aula 01 - iso27000 e estrutura política de segurança da informação

SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE

CréditosCentro Universitário Senac São Paulo – Educação Superior a Distância

Diretor Regional Luiz Francisco de Assis Salgado

Superintendente Universitário e de Desenvolvimento Luiz Carlos Dourado

Reitor Sidney Zaganin Latorre

Diretor de Graduação Eduardo Mazzaferro Ehlers

Diretor de Pós-Graduação e Extensão Daniel Garcia Correa

Gerentes de Desenvolvimento Claudio Luiz de Souza Silva Luciana Bon Duarte Roland Anton Zottele Sandra Regina Mattos Abreu de Freitas

Coordenadora de Desenvolvimento Tecnologias Aplicadas à Educação Regina Helena Ribeiro

Coordenador de Operação Educação a Distância Alcir Vilela Junior

Professor Autor William Alevate

Técnico de Desenvolvimento Ozéas Vieira Santana Filho

Coordenadoras Pedagógicas Ariádiny Carolina Brasileiro Silva Izabella Saadi Cerutti Leal Reis Nivia Pereira Maseri de Moraes

Equipe de Design Educacional Alexsandra Cristiane Santos da Silva Angélica Lúcia Kanô Cristina Yurie Takahashi Diogo Maxwell Santos Felizardo Elisangela Almeida de Souza Flaviana Neri Francisco Shoiti Tanaka Gizele Laranjeira de Oliveira Sepulvida João Francisco Correia de Souza Juliana Quitério Lopez Salvaia Jussara Cristina Cubbo Kamila Harumi Sakurai Simões Karen Helena Bueno Lanfranchi Katya Martinez Almeida Lilian Brito Santos Luciana Marcheze Miguel Luciana Saito

Mariana Valeria Gulin Melcon Mônica Maria Penalber de Menezes Mônica Rodrigues dos Santos Nathália Barros de Souza Santos Paula Cristina Bataglia Buratini Renata Jessica Galdino Sueli Brianezi Carvalho Thiago Martins Navarro Wallace Roberto Bernardo

Equipe de Qualidade Ana Paula Pigossi Papalia Aparecida Daniele Carvalho do Nascimento Gabriela Souza da Silva Vivian Martins Gonçalves

Coordenador Multimídia e Audiovisual Adriano Tanganeli

Equipe de Design Audiovisual Adriana Matsuda Caio Souza Santos Camila Lazaresko Madrid Carlos Eduardo Toshiaki Kokubo Christian Ratajczyk Puig Danilo Dos Santos Netto Hugo Naoto Inácio de Assis Bento Nehme Karina de Morais Vaz Bonna Lucas Monachesi Rodrigues Marcela Corrente Marcio Rodrigo dos Reis Renan Ferreira Alves Renata Mendes Ribeiro Thalita de Cassia Mendasoli Gavetti Thamires Lopes de Castro Vandré Luiz dos Santos Victor Giriotas Marçon William Mordoch

Equipe de Design Multimídia Alexandre Lemes da Silva Cláudia Antônia Guimarães Rett Cristiane Marinho de Souza Eliane Katsumi Gushiken Elina Naomi Sakurabu Emília Abreu Fernando Eduardo Castro da Silva Mayra Aniya Michel Iuiti Navarro Moreno Renan Carlos Nunes De Souza Rodrigo Benites Gonçalves da Silva Wagner Ferri

Segurança da Informação e Continuidade

Aula 01

Gestão da Segurança da Informação: ISO27000 e estrutura Política de Segurança da Informação

Objetivos Específicos

• Identificar os elementos chave da ISO27000 e apresentar o conceito de Política de Segurança da Informação.

Temas

Introdução

1 Segurança

2 Aspectos da segurança da informação

3 Premissa básica da segurança de informação

4 Política de segurança da informação

Considerações finais

Referências

William AlevateProfessor

Senac São Paulo - Todos os Direitos Reservados


3

Introdução

Os adventos da internet no campo tecnológico e os efeitos da globalização no campo socioeconômico transformaram completamente o mundo em que vivemos. Essas transformações afetaram em cheio as organizações nas quais trabalhamos, quebrando diversos paradigmas e promovendo uma profunda reavaliação das prioridades por parte daqueles que estão no comando.

E se fôssemos elaborar uma lista dos principais problemas que as organizações enfrentam neste século, considerando o que vemos diariamente na pauta da grande mídia, provavelmente incluiríamos o terrorismo religioso, os altos índices de criminalidade, a explosão de crimes eletrônicos, a guerra cibernética, entre muitos outros. Todas essas situações, além de provocarem muita dor de cabeça para empresas e Estados, geralmente trazem grandes prejuízos financeiros e uma série de problemas de segurança.

Diariamente somos bombardeados com notícias nas quais a palavra “segurança” está inserida. De conflitos de guerra a fraudes bancárias, passando por crimes e desastres, podemos vê-la sendo aplicada a diferentes contextos. Afinal, o que significa segurança?

1 Segurança

Conforme Silva (2000), segurança pode ser definida como um estado no qual estamos livres de perigos e incertezas. No contexto organizacional, o estado de segurança é representado pelos ativos, que de acordo com o Security Officer (2006), ativo é tudo aquilo que possui valor e, consequentemente, demanda proteção.

1.1 Ativos

A determinação e classificação de ativos em grupos se dá por meio das diversas propriedades e semelhanças de necessidades, estratégias e ferramentas de proteção. Nesse conceito mais abrangente, os ativos normalmente acabam sendo divididos em áreas. Um exemplo comum são empresas que possuem departamentos de “segurança patrimonial” que cuidam da segurança física enquanto outro departamento de “segurança lógica” é responsável pela segurança dos sistemas de TI.

Se de um lado, esta estruturação traz benefícios de especialização técnica das equipes envolvidas, por outro lado, cria uma grande dificuldade na hora de implementar a segurança de maneira uniforme, focada em prioridades previamente definidas e compartilhadas por toda a organização.

A tabela 1 apresenta alguns tipos de exemplos de ativos.



4

Tabela 1 – Exemplo de classificação de ativos

Categoria de ativos Exemplo

Tangíveis• Informações de qualquer tipo – impressas e digitais.• Impressoras e computadores.• Móveis de escritório.

Intangíveis• Imagem da empresa.• Confiabilidade de um órgão público.• Marca de um produto.

Lógicos

• Dados armazenados em computadores.• Sistemas diversos.• Redes de telecom.• VOIP.

Físicos

• Estações de trabalho.• Ar-condicionado.• Fábrica.• Sala de aula.

Humanos• Empregados.• Prestadores de serviço.• Estagiários.

1.2 Demandas de segurança

Assim como os ativos, as demandas de segurança também devem possuir características e abordagens especializadas. Segundo o Guia oficial para formação de em Segurança da Informação (2006), o termo de “proteção” é dado às medidas que visam livrar os ativos de situações que possam trazer prejuízo.

As demandas de segurança podem ser classificadas de diversas formas como se pode ver na tabela 2.

Tabela 2 – Exemplo de classificação de proteção: lógicas, físicas e administrativas

Tipo de proteção Exemplo

Lógicas• Permissões em sistemas de acesso e de arquivos.• Firewalls.• Perfis de usuário em aplicações.

Físicas• Portas.• Fechaduras.• Guardas.

Administrativas• Políticas.• Normas.• Procedimentos.



5

De acordo com as necessidades das empresas, criam-se novas classificações e grupos de proteção.

Uma implementação de segurança eficaz é pautada na utilização de diferentes tipos e ações de proteção que, em alguns casos, complementam-se e sobrepõem-se fornecendo redundâncias entre si, caso uma delas falhe ou seja violada.

Tabela 3 – Tipos de proteções

Tipo de proteção Descrição

Preventiva Evita que incidentes ocorram.

Desencorajadora Desencoraja a prática de ações.

Limitadora Diminui danos causados.

Monitoradora Monitora estado e funcionamento.

Detectora Detecta a ocorrência de incidentes.

Reativa Reage a determinados incidentes.

Corretiva Repara falhas existentes.

Recuperadora Repara danos causados por incidentes.

1.3 Segurança da Informação (SI)

Em Segurança da Informação (SI) lidamos com um tipo específico de ativo que são chamados de “ativo de informação”. São aqueles que geram, processam, manipulam, transmitem, armazenam e descartam informações, além das informações em si.

Conforme definição da norma ABNT NBR ISO/IEC 27002:2013:

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. [...] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Muitas vezes, os ativos que fazem parte do escopo da SI são equivocadamente avaliados como sendo os ativos de TI. A TI envolve basicamente o uso de hardwares (HW) e softwares (SW) para processar informações em sistemas de forma automatizada.



6

Apesar do papel primordial dos HW e SW nas atividades de tratamento de informação, vê-los como o único universo em que as proteções devem ser implementadas leva a uma concepção extremamente limitada e falha. As informações da organização para a qual você trabalha estão presentes em conversas telefônicas, impressas em relatórios e repassadas a terceiros. Isso nos mostra um campo de atuação muito mais amplo, com uma série de particularidades que serão conhecidas conforme a maturidade e experiência de cada profissional.

2 Aspectos da segurança da informação

Quando pensamos na segurança de um carro, a primeira coisa que nos vem à cabeça é o seguro contra roubo e colisão, além da instalação de alarmes e travas. Temos definido claramente o tipo de incidente que esperamos, o que estamos buscando proteger, bem como nossas necessidades pessoais em relação a este ativo. De modo simples, preocupamo-nos com os possíveis prejuízos.

Caso seu carro seja roubado ou danificado, a perda decorrerá da aquisição de um novo veículo e do custo de reparação. Se você ficar sem o carro por um período, os prejuízos serão causados por uma situação adversa para a qual você não se preparou adequadamente.

De modo simples, a segurança busca a proteção contra situações nas quais o prejuízo é causado por conta dos danos diretos aos ativos ou por situações inesperadas para as quais precisamos nos preparar pelo histórico e pela forma de tratar as contingências.

Especificamente no caso da SI, quando nos debruçamos sobre aspectos que devemos observar em nossos ativos de informação para os quais tais situações não ocorram, veremos que eles formam aquilo que chamamos de “pirâmide ou tríade de SI”:

Para González Júnior (apud SÊMOLA, 2011, p. 33):

[...] um sistema de informação é baseado na tríade CIA (Confidentiality, Integrity and Availability) – Confidencialidade, Integridade e Disponibilidade. Ela representa as principais propriedades que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger.



7

Figura 1 – Pirâmide ou Tríade de CIA

Fonte: do autor.

Tais propriedades de segurança podem ser explicadas da seguinte forma:

• confidencialidade: propriedade que limita o acesso da informação somente à empresa proprietárias ou a quem ela autorizar que acesse. Por exemplo: a fórmula plástica utilizada pela Havaianas em seus chinelos, que são líderes de vendas;

• integridade: propriedade que consiste em proteger as informações contra qualquer tipo de alteração em seu estado original, seja de forma intencional, seja acidental. Por exemplo, se um funcionário tenta alterar o valor do seu salário no sistema de RH de sua empresa está tentando comprometer a integridade desta informação de maneira intencional. Já um pacote de comunicação, cujo conteúdo foi alterado por conta de uma falha na transmissão, teve a sua integridade comprometida de maneira acidental;

• disponibilidade: propriedade que garante que a informação esteja sempre disponível para o seu uso legítimo, ou seja, por usuários autorizados pelo proprietário da informação. Novamente aqui podemos ter situações acidentais ou intencionais que comprometeriam este aspecto. Uma pessoa má intencionada pode inserir um vírus em um servidor apenas para comprometer o seu funcionamento. Já uma falha prolongada no fornecimento de energia elétrica pode impossibilitar o funcionamento de toda uma empresa.



8

Existem algumas discussões acadêmicas acerca das principais propriedades da SI, a maioria sobre as normas, considerando a família da ISO 27000, que incluem a questão da legalidade e autenticidade no grupo de propriedades que se deseja proteger.

• Autenticidade: propriedade entre “confidencialidade” e “integridade” que garante se a informação é legítima mediante meios eletrônicos ou processuais. Os principais elementos para a defesa e implantação desta premissa são os conhecidos “PINs”, “senhas” e “contrassenhas”, ou ainda a utilização de “chaves públicas e privadas”

• Legalidade: propriedade inserida entre os três preceitos básicos – confidencialidade, integridade e disponibilidade – e que possui base legal para sua utilização. Trata-se de informações básicas que contêm necessidades legais ou que seguem leis e regulamentos para sua implantação e uso. Informações ilegais são aquelas que não podem ser apresentadas em determinados fóruns ou documentos sob pena de acionamentos legais.

3 Premissa básica da segurança de informação

A segurança máxima próxima aos 100%, é uma meta buscada, normalmente, dentro do meio militar, onde as falhas podem custar a vida, um ativo de valor imensurável. Inicialmente, grande parte da doutrina acadêmica relacionada à SI foi desenvolvida neste ambiente. Por conta disso, muitos profissionais têm uma tendência de ver a segurança pela perspectiva do ativo e da maior proteção que ele pode possuir.

Entretanto, podemos-se afirmar que “não existe segurança absoluta”, por mais medidas ou precauções que tomemos. Hipoteticamente, até poderia existir tal segurança se houvesse orçamento infinito, mas na prática, isso é impossível.

Se tivéssemos um orçamento infinito nas organizações, poderíamos implementar ações desejáveis para determinadas condições, mas que, na prática, seriam abstratas ou desnecessárias.

É como um portão de uma casa que já possui proteção por chaves, acionamento eletrônico, olho mágico e, pensando em aumentar a segurança, o proprietário resolve colocar mais um cadeado. Será que é uma solução

necessária?



9

Por isso, essa ótica de superproteção não é adequada dentro das empresas, nas quais as concessões são feitas objetivando as estratégias da empresa como um fim e não a segurança puramente. Toda empresa possui um orçamento determinado para soluções em SI, considerando suas necessidades. Algumas soluções são desejáveis, porém não entram na âmbito da necessidade e podem ser deixadas de lado.

Com isso, considera-se a premissa de que “segurança custa dinheiro” e deve ser executada “onde e quando for necessária”. A SI deve ser implantada e adequada ao longo do tempo para proteger o que existe de mais útil dentro e fora das organizações, estudando continuamente e adequando o orçamento com a realidade da segurança.

Partindo deste pressuposto, podemos concluir que há uma série de fatores e componentes a serem gerenciados. É necessário garantir que a segurança dos ativos esteja dentro de níveis adequados para a organização e, também, que os recursos gastos para atingir tais níveis sigam as premissas básicas da relação entre custo e benefício.

3.1 Os componentes básicos

O “Guia oficial para formação de gestores em segurança da informação” (2006) informa que, para oferecer a segurança adequada a uma organização sem perder de vista o bom senso financeiro dos investimentos, é necessária a interação de alguns agentes. Por isso, consideramos os seguintes fatores:

• valor: importância do ativo para a organização. Pode ser avaliado por propriedades mensuráveis, como o seu valor financeiro, o lucro que ele poderá prover ou o custo para substituí-lo ou ainda propriedades abstratas como o comprometimento da imagem da empresa por causa do vazamento de uma informação sigilosa;

• ameaça: evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos, seja provocando prejuízos decorrentes de situações inesperadas. Gases tóxicos, gases no ambiente e botijões sem a devida segurança são ameaças que podem desencadear um incêndio. Um meliante armado dentro de um banco ou uma joalheria podem praticar um roubo. Estes são exemplos de ameaça;

• vulnerabilidade: a ausência de um mecanismo de proteção ou falha em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. O que vai determinar se um incêndio pode ou não ocorrer e afetar o negócio é a ausência ou ineficácia de mecanismos de proteção, detecção e extinção;



10

• impacto: tamanho do prejuízo decorrente da concretização de uma determinada ameaça medido por propriedades mensuráveis ou abstratas. Diferentes ameaças possuem impactos diferentes. O impacto de um incêndio geralmente é maior que um roubo. Dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça. O impacto decorrente do roubo de um servidor é, em geral, maior que aquele causado pelo roubo de uma estação de trabalho;

• risco: medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará. É a principal métrica gerencial de SI. Quanto mais probabilidades de ocorrer uma ameaça e o impacto dela se concretizar, maior será o risco associado a este incidente.

Tabela 4 - Evolução do cenário recente da segurança da informação

Época Ambiente Proteção Foco principal Posição da informática

1970 a 1980 Mainframe Dados Confidencialidade Retaguarda

1980 a 1990 Mainframe + Redes

Dados + Informação

Confidencialidade + Integridade

Retaguarda + Administração e Operação

1990 a 2000 Mainframe + Redes + IP

Dados + Informação + Conhecimento

Confidencialidade + Integridade + Disponibilidade

Negócio

A partir de 2000

Interativo (nuvem e elementos conectáveis)

Dados+ Informação +Conhecimento +Monitoramento

Confidencialidade + Integridade + Disponibilidade + Autenticidade + Legalidade

Negócio + Comunidade + Sociedade Civil organizada

Fonte: Guia oficial para formação de gestores em segurança da informação (2006).

O Marco Civil da Internet, lei primária em processo de aprovação pelo Congresso brasileiro trará luzes a questões a muito discutidas como “o que se pode” e “o que não se pode” fazer nas comunicações web em todo Brasil. É fundamental o seu conhecimento e o estudo dos desdobramentos que ele trará, a forma como se utilizam e se difundem as questões da informática e daí por diante. A segurança da informação deverá seguir pelo mesmo caminho, apoiando a legislação e respondendo a questões de “como se faz a comunicação pela internet com segurança”.



11

4 Política de segurança da informação

Já abordamos os conceitos de segurança da informação, seus principais aspectos e premissas e, agora, trataremos sobre sua política dentro das organizações.

A política de segurança da informação de uma organização é um conjunto de documentos que descreve os objetivos que todas as atividades ligadas à SI devem trabalhar para atingir. Em linhas gerais, a política resume os princípios de SI que a organização reconhece como importantes e que devem estar presentes no dia a dia de suas atividades.

A existência desses princípios na política também significa que a organização os vê de forma alinhada aos objetivos de negócio. Tais políticas servem como linhas-mestras para todas as atividades de SI desempenhadas em uma organização e são de extrema importância, pois é por meio delas que a estratégia de SI é montada e passada para todas as áreas envolvidas nas mais diversas esferas. As políticas também demonstram o comprometimento da alta direção da organização com a segurança, ponto fundamental para que ela possa ser gerida de forma eficaz, contando com o apoio da maior quantidade possível de colaboradores.

Os problemas relacionados à SI estão no topo da lista de prioridades de muitas organizações. O desenvolvimento de políticas é o ponto crucial na criação de um plano de SI coeso e que faça sentido. Deve ser gradualmente implantado e deve servir como norte, evitando iniciativas isoladas que, muitas vezes, desperdiçam recursos e têm a sua efetividade comprometida em virtude da falta de uniformidade.

A necessidade da política também surge quando analisada por uma perspectiva de conformidade legal. Muitas organizações têm seu funcionamento controlado por entidades externas que impõem requisitos em relação à SI. O desenvolvimento das políticas é ponto fundamental em uma série de normas e regulamentações, além de ser incentivado por normas internacionais de melhores práticas. Esse fator é importante, pois o não desenvolvimento de políticas pode ser considerado como negligência administrativa, caso a empresa seja processada por problemas de SI que tenham causado danos a terceiros, como acionistas ou funcionários.

4.1 A implementação das políticas de segurança

As políticas de segurança são importantes para o trabalho de todos os colaboradores de uma organização, tendo ainda importância adicional para aqueles que trabalham na sua aplicação como profissionais de tecnologia e segurança.

O momento ideal para o desenvolvimento das políticas é antes que um problema de segurança mais grave ocorra, pois a prevenção e o preparo são justamente a sua principal finalidade. Quando a política for iniciada imediatamente após um problema de segurança



12

que serviu como pretexto, deve-se tomar cuidado para não focar de forma excessiva no índice recente. Exemplos de outras situações:

• redução de riscos: incidentes de segurança comprometem, em última instância, a capacidade das organizações de atingir seus objetivos. Desenvolver políticas é uma forma de conhecer esses riscos e trazê-los a patamares gerenciáveis;

• conformidade: o processo de conformidade com aspectos legais e regulatórios pode, muitas vezes, exigir o desenvolvimento total ou parcial de políticas. Essa situação pode permitir que os custos possam ser incorporados ao projeto que origina tal demanda.

4.1.1 Como as políticas devem ser desenvolvidas

A política de segurança trabalha como viabilizador estratégico para objetivos maiores alinhados às necessidades de negócio de cada organização. Descobrir quais são esses objetivos e desenvolver o documento, tendo em mente que eles devem ser atingidos e executados, é a melhor forma de desenvolver a política de forma eficaz.

Exemplos de objetivos:

• proteção da imagem da organização;

• proteção de segredos corporativos ou industriais; e

• minimização dos problemas de disponibilidade de sistemas.

Feito isso, o próximo passo é detectar os pontos prioritários de atenção de acordo com sua importância e relevância, mantendo sempre o foco nos objetivos. Se a proteção de segredos industriais é o objetivo, então, provavelmente, os dispositivos de armazenamento e os processos de manipulação dessas informações despontarão como importantes e urgentes.

A prioridade também é afetada pela existência ou ausência de controles e vulnerabilidades. Uma das melhores formas de levantar essas informações é por meio da Análise e Avaliação de Risco (AAR), passo considerado fundamental para o desenvolvimento da política. Essa abordagem enfrenta problemas em muitas organizações, pois os processos de AAR nem sempre são simples e, muito menos, de fácil execução. Além disso, muitos profissionais querem, de uma só vez, efetuá-la em toda a corporação. Esta tentativa pode-se mostrar, em termos práticos, inviável. Diminuir o escopo focando em ambientes menores, que tenham mais importância, pode ser a melhor estratégia.

Além de obedecer a esses princípios, o profissional deve tentar definir o time que vai participar do desenvolvimento das políticas. É importante não subestimar o trabalho e avaliar de forma realista os recursos disponíveis. A contratação de terceiros pode ser um bom recurso, mas nem todas as organizações podem, ou querem, contratar tal serviço. Sem um



13

apoio especializado, trabalhos de grande porte podem estar fadados ao fracasso. Na ausência de profissionais já gabaritados e experientes, o conhecimento e a partilha dos escopos pode ser o foco para atingir os objetivos. Cortar o escopo e determinar limites faz com que o trabalho alcance seu fim e, ao término, pode-se revisar a política daquele escopo e, com isso, ampliar o processo para outros escopos e assim por diante.

Figura 2 - Exemplo de modelo de política de segurança

Fonte: do autor.

Tabela 5 – Comportamento dos níveis da política de segurança

Tipo de documento Nível de atuação

Diretriz Estratégico

Norma Tático

Procedimentos e Instruções Operacional

Fonte: Guia oficial para formação de gestores em segurança da informação (2006, p. 93).

Cada nível, com cada especificidade, determina o que se espera dele e complementa uma política em uma “pirâmide” que faz sentido e dá as expectativas específicas a cada nível e cada termo.



14

Considerações finais

A segurança da informação é tangível tanto quanto suas políticas permitam – esta fase é de lapidamendo e deve ser encarada da forma mais absoluta possível. Se a empresa não tiver uma política que embase o seu processo de segurança, não será um projeto tangível.

Também temos a certeza que não há caminho certo para uma organização, no momento presente, se não for desenvolvido, implementado e realizado um adequado projeto de segurança da informação. Então, os projetos de segurança são mandatórios e, para que existam e se concretizem, eles dependem de políticas bem escritas e implementadas.

Mas do que realmente precisamos?

De vontade política e principalmente de “conhecimento”. Esta singela palavra que estrutura cabeças e que cria uma comunidade mais preparada e estabelecida para que haja ações efetivas e bem estruturadas. Empresas com esta disposição terão sucesso e formarão o que se chama de “consciência coletiva”, pois quando um colaborador sai da empresa e se destina a outra, levará consigo o conhecimento. Isto ocorre repetidamente e faz com que todos venham, em algum tempo, a ter o mesmo conhecimento, difundi-lo, divulgá-lo e vivê-lo.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR/ISO/IEC 17799: Tecnologia da Informação – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005.

______________. NBR ISSO/IEC 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro, 2013.

FONTES, E. Políticas e normas para segurança da informação. São Paulo: Brasport, 2012.

GONZÁLEZ JÚNIOR, I. P. Avaliação dos sistemas de informação nas organizações: um estudo de caso em empresas do comércio varejista da cidade de Cruz das Almas – BA. Dissertação (Mestrado em Administração Estratégica) – Universidade de Salvador – UNIFACS. Disponível em: <http://tede.unifacs.br/tde_busca/arquivo.php?codArquivo=668>. Acesso em: 28 mar. 2014.

RAMOS, A. (org.) Guia oficial para formação de gestores em segurança da informação. Porto Alegre, RS: Zouk, 2006.

SILVA, P. Vocabulário jurídico. Rio de Janeiro: Forense, v. IV, 2000.

aula 01 - iso27000 e estrutura política de segurança da informação

Documents