Normas e Políticas de Segurança da Informação A Importância da Padronização e da Governança A segurança da informação não pode ser alcançada apenas por meio de ferramentas tecnológicas (firewalls, antivírus, criptografia). É necessário estabelecer um conjunto de diretrizes, regras e processos que orientem o comportamento das pessoas, a gestão dos ativos e a resposta a incidentes. É nesse contexto que se inserem as normas e as políticas de segurança. Políticas de segurança: Documentos internos de uma organização que definem as regras, responsabilidades e procedimentos para proteger seus ativos de informação. São adaptadas à realidade, ao apetite a risco e aos objetivos estratégicos da organização. Normas de segurança: Padrões reconhecidos internacionalmente (ou nacionalmente) que estabelecem requisitos, boas práticas e métricas para a gestão da segurança da informação. Geralmente são desenvolvidas por organismos de normalização (ISO, IEC, ABNT) e sua adoção pode ser voluntária (para buscar certificação) ou obrigatória por força de contrato ou regulamentação setorial. Para concursos e vestibulares, é fundamental conhecer as principais normas (especialmente a ISO/IEC 27001), entender a estrutura e os objetivos das políticas de segurança, e saber como elas se relacionam com a governança de TI e a conformidade legal (LGPD, Marco Civil da Internet, etc.). Normas de Segurança da Informação 2.1. ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação (SGSI) A ISO/IEC 27001 é a norma internacional mais conhecida e adotada para a implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). Publicada pela primeira vez em 2005 e revisada em 2013 e 2022, ela segue a estrutura de alto nível (HLS – High-Level Structure) comum a outras normas ISO de gestão (ISO 9001, ISO 14001), o que facilita a integração. Princípios fundamentais da ISO 27001: Abordagem de gestão de riscos: as medidas de segurança devem ser proporcionais aos riscos identificados. Melhoria contínua (ciclo PDCA – Plan, Do, Check, Act, ou mais recentemente o ciclo “planejar, fazer, verificar, agir” adaptado ao SGSI). Comprometimento da alta direção. Avaliação e tratamento de riscos. Definição de controles (Anexo A da norma, que lista 93 controles na versão 2022, agrupados em 4 categorias: organizacionais, pessoas, físicas e tecnológicas). Estrutura da ISO 27001 (cláusulas principais): Escopo – limites e aplicabilidade do SGSI. Referências normativas – documentos citados. Termos e definições. Contexto da organização – compreensão das partes interessadas e requisitos. Liderança – comprometimento da alta direção, política de segurança, definição de papéis. Planejamento – avaliação de riscos, plano de tratamento de riscos, objetivos de segurança. Suporte – recursos, competência, conscientização, comunicação, documentação. Operação – implementação dos controles, gestão de incidentes, continuidade. Avaliação de desempenho – monitoramento, auditoria interna, análise crítica pela direção. Melhoria – não conformidades, ações corretivas, melhoria contínua. Certificação ISO 27001: Uma organização pode contratar um organismo certificador independente (ex.: Bureau Veritas, SGS, DNV) para auditar seu SGSI. Se aprovada, recebe um certificado válido por três anos, com auditorias de manutenção anuais. A certificação demonstra a compromisso com a segurança da informação a clientes, parceiros e reguladores. 2.2. ISO/IEC 27002 – Código de Prática para Controles de Segurança A ISO/IEC 27002 é uma norma complementar (não certificável) que fornece diretrizes detalhadas para a implementação dos controles listados no Anexo A da ISO 27001. Ela descreve objetivos de controle e recomendações práticas, sem ser prescritiva. Exemplos de controles: Política de controle de acesso: restringir acesso a sistemas e dados com base em princípio do menor privilégio. Gestão de continuidade de negócios: planos e procedimentos para garantir disponibilidade em crises. Segurança em recursos humanos: cláusulas de confidencialidade em contratos, processo de desligamento. Gestão de incidentes de segurança: registro, análise, resposta e aprendizado. Segurança física: controle de acesso a data centers, áreas restritas, proteção contra incêndio. A versão 2022 da ISO 27002 reorganizou os controles em 4 temas: organizacional (37 controles), pessoas (8), físicas (14) e tecnológicas (34). 2.3. Outras Normas Relevantes | Norma | Descrição | |-------|-----------| | ISO/IEC 27005 | Diretrizes para gestão de riscos de segurança da informação. | | ISO/IEC 27017 | Diretrizes para controles de segurança em computação em nuvem (baseada na 27002). | | ISO/IEC 27018 | Código de prática para proteção de dados pessoais na nuvem. | | ISO/IEC 27701 | Extensão da 27001 para Privacidade de Informações (GDPR, LGPD). | | NBR ISO/IEC 27001 | Versão brasileira da norma (ABNT). | | NIST SP 800-53 | Catálogo de controles de segurança do National Institute of Standards and Technology (EUA), amplamente usado em governos. | | COBIT (Control Objectives for Information and Related Technologies) | Framework de governança e gestão de TI, que inclui objetivos de controle para segurança. | Políticas de Segurança da Informação Uma política de segurança é um documento formal de alto nível que estabelece as diretrizes, responsabilidades e regras para proteger os ativos de informação. Deve ser aprovada pela alta direção, comunicada a todos os funcionários e revisada periodicamente. 3.1. Estrutura Típica de uma Política de Segurança Introdução e objetivos: Propósito da política, escopo (a quem se aplica, quais ativos), definições. Comprometimento da direção: Declaração de que a alta direção apoia e exige o cumprimento. Papéis e responsabilidades: Quem é o gestor de segurança, responsabilidades de funcionários, de TI, de RH, etc. Regras específicas (políticas temáticas): Podem ser documentos separados, mas geralmente a política-mãe referencia: - Política de controle de acesso (senhas, autenticação, privilégios). - Política de uso aceitável (o que os funcionários podem fazer com os recursos de TI). - Política de classificação e tratamento da informação (como rotular dados como público, interno, confidencial, secreto). - Política de backup e retenção de dados. - Política de segurança física. - Política de resposta a incidentes. - Política de continuidade de negócios. Consequências do descumprimento: Medidas disciplinares (advertência, suspensão, demissão, ações legais). Revisão e atualização: Periodicidade (anual, ou após mudanças significativas). 3.2. Exemplos de Políticas Específicas Política de Senhas Comprimento mínimo: 12 caracteres. Complexidade: maiúsculas, minúsculas, números, símbolos (ou apenas comprimento, se adotada abordagem de passphrase). Histórico: impedir reutilização das últimas 5 senhas. Tempo de expiração: não obrigatório (recomendação NIST atual), mas muitas empresas ainda adotam 90 dias. Bloqueio por tentativas: 5 tentativas falhas, bloqueio por 15 minutos. Proibição de compartilhamento de senhas. Uso de gerenciador de senhas corporativo. Política de Uso Aceitável da Internet e E-mail Uso pessoal: permitido apenas incidental e moderado, sem consumo excessivo de banda. Conteúdo proibido: pornografia, jogos, material ilegal, ofensivo, discriminação. E-mails corporativos: não devem ser usados para registros pessoais; cuidado com phishing e anexos suspeitos. Criptografia: obrigatória para envio de dados sensíveis por e-mail (S/MIME, Office 365 Message Encryption). Monitoramento: a organização pode monitorar o uso (avisar previamente). Política de Controle de Acesso Princípio do menor privilégio: cada usuário tem acesso apenas ao necessário para suas funções. Revisão periódica de acessos (trimestral ou semestral). Remoção imediata de acessos de funcionários desligados. Autenticação multifator (MFA) obrigatória para acesso remoto, administradores e sistemas críticos. Política de Classificação da Informação | Classificação | Descrição | Exemplo | |---------------|-----------|---------| | Pública | Informação que pode ser divulgada livremente | Comunicados de imprensa, cardápio da cantina | | Interna | Uso apenas por funcionários, sem dano se vazada | Regimento interno, organograma | | Confidencial | Danos se vazada (imagem, financeiro) | Dados de clientes, planejamento estratégico | | Secreta / Restrita | Danos graves, exigem autorização especial | Segredos industriais, dados de pesquisa em andamento, informações privilegiadas | Para cada classificação, define-se regras de armazenamento, acesso, transmissão (ex.: confidencial deve ser criptografado em trânsito e repouso). Governança de Segurança e Conformidade 4.1. Governança de TI e Segurança A governança de segurança é parte da governança corporativa. Ela estabelece a estrutura de responsabilidades, comitês, métricas e relatórios para garantir que a segurança da informação seja gerenciada de forma alinhada aos objetivos de negócio e ao apetite a risco. Elementos da governança de segurança: Comitê de Segurança da Informação (CSI): Composto por diretores, gestores de TI, jurídico, RH, auditoria. Define políticas, aprova planos de ação, revisa incidentes. Indicadores de desempenho (KPIs): Ex.: tempo médio para aplicar patches, número de incidentes de phishing reportados, cobertura de MFA. Auditoria interna e externa: Verificação da conformidade com políticas e normas. Relatórios à alta direção e ao conselho. 4.2. Conformidade Legal e Regulatória (Brasil) As políticas e normas de segurança devem estar em conformidade com a legislação aplicável, sob risco de multas e sanções. LGPD (Lei Geral de Proteção de Dados – Lei nº 13.709/2018): Exige que organizações (públicas e privadas) implementem medidas de segurança para proteger dados pessoais, nomeiem um Encarregado (DPO), relatem vazamentos à ANPD e aos titulares, e adotem princípios como necessidade, transparência e finalidade. A não conformidade pode gerar multas de até 2% do faturamento (limitado a R$ 50 milhões por infração). Marco Civil da Internet (Lei nº 12.965/2014): Estabelece princípios como neutralidade de rede, privacidade, guarda de registros de conexão e de acesso a aplicações. Lei de Acesso à Informação (Lei nº 12.527/2011): Obriga órgãos públicos a disponibilizar informações de ofício (transparência ativa) e a responder pedidos (transparência passiva), exigindo também políticas de segurança para proteger informações sigilosas. Lei de Governo Digital (Lei nº 14.129/2021): Diretrizes para digitalização de serviços públicos, incluindo requisitos de segurança, interoperabilidade e acessibilidade. Instruções Normativas (ex.: IN 04/2020 da Secretaria de Governo Digital) sobre governança de TI no setor público federal, incluindo segurança. Implantação de Políticas e Normas na Prática 5.1. Passos para Implementar um SGSI Baseado na ISO 27001 Obter apoio da alta direção: Apresentar benefícios (certificação, redução de riscos, vantagem competitiva). Definir escopo: Quais áreas, processos, sistemas e locais serão cobertos. Realizar análise de riscos (ISO 27005): Identificar ativos, ameaças, vulnerabilidades, probabilidade e impacto. Definir plano de tratamento de riscos: Selecionar controles do Anexo A (ou outros) para mitigar riscos. Elaborar documentos: Política de segurança, declaração de aplicabilidade (SoA), procedimentos, planos de resposta. Implementar controles técnicos e organizacionais: Firewall, MFA, treinamento, backup, etc. Realizar auditoria interna e análise crítica pela direção. Certificação (opcional): Auditoria externa de certificação. 5.2. Exemplo de Política de Segurança da Informação (Sumário) TÍTULO: Política de Segurança da Informação – Empresa X VERSÃO: 2.0 APROVADO POR: Diretoria Executiva em 15/03/2025 OBJETIVO: Proteger a confidencialidade, integridade e disponibilidade dos ativos de informação. ESCOPO: Todos os funcionários, terceiros, estagiários e prestadores de serviço; todos os sistemas, dados e instalações da Empresa X. DEFINIÇÕES: SGSI, incidente, ativo, etc. PAPÉIS: O CISO (Chief Information Security Officer) é responsável pela gestão; o Comitê de Segurança aprova políticas; os funcionários devem reportar incidentes. POLÍTICAS ESPECÍFICAS (anexos): 5.1 Controle de Acesso e Senhas 5.2 Uso Aceitável da Internet e E-mail 5.3 Classificação da Informação 5.4 Backup e Retenção 5.5 Resposta a Incidentes CONFORMIDADE: O descumprimento sujeita o infrator a medidas disciplinares, incluindo demissão por justa causa e responsabilização civil/criminal. REVISÃO: Anualmente ou sempre que houver mudança significativa. 5.3. Treinamento e Conscientização Políticas só são eficazes se os funcionários as conhecem e as aplicam. A organização deve: Realizar treinamento de integração para novos funcionários. Oferecer reciclagem anual. Enviar comunicados periódicos sobre mudanças. Realizar simulações de phishing e outros exercícios. Incluir cláusulas de confidencialidade em contratos de trabalho e com terceiros. Quadro Comparativo: Política vs. Norma vs. Procedimento | Documento | Nível | Exemplo | Obrigatoriedade | |-----------|-------|---------|------------------| | Política | Alto (estratégico) | “Todos os funcionários devem usar senhas fortes.” | Obrigatório, aplicável a todos | | Norma | Externo ou interno padrão | “As senhas devem ter pelo menos 12 caracteres e conter 3 das 4 categorias.” | Obrigatória (se adotada) | | Procedimento | Operacional (como fazer) | “Passo a passo para alterar senha no sistema AD.” | Obrigatório para execução da tarefa | Quadro Comparativo: ISO 27001 vs. NIST CSF vs. COBIT | Característica | ISO 27001 | NIST CSF | COBIT | |----------------|-----------|----------|-------| | Natureza | Norma certificável | Framework (guia) | Framework (governança) | | Estrutura | Cláusulas + Anexo A (controles) | 5 funções (Identificar, Proteger, Detectar, Responder, Recuperar) | 5 domínios (EDM, APO, BAI, DSS, MEA) | | Foco | SGSI – gestão da segurança | Gestão de riscos de cibersegurança | Governança de TI (inclui segurança) | | Certificação | Sim (organização) | Não (autoavaliação) | Não (há exames individuais) | | Uso típico | Empresas que buscam certificação | Organizações públicas e privadas dos EUA | Grandes empresas, auditoria | Considerações Finais Normas e políticas de segurança são a espinha dorsal de uma gestão madura da segurança da informação. Enquanto as normas (como a ISO 27001) fornecem um modelo internacionalmente reconhecido para estruturar um SGSI, as políticas traduzem esses requisitos para a realidade específica de cada organização, definindo regras claras e responsabilidades. Para concursos e vestibulares, o candidato deve saber diferenciar política de norma, conhecer a estrutura da ISO 27001 e seu anexo de controles, entender os objetivos das principais políticas (senhas, uso aceitável, classificação, backup) e relacionar a segurança com a conformidade legal (LGPD, Lei de Acesso à Informação). Questões podem apresentar cenários de não conformidade e pedir a identificação do controle ou política violada. Exercícios: Em relação aos princípios da segurança da informação, marque a alternativa que contém SOMENTE princípios fundamentais conforme apresentados na aula: Qual das alternativas abaixo apresenta um exemplo correto de norma internacional de segurança da informação conforme o conteúdo estudado? Qual dos itens abaixo representa uma razão para a implementação de normas e políticas de segurança, segundo a aula? Complete a frase: O documento formal de alto nível, aprovado pela alta direção, que estabelece as diretrizes e o compromisso da organização com a proteção de seus ativos de informação é a _____. Complete a frase: A norma internacional que estabelece os requisitos para a implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI) dentro de uma organização é a _____. Complete a frase: De acordo com a ISO/IEC 27001, a fase do ciclo de gestão que envolve a realização de auditorias internas e a análise crítica para verificar se o SGSI está atingindo seus objetivos é a etapa de _____. Complete a frase: O princípio de controle de acesso que determina que cada usuário deve ter apenas as permissões estritamente necessárias para a execução de suas funções laborais é conhecido como _____. Complete a frase: Na classificação da informação, dados cuja divulgação não autorizada possa causar danos graves à estratégia ou finanças da organização, exigindo controles rigorosos de criptografia, são rotulados como _____. Complete a frase: A legislação brasileira que estabelece sanções administrativas severas, incluindo multas pesadas por infração, para organizações que não protejam adequadamente a privacidade de cidadãos é a _____. Complete a frase: O framework de governança e gestão de TI que fornece objetivos de controle e métricas para alinhar a tecnologia aos objetivos de negócio, incluindo a segurança, é o _____. Complete a frase: No contexto da ISO/IEC 27002 (versão 2022), o monitoramento de acesso físico a salas de servidores e áreas restritas pertence ao tema de _____. Complete a frase: O documento técnico que descreve o passo a passo detalhado de como uma tarefa de segurança específica deve ser executada para garantir a padronização operacional é chamado de _____. Complete a frase: A política de segurança que define formalmente o que os colaboradores podem ou não fazer com os recursos de tecnologia da empresa, proibindo condutas inadequadas, é a _____. Segundo a aula, qual é o principal objetivo de uma política de senhas dentro de uma organização? Sobre normas e políticas de segurança, assinale a alternativa CORRETA: