Avaliao na poltica e

procedimentos de
segurana.

O que a informao?
A

informao o elemento bsico para que a evoluo

acontea e o desenvolvimento humano se realize de
forma completa (COURY, 2001). Para Campos, (2007, p.
21) A informao elemento essencial para todos os
processos de negocio da organizao, sendo, portanto,
um bem ou ativo de grande valor. Logo, pode-se dizer
que a informao se tornou o ativo mais valioso das
organizaes, podendo ser alvo de uma srie de
ameaas com a finalidade de explorar as
vulnerabilidades e causar prejuzos considerveis.
Portanto, faz-se necessria a implementao de
polticas de se segurana da informao que busquem
reduzir as chances de fraudes ou perda de
informaes.

Informao
Segundo

a ISO/IEC 27002:2005(2005), a
informao um conjunto de dados que
representa um ponto de vista, um dado
processado o que gera uma informao.
Um dado no tem valor antes de ser
processado, a partir do seu processamento,
ele passa a ser considerado uma
informao, que pode gerar conhecimento.
Portanto, pode-se entender que informao
o conhecimento produzido como resultado
do processamento de dados.

Informao
Ainda

segundo a ISO/IEC 27002:2005, a informao um

ativo que, como qualquer outro ativo importante,
essencial para os negcios de uma organizao, e deve
ser adequadamente protegida. A informao encarada,
atualmente, como um dos recursos mais importantes de
uma organizao, contribuindo decisivamente para a
uma maior ou menor competitividade. De fato, com o
aumento da concorrncia de mercado, tornou-se vital
melhorar a capacidade de deciso em todos os
nveis.Como resultado deste significante aumento da
interconectividade, a informao est agora exposta a
um crescente nmero e a uma grande variedade de
ameaas e vulnerabilidades.

Poltica de Segurana da
Informao (PSI)
APoltica

de Segurana da Informao
(PSI) um documento que deve conter um
conjunto de normas, mtodos e procedimentos,
os quais devem ser comunicados a todos os
funcionrios, bem como analisado e revisado
criticamente, em intervalos regulares ou
quando mudanas se fizerem necessrias. o
SGSI que vai garantir a viabilidade e o uso dos
ativos somente por pessoas autorizadas e que
realmente necessitam delas para realizar suas
funes dentro da empresa. (FONTES, 2006)

SEGURANA DA INFORMAO

Para a ABNT NBR ISO/IEC 17799:2005 (2005, p.ix),

segurana da informao a proteo da
informao de vrios tipos de ameaas para garantir
a continuidade do negcio, minimizar o risco ao
negcio, maximizar o retorno sobre os
investimentos e as oportunidades de negcio.
Em primeiro lugar, muitas vezes difcil obter o
apoio da prpria alta administrao da organizao
para realizar os investimentos necessrios em
segurana da informao. Os custos elevados das
solues contribuem para esse cenrio, mas o
desconhecimento da importncia do tema
provavelmente ainda o maior problema. (CAMPOS,
2007, p.29)
Um sistema de segurana da informao baseia-se

Confidencialidade
A

confidencialidade a garantia de que a

informao acessvel somente por pessoas
autorizadas a terem acesso (NBR ISO/IEC
27002:2005). Caso a informao seja acessada
por uma pessoa no autorizada, intencionalmente
ou no, ocorre a quebra da confidencialidade. A
quebra desse sigilo pode acarretar danos
inestimveis para a empresa ou at mesmo para
uma pessoa fsica. Um exemplo simples seria o
furto do nmero e da senha do carto de crdito,
ou at mesmo, dados da conta bancria de uma
pessoa.

Integridade
A

integridade a garantia da exatido e

completeza da informao e dos mtodos de
processamento (NBR ISO/IEC 27002:2005).
Garantir a integridade permitir que a
informao no seja modificada, alterada ou
destruda sem autorizao, que ela seja legtima
e permanea consistente. (DANTAS, 2011, p11).
Quando a informao alterada, falsificada ou
furtada, ocorre quebra da integridade. A
integridade garantida quando se mantm a
informao no seu formato original.

Disponibilidade
A

disponibilidade a garantia de que os usurios

autorizados obtenham acesso informao e aos
ativos correspondentes sempre que necessrio
(NBR ISO/IEC 27002:2005). Quando a informao
est indisponvel para o acesso, ou seja, quando
os servidores esto inoperantes por conta de
ataques e invases, considera-se um incidente de
segurana da informao por quebra de
disponibilidade. Mesmo as interrupes
involuntrias de sistemas, ou seja, no
intencionais, configuram quebra de
disponibilidade.

SISTEMA DE GESTO DE SEGURANA DA INFORMAO

norma ISO 27001 estabelece diretrizes e princpios

gerais para se iniciar, implementar, manter e melhorar a
gesto de segurana da informao em uma organizao.
Essa norma possui uma seo introdutria sobre o
processo de avaliao e tratamento de riscos e est
dividida em onze sees especficas, que so: poltica de
segurana da informao; organizao da segurana da
informao; gesto de ativos; segurana em recursos
humanos; segurana fsica e do ambiente; gesto das
operaes e comunicaes; controle de acesso; aquisio,
desenvolvimento e manuteno de sistemas de
informao; gesto de incidentes de segurana da
informao; gesto da continuidade do negcio, e
conformidade.

Categorias
Essas

sees totalizam trinta e nove categorias

principais de segurana, e cada categoria contm
um objetivo de controle e um ou mais controles
que podem ser aplicados, bem como algumas
diretrizes e informaes adicionais para a sua
implementao. Para Fontes e Araujo (2008), o
sistema de gesto de segurana da informao
o resultado da sua aplicao planejada, diretrizes,
polticas, procedimentos, modelos e outras
medidas administrativas que, de forma conjunta,
definem como so reduzidos os riscos para
asegurana da informao.

CLASSIFICANDO AS
INFORMAES

Segundo Fontes (2008), a principal razo em

classificar as informaes, de que elas no possuem
os mesmo grau de confidencialidade, ou ento as
pessoas podem ter interpretaes diferentes sobre o
nvel de confidencialidade da informao. Para um
simples operrio de uma empresa um relatrio
contendo o seu balano anual pode no significar
nada, j para o pessoal do financeiro e a alta direo
uma informao de suma importncia, e que deve
ser bem guardada. Para poder classificar uma
informao, importante saber quais as
consequncias que ela trar para a organizao caso
seja divulgada, alterada ou eliminada sem
autorizao. Somente atravs da interao com as
pessoas diretamente responsveis pela informao da

Iniciando a classificao
Antes

de se iniciar o processo de classificao,

necessrio conhecer o processo de negcio da
organizao, compreender as atividades
realizadas e, a partir disso, iniciar as respectivas
classificaes. As informaes podem ser
classificadas em informaes pblicas, quando
no necessita de sigilo algum; informaes
internas, quando o acesso externo as informaes
deve, ser negado; e informaes confidencias, as
informaes devem ser confidencias dentro da
empresa e protegida contra tentativas de acesso
externo.

ATIVOS
A

definio clssica que o ativo compreende

ao conjunto de bens e direitos de uma
entidade. Entretanto, atualmente, um conceito
mais amplo tem sido adotado para se referir
ao ativo como tudo aquilo que possui valor
para a empresa (DANTAS, 2011, p.21). A
informao ocupa um papel de destaque no
ambiente das organizaes empresariais, e
tambm adquire um potencial de valorizao
para as empresas e para as pessoas, passando
a ser considerado o seu principal ativo.

Ameaa
Segundo

Campos (2007), a ameaa pode ser

considerada um agente externo ao ativo de
informao, pois se aproveita de suas
vulnerabilidades para quebrar a os princpios bsicos
da informao a confidencialidade, integridade ou
disponibilidade.
As ameaas podem ser, naturais: so aquelas que
se originam de fenmenos da natureza;
involuntrias: so as que resultam de aes
desprovidas de inteno para causar algum dano, e
intencionais: so aquelas deliberadas, que objetivam
causar danos, tais como hacker. (DANTAS, 2011)

VULNERABILIDADE
A

NBR ISO/IEC 27002:2005 define a vulnerabilidade como uma

fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaas. Segundo Campos (2007), vulnerabilidade so as
fraquezas presentes nos ativos, que podem ser exploradas, seja ela
intencionalmente ou no, resultando assim na quebra de um ou mais
princpios da segurana da informao. Ao terem sido identificadas as
vulnerabilidades ou os pontos fracos, ser possvel dimensionar os ricos
aos quais o ambiente est exposto e assim definir medidas de segurana
apropriadas para sua correo.

As vulnerabilidades podem advir de vrios aspectos: instalaes fsicas

desprotegida contra incndios, inundaes, e desastres naturais;
material inadequado empregado nas construes; ausncia de poltica de
segurana para RH; funcionrios sem treinamento e insatisfatrio nos
locais de trabalho; ausncia de procedimento de controle de acesso e
utilizao de equipamentos por pessoal contratado; equipamento
obsoletos, sem manuteno e sem restries para sua utilizao;
software sem patch de atualizao e sem licena de funcionamento,
etc. ( DANTAS, 2001, p.25-26)

Risco
Com

relao a segurana, os riscos so compreendidos como

condies que criam ou aumentam o potencial de danos e perdas.
medido pela possibilidade de um evento vir a acontecer e produzir
perdas. (DANTAS, 2001). Para evitar possveis perdas de
informaes, que dependendo do seu grau de sigilo, poder levar a
empresa falncia, necessrio a elaborao de uma gesto de
riscos, onde os riscos so determinados e classificados, sendo depois
especificado um conjunto equilibrado de medidas de segurana que
permitir reduzir ou eliminar os riscos a que a empresa se encontra
sujeita. A norma NBR ISO 27002(2005) nos oferece uma mtrica, em
que o risco pode ser calculado pela seguinte formula:
RISCO = (Ameaa) x (Vulnerabilidade) x (Valor do Risco)
cada vez mais importante para uma organizao, mesmo em sua
fase inicial, formalizar um documento com a sua anlise de risco, o
que prov alta administrao um indicador sobre o futuro da prpria
empresa, em que sero relacionados os ativos que sero protegidos
com investimentos adequados ao seu valor ao seu risco (LAUREANO,
2005).

BACKUP
A

ISO/IEC 27002 (2005) recomenda que o backup dos

sistemas seja armazenado em outro local, o mais longe
possvel do ambiente atual, como em outro prdio. Um dos
maiores erros cometidos em questo de segurana de
backup, foi o atentado de 11 de setembro, onde foram
derrubadas as torres gmeas nos EUA, onde empresas
localizadas na torre A tinham backups na torre B, e empresas
da torre B tinham backup na torre A, depois da queda das
duas torres, varias empresas simplesmente sumiram,
deixando de existir, um erro que poderia ser controlado caso
o backup estivesse localizado em outro lado da cidade.
evidente que o procedimento de backup um dos recursos
mais efetivos para assegurar a continuidade das operaes
em caso de paralisao na ocorrncia de um sinistro.
(FFREITAS E ARAUJO, 2008, p. 133)

SEGURANA FSICA
O

objetivo prevenir o acesso fsico no autorizado.

Convm que sejam utilizados permetros de segurana para
proteger as reas que contenham informaes e
instalaes de processamento da informao, segundo a
ISO/IEC 27002:2005(2005). Pode-se obter proteo fsica
criando uma ou mais barreiras ao redor das instalaes e
dos recursos de processamento da informao, tais como,
leitores biomtricos, portas de acesso com cartes
magnticos, portes eltricos, colocando vigias em local de
acesso restrito. Controlar o acesso de quem entra e sai das
instalaes um aspecto importante na segurana fsica.
No basta ter um guarda na entrada identificando os
visitantes. fundamental ter a certeza, por exemplo, de
que os visitantes no levem materiais ou equipamentos da
empresa.

SEGURANA FSICA
A

NBR ISO/IEC 27002 (2005) recomenda que seja

feito um projeto para a implementao de reas
de segurana com salas fechadas e com vrios
ambientes seguros de ameaas como fogo,
vazamento de gua, poeira, fumaa, vibraes,
desastres naturais, e manifestaes. Os locais
escolhidos para a instalao dos equipamentos
devem estar em boas condies de uso, com
boas instalaes eltricas, sadas de emergncia,
alarme contra incndio, devem conter extintores
de incndios, entre outros aspectos que devem
ser levados em considerao.

POLTICA DE SEGURANA DA
INFORMAO

Poltica de segurana como um documento que

estabelece princpios, valores, compromissos,
requisitos, orientaes e responsabilidades sobre o que
deve ser feito para alcanar um padro desejvel de
proteo para as informaes. Ela basicamente um
manual de procedimentos que descreve como os
recursos deTIda empresa devem ser protegidos e
utilizados e o pilar da eficcia da segurana da
informao. Sem regras pr-estabelecidas, ela torna-se
inconsistentes e vulnerabilidades podemsurgir. A
poltica tende a estabelecer regras e normas de
conduta com o objetivo de diminuir a probabilidade da
ocorrncia de incidentes que provoquem, por, exemplo
a indisponibilidade do servio, furto ou at mesmo a
perda de informaes. As polticas de segurana

A IMPORTANCIA DA PSI DENTRO

DE UMA ORGANIZAO
Atualmente,

a PSI adotada em grande parte das

organizaes em todo o mundo, inclusive no Brasil.
Mesmo aquelas empresas que ainda no tem uma
poltica efetiva, reconhecem a necessidade de
elaborar e implementar uma. (CAMPOS, 2007, P.
131). A poltica de segurana da informao deve
estabelecer como ser efetuado o acesso as
informaes de todas as formas possveis, seja ela
internamente ou externamente, e quais os tipos de
mdias podero transportar e ter acesso a esta
informao. A poltica deve especificar os mecanismos
atravs dos quais estes requisitos podem ser
alocados.

ELABORANDO A POLTICADE
SEGURANA
Para

Ferreira e Araujo (2008), deve-se formar um comit

de segurana da informao, constitudo por profissionais
de diversos departamentos, como informtica, jurdico,
engenharia, infraestrutura, recursos humanos e outro que
for necessrio. O comit ser responsvel por divulgar e
estabelecer os procedimentos de segurana, se reunindo
periodicamente, ou a qualquer momento conforme
requerido pelas circunstancias, com o objetivo de manter a
segurana em todas as reas da organizao. Convm
que apoltica de segurana da informaotenha um
gestor que tenha responsabilidade de gesto aprovada
para desenvolvimento, anlise crtica e avaliao da
poltica de segurana da informao.( ISSO/IEC
27002:2005, 2005. P. 9)

IMPLEMENTANDO A POLTICA
DE SEGURANA
Para

que a cultura da empresa seja mudada em relao segurana da

informao, fundamental que os funcionrios estejam preparados para
a mudana, por meio de avisos, palestras de conscientizao, elaborao
de guias rpidos de consulta e treinamento direcionado. (FREITAS E
ARAUJO, 2008, P. 47). A poltica deve ser escrita de forma clara, no
gerando qualquer dvida entre os usurios. Todos os funcionrios da
organizao, incluindo aqueles que so tercirios e prestadores de
servio, devero receber um treinamento adequado para que se
adequem s mudanas. De acordo com a NBR ISSO IEC 27002 (2005), os
usurios devem estar clientes das ameaas e das vulnerabilidades de
segurana da informao e estejam equipados para apoiar a poltica de
segurana da informao da organizao durante a execuo normal do
trabalho.
A poltica de segurana deve contar com o apoio e comprometimento da
alta direo da organizao, pois fundamental para que a mesma seja
efetiva, sem a presena deste apoio, iniciar qualquer ao neste sentido
algo invivel

CONSIDERAOES FINAIS
No

cenrio atual, em que as empresas dependem cada

vez mais da tecnologia e da informao, vital garantir a
segurana adequada deste ativo, considerado estratgico
em sua misso de prestar servios de qualidade. A
soluo mais adequada o estabelecimentode um
conjunto de normas e regras que regulem a utilizao dos
sistemas das empresas, assim como o acesso a redes
sociais e e-mails pessoais. As empresas necessitam aliar
essa poltica de segurana da informaoao contratode
trabalho dos colaboradores. Todo processode segurana
comea no recrutamento. Tambm importante lembrar
que os trabalhadoresdevem estar cientes do
monitoramento das informaes.

Referncias
Bibliogrficas
BASTO,

Fabrcio.Norma ABNT ISO 27001 O que

isso?Disponvel em: <http://analistati.com/norma-abntiso-27001-o-que-e-isso/>. Acesso em: 09 set. 2016.
BASTO, Fabrcio.Poltica de Segurana da Informao
Como fazer?Disponvel em:
<http://analistati.com/politica-de-seguranca-dainformacao-como-fazer/>. Acesso em: 08 set. 2016.
OLIVEIRA,

Paulo Cesar.POLITICA DE SEGURANA DA

INFORMAO: DEFINIO, IMPORTNCIA,
ELABORAO E IMPLEMENTAO.2013. Disponvel
em: <https://www.profissionaisti.com.br/2013/06/politicade-seguranca-da-informacao-definicao-importanciaelaboracao-e-implementacao/>. Acesso em: 09 set. 2016

Integrantes
der

Zadravec de Freitas
RA: 9977020711
Gerson da Rocha
RA: 9977020714
Jose Bruno da Silva Mendes
RA: 9977023336
Magno Henrique Evangelista Domingos
RA:1299719026
Srgio Almeida da Silva
RA: 7629716047