IMPLEMENTAÇÃO DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO EM

PEQUENAS EMPRESAS1
Luiz Henrique Ferreira

Resumo: Este artigo apresenta o processo de implantação de uma política de segurança em

tecnologia da informação em uma empresa de pequeno porte. A metodologia é baseada em
padrões e normas de segurança da informação, que serviram como norte para elaboração do
estudo. A política de segurança da informação criada nesse artigo foi aplicada em um roteiro
de observação envolvendo a empresa ContabilXY, uma empresa do ramo de contabilidade
situada em Florianópolis (SC), onde a garantia da confidencialidade e a integridade dos dados
de seus clientes são primordiais para funcionamento do negócio. A forma descrita com que o
artigo foi desenvolvido pode ser utilizado na aplicação em outras empresas do mesmo porte.

Palavras-chave: Segurança da Informação, Normas, Políticas de Segurança da Informação

1 INTRODUÇÃO.

Conforme indica o IDC Brasil, com o aumento nas vendas de computadores ele tem
se tornado comum nas empresas e as informações contidas neles estão sendo cada vez mais
necessárias e importantes para a gerencia do negócio, o planejamento das ações, o controle e a
operacionalização das tarefas, sejam informações hospedadas localmente, remotas ou
compartilhadas de algum parceiro, através de um simples arquivo ou de um poderoso banco de
dados. Conforme cita a WIKIPÉDIA “a segurança da informação está diretamente relacionada
com proteção de um conjunto de informações, no sentido de preservar o valor que possuem
para um indivíduo ou uma organização. São propriedades básicas da segurança da informação:
confidencialidade, integridade, disponibilidade, autenticidade e legalidade”. Esses são os
princípios básicos para a segurança da informação que se tornou um assunto constantemente
discutido devido à grande importância dessas informações para as empresas e que segundo o

1
Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gerencia de Projetos de
Tecnologia da Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do
título de Especialista em Gerente de Projetos de Tecnologia da Informação.
blog LUMIUN em 2018 foi marcado por diversos acontecimentos em relação a segurança da
informação.

Conforme cita o site da STEFANINI “investir em segurança da informação é

primordial para o sucesso da sua empresa analise das informações”. Sabe-se que empresas de
pequeno porte muitas vezes não provem de muitos recursos, tanto de equipamentos, quanto de
pessoal capacitado, falta de conhecimento e muitas vezes recursos financeiros, que se acredita
seja o principal motivo de muitas empresas estarem desprovidas de segurança em tecnologia da
informação.

Algumas empresas não possuem ideia do que seja segurança em TI, pois
começaram seus trabalhos de qualquer forma, através de um computador que veio de casa ou
mesmo que o amigo do conhecido do dono acabou instalando os sistemas, ou talvez possa ter
sido instalado quando precisaram de um sistema de gestão, de controle de ponto ou outro tipo
de sistema e o fornecedor que foi contratado sugeriu um mínimo de recursos. Aí, para o dono
da empresa que não possui conhecimentos em segurança em TI, pensa que está tudo correto, e
que não necessita procurar pessoas ou empresas qualificadas e capacitadas para auxiliar com os
processos, com isso acabam instalando de qualquer forma e só se preocupam com os problemas
que podem ser gerados depois de algum incidente ocorrido.

Apesar de que empresas de pequeno porte não demonstram interesse em

implementar segurança em TI, conforme cita o site da ENDEAVOR “segurança da informação
deve ser a prioridade zero”.

Pode-se deixar o ambiente de TI dessas empresas seguro utilizando poucos

recursos, treinando colaboradores a ter uma noção de segurança e conscientizando sobre como
fazer a utilização dos recursos disponíveis de forma correta, através da criação de política de
segurança em TI. Para criar essa política se faz necessário a utilização de normas de institutos
nacionais e internacionais e inserir as boas práticas da segurança em TI que já são de
conhecimento do mercado atualmente.

O objetivo geral desse trabalho é implantar uma política de segurança em TI em

uma pequena empresa em que se passou a fazer consultoria em TI, para atender suas
necessidades e em acordo com algumas limitações que possui. Através desse objetivo se faz
necessário efetuar análise da infraestrutura e segurança em TI existentes, analisar o ambiente
da empresa em relação a conscientização e utilização do ambiente computacional, definir quais
possíveis correções e documentar as medidas que devem ser tomadas para essas correções.

Esse trabalho foi desenvolvido através de uma pesquisa aplicada, pois foi procurado
responder questões especificas, tendo como objetivo buscar resultados e soluções concretas,
também foram utilizadas as pesquisas teóricas e empíricas, através de normas estudadas e
difundidas em todo o mundo e também das boas práticas já publicadas. Além da coleta de dados
através do roteiro de observação na empresa a qual se dará o nome de ContábilXY, que segundo
o critério adotado pelo Serviço Brasileiro de Apoio às Micros e Pequenas Empresa (SEBRAE)
a empresa possui 20 funcionários com isso se enquadra como uma empresa de pequeno porte
que está situada em Florianópolis (SC). Com o resultado desse trabalho se montará o processo
de implantação de Segurança em TI.

Nesse artigo segue com a seção 2 com o entendimento das normas e conceitos em
segurança de TI, na seção 3 as conclusões decorrente dos estudos e análises e na sessão 4 as
referências utilizadas.

2 ENTENDIMENTO DAS NORMAS E CONCEITOS EM SEGURANÇA DE TI.

Conforme cita o blog LUMIUN Existe uma crescente preocupação e que a cada dia
se torna mais importante nas empresas que é o aumento no número de casos de roubos de dados
e ataques a infraestrutura de TI e também garantir que as informações das empresas sejam
confiáveis, estejam integras e disponíveis e conforme cita NAKAMURA (2007, p31) que “a
confiabilidade, integridade e disponibilidade dessa estrutura de rede passam a ser essenciais
para o bom andamento das organizações”.

Existem diversos tipos de ferramentas e informações de como fazer, que permitem

que todas as pessoas com conhecimento básico em informática possam realizar ataques e crimes
cibernéticos a todos que estão conectados à Internet, nesses ataques esses “criminosos” podem
invadir um sistema, alterar informações, criptografar dados fazendo o sequestro de
informações, muitas vezes visando lucros financeiros.

Para que as organizações tenham seus sistemas computacionais funcionando de

forma correta, surgiu um processo importante dentro das organizações que é o de criar uma
política de segurança da informação, que é a definição de como irá se prevenir e ao mesmo
tempo criar um processo de recuperação em caso de algum incidente relacionado a segurança
da informação. No processo de criação dessa política é necessário definir diretrizes, normas e
todos os procedimentos necessários para que se proteja todas as informações e garantir a
segurança nos sistemas de informações.

Conforme cita a norma ABNT NBR ISO/IEC:27002 (2013) uma política de

segurança da informação eficaz diminui os riscos e protege das ameaças e vulnerabilidades,
com isso, reduz o impacto em sua estrutura.

Colocar em prática a aplicação de controles é um conceito para atingir a segurança

da informação, conforme cita a ABNT NBR ISO/IEC:27002 (2013) “a segurança da
informação é obtida pela instalação de grupo de controles, contendo políticas, processos,
procedimentos, cultura organizacional e de algumas funções de softwares e hardwares”. Tendo
na norma salientado a necessidade de monitorar, manter e atualizar esses tipos de controles.
“Esses grupos de controles necessitam ser determinados, monitorados, analisados e
melhorados, sempre que necessário, para garantir que os propósitos do negócio e a segurança
da informação sejam cumpridos “ (ABNT NBR ISO/IEC:27002, 2013, item 0.1).

Pode se dizer que na maioria das organizações as informações vitais e estratégicas

estão em seus sistemas de informática, sendo que qualquer acesso não autorizado e mudanças
feitas indevidamente podem causar danos as informações e algumas vezes de forma irreparável,
segundo NETTO (2007) “por isso as organizações dependem da confiabilidade de seus sistemas
de informática, se a confiança nesses sistemas for destruída, o impacto pode ser semelhante a
destruição do sistema”.

Criar uma política de segurança pode ser tornar inviável para pequenas empresas,
porém é um passo que deve ser tomado para administração segura das informações e estas são
base para uma efetiva garantia que os dados estão íntegros. Segundo OLIVEIRA (2015), “a
implantação de políticas de segurança da informação é primordial para a criação de um Sistema
de Gestão de Segurança da Informação (SGSI) ”.

Baseado na norma ABNT NBR ISO/IEC:27001, que sugere a existência de

políticas de segurança da informação, “convém que um conjunto de políticas de segurança da
informação seja definido, que seja aprovado pela direção e comunicado para todos os
funcionários e partes externas interessadas” (ABNT NBR ISO/IEC 27002, 2013, item 5.1.1).

Para a elaboração de uma política de segurança da informação é necessário o

comprometimento da direção da empresa, conjuntamente é necessário a criação de um comitê
de segurança da informação com o objetivo de elaborar e manter essa política atualizada e com
melhora continua. Segundo MONTEIRO (2009) “é recomendado para sua elaboração, ter
profissionais de diversos departamentos ou setores da organização, formando um Comitê de
Segurança da Informação, com a finalidade de conceber o documento da política”.

A norma ABNT NBR ISO/IEC:27001 (2013) tem como propósito “prover um

modelo para criar, implementar, operar, monitorar, analisar, manter e melhorar um Sistema de
Gestão de Segurança da Informação”. Para isso ela utiliza o modelo PDCA (Plan-Do-Check-
Act) conforme mostrado na figura 1, esse modelo visa garantir uma melhoria continua do
Sistema de Gestão de Segurança da Informação.

Figura 1: – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da

Informação

Fonte: ABNT, 2006, p. v.

Fazendo o uso das normas e conceitos de segurança de TI, salienta-se que a

utilização do clico PDCA promove um aprendizado continuo dos processos e a sua melhoria
continua ocorre quanto mais ciclos forem executados. Mais conhecimento dos processos se
obtém maior maturidade no ciclo do processo.

2.1 DESENVOLVENDO O PROCESSO DE CRIAÇÃO DA POLITICA DE

SEGURANÇA.

A partir das normas apresentadas será possível montar um plano de ação para
criação do modelo que poderá ser implantando, sendo necessária a definição dos passos que são
sugeridos:

1 – Definição do Escopo;

2 – Classificação da Informação
 3 – Análise de Riscos;

4 – Definição de Controles

5 – Criação da Política de Segurança;

6 – Elaboração de Documentos Auxiliares;

7 – Treinamento dos Usuários.

2.1.1 Definição do Escopo

Conforme cita o PMBOK, o escopo é “o trabalho que precisa ser realizado para
entregar um produto, serviço ou resultado com as características e funções especificadas” e
Segundo DEBASTIANI diz que “sem uma definição precisa e abrangente do escopo de
funcionalidades, corre-se o risco de produzir um resultado deficiente ou incompleto para o
projeto, frustrando as expectativas de seus patrocinadores, usuários e até mesmo de toda a
corporação”. Na definição de escopo, para iniciar definiu-se juntamente com a Diretoria em
quais ambientes da empresa serão executados os trabalhos e foi definido e executado no setor
administrativo/financeiro onde se encontra grande parte dos equipamentos, sendo servidores,
estações de trabalho e periféricos. As demais áreas da empresa são denominadas setor contábil,
fiscal, pessoal e atendimento.

2.1.2 Classificação da Informação

De acordo com a ABNT NBR ISO/IEC:27002 (2013) “convém que a classificação

e os controles de proteção, associados para a informação, leve em consideração as necessidades
do negócio para compartilhar ou restringir a informação bem como os requisitos legais. Convém
que outros ativos além dos ativos de informação também sejam classificados de acordo com a
classificação da informação armazenada, processada, manuseada ou protegida pelo ativo”. Na
classificação da informação, foi necessário identificar qual informação possui maior
importância para a empresa, para que na política de segurança, essa informação seja tratada de
forma mais segura, sem que seja divulgada sem autorização de responsáveis ou que não esteja
disponível quando necessária. Para isso juntamente com a Diretoria da empresa definiu os
níveis de classificação, sugeriu-se e foram classificados em três níveis, Confidencial, Interno e
Público.
 - Confidencial: informações que somente a empresa tem acesso e somente
pessoas com autorização possuem acesso, caso algumas dessas informações for
repassada sem autorização, é possível que ocorrer perdas financeiras, perda de
clientes e até encerramento o funcionamento da empresa;

- Interno: informações que somente os funcionários na empresa possuem acesso,

caso haja divulgação externa não causará danos consideráveis a empresa;

- Público: informações que podem ser divulgadas para todos, esse tipo de
informação não compromete em nada a empresa.

2.1.3 Análise de Risco

Na análise de risco após classificar as informações foi necessário identificar quais

ameaças e problemas as informações estariam sujeitas, um método simples e de fácil
entendimento é o qualitativo para análise de riscos, aonde foram definidas as ameaças e as
consequências, com isso se tornou possível avaliar os riscos mais baixos e mais altos e também
a probabilidade de ocorrência, e que pôde indicar a frequência que isso ocorre, também foi
possível definir o grau de impacto nas informações da empresa. Com isso através de observação
e diálogos chegamos ao entendimento que quando a probabilidade da ameaça é mais rara de
acontecer e consequentemente se torna desprezível aos níveis de problemas acaba sendo um
risco comum, porém quando a probabilidade é quase certa e a consequência do problema é
extrema isso se tornou uma situação intolerável. Na tabela 1 é mostrado os níveis de risco,
probabilidade de ocorrer e as consequências.

Tabela 1 – Matriz qualitativa de riscos

Intolerável Relevante Moderado Aceitável Comum

Matriz Qualitativa Consequência
de Risco Desprezível Margem Médio Critico Extremo
Quase Certo
Probabilidade

Provável
Possível
Pouco Provável
 Raro
Fonte: Autor (2019)

Entretanto, conhecer os riscos não é o bastante, quando os conhecemos, temos por

obrigação gerencia-los o que pode gerar mais trabalho e controle. Por outro lado, muitos destes
problemas e imprevistos podem ser eliminados.

2.1.4 Definição de Controles

Na definição de controles, que foi uma das fases mais cansativas do projeto, pois
foram necessárias inúmeras reuniões com diretoria e responsáveis por cada área, normalmente
os colaboradores entendiam esse tipo de controle como burocracia, muitas vezes pensavam que
a empresa estava duvidando de sua idoneidade, nesse momento foi necessário um trabalho de
conscientização juntos aos colaboradores para explicar e exemplificar os controles e benefícios
de os aplicar. Os controles são extraídos da norma ABNT NBR ISO/IEC 27002 através dos
requisitos da norma ABNT NBR ISO/IEC 27001. Também foram considerados nesse momento
a classificação da informação, análise de risco, custos de implantação de controles e a real
necessidade da empresa.

2.1.5 Criação da Política de Segurança

Na criação da política, a parte da elaboração dos textos não foi fácil, foi colocar de
forma clara e simples para que não houvesse falha na interpretação, equivoco ou lacunas no seu
texto, para que qualquer pessoa conseguisse entender o que o autor queria transmitir, não
deveria haver erros. Para desenvolvimento da política foi levado em conta todas as normas,
bibliográficas, classificação das informações, análise de riscos e definição de controles, pois
isso que norteou todo o texto. Nesse momento foram definidos alguns colaboradores que são
parte do comitê de segurança da informação, juntamente com a Diretoria, para construir,
manter, monitorar, analisar e melhorar essa política. Nessa fase usamos o ciclo PDCA para dar
continuidade na política de segurança. Após a fase melhoria a política de segurança é
comunicada a todos os colaboradores.

2.1.6 – Elaboração de Documentos Auxiliares

Na elaboração de documentos auxiliares, definiu-se que o primeiro documento a

ser disponibilizado foi uma Declaração de Comprometimento, nela fica definido que tanto a
diretoria e os colaboradores irão prezar pela segurança da informação da empresa.
 2.1.7 Treinamento dos usuários

É de ciência que são nas pessoas que se tem início e fim a segurança das empresas,
para isso foi primordial realizar treinamentos e conscientizar colaboradores da importância de
se manter o ambiente da empresa seguro, instruindo de forma clara e mostrando como podem
ocorrer falhas de segurança através de ataques de engenharia social e uso inadequado dos
recursos, sempre mostrando quais os possíveis impactos de simples incidentes que podem se
tornar catastróficos.

3 ANÁLISE DOS DADOS

Buscou-se efetuar durante a realização das visitas de observação e levantamento da

empresa ContabilXY, entre os dias 20/05/2019 e 27/05/2019 entender qual real necessidade
para implantação de uma política de segurança.

A investigação foi desenvolvida por meio de observação e levantamento de

informações através de conversas e troca de informações. Notou-se logo no primeiro momento
que a grande maioria das pessoas ali não tinha a mínima noção do que é segurança, do que é
manter um ambiente computacional seguro, pois mantinham suas senhas de login anotadas em
papeis adesivos sobre os teclados, ou seja faltava conhecimento dos colaboradores sobre como
é manter uma empresa segura no âmbito da TI. Ninguém da empresa também tinha ciência de
qual tipo de informação era realmente importante, qual eram os possíveis problemas que se
teria em caso de falha de um equipamento, em um possível roubo de informação, a quem
recorrer e quais eram os processos de recuperação.

Nessas visitas também foram solicitados algum tipo de documento que existisse
referente a políticas de segurança, documentações de estrutura, de backup, de plano de
continuidade, contato das pessoas responsáveis por cada sistema e as respostas normalmente
foram não temos, nunca fizemos, nunca precisamos, quem tem o contato é o responsável pela
empresa. Tudo sem uma estrutura de documentos criada e atualizada, para que fosse possível
agilizar qualquer contato, suporte, recuperação em caso de incidentes.

Com isso foi sugerido iniciar o processo pelo levantamento da estrutura de TI para
entender o que se tinha ali dentro, conhecer quais os prestadores de serviço dessa empresa e
como são feitos os controles de acessos desses prestadores e por fim montar uma matriz
qualitativas dos riscos e com isso documentar quais as possíveis melhorias possíveis para
implantação de uma política de segurança.
 Nesse momento identificou-se que, como não sabiam o que é realmente importante,
definiu-se que tudo o que se possui de informação tornou-se importante e que mesmo que a
consequência de perder alguma informação ou repassar informações indevidamente fosse
desprezível e a probabilidade rara de acontecer, seria um problema sério. Após um momento
de discussão, chegou-se ao consenso que dentro da matriz de risco utilizaríamos o que fosse
considerado moderado, relevante e intolerável seriam nossas prioridades nesse primeiro
momento. E se iniciou o processo de organização de estrutura por aí, sendo elas elencadas como
principais, regras de backup e restore que não existia e a falta se indicou que como poderia
acontecer um problema a perda de um dado qualquer teria consequências extremas, o controle
de acesso as informações por setor e pessoas, pois uma pessoa que não precisa acessar aquela
informação possui a probabilidade de acesso possivelmente e acaba usando ela de forma errada
possui uma risco médio/critico, controle de acessos externos de parceiros e fornecedores, que
sem esse controle não se sabia o que eles faziam é quase certo de se ter um problema e como
não se tinha controle a consequência pode ser tornar crítica/extrema dependendo da situação.

Observou-se que não possuíam um ambiente confiável, pois todos tinham acesso a
tudo, sem nenhum controle, em questão da integralidade até aquele momento estava integro,
pois “estava funcionando” corretamente, mas não era 100% disponível, ou seja, qualquer falha
em um equipamento simples ou sistema parava-se a empresa, pois não se sabia a quem recorrer
ou o que precisa ser feito para voltar a funcionar.

Como a empresa não possuía controle, foi sugerido inicialmente o levantamento de

todos os dados de fornecedores e parceiros que já prestaram algum tipo de serviço e
documentado quando foi lembrado o que havia acontecido para que aquela empresa tivesse sido
acionada, a partir daí com isso documentado, passou-se a documentar quem eram os atuais
prestadores de serviço e parceiros que precisavam de acesso a estrutura e sugeriu a limitação
do que realmente eles precisam acessar. Também se documentou a estrutura computacional da
empresa para que fosse possível identificar as melhorias possíveis a serem implantadas e efetuar
correções dos problemas existentes.

Em relação aos Diretores e colaboradores da empresa a parte do uso e conhecimento

do que é segurança da informação se tornou o trabalho mais complexo, pois umas das principais
indagações era, “sempre trabalhei sem isso e funcionou”, “nunca tive problema com isso”, “é
mais burocracia pra gente e vai atrasar meu trabalho”, iniciou-se o trabalho de conscientização
que é explicar, que sempre se tem a primeira vez para acontecer um problema, também não é
mais burocracia e sim mais controle, o trabalho continua a ser o mesmo, porém com controle.

4 CONCLUSÕES

Com base no que foi apresentado, a segurança da informação, apesar de ser um

tema recente, faz-se necessário em todas as empresas, mesmo com tanta informação difundida,
ainda se torna complexo seu entendimento e implementação, porém, com o seu uso no dia a dia
acaba se difundindo e sendo mais trabalhado, com isso torna-se mais fácil a compreensão de
que é realmente necessária e sua operacionalização de implantação nas empresas através de
seus processos e acaba se tornando possível, mesmo em pequenas empresas que não possuem
recursos, tanto de equipamentos, quanto de pessoal capacitado, falta de conhecimento e muitas
vezes financeiros.

Sim é possível deixar as pequenas empresas com seu ambiente de TI seguro,

confiável, integro e disponível, através de processos simples de conscientização de
colaboradores e diretores da empresa para utilizarem de forma correta seus equipamentos,
criando políticas de segurança utilizando normas de institutos nacionais e internacionais e as
boas práticas do mercado, muitas vezes é necessário pequenos investimentos pois serão
necessários alguns hardwares e softwares para isso, mas criando um planejamento para colocar
isso em pratica, esse processo é possível.

Observa-se que tantas coisas que segundo as normas e as boas práticas não
poderiam serem feitas e utilizadas, mas realmente não podem, não devem? Se naquela empresa
em si, você chegar a mostrar tudo ao dono do que está certo e errado e ele mesmo assim, falar
que o que está errado segundo as normas, mas para mim está funcionando e correto, ele afirma,
vou manter assim e pronto. O que você vai poder fazer, sugere-se através de sua expertise que
é montar um plano de como exemplificar, detalhar e fazer de tudo para que ele concorde em
mudar para o que norma exemplifica e mostra como correto, mas se mesmo assim ele não
aceitar, o que você irá fazer? Vai de seu bom senso assumir esse cliente ou não, se aceitar é
claro documentando o que está errado e o que está certo, para que em um momento de incidentes
você esteja respaldado que você o alertou que sua estrutura estava errada e mesmo assim em
muitos casos esse dono da empresa quando ocorrer um problema vai virar pra você e dizer a
culpa é sua por não ter alertado e não ter insistido para que ele mudasse de opinião e você não
o fez, como abordado anteriormente é um processo de entendimento complexo porem está
mudando e ficando mais claro.

Mesmo assim esse processo vem se tornando mais amigável e entendível, com custo
de implantação menor e que está abrindo um campo enorme para consultores e empresas
especializadas nessa área a realizar a implantação de segurança em TI em todos os tipos de
empresas, os próprios usuários estão começando a se conscientizar de que esse processo é bom
para o desenvolvimento das suas atividades e que isso tornara o seu dia a dia menos perigoso
em relação a segurança da informação.
REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia

da Informação: Técnicas de Segurança: Sistema de gestão da segurança da Informação:
Requisitos. 2006.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia

da Informação: Técnicas de Segurança: Código de prática para controles de segurança de
informação: 2013.

DEBASTIANI, CARLOS ALBERTO. Definindo Escopo em Projetos de Software.2015.

ENDEAVOR: Sabe o que acontece quando sua empresa não cuida da segurança da informação?
Disponível em: https://endeavor.org.br/tecnologia/seguranca-da-informacao/ acessado em 07
de Julho de 2019

IDC: Mercado de PCs mantém crescimento em 2018, segundo IDC Brasil: Disponível em
http://br.idclatin.com/releases/news.aspx?id=2481 acessado em 07 de Julho de 2019

LUMIUN: Segurança da informação em 2018: fatos relevantes e o aumento dos ataques

virtuais. Disponível em https://www.lumiun.com/blog/seguranca-da-informacao-em-2018-
fatos-relevantes-e-o-aumento-dos-ataques-virtuais/ acessado em 07 de julho de 2019

LUMIUN: Segurança da informação nas empresas: proteção da rede, sistemas atualizados e

educação dos usuários. Disponível em https://www.lumiun.com/blog/seguranca-da-
informacao-nas-empresas-protecao-da-rede-sistemas-atualizados-e-educacao-dos-usuarios/
acessado em 07 de julho de 2019

MONTEIRO, INÁ LUCIA CIPRIANO DE OLIVEIRA. Proposta de um Guia para elaboração

de políticas de segurança da informação e comunicação em órgãos da APF. Dissertação
(Mestrado) - Universidade de Brasília. Brasília-DF, 2009.

NAKAMURA, EMILIO TISSATO. Segurança de Redes em Ambientes Cooperativos. São

Paulo. P31.

NETTO, A. S; SILVEIRA, M. A. P. Gestão da Segurança da Informação: Fatores que

Influenciam sua Adoção em Pequenas e Médias Empresas. Revista de Gestão da Tecnologia e
Sistemas de Informação. Vol. 4, No. 3, p. 375-397, 2007.

OLIVEIRA, M. S. et al. Aplicação das normas ABNT NBR ISO/IEC 27001 e ABNT NBR
ISO/IEC 27002 em uma média empresa. Revista Eletrônica de Sistemas de Informação e Gestão
Tecnológica. Vol. 06, Nr. 02, p. 37-49, 2015.

PMBOK: Um Guia para o corpo de conhecimento de Gerenciamento de Projetos (Guia

PMBOK) - Quarta Edição. Project Management Institute, 2008

SEBRAE: Anuário do Trabalho nos Pequenos Negócios 2016 VF.pdf – Disponível em

https://m.sebrae.com.br/Sebrae/Portal%20Sebrae/Anexos/Anu%C3%A1rio%20do%20Trabal
ho%20nos%20Pequenos%20Neg%C3%B3cios%202016%20VF.pdf acessado em 07 de julho
de 2019

STEFANINI: Investir em segurança da informação é primordial para o sucesso da sua empresa.

Disponível em https://stefanini.com/pt-br/trends/artigos/investir-em-seguranca-da-informacao-
e-primordial-para-sua-empresa acessado em 07 de julho de 2019

WIKIPÉDIA: Segurança da informação. Disponível em

https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o acessado
em 07 de Julho de 2019