MAPA - ESOFT - SEGURANÇA E AUDITORIA DE SISTEMAS - 54_2025
MAPA - ESOFT - SEGURANÇA E AUDITORIA DE SISTEMAS - 54_2025
Pode-se definir a Política de Segurança da Informação (PSI) como um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é, basicamente, um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação.
A política tende a estabelecer regras e normas de conduta com o objetivo de diminuir a probabilidade da ocorrência de incidentes que provoquem, por exemplo, a indisponibilidade do serviço, furto ou, até mesmo, a perda de informações.
Deve ainda definir claramente as áreas de responsabilidade dos utilizadores do pessoal de gestão de sistemas e redes e da direção.
Por fim, fornece um enquadramento para a implementação de mecanismos de segurança, define procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.
Fonte: Adaptado de Xavier, 2016
ATIVIDADE MAPA
É recomendável que todas as organizações que utilizem ambientes de Tecnologia da Informação (localmente ou em nuvem) tenham suas próprias Políticas de Segurança da Informação, de forma a definir as questões relacionadas na introdução acima.
Levando isso em consideração, utilize como exemplo uma organização que atue no ramo varejista, vendendo bens de consumo para o cliente final, e que se utilize de Tecnologia da Informação para a operação de seus Sistemas de Informação (gestão de vendas, controle de estoque, gestão de recursos humanos, etc), bem como para a operação de seus pontos de venda (caixas onde o cliente paga pelos produtos adquiridos).
Consulte o livro utilizado como texto base do curso, a norma ISO 27001 ou outros normativos similares aos quais você tenha acesso, pesquise exemplos de Políticas de Segurança da Informação disponíveis na internet, e elabore uma Política de Segurança da Informação para essa organização varejista.
Não é necessário definir procedimentos e controles de segurança para funções específicas, tais como backup, antimalware, gestão de vulnerabilidades, e outros. Esses procedimentos usualmente são estabelecidos em documentos auxiliares subordinados à PSI.
Orientações Adicionais
Fundamentação Teórica: Baseie sua análise no material estudado, mas sinta-se à vontade para complementar com pesquisas adicionais, desde que devidamente referenciadas.
Formatação: Sua minuta de Política de Segurança da Informação deve ser redigida de forma clara, em linguagem acessível aos colaboradores da organização fictícia, organizado em seções bem definidas e observar as regras gramaticais e ortográficas da lingua portuguesa.
Bibliografia
Xavier, A. J.. Segurança e Auditoria de Sistemas. Unicesumar. 2016.
Fontes, E. L. G.. Política de Segurança da Informação. RNP. 2015.
Fontes, E.. Políticas e Normas para a Segurança da Informação. Brasport. 2012.
Freitas, A.. Política de Segurança da Informação. Ciência Moderna. 2020.
ABNT. NBR. ISO/IEC 27001. Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos. ABNT. 2022.
ABNT. NBR. ISO/IEC 27002. Segurança da informação, segurança cibernética e proteção da privacidade — Controles de segurança da informação. ABNT. 2022.