INÍCIO
Livros do Prof.
Política de Segurança da Informação
Aula 3: Fundamentos, elaboração e gestão de políticas de segurança organizacional
Aula 3 – Atividades Práticas
Política de Segurança da Informação
Nesta aula, iremos trabalhar a Política de Segurança da Informação de forma aplicada. O objetivo não é apenas compreender o conceito normativo, mas desenvolver capacidade analítica, visão de governança e postura de auditor.
As atividades abaixo simulam situações reais enfrentadas por organizações e exigem que vocês pensem como gestores e auditores de segurança.
1️⃣ Exercício 1 – Diagnóstico de Maturidade Organizacional
Contexto
Antes de elaborar uma política, é necessário compreender o nível de maturidade da organização. Uma política eficaz nasce do diagnóstico correto das fragilidades existentes.
Considere o seguinte cenário:
Uma empresa com 35 colaboradores:
  • Utiliza Google Drive compartilhado sem controle formal de permissões
  • Mantém senhas anotadas em papel
  • Permite uso de notebooks pessoais para atividades corporativas
  • Não possui política formal de backup
  • Não possui controle estruturado de acesso a sistemas
Atividade
Cada grupo deverá:
  • Identificar no mínimo 8 riscos existentes no cenário
  • Classificar cada risco como:
  • Técnico
  • Humano
  • Processual
  • Propor controles básicos para mitigação
Ferramentas a utilizar
  • Google Forms ou Microsoft Forms (para registrar respostas estruturadas) ou
  • Planilha colaborativa no Google Sheets (modelo compartilhado por grupo)
Competências Desenvolvidas
  • Análise de risco
  • Pensamento crítico
  • Visão de governança organizacional
2️⃣ Exercício 2 – Construção de uma Política de Segurança (Hands-on)
Contexto
Após o diagnóstico, vocês deverão formalizar uma Política de Segurança da Informação aplicável ao cenário apresentado.
A política deve ser objetiva, clara e aplicável.
Estrutura mínima obrigatória
O documento deve conter:
  1. Objetivo
  1. Escopo
  1. Definições
  1. Diretrizes de controle de acesso
  1. Política de senhas
  1. Política de backup
  1. Uso aceitável de recursos
  1. Penalidades por descumprimento
Ferramentas sugeridas
  • Google Docs (produção colaborativa)
  • Notion (organização estruturada do conteúdo)
  • Canva (formatação institucional)
  • ChatGPT como apoio à redação técnica (uso orientado e crítico)
Diferencial acadêmico (opcional para grupos que desejarem aprofundar)
  • Alinhamento simplificado à ISO 27001
  • Referência à LGPD (proteção de dados pessoais)
3️⃣ Exercício 3 – Auditoria Simulada
Contexto
Uma política só é eficaz se resistir à auditoria. Nesta etapa, vocês irão assumir postura crítica.
Dinâmica
  • Grupo A elabora a política
  • Grupo B realiza a auditoria
O grupo auditor deverá identificar:
  • Ambiguidades na redação
  • Ausência de critérios objetivos
  • Falta de controles mensuráveis
  • Inconsistências entre risco identificado e controle proposto
Ferramenta de apoio
Checklist baseado em princípios da:
  • ISO 27002
  • COBIT (nível introdutório)
Competências Desenvolvidas
  • Mentalidade de auditor
  • Leitura normativa crítica
  • Avaliação de controles internos
4️⃣ Exercício Técnico – Controle de Senhas (Mini Laboratório)
Contexto
Políticas de senha são um dos pilares mais básicos — e frequentemente mal implementados — da segurança organizacional.
Atividade
Simular diferentes padrões de política de senha utilizando:
  • Bitwarden (gestão de credenciais)
  • Kaspersky Password Checker (teste de força de senha)
  • Geração de hash via terminal ou ferramentas online
Ferramentas (como usar)
🔐 1. Bitwarden – Gestão de Senhas
Objetivo
Implementar política de senhas seguras com cofre criptografado.
Instalação (Linux Mint)
Opção 1 – AppImage (recomendado)
  1. Baixe a versão Linux (.AppImage)
  1. No terminal:
chmod +x Bitwarden-*.AppImage
./Bitwarden-*.AppImage
Uso Básico
1️⃣ Criar Conta
  • Criar conta gratuita.
  • Definir senha mestra forte (mín. 12 caracteres).
2️⃣ Criar Cofre
  • Clique em “Add Item”.
  • Escolha tipo (Login, Card, Identity).
  • Salve credenciais.
3️⃣ Gerar Senha Forte
  • Ao criar login:
  • Use “Generate Password”.
  • Configure:
  • 16+ caracteres
  • Letras maiúsculas/minúsculas
  • Números
  • Símbolos
4️⃣ Instalar Extensão no Navegador
  • Chrome/Firefox → Extensões → Bitwarden.
  • Ativar preenchimento automático.
🔐 2. MFA (Autenticação Multifator) – KeePassXC
Objetivo
Gerar códigos TOTP (6 dígitos temporários).
Instalação
sudo apt update
sudo apt install keepassxc
Uso Passo a Passo
1️⃣ Criar Banco de Dados
  • File → New Database
  • Definir senha mestra forte.
2️⃣ Adicionar Login
  • Create Entry
  • Inserir usuário e senha.
3️⃣ Configurar TOTP
  • Após escanear QR Code do serviço:
  • Clique com botão direito na entrada
  • “TOTP” → “Set up TOTP”
  • Cole a chave secreta
  • O código será gerado automaticamente.
🏢 3. Google Admin (Controle Organizacional)
Necessário Google Workspace.
Acesso
  1. admin.google.com
  1. Login com conta organizacional.
Criar Usuário
  1. Menu → Directory → Users
  1. “Add new user”
  1. Definir:
  • Nome
  • Email
  • Senha temporária
Aplicar Política de Senha
  1. Security → Authentication
  1. Definir:
  • Forçar troca na 1ª entrada
  • Exigir 2FA
📊 4. Microsoft Purview (Governança)
Ambiente corporativo Microsoft 365.
Acesso
Criar Política de Retenção
  1. Data Lifecycle Management
  1. Create Policy
  1. Escolher:
  • Emails
  • OneDrive
  • SharePoint
  1. Definir período de retenção.
🔎 5. Nessus Essentials (Scanner de Vulnerabilidade)
Instalação
  1. Baixe versão Linux (.deb) em: https://www.tenable.com/products/nessus
  1. Instale:
sudo dpkg -i Nessus-*.deb
sudo systemctl start nessusd
  1. Acesse no navegador:
https://localhost:8834
Criar Primeira Varredura
  1. New Scan
  1. Basic Network Scan
  1. Inserir IP alvo (ex: 192.168.0.10)
  1. Start Scan
🛡 6. OpenVAS (Greenbone)
Instalação
sudo apt install gvm
sudo gvm-setup
sudo gvm-check-setup
Iniciar serviço:
sudo gvm-start
Acessar:
https://127.0.0.1:9392
Criar Varredura
  1. Scans → Tasks → New Task
  1. Escolher:
  • Target (IP da máquina)
  1. Start
📡 7. Wireshark – Captura de Tráfego
Instalação
sudo apt install wireshark
Permitir captura:
sudo usermod -aG wireshark $USER
(Reiniciar sessão)
Captura Básica
  1. Abrir Wireshark
  1. Selecionar interface (ex: eth0 ou wlan0)
  1. Clique duas vezes para iniciar captura.
Filtros Úteis
  • HTTP:
http
  • DNS:
dns
  • IP específico:
ip.addr == 192.168.0.10
📂 8. Logs (Equivalente ao Windows Event Viewer)
No Linux usamos:
Ver logs do sistema
journalctl
Logs recentes:
journalctl -n 50
Logs por serviço:
journalctl -u ssh
Discussão em sala
  • Segurança versus usabilidade
  • Importância do MFA (Autenticação Multifator)
  • Riscos da reutilização de senhas
  • Gestão centralizada de credenciais
5️⃣ Exercício Avançado – Matriz RACI de Segurança
Contexto
Segurança não é apenas tecnologia, é governança e definição clara de responsabilidades.
Cada grupo deverá construir uma Matriz RACI para atividades críticas como:
  • Backup
  • Controle de acesso
  • Gestão de incidentes
  • Atualizações de sistemas
Exemplo:
Ferramentas sugeridas
  • Miro
  • Lucidchart
  • Draw.io
Este exercício introduz formalmente o conceito de responsabilidade organizacional em segurança.
6️⃣ Ferramentas Demonstrativas (Apresentação em Aula)
Durante a aula, poderão ser apresentadas ferramentas reais para contextualização prática:
Apoio à Política
  • Bitwarden (gestão de senhas)
  • Authenticator (MFA)
  • Google Admin (controle organizacional)
  • Microsoft Purview (governança de dados)
Auditoria e Monitoramento
  • Nessus (conceito de varredura)
  • OpenVAS (conceito)
  • Wireshark (captura básica de tráfego)
  • Logs do Windows Event Viewer
O objetivo não é domínio técnico aprofundado, mas compreensão do ecossistema real de segurança.
7️⃣ Atividade Final – Política sob Incidente
Cenário
Um colaborador perdeu um notebook contendo dados de clientes.
Cada grupo deverá responder:
  • A política criada cobre esse cenário?
  • Existe previsão de criptografia?
  • Há inventário de ativos?
  • Existe plano de resposta a incidentes?
  • Há possível implicação legal sob a LGPD?
Esta atividade conecta política, responsabilidade organizacional e impacto jurídico.
Considerações Finais
As atividades foram estruturadas para desenvolver:
  • Capacidade analítica
  • Estruturação formal de políticas
  • Visão de auditoria
  • Mentalidade de governança em segurança da informação
Segurança não é apenas ferramenta técnica — é estrutura organizacional, processo e responsabilidade.
Ferramentas (como usar)
🔐 1. Bitwarden – Gestão de Senhas
Objetivo
Implementar política de senhas seguras com cofre criptografado.
Instalação (Linux Mint)
Opção 1 – AppImage (recomendado)
  1. Baixe a versão Linux (.AppImage)
  1. No terminal:
chmod +x Bitwarden-*.AppImage
./Bitwarden-*.AppImage
Uso Básico
1️⃣ Criar Conta
  • Criar conta gratuita.
  • Definir senha mestra forte (mín. 12 caracteres).
2️⃣ Criar Cofre
  • Clique em “Add Item”.
  • Escolha tipo (Login, Card, Identity).
  • Salve credenciais.
3️⃣ Gerar Senha Forte
  • Ao criar login:
  • Use “Generate Password”.
  • Configure:
  • 16+ caracteres
  • Letras maiúsculas/minúsculas
  • Números
  • Símbolos
4️⃣ Instalar Extensão no Navegador
  • Chrome/Firefox → Extensões → Bitwarden.
  • Ativar preenchimento automático.
🔐 2. MFA (Autenticação Multifator) – KeePassXC
Objetivo
Gerar códigos TOTP (6 dígitos temporários).
Instalação
sudo apt update
sudo apt install keepassxc
Uso Passo a Passo
1️⃣ Criar Banco de Dados
  • File → New Database
  • Definir senha mestra forte.
2️⃣ Adicionar Login
  • Create Entry
  • Inserir usuário e senha.
3️⃣ Configurar TOTP
  • Após escanear QR Code do serviço:
  • Clique com botão direito na entrada
  • “TOTP” → “Set up TOTP”
  • Cole a chave secreta
  • O código será gerado automaticamente.
🏢 3. Google Admin (Controle Organizacional)
Necessário Google Workspace.
Acesso
  1. admin.google.com
  1. Login com conta organizacional.
Criar Usuário
  1. Menu → Directory → Users
  1. “Add new user”
  1. Definir:
  • Nome
  • Email
  • Senha temporária
Aplicar Política de Senha
  1. Security → Authentication
  1. Definir:
  • Forçar troca na 1ª entrada
  • Exigir 2FA
📊 4. Microsoft Purview (Governança)
Ambiente corporativo Microsoft 365.
Acesso
Criar Política de Retenção
  1. Data Lifecycle Management
  1. Create Policy
  1. Escolher:
  • Emails
  • OneDrive
  • SharePoint
  1. Definir período de retenção.
🔎 5. Nessus Essentials (Scanner de Vulnerabilidade)
Instalação
  1. Baixe versão Linux (.deb) em: https://www.tenable.com/products/nessus
  1. Instale:
sudo dpkg -i Nessus-*.deb
sudo systemctl start nessusd
  1. Acesse no navegador:
https://localhost:8834
Criar Primeira Varredura
  1. New Scan
  1. Basic Network Scan
  1. Inserir IP alvo (ex: 192.168.0.10)
  1. Start Scan
🛡 6. OpenVAS (Greenbone)
Instalação
sudo apt install gvm
sudo gvm-setup
sudo gvm-check-setup
Iniciar serviço:
sudo gvm-start
Acessar:
https://127.0.0.1:9392
Criar Varredura
  1. Scans → Tasks → New Task
  1. Escolher:
  • Target (IP da máquina)
  1. Start
📡 7. Wireshark – Captura de Tráfego
Instalação
sudo apt install wireshark
Permitir captura:
sudo usermod -aG wireshark $USER
(Reiniciar sessão)
Captura Básica
  1. Abrir Wireshark
  1. Selecionar interface (ex: eth0 ou wlan0)
  1. Clique duas vezes para iniciar captura.
Filtros Úteis
  • HTTP:
http
  • DNS:
dns
  • IP específico:
ip.addr == 192.168.0.10
📂 8. Logs (Equivalente ao Windows Event Viewer)
No Linux usamos:
Ver logs do sistema
journalctl
Logs recentes:
journalctl -n 50
Logs por serviço:
journalctl -u ssh
Laboratórios
LABORATÓRIO 1 – Bitwarden (Gestão de Senhas)
Objetivo
Implementar política de senhas seguras utilizando cofre criptografado.
Procedimentos
  1. Instalar o Bitwarden via AppImage.
  1. Criar conta gratuita.
  1. Definir senha mestra com:
  • mínimo de 14 caracteres
  • combinação de letras, números e símbolos
  1. Criar três registros de login fictícios.
  1. Utilizar o gerador de senha com:
  • 20 caracteres
  • alta complexidade
  1. Instalar extensão no navegador.
  1. Testar preenchimento automático.
Evidências
  • Captura do gerador configurado.
  • Captura do cofre com três entradas.
  • Captura da extensão em funcionamento.
Questões de Análise
  1. Qual o risco da reutilização de senhas?
  1. A senha mestra configura ponto único de falha?
  1. O que significa arquitetura “zero knowledge”?
Entregável
Relatório técnico (1 a 2 páginas) com análise crítica.
LABORATÓRIO 2 – KeePassXC e MFA (TOTP)
Objetivo
Implementar autenticação multifator utilizando TOTP.
Procedimentos
  1. Instalar KeePassXC.
  1. Criar banco de dados criptografado.
  1. Criar entrada de login.
  1. Configurar TOTP:
  • Inserir chave secreta manualmente (simulada).
  • Gerar código de 6 dígitos.
  1. Observar tempo de expiração (30 segundos).
Evidências
  • Captura do banco criado.
  • Captura do código TOTP ativo.
  • Registro do tempo de expiração.
Questões de Análise
  1. Por que o TOTP reduz risco mesmo com vazamento de senha?
  1. O que ocorre se a chave secreta for comprometida?
  1. MFA elimina totalmente risco de invasão?
Entregável
Comparação entre autenticação simples e multifator.
LABORATÓRIO 3 – Google Admin (Governança Organizacional)
Objetivo
Compreender controle centralizado de usuários e política de autenticação.
Procedimentos
  1. Acessar admin.google.com (ambiente demonstrativo).
  1. Criar usuário fictício.
  1. Aplicar política:
  • Forçar troca de senha.
  • Exigir 2FA.
  1. Analisar relatórios de auditoria disponíveis.
Evidências
  • Fluxograma de criação de usuário.
  • Descrição da política aplicada.
Questões de Análise
  1. Qual a diferença entre controle individual e organizacional?
  1. Como políticas reduzem erro humano?
  1. Quais riscos persistem mesmo com 2FA obrigatório?
LABORATÓRIO 4 – Microsoft Purview (Retenção e Compliance)
Objetivo
Compreender retenção de dados e governança.
Procedimentos
  1. Acessar compliance.microsoft.com (simulação ou demonstração).
  1. Criar política de retenção para:
  • Emails (5 anos)
  • OneDrive (3 anos)
  1. Definir ação ao término do período (exclusão ou retenção).
Evidências
  • Descrição da política criada.
  • Justificativa do período escolhido.
Questões de Análise
  1. Como retenção impacta LGPD?
  1. Retenção excessiva aumenta risco?
  1. Qual o equilíbrio entre compliance e privacidade?
LABORATÓRIO 5 – Nessus Essentials
Objetivo
Executar varredura básica de vulnerabilidades.
Procedimentos
  1. Instalar Nessus.
  1. Criar “Basic Network Scan”.
  1. Escanear IP de laboratório.
  1. Analisar relatório final.
Evidências
  • Captura da criação da tarefa.
  • Captura do relatório com severidades.
Questões de Análise
  1. Diferença entre vulnerabilidade crítica e média.
  1. Scanner corrige vulnerabilidades?
  1. Limitações de varredura automatizada.
LABORATÓRIO 6 – OpenVAS (Greenbone)
Objetivo
Comparar ferramenta open source com solução comercial.
Procedimentos
  1. Instalar GVM.
  1. Executar gvm-start.
  1. Acessar interface web.
  1. Criar target.
  1. Executar scan.
  1. Comparar resultados com Nessus.
Evidências
  • Relatório resumido.
  • Tabela comparativa entre ferramentas.
Questões de Análise
  1. Diferença metodológica entre scanners.
  1. Falso positivo é possível?
  1. Qual ferramenta seria indicada para pequena empresa?
LABORATÓRIO 7 – Wireshark
Objetivo
Analisar tráfego de rede.
Procedimentos
  1. Instalar Wireshark.
  1. Iniciar captura na interface ativa.
  1. Aplicar filtros:
  • http
  • dns
  • ip.addr == X
  1. Identificar:
  • Consulta DNS
  • Requisição HTTP
Evidências
  • Captura filtrada.
  • Identificação do protocolo.
  • IP de origem e destino.
Questões de Análise
  1. Dados trafegados sem HTTPS são legíveis?
  1. Qual risco em redes públicas?
  1. O que é inspeção profunda de pacotes?
LABORATÓRIO 8 – Análise de Logs no Linux
Objetivo
Monitorar eventos do sistema.
Procedimentos
  1. Executar:
  • journalctl
  • journalctl -n 50
  • journalctl -u ssh
  1. Identificar:
  • Tentativas de login
  • Serviços iniciados
Evidências
  • Trecho de log analisado.
  • Interpretação do evento.
Questões de Análise
  1. Logs ajudam na resposta a incidentes?
  1. Logs podem ser adulterados?
  1. Qual política de retenção ideal para logs?
ATIVIDADE INTEGRADORA – Matriz RACI de Segurança
Objetivo
Formalizar responsabilidade organizacional.
Atividades
Cada grupo deverá elaborar matriz RACI para:
  • Backup
  • Controle de acesso
  • Atualizações
  • Gestão de incidentes
Entregável
Tabela estruturada + justificativa técnica.
ATIVIDADE FINAL – Política sob Incidente
Cenário
Notebook corporativo perdido com dados de clientes.
Responder
  1. Existe criptografia obrigatória?
  1. Há inventário de ativos?
  1. Existe plano formal de resposta?
  1. Há implicação legal sob LGPD?
Entregável
Relatório analítico (2 páginas) conectando:
  • Ferramenta
  • Política
  • Governança
  • Impacto jurídico
Capítulo 1
Fundamentos da Política de Segurança da Informação
Compreendendo os pilares essenciais que sustentam a proteção dos ativos informacionais nas organizações contemporâneas.
O que é Política de Segurança da Informação?
Documento Estratégico
Define regras, práticas e responsabilidades para proteger dados e sistemas organizacionais de forma abrangente.
Base para Decisões
Fundamenta as decisões da alta administração sobre investimentos e prioridades em segurança da informação.
A PSI estabelece o framework necessário para que toda a organização compreenda suas responsabilidades na proteção dos ativos informacionais críticos.
Por que a PSI é essencial?
Minimização de Riscos
Reduz drasticamente as chances de violações, invasões e perdas de ativos críticos de TI através de controles preventivos.
  • Prevenção de ataques cibernéticos
  • Proteção contra vazamento de dados
  • Redução de custos com incidentes
Garantia dos Princípios Fundamentais
Assegura os pilares essenciais da segurança: confidencialidade, integridade, disponibilidade e autenticidade.
  • Conformidade legal e regulatória
  • Confiança de clientes e parceiros
  • Continuidade dos negócios
Protegendo o Ativo Mais Valioso
A informação é o coração das organizações modernas. Protegê-la não é apenas uma questão técnica, mas estratégica para a sobrevivência e competitividade do negócio.
Os 5 Pilares da Segurança da Informação
Confidencialidade
Proteger contra acesso não autorizado, garantindo que apenas pessoas autorizadas vejam informações sensíveis.
Integridade
Garantir que os dados permaneçam corretos, completos e não sejam alterados indevidamente.
Disponibilidade
Assegurar acesso aos sistemas e informações sempre que necessário para as operações.
Autenticidade
Validar a identidade dos usuários e a origem das informações de forma confiável.
Não-Repudiação
Impedir que usuários neguem ações realizadas, mantendo trilhas de auditoria claras.
Normas Internacionais que Influenciam a PSI
1
ISO/IEC 27001
Padrão global para gestão da segurança da informação, reconhecido mundialmente como referência em boas práticas.
2
Decreto nº 9.637/2018
Institui a Política Nacional de Segurança da Informação no Brasil, aplicável a órgãos públicos e entidades privadas.
3
BS 7799 e NBR ISO/IEC 17799
Bases históricas que precederam e fundamentaram o desenvolvimento da norma ISO 27001 atual.
Capítulo 2
Elaboração da Política de Segurança da Informação
Um processo estruturado que transforma análise de riscos e necessidades organizacionais em diretrizes práticas e efetivas.
Elementos que Compõem a PSI
Procedimentos e Normas
Conjunto estruturado de procedimentos, normas, diretrizes e instruções detalhadas para execução.
Conformidade Legal
Referências explícitas a leis e regulamentos como CLT, LGPD e outras normativas aplicáveis.
Análise de Riscos
Fundamentada em análise criteriosa de riscos, vulnerabilidades e ameaças específicas do contexto.
Passos para Elaborar uma PSI Eficaz
Levantamento e Análise
Identificação completa de riscos, vulnerabilidades e ativos críticos que necessitam proteção prioritária.
Definição de Responsabilidades
Estabelecimento claro de responsabilidades, alçadas decisórias e papéis de cada área e função.
Estabelecimento de Normas
Criação de normas e procedimentos claros, objetivos e aplicáveis à realidade organizacional.
Comunicação e Treinamento
Disseminação efetiva e capacitação de todos os colaboradores sobre as políticas estabelecidas.
Diferença entre Norma, Diretriz e Procedimento
Norma
Regra obrigatória
Estabelece requisitos que devem ser cumpridos sem exceção. Possui caráter mandatório.
Exemplo: "Uso obrigatório de autenticação multifator"
Diretriz
Orientação flexível
Fornece orientação sobre melhores práticas, permitindo adaptações conforme o contexto.
Exemplo: "Recomenda-se revisar senhas periodicamente"
Procedimento
Passo a passo
Descreve detalhadamente como executar uma atividade específica de segurança.
Exemplo: "Roteiro para backup de dados críticos"
Da Análise de Risco à Implementação
O processo de elaboração de uma política de segurança segue um fluxo lógico que garante cobertura completa desde a identificação de ameaças até a operacionalização das medidas de proteção.
Capítulo 3
Normas e Procedimentos na Segurança da Informação
A implementação prática dos princípios de segurança através de regras claras e processos bem definidos.
Normas: O que São e Para que Servem?
Padronização de Comportamentos
Regras que estabelecem padrões consistentes de comportamento e processos em toda a organização.
  • Garantem uniformidade nas práticas
  • Reduzem ambiguidades e interpretações
  • Facilitam auditorias e conformidade
Exemplos Práticos
Aplicações concretas de normas no dia a dia organizacional:
  • Uso obrigatório de senhas fortes (mínimo 12 caracteres)
  • Controle de acesso baseado em funções
  • Criptografia de dados sensíveis em trânsito
Procedimentos: Como Garantir a Aplicação das Normas
Documentação Detalhada
Descrição passo a passo de todas as ações necessárias para implementar as normas de segurança.

Exemplo prático: Procedimento para resposta a incidentes de segurança contemplando detecção, contenção, investigação e recuperação.
  • Identificação de responsáveis
  • Sequência clara de ações
  • Critérios de decisão
  • Formulários e checklists
Importância da Atualização Contínua
Evolução Constante
Normas e procedimentos devem evoluir continuamente conforme surgem novas ameaças, tecnologias e regulamentações.
Monitoramento Ativo
Auditorias periódicas e revisões sistemáticas são essenciais para garantir efetividade e aderência às mudanças.
A segurança da informação é dinâmica. Uma política desatualizada pode ser tão perigosa quanto não ter política alguma.
Capítulo 4
Gestão das Políticas Organizacionais de Segurança
Transformar documentos em cultura organizacional através de liderança efetiva e gestão comprometida.
Gestão da PSI: Desafios e Responsabilidades
Envolvimento da Alta Direção
Comprometimento visível da liderança para garantir recursos adequados, apoio institucional e exemplo pelo comportamento.
Cultura de Segurança
Desenvolvimento de uma cultura organizacional onde segurança é responsabilidade de todos, não apenas da área de TI.
O sucesso da PSI depende fundamentalmente do engajamento genuíno desde o topo da hierarquia até a base operacional.
Ferramentas e Práticas para Gestão Eficaz
01
Comitês de Segurança
Estabelecer comitês multidisciplinares com representantes de todas as áreas críticas da organização.
02
Treinamentos Regulares
Programas contínuos de capacitação e campanhas de conscientização sobre ameaças e boas práticas.
03
Monitoramento e Métricas
Acompanhamento sistemático através de indicadores de desempenho e painéis de controle (dashboards).
Consequências do Não Cumprimento da PSI
Riscos Legais
Multas severas por não conformidade com LGPD, perda de licenças operacionais e processos judiciais.
Impactos Financeiros
Custos com recuperação de incidentes, perda de receitas, desvalorização de ações e compensações a clientes.
Danos Reputacionais
Perda de confiança de clientes e parceiros, exposição negativa na mídia e dificuldade em atrair talentos.

Casos reais no Brasil: Empresas que sofreram vazamentos de dados enfrentaram multas de milhões de reais e perda significativa de market share.
Ameaças Crescentes
O Brasil registrou aumento de 94% em ataques cibernéticos nos últimos 2 anos. Políticas robustas não são mais opcionais — são questão de sobrevivência empresarial.
Capítulo 5
Prática – Desenvolvimento de uma Política de Segurança Básica
Colocando em prática os conceitos aprendidos através da construção de uma política funcional e aplicável.
Estrutura Básica de uma PSI Simples
1
Introdução e Objetivos
Contextualização do documento e declaração clara dos objetivos da política de segurança.
2
Escopo e Público-Alvo
Definição de abrangência da política e identificação de todos os stakeholders envolvidos.
3
Definições e Conceitos
Glossário com terminologia técnica e conceitos essenciais para compreensão uniforme.
4
Regras Gerais de Segurança
Conjunto de diretrizes, normas e procedimentos aplicáveis a toda a organização.
Exemplo Prático: Política para Uso de Dispositivos Móveis
Controles Preventivos
  • Proibição de instalação de aplicativos não autorizados pela TI
  • Uso obrigatório de senhas complexas com mínimo de 8 caracteres
  • Ativação de criptografia para dados armazenados no dispositivo
  • Instalação automática de atualizações de segurança
Procedimentos de Emergência
  • Notificação imediata da TI em caso de perda ou roubo
  • Bloqueio remoto e apagamento de dados do dispositivo
  • Registro formal do incidente com número de protocolo
  • Revisão de acessos e credenciais comprometidas
Exercício: Criar Política para Controle de Acesso
Definir Níveis de Acesso
Estabeleça categorias claras: público, interno, confidencial e restrito. Determine quem pode acessar cada nível.
Responsabilidades dos Usuários
Documente obrigações de cada colaborador na proteção de credenciais e no uso adequado dos acessos.
Medidas de Autenticação
Especifique métodos de autenticação (senha, biometria, token) e processos de autorização por função.

Dica prática: Use o princípio do menor privilégio — conceda apenas os acessos estritamente necessários para cada função.
Dicas para uma Política Eficaz e Aderente
Linguagem Clara
Use linguagem objetiva, evitando jargões excessivos. A política deve ser compreensível por todos os colaboradores, independente da área.
Envolvimento dos Colaboradores
Inclua representantes de diversas áreas no processo de criação para garantir praticidade e aceitação organizacional.
Revisão Periódica
Estabeleça ciclos regulares de revisão (no mínimo anual) e mantenha flexibilidade para adaptações conforme mudanças.
Segurança é Responsabilidade de Todos
Uma política de segurança só é efetiva quando cada membro da organização compreende seu papel na proteção dos ativos informacionais e se compromete ativamente com as práticas estabelecidas.
Recursos e Referências para Aprofundamento
1
ISO/IEC 27001 e 27002
Normas internacionais com requisitos e código de práticas para sistemas de gestão de segurança da informação.
2
Decreto nº 9.637/2018
Política Nacional de Segurança da Informação brasileira, com diretrizes aplicáveis ao setor público e privado.
3
Cartilha GSI
Cartilha de Gestão de Segurança da Informação do Gabinete de Segurança Institucional da Presidência.
4
Certificações Profissionais
Cursos e certificações reconhecidas como CISSP, CISM, ISO 27001 Lead Implementer e CompTIA Security+.
Conclusão: A Política de Segurança como Pilar da Proteção Organizacional
Base Fundamental
A PSI é o alicerce para cultura e práticas seguras em toda a organização.
Proteção Abrangente
Protege ativos, pessoas e garante a continuidade do negócio em cenários adversos.
Compromisso Contínuo
Exige comprometimento permanente e gestão ativa de todos os níveis hierárquicos.
Lembre-se: uma política de segurança não é um documento estático em uma gaveta, mas um instrumento vivo que orienta decisões e comportamentos diariamente.
Obrigado!
Perguntas e Discussão
Vamos praticar e fortalecer a segurança da informação juntos! Este é apenas o começo de uma jornada contínua de proteção e aprimoramento.

Próximos passos: Aplique os conceitos aprendidos desenvolvendo sua própria política de segurança básica e compartilhe suas experiências com o grupo.