04/11/2020 Roteiro de Estudos

SGSI - Sistema de Gestão de Segurança da Informação

Roteiro de
Estudos
Autor: Cynthia da Silva Barbosa

Introdução
Cara(o) estudante, nesta disciplina, veremos como se dá o planejamento e a implementação de
um Sistema de Gestão de Segurança da Informação (SGSI), utilizando como suporte a norma NBR
ISO/IEC 27001. Além disso, estudaremos: a de nição do escopo de um SGSi; a identi cação e a
determinação dos valores dos ativos de sua informação; e a identi cação dos seus Riscos e
Controles.

Ao nal desta disciplina, você será capaz de responder às seguintes perguntas: como gerenciar e
controlar os serviços de TI relacionados à segurança da informação? como elaborar a análise de
riscos e políticas de Segurança da Informação? como elaborar e implementar Planos de Gestão de
Crise e Recuperação de Desastres?

Para que você consiga responder esses e outros questionamentos sobre os Sistemas de Gestão
de Segurança da Informação, neste roteiro, vamos conhecer mais sobre o SGSI e os conteúdos
pertinentes a este tema.

Bons estudos!

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 1/12
04/11/2020 Roteiro de Estudos

Segurança da Informação
Com a utilização intensiva da tecnologia da informação e de comunicação, as pessoas e empresas
precisam conservar as informações que são usadas, modi cadas e disseminadas em segurança.
Neste roteiro, será apresentado o conceito de segurança da informação, bem como suas
características.

A segurança da informação abrange um conjunto de ações que garantem a con abilidade, a

integridade e a disponibilidade das informações de pessoas ou organizações.

A con abilidade garante que somente pessoas autorizadas tenham acesso aos dados e às
informações; por exemplo, somente os gerentes têm acesso a informações sigilosas sobre o
negócio da empresa. A integridade garante que os dados de hardware e software não sejam
modi cados por pessoas não autorizadas e que as informações sejam consistentes; assim, o
backup garante a segurança dos dados produzidos diariamente. Já a disponibilidade deve garantir
que os dados e as informações estejam disponíveis para serem acessados quando solicitados.

A segurança da informação em uma empresa garante a proteção contra invasores externos,

protegem as informações armazenadas virtualmente e controla o acesso de pessoas aos dados
corporativos, além de prevenir o comprometimento interno das informações.

Imagine que você, ao chegar na empresa, descubra que seu computador foi invadido por um
hacker, que terá acesso a um grande número de informações sigilosas da empresa. Isso pode
acarretar o fechamento da empresa, uma vez que a perda dessas informações impactam
diretamente os negócios da empresa.

Os riscos à segurança da informação podem vir por meio de:

1. conteúdo do item 1: Eu mi bibendum neque egestas congue quisque egestas diam in.
2. conteúdo do item 2: Eu mi bibendum neque egestas congue quisque egestas diam in.
3. conteúdo do item 3: Eu mi bibendum neque egestas congue quisque egestas diam in.

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 2/12
04/11/2020 Roteiro de Estudos

ARTIGO

Pessoas são maior desa o à segurança da informação nas empresas

Autor: Tatiana Americano
Ano: 2011
Comentário: As pessoas representam um grande desa o em relação à segurança da informação
de uma empresa. Para saber mais sobre esse assunto, leia o material indicado a seguir.

ACESSAR

Gestão de Riscos
Você sabe o que é um risco? Os riscos são ameaças ou vulnerabilidades internas ou externas que
geram incertezas nos negócios de uma empresa.

Segundo a NBR ISO/IEC 27001 (2006), uma ameaça é um agente ou uma condição que gera um
incidente na segurança da informação, como programas maliciosos (vírus), por exemplo. Já a
vulnerabilidade são as possíveis falhas que possam acontecer nessas informações, no hardware
ou no software e nas pessoas que utilizam esses sistemas, gerando fragilidades neles, como um
sistema de antivírus desatualizado.

Para evitar essas incertezas, as empresas devem saber gerenciar os riscos, para evitar prejuízos ao
seu negócio. Além disso, quando os riscos são identi cados e analisados, permitem o
planejamento de respostas (PMI, 2013).

A gestão de riscos é formada por atividades coordenadas que direcionam e controlam uma
empresa em relação aos riscos (NBR ISO/IEC 27001, 2006).

As atividades de gestão de riscos estão apresentadas na Figura 1:

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 3/12
 04/11/2020 Roteiro de Estudos

Figura 1: Atividades da Gestão de Riscos.

Fonte: Adaptada de Galvão (2015).

De nir os objetivos: escolher o que será gerenciado, como os custos dos processos ou as
vulnerabilidades do sistema, por exemplo.
Identi cação dos riscos: mapear e examinar as atividades da empresa, identi cando falhas
que ocorreram em um determinado período.
Análise dos riscos: avaliar quais são as ameaças em potenciais da empresa e o nível de
impacto de cada risco.
Planejamento do tratamento de risco: eliminar o risco, reduzir o risco (realizar o backup dos
dados, por exemplo), imobilizar o risco (apenas observar o risco) e transferir o risco; ou seja,
contratar uma empresa terceirizada para ser responsável pelo gerenciamento de riscos.
Implantação do controle de risco: aplicar o que foi planejado, para evitar os riscos em uma
empresa. Para isso, as pessoas envolvidas devem estar empenhadas para o sucesso dessa
atividade.
Avaliação e revisão dos riscos: avaliar e revisar os riscos de nidos continuamente.

Para isso, é necessário que a empresa adote uma política de gestão de riscos, de nindo níveis de
acesso às informações da empresa, orientando os funcionários quanto a importância de seguir as
regras estabelecidas e utilizar ferramentas para proteção a ataques externos, como antivírus,
rewalls, dentre outros, mantendo-os sempre atualizados.

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 4/12
04/11/2020 Roteiro de Estudos

LIVRO

Fundamentos em Segurança da Informação

Autor: Michele da Costa Galvão.
Editora: Pearson
Ano: 2015
Comentário: Leia esse livro para conhecer mais sobre as
atividades de gerenciamento de riscos. A gestão de riscos
identi ca as ameaças ou as vulnerabilidades da infraestrutura e
dos sistemas da empresa, além de atuar na prevenção ou
correção dessas ameaças. Indicamos a leitura das páginas 93 à 98.

Onde encontrar?
Biblioteca Virtual da Laureate.

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 5/12
04/11/2020 Roteiro de Estudos

LIVRO

Guia de Boas Práticas para Planos de Continuidade de Negócios

Autor: Comissão Técnica Regional Sudeste de Governança da Abrapp
Editora: Abrapp
Ano: 2012
Comentário: Você sabe o que é o plano de recuperação de desastres? O plano de recuperação de
desastres é um documento que descreve as etapas a serem realizadas em caso de problemas de
infraestrutura, catástrofes naturais ou ataques cibernéticos.

ACESSAR

Norma NBR ISO/IEC 27001

A norma NBR ISO/IEC 27001 - Sistemas de gestão de segurança da informação – Requisitos,
refere-se aos requisitos especi cados para os Sistemas de Gestão de Segurança da Informação.
Ela tem por objetivo estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

A norma NBR ISO/IEC 27001 segue o modelo PDCA (Plan-Do-Check-Act), que estrutura os processos
do SGSI, conforme apresentado na Figura 2, (ABNT, 2006).

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 6/12
 04/11/2020 Roteiro de Estudos

Figura 2: Modelo PDCA aplicado aos processos do SGSI.

Fonte: ABNT (2006).

1. conteúdo do item 1: Eu mi bibendum neque egestas congue quisque egestas diam in.
2. conteúdo do item 2: Eu mi bibendum neque egestas congue quisque egestas diam in.
3. conteúdo do item 3: Eu mi bibendum neque egestas congue quisque egestas diam in.

A norma NBR ISO/IEC 27001 garante que todos os requisitos de segurança da informação sejam
implementados, além de auxiliar na de nição e na organização dos processos internos da
empresa.

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 7/12
04/11/2020 Roteiro de Estudos

ARTIGO

Norma NBR ISO/IEC 27001

Autor: ABNT
Ano: 2006
Comentário: Para conhecer mais sobre a norma NBR ISO/IEC 27001, faça a leitura atenta do
material indicado a seguir.

ACESSAR

Sistema de Gestão de Segurança

da Informação (SGSI)
O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gestão corporativo que
gerencia a segurança da informação de uma empresa com base na con abilidade, na integridade
e na disponibilidade das informações e nos riscos de negócio.

O SGSI protege as informações das empresas contra ameaças internas e externas, e é de

responsabilidade da empresa estabelecer quais as informações serão protegidas. Uma vez feito
isso, o SGSI quali cará e tratará essas informações. Além disso, o SGSI atua na melhoria contínua,
com base nos resultados obtidos durante a análise crítica dos gestores da empresa.

As etapas de planejamento e implantação do SGSI, de acordo com a norma NBR ISO/IEC 27001,
serão descritas nos tópicos a seguir.

Estabelecer o SGSI

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 8/12
04/11/2020 Roteiro de Estudos

Esta etapa consiste em de nir as estratégias que a empresa usará, de acordo com a sua política e
seus objetivos.

Para esta etapa, são de nidos os seguintes requisitos:

a) de nir o escopo e os limites do SGSI: quem serão as pessoas e quais os setores e os processos
da empresa que serão bene ciados com a implantação do SGSI;

b) de nir a política do SGSI: quais são os objetivos, as particularidades do negócio, as estratégias

da gestão de riscos, dentre outros. A política de segurança da informação é um documento de
orientação e direcionamento em relação aos ativos de informação de uma empresa e é planejada
de acordo com as particularidades do negócio. A De nição dos acessos aos sites permitidos pela
empresa, a preservação dos equipamentos utilizados e o treinamento dos funcionários são
exemplos de políticas de segurança da informação;

c) de nir a abordagem de análise/avaliação de riscos: qual será a metodologia de

análise/avaliação de riscos, de acordo com o negócio da empresa;

d) selecionar objetivos de controle e controles para o tratamento de riscos: nesta etapa, são
selecionados os objetivos de controle, de acordo com a política da empresa, a estrutura da
segurança da informação, quem são as partes externas, dentre outros;

e) declaração de aplicabilidade: descreve as medidas de segurança de nidas para a empresa.

Implementação do SGSI
Esta etapa consiste na implantação da política, dos procedimentos e dos controles de segurança.

Os requisitos desta etapa são:

a) elaborar um plano de tratamento de riscos de acordo com a gestão adequada de riscos da

empresa, ou seja, quem executará o plano, qual será o tempo gasto na execução, quando será
executado, dentre outros;

b) implementar um plano de tratamento de riscos que alcance os objetivos de controle

identi cados, que abranja as considerações de nanciamentos e as atribuições de papéis e
responsabilidades;

c) implementar os controles selecionados (medidas de segurança);

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 9/12
04/11/2020 Roteiro de Estudos

d) Decidir como medir a e cácia dos controles ou grupos de controles selecionados e apontar
como essas medidas serão usadas na avaliação da e cácia dos controles, com o objetivo de gerar
resultados comparáveis e reproduzíveis;

e) implementar programas de conscientização e treinamento dos funcionários.

f) gerenciar as operações do SGSI, ou seja, de nir um responsável para acompanhar as atividades

do sistema;

g) gerenciar os recursos para o SGSI;

h) implementar procedimentos e outros controles que permitam a identi cação de eventos e

respostas a incidentes de segurança da informação.

Monitorar e Analisar Criticamente o SGSI

O monitoramento e a análise crítica avaliam a e ciência do SGSI e apresentam os resultados
obtidos aoss gestores da empresa.

Nesta etapa, são de nidos os seguintes requisitos:

a) executar os procedimentos de monitoramento e análise crítica;

b) fazer, regularmente, a análise crítica de e cácia do SGSI, considerando o resultado de auditorias

e incidentes de segurança da informação, dentre outros;

c) avaliar se os requisitos de segurança dos controles foram realizados;

d) avaliar as análises/avaliações de riscos e os níveis de riscos aceitáveis;

e) fazer auditorias internas do SGSI;

f) analisar, de forma crítica, o SGSI, de acordo com a gestão da empresa, e identi car melhorias
nos processos do SGSI;

g) atualizar os planos de segurança da informação, considerando os resultados das atividades de

monitoramento e análise crítica;

h) registrar as ações e os eventos que tenham impacto na e cácia ou na performance do SGSI.

Manter e Melhorar Continuamente o SGSI

Nesta etapa, são realizadas as ações corretivas e preventivas, de acordo com a análise crítica
realizada pela gestão da empresa.

Os requisitos são:

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 10/12
04/11/2020 Roteiro de Estudos

a) implementar melhorias identi cadas no SGSI;

b) executar ações corretivas e preventivas;

c) informar as ações e as melhorias a todos os interessados, detalhando as situações e a

concordância de como proceder;

d) garantir que as melhorias atinjam os objetivos de nidos.

Para que um SGSI seja planejado e implantado com sucesso em uma empresa, é necessário seguir
as etapas descritas no contexto do negócio da empresa, e dos riscos que possam ocorrer. Os
gestores da empresa devem estar engajados e dar o suporte necessário ao processo de
implantação.

Conclusão
Ao longo deste roteiro, foi apresentada a importância do Sistema de Gestão de Segurança da
Informação, utilizando como suporte a norma NBR ISO/IEC 27001.

A norma NBR ISO/IEC 27001 auxilia as empresas a implantarem sistemas de gestão de segurança
da informação para reduzir riscos inerentes aos negócios da empresa. Além disso, a norma NBR
ISO/IEC 27001 segue o modelo PDCA (Plan-Do-Check-Act), que estrutura os processos do SGSI.

Foram apresentados os conceitos e as características da segurança da informação e da gestão de

riscos. A segurança da informação compreende um conjunto de ações que garantem a
con abilidade, a integridade e a disponibilidade das informações de pessoas ou organizações. Já a
gestão de riscos identi ca as ameaças ou as vulnerabilidades de infraestrutura e dos sistemas da
empresa, além de atuar na prevenção ou correção dessas ameaças; além disso, foram
apresentadas as etapas para a implantação do Sistema de Gestão de Segurança da Informação
(SGSI).

O SGSI garante a preservação das informações geradas e mantidas em uma empresa.

Referências Bibliográ cas

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 11/12
04/11/2020 Roteiro de Estudos

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: tecnologia da

informação – técnicas de segurança – Sistemas de Gestão de Segurança da Informação –
requisitos. Rio de Janeiro: ABNT, 2006.

AMERICANO, T. Pessoas são maior desa o à segurança da informação nas empresas. Olhar
Digital, 2011. Disponível em:  https://bit.ly/36pYsta Acesso em: 21 set. 2020.

CISCO. Defenda-se contra as maiores ameaças dos dias de hoje. São Francisco: CISCO, 2019.
Disponível em: < https://www.cisco.com/c/dam/global/pt_br/solutions/pdfs/cybersecurityseries-
threat.pdf?CCID=cc000160&DTID=oemzzz000233&OID=rptsc015744>. Acesso em: 19 out. 2019.

GALVÃO, M. da C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015.

GUIA de Boas Práticas para Planos de Continuidade de Negócios. Abrapp, 2012. Disponível em:
http://www.abrapp.org.br/GuiasManuais/guia_continuidade_negocios.pdf. Acesso em: 19 out.
2019.

PMI. A guide to the project manegement body of knowledge (PMBOK guides). Filadél a:
Project Management Institute, 2013.

https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 12/12