcio tambm pode ser conhecido como local de negociao e de comercializao,
7
Culto do cio Tempo reservado para exercitar, discutir e meditar.
que quando se progride de maneira formal, tende se a criar empresas e at mesmo
grandes organizaes (CHIAVENATO, 2014; EVANGELISTA ,2014).
O mbito de atuao de um negcio, tambm conhecido como ramo de

atividade, pode ser desde um produto produzido como at mesmo um servio
oferecido ao mercado (CHIAVENATO, 2014).
Segundo o SEBRAE8, os principais grupos de atividades de negcios

existentes esto divididos em industriais, comerciais ou de prestao de servios.
Esses grupos podem abranger diversos ramos de atividades conforme exemplificados
a seguir:
Atividades Industriais So aquelas que transformam a matria prima,

manualmente ou com ajuda de mquinas, em mercadoria. Segundo FRANCISCO
(2016), estas atividades so classificadas de acordo com o ramo de atuao da
indstria, sendo que as principais divididas em indstria de bens de produo;
indstria de bens intermedirio e indstria de bens de consumo, sendo:
Indstrias de bens de produo Transforma a matria-prima bruta em

matria-prima processada. A origem da matria pode ser extrativa, ou seja,
a matria prima extrada diretamente da natureza, ou a origem pode ser
de bens de capital, que transformam bens naturais ou semimanufaturados
em alicerce para as indstrias de bens de consumo.
Indstria de bens intermedirio So as indstrias que produzem mquinas

ou equipamentos que serviro de apoio para as indstrias de bens de
consumo, por exemplo: mquinas, tratores, motores, etc.
Indstria de bens de consumo Esto diretamente direcionadas ao

mercado consumidor, ou seja, os produtos so destinados populao em
geral. Os tipos de produtos podem ser desde bens durveis, ou seja,
mercadorias no perecveis (eletrodomsticos, automveis, aparelhos
eletrnicos, etc.), como tambm podem ser bens no durveis, que so
produtos perecveis (remdios, cosmticos, alimentos, etc.).
Atividades Comerciais segundo ALTINI (2013), So atividades econmicas

organizadas para a produo ou a circulao de bens ou servios. O SEBRAE divide
atividades comerciais em dois tipos conforme a seguir:
8 SEBRAE - Servio Brasileiro de Apoio s Micro e Pequenas Empresas

Comrcio Varejista o tipo de comrcio que vendem mercadorias direto
para o consumidor final. Exemplos deste tipo de comrcio so os
restaurantes, supermercados e lojas em geral.
Comrcio Atacadista o tipo de atividade que abastece o comrcio

varejista. Exemplos deste tipo de comrcio so as distribuidoras em geral.
Pode ser dividido em comrcio varejista, ou seja, que vendem mercadorias direto para
os consumidores finais; ou comrcio atacadista, que abastecem o comrcio varejista
comprando direto do produtor. Exemplo de comrcio com este tipo de atividade so
os restaurantes, supermercados e lojas em geral.
Atividades de Prestao de Servios So o tipo de atividades que no resultam

da fabricao e nem da entrega de mercadorias, mas sim da oferta do prprio trabalho.
Ou seja, usada a prpria mo de obra para prestao de servios para a indstria,
comrcio ou pblico consumidor. Lavanderias, Cinemas, Hospitais so timos
exemplos para este tipo de atividades.
possvel identificar todos os ramos de atividades empresariais atravs da

RESOLUO N 3, DE 29 DE MAIO DE 20129 expedida pelo CADE10, esta resoluo
identifica todas as atividades empresariais que podem estar sujeitas para a prtica de
infrao da ordem econmica. Nesta resoluo so listados 144 tipos diferentes de
atividades exercidas em nosso pas, e que pode ser usada tambm como fonte de
pesquisa para identificar as atividades de negcios.
Dentre as atividades que esto relacionadas na resoluo mencionada acima,

vale ressaltar as atividades que so mais propensas no que diz respeito s ameaas
de segurana da informao. Conforme pesquisa global realizada sobre crimes
econmicos pela PWC (2016)11, as empresas do setor financeiro possuem uma maior
tendncia a serem vtimas, seguidos pelo governo/empresas estatais e setores do
varejo e consumo. Dos crimes econmicos realizados no contexto mundial, 28%
correspondem s empresas localizadas na Amrica Latina, sendo a frica
considerada a regio com maior ndice de crimes. Segue abaixo o ndice global sobre
os crimes econmicos relatados em 2016:
9 Resoluo Publicada no Dirio Oficial da Unio de 31 de maio de 2012, n105, sesso1,

pginas 91 e 92 Disponvel em: <http://www.cade.gov.br/assuntos/normas-e-
legislacao/resolucao/resolucao-3_2012-ramos-atividade.pdf>
10
CADE Conselho Administrativo de Defesa Econmica
11
Informao disponvel em: < http://www.pwc.com.br/pt/publicacoes/servicos/assets/consultoria-
negocios/2016/pwc-gecs-pt-16.pdf>
Figura 1 ndice global de crimes econmicos relatados em 2016
Fonte Prpria com base na pesquisa global de crimes econmicos (PWC, 2016)
Dentre as regies identificadas com maiores ndices a crimes econmicos,

destacamos abaixo o percentual de crimes econmicos com os respectivos setores
de atividades:
Figura 2 Setores mais propensos a crimes econmicos no mundo em 2016

Fonte: (PWC, 2016)
A pesquisa disponibilizada pela PWC, possui como pilares principais os crimes
relacionados ao roubo de ativos, crimes cibernticos e os crimes de suborno e
corrupo, onde para o desenvolvimento desta pesquisa, sero identificados nos
prximos tpicos as boas prticas em segurana da informao que contemplam a
segurana ciberntica e outros controles que so necessrios para a implementao
de um SGSI.
2.2 SETORES CRTICOS
De acordo com a estatstica apresentada no item anterior, onde segundo a

PWC so destacados os setores mais propensos a crimes econmicos, destacaremos
neste item os setores com os maiores ncides de incidentes, para posteriormente
identificar suas melhores prticas em segurana da informao.
Utilizaremos como base para a identificao destes setores a lista CNAE 12, que
segundo o IBGE (2016), a classificao oficialmente adotada pelo Sistema
Estatstico Nacional na produo de estatsticas por tipo de atividade econmica, e
pela Administrao Pblica, na identificao da atividade econmica em cadastros e
registros de pessoa jurdica.
Conforme estatstica da PWC, os setores com maiores ndices de incidentes

so os Servios Financeiros, Governo e Empresas Estatais, Varejo e Consumo,
Transporte e Logstica e Comunicaes. Denominaremos estes setores ao longo
desta pesquisa como Setores Crticos, onde os seus desmembramentos, segundo o
IBGE, so demonstrados conforme tabelas a seguir:
Setores com maiores ndices de incidentes Principais Grupos de Atividades na lista CNAE
ATIVIDADES DO GRUPO 641 - BANCO CENTRAL

ATIVIDADES
ATIVIDADES DO
DO GRUPO
GRUPO 642
643 -- INTERMEDIAO
INTERMEDIAO MONETRIA - DEPSITOS
NO-MONETRIA VISTA
- OUTROS INSTRUMENTOS DE
CAPTAO
ATIVIDADES DO GRUPO 644 - ARRENDAMENTO MERCANTIL
SERVIOS FINANCEIROS (48%) ATIVIDADES DO GRUPO 645 - SOCIEDADES DE CAPITALIZAO
ATIVIDADES DO GRUPO 646 - ATIVIDADES DE SOCIEDADES DE PARTICIPAO
ATIVIDADES DO GRUPO 647 - FUNDOS DE INVESTIMENTO
ATIVIDADES DO GRUPO 649 - ATIVIDADES DE SERVIOS FINANCEIROS NO ESPECIFICADAS
ANTERIORMENTE
Tabela 1, Parte 1 - Identificao das atividades para os setores com maiores

ndices de incidentes
12
CNAE Classificao Nacional de Atividades Econmicas.
Setores com maiores ndices de incidentes Principais Grupos de Atividades na lista CNAE
ATIVIDADES DO GRUPO 471 - COMRCIO VAREJISTA NO-ESPECIALIZADO
ATIVIDADES DO GRUPO 472 - COMRCIO VAREJISTA DE PRODUTOS ALIMENTCIOS, BEBIDAS E FUMO

ATIVIDADES DO GRUPO 473 - COMRCIO VAREJISTA DE COMBUSTVEIS PARA VECULOS
AUTOMOTORES
ATIVIDADES DO GRUPO 474 - COMRCIO VAREJISTA DE MATERIAL DE CONSTRUO
ATIVIDADES DO GRUPO 475 - COMRCIO VAREJISTA DE EQUIPAMENTOS DE INFORMTICA E
COMUNICAO; EQUIPAMENTOS E ARTIGOS DE USO DOMSTICO
ATIVIDADES DO GRUPO 476 - COMRCIO VAREJISTA DE ARTIGOS CULTURAIS, RECREATIVOS E
ESPORTIVOS
ATIVIDADES DO GRUPO 477 - COMRCIO VAREJISTA DE PRODUTOS FARMACUTICOS, PERFUMARIA E
COSMTICOS E ARTIGOS MDICOS, PTICOS E ORTOPDICOS
ATIVIDADES DO GRUPO 478 - COMRCIO VAREJISTA DE PRODUTOS NOVOS NO ESPECIFICADOS
ANTERIORMENTE E DE PRODUTOS USADOS
ATIVIDADES DO GRUPO 451 - COMRCIO DE VECULOS AUTOMOTORES
ATIVIDADES DO GRUPO 452 - MANUTENO E REPARAO DE VECULOS AUTOMOTORES
ATIVIDADES DO GRUPO 453 - COMRCIO DE PEAS E ACESSRIOS PARA VECULOS AUTOMOTORES
VAREJO E CONSUMO (43%) ATIVIDADES DO GRUPO 454 - COMRCIO, MANUTENO E REPARAO DE MOTOCICLETAS, PEAS E
ACESSRIOS
ATIVIDADES DO GRUPO 461 - REPRESENTANTES COMERCIAIS E AGENTES DO COMRCIO, EXCETO DE
VECULOS AUTOMOTORES E MOTOCICLETAS
ATIVIDADES DO GRUPO 462 - COMRCIO ATACADISTA DE MATRIAS-PRIMAS AGRCOLAS E ANIMAIS
VIVOS
ATIVIDADES DO GRUPO 463 - COMRCIO ATACADISTA ESPECIALIZADO EM PRODUTOS ALIMENTCIOS,
BEBIDAS E FUMO
ATIVIDADES DO GRUPO 464 - COMRCIO ATACADISTA DE PRODUTOS DE CONSUMO NO-ALIMENTAR

ATIVIDADES DO GRUPO 465 - COMRCIO ATACADISTA DE EQUIPAMENTOS E PRODUTOS DE
TECNOLOGIAS DE INFORMAO E COMUNICAO
ATIVIDADES DO GRUPO 466 - COMRCIO ATACADISTA DE MQUINAS, APARELHOS E EQUIPAMENTOS,
EXCETO DE TECNOLOGIAS DE INFORMAO E COMUNICAO
ATIVIDADES DO GRUPO 467 - COMRCIO ATACADISTA DE MADEIRA, FERRAGENS, FERRAMENTAS,
MATERIAL ELTRICO E MATERIAL DE CONSTRUO
ATIVIDADES DO GRUPO 468 - COMRCIO ATACADISTA ESPECIALIZADO EM OUTROS PRODUTOS
ATIVIDADES DO GRUPO 469 - COMRCIO ATACADISTA NO-ESPECIALIZADO
ATIVIDADES DO GRUPO 841 - ADMINISTRAO DO ESTADO E DA POLTICA ECONMICA E SOCIAL
GOVERNOS E EMPRESAS ESTATAIS (44%) ATIVIDADES DO GRUPO 842 - SERVIOS COLETIVOS PRESTADOS PELA ADMINISTRAO PBLICA
ATIVIDADES DO GRUPO 843 - SEGURIDADE SOCIAL OBRIGATRIA
ATIVIDADES DO GRUPO 49 - TRANSPORTE TERRESTRE
ATIVIDADES DO GRUPO 50 - TRANSPORTE AQUAVIRIO
TRANSPORTE E LOGSTICA (42%) ATIVIDADES DO GRUPO 51 - TRANSPORTE AREO
ATIVIDADES DO GRUPO 52 - ARMAZENAMENTO E ATIVIDADES AUXILIARES DOS TRANSPORTES
ATIVIDADES DO GRUPO 53 - CORREIO E OUTRAS ATIVIDADES DE ENTREGA
ATIVIDADES DO GRUPO 58 - EDIO E EDIO INTEGRADA IMPRESSO
ATIVIDADES DO GRUPO 59 - ATIVIDADES CINEMATOGRFICAS, PRODUO DE VDEOS E DE
PROGRAMAS DE TELEVISO; GRAVAO DE SOM E EDIO DE MSICA
COMUNICAES (38%) ATIVIDADES DO GRUPO 60 - ATIVIDADES DE RDIO E DE TELEVISO
ATIVIDADES DO GRUPO 61 - TELECOMUNICAES
ATIVIDADES DO GRUPO 62 - ATIVIDADES DOS SERVIOS DE TECNOLOGIA DA INFORMAO
ATIVIDADES DO GRUPO 63 - ATIVIDADES DE PRESTAO DE SERVIOS DE INFORMAO
Tabela 1, Parte 2 - Identificao das atividades para os setores com maiores

ndices de incidentes
Fonte Prpria, baseado em (IBGE, 2016) e (PWC,2016)

Nas tabelas acima, possvel identificar dentro de cada Setor Crtico diversos
grupos de atividades, que segundo a CNAE, abrange em sua totalidade, todas as
atividades econmicas exercidas pelas unidades produtivas.
2.3 CLASSIFICAO DOS RISCOS DE NEGCIOS
Para os principais grupos de atividades mencionados no tem anterior, vale

ressaltar que os riscos que envolvem seus processos so diferenciados e sua
classificao deve ser realizada observando algumas diretrizes que sero melhores
detalhadas neste item. Vale ressaltar tambm, que de todas as empresas
participantes da pesquisa realizada pela PWC, 22% das empresas nunca realizaram
uma avaliao de risco de fraude.
Segundo a ISO 31000:200913, todas as atividades de uma organizao

envolvem riscos, antes de realizar a devida classificao dos riscos, preciso
primeiramente entender e determinar a sua origem. Segundo o IBGC(2007) a origem
dos eventos de riscos ocorrem atravm de fatores considerados como Internos ou
Externos. A ISO 31000:2009 trata estes fatores de forma a orientar sua devida
importancia no incio da estrutura de gerenciamento de riscos, pois sua m avaliao,
pode comprometer significativamente a concepo da estrutura. Estes fatores podem
ser exemplificados da seguinte forma:
Fatores Internos So acontecimentos que so principiados dentro da prpria

estrutura da organizao. Normalmente sua origem provem de seus processos, seu
quadro de funcionrios ou do ambiente de tecnologia.
Fatores Externos Em suma so eventos que acontecem fora do controle de

administrao da organizao. Possuem origem macroeconmico, poltico, social,
natural ou setorial em que a organizao opera.
No Brasil, 58% dos crimes so comitidos por fatores internos, e deste montante,
87% dos criminosos brasileiros esto em cargos de gerncia executiva ou
intermediria (PWC, 2016).
Determinado a origem dos eventos de riscos, que auxilia na definio da

interpretao que ser empregada pela organizao, o IBGC sugere, como segundo
passo, a classificao da natureza dos riscos. Em agumas atividades dos Setores
Crticos, os orgos reguladores determinam como boa parte dos riscos devem ser
13
ISO 31000 Norma de padro internacional para fornecimento de princpios e diretrizes genricas para a
gesto de riscos.
classificados. Essas naturezas podem ser divididas em trs contextos que so de
ordem estratgica, operacional, ou financeira comforme a seguir:
Riscos Estratgicos Esto ligados tomada de deciso da alta administrao, e

podem acarretar em perda no valor econmico da organizao.
Riscos Operacionais Esto ligados possibilidade de ocorrncias de perdas para

a organizao, seja de produo, de ativos, de clientes ou de receitas.
Riscos Financeiros Esto ligados exposio das operaes financeiras da

organizao e podem promover ganhos ou perdas de recursos financeiros para a
instituio.
Conforme a ISO 31000:2009, o estabelecimento do contexto deve ser realizada

no incio do processo genrico de gesto de riscos, pois ele identifica os objetivos da
organizao, revelando e avaliando a natureza e a complexidade dos riscos
organizacionais.
Para o melhor entendimento das ameaas que regem os Setores Crticos,

destacaremos abaixo as principais vulnerabiidades que estes setores esto expostos,
e que podem ser minimizadas atravs das boas prticas que sero sugeridas ao longo
deste trabalho:
Figura 3 Tipos de Fraudes
Fonte: (PWC, 2016)
Das atividades de negcios existentes, bem como os riscos que os regem

citados acima, nenhum setor de atividade est totalmente seguro. Normas como a
ISO 27005:201114 e ISO 31000:2009 ajudam a mitigar os riscos em que uma
organizao est exposta. Porm a segurana da informao tambm se baseia em
outros fatores que detalharemos a seguir nos prximos captulos.
14
ISO 27005 Norma de padro internacional que fornece diretrizes para o processo de gesto de riscos de
segurana da informao baseada nos requisitos de um SGSI (Sistema de Gesto de Segurana da Informao).
3. SEGURANA DA INFORMAO
3.1 CONCEITOS DE SEGURANA DA INFORMAO
A Principal definio de Segurana da Informao conforme Beal (2005), a

proteo dos ativos de informao contra as ameaas aos princpios bsicos que
fundamentam a Segurana da Informao. So eles: confidencialidade, Integridade e
Disponibilidade.
Confidencialidade quando o acesso informao deve ser disponibilizado

apenas para as entidades devidamente autorizadas pelo proprietrio ou dono
da informao;
Integridade o fato de manter a informao armazenada com todas as suas
caractersticas originais estabelecidas pelo proprietrio ou dono da informao;
Disponibilidade garantir que a informao esteja disponvel para uso
sempre que entidades autorizadas necessitem;
Estas definies esto coerentes com a finalidade da Segurana da

Informao, que segundo Smola (2003), indica a proteo dos ativos de informaes
contra vulnerabilidades do tipo: indisponibilidade e uso indevido ou no autorizado das
informaes.
3.2 O SURGIMENTO DA SEGURANA DA INFORMAO
A histria da segurana da informao comea no Egito Antigo15 quando

escribas e sacerdotes mediavam a vontade do fara. Nem todos tinham acesso
informao, o hierglifo, inscries sagradas para seres iluminados, dificilmente
algum conseguia decodificar tamanha a sua complexidade. A massa tinha sua
prpria escrita que era o egpcio demtico. Os papiros16, infectados por veneno e a
seguinte lei: informao afora da pirmide, motivo de morte (Azevedo, 2011).
Milnios depois, por volta de 2000 a.c., deu se incio ao princpio da criptografia,
quando generais, reis e rainhas procuravam meios de comunicao com suas tropas
de exrcitos. A preocupao em manter segredos e estratgias de batalhas para com
os inimigos, fez com que se iniciasse o desenvolvimento de uma forma segura de
mascarar mensagens, permitindo que apenas o destinatrio tivesse acesso ao seu
15 Egito Antigo - Civilizao da Antiguidade oriental do Norte de frica, concentrada ao longo ao curso inferior
do rio Nilo por volta de 3100 a.c.
16
PAPIROS - uma planta utilizada para a escrita (precursor do papel) durante a Antiguidade no Egito.
contedo. Departamentos foram criados para a elaborao de cdigos criptogrficos,
que por outro lado, sempre estavam sob ataques de decifradores (Azevedo, 2011).
Embora a histria da criptografia seja longa e complexa, at o sculo XIX tudo

o que era desenvolvido para a criptografia ou criptoanlise era para um fim especfico.
At que em 1917, Gilbert Vermam props uma cifra de teletipo, gerando ao
desenvolvimento de dispositivos eletromecnicos como por exemplo as mquinas de
cifra. Os Alemes fizeram uso pesado dessas mquinas e construram a Enigma17,
mquina que revolucionou a criptografia em mais de 1000 anos e que foi uma das
principais tecnologias utilizadas na segunda guerra mundial. Porm at o final da
segunda guerra mundial, o uso da criptografia sempre foi restrito a governos e
autoridades, sendo sua utilizao aplicada para fins usuais somente com a utilizao
de computadores.18
Ser detalhado no prximo item o marco em que a segurana da informao

deixou se ser uma simples mquina de cifra, e passou a ser padronizada atravs de
normas de segurana.
3.3 O SURGIMENTO DAS NORMAS DE SEGURANA
A segurana da informao continuou ganhando fora com a chegada dos

primeiros computadores (time-sharing)19. Foi neste momento, mais precisamente em
outubro de 1967, que se deu incio ao surgimento de procedimentos que pudessem
mitigar problemas de compartilhamentos e ajudar no acesso seguro s informaes
(LONGO, 2008).
Porm o grande marco inicial da Segurana da Informao veio em 1977,

quando o Departamento de Defesa dos Estados Unidos apresentou um plano
sistemtico para tratar do problema clssico de segurana, ao qual daria o nome de
DoD Computer Security Initiative20, que por sua vez desenvolveria um Centro que
ficaria sobre o controle do governo e que seria apto a avaliar se as solues
produzidas pelas industrias eram de fato seguras. Com a construo do Centro, fez
se necessrio a criao de um conjunto de regras a serem utilizadas durante o
processo de avaliao, este conjunto de regras ficou conhecido informalmente como
The Orange Book para depois ser oficializado como Trusted Computer Evaluation
17
ENIGMA - Mquina eletromecnica de criptografia com rotores.
18
Informao disponvel em: <https://pt.wikipedia.org/wiki/Hist%C3%B3ria_da_criptografia>
19
TIME-SHARING - um termo referente a sistemas operacionais que ilustra a questo de computadores que
podem ser acessados ao mesmo tempo por vrias pessoas.
20
DoD Computer Security Initiative - Iniciativas de Segurana de Informtica.
Criteria - DoD 5200.28-STD"21. O processo de escrita do Orange Book teve incio no
ano de 1979 e sua verso final em 1985. Devido s operaes e ao processo de
criao do Centro de Avaliao e do Orange Book, foi dado incio produo de
uma grande quantidade de documentos tcnicos representando o incio da formao
de uma norma ligada a segurana de computadores. Esta srie de documentos
conhecida pelo nome de The Rainbow Series, cujo documentos continuam sendo
atualizados e disponibilizados pela internet.22
Com a necessidade de se identificar solues, onde o assunto no se detivesse

semente na questo da segurana de computadores, mas sim em toda e qualquer
forma de informao para a gesto de segurana da informao, foi desenvolvida em
1995 a norma britnica BS 7799, com o intuito de garantir a disponibilidade,
confidencialidade e integridade das informaes. A segunda parte desta norma,
conhecida como BS 7799-2, foi publicada em 1999 e tinha como foco principal a
criao de um sistema de gerenciamento de segurana da informao (SGSI) nas
empresas (CALDER WATKINGS, 2012 Pag. 35 )
Em 1998 a primeira parte da norma BS 7799 foi revisada, e aps discusses

nos rgos mundiais de padronizaes, foi desprendido um esforo pela "International
Organization for Standardization (ISO)23, tendo como resultado, no final do ano de
2000, a norma internacional "ISO/IEC-17799:2000". Esta norma abrange diversos
controles e requerimentos a serem atendidos para garantir a segurana da informao
dentro de uma organizao, tendo sua verso brasileira homologada em 2001 como
o nome NBR ISO/IEC 17799 (LONGO, 2008).
Em outubro de 2005 a segunda parte da BS 7799 tambm foi adotada pela ISO,
dando se incio s normas da famlia 27000, que contm padres internacionais para
segurana da informao, tendo como o incio a norma ISO/IEC 27001:2005 (Sales,
2010). Da em diante, foram elaboradas outras normas da famlia 27000, sempre com
o principal objetivo de melhorar o sistema de gesto de segurana da informao das
empresas e organizaes, como por exemplo a ISO/IEC 27002 e a ISO/IEC 27005
que so atualizadas at os dias de hoje.
3.4 NORMAS EXISTENTES
As normas existentes relacionadas segurana da informao possuem

controles que se aplicam a todos os Setores Crticos e devem ser consideradas no
21
Livro Critrios de avaliao de informtica confivel do Departamento de Defesa 5200.28-STD
22
Informao disponvel em: <http://csrc.nist.gov/publications/secpubs>
23
ISO Organizao Internacional para padronizao
incio de uma implementao de boas prticas para segurana da informao. Segue
abaixo as principais normas da famlia 27000 para o processo de SGSI:
ISO/IEC 27001 Define os requisitos do SGSI (Sistema de Gesto de

Segurana da Informao), ela aborda riscos de negcio e ajuda a
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar
a segurana da informao;
ISO/IEC 27002 o conjunto completo de controles que ajudam na

aplicao do SGSI. Contm os mesmos controles do Anexo A da ISO
27001, porm descritos de forma mais detalhada;
ISO/IEC 27005 Contm todo o detalhamento especificado na sesso

4 da ISO/IEC 27001, onde cobre toda a gesto de riscos relacionados
segurana da informao24;
No que diz respeito implantao do SGSI, estas so as principais normas da

famlia ISO 27000 a serem consideradas segundo o quadro de normas tcnicas
relacionadas segurana da informao25. Embora as normas da famlia ISO 27000
fornea uma vasta variedade de assuntos relacionados segurana da informao,
os Setores Crticos devem ir alm dos controles destas normas desenvolvendo suas
prprias solues ou utilizando outras fontes de conhecimento. Uma das alternativas
a utilizao da srie NIST SP 800, que um conjunto de documentos fornecidos
pelo governo federal dos Estados Unidos, que descreve polticas, procedimentos e
diretrizes de segurana de computadores.
A NIST SP 800 contm informaes para a gesto de segurana da informao

em um nmero maior de documentos se comparado a famlia ISO 27000. Dentre seus
documentos, se destaca o SP 800-53 (Security and Privacy Controls for Federal
Information Systems and Organizations), que contm 256 controles de segurana
organizados em 18 categorias.
O NIST SP 800-53 contm estruturas de controles similares a ISO 27001, seus

controles cobrem aspectos relacionados poltica, fiscalizao, superviso,
processos manuais, aes por indivduos ou mecanismos automatizados.26
24
Informaes disponveis em: <http://www.iso.org>
25
Quadro da Legislao Relacionada Segurana da Informao e Comunicaes Disponvel em:
<http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm>
26
Informaes disponveis em: <http://www.nist.gov/>
Dentre as normas citadas acima, vale ressaltar algumas outras normas que
tambm esto descritas no quadro de normas tcnicas relacionadas segurana da
informao e que esto resumidamente descritas abaixo:
ISO/IEC TR 13335-3:1998 - Esta norma fornece tcnicas para a gesto de

segurana na rea de tecnologia da informao. Baseada na norma ISO/IEC
13335-1 e TR ISO/IEC 13335-2. As orientaes so projetadas para auxiliar o
incremento da segurana na TI;
ISO/IEC GUIDE 51:1999 - Esta norma fornece aos elaboradores de normas

recomendaes para a incluso dos aspectos de segurana nestes
documentos. aplicvel a qualquer aspecto de segurana relacionado a
pessoas, propriedades, ao ambiente, ou a uma combinao de um ou mais
destes (por exemplo, somente pessoas; pessoas e propriedades; pessoas,
propriedades e o ambiente);
ISO/IEC GUIDE 73:2002 - Esta norma fornece definies genricas de termos

de gesto de riscos para a elaborao de normas. Seu propsito ser um
documento genrico de alto nvel voltado para a preparao ou reviso de
normas que incluam aspectos de gesto de riscos;
ABNT NBR ISO IEC 17799: 2005. - Esta norma equivalente ISO/IEC
17799:2005. Consiste em um guia prtico que estabelece diretrizes e princpios
gerais para iniciar, implementar, manter e melhorar a gesto de segurana da
informao em uma organizao. Os objetivos de controle e os controles
definidos nesta norma tm como finalidade atender aos requisitos identificados
na anlise/avaliao de riscos.
ISO/IEC 31000 Esta Norma fornece princpios e diretrizes genricas para a

gesto de riscos. Ela pode ser utilizada por qualquer empresa pblica, privada
ou comunitria, associao, grupo ou indivduo, podendo assim ser aplicada
ao longo da vida de uma organizao e a uma ampla gama de atividades,
incluindo estratgias, decises, operaes, processos, funes, projetos,
produtos, servios e ativos.
As normas de segurana listadas acima, fornecem uma vasta gama de

diretrizes e procedimentos favorecendo para que a prtica de segurana da
informao seja bem aplicada, auxiliando tambm as organizaes que buscam a
proteo contra incidentes relacionados segurana ciberntica.
3.5 SEGURANA CIBERNTICA
O trfego de informaes dentro de uma empresa, so na sua grande maioria,

dados digitais que so manipulados e compartilhados atravs de conexes com a
internet. Estas comunicaes digitais entre funcionrios, clientes, fornecedores ou
qualquer outro atributo que faa parte do contexto corporativo, facilita na rapidez das
comunicaes, reduzindo custos e contribuindo para o comprometimento da agilidade
do trabalho. Porm os usos desses benefcios esto expostos a diversos riscos que
podem ser minimizados com a segurana ciberntica.
A segurana ciberntica, tambm denominada como cibersegurana, de

acordo com a ITU (International Communications Union)27, um conjunto de
ferramentas, conceitos de segurana, polticas, abordagens de gesto de risco, aes,
treinamentos, melhores prticas, orientaes, seguros e tecnologias que podem ser
usados para proteger todo o ambiente ciberntico, a organizao em si e as
propriedades de usurios(as), sendo o seu surgimento proveniente de ataques
cibernticos que resultaram em roubo de dados pessoais, roubo de recursos
financeiros, roubo de identidades e falhas no servio de comunicao de voz e dados
(ITU, 2008).
Ainda segundo a ITU (2008), ameaas de cibersegurana crescem a cada dia,

segue abaixo algumas das principais ameaas de cibersegurana que esto sempre
em ascenso:
Vrus de Computador - So pequenos softwares capazes de causar grandes

transtornos a indivduos, empresas e outras instituies, afinal, podem apagar
dados, capturar informaes, alterar ou impedir o funcionamento do sistema
operacional;
Worm - um programa semelhante aos vrus de computador, com a diferena

de propagar automaticamente, ou seja, ele cria cpias funcionais de si mesmo
e infecta outros computadores;
Cavalo de Tria Tambm conhecido como Trojan Horse, um programa

malicioso disfarado de um programa comum e legtimo. Ele serve para
possibilitar a abertura de uma porta promovendo uma brecha para que usurios
mal intencionados possam invadir o computador;
27
ITU - (Unio internacional das comunicaes) Agncia da ONU especializada em tecnologias de informao e
comunicao.
Roubo de Identidades - quando algum frauda um perfil para ter algum tipo
de vantagem e usa as informaes de uma conta falsa para, por exemplo, abrir
um cadastro em lojas, realizar fraudes em cartes de crditos e at realizar
transaes bancrias;
Spam - o termo usado para se referir s mensagens eletrnicas que so

enviadas sem o consentimento do usurio. As mensagens podem conter desde
simples propagandas, a at contedos mais agressivos como vrus ou links que
direcionam usurios para sites maliciosos;
Ataques Cibernticos so realizados por criminosos cibernticos

denominados Hackers, que se utilizam de diversos mtodos para invadir o
ambiente computacional de uma empresa, pessoa, governo, etc., com o intuito
de cometer atividades criminosas contra os dados que ali transitam.
Nos dias atuais ou at mesmo em tempos remotos, sempre existiu a

necessidade de se proteger a informao, de modo que a mesma fique restrita a um
determinado grupo de pessoas. Com o passar dos anos est pratica se modificou e
evoluiu diante de novas necessidades e de novas tecnologias que foram surgindo,
mas sempre mantendo o mesmo objetivo que a proteo da informao. O prximo
capitulo identificar o que deve ser ponderado pelos Setores Crticos, antes de se
iniciar boas prticas em segurana da informao.
4. CONSIDERAES INICIAIS PARA BOAS PRTICAS
4.1 MODELO DE NEGCIO
preciso levar em conta que a aplicao da segurana da informao no

mbito dos Setores Crticos, no se restringe a apenas softwares e dispositivos de
segurana. Segundo o ISACA28, indispensvel ter uma viso ampla dos processos
e sistemas existentes na empresa que inpactam ou so impactados pela segurana
da informao. Este aspecto tem como modelo para gerenciamento sistmico de
segurana os elementos: Projeto e a Estratgia da Organizao; Tecnologia;
Processos e Pessoas, onde esses quatros elementos interagem uns com os outros
atravs de seis interligaes dinmicas conforme demonstrado a seguir:
28
ISACA Associao internacional que suporta e patrocina o desenvolvimento de metodologias e
certificaes para o desempenho das atividades de auditoria e controle em sistemas de informao.
Governana Conecta o Projeto e a Estratgia com os Processos. o
conjunto de respnsabilidades e prticas execidas pelo conselho e gesto executiva
com o objetivo de fornecer orientao estratgica;
Cultura Conecta Projeto e a Estratgia com as Pessoas. o padro de

comportamentos, crenas, suposies e atitudes, que liga a organizao com as
pessoas;
Arquitetura Conecta o Projeto e a Estratgia com a Tcnologia. a Infra-

estrutura da organizao;
Componente Capacitador e de Suporte Conecta os elementos Processos

e Tecnologia. a rea de apoio e direcionamento que mostra que a tcnologia tem
efeitos sobre as atividades de negcios;
Componente de Emergncia Conecta as Pessoas com os Processos. rea

que aborda a ambiguidade e evoluo, se bem administrada, ajuda a melhorar a
capacidade da empresa de se adaprar a mudanas;
Fatores Humanos Liga os elementos Pessoas e Tecnologia. o estudo de

como os seres humanos interagem com a tcnologia;
Abaixo possvel mensurar estar interligaes:
Figura 4 Viso geral do Modelo de Negcios de Segurana da Informao
Figura traduzida da Fonte: (ISACA, 2010)

Todas as interligaes identificadas na figura acima, indica como deve ser o
modelo de negcio em perfeito equilbio dentro de uma organizao, sendo este
modelo facilmente distorcido em caso de falhas de segurana ou alteraes entre as
partes. Portanto para se obter um melhor aproveitamento deste modelo, as atividades
dos Setores Crticos precisam compreender que as interligaes podem ser afetadas
direta ou indiretamente por alteraes que venham a acontecer em qualquer um dos
componentes existentes no interior do modelo (ISACA, 2010).
Ser identificado a seguir alguns itens recomendados pelo ISACA, que so

fundamentais para as empresas, que procuram buscar as boas prticas em segurana
da informao, se localisem perante aos seus procedimentos de segurana j
existentes.
4.2 LEVANTAMENTO DE REQUISITOS
Em grande parte das empresas, ao menos algum procedimento de segurana

da informao j existe, seja ela em formato de regras ou polticas, ou at mesmo
solues tcnicas. Como consideraes iniciais ao processo de implementao de
Segurana da Informao, o ISACA (2010) recomenda que seja feito um
levantamendo dos procedimentos existentes levando em conta alguns tens conforme
demonstrados a seguir:
Leis e Regulamentaes Deve se analizar o ambiente geogrfico em que a

empresa atua. Pois existem pases que propicia um auto risco em termos de leis e
regulamentaes, sendo assim importante levar em conta a abrangncia do
negcio, ou seja, se existem clientes ou fornecedores em outros pases, a organizao
tem que se adapar s leis e regulamentos desses lugares tambm. Deve ser tambm
observado as exigncias de Orgo Reguladores caso o ramo de atividade do negcio
assim o exigir;
Governana Corporativa Em algumas jurisdies, as leis e regulamentaes

impactam diretamente na estrutura de governana corporativa, podento prejudicar
todo o programa de segurana dentro da organizao. Para uma melhor governana
em TI o procedimento mais simples usar o COBT29;
Segurana e Compliance As polticas estabelecidas pela empresa precisam estar

em conformidade para que sejam cumpridas as normas legais e as diretrizes de
29
COBIT - Modelo de negcios e de gesto global para governana e gesto de TI corporativa.
negcio da organizao. E os controles de conformidade que envolvem assuntos
relacionados a TI, so fatores crticos neste contexto;
Outros Componentes de Segurana Deve ser identificado quaisquer outros

aspectos de segurana na empresa que no entre em conflito com os itens anteriores.
Normalmente so aspectos ligados segurana da informao com a segurana
fsica, ou seja, o uso de servios de segurana auxiliares, tais como, a vigilncia
eletrnica. Tudo para garantir pleno conhecimento e uma viso detalhada do
programa de segurana existente (ISACA, 2010);
O ISACA recomenda tambm a consulta em relatrios de auditorias,

certificaes ou qualquer outra fonte de informao que possa ajudar a organizao
a identificar seus procedimentos existentes de segurana, e se for o caso, a
contratao de um perito em segurana pode ser indispensvel para evitar equvocos
nesta fase de anlise.
4.3 SETORES CRTICOS E SUAS REGULAMENTAES
Muitas atividades, que eram fornecidas pelo estado e passaram a ser prestadas
pela iniciativa privada atravs de privatizaes e reformas constitucionais, tiveram a
necessidade de serem fiscalizadas atravs de agncias e orgos reguladores
especficos. A principal finalidade dessas agncias/orgos, regimentar e fiscalizar
as atividades dessas organizaes, devendo garantir a normalidade e eficincia da
prestao de servios por elas prestadas. (MONTENEGRO,2014).
Segundo dados da PWC (2016), 41% das instituies financeiras no

passaram por inspees regulatrias, uma em cada 10 teve problemas significativos
na inspeo ou estava em programa de remediao. Segue abaixo os principais
rgos que regulamentam este que considerado o setor de maior criticidade e com
maior reincidncia a crimes.
BACEN Banco Central do Brasil, Autarquia federal, vinculada ao Ministrio

da Fazenda, que tem por misso assegurar a estabilidade do poder de compra
da moeda e um sistema financeiro slido e eficiente;
SUSEP Superintendncia de Seguros Privados, rgo responsvel pelo

controle e fiscalizao dos mercados de seguro, previdncia privada aberta,
capitalizao e resseguro;
AMBIMA Associao Brasileira dos Mercados Financeiro e de Capitais, a
principal entidade certificadora dos profissionais dos mercados financeiro e de
capitais brasileiro;
CMN Concelho Monetrio Nacional, tem a funo de normatizar e regular o

sistema financeiro nacional assim como estabelecer as diretrizes de poltica
cambial.
As regulamentaes para o setor de Varejo e Consumo podem ser

classificadas conforme abaixo:
SRF Secretaria da Receita Federal, um rgo subordinado ao Ministrio da

Fazenda, que tem como responsabilidade a administrao dos tributos federais
e o controle aduaneiro, alm de atuar no combate eliso e evaso fiscal
(sonegao), contrabando, descaminho, pirataria e trfico de drogas e animais;
OMC Organizao Mundial do Comrcio, criada com o objetivo de

supervisionar e liberalizar o comrcio internacional lidando com a
regulamentao do comrcio entre os seus pases-membros.
As regulamentaes para o setor de Transporte e Logstica se enquadram no

rgo abaixo:
ANTT Agncia Nacional de Transportes Terrestres, uma autarquia federal

brasileira responsvel pela regulao das atividades de explorao da
infraestrutura ferroviria e rodoviria federal e de prestao de servios de
transporte terrestre.
O setor de Comunicaes detm algumas atividades que devem se submeter

ao rgo abaixo:
ANATEL Agncia Nacional de Telecomunicaes uma agncia

reguladora, vinculada ao Governo Federal. A ela compete, entre outras
atribuies, a regulao do setor de telefonia, tanto fixa quanto celular.
As atividades relacionadas administrao pblica em geral, possuem um

departamento especfico para a devida gesto de segurana da informao. O DSIC
(Departamento de Segurana da Informao e Comunicaes), tem como principal
papel na segurana da informao a criao de leis, decretos, portarias, instrues,
normas e legislaes relacionadas segurana da informao e comunicaes na
administrao pblica.30
4.4 SETORES CRTICOS E SEUS CONTROLES
Os padres e metodologias existentes para segurana da informao

especificam recomendaes mnimas de segurana, obrigatrias ou no, reduzindo
as vulnerabilidades em que determinadas atividades esto expostas.
Identificaremos neste captulo as principais leis, normas e controles que regem

as atividades dos Setores Crticos, para que as boas prticas em segurana da
informao sejam aplicadas de modo a abranger as particularidades de cada
segmento existente nestes setores.
Considerando que segundo a PWC (2016), 58% dos crimes realizados no Brasil
referem-se a Fraudes em Compras, as atividades que manipulam ou armazenam
dados de cartes, que dentre os Setores Crticos identificados esto os Servios
Financeiros e as Atividades de Varejo e Consumo, devem se adequarem s regras do
PCI-DSS (Payment Card Industry Data Security Standard). O PCI-DSS um padro
de segurana elaborado com um conjunto de controles tcnicos, polticas e
procedimentos, tendo como principal objetivo aprimorar a segurana em transaes
com cartes de crdito, e proteger os dados do portador do carto contra fraudes. O
PCI DSS foi criado pelas operadoras de cartes de crditos Visa, Mastercard,
Discover e American Express, e possuem 12 exigncias a serem seguidas para que
a conformidade com os padres de segurana sejam seguidos. Segue abaixo a
descrio das 12 exigncias conforme o PCI Security Standards Council, (2013):
Exigncia 1: instalar e manter uma configurao de firewall para proteger os

dados do portador de carto;
Exigncia 2: No usar as senhas padro de sistema e outros parmetros de

segurana fornecidos pelos prestadores de servios;
Exigncia 3: Proteger os dados armazenados do portador de carto;
Exigncia 4: Codificar a transmisso dos dados do portador de carto nas redes

pblicas e abertas;
Exigncia 5: Usar e utilizar regularmente o software ou programas antivrus;
30
Fonte da Informao: <http://dsic.planalto.gov.br/>
Exigncia 6: Desenvolver e manter sistemas e aplicativos seguros;
Exigncia 7: Restringir o acesso aos dados do portador de carto a apenas

aqueles que necessitam conhec-los para a execuo dos trabalhos;
Exigncia 8: Atribuir um ID nico para cada pessoa que possua acesso ao

computador;
Exigncia 9: Restringir o acesso fsico aos dados do portador de carto;
Exigncia 10 - Ter como objetivo acompanhar todos os acessos com relao

aos recursos da rede e aos dados do portador do carto;
Exigncia 11: Testar regularmente os sistemas e processos de segurana;
Exigncia 12: Manter uma poltica que atenda segurana da informao para
funcionrios e prestadores de servios;
Ao todo so 296 controles existentes dentro de suas respectivas exigncias,

porm a aplicabilidade desses controles se restringe s particularidades do ambiente
e de tecnologia de cada empresa.
As Atividades de Servios Financeiros possuem rgos reguladores que

fiscalizam suas atividades, conforme j tratado no tpico anterior. Esta fiscalizao
realizada atravs de normas e regulamentaes que alm de proteger o setor
financeiro nacional, ajudam as organizaes a protegerem suas informaes. Porm
alm dos rgos reguladores, as atividades de Servios Financeiros com atuao nos
EUA precisam tambm levar em conta leis que regem o segmento. A lei Sarbanes-
Oxley conhecida como SOX, regulamenta o mercado financeiro dos EUA atravs de
normas e prticas contbeis. Criada em 30 de julho de 2002, a lei surgiu diante de
graves incidentes financeiros ocorridos na poca, e seu principal objetivo obrigar as
empresas a reorganizarem seus processos afim de aumentar os controles, a
segurana e a transparncia nos seus negcios. A SOX se aplica a todas as empresas
americanas ou estrangeiras que operam na bolsa de valores dos EUA, e obrigam
essas empresas a reestruturarem seus processos afim de se adequarem s suas
exigncias que so divididas em 11 ttulos e 69 sees, sendo que a seo 404 aborda
os impactos diante da rea de tecnologia garantindo que a segurana da informao
seja corretamente aplicada.31
31
Fonte da Informao: <http://www.fraudes.org/showpage1.asp?pg=312>
Alm dos EUA, as empresas de Servios Financeiros que tambm fazem
negcios na Unio Europeia ou lidam com dados de seus cidados esto submetidas
s regulamentaes da EUDPD (European Union Data Protection Directive). A
EUDPD fornece requisitos bsicos que todo estado membro da Unio Europeia deve
atender atravs de regulamentaes nacionais afim de padronizar a proteo da
privacidade de dados para cidados em toda a Unio Europeia.32
O setor de Transporte e Logstica possui uma metodologia especfica

denominada PNLT (Plano Nacional de Logstica e Transporte). Criado pelo Ministrio
dos Transportes, seu principal objetivo formalizar os instrumentos de anlise, sob a
tica da logstica, para dar suporte ao planejamento de intervenes pblicas e
privadas na infraestrutura e na organizao dos transportes, de modo que o setor
possa contribuir efetivamente para a consecuo das metas econmicas, sociais e
ecolgicas do pas, em horizontes de mdio a longo prazo, objetivando o
desenvolvimento sustentado.33
Considerando que segundo a PWC (2013), 23% dos crimes realizados no Brasil
se refere a Suborno e Corrupo, vale destacar a lei 12.846/2013, tambm conhecida
como lei anticorrupo. A lei 12.846/2013 de autoria do poder executivo e trata da
responsabilizao objetiva, administrativa e civil de empresas pela prtica de atos
contra a Administrao Pblica, nacional ou estrangeira.34
O prximo capitulo mapear como deve ser aplicada a segurana da informao

levando em considerao procedimentos, normas, regulamentaes e ferramentas
utilizadas nos dias atuais.
5. MELHORES PRTICAS PARA SEGURANA DA INFORMAO
5.1 BOAS PRTICAS BASEADAS EM NORMAS
Os diversos controles e normas at aqui tratados, fornecem um grande apoio

para as empresas que buscam a implementao de boas prticas de segurana, isso
32
Fonte da Informao:
<http://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwiW96y3r_bOAhUBj
5AKHb5FCS0QFggeMAA&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F3%2F4%2F2%2F3422
BD20-F94B-4B0F-89A3-D50628BF82A9%2FIT%2520Compliance%2520Management%2520Guide-
BRZ.docx&usg=AFQjCNFmBbKBoW7_GHcFuzmghvze5LCZhg&bvm=bv.131783435,d.Y2I>
33
Fonte da Informao: <http://www.transportes.gov.br/conteudo/56-acoes-e-programas/2815-conheca-o-
pnlt.html>
34
Informao Disponvel em: <http://www.cgu.gov.br/assuntos/responsabilizacao-de-empresas/lei-
anticorrupcao>
devido grande variedade de assuntos de segurana contidos nestas normas. Sero
identificadas abaixo as principais sees da norma ISO 27001 em conjunto com os
controles da ISO 27002 para uma proposta dos principais procedimentos relacionadas
segurana da informao baseados em normas e que podem ser aplicadas a todas
as atividades existentes nos Setores Crticos.
A implementao de um SGSI dentro de uma organizao, depende de uma

estrutura para gerencia-la de maneira correta. Para isso, conforme descrito na seo
6 da ISO 27001, todas as atividades de segurana da informao devem ser
administradas por representantes da organizao, que por sua vez, devem possuir
responsabilidades bem definidas. Esta seo dividida em duas subsees,
Organizao Interna, onde definido os parmetros de organizao para o controle
interno da instituio, e Partes Externas, onde feito o controle de produtos e servios
que so disponibilizados por terceiros. A atribuio das responsabilidades pela
segurana da informao deve ser realizada em conformidade com as polticas de
segurana da informao, que ser detalhada a seguir.
A poltica de segurana da informao (PSI), localizada na seo 5 da norma

NBR ISO/IEC 27001, consiste e um conjunto formal de regras e procedimentos que
devem ser seguidos por todos os colaboradores de uma organizao. Trata se de um
documento que estabelece valores, princpios, compromissos, requisitos, orientaes
e responsabilidades, sobre tudo que deve ser feito para atingir um padro desejvel
de proteo das informaes (Fontes, 2012; ABNT, NBR 27002, 2013).
A PSI deve primeiro ser publicada e ento apresentada aos usurios atravs
de um programa de conscientizao. Esse programa deve incluir constantes
lembretes de como proteger os recursos da organizao e de quem a
responsabilidade de proteger esses recursos (Fontes, 2012). Pois os usurios devem
estar cientes das ameaas e das vulnerabilidades que envolvem a Segurana da
Informao dentro da organizao (ABNT, NBR 27002, 2013).
O procedimento de conscientizao deve ter como premissa bsica estimular,

motivar e relembrar os colaboradores por meio de avisos, palestras, criao de guias
rpidos de consulta e o ensino atravs de treinamentos (Oliveira, 2013; Fontes, 2012).
Convm que as polticas de segurana da informao sejam analisadas

criticamente a intervalos planejados ou quando mudanas significativas ocorrerem,
para assegurar a sua continua pertinncia, adequao e eficcia (ABNT, NBR 27002,
2013). Os intervalos para manuteno da PSI vo depender do fluxo de atividades de
cada empresa, quanto maior for a organizao, maiores tambm sero os esforos
aplicados para uma correta manuteno. No existe no mercado um modelo de PSI
pronto para ser comercializado, e mesmo existindo no seria vivel. A poltica deve
ser construda com base nas informaes reais da empresa, e como cada organizao
possui particularidades diferentes, torna se invivel a comercializao de um modelo
padro de PSI.
Considerando o quadro de modelo de negcios fornecido pelo ISACA,

identificaremos as boas prticas baseadas em normas para cada elemento
identificado no quadro a comear pelo elemento Pessoas. O elemento Pessoas
podem influenciar negativamente para a garantia da integridade e disponibilidade das
informaes. Representado por funcionrios, contratados e fornecedores, o elemento
Pessoas decide sobre a aceitao dos controles de segurana na organizao. O
ISACA recomenda a gesto de pessoas afim de administrar os comportamentos
internos e potencializar o fator humano, de forma a sensibilizar o profissional a
reconhecer as exigncias e demandas organizacionais.
Detalhado na seo 8 da ISO 27002, a segurana em recursos humanos

recomenda a conscientizao, educao e treinamento em segurana da informao
para os profissionais que atuam diretamente nas atividades de negcios, fazendo com
que fiquem conscientes de suas responsabilidades. Os programas e treinamentos de
conscientizao devem estar alinhados com as polticas e procedimentos relevantes
sendo realizados periodicamente e suas atualizaes devem ser constantes.
Um processo disciplinar tambm recomendado, com o objetivo de tomar

aes contra funcionrios que tenham cometido alguma violao contra a segurana
da organizao, levando em considerao fatores como a natureza e a gravidade da
violao e o seu impacto para o negcio. Este processo tambm ajudar a evitar que
funcionrios e partes externas violem os procedimentos e as polticas vigentes
colocando em risco os ativos da organizao.
Qualquer coisa que tenha valor para a organizao e que precise ser protegido,
segundo a norma ISO 27002, classificado como ativo. Os ativos devem ser
classificados e identificados, de forma que um inventrio possa ser estruturado e
mantido afim de relacionar os bens vinculados segurana da informao, como por
exemplo: (software; hardware; sistema de documentao; armazenamento; alm dos
servios de manutenes) e classificando e rotulando a informao conforme a
necessidade de segurana e proteo.
Os ativos de maior importncia para a organizao, que so os equipamentos

e instalaes de processamento de informao crticas ou sensveis, devero ser
fisicamente protegidos, os controles de proteo so descritos na seo 9 da ISO
27002 e resumidos conforme a seguir:
Controle de Equipamentos Os equipamentos dentro da organizao devem

estar seguros contra perda, danos, furto, roubo ou interrupo de
funcionamento das operaes. Deve-se realizar manutenes peridicas afim
de sempre garantir a disponibilidade das informaes. Quanto ao seu descarte,
todas as mdias de armazenamento que contm informaes confidencias ou
de direitos autorais devem ser devidamente destrudas de modo que se
impossibilite qualquer tentativa de recuperao das informaes;
Segurana do Permetro Tem como principal objetivo a preveno do acesso

fsico no autorizado s instalaes de processamento de informaes crticas
ou sensveis. Os permetros fsicos destas instalaes devem ser slidos e de
construo robusta, afim de evitar invases ou contaminao do meio
ambiente. Deve possuir sistemas adequado para deteco de intrusos e
possuir um forte esquema de entrada e sada de pessoas somente autorizadas;
Os controles citados acima esto ligados ao elemento Tecnologia, que segundo

o ISACA, o elemento mais importante no processo de segurana da informao,
pois fornece as principais ferramentas utilizadas para realizar a misso estratgica da
empresa.
Em conjunto com a segurana fsica e de ambiente, o controle de acessos

lgicos deve ser devidamente administrado para o coibir a acesso no autorizado aos
sistemas de TI. Item tratado na seo 11 da ISO 27001:2013, tem como principal
objetivo a proteo dos recursos computacionais contra perdas, modificaes, danos
ou o vazamento no autorizado de informaes. A seguir listado alguns
procedimentos que so recomendados pelo ISACA e que esto contidos na norma
ISO 27001 e ISO 27002 pertinentes a este assunto:
Poltica de Controle de Acessos O primeiro passo para um correto

gerenciamento de acessos, que seja estabelecida uma poltica exclusiva de
controle de acessos, afim de que possa ser especificado os assuntos referentes
a controles de acessos, com regras expostas de forma clara e objetiva, que
faam refletir sobre os riscos de segurana da informao. A poltica deve
abordar assuntos sobre legislaes pertinentes, requisitos para autorizao e
remoo de acessos, bem como regras para acessos privilegiados.
Gerenciamento de Senhas Utilizadas como um tipo de autenticao secreta

para acesso aos recursos fsicos e lgicos da organizao, deve se
primeiramente solicitar aos usurios a assinatura de um termo de
confidencialidade para garantir a integridade da mesma. O ID de usurio e
senha devem ser individuais, obrigando assim que as senhas sejam alteradas
periodicamente ou a qualquer momento por iniciativa do usurio. As senhas
devem possuir um certo padro de qualidade mantendo assim um histrico
para evitar repeties.
Responsabilidades de Usurios Todo usurio deve ser responsvel pela
proteo das suas credenciais de acessos. Os usurios devem ser orientados
quanto ao melhor uso das informaes de autenticao, como por exemplo,
manter a confidencialidade das credenciais garantido que ela no seja
divulgada para ningum;
Gerenciamento de Acesso do Usurio Deve se assegurar o acesso de

usurio autorizado e prevenir acesso no autorizado a sistemas e servios.
Todo usurio deve ser devidamente registrado e tambm cancelado aps seu
desligamento, os acessos privilegiados devem ser restritos e controlados e
todos os acessos devem ser revisados em intervalos regulares;
Outro elemento importante que se pode aplicar boas prticas baseadas em

normas o Processo. Os processos so criados para ajudar as organizaes a
atingirem seus objetivos estratgicos. Por ser um elemento nico que proporciona
uma ligao vital a todos os outros elementos considerveis, o ISACA recomenda a
criao de processos voltados ao monitoramento contnuo da integridade das
informaes. Os processos precisam estar tambm protegidos contra os ataques e s
cpias indevidas de dados. Visando abranger estas recomendaes, alguns controles
so sugeridos na seo 10 da ISO 27002 conforme a seguir:
Identificando Vulnerabilidades Um bom gerenciamento de vulnerabilidades,

permite que falhas de segurana sejam identificados antes do incidente. Um
prazo deve ser definido para a reao de potenciais vulnerabilidades
detectadas, afim de que seja feita uma avaliao do risco e o estudo de
possveis aes a serem tomadas. Os sistemas com alto risco devem ser
tratados preferencialmente e o processo de gesto de vulnerabilidades tcnicas
deve ser monitorado e avaliado regularmente;
Proteo e controle contra cdigos maliciosos O Processamento das

informaes precisam estar protegidas contra programas maliciosos, que so
desenvolvidos para executar aes e atividades ilcitas em um computador.
Softwares para deteco e respostas a cdigos maliciosos so recomendados
na ISO 27002, bem como o estabelecimento de uma poltica formal proibindo
o uso se softwares no autorizados, que tambm devem ser identificados
atravs de controles implementados. Deve ser implementado tambm
controles para identificao de softwares no autorizados e websites
maliciosos ou suspeitos;
Cpias de segurana, Registros e Monitoramento Deve ser estabelecida uma

poltica de backup, com o objetivo de garantir que toda a informao e software
essenciais possam ser recuperados, principalmente aps a ocorrncia de um
evento que torne indisponvel as informaes. E alm do backup,
aconselhvel que todos os eventos de atividades do usurio sejam
devidamente registrados no sistema, com dados confidenciais e identificao
pessoal, para que seja possvel a identificao do usurio em caso de
incidentes ocasionados por eles mesmos;
Segurana e Controle de Redes Toda a estrutura de rede deve ser

gerenciada e controlada para proteger as informaes dos sistemas e
aplicaes. Responsabilidades e procedimentos sobre o gerenciamento, bem
como controles especiais devem ser estabelecidos. Todos os sistemas que
trafegam na rede devem ser devidamente autenticados e toda a conexo de
sistemas devem ser restritas;
Um controle que no faz parte da seo 10 mas que vale ser mencionado
devido sua importncia para o elemento Processo a criptografia. Os Controles
criptogrficos permitem que os princpios bsicos que fundamentam a segurana da
informao (confidencialidade, integridade e disponibilidade) sejam aplicados. Deve
ser desenvolvido uma poltica para o uso de controles criptogrficos, abordando os
padres que sero adotados, leis ou regulamentaes aplicveis ao uso, e o
gerenciamento das chaves criptogrficas ao longo de todo o seu ciclo de vida. O
sistema de gerenciamento de chaves deve ser baseado em um conjunto de normas,
procedimentos e mtodos para gerar, distribuir, alterar, recuperar, armazenar e
destruir as chaves, garantindo um uso eficaz de tcnicas criptogrficas (ISO 27002).
Todos os sistemas de TI existentes dentro de uma organizao, sejam eles

adquiridos ou desenvolvidos na prpria instituio, precisam tambm possuir
controles que garantam a segurana na especificao, construo/aquisio, anlise,
implementao e manuteno dos mesmos. Descrito na seo 12 da ISO 27002, os
principais controles desta seo esto divididos em: requisitos de segurana de
sistema de informao, segurana em processos de desenvolvimento e de suporte
conforme exemplificado a seguir:
Requisitos de segurana de sistema de informao Todos os requisitos de

segurana devem ser aplicados tantos em novos sistemas ou melhorias em
sistemas j existentes, e devem ser utilizados vrios mtodos que podem ser
oriundos de polticas e regulamentaes, modelos de ameaas, anlise de
incidentes ou no incio de uma vulnerabilidade. Os acessos aos sistemas
atravs de redes pblicas precisam estar devidamente protegidos contra
qualquer tipo de atividade ilcita, e o uso de controles criptogrficos
aconselhado pela norma para garantira a segurana.
Segurana em processos de desenvolvimento e de suporte Para garantir que
a segurana esteja presente no desenvolvimento e o ciclo de vida do sistema
de informao, primeiramente deve se estabelecer uma poltica de
desenvolvimento, contendo regras para um desenvolvimento seguro. Todas as
mudanas realizadas nos sistemas devem ser documentadas e realizada uma
avaliao de riscos, anlise do impacto das mudanas e especificao dos
controles de segurana requeridos. O ambiente de desenvolvimento deve ser
seguro, livre de qualquer tipo de ameaas, e que os testes de funcionalidades
de segurana sejam realizados durante o desenvolvimento, garantindo que o
sistema trabalhe conforme o esperado.
Visando garantir a disponibilidade das informaes trabalhadas nos sistemas

de TI ou em outros servios essenciais s atividades de negcio, as organizaes
devem possuir um plano de contingncia, onde todas s atividades essenciais sejam
devidamente identificadas, preservadas e continuadas aps a ocorrncia de
incidentes que possam comprometer os processos da organizao. O plano de
continuidade do negcio (PCN), deve ser implementado abrangendo planos de
contingncia, administrao de crises, recuperao de desastres e continuidade
operacional, garantindo que a retomada das atividades possa ser efetiva para as
funcionalidades dos processos crticos (ISO 27002).
A aplicabilidade dos controles mencionados acima, so recomendadas para

todas as atividades dos Setores Crticos, porm alguns controles so essenciais para
que determinado setor aplique as melhores prticas de segurana ou que cumpra com
determinaes de rgos Reguladores. Para facilitar o entendimento desta diviso,
identificamos abaixo os Setores Crticos juntamente com a aplicabilidade de cada
controle:
SERVIOS GOVERNOS E TRANSPORTE E
COMUNICAES VAREJO E CONSUMO
FINANCEIROS EMPRESAS ESTATAIS LOGSTICA
Pol tica de Segura na da Informa o
Essencial Essencial Essencial Essencial Essencial
Segura na em RH Essencial Essencial Essencial Essencial Essencial

Proces s o Di s ci pl i na r Essencial Essencial Essencial Essencial Essencial
Control e de Equi pa mentos Essencial Essencial Aplicvel Essencial Essencial
Segura na do Permetro Aplicvel Aplicvel Essencial Aplicvel Essencial
Pol tica de Control e de Aces s os Essencial Essencial Aplicvel Essencial Essencial
Gerenci a mento de Aces s os de
Essencial Essencial Aplicvel Essencial Essencial
Us u ri o
Gerenci a mento de Senha s Essencial Essencial Aplicvel Essencial Essencial
Res pons a bi l i da des do Us u ri o Essencial Essencial Essencial Essencial Essencial
Identifi ca o de Vul nera bi l i da des Essencial Essencial Essencial Essencial Essencial
Prote o contra cdi gos ma l i ci os os Essencial Essencial Aplicvel Essencial Aplicvel
Cpias de segurana, Registros e
Essencial Essencial Aplicvel Aplicvel Aplicvel
Monitoramento
Segurana e Controle de Redes Essencial Essencial Aplicvel Essencial Aplicvel
Controles Cripitogrficos Essencial Aplicvel Aplicvel Aplicvel Aplicvel
Requisitos de segurana de
sistema de informao
Segurana em processos de
desenvolvimento e de suporte
Pl a no de Contingnci a Essencial Essencial Aplicvel Essencial Aplicvel
Tabela 2 Aplicabilidade dos controles da norma ISO 27002 com os Setores

Crticos
Fonte Prpria, baseado em: ABNT NBR ISO/IEC ISO 27002, 2013
A seguir segue alguns controles e metodologias e solues existentes que em

conjunto com as normas de segurana, ajudam a complementar as boas prticas em
segurana da informao dentro dos Setores Crticos.
5.2 BOAS PRTICAS BASEADAS EM CONTROLES, METODOLOGIAS E

SOLUES EXISTENTES
Muitas das atividades dos Setores Crticos no so empresas de tecnologia,

mas certamente muitas delas possuem seu prprio departamento de TI, que por sua
vez devem procurar solues tcnicas ou medidas prticas para segurana da
informao que esto prontas para implementao e execuo. Certamente nem
todas as solues ou medidas tcnicas existentes se adequam s suas atividades,
porm cada uma delas precisa ser estudadas individualmente afim de verificar a
viabilidade de sua implementao.
Segue abaixo algumas dessas solues/medidas prontas que so recomendadas:

Aplicao dos controles do PCI DSS - Para as atividades dos Servios
Financeiros e atividades do Varejo e Consumo que utilizam o sistema de
cartes de crditos, como j mencionado no tpico anterior, o controle PCI DSS
possui 296 controles distribuidos em 12 exigncias. Vale ressaltar que nem
todos os controles so aplicaveis devido s diferenas de particularidades de
ambiente que cada empresa possui. Mas necessario e indispensvel que
todos os controles sejam aplicveis no ambiente de escopo PCI, que a
delimitao do ambiente que armazena, processa e transmite dados de carto
do restante do ambiente da empresa (PCI Security Standards Council, 2013)
Implementao do Sistema de Segurana CCTV (Closed Circuit Television)

No Brasil, conhecido como CFTV (Circuito fechado de televiso). Trata-se
de um sistema fechado de televiso que compartilha sinais que so originados
de cmeras localizadas em locais estratgicos para um ou mais pontos de
visualizao. O CCTV pode ser utilizado com o principal objetivo de monitorar
ao mesmo tempo determinadas reas da organizao, sem a necessidade de
locomoo fsica ou abandono do posto de trabalho;35
Implementao de Ferramentas de DLP (Data Loss Prevention)

Ferramentas de DLP so solues que auxiliam diretamente contra a perda de
dados dentro de uma organizao. Elas so utilizadas tanto para proteger os
dados confidnciais da empresa contra acessos no autorizados, como
tambm para fornecer informaes privilegiadas a pessoas devidamente
autorizadas. Solues em DLP tambm ajudam as organizaes a classificar e
gerenciar as informaes corretamente, de forma que as informaes
confidnciais no fiquem misturadas com informaes pblicas, acarretando
assim acessos no autorizados36;
Criao de Gerncia de Mudanas O principal objetivo da Gerncia de

Mudanas dentro da organizao, administrar todas as alteraes que
possam causar impactos sobres as atividades de negcios, garantindo assim
que os processos da empresa no fiquem prejudicados em caso de incidentes.
Os tipos de mudanas que podem existir so classificados como Padro,
Normal ou Emergencial, sendo esta ltima a mais importante para o tratamento
de segurana na organizao, pois a mudana emergencial existe para
resolver falhas de incidentes e devem ser implementadas rapidamente
(BELARMINO, 2013);
35
Informao disponvel em: <http://www.k2seguranca.com.br/destaques/conceitos-basicos-do-cftv-ip--parte-
1>
36
Informao disponvel em: <https://securosis.com/assets/library/reports/DLP-Whitepaper.pdf>
Monitoramento de Funcionrios O monitoramento necessrio dentro das
organizaes pois garante a segurana das informaes prevenindo assim o
seu vazamento. Todas as atividades relacionadas internet devem ser
monitoradas, sejam elas trocas de mensagens ou sites visitados, visando assim
prevenir que funcionrios mal intencionados se utilizem desses meios para
fazer uso indevido das informaes da empresa (PUPO, 2011);
Utilizao de Firewall, HIDS/NIDS O Firewall cria uma barreira de proteo

que controla o trfego de informaes entre o computador e a internet,
permitindo assim que se bloqueie o trfego de dados indesejado e os acessos
permitidos sejam liberados. um excelente recurso para segurana da
informao, principalmente em tempos onde o uso do computador e da internet,
so essenciais para grande parte das atividades. A soluo NIDS monitora toda
a rede em buscas de atividades suspeitas controlando a entrada e sada de
dados, e assim que um ataque for identificado, o administrador
automaticamente alertado. J a soluo HIDS examina solues especficas
com base em hospedeiros, eles so instalados em apenas certos pontos de
interseo, como por exemplo, servidores e roteadores (CELESTE, 2015);
Softwares para Continuidade do Negcio Ferramentas de software de

continuidade de negcios so basicamente programas que servem para
garantir a segurana e rapidez no acesso s informaes em caso de
incidentes. Este tipo de ferramenta possibilita diversos benefcios para a
organizao, como por exemplo, analisar o impacto dos negcios sobre suas
atividades, realizao de uma gesto de risco operacional, recuperao de
desastres e manter o fluxo de trabalho37;
Gerenciamento de Identidades O Gerenciamento de identidades no mbito

organizacional, se destina criao, manuteno e o uso de identidades
digitais que os colaboradores ou terceiros devem utilizar para acesso aos
recursos da organizao. O Gerenciamento de Identidades pode ser dividido
entre Gerenciamento de Acessos, que se refere atribuies e controles de
acessos para solicitaes de recursos, e Gerenciamento de Qualificaes, que
se refere ao conjunto de tecnologias que so utilizadas para atribuir ou revogar
os direitos e privilgios de acessos (CHONG, 2004);
Uso de VPN A VPN (Virtual Private Network) uma rede privada construda
sobre a infraestrutura de uma rede pblica, com o objetivo de criar uma
comunicao entre computadores ou outros dispositivos que possuem as
credenciais necessrias para o acesso. Entres os tipos existentes de VPN
37
Informao disponvel em: <http://www.continuitycentral.com/bcs.htm>
destacam se a Intranet VPN que pode facilitar a comunicao entre
departamentos de uma mesma empresa, e Extranet VPN conecta as
informaes da empresa com usurios externos sendo scios, clientes,
fornecedores, etc; 38
Proteo contra Malware39 Existem diversos tipos de malwares que podem

infectar um computador ou toda a rede da organizao, podendo assim causar
diversos tipos de transtornos e at mesmo prejuzos financeiros. Recomenda-
se a criao de polticas relevantes ao assunto e estabelecer defesas aplicveis
a anti-malware em toda a estrutura da organizao;
Metodologia Square - Outro ponto a ser considerado o desenvolvimento de

um novo software pelo departamento de TI nos Setores Crticos, ou at mesmo
a aquisio de um novo software que far parte do ambiente da empresa. A
metodologia SQUARE possui nove passos para o auxlio de um
desenvolvimento seguro de sistemas de informaes ou at mesmo em
sistemas j existentes Mead N. SQUARE Process, (2013).
As solues/medidas listadas acima podem ser classificadas como no

aplicveis, aplicvel e essencial, de acordo com o Setor Crtico a ser empregado,
identificamos abaixo tabela demonstrando a aplicabilidade destas solues para cada
Setor Crtico:
SERVIOS GOVERNOS E TRANSPORTE E

COMUNICAES VAREJO E CONSUMO
FINANCEIROS EMPRESAS ESTATAIS LOGSTICA
Control e PCI DSS
Essencial No Aplicvel No Aplicvel No Aplicvel Essencial
Si s tema de Segura na CCTV Essencial Aplicvel Aplicvel Aplicvel Aplicvel

Ferra mentas de DLP Essencial Aplicvel Aplicvel Aplicvel Aplicvel
Gernci a de Muda na s Essencial Aplicvel Aplicvel Aplicvel Aplicvel
Moni tora mento de Funci on ri os Essencial Aplicvel Aplicvel Aplicvel Aplicvel
Util i za o de Fi rewa l l , HIDS/NIDS Essencial Aplicvel Aplicvel Aplicvel Aplicvel
Softwa res pa ra Continui da de do
Negci o
Gerenci a mento de Identida des Essencial Aplicvel Aplicvel Aplicvel Aplicvel
Us o de VPN Essencial Aplicvel Aplicvel Aplicvel Aplicvel
Prote o contra Ma l wa re Aplicvel Aplicvel Aplicvel Aplicvel Aplicvel
Metodol ogi a Squa re Aplicvel Aplicvel No Aplicvel Aplicvel Aplicvel
Tabela 3 Aplicabilidade de Solues/Medidas existentes para os Setores

Crticos
Fonte Prpria
38
Informao disponvel em: <http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/>
39
Malware Abreviatura de Software Malicioso
Os controles indicados neste tpico, sejam eles provenientes de normas ou de
solues existentes, servem de grande suporte para as atividades dos Setores
Crticos que buscam boas prticas para segurana da informao. No caso do PCI
DSS, o nico controle que possui particularidade especfica, sendo a aplicabilidade
dos outros controles e metodologias genricas s todas as atividades dos Setores
Crticos. Os benefcios atrelados segurana da informao com a aplicao dessas
boas prticas, minimizam tambm os riscos de incidentes relacionados
cibersegurana, j que todos os conceitos adotados para a segurana ciberntica vo
de encontro com as boas prticas sugeridas neste tpico. Mapearemos no prximo
tpico algumas consideraes para que a implementao das boas prticas ocorra
corretamente com base nos controles e solues j identificados.
6. APLICANDO AS MELHORES PRTICAS
6.1 CONSIDERAES PARA A APLICAO DAS BOAS PRATICAS
Antes de se iniciar a implementao das boas prticas recomendadas nos

tpicos anteriores, vale observar que grande parte dos controles sugeridos se aplicam
na rea de tecnologia da empresa, fazendo com que a segurana ciberntica tambm
estivesse includa nestas boas prticas, ajudando assim os Setores Crticos a se
prevenirem perante a novos incidentes.
Como a maioria dos controles esto relacionadas para a rea de tecnologia, o

ambiente de TI dos Setores Crticos precisa estar preparado para receber tais
procedimentos de boas prticas. Para tanto, a arquitetura de TI precisa estar bem
estruturada e alinhada com os negcios da empresa.
A arquitetura corporativa, que segundo Cambiucci (2010), uma disciplina

sobre a arquitetura de TI, tambm deve fazer parte das atividades dos Setores
Crticos, pois ela abrange itens fundamentais para a implementao das boas
prticas, como gesto de pessoas e tendncias em tecnologia, alm de recomendar
a presena de um profissional de TI responsvel pela traduo entre os objetivos de
negcio e a tecnologia que suportar as necessidades de negcio da empresa.
Conforme KOSUTIC (2010), o SGSI representa um conjunto de polticas,

procedimentos e vrios outros controles que definem as regras de segurana da
informao em uma organizao, sendo assim, as boas prticas indicadas nos tpicos
anteriores podem auxiliar as atividades dos Setores Crticos a realizar a
implementao do SGSI, onde para o incio de sua aplicao, vale levar em conta
algumas consideraes que sero indicadas no prximo item.
6.2 CONSIDERAES PARA IMPLEMENTAO DO SGSI
A implementao de normas de segurana como a ISO 27001 e ISO 27002

dentro de uma organizao, estabelece diretrizes e princpios gerais para iniciar,
implementar, manter e melhorar a gesto de segurana da informao. A sua
aplicao, segundo KOSUTIC (2010), deve seguir alguns passos que far com que a
implementao ocorra de maneira correta e eficaz. Segue abaixo alguns passos
sugeridos por KOSUTIC para se iniciar uma implementao da ISO 27001, que so
completamente vlidas para todas as atividades dos Setores Crticos:
Obter apoio da Gerncia Toda a gerncia da organizao deve estar

comprometida. Pois se a gerncia limitar o nmero de pessoas envolvidas no
processo, ou limitar os recursos financeiros, todo o projeto de implementao
pode ser fracassado;
Tratar como um Projeto Devido complexidade de sua implantao, todas

as atividades que envolvem a implementao precisam ser devidamente
divididas entre as pessoas, devendo tambm ser definido um perodo de tempo
para a execuo de cada atividade;
Definir o Escopo Para os casos de grandes organizaes, a implementao

da norma deve ser realizando em apenas uma parte da organizao, afim de
reduzir os riscos do projeto;
Definir como medir a eficincia dos controles Medir o que est sendo feito,
garantir que o objetivo estabelecido est sendo cumprido. Por isso deve ser
definido o modo com que ser medido o cumprimento dos objetivos do SGSI
analisando cada controle aplicvel;
Implementar programas de treinamento e conscientizao Conforme j

tratado anteriormente, o treinamento dos funcionrios parte essencial para o
incio da implementao do SGSI, visto que o no comprometimento dos
funcionrios pode acarretar no fracasso do projeto;
As consideraes indicadas acima, so o incio do processo de aplicao do

SGSI, onde para o entendimento de toda a implementao, fatores como o
gerenciamento de riscos tambm devem ser levados em conta. No prximo item ser
identificado alguns passos para uma correta gesto de riscos na implementao de
um SGSI.
6.3 PLANEJAMENTO DA GESTO DE RISCOS
O incio de uma correta gesto de riscos dentro das atividades dos Setores
Crticos, comea com a Definio do Contexto, ou seja, o momento em que
definido os critrios bsicos necessrios para a gesto de riscos de segurana da
informao, a definio do escopo e dos limites e o estabelecimento de uma
organizao apropriada para atuar na gesto de riscos (ABNT NBR ISO/IEC 27005:
2011). Segue abaixo algumas orientaes que segundo KOSUTIC (2010), faz parte
do contexto de aplicao da norma ISO 27001 e que tambm faz parte das atividades
relevantes da gesto de riscos contida na ISO 27005:
Definir a metodologia da avaliao de riscos Deve se definir regras para a

identificao de ativos, vulnerabilidades, ameaas, impactos e probabilidade, e
definir o nvel de risco aceitvel. A m definio destas regras acarretar em
resultados inutilizados para a organizao, para tanto alguns passos bsicos
como (definir e documentar a metodologia e organizar entrevistas com
usurios) devem ser considerados na definio;
Realizar avaliao de riscos e tratamento de riscos Todos os riscos que no

so aceitveis para a organizao devem ser tratados com a aplicao de
controles existentes no Anexo A da ISO 27001. Ao todo existem um total de
133 controles, onde a aplicabilidade deles iro depender do tipo de risco que
foi identificado, no precisando assim a aplicao de todos os controles. Por
fim um relatrio de avaliao de riscos deve ser escrito afim de documentar
todos os passos realizados neste processo, promovendo assim uma viso
abrangente sobre os perigos para a informao;
Elaborar plano de tratamento de riscos Aps a seleo dos controles mais

propcios aos riscos identificados, deve ser feito um levantamento de como
esses controles sero aplicados. Valores, prazos e responsveis devem ser
devidamente documentados afim de que seja identificado claramente a ordem
de prioridade que o tratamento do risco ser aplicado na organizao;
Aceitao do Risco No caso da avaliao eu do tratamento dos riscos serem

insatisfatrios, deve ser realizada a aceitao do risco, ou seja, os riscos
residuais existentes na organizao devem ser aceitos formalmente de forma
que fiquem documentadas as responsabilidades pela deciso. As vezes
tambm os custos para a implementao de algum controle para o tratamento
de um determinado risco, excedem os benefcios do prprio servio ou negcio.
Dessa forma possvel decidir que o risco seja eliminado atravs da eliminao
da atividade ou processo;
Monitoramento contnuo e anlise crtica de riscos Deve ser sempre

executadas atividades de monitoramento para a identificao de quaisquer
mudanas no contexto da organizao, atualizao do quadro da organizao
ou aprimoramento do processo de gesto de risco;
6.4 CERTIFICAO DA ISO 27001
Os procedimentos identificados nos tpicos acima, alm de fornecer uma

correta implementao do SGSI, iro tambm auxiliar os Setores Crticos que buscam
uma certificao da ISO 27001. A norma exige quatro procedimentos documentados,
ou seja, deve ser estabelecido, documentado, implementado e mantido um
procedimento para controle de documentos, um procedimento para auditorias internas
do SGSI, um procedimento para ao corretiva e por ltimo um procedimento para
ao preventiva. Abaixo segue resumidamente estes procedimentos segundo
KOSUTIC (2010):
O procedimento para controle de documentos requer que um responsvel pela

aprovao e reviso de documentos deva ser definido. Tambm conhecido
como processo de gesto de documentos este procedimento define como o
fluxo da organizao ir funcionar;
O procedimento para auditorias internas requer que responsabilidades pelo

planejamento, realizao de auditorias, divulgao dos resultados e guarda de
registros, sejam devidamente definidos;
O procedimento para ao corretiva requer que seja definido como que ser
identificado as inconformidades e suas causas, e como ser definida e
implementada as aes corretivas que iro eliminar a causa da inconformidade;
O procedimento para ao preventiva visa o mesmo objetivo descrito na ao

corretiva, com a diferena de atuar na causa da inconformidade antes mesmo
dela acontecer;
Embora as quatro exigncias da ISO 27001 no estejam relacionadas

segurana da informao, a norma tambm exige que seja feita uma avaliao de
riscos na organizao, e para cada risco inaceitvel identificado, a norma exige que
ao menos um controle do Anexo A seja implementado para a diminuio dos mesmos.
Os controles podem ser tcnicos (por exemplo, a instalao de um firewall para evitar
invases indesejadas) como tambm podem ser organizacionais (por exemplo a
implementao de uma poltica de segurana).
CONCLUSO
Desde tempos remotos, sempre houve a necessidade de se garantir a

confidencialidade, integridade e disponibilidade das informaes, prtica que foi
evoluindo com o passar dos anos e hoje empregada pelas mais diversas atividades
de negcios. As atividades dos Servios Financeiros, Governo e Empresas Estatais,
Varejo e Consumo, Transporte e Logstica e Comunicaes, merecem uma maior
ateno para este assunto, pois de acordo com informaes obtidas atravs de uma
pesquisa realizada pela PWC (2016), estes so os setores crticos com maiores
incidncias a crimes relacionados segurana da informao. As boas prticas para
segurana da informao nas atividades que compem estes setores, podem se valer
atravs de controles encontrados em normas de segurana, como os controles da ISO
27001 e ISO 27002, que so bem genricos e abrangem qualquer tipo atividade de
negcio. J para algumas atividades encontradas nestes setores crticos, as boas
prticas podem tambm serem aplicadas com algumas solues e metodologias
existentes, que em conjunto com as normas de segurana, ajudam estes setores se
posicionarem ainda mais positivamente perante s ameaas existentes. Existem
tambm as atividades que esto submetidas s regulamentaes de rgos
reguladores, que por sua vez, fiscalizam e regulamentam suas atividades,
promovendo ainda maior segurana para os seus processos. As boas prticas em
segurana da informao, devem ser encaradas por estes setores crticos como uma
forma de melhorar seus processos constantemente, trazendo para as suas atividades
maior proteo e melhorando cada vez mais sua reputao perante o mercado e/ou
perante sociedade.
REFERNCIAS
ABNT (2013). ABNT NBR ISO/IEC ISO 27001 - Tecnologia da informao Tcnicas
de segurana Sistemas de gesto de segurana da informao. - 2013.
ABNT (2013). ABNT NBR ISO/IEC ISO 27002 - Tecnologia da Informao-Tcnicas

de Segurana Cdigo de Prtica para controles de segurana da informao. - 2013.
ABNT (2011). ABNT NBR ISO/IEC ISO 27005 - Tecnologia da informao Tcnicas
de segurana Gesto de riscos de segurana da informao. - 2011.
ABNT (2009). ABNT NBR ISO/IEC ISO 27009 - Gesto de riscos Princpios e
diretrizes. - 2009.
FONTES, Edison, Polticas e Normas para a Segurana da Informao, Editora

Brasport, Rio de Janeiro, 2012
Oliveira, Paulo Cesar. POLITICA DE SEGURANA DA INFORMAO: DEFINIO,

IMPORTNCIA, ELABORAO E IMPLEMENTAO: 2013
Disponvel em: <https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/>
BEAL, Adriana - Segurana da Informao: princpios e melhores prticas para a

proteo dos ativos de informao nas organizaes So Paulo: Atlas; 2005
SMOLA, Marcos - Gesto da Segurana da Informao: Uma viso executiva; Rio

de Janeiro: Campus; 2003
KOSUTIC, Dejan - The ISO 27001 & ISO 22301 Blog; 2010
Disponvel em: <http://advisera.com/27001academy/pt-br/blog/> - Acesso em 15 Jul.
2016
OTACILIO, Valdeci Um Modelo de Sistema de Gesto da Segurana da Informao

Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 E 27005:2008;
2013
Disponvel em: <http://www.inatel.br/revista/busca/288-um-modelo-de-sistema-de-
gestao-da-seguranca-da-informacao14301-s147497-1/file> - Acesso em 15 Jul. 2016
ALENCAR, Daniel Tecnologia nas Empresas; 2013

Disponvel em: <http://www.administradores.com.br/artigos/tecnologia/tecnologia-
nas-empresas/70427/> - Acesso em 14 Jul. 2016
PANDINI, Wllian - Boas prticas para gesto de segurana da informao; 2015
Disponvel em: <http://blog.ostec.com.br/padronizacao-seguranca/isoiec-27002-
boas-praticas-gestao-seguranca-informacao> - Acesso em: 14 Jul. 2016
CHIAVENATO, Idalberto - Habilidades e Competncias Gerenciais Valinhos:

Anhanguera Educacional, 2014.
Disponvel em:
<http://www.academia.edu/18371772/Habilidades_e_competencias_gerenciais>
Acesso em: 14 Jul. 2016
SEBRAE Servio Brasileiro de Apoio s Micro e Pequenas Empresas

DISPONVEL EM: <http://www.sebrae.com.br/sites/PortalSebrae> - Acesso em: 18
Jul. de 2016
FRANCISCO, Wagner De Cerqueria E. "Tipos de Indstrias"; Brasil Escola. - 2016

Disponvel em <http://brasilescola.uol.com.br/geografia/tipos-industrias.htm>.
Acesso em: 04 Ago de 2016
EVANGELISTA, Mario Origem da Palavra Negcio 2014

Disponvel em: <http://upempreendedor.com/o-negocio-e-empreender-aprendendo/>
- Acesso em: 18 Jul. 2016
LANA, Luiz Carlos da Silva Os Riscos Empresariais e os seus Reflexos na Vidas

das Organizaes 2014
Disponvel em:
<http://www.facefaculdade.com.br/arquivos/revistas/Riscos_Empresariais.pdf> -
Acesso em: 19 Jul. 2016
IBGC, Instituto Brasileiro de Governana Corporativa Guia de Orientao para

Gerenciamento de Riscos Corporativos 2007
Disponvel em: <http://www.ibgc.org.br/userfiles/3.pdf> - Acesso em: 19 Jul. 2016
MONTENEGRO, Mrcio Roberto, Agncias Reguladoras, 2014

Disponvel em: <https://jus.com.br/artigos/26712/agencias-reguladoras> - Acesso em:
20 Jul. 2016
LONGO, Gustavo Dobkowski- Artigo Cientfico: Segurana da Informao, 2008

Disponvel em: <http://www.ebah.com.br/content/ABAAAAUX0AA/seguranca-
informacao> - Acesso em: 21 Jul. 2016
ISACA - Modelo de Negcios de Segurana da Informao; 2010

BELARMINNO, Fabio - Descomplicando a Gerncia de Mudanas, 2013
Disponvel em: <http://www.dualtec.com.br/blog/2013/02/19/descomplicando-a-
gerencia-de-mudancas-gmud/#rmcl> Acesso em: 28 Jul. 2016
PUPO, Maria Bernarde Monitoramento da Internet no Trabalho, 2011

Disponvel em:
<http://www.rh.com.br/Portal/Relacao_Trabalhista/Artigo/6970/monitoramento-da-
internet-no-trabalho-arma-para-empregadores-ameaca-para-empregados.html> -
Acesso em 28 Jul. 2016
CHONG, Fredrick Gerenciamento de Acessos e Identidade 2004

Disponvel em: <https://msdn.microsoft.com/pt-br/library/aa480030.aspx> - Acesso
em 29 Jul. 2016
CELESTE, Thallita - FIREWALL, NIDS, HIDS, IDS e IPS 2015

Disponvel em: <http://thallitaceleste.blogspot.com.br/2015/03/firewall-nids-hids-ids-e-
ips.html> - Acesso em 29 Jul. 2016
FIESP CARTILHA DE BOAS PRTICAS EM SEGURANA CIBERNTICA 2015

Disponvel em: <http://www.coaliza.org.br/wp-content/uploads/2015/04/cartilha-
segurancacibernetica.pdf> - Acesso em 31 Jul. 2016
ALTINI, Marlene Zanghelini - Atividade Comercial 2013

Disponvel em: <http://phmp.com.br/artigos/atividade-comercial/> - Acesso em: 05
Ago. 2016
PESQUISA PWC (PricewaterhouseCoopers) Pesquisa Global sobre Crimes

Econmicos 2016
Disponvel em: <http://www.pwc.com.br/pt/publicacoes/servicos/assets/consultoria-
negocios/2016/pwc-gecs-pt-16.pdf> - Acesso em: 06 Ago. 2016
AZEVEDO, Rafael Zen Segurana da Informao em Ambiente Pblico 2011

Disponvel em - <http://www.imap.curitiba.pr.gov.br/wp-
content/uploads/2014/03/Seguran%C3%A7a_informacao_Publica_Rafael_Zen%20(
2).pdf> - Acesso em 09 Ago. 2016
WATKINGS, Steve; CALDER, Alan ITGovernance A Managers Guide to Data

Security and BS 7799/ISO 17799 2012
SALES, Mizael ISO 27000 2010

Disponvel em: <http://mizaelsales.blogspot.com.br/2010/04/iso-27000.html> Acesso
em 13 Ago. 2016
PCI - Security Standards Council:2013.
Disponvel em: https://pt.pcisecuritystandards.org/minisite/en/. Acesso em 14 Ago.
2016
Mead, N. SQUARE Process

Disponvel em: <https://buildsecurityin.us-cert.gov/articles/best-
practices/requirements-engineering/square-process>. Acesso em 14 Ago. 2016
DANTAS, Marcos Leal SEGURANA DA INFRMAO: UMA ABORDAGEM

FOCADA EM GESTO DE RISCOS. Olinda: Livro Rpido, 2011.
IBGE - INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATSTICA - Classificao

Nacional de Atividades Econmicas 2016
MARCONI, Marina de Andrade; LAKATOS, Eva Maria. Fundamentos de

metodologia cientfica. 5. ed. So Paulo: Atlas, 2003
ITU - INTERNATIONAL COMMUNICATIONS UNION 2008

Disponvel em: <http://www.itu.int/en/Pages/default.aspx> Acesso em 16 Nov. 2016
CAMBIUCCI, Waldemir A arquitetura corporativa e o papel do arquiteto de TI 2010

Disponvel em: <https://msdn.microsoft.com/pt-br/library/gg490650.aspx> Acesso em
18 Nov. 2016

Melhores Práticas para Segurança Da Informação No Âmbito Das Atividades de Negócios

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Melhores Práticas para Segurança Da Informação No Âmbito Das Atividades de Negócios

Enviado por

Direitos autorais:

Formatos disponíveis

FIAP - FACULDADE DE INFORMTICA E ADMINISTRAO PAULISTA

GESTO DE SEGURANA DA INFORMAO

MELHORES PRTICAS PARA SEGURANA DA INFORMAO NO MBITO

Carlos Fernando Mendes

Orientador: Prof. Msc. Marcelo Lau

Este trabalho visa identificar as atividades de negcios com maiores tendncias a

Palavras-chave: Segurana da Informao, Setores Crticos, Melhores Prticas

Keywords: Information Security, Key Issues, Best Practices

2. VISO DE NEGCIOS E SUAS ATIVIDADES ................................................... 5

2.2 SETORES CRTICOS ........................................................................................................................ 9

2.3 CLASSIFICAO DOS RISCOS DE NEGCIOS ...................................................................... 11

3. SEGURANA DA INFORMAO ..................................................................... 14

3.2 O SURGIMENTO DA SEGURANA DA INFORMAO ......................................................... 14

3.3 O SURGIMENTO DAS NORMAS DE SEGURANA ................................................................. 15

3.4 NORMAS EXISTENTES .................................................................................................................. 16

3.5 SEGURANA CIBERNTICA........................................................................................................ 19

4. CONSIDERAES INICIAIS PARA BOAS PRTICAS ................................... 20

4.2 LEVANTAMENTO DE REQUISITOS ............................................................................................ 22

4.3 SETORES CRTICOS E SUAS REGULAMENTAES ........................................................... 23

4.4 SETORES CRTICOS E SEUS CONTROLES ............................................................................. 25

5. MELHORES PRTICAS PARA SEGURANA DA INFORMAO ................. 27

5.2 BOAS PRTICAS BASEADAS EM CONTROLES, METODOLOGIAS E SOLUES

6. APLICANDO AS MELHORES PRTICAS ........................................................ 38

6.2 CONSIDERAES PARA IMPLEMENTAO DO SGSI ........................................................ 39

6.3 PlANEJAMENTO DA GESTO DE RISCOS .............................................................................. 40

6.4 CERTIFICAO DA ISO 27001 .................................................................................................... 41

A prtica de Segurana da Informao SI, no meio corporativo, surge como

A famlia ISO 27000 possui 30 normas publicadas5 relacionadas segurana

Esta pesquisa tem como principal objetivo, destacar os setores de atividades

De acordo com Marconi e Lakatos (2003), a pesquisa documental utilizada

A pesquisa foi organizada em torno de cinco tpicos. O primeiro item constitui

2. VISO DE NEGCIOS E SUAS ATIVIDADES

2.1 O SIGNIFICADO DE NEGCIO E SUAS ATIVIDADES

A palavra Negcio tem o significado em latim (aquilo que no lazer). Negcio

O mbito de atuao de um negcio, tambm conhecido como ramo de

Segundo o SEBRAE8, os principais grupos de atividades de negcios

Atividades Industriais So aquelas que transformam a matria prima,

Indstrias de bens de produo Transforma a matria-prima bruta em

Indstria de bens intermedirio So as indstrias que produzem mquinas

Indstria de bens de consumo Esto diretamente direcionadas ao

Atividades Comerciais segundo ALTINI (2013), So atividades econmicas

8 SEBRAE - Servio Brasileiro de Apoio s Micro e Pequenas Empresas

Comrcio Atacadista o tipo de atividade que abastece o comrcio

Atividades de Prestao de Servios So o tipo de atividades que no resultam

possvel identificar todos os ramos de atividades empresariais atravs da

Dentre as atividades que esto relacionadas na resoluo mencionada acima,

9 Resoluo Publicada no Dirio Oficial da Unio de 31 de maio de 2012, n105, sesso1,

Dentre as regies identificadas com maiores ndices a crimes econmicos,

Figura 2 Setores mais propensos a crimes econmicos no mundo em 2016

2.2 SETORES CRTICOS

De acordo com a estatstica apresentada no item anterior, onde segundo a

Conforme estatstica da PWC, os setores com maiores ndices de incidentes

ATIVIDADES DO GRUPO 641 - BANCO CENTRAL

Tabela 1, Parte 1 - Identificao das atividades para os setores com maiores

ATIVIDADES DO GRUPO 471 - COMRCIO VAREJISTA NO-ESPECIALIZADO

ATIVIDADES DO GRUPO 472 - COMRCIO VAREJISTA DE PRODUTOS ALIMENTCIOS, BEBIDAS E FUMO

ATIVIDADES DO GRUPO 464 - COMRCIO ATACADISTA DE PRODUTOS DE CONSUMO NO-ALIMENTAR

Tabela 1, Parte 2 - Identificao das atividades para os setores com maiores

Fonte Prpria, baseado em (IBGE, 2016) e (PWC,2016)

2.3 CLASSIFICAO DOS RISCOS DE NEGCIOS

Para os principais grupos de atividades mencionados no tem anterior, vale

Segundo a ISO 31000:200913, todas as atividades de uma organizao

Fatores Internos So acontecimentos que so principiados dentro da prpria