Gestão de Segurança da

Informação: O que é, O que faz,

Processos

Gestão de Segurança da Informação é um processo administrativo

voltada para o gerenciamento de segurança da informação numa
organização, trata-se de um conjunto de políticas e procedimentos para
gerir sistematicamente os dados e informações sensíveis de uma
organização, por meio de planejamento, organização, direção e controle
das melhores práticas de segurança, visando a confidencialidade,
integridade e disponibilidade da informação.

Refere- se ao processo de determinar, orientar e monitorar o caminho a

ser seguido, no que se refere a segurança da informação, para o
atingimento de objetivos e metas.

Por José Sérgio Marcondes.

Postado 20/10/2020

Índice do Conteúdo
1. O que é Gestão de Segurança da Informação?
2. Definições sobre Gestão de Segurança da Informação?
3. Objetivos da Gestão de Segurança da Informação
4. Importância da Gestão da Segurança da Informação
5. Funções (Processos) da Gestão da Segurança da Informação
6. Premissas da Gestão da Segurança da Informação
7. O que é Sistema de Gestão da Segurança da Informação?
8. Gestor de Segurança da Informação (Information Security Officer)
9. Conselho de Segurança da Informação
10. Plano Diretor de Segurança da Informação
11. Participação do Leitor
12. Indicação de Artigos Complementares
13. Dados para Citação em Trabalhos
14. Referencias Bibliográficas

Voltar para o Índice

1. O que é Gestão de Segurança da
Informação?
O conceito de Gestão de Segurança da Informação pode ser definido
como um processo administrativo voltada para o gerenciamento de
segurança da informação numa organização. Trata-se de um conjunto
de políticas e procedimentos para gerir sistematicamente os dados e
informações sensíveis de uma organização, por meio de planejamento,
organização, direção e controle das melhoras práticas de segurança.
Visa articular ações de longo prazo com o médio e curto prazo,
convertendo objetivos estratégicos em ações cotidianas da
organização.

O conceito de segurança da informação se refere à proteção de um

determinado conjunto de dados para preservar o valor que ele possui,
seja para um indivíduo, seja para uma organização. Nesse sentido, a
gestão é a prática de adoção de estratégias, métodos, ações e
ferramentas para alcançar esse objetivo.
A gestão de segurança da informação deve ser feita com visão
estratégica para que esteja alinhada ao planejamento estratégico de
negócios da organização e para que sirva de apoio para este.

Voltar para o Índice

2. Definições sobre Gestão de
Segurança da Informação?
A definição de Gestão de Segurança da Informação poder ser
compreendida como um sistema de gestão corporativo voltado para a
Segurança da Informação da organização que inclui toda as medidas
necessárias e usadas para proteger a informação sensível.

De acordo com o dicionário Houaiss da língua portuguesa (HOUAISS;

VILLAR, 2001), gestão é o ato ou efeito de gerir, ou seja, exercer
gerência sobre alguma coisa, administrar, dirigir, cuidar, executar e/ou
praticar.
Barbará et al. (2008) definem gestão como um conjunto de atividades
coordenadas para dirigir e controlar um grupo de pessoas e instalações
com responsabilidade, autoridade e relações definidas.

Segurança da Informação, por sua vez, são as medidas administrativas,

tecnológicas e físicas adotadas com o intuito de preservar a
confidencialidade, a integridade e a disponibilidade da informação
considerada importante para uma organização.

A segurança da informação envolve a aplicação conjunta da segurança

física e do ambiente, da segurança da tecnológica da informação e da
segurança em pessoas, com foco no gerenciamento de riscos inerentes
aos negócios.

Voltar para o Índice

3. Objetivos da Gestão de Segurança da
Informação
Fazem parte dos objetivos da gestão de segurança da informação:

 Identificar, analisar e avaliar os riscos relacionados a

informação;

 Planejar e implementar medidas de mitigação e controle dos

riscos avaliados;

 Estabelecer e divulgar a Política e Procedimentos de

Segurança;

 Divulgar, conscientizar e motivar as boas práticas de

segruança;

 Monitorar e avaliar as medidas de segurança implementadas;

  Propor medidas corretivas ou preventivas.

 Propiciar as condições adequadas para existência da

confidencialidade, integridade e disponibilidade da
informação.

Voltar para o Índice

4. Importância da Gestão da Segurança
da Informação
Em primeiro lugar podemos citar a redução dos riscos aos quais a
organização pode estar exposta.

A gestão em segurança da informação implica na adoção de práticas

mais robustas de proteção a informação sensível, o que traz diversos
benefícios a organização.

Nesse sentido, ela promove ainda um alinhamento e entrosamento da

área de TI com as outras áreas da organização e com às estratégias de
negócios da empresa.

Com mais segurança para operar no mercado, é possível estabelecer

parcerias comerciais ainda mais saudáveis para atingir os objetivos
estratégicos da organização.

Atualmente, cada vez mais as organizações e pessoas físicas, buscam

fazer negócios apenas com empresas que garantem a integridade dos
dados compartilhados. A Lei Geral de Proteção de Dados
(LGPD) aplicada no Brasil é um reflexo disso.

Voltar para o Índice

5. Funções (Processos) da Gestão da
Segurança da Informação
De forma simplificada, a gestão da segurança da informação tem a
função gerir o processo de segurança da informação através dos
processos de planeamento, organização, direção e controle das ações
relacionadas a segurança da informação na organização.
a)Planejamento
O planeamento da segurança da informação refere-se ao processo
administrativo de determinar antecipadamente o que deve ser feito e
como fazê-lo.

Visa prever e minimizar os riscos a segurança da informação, por meio

da implementação de ações preventivas, de pronta respostas e de
contingências, face as vulnerabilidades e ameaças existentes.

O planejamento consiste em estudar antecipadamente uma ação ou

atividade, definir os objetivos a serem atingidos, identificar os meios, e
as ações necessárias para o alcance desses objetivos.
b) Organização
A organização da segurança da informação complementa a função de
planejamento, tendo em vista que para atingir os objetivos propostos
será necessário preparar (organizar) uma estrutura interna de segurança
adequada.

Envolvendo a combinação e a coordenação de recursos humanos,

políticas, procedimentos, hardwares, softwares, meio físicos e
financeiros.

A organização serve para agrupar e estruturar todos os recursos

disponíveis para execução das atividades, e agrupar as pessoas para que
estas trabalhem melhor e em equipe.
c) Direção
A direção é a função administrativa voltada conduzir, coordenar e
liderar as pessoas na execução das atividades planejadas e organizadas
para garantia da segurança da informação.
Corresponde ao ato de orientar, coordenar e liderar os trabalhos de
pessoas e equipes, envolve:

Motivação: Desenvolvimento e reforço da vontade das pessoas se

esforçarem por conseguir alcançar os objetivos propostos.

Liderança: Se traduz na capacidade do gestor da segurança da

informação conseguir que os outros façam aquilo que precisa ser feito
para o atingimento dos objetivos e metas propostos.
Comunicação: Refere-se a capacidade de transferência de informações,
ideias, conceitos e práticas.

d) Controle
Controle é o processo de comparação do atual desempenho obtido no
processo de gestão da segurança da informação com valores e metas
previamente estabelecidos pelo comitê de gestão, apontando as
eventuais desvios, assim como, as ações corretivas necessárias.

 O controle tem a função de identificar e corrigir as falhas ou erros em

todo processo (planejamento, organização e direção) e indicar de
correção.

Voltar para o Índice

6. Premissas da Gestão da Segurança da
Informação
De forma geral, a Gestão da Segurança da Informação se fundamentam
em 10 premissas básicas aplicadas em qualquer tipo de organização,
sendo elas:

 Política de Segurança da Informação;

 Segurança Organizacional;

 Classificação e controle dos ativos de informação;

 Segurança em pessoas;

 Segurança Física e Ambiental;

 Gerenciamento das operações e comunicações;

 Controle de Acesso físico;

 Controle de Acesso Lógico;
 Desenvolvimento de Sistemas e Manutenção;

 Gestão da continuidade do negócio e a Conformidade.

Voltar para o Índice

7. O que é Sistema de Gestão da
Segurança da Informação?
Um Sistema de Gestão da Segurança da Informação (SGSI) é um
conjunto de políticas, normas e procedimentos para gerenciar
sistematicamente os dados sensíveis de uma organização.
O objetivo de um SGSI é minimizar os riscos e garantir a continuidade
dos negócios, limitando pro-ativamente o impacto de uma violação de
segurança.

O Sistema de Gestão da Segurança da Informação é uma estrutura de

políticas e controles que gerencia a segurança e os riscos de maneira
sistemática e em toda a empresa, a segurança da informação.
O SGSI é um sistema de gestão utilizado para estabelecer a política e os
objetivos da segurança da informação baseado em uma abordagem de
análise de risco do negócio, com o intuito de definir, planejar,
implementar, operar, monitorar, manter e melhorar a segurança da
informação.

Voltar para o Índice

8. Gestor de Segurança da Informação
(Information Security Officer)
O Gestor da Segurança da Informação, em inglês Information Security
Officer, deverá ser um profissional especializado em segurança da
informação.

Dependendo da área de formação deste profissional ele poderá tender

a ser um “Security Officer Tecnológico”, mais voltado para a aplicação
de tecnologias, ou “Security Officer Estratégico”, mais voltado
às estratégias organizacionais, normatizações e gerenciamento dos
riscos.
Seja qual for a tendência do profissional, é importante que as duas
funções sejam cobertas, tanto a tecnológica quanto a estratégica,
buscando sempre a melhor dosagem de esforços para uma e outra.
O Gestor da Segurança da Informação, deverá, de preferência, se
reportar ao ‘Conselho de Segurança da Informação’, ao ‘Comitê
Executivo’ ou diretamente ao Presidente da organização.
Em muitas empresas o Gestor da Segurança da Informação já aparece
com status de diretoria para que possa apoiar e interagir com a alta
direção da empresa e para que esteja a par das estratégias de negócios,
às quais a segurança da informação deverá estar alinhada e suportando.
O posicionamento do Security Officer na organização é determinante
para que não haja conflito de interesses que possam prejudicar as
determinações e ações ou retardar a implementação das medidas
necessárias à segurança das informações.

8.1 Atribuições do Gestor da Segurança

da Informação
Dentre as atribuições do Gestor da Segurança da Informação, estão:

 Elaborar e aplicar o Sistema de Gestão da Segurança da

Informação;

 Elaborar e aplicar a Política de Segurança da Informação;

 Promover a manutenção da segurança da informação;

 Promover a disseminação da cultura da segurança da

informação;

 Realizar, ou acompanhar, análises de riscos e avaliações de

impactos;

 Definir as medidas de segurança a serem implementadas;

 Gerenciar as medidas de segurança implementadas;

 Analisar os incidentes de segurança e manter a Diretoria

informada sobre a ocorrência de incidentes ou ameaças de
segurança;

 Apresentar e justificar o plano de investimentos em

segurança.

Voltar para o Índice

9. Conselho de Segurança da
Informação
O Conselho de Segurança da Informação é um grupo de trabalho
formado por especialistas de diversas áreas da organização, com a
atribuição de deliberar e zelar pela segurança da informação na
organização.

O Conselho de Segurança da Informação, caso seja constituído, deverá

ser composto por um representante de cada processo de negócio ou
área da organização e ainda por representantes da:

 Tecnologia da Informação;

 Segurança Patrimonial;

 Recursos Humanos;

 Jurídico;

 da Diretoria ou Conselho Executivo.

9.1 Atribuições do Conselho de

Segurança da Informação
 Apoiar e participar da elaboração do Sistema de Gestão da
Segurança da Informação;

 Participar da elaboração e homologação da Política de

Segurança da informação;

 Apoiar a manutenção da segurança da informação;

 Apoiar a disseminação da cultura da segurança da informação;

 Desenvolver e aprovar as medidas de segurança a serem

implementadas;

 Apoiar a elaboração do Plano de Continuidade dos Negócios;

 Aprovar o Plano de Continuidade dos Negócios;
  Participar e aprovar as análises de riscos e avaliações de
impactos;

 Garantir os recursos necessários à manutenção da segurança

da informação.

Voltar para o Índice

10. Plano Diretor de Segurança da
Informação
O Plano Diretor de Segurança da Informação é o mecanismo
administrativo que visa orientar as ações, estratégias e investimentos
na segurança da informação na organização, com objetivos de longo
prazo, tomando por base os objetivos estratégicos da organização, as
vulnerabilidades e as ameaças do ambiente de atuação.

O Plano Diretor de Segurança da Informação deverá direcionar as ações

de segurança da informação e mantê-las alinhadas ao planejamento
estratégico da empresa. Este plano deverá descrever:
 Missão e visão da área de segurança da informação;

 Estrutura departamental e relacionamento

interdepartamental e com entidades externas;

 Definição de estratégias para segurança da informação;

 Planejamento de aplicação da Política de Segurança da

Informação;

 Planejamento de implementações técnicas;

 Planejamento financeiro;

 Planejamento de treinamentos;

 Fatores críticos de sucesso e provisão de recursos;

 Modelo de atuação e gestão da segurança da informação –

SGSI;

 Definição de responsabilidades;
  Aderência as normas de segurança adotadas pela empresa;

 Estudo de impacto e adequação aos dispositivos e decretos

legais e resoluções ou regulamentações setoriais;

 Gerenciamento da segurança da informação com apuração de

resultados.

Voltar para o Índice

11. Você Gostou? Sem sim, colabore
com o crescimento do Blog
Para continuar publicando e disponibilizando os artigos de forma
gratuita a todos, solicito a você leitor ou leitora, que ajude na
divulgação e crescimento do blog, fazendo pelo menos uma das práticas
a seguir:

Deixe seu comentário no final do artigo, ele é muito importante para

nós;

Inscreve-se na nossa Newsletter para receber avisos diretos no seu e-

mail quando houver novas publicações de artigos.

Obrigado pelo tempo disponibilizado na leitura de nosso artigo, espero

que tenha sido útil pra você!

Forte abraço e sucesso!

José Sérgio Marcondes

Voltar para o Índice

12. Indicação de Artigos
Complementares
Sugiro a leitura dos artigos a seguir como forma de complementar o
aprendizado desse artigo.

Segurança da Informação: O que é? O que Faz? Conceitos e Definições

Informação Empresarial/ Organizacional: Definições e Conceitos
Gestão da Informação (G.I.): O que é? Objetivo e Importância
Gestão do Conhecimento Nas Organizações: O que é? Conceitos
Cibersegurança: Segurança Cibernética. Principais Ameaças ao
Ciberespaço
Lei Geral de Proteção de Dados Pessoais (LGPD)
Segurança Física e do Ambiente aplicada a Segurança da Informação
Tecnologia da Informação (TI): O que é? O que faz? Importância

Voltar para o Índice

13. Dados para Citação em Trabalhos
MARCONDES, José Sérgio (20 de outubro de 2020). Gestão de
Segurança da Informação: O que é, O que faz, Processos. Disponível em
Blog Gestão de Segurança Privada: – Acessado em (inserir data do
acesso).