INÍCIO
Livros do Prof.
Política de Segurança da Informação
Aula 3: Fundamentos, elaboração e gestão de políticas de segurança organizacional
Capítulo 1
Fundamentos da Política de Segurança da Informação
Compreendendo os pilares essenciais que sustentam a proteção dos ativos informacionais nas organizações contemporâneas.
O que é Política de Segurança da Informação?
Documento Estratégico
Define regras, práticas e responsabilidades para proteger dados e sistemas organizacionais de forma abrangente.
Base para Decisões
Fundamenta as decisões da alta administração sobre investimentos e prioridades em segurança da informação.
A PSI estabelece o framework necessário para que toda a organização compreenda suas responsabilidades na proteção dos ativos informacionais críticos.
Por que a PSI é essencial?
Minimização de Riscos
Reduz drasticamente as chances de violações, invasões e perdas de ativos críticos de TI através de controles preventivos.
  • Prevenção de ataques cibernéticos
  • Proteção contra vazamento de dados
  • Redução de custos com incidentes
Garantia dos Princípios Fundamentais
Assegura os pilares essenciais da segurança: confidencialidade, integridade, disponibilidade e autenticidade.
  • Conformidade legal e regulatória
  • Confiança de clientes e parceiros
  • Continuidade dos negócios
Protegendo o Ativo Mais Valioso
A informação é o coração das organizações modernas. Protegê-la não é apenas uma questão técnica, mas estratégica para a sobrevivência e competitividade do negócio.
Os 5 Pilares da Segurança da Informação
Confidencialidade
Proteger contra acesso não autorizado, garantindo que apenas pessoas autorizadas vejam informações sensíveis.
Integridade
Garantir que os dados permaneçam corretos, completos e não sejam alterados indevidamente.
Disponibilidade
Assegurar acesso aos sistemas e informações sempre que necessário para as operações.
Autenticidade
Validar a identidade dos usuários e a origem das informações de forma confiável.
Não-Repudiação
Impedir que usuários neguem ações realizadas, mantendo trilhas de auditoria claras.
Normas Internacionais que Influenciam a PSI
1
ISO/IEC 27001
Padrão global para gestão da segurança da informação, reconhecido mundialmente como referência em boas práticas.
2
Decreto nº 9.637/2018
Institui a Política Nacional de Segurança da Informação no Brasil, aplicável a órgãos públicos e entidades privadas.
3
BS 7799 e NBR ISO/IEC 17799
Bases históricas que precederam e fundamentaram o desenvolvimento da norma ISO 27001 atual.
Capítulo 2
Elaboração da Política de Segurança da Informação
Um processo estruturado que transforma análise de riscos e necessidades organizacionais em diretrizes práticas e efetivas.
Elementos que Compõem a PSI
Procedimentos e Normas
Conjunto estruturado de procedimentos, normas, diretrizes e instruções detalhadas para execução.
Conformidade Legal
Referências explícitas a leis e regulamentos como CLT, LGPD e outras normativas aplicáveis.
Análise de Riscos
Fundamentada em análise criteriosa de riscos, vulnerabilidades e ameaças específicas do contexto.
Passos para Elaborar uma PSI Eficaz
Levantamento e Análise
Identificação completa de riscos, vulnerabilidades e ativos críticos que necessitam proteção prioritária.
Definição de Responsabilidades
Estabelecimento claro de responsabilidades, alçadas decisórias e papéis de cada área e função.
Estabelecimento de Normas
Criação de normas e procedimentos claros, objetivos e aplicáveis à realidade organizacional.
Comunicação e Treinamento
Disseminação efetiva e capacitação de todos os colaboradores sobre as políticas estabelecidas.
Diferença entre Norma, Diretriz e Procedimento
Norma
Regra obrigatória
Estabelece requisitos que devem ser cumpridos sem exceção. Possui caráter mandatório.
Exemplo: "Uso obrigatório de autenticação multifator"
Diretriz
Orientação flexível
Fornece orientação sobre melhores práticas, permitindo adaptações conforme o contexto.
Exemplo: "Recomenda-se revisar senhas periodicamente"
Procedimento
Passo a passo
Descreve detalhadamente como executar uma atividade específica de segurança.
Exemplo: "Roteiro para backup de dados críticos"
Da Análise de Risco à Implementação
O processo de elaboração de uma política de segurança segue um fluxo lógico que garante cobertura completa desde a identificação de ameaças até a operacionalização das medidas de proteção.
Capítulo 3
Normas e Procedimentos na Segurança da Informação
A implementação prática dos princípios de segurança através de regras claras e processos bem definidos.
Normas: O que São e Para que Servem?
Padronização de Comportamentos
Regras que estabelecem padrões consistentes de comportamento e processos em toda a organização.
  • Garantem uniformidade nas práticas
  • Reduzem ambiguidades e interpretações
  • Facilitam auditorias e conformidade
Exemplos Práticos
Aplicações concretas de normas no dia a dia organizacional:
  • Uso obrigatório de senhas fortes (mínimo 12 caracteres)
  • Controle de acesso baseado em funções
  • Criptografia de dados sensíveis em trânsito
Procedimentos: Como Garantir a Aplicação das Normas
Documentação Detalhada
Descrição passo a passo de todas as ações necessárias para implementar as normas de segurança.

Exemplo prático: Procedimento para resposta a incidentes de segurança contemplando detecção, contenção, investigação e recuperação.
  • Identificação de responsáveis
  • Sequência clara de ações
  • Critérios de decisão
  • Formulários e checklists
Importância da Atualização Contínua
Evolução Constante
Normas e procedimentos devem evoluir continuamente conforme surgem novas ameaças, tecnologias e regulamentações.
Monitoramento Ativo
Auditorias periódicas e revisões sistemáticas são essenciais para garantir efetividade e aderência às mudanças.
A segurança da informação é dinâmica. Uma política desatualizada pode ser tão perigosa quanto não ter política alguma.
Capítulo 4
Gestão das Políticas Organizacionais de Segurança
Transformar documentos em cultura organizacional através de liderança efetiva e gestão comprometida.
Gestão da PSI: Desafios e Responsabilidades
Envolvimento da Alta Direção
Comprometimento visível da liderança para garantir recursos adequados, apoio institucional e exemplo pelo comportamento.
Cultura de Segurança
Desenvolvimento de uma cultura organizacional onde segurança é responsabilidade de todos, não apenas da área de TI.
O sucesso da PSI depende fundamentalmente do engajamento genuíno desde o topo da hierarquia até a base operacional.
Ferramentas e Práticas para Gestão Eficaz
01
Comitês de Segurança
Estabelecer comitês multidisciplinares com representantes de todas as áreas críticas da organização.
02
Treinamentos Regulares
Programas contínuos de capacitação e campanhas de conscientização sobre ameaças e boas práticas.
03
Monitoramento e Métricas
Acompanhamento sistemático através de indicadores de desempenho e painéis de controle (dashboards).
Consequências do Não Cumprimento da PSI
Riscos Legais
Multas severas por não conformidade com LGPD, perda de licenças operacionais e processos judiciais.
Impactos Financeiros
Custos com recuperação de incidentes, perda de receitas, desvalorização de ações e compensações a clientes.
Danos Reputacionais
Perda de confiança de clientes e parceiros, exposição negativa na mídia e dificuldade em atrair talentos.

Casos reais no Brasil: Empresas que sofreram vazamentos de dados enfrentaram multas de milhões de reais e perda significativa de market share.
Ameaças Crescentes
O Brasil registrou aumento de 94% em ataques cibernéticos nos últimos 2 anos. Políticas robustas não são mais opcionais — são questão de sobrevivência empresarial.
Capítulo 5
Prática – Desenvolvimento de uma Política de Segurança Básica
Colocando em prática os conceitos aprendidos através da construção de uma política funcional e aplicável.
Estrutura Básica de uma PSI Simples
1
Introdução e Objetivos
Contextualização do documento e declaração clara dos objetivos da política de segurança.
2
Escopo e Público-Alvo
Definição de abrangência da política e identificação de todos os stakeholders envolvidos.
3
Definições e Conceitos
Glossário com terminologia técnica e conceitos essenciais para compreensão uniforme.
4
Regras Gerais de Segurança
Conjunto de diretrizes, normas e procedimentos aplicáveis a toda a organização.
Exemplo Prático: Política para Uso de Dispositivos Móveis
Controles Preventivos
  • Proibição de instalação de aplicativos não autorizados pela TI
  • Uso obrigatório de senhas complexas com mínimo de 8 caracteres
  • Ativação de criptografia para dados armazenados no dispositivo
  • Instalação automática de atualizações de segurança
Procedimentos de Emergência
  • Notificação imediata da TI em caso de perda ou roubo
  • Bloqueio remoto e apagamento de dados do dispositivo
  • Registro formal do incidente com número de protocolo
  • Revisão de acessos e credenciais comprometidas
Exercício: Criar Política para Controle de Acesso
Definir Níveis de Acesso
Estabeleça categorias claras: público, interno, confidencial e restrito. Determine quem pode acessar cada nível.
Responsabilidades dos Usuários
Documente obrigações de cada colaborador na proteção de credenciais e no uso adequado dos acessos.
Medidas de Autenticação
Especifique métodos de autenticação (senha, biometria, token) e processos de autorização por função.

Dica prática: Use o princípio do menor privilégio — conceda apenas os acessos estritamente necessários para cada função.
Dicas para uma Política Eficaz e Aderente
Linguagem Clara
Use linguagem objetiva, evitando jargões excessivos. A política deve ser compreensível por todos os colaboradores, independente da área.
Envolvimento dos Colaboradores
Inclua representantes de diversas áreas no processo de criação para garantir praticidade e aceitação organizacional.
Revisão Periódica
Estabeleça ciclos regulares de revisão (no mínimo anual) e mantenha flexibilidade para adaptações conforme mudanças.
Segurança é Responsabilidade de Todos
Uma política de segurança só é efetiva quando cada membro da organização compreende seu papel na proteção dos ativos informacionais e se compromete ativamente com as práticas estabelecidas.
Recursos e Referências para Aprofundamento
1
ISO/IEC 27001 e 27002
Normas internacionais com requisitos e código de práticas para sistemas de gestão de segurança da informação.
2
Decreto nº 9.637/2018
Política Nacional de Segurança da Informação brasileira, com diretrizes aplicáveis ao setor público e privado.
3
Cartilha GSI
Cartilha de Gestão de Segurança da Informação do Gabinete de Segurança Institucional da Presidência.
4
Certificações Profissionais
Cursos e certificações reconhecidas como CISSP, CISM, ISO 27001 Lead Implementer e CompTIA Security+.
Conclusão: A Política de Segurança como Pilar da Proteção Organizacional
Base Fundamental
A PSI é o alicerce para cultura e práticas seguras em toda a organização.
Proteção Abrangente
Protege ativos, pessoas e garante a continuidade do negócio em cenários adversos.
Compromisso Contínuo
Exige comprometimento permanente e gestão ativa de todos os níveis hierárquicos.
Lembre-se: uma política de segurança não é um documento estático em uma gaveta, mas um instrumento vivo que orienta decisões e comportamentos diariamente.
Obrigado!
Perguntas e Discussão
Vamos praticar e fortalecer a segurança da informação juntos! Este é apenas o começo de uma jornada contínua de proteção e aprimoramento.

Próximos passos: Aplique os conceitos aprendidos desenvolvendo sua própria política de segurança básica e compartilhe suas experiências com o grupo.