Escolar Documentos
Profissional Documentos
Cultura Documentos
Roteiro de
Estudos
Autor: Cynthia da Silva Barbosa
Introdução
Cara(o) estudante, nesta disciplina, veremos como se dá o planejamento e a implementação de
um Sistema de Gestão de Segurança da Informação (SGSI), utilizando como suporte a norma NBR
ISO/IEC 27001. Além disso, estudaremos: a de nição do escopo de um SGSi; a identi cação e a
determinação dos valores dos ativos de sua informação; e a identi cação dos seus Riscos e
Controles.
Ao nal desta disciplina, você será capaz de responder às seguintes perguntas: como gerenciar e
controlar os serviços de TI relacionados à segurança da informação? como elaborar a análise de
riscos e políticas de Segurança da Informação? como elaborar e implementar Planos de Gestão de
Crise e Recuperação de Desastres?
Para que você consiga responder esses e outros questionamentos sobre os Sistemas de Gestão
de Segurança da Informação, neste roteiro, vamos conhecer mais sobre o SGSI e os conteúdos
pertinentes a este tema.
Bons estudos!
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 1/12
04/11/2020 Roteiro de Estudos
Segurança da Informação
Com a utilização intensiva da tecnologia da informação e de comunicação, as pessoas e empresas
precisam conservar as informações que são usadas, modi cadas e disseminadas em segurança.
Neste roteiro, será apresentado o conceito de segurança da informação, bem como suas
características.
A con abilidade garante que somente pessoas autorizadas tenham acesso aos dados e às
informações; por exemplo, somente os gerentes têm acesso a informações sigilosas sobre o
negócio da empresa. A integridade garante que os dados de hardware e software não sejam
modi cados por pessoas não autorizadas e que as informações sejam consistentes; assim, o
backup garante a segurança dos dados produzidos diariamente. Já a disponibilidade deve garantir
que os dados e as informações estejam disponíveis para serem acessados quando solicitados.
Imagine que você, ao chegar na empresa, descubra que seu computador foi invadido por um
hacker, que terá acesso a um grande número de informações sigilosas da empresa. Isso pode
acarretar o fechamento da empresa, uma vez que a perda dessas informações impactam
diretamente os negócios da empresa.
1. conteúdo do item 1: Eu mi bibendum neque egestas congue quisque egestas diam in.
2. conteúdo do item 2: Eu mi bibendum neque egestas congue quisque egestas diam in.
3. conteúdo do item 3: Eu mi bibendum neque egestas congue quisque egestas diam in.
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 2/12
04/11/2020 Roteiro de Estudos
ARTIGO
ACESSAR
Gestão de Riscos
Você sabe o que é um risco? Os riscos são ameaças ou vulnerabilidades internas ou externas que
geram incertezas nos negócios de uma empresa.
Segundo a NBR ISO/IEC 27001 (2006), uma ameaça é um agente ou uma condição que gera um
incidente na segurança da informação, como programas maliciosos (vírus), por exemplo. Já a
vulnerabilidade são as possíveis falhas que possam acontecer nessas informações, no hardware
ou no software e nas pessoas que utilizam esses sistemas, gerando fragilidades neles, como um
sistema de antivírus desatualizado.
Para evitar essas incertezas, as empresas devem saber gerenciar os riscos, para evitar prejuízos ao
seu negócio. Além disso, quando os riscos são identi cados e analisados, permitem o
planejamento de respostas (PMI, 2013).
A gestão de riscos é formada por atividades coordenadas que direcionam e controlam uma
empresa em relação aos riscos (NBR ISO/IEC 27001, 2006).
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 3/12
04/11/2020 Roteiro de Estudos
De nir os objetivos: escolher o que será gerenciado, como os custos dos processos ou as
vulnerabilidades do sistema, por exemplo.
Identi cação dos riscos: mapear e examinar as atividades da empresa, identi cando falhas
que ocorreram em um determinado período.
Análise dos riscos: avaliar quais são as ameaças em potenciais da empresa e o nível de
impacto de cada risco.
Planejamento do tratamento de risco: eliminar o risco, reduzir o risco (realizar o backup dos
dados, por exemplo), imobilizar o risco (apenas observar o risco) e transferir o risco; ou seja,
contratar uma empresa terceirizada para ser responsável pelo gerenciamento de riscos.
Implantação do controle de risco: aplicar o que foi planejado, para evitar os riscos em uma
empresa. Para isso, as pessoas envolvidas devem estar empenhadas para o sucesso dessa
atividade.
Avaliação e revisão dos riscos: avaliar e revisar os riscos de nidos continuamente.
Para isso, é necessário que a empresa adote uma política de gestão de riscos, de nindo níveis de
acesso às informações da empresa, orientando os funcionários quanto a importância de seguir as
regras estabelecidas e utilizar ferramentas para proteção a ataques externos, como antivírus,
rewalls, dentre outros, mantendo-os sempre atualizados.
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 4/12
04/11/2020 Roteiro de Estudos
LIVRO
Onde encontrar?
Biblioteca Virtual da Laureate.
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 5/12
04/11/2020 Roteiro de Estudos
LIVRO
ACESSAR
A norma NBR ISO/IEC 27001 segue o modelo PDCA (Plan-Do-Check-Act), que estrutura os processos
do SGSI, conforme apresentado na Figura 2, (ABNT, 2006).
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 6/12
04/11/2020 Roteiro de Estudos
1. conteúdo do item 1: Eu mi bibendum neque egestas congue quisque egestas diam in.
2. conteúdo do item 2: Eu mi bibendum neque egestas congue quisque egestas diam in.
3. conteúdo do item 3: Eu mi bibendum neque egestas congue quisque egestas diam in.
A norma NBR ISO/IEC 27001 garante que todos os requisitos de segurança da informação sejam
implementados, além de auxiliar na de nição e na organização dos processos internos da
empresa.
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 7/12
04/11/2020 Roteiro de Estudos
ARTIGO
ACESSAR
As etapas de planejamento e implantação do SGSI, de acordo com a norma NBR ISO/IEC 27001,
serão descritas nos tópicos a seguir.
Estabelecer o SGSI
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 8/12
04/11/2020 Roteiro de Estudos
Esta etapa consiste em de nir as estratégias que a empresa usará, de acordo com a sua política e
seus objetivos.
a) de nir o escopo e os limites do SGSI: quem serão as pessoas e quais os setores e os processos
da empresa que serão bene ciados com a implantação do SGSI;
d) selecionar objetivos de controle e controles para o tratamento de riscos: nesta etapa, são
selecionados os objetivos de controle, de acordo com a política da empresa, a estrutura da
segurança da informação, quem são as partes externas, dentre outros;
Implementação do SGSI
Esta etapa consiste na implantação da política, dos procedimentos e dos controles de segurança.
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 9/12
04/11/2020 Roteiro de Estudos
d) Decidir como medir a e cácia dos controles ou grupos de controles selecionados e apontar
como essas medidas serão usadas na avaliação da e cácia dos controles, com o objetivo de gerar
resultados comparáveis e reproduzíveis;
f) analisar, de forma crítica, o SGSI, de acordo com a gestão da empresa, e identi car melhorias
nos processos do SGSI;
Os requisitos são:
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 10/12
04/11/2020 Roteiro de Estudos
Para que um SGSI seja planejado e implantado com sucesso em uma empresa, é necessário seguir
as etapas descritas no contexto do negócio da empresa, e dos riscos que possam ocorrer. Os
gestores da empresa devem estar engajados e dar o suporte necessário ao processo de
implantação.
Conclusão
Ao longo deste roteiro, foi apresentada a importância do Sistema de Gestão de Segurança da
Informação, utilizando como suporte a norma NBR ISO/IEC 27001.
A norma NBR ISO/IEC 27001 auxilia as empresas a implantarem sistemas de gestão de segurança
da informação para reduzir riscos inerentes aos negócios da empresa. Além disso, a norma NBR
ISO/IEC 27001 segue o modelo PDCA (Plan-Do-Check-Act), que estrutura os processos do SGSI.
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 11/12
04/11/2020 Roteiro de Estudos
AMERICANO, T. Pessoas são maior desa o à segurança da informação nas empresas. Olhar
Digital, 2011. Disponível em: https://bit.ly/36pYsta Acesso em: 21 set. 2020.
CISCO. Defenda-se contra as maiores ameaças dos dias de hoje. São Francisco: CISCO, 2019.
Disponível em: < https://www.cisco.com/c/dam/global/pt_br/solutions/pdfs/cybersecurityseries-
threat.pdf?CCID=cc000160&DTID=oemzzz000233&OID=rptsc015744>. Acesso em: 19 out. 2019.
GUIA de Boas Práticas para Planos de Continuidade de Negócios. Abrapp, 2012. Disponível em:
http://www.abrapp.org.br/GuiasManuais/guia_continuidade_negocios.pdf. Acesso em: 19 out.
2019.
PMI. A guide to the project manegement body of knowledge (PMBOK guides). Filadél a:
Project Management Institute, 2013.
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 12/12