NORMAS E PADRÕES DE SEGURANÇA DA

INFORMAÇÃO

UNIDADE 1 - NORMAS E PADRÕES DE SI

Jaqueline Oliveira Zampronio

-1-
Introdução
Nesta unidade, conheceremos as normas e padrões de segurança de sistemas de informação (SI). Para tal, vamos
discutir as seguintes questões: o que são normas e padrões de segurança de SI? Qual a sua importância para as
pessoas e para as organizações? Quem desenvolve essas padronizações? Quais são os tipos de normas e padrões
que existem e que são aplicados nacional e internacionalmente?
A partir dessas perguntas, alcançaremos uma definição para o conceito de normas e padrões de segurança da
informação e descobriremos onde elas são implantadas, para depois entender a sua importância na área de
tecnologia da informação (TI). Passaremos a conhecer, então, os desenvolvedores de padronizações e os
princípios de segurança da informação, que são muito importantes e devem ser implantados e respeitados por
esses padrões.
Após passar por todas essas questões, apresentaremos uma visão geral de dois importantes padrões de
segurança de sistemas da informação que são adotados por organizações do Brasil e do mundo todo.
Analisaremos todas as políticas e requisitos utilizados nesses padrões e seus benefícios para as empresas. Além
disso, abordaremos a importância do conhecimento das normas para ajudar em oportunidades de mercado para
os profissionais de TI.
Pronto(a) para começar? Acompanhe esta unidade com atenção!

1.1 Segurança da informação: visão geral das normas de SI

Antes de conhecermos as normas e padrões de SI, é importante definirmos o que é segurança de sistemas de
informação. Sistemas de informação são os meios pelos quais a informação é transmitida, armazenada,
processada e/ou coletada, ou seja, os hardwares, os sistemas operacionais, a internet, os aplicativos, os e-mails,
os sites, as redes sociais etc. fazem parte dos SIs. Pelo fato de esses meios serem muito vulneráveis à exposição e
de fácil acesso para todos, há a necessidade de proteger todas as informações. Portanto, podemos dizer que a
segurança de sistemas de informação é a proteção da informação contra ameaças, invasões e alterações de dados
não autorizados (IMONIANA, 2016).
Visando proteger dados e informações, foram criados normas e padrões que têm um conjunto de requisitos para
ser seguido e utilizado para a garantia dessa proteção. Algumas dessas normas são de uso mundial e o Brasil é
um dos países que as adota para que suas instituições e organizações as obedeçam e sigam corretamente.

1.1.1 As organizações de padrões de segurança de SI

Quando ouvimos falar de padrões e normas de segurança, fica uma dúvida: quem define esses padrões? Quem
regulariza e aprova tudo isso? Existem importantes organizações que são especialistas nesse assunto. São elas
que desenvolvem e aplicam os padrões que controlam os sistemas de informação e computação (KIM;
SOLOMON, 2014). Vamos conhecê-las?
• Organização Internacional para Padronização (ISO)
É a organização mais conhecida de desenvolvimento de padrões para todos, sem exclusividades a nenhum grupo.
Fica em Genebra, na Suíça, e foi criada em 1946. O seu nome se deve também à sua política de consenso, pois ISO
vem da palavra grega isos, que significa “igual”. Um dos padrões mais conhecidos desenvolvido por eles é o
Modelo OSI, o qual apresenta a comunicação de rede separada em sete camadas: aplicativo, apresentação,
sessão, transporte, rede, enlace e física (KIM; SOLOMON, 2014).

-2-
Figura 1 - O fluxo da comunicação de rede do Modelo OSI deve ser respeitado e ele começa da camada física e vai
até a camada de aplicação.
Fonte: BeeBright, Shutterstock, 2019.

• Agência da União Europeia para a Segurança de Rede e Informação (ENISA) e Instituto Nacional
de Padronização e Tecnologia (NIST)
A Agência da União Europeia para a Segurança de Rede e Informação (ENISA) é o órgão da União Europeia que é
especialista em segurança cibernética naquele continente. Já o Instituto Nacional de Padronização e Tecnologia
(NIST) é o órgão do governo dos Estados Unidos que faz parte do Departamento de Comércio. Ele é responsável
por várias publicações de pesquisas na área de segurança de SI que estão na coleção de documentos chamada
“Série 800” (KIM; SOLOMON, 2014).
• Comissão Eletrotécnica Internacional (IEC)
É um dos órgãos mais antigos da área de padrões. Criado em 1906, ele trabalha em conjunto com a ISO e a ITU-T,
e suas especialidades são os padrões de componentes e processos elétricos e eletrônicos. É fácil encontrar
padronizações IEC em hardwares e redes no que diz respeito à segurança, desempenho, eficiência energética e
fontes renováveis. O intuito dessa comissão é que o maior número de membros participe para garantir sua
internalização e o máximo de uso dos seus padrões (KIM; SOLOMON, 2014).
• Consórcio da World Wide Web (W3C)
O famoso “www” da internet que inicia todo endereço de links e sites é controlado e padronizado pela W3C. Pela
lógica, esse órgão é especialista em padrões de web, os quais são desenvolvidos para que haja compatibilidade
para variados fornecedores web. As padronizações mais conhecidas são: CSS, HTML, XML, CGI, SOAP e WSDL
(KIM; SOLOMON, 2014).
• Força-tarefa de Engenharia da Internet (IETF)
Como o próprio nome diz, a IETF é especialista em padrões para internet. Esse órgão, que foi criado em 1986 e é
composto por voluntários, desenvolve os protocolos de comunicação da internet para que ela funcione da
melhor forma possível. Sendo assim, os principais padrões são os que envolvem o protocolo TCP/IP, com os
quais a IETF, a W3C e a ISO/IEC trabalham em conjunto (KIM; SOLOMON, 2014).

-3-
VOCÊ SABIA?
A IETF tem uma variedade de documentos conhecidos como RFC (Request for Comments –
Solicitação por Comentários). Alguns desses documentos são comunicados, instruções ou
padrões. As RFCs passam por várias fases de revisão para somente no final poderem se tornar
um padrão ou simplesmente uma especificação. Quando tiver potencial para ser um padrão,
ela percorre por quatro estágios: padrão proposto (PS), padrão rascunho (DS), padrão (STD) e
melhor prática atual (BCP) (KIM; SOLOMON, 2014).

• Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE)

Assim como o IEC, o IEEE é um órgão que desenvolve padrões da área de elétrica e eletrônica, mas seus enfoques
são em magnetismo, comunicações ópticas, dispositivos fotônicos e computação. É o órgão com maior número
de membros, divididos em 38 sociedades, que desenvolvem várias publicações, congressos, conferências,
eventos, workshops, treinamentos etc. Com relação à segurança da informação, o IEEE tem os padrões IEEE 802
LAN/MAN, que são protocolos de rede muito utilizados e conhecidos, compostos por ethernet, token ring, MAN,
LAN, modems, bluetooth e WiMAX (KIM; SOLOMON, 2014).

VAMOS PRATICAR?
O Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE) é uma das organizações de padrão
mais conhecidas do mundo. Ele tem inúmeros associados. Muitos deles são professores e
colaboradores das universidades brasileiras que publicam artigos científicos que enriquecem
nossa produção acadêmica com projetos de alta tecnologia nas áreas da elétrica,
telecomunicação, computação etc. O IEEE sempre faz eventos, congressos, workshops e
conferências para divulgar as publicações e permitir que os membros apresentem seus
projetos. Alguns padrões surgem dessas produções científicas.
Pensando nisso, imagine que um gestor de uma empresa procura você, um profissional em
segurança de tecnologia da informação (TI), para ajudá-lo em um problema de segurança na
rede da organização que danificou vários arquivos. Você, conhecendo os padrões do IEEE para
a segurança de rede, deve, agora, indicar o melhor padrão a ser utilizado para proteger o
sistema dessa instituição e justificar sua escolha. Bom trabalho!

• Setor de Telecomunicações da União Internacional de Telecomunicações (ITU-T)

Esse órgão é o mais antigo de todos (1865). Ele faz parte das Nações Unidas e é especialista em padrões de
telecomunicações, além de desenvolver questões sobre tecnologia e informação. Ele – que tem sede em Genebra,
na Suíça – também define os conceitos de cobranças e tarifas dos serviços de telecomunicações. No campo da
segurança da informação, as recomendações X.25, X.75 e X.509 são os padrões elaborados pela ITU-T (KIM;
SOLOMON, 2014).
• Instituto Nacional Americano de Padronização (ANSI)

O Instituto Nacional Americano de Padronização é um dos grandes órgãos dos Estados Unidos que foca no

-4-
O Instituto Nacional Americano de Padronização é um dos grandes órgãos dos Estados Unidos que foca no
mercado do país. Sua responsabilidade é monitorar criações, publicações e gestão de padrões para que não
prejudiquem os empreendimentos dos EUA. Nas questões de segurança da informação, a ANSI está direcionada
mais para o desenvolvimento de softwares. Portanto, código ANSI, padrão americano de FORTRAN e C ANSI são
suas principais padronizações (KIM; SOLOMON, 2014).

1.1.2 Os pilares de segurança de SI

Para que as informações estejam seguras, é necessário metodologias, procedimentos e técnicas. Por isso, foram
criados alguns princípios para a segurança de SI, os quais as empresas adaptam para sua política de proteção de
propriedade intelectual e negócios.
A tríade CID é conhecida como os pilares da segurança de SI e ela é formada pelos conceitos de
confidencialidade, integridade e disponibilidade (GALVÃO, 2015). Conheça cada um desses conceitos, clicando
nas abas.

Confidencialidade
Ela consiste no fato de que somente pessoas autorizadas podem ter acesso às informações. Ou seja, fica restrito o
acesso à propriedade intelectual, dados pessoais, privados e de negócios. A técnica para isso é a implantação de
senha e códigos em documentos e sistemas que apenas indivíduos confiáveis têm permissão de acessar e alterar,
de forma a evitar a violação de privacidade de pessoas mal-intencionadas.

Integridade
Ela se baseia na precisão da informação, se está correta, se é verdadeira, se é válida, se não foi violada e nem
alterada por pessoas não autorizadas. É um conceito importante que visa garantir que a segurança da
informação, quando enviada a um destino qualquer, esteja fiel e sem qualquer mudança. Se houver alguma falha
ou erro na validade da informação, isso pode ser um risco muito grande para as empresas que guardam
conteúdos importantes como patentes, propriedade intelectual, fórmulas e dados confidenciais, registro de
clientes e fornecedores etc.

Disponibilidade
Ela trata da acessibilidade das informações sempre que solicitadas pelas pessoas autorizadas. Esse
procedimento também está ligado ao tempo de vida da informação, ou seja, às medidas utilizadas pelas
empresas para a duração do uso do sistema, dados e softwares pelos usuários permitidos. Algumas das mais
conhecidas são: tempo de utilização, tempo de paralisação, tempo disponível, tempo médio para falha (MTTF),
tempo médio para reparo (MTTR) e objetivo de tempo de recuperação (RTO).

-5-
 Figura 2 - Os principais pilares da segurança de sistema da informação devem ser seguidos e respeitados no
desenvolvimento de qualquer norma ou padrão de segurança SI.
Fonte: Elaborada pela autora, baseada em CURVELLO, 2017.

Além da tríade CID, há também outros três princípios da segurança da informação. São eles: a autenticidade, a
irrevogabilidade e a conformidade. A autenticidade se baseia na garantia de que a informação vem de uma
fonte/pessoa confiável e autorizada, ou seja, do controle de usuário para que não haja fraudes. A
irrevogabilidade trata do impedimento de o indivíduo negar sua autoria da informação, ou seja, esse conceito
está diretamente relacionado à autenticidade. Além disso, é um pilar importante nos conhecidos casos de roubo
de direitos autorais para identificar quem são os criminosos e as vítimas (GALVÃO, 2015). Finalmente, a
conformidade incumbe que a execução da segurança da informação cumpra com as normas e padrões
regimentados. A empresa que segue esse princípio tem reconhecimento no mercado, pois apresenta qualidade e
certificação na proteção de seu SI.

1.1.3 Tipos de normas e padrões de segurança de SI

Existem inúmeros padrões de segurança de sistemas da informação, e os produtos e sistemas de computação
devem seguir todos eles para serem compatíveis com diferentes marcas de outros lugares do mundo. Além disso,
eles foram desenvolvidos pelas organizações de padronização respeitando e seguindo os princípios da segurança
da informação apresentados acima. Os mais conhecidos e utilizados no Brasil e no mundo, que trataremos logo
em seguida, são o ISO/IEC 27002 e PCI-DSS.

-6-
VOCÊ QUER LER?
O livro “Políticas de segurança da informação”, de Edison Fontes (2015), é um curso excelente
para os profissionais de TI que desejam atuar na área de segurança de SI. Basicamente, é uma
instrução de como desenvolver e implementar uma política de segurança nas organizações,
obedecendo e seguindo as normas e padrões de segurança mais reconhecidos e importantes
do mercado.

No Brasil, o Ministério do Planejamento, Orçamento e Gestão criou o ePING. Os Padrões de Interoperabilidade de

Governo Eletrônico são uma arquitetura desenvolvida para regimentar o uso da Tecnologia de Informação e
Comunicação (TIC), possibilitando a interação das partições governamentais e da sociedade com os serviços de
governo eletrônico. Ele é composto pelo conjunto de requisitos mínimos a serem seguidos dispostos na
sequência. Clique e confira!

Adoção preferencial de padrões abertos.

Uso de software público e/ou software livre.
Transparência.
Segurança.
Existência de suporte de mercado.

VOCÊ QUER VER?

O filme “A rede” (1995), com direção de Irwin Winkler, foi pioneiro ao abordar o tema da
invasão de hackers. Essa ação cheia de suspense conta sobre uma programadora que recebe
misteriosamente um disquete que pertence ao governo. A partir desse momento, ela passa a
ser procurada por um homem que deseja roubar o dispositivo. Vale a pena ver até que ponto
aqueles que desejam roubar informações confidenciais chegam e de tudo que a personagem
principal faz para garantir a segurança da rede.

Na seção de segurança, aparecem várias cláusulas que devem ser seguidas rigorosamente para a proteção dos
sistemas da informação do governo contra fraudes, ameaças, riscos e invasões, respeitando os princípios da
segurança da informação CID, que vimos anteriormente. Além disso, o ePING tem como referência vários
decretos sobre segurança de SI e as normas da série ISO/IEC 27000 (BRASIL, 2017).

-7-
1.2 Segurança da informação: visão geral das normas de
ISO
A ISO é um respeitado e reconhecido órgão de padronização. Ela criou as famosas normas ISO 9001, que versa
sobre gestão de qualidade das empresas; ISO 14001, que consiste nos sistemas de gestão ambiental das
organizações; e ISO 45001, que trata dos sistemas de gestão da saúde e segurança ocupacional. Para a área de
segurança de sistemas da informação, não seria diferente: seus padrões são adotados pelas empresas como um
importante requisito na proteção de dados corporativos.

Figura 3 - As três normas mais conhecidas da ISO (ISO 9001, ISO 14001, ISO 45001 ou OHSAS 18001) são
chamadas de Sistema de Gestão Integrada.
Fonte: Digital Saint, Shutterstock, 2019.

A série de normas ISO 27000 é a padronização que trata do sistema de gestão de segurança da informação. Ela

-8-
A série de normas ISO 27000 é a padronização que trata do sistema de gestão de segurança da informação. Ela
originou-se de um padrão desenvolvido pelo British Standard em 1995, conhecido como BS 7799, que em 1999
foi revisado e ramificou-se em “BS 7799-1: Boas práticas para gestão de segurança da informação”, “BS 7799-2:
sistemas de gestão de segurança da informação” e “BS 7799-3: orientações para gestão de risco”. Dessas
ramificações, a que nos interessa é a BS 7799-1, que em 2000 foi adotada pela ISO como ISO/IEC 17799 e, mais à
frente, em 2007, como ISO/IEC 27002.

1.2.1 ISO/IEC 17799

A ISO/IEC 17799, conhecida como “Tecnologia da informação – Técnicas de segurança – Código de prática para a
gestão da segurança da informação”, tem como objetivo prover diretrizes para análise e avaliação de riscos e
ameaças quanto ao sistema de informação das organizações. Ela é estruturada por 11 seções, apresentadas a
seguir.

VAMOS PRATICAR?
Quando aprendemos e precisamos consultar alguma lei ou decreto, vemos aqueles
documentos cheios de artigos, seções e cláusulas. Além disso, eles são difíceis de entender,
porque neles é utilizada uma linguagem mais complexa, com expressões jurídicas. Isso não
acontece com a documentação de normas de segurança. Os documentos que a ABNT faz dos
padrões da ISO são muito bem estruturados e de fácil entendimento. Eles são separados em
seções que são compostas por categorias. Cada categoria tem um objetivo e alguns requisitos
que apresentam controle e diretrizes a serem seguidas.
Com base nisso, imagine que uma instituição governamental teve seu sistema invadido, tendo
o hacker conseguido acessar o login e senha dos usuários e, assim, roubar informações
confidenciais e ameaçar divulgá-las. Tendo conhecimento do fato, você oferece o seu trabalho
para investigar o ataque e descobrir qual foi a falha de segurança. Confira na norma da ISO/IEC
17799 qual seção trata do tipo de falta ocorrido na instituição e quais são as medidas
necessárias para que isso não aconteça mais.

Clique nas abas para conhecer as primeiras seções deste código.

• Política de Segurança da Informação

Seus requisitos são: documento da política de segurança da informação e análise crítica da política de
segurança da informação (ABNT, 2005). O primeiro trata da responsabilidade da diretoria em aprovar e
publicar o documento da política para acesso de todos os funcionários. Já o segundo diz respeito à
manutenção, avaliação e atualização periódica dessa política para maior adequação aos negócios da
instituição.

• Organização a Segurança da Informação

Ela é composta por duas categorias: infraestrutura da segurança da informação e partes externas. A
primeira tem os seguintes requisitos: responsabilidade da diretoria com a segurança da informação;
controle da segurança da informação; concessão de responsabilidade para a segurança da informação;
processo de autorização para os recursos do tratamento da informação; tratados de confidencialidade;
comunicação com autoridades; relação com equipes especiais; e investigação independente de segurança

da informação. Já a segunda tem os seguintes princípios: reconhecimento dos perigos associados com

-9-
 da informação. Já a segunda tem os seguintes princípios: reconhecimento dos perigos associados com
externos; reconhecimento da segurança da informação, quando tratando com os clientes; e
reconhecimento da segurança da informação nos negócios com terceiros (ABNT, 2005).

• Gestão de Ativos
Ela é dividida em duas categorias: responsabilidade pelos ativos e classificação da informação. A
primeira visa atingir e garantir a proteção correta dos ativos das empresas e apresenta os requisitos a
seguir: catálogo dos ativos; responsável dos ativos; e uso admissível dos ativos. A segunda tem o objetivo
de garantir que a informação tenha a proteção correta. Seus princípios são: referências para inventário; e
rótulos e análise da informação (ABNT, 2005).

• Segurança em Recursos Humanos

Essa seção é separada em três categorias: antes da contratação, durante a contratação e encerramento
ou mudança de contratação. A primeira tem os requisitos de papéis e comprometimentos; apuração e
teores; e circunstâncias de contratação. A segunda tem os conceitos de comprometimentos da direção;
visão; instrução e treinamento em segurança da informação; e processo educacional. Finalmente, a
última tem os seus princípios de término de atividades; retorno de ativos; e corte de direitos de acesso
(ABNT, 2005).

• Segurança Física e do Ambiente

Uma das categorias é de áreas seguras, que tem as exigências de perímetro de segurança física;
restrições de entrada física; segurança em escritórios, salas e dependências; proteção contra perigos
externos e do meio ambiente; trabalho em zona segura; acesso das pessoas e zonas de entrega e de
coleta. Segurança de equipamentos é a outra categoria, que tem as condições a seguir: instalação e
proteção do instrumento; proteção contra defeito de utilidades; proteção do cabeamento; manutenção
dos instrumentos; segurança de equipamentos fora da organização; reutilização e alienação garantida de
equipamentos; e eliminação de propriedade (ABNT, 2005).

• Gerenciamento das Operações e Comunicações

É a seção mais extensa, sendo a primeira categoria nomeada de procedimentos e responsabilidades
operacionais. Ela possui as premissas de documentação dos processos de operação; gerenciamento de
alterações; separação de funções; e partição dos recursos de desenvolvimento, teste e de produção. A
categoria de gerenciamento de serviços terceirizados tem as condições de remessa de serviços;
acompanhamento e investigação de serviços terceirizados; e gestão de alterações para serviços
terceirizados. A categoria de planejamento e aceitação dos sistemas utiliza a implantação de
gerenciamento de capacidade; e a aceitação de processos. A quarta categoria diz respeito aos
monitoramentos contra códigos maliciosos e códigos móveis. Já cópias de segurança é a categoria que
assegura a integridade e disponibilidade da informação e seus processamentos por meio de cópias de
segurança. A sexta categoria trata do gerenciamento da segurança em redes, e ela utiliza
monitoramentos de redes e proteção dos serviços de rede. O manuseio de mídias é a categoria que tem
as condições de gestão de mídias removíveis; eliminação de mídias; processos para lidar com a
informação; e segurança de documento dos sistemas. A categoria de troca de informações aplica políticas
e processos para permuta de informações; tratados para a permuta de informações; mídias em trânsito;
mensagens eletrônicas; e sistemas de informações do negócio. Já a categoria conhecida como serviços de
comércio eletrônico tem os princípios de segurança das informações desse mercado, das transações
online e de informações expostas ao público. O monitoramento é a última categoria, e ele traz os
registros de auditoria; o controle do uso do sistema; a segurança das informações dos registros (log); o
registro (log) do administrador e do operador; o registro (log) das faltas; e a sincronização dos relógios
(ABNT, 2005).

• Controle de Acessos

- 10 -
 • Controle de Acessos
Essa é a segunda maior seção, composta por sete categorias. A de requisitos de negócio para controle de
acesso tem a premissa de implantação de uma política de controle de acesso. Já a de gerenciamento de
acesso ao usuário aplica o registro de usuário; a gestão de privilégios e de senha do usuário; e
investigação dos direitos de acesso do usuário. A categoria de responsabilidades dos usuários trata do
uso de senhas; segurança dos instrumentos de usuário sem controle; e política de mesa e tela limpa. O
controle de acesso à rede é a categoria que trata da política de uso dos serviços de rede; da autenticação
para conexão externa do usuário; da identidade de instrumentos em redes; da segurança e configuração
de portas de diagnóstico remotas; da separação de redes; e do monitoramento de conexão e roteamento
de redes. A quinta tem as condições de procedimentos seguros de entrada no sistema (log-on);
identidade e autenticação de usuário; sistema de gestão de senha; uso de utilitários de sistema;
desconexão de terminal por inatividade; e restrição de horário de conexão. A categoria de controle de
acesso à aplicação e à informação tem os princípios de limitação de acesso à informação e segregação de
sistemas sensíveis. Finalmente, a computação móvel e trabalho remoto é a última categoria, e ela trata da
implantação de políticas e termos de uso de computação e comunicação móvel e de trabalho remoto
(ABNT, 2005).

Clique nas setas abaixo e conheça as outras seções da ISO/IEC

17799.
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Ela é dividida nas categorias de requisitos de segurança de sistemas de informação; processamento correto nas
aplicações; controles criptográficos; segurança dos arquivos do sistema; segurança em processos de
desenvolvimento e de suporte; e gestão de vulnerabilidades técnicas. A primeira adota a análise e especificação
das exigências de segurança. A próxima aplica a homologação dos dados de entrada; monitoramento do
processamento interno; integridade de mensagens; e homologação de dados de saída. A terceira emprega a
política para o uso de monitoramentos criptográficos e gerência de chaves. A quarta refere-se ao monitoramento
de software operacional; segurança dos dados para teste de sistema; e monitoramento de acesso ao código-fonte
de programa. A outra garante processos para controle de alterações; investigação técnica das aplicações após
alterações no sistema operacional; limitações sobre alterações em pacotes de software; disseminação de
informações; e monitoramento do desenvolvimento terceirizado de software. A última minimiza os riscos
causados pela investigação de técnicas vulneráveis, implantando monitoramento de fragilidades técnicas (ABNT,
2005).
Gestão de Incidentes de Segurança da Informação
Aqui há apenas as categorias de notificação de fragilidades e eventos de segurança da informação. A primeira
garante que as fragilidades e eventos de segurança de SI sejam informadas imediatamente para aplicação de
correção rápida, apresentando notificações de eventos e vulnerabilidades de segurança da informação. A outra
consiste na aplicação de obrigações e processos, aprendizagem com os incidentes de segurança da informação e
coleta de indícios (ABNT, 2005).
Gestão da Continuidade do Negócio
Essa seção é formada por apenas uma categoria: os aspectos da gestão da continuidade do negócio relativos à
segurança da informação. Suas premissas são: inserção da segurança de SI no procedimento de gerenciamento
da constância de negócio; constância de negócios e exame/avaliação de riscos; desenvolvimento e execução de
planos de continuidade relativos à segurança da informação; organização do plano de continuidade do negócio e
testes; assistência e revisão dos planos de continuidade do negócio (ABNT, 2005).
Conformidade
A última seção apresenta três categorias, sendo elas: conformidade com requisitos legais; conformidade com
normas e políticas de segurança da informação e conformidade técnica; e considerações quanto à auditoria de
sistemas de informação. A primeira aplica o reconhecimento da legislação vigente; direitos de propriedade

intelectual; segurança de registros corporativos; segurança de dados e privacidade de informações pessoais;

- 11 -
intelectual; segurança de registros corporativos; segurança de dados e privacidade de informações pessoais;
precaução contra mau uso de meios de processamento da informação; e padronização de monitoramentos de
criptografia. A outra adere à concordância com as políticas e normas de segurança da informação e apuração da
concordância técnica. Finalmente, a última abrange os requisitos de monitoramentos de auditoria de sistemas de
informação e segurança de métodos de auditoria de sistemas de informação (ABNT, 2005).
Na sequência, você conhecerá sobre a ISO/IEC 27002. Acompanhe!

1.2.2 ISO/IEC 27002

Conforme mencionado, essa norma é a atualização da ISO/IEC 17799 e passou a se chamar “Tecnologia da
informação – Técnicas de segurança – Código de prática para controles de segurança da informação”. A ISO/IEC
27002 é a mais respeitada e importante norma adotada pelas organizações nacionais e internacionais, pois suas
diretrizes são bem vistas pelos negócios, uma vez que protegem os sistemas da informação corporativos. Ao
compararmos com a sua antecessora, ela apenas acrescentou algumas seções e várias categorias ao seu
conteúdo, como podemos ver a seguir. Clique nas abas para conferir.

Análise/Avaliação e Tratamento de Riscos

Apresenta somente duas categorias: analisando/avaliando os riscos de segurança da informação e tratando os
riscos de segurança da informação. A primeira basicamente fala da identificação dos riscos e dos estragos que
eles podem causar, além da necessidade de verificação periódica de esses eventos acontecerem e de criar uma
orientação a ser seguida eficazmente para essas análises. A outra refere-se a empregar monitoramentos
adequados para diminuir os riscos; entender e admitir os riscos, reconhecendo que eles respondem à política da
empresa e aos critérios para a aceitação de risco; deter riscos, não possibilitando atos que poderiam provocar
riscos; e transportar os riscos causados para outras partes (ABNT, 2005).

Criptografia
Essa seção foi separada daquela que trata da aquisição, desenvolvimento e manutenção de sistemas de
informação e é formada por apenas uma categoria: a de controles criptográficos. O seu objetivo é garantir o uso
da criptografia ativa e corretamente, assegurando o cumprimento dos princípios da segurança dos sistemas da
informação. Seus requisitos são: política para a aplicação de monitoramentos criptográficos e gerenciamento de
chaves (ABNT, 2005).

Relacionamento na cadeia de suprimento

É formada também por duas categorias: segurança da informação na cadeia de suprimento e gerenciamento da
entrega do serviço do fornecedor. A primeira explana sobre a proteção garantida dos ativos das empresas a que
os fornecedores têm acesso, por meio da política de segurança da informação na relação com os fornecedores, do
reconhecimento da segurança da informação nos negócios com fornecedores e da cadeia de suprimentos na
tecnologia da comunicação e informação. A última discorre sobre cumprir os acordos de segurança da
informação e de entrega de serviços, mediante controle e investigação de serviços com fornecedores e gestão de
alterações para serviços com fornecedores (ABNT, 2005).

- 12 -
VOCÊ QUER VER?
Yuri Diógenes é um brasileiro especialista em segurança da informação e reconhecido nacional
e internacionalmente. Ele é autor, professor e gerente de programação sênior da Microsoft.
Diógenes ministra palestras e cursos na área no Brasil e no mundo. Além disso, já publicou
diversos livros, inclusive para a Microsoft, sendo o mais conhecido o “Certificação de analista
em segurança cibernética CySA+: preparatório para o exame CompTIA CS0-001”, que ajuda na
preparação para a prova do certificado CSA+.

Agora que conhecemos todo o conteúdo que compõe o padrão ISO, fica fácil reconhecer seus benefícios nas
empresas e entender sua utilização no meio corporativo. Além disso, cumpre destacar que existe certificação
para a ISO/IEC 27002, destinada aos profissionais de TI. Aqueles que têm esse certificado são bastante
requisitados no mercado, pois as empresas valorizam e dão preferência para eles devido à sua importância nos
negócios, assegurando a proteção dos sistemas da informação. Existem várias instituições que oferecem o curso
para a certificação ISO/IEC 27002, sendo um bom investimento para quem deseja maiores e melhores
oportunidades de emprego.

1.3 Segurança da informação: visão geral das normas de

PCI-DSS
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento foi criado em 2004 pelo PCI Security
Standards Council (Conselho de Padrões de Segurança do Setor de Cartões de Pagamento), que não é um órgão,
mas um fórum aberto global que desenvolve padrões para segurança da informação de contas, com sede em
Massachusetts, Estados Unidos. Esse padrão, como o próprio nome diz, trata da proteção de dados, transações e
informações de cartões de pagamento contra fraudes e roubos. É formado por 12 requisitos que estão divididos
em seis objetivos de controle, como vemos a seguir:

· Construir e manter a segurança de rede e sistemas:

1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão.
2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros
de segurança.
· Proteger os dados do titular do cartão:
3. Proteger os dados armazenados do titular do cartão.
4. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas.
· Manter um programa de gerenciamento de vulnerabilidades:
5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software
antivírus.
6. Desenvolver e manter sistemas e aplicativos seguros.
· Implementar medidas rigorosas de controle de acesso:
7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento
para o negócio.
8. Identificar e autenticar o acesso aos componentes do sistema.

9. Restringir o acesso físico aos dados do titular do cartão.

- 13 -
 9. Restringir o acesso físico aos dados do titular do cartão.
· Monitorar e testar as redes regularmente:
10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do
titular do cartão.
11. Testar regularmente os sistemas e processos de segurança.
· Manter uma política de segurança de informações:
12. Manter uma política que aborde a segurança da informação para todas as equipes. (PCI, 2018).

Figura 4 - O PCI Security Standards Council é um conselho que trata da segurança das informações de cartões de
pagamento.
Fonte: qvist, Shutterstock, 2019.

Assim como a ISO/IEC 27002, também existe uma certificação para PCI-DSS. Esse é um dos certificados mais
procurados pelos profissionais de TI, principalmente por aqueles que desejam trabalhar no setor financeiro.

- 14 -
CASO
Nós só damos valor à implantação da segurança da informação nas organizações quando
vemos casos como o da British Airways (BA). A companhia aérea sofreu uma invasão de
hackers no seu site e aplicativo, o que ocasionou o vazamento de informações de cartões de
crédito de mais de 380 mil usuários. Os clientes afetados foram os que realizaram compras de
passagem entre 21 de agosto e 5 de setembro de 2018, e tiveram dados como nomes,
endereços, e-mails, números de cartões de créditos e seus códigos de segurança expostos.
Assim que soube do vazamento, a BA relatou imediatamente a situação para a Information
Commissioner’s Office (ICO), que é especialista em proteção de informações no Reino Unido,
solicitando que investigassem e ajudassem a resolver o problema. Entretanto, a companhia
está sujeita a uma multa de 4% de sua receita anual por falha de segurança.
Assumindo suas responsabilidades, a empresa informou que contataria os clientes
prejudicados e os reembolsaria. Além disso, a BA instruiu os clientes a se dirigirem até suas
instituições bancárias para tomarem as devidas medidas de segurança.
O fato é que a BA poderia ter prevenido a ocorrência desse ataque se implantasse uma norma
de segurança de SI, colocando profissionais para gerenciar, controlar e proteger seus sistemas
de informação. Ela poderia, por exemplo, ter adotado o padrão PCI-DSS, uma vez que houve
uma falha na proteção das informações de cartão de pagamento dos usuários.

Por essa norma ser um complemento do padrão de segurança da informação ISO, as pessoas da área de TI
acabam fazendo os cursos para obterem as duas certificações e, assim, terem maiores possibilidades de
conseguir melhores cargos e um grande reconhecimento e valorização dentro das empresas. Portanto, quanto
mais especializações você tem, maiores e melhores oportunidades no mercado.

Síntese
Chegamos ao final desta unidade que tratou das normas e padrões de segurança da informação. Nela, abordamos
sobre vários aspectos da proteção das informações e dados de pessoas e empresas contra fraudes, ameaças,
riscos e invasões de indivíduos mal-intencionados.
Nesta unidade, você teve a oportunidade de:
• entender o que são as normas e padrões de segurança da informação e sua importância nas
organizações;
• conhecer alguns órgãos que desenvolvem padrões de segurança para várias áreas no mundo todo;
• aprender quais são os princípios da segurança da informação, principalmente a tríade CID;
• conhecer o padrão ePING desenvolvido e aplicado pelo governo federal brasileiro;
• analisar os padrões ISO, aprender sobre suas seções e categorias, além de suas aplicações nas
organizações;
• explorar o padrão PCI-DSS, conhecer seus objetivos de controle e requisitos para a proteção de
transações feitas por cartão de pagamento.

- 15 -
Bibliografia
A REDE. Direção de Irwin Winkler. Estados Unidos da América: Columbia Pictures, 1995. DVD.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 17799: Tecnologia da informação –
Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT,
2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO/IEC 27002: Tecnologia da informação –
Técnicas de segurança – Código de Prática para controles de segurança da informação. Rio de Janeiro: ABNT,
2013.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Padrões de Interoperabilidade de Governo
Eletrônico - ePING. Brasília: Secretaria de Tecnologia da Informação, 2017. Disponível em: <http://eping.
governoeletronico.gov.br/>. Acesso em: 26 jun. 2019.
CURVELLO, A. M. L. IoE – Internet de todas as coisas: quais os riscos de segurança? Goiás: IV Fórum Goiano
Tecnológico, 2017.
FONTES, E. L. G. Políticas de segurança da informação. Rio de Janeiro: RNP/ESR, 2015.
GALVÃO, M. C. Fundamentos de segurança da informação. São Paulo: Pearson, 2015.
IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2016.
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
KOLBE JÚNIOR, A. Sistemas de segurança da informação na era do conhecimento. Curitiba: InterSaberes,
2017.
PCI. Indústria de cartões de pagamento (PCI) - Padrão de Segurança de Dados: requisitos e procedimentos
da avaliação de segurança. Versão 3.2.1, maio de 2018. Disponível em: <https://www.pcisecuritystandards.org
/documents/PCI_DSS_v3-2-1_PT-BR.pdf?agreement=true&time=1563739756714>. Acesso em: 21 jul. 2019.

- 16 -