O documento aborda a política e cultura de segurança da informação, incluindo normas, governança e implementação de políticas efetivas para proteger informações em organizações. Destaca a importância de normas como ISO 27000 e práticas de gestão de riscos, além de enfatizar a necessidade de comunicação efetiva e comprometimento da gestão. Também menciona o Decreto nº 3505 que estabelece diretrizes para segurança da informação na administração pública federal.

1. Bruno S. Oliveira
Bolsista
bruno.oliveira@cti.gov.br
Tel.: +55 11 3746-6000 - Fax: +55 19 3746-6028
www.cti.gov.br

2. Política e Cultura de Segurança
26/01/2012
Bruno Silva de Oliveira– DSSI/CTI

3. Introdução
• Conteúdo baseado na unidade do curso de
especialização em Gestão da Segurança da
Informação e Comunicações na Universidade
de Brasília
• Será usada a mesma organização de conteúdo
das aulas, aproveitando em alguns pontos
para acrescentar outros autores

4. Introdução
• Autor do curso foi João Souza Neto
• Doutor em Engenharia Elétrica pela UnB, Mestre e,
Engenharia Eletrônica pelo Philips International
Institute da Holanda
• Professor do Mestrado em Gestão do
Conhecimento e Tecnologia da Informação na UnB

5. Introdução
• A apresentação seguirá a seguinte sequência:
– Normas de Segurança da Informação
– Governança de Segurança da Informação
– Política de Segurança da Informação
– Cultura de Segurança da Informação

6. NORMAS DE SEGURANÇA DA
INFORMAÇÃO
Neste capítulo, são apresentadas as principais normas de segurança da informação
nacionais e internacionais. O objetivo deste capítulo é definir o contexto normativo
sob o qual são elaborados, executados e gerenciados a governança de segurança da
informação, a política de segurança da informação e o programa de conscientização
em segurança da informação.

7. A Família de Normas ISO 27000
• Primeira norma com foco em segurança da
informação: BS 7799 (British Standard
Institute)
• Em 2001, é publicada a versão brasileira NBR
ISO 17799.
• A segunda parte da norma (sistema de gestão
das melhores práticas) se tornou a ISO 27001.
• A primeira parte da norma (melhores práticas
de segurança) se tornou a ISO 27002.

8. A Família de Normas ISO 27000
• Outras normas da família:
– ISO 27005/2008 -> Gestão de Risco em SI
– ISO 27006/2007 -> Auditoria e certificação de SI
• A ISO 27001 é a única com certificação, mas a
questão de definição do escopo para certificação,
pode ser definido como uma falha da norma,
porque possibilita que ocorra a situação da parte
certificada da organização estar em ótima
situação em SI e o restante estar em um nível
inferior

9. ISO/IEC 13335
• A norma ISSO/IEC 13335 abrange técnicas
para gerenciamento da segurança das
tecnologias da informação e de comunicação
• As funções de gerenciamento de segurança
estão estruturadas conforme abaixo:
– Visão geral (planejamento, implementação,
operação e manutenção)
– Condições ambientais e culturais
– Gerenciamento de riscos

10. Common Criteria (ISO/IEC 15408)
• Norma desenvolvida por diversos países para
avaliar a segurança da tecnologia da
informação. Logo tornou se a ISSO/IEC 15408
• O processo de avaliação dessa norma
estabelece um nível de confiança, cujos
requerimentos devem ser atendidos pela
funcionalidade de segurança dos produtos de
TI e pelas medidas de segurança aplicadas a
esses produtos.

11. Common Criteria (ISO/IEC 15408)
Parte 1: Introdução e Modelo Geral
• A parte um da norma trata ainda dos pacotes e perfis de
proteção, da avaliação dos resultados, da especificação dos
alvos de segurança, da especificação dos perfis de
proteção, dos requerimentos de segurança e da
conformidade
Parte 2: Componentes funcionais de segurança
• A parte dois da norma é a base dos requisitos funcionais de
segurança expressos no perfil de proteção ou no ativo de
segurança.

12. Common Criteria (ISO/IEC 15408)
Parte 3: Componentes de garantia de
segurança
• A parte três da norma trata dos componentes de garantia
de segurança que estabelecem um caminho padrão para
expressar os requisitos de segurança para os alvos de
avaliação. Esta parte da norma foi desenvolvida para os
clientes, desenvolvedores e avaliadores de segurança de
produtos de TI.

13. GOVERNANÇA DE SEGURANÇA DA
INFORMAÇÃO
O governo da segurança da informação significa encarar a segurança
adequada dos ativos de informação como um requisito não negociável de se
estar no mercado.

14. Governaça de Segurança da
Informação (ITGI, 2006)
• Para o ITGI (IT Governance Institute) a governança de
segurança da informação consiste na liderança,
estruturas organizacionais e processos que protegem
a informação.
• O fator crítico para o sucesso dessa governança é a
comunicação efetiva entre as partes interessadas
baseada em relacionamentos construtivos, uma
linguagem comum e a ação sinérgica das partes
interessadas.

15. Governaça de Segurança da
Informação (ITGI, 2006)
Os 5 resultados básicos da governança de segurança da informação
incluem:
1. O alinhamento estratégico da segurança da informação com a estratégia de
negócios para apoiar os objetivos organizacionais;
2. A gestão de riscos por meio da execução de medidas apropriadas para gerir e
mitigar riscos e reduzir impactos potenciais nos recursos da informação a um nível
aceitável;
3. A gestão de recursos por meio da utilização de conhecimento em segurança da
informação e da infra-estrutura de forma eficaz e eficiente;
4. A medição de desempenho por meio da medição, monitoramento, registro e
divulgação de métricas de governança de segurança da informação para garantir o
alcance dos objetivos organizacionais;
5. Entrega de valor pela otimização dos investimentos em segurança da informação
em apoio aos objetivos organizacionais.

16. Governaça de Segurança da
Informação (NIST, 2006)
• O NIST (National Institute of Standards and
Technology) define governança da segurança da
informação como o processo de estabelecer e manter
um framework e as estruturas e processos gerenciais
que o suportam para prover garantia de que as
estratégias de segurança da informação estão
alinhadas e apóiam os objetivos de negócio.

17. Governaça de Segurança da
Informação (NIST, 2006)
Figura 1 – Componentes da
Governança de Segurança da
Informação (NIST, 2006)

18. CobiT
• O CobiT (Control Objectives for Information and related
Technology) é um guia, formulado como um framework,
escrito para a auditoria e o controle da TI.
• Ele foi desenvolvido pelo ITGI e pelo ISACA (Information
Systems Audit and Control Association) e tem a missão de
pesquisar, desenvolver, publicar e promover um
framework de controle de governança de TI

19. CobiT
Figura 2 – Áreas de Foco do CobiT 4.1
No formato de um diamante, a
figura 2 mostra as 5 áreas de
foco e a governança de TI no
centro. Essa representação
demonstra que as áreas de foco
atuam na definição, implantação
e execução da governança de TI

20. CobiT
• Cada processo do CobiT é dividido em:
– Descrição do Processo: descreve a identificação do processo, o que
ele cobre, como ele satisfaz os requisitos de negócio da TI, no que ele
foca e como é medido;
– Objetivos de controle: descrevem cada objetivo de controle do
processo;
– Diretrizes de gerenciamento: mostram as entradas e saídas
relacionadas aos processos, a tabela RACI (Responsible, Accountable,
Consulted and Informed), a qual define a responsabilidade de cada
função e os objetivos e métricas do processo;
– Modelo de maturidade: descreve o nível de maturidade para o
processo (0 - Não existente, 1 - Inicial, 2

21. Risk IT Framework
• O Risk IT framework foi um uma iniciativa do ITGI para
auxiliar as empresas na gestão dos riscos relacionados
à TI e tem o intuito de ser um complemento do CobiT.
• Estabelece boas práticas e provê um framework para
a identificação, governo e gerência do risco da TI nas
empresas.

22. Risk IT Framework
Figura 3 – Tipos
de Risco da TI

23. Risk IT Framework
• Os tipos de risco podem ser:
– Risco da entrega de serviço de TI, associado ao desempenho e a
disponibilidade do serviço de TI e que pode destruir ou reduzir o valor da
organização;
– Risco da entrega da solução de TI, associado à contribuição da TI para
soluções de negócio novas ou aprimoradas, usualmente na forma de projetos
ou programas; e
– Risco da realização dos benefícios da TI, associado às oportunidades
(perdidas) de usar a tecnologia para melhorar a eficiência e a efetividade dos
processos de negócio ou para usar a tecnologia como habilitadora de novas
iniciativas de negócio.
• É importante observar que o risco da TI sempre existe, seja ele
reconhecido ou não pela organização

24. Risk IT Framework
• Na figura 4, mostra-se que
os componentes de Risk IT,
estão divididos em três
domínios, cada um com
três processos:
• Governança de risco:
• Estabelecer e manter uma visão comum de risco
• Integrar-se à gestão do risco corporativo;
• Criar uma consciência do risco nas decisões de
negócio.
• Avaliação de risco:
• Coletar dados;
• Analisar o risco;
• Manter o perfil de risco.
• Resposta ao risco:
• Articular o risco;
• Gerenciar o risco;
• Reagir aos eventos.

25. Risk IT Framework
Figura 4 – Componentes do
Risk IT

26. POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
Neste capítulo é abordada a necessidade de garantir a confiabilidade,
integridade e disponibilidade da informação dentro da empresa

27. Política de Segurança
• A política de SI (PSI) é a fundação da segurança de
informação de uma organização.
• Uma política adequada e efetiva contém
informação suficiente sobre o que deve ser feito
para proteger a informação e as pessoas de uma
organização..

28. Política de Segurança
• Etapas do processo de implementação de uma
PSI envolvem:
– Desenvolvimento:
• definição dos requisitos corporativos da PSI e
estabelecer padrões para documentação da política.
– Aprovação:
• gerenciar a transição da identificação das necessidades
da política até a obtenção da autorização por meio de
uma diretiva gerencial;

29. Política de Segurança
– Implementação
• solicitação e recepção ao apoio executivo e contar com
o envolvimento das áreas de negócio, e desenvolver
um programa de conscientização de segurança
corporativo;
– Conformidade
• avaliação da conformidade e da efetividade da política
estabelecida e ter ações corretivas para a não
conformidade;
– Manutenção
• condução de revisões formais da política e estabelecer
um processo de gestão de mudanças.

30. Política de Segurança
• A PSI estabelece regras de alto nível para a proteção de
recursos tecnológicos da organização e para os dados
armazenados nesses recursos (SANS, 2001)
• A norma NBR ISO/IEC 17799 define PSI como provedor de
orientação e apoio da direção para a SI (ABNT, 2005)
• A PSI é um conjunto de leis, regras e práticas que regulam
como os ativos que incluem informações sensíveis são
gerenciados, protegidos e distribuídos dentro da organização
(ITSEC)

31. Política de Segurança
• As características mais comuns em PSI são:
– Definição dos requisitos dos controles de segurança
da organização;
– Definição do comportamento apropriado dos
colaboradores e de outras partes interessadas;
– Comunicação com toda a organização o consenso
com respeito a requisitos e práticas de segurança;

32. Política de Segurança
– Prover, para a gerência e outras partes interessadas,
incluindo auditores, indicadores para a validação da
maturidade em segurança da informação e medidas
para a conformidade com o regulatório;
– Definição das condições sob as quais o
compartilhamento de informações e o acesso às
aplicações de negócio são permitidas.

33. Política de Segurança
• Entretanto, há muitos problemas que afetam
a implantação das PSI :
– Políticas desenvolvidas apenas para atender requisitos
regulatórios e de auditoria, sem relação com as necessidades
reais de segurança da organização nem com os requisitos de
negócio;
– Políticas desenvolvidas de forma isolada pelas equipes de
segurança sem levar em consideração necessidades específicas
de negócio;
– Políticas muito genéricas para poder, efetivamente, direcionar a
gestão da segurança da informação corporativa e a
implementação dos controles;

34. Política de Segurança
– Políticas que misturam política com padrões, normas
e procedimentos;
– Falhas da alta administração em demonstrar
compromisso e apoio claros e explícitos;
– Uso de linguagem e terminologia não apropriadas
para o público alvo; e
– Comunicação e conscientização deficientes da política
e dos requisitos de conformidade.

35. Decreto n° 3505 – PSI da APF
• O decreto Nº 3.505, de 13 de junho de 2000,
institui a política de segurança da informação
nos órgãos e entidades da Administração
Pública Federal (Presidência da República,
2000). O decreto estabelece, no seu artigo 1º,
que os pressupostos básicos da política são:

36. Decreto n° 3505 – PSI da APF
I. assegurar a garantia ao direito individual e
coletivo das pessoas, à inviolabilidade da sua
intimidade e ao sigilo da correspondência e
das comunicações, nos termos previstos na
Constituição;
II. proteção de assuntos que mereçam
tratamento especial;
III. capacitação dos segmentos das tecnologias
sensíveis;

37. Decreto n° 3505 – PSI da APF
IV. uso soberano de mecanismos de segurança
da informação, com o domínio de
tecnologias sensíveis e duais;
V. criação, desenvolvimento e manutenção de
mentalidade de segurança da informação;
VI. capacitação científico-tecnológica do País
para uso da criptografia na segurança e
defesa do Estado;

38. Decreto n° 3505 – PSI da APF
VII.conscientização dos órgãos e das entidades
da Administração Pública Federal sobre a
importância das informações processadas e
sobre o risco da sua vulnerabilidade.

39. Decreto n° 3505 – PSI da APF
• Como objetivos da política da informação, o decreto
estabelece no seu artigo 3°
I. dotar os órgãos e as entidades da Administração Pública
Federal de instrumentos jurídicos, normativos e
organizacionais que os capacitem científica, tecnológica
e administrativamente a assegurar a confidencialidade, a
integridade, a autenticidade, o não-repúdio e a
disponibilidade dos dados e das informações tratadas,
classificadas e sensíveis;
II. eliminar a dependência externa em relação a sistemas,
equipamentos, dispositivos e atividades vinculadas à
segurança dos sistemas de informação;

40. Decreto n° 3505 – PSI da APF
II. promover a capacitação de recursos humanos para o
desenvolvimento de competência científico-tecnológica em
segurança da informação;
III. estabelecer normas jurídicas necessárias à efetiva
implementação da segurança da informação;
V. promover as ações necessárias à implementação e
manutenção da segurança da informação;
VI. VI. promover o intercâmbio científico-tecnológico entre os
órgãos e as entidades da Administração Pública Federal e as
instituições públicas e privadas, sobre as atividades de
segurança da informação;

41. Decreto n° 3505 – PSI da APF
VII. promover a capacitação industrial do País com vistas
à sua autonomia no desenvolvimento e na
fabricação de produtos que incorporem recursos
criptográficos, assim como estimular o setor
produtivo a participar competitivamente do
mercado de bens e de serviços relacionados com a
segurança da informação; e
VIII.assegurar a interoperabilidade entre os sistemas de
segurança da informação.

42. Norma ABNT NBR ISSO/IEC
17799:2005
• A norma ABNT NBR ISO/IEC 17799 define a PSI
• O objetivo da política é prover uma orientação e apoio da
direção para a segurança da informação de acordo com os
requisitos do negócio e com as leis e regulamentações
relevantes.
• A norma estabelece ainda que convém à direção estabelecer
uma política clara, alinhada aos objetivos do negócio e
demonstrar apoio e comprometimento com a SI
• A norma preza pela criação de um documento da PSI aprovada
pela direção e que seja publicada e comunicada a todos os
funcionários

43. Norma ABNT NBR ISSO/IEC
17799:2005
• Nesse sentido, que o documento da política contenha
declaraçõeconvém s relativas a:
a) uma definição de segurança da informação, suas metas globais,
escopo e importância da segurança da informação como um
mecanismo que habilita o compartilhamento da informação;
b) uma declaração do comprometimento da direção, apoiando as
metas e princípios da segurança da informação, alinhada aos
objetivos e estratégias do negócio;
c) uma estrutura para estabelecer os objetivos de controle e os
controles, incluindo a estrutura de análise/avaliação e
gerenciamento de risco;

44. Norma ABNT NBR ISSO/IEC
17799:2005
d. breve explanação das políticas, princípios, normas e
requisitos de conformidade de segurança da
informação específicos para a organização, incluindo:
1. conformidade com a legislação e com requisitos
regulamentares e contratuais;
2. requisitos de conscientização, treinamento e educação em
segurança da informação;
3. gestão da continuidade do negócio; e
4. consequências das violações na política de segurança da
informação.

45. Norma ABNT NBR ISSO/IEC
17799:2005
e. definição das responsabilidades gerais e específicas
na gestão da segurança da informação, incluindo o
registro dos incidentes de segurança da informação;
f. referências à documentação que possam apoiar a
política, por exemplo, políticas e procedimentos de
segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que
os usuários devem seguir.

46. Norma Complementar
n°03/IN01/DSIC/GSIPR
• A Norma Complementar nº 03/IN01/DSIC/GSIPR, de
30 de junho de 2009, estabelece diretrizes, critérios e
procedimentos para elaboração, institucionalização,
divulgação e atualização da Política de Segurança da
Informação e Comunicações (POSIC) nos órgãos e
entidades da Administração Pública Federal, direta e
indireta (GSI, 2009).

47. Elaboração da POSIC
• Quanto à elaboração da POSIC, a Norma
Complementar estabelece:
1. Recomenda-se que, para a elaboração da POSIC, seja
instituído um Grupo de Trabalho constituído por
representantes dos diferentes setores do órgão ou entidade
da APF como, por exemplo, segurança patrimonial,
tecnologia da informação, recursos humanos, jurídico,
financeiro e planejamento;
2. A elaboração da POSIC deve levar em consideração a
natureza e finalidade do órgão ou entidade da APF,
alinhando-se sempre que possível à sua missão e ao
planejamento estratégico;

48. Elaboração da POSIC
3. Recomenda-se que, na elaboração da POSIC, sejam incluídos os
seguintes itens:
a) Escopo: neste item recomenda-se descrever o objetivo e a abrangência da
Política de Segurança da Informação e Comunicações, definindo o limite no qual
as ações de segurança da informação e comunicações serão desenvolvidas no
órgão ou entidade da APF;
b) Conceitos e definições: neste item recomenda-se relacionar todos os conceitos
e suas definições a serem utilizados na Política de Segurança da Informação e
Comunicações do órgão ou entidade da APF que possam gerar dificuldades de
interpretações ou significados ambíguos;
c) Referências legais e normativas: neste item recomenda-se relacionar as
referências legais e normativas utilizadas para a elaboração da Política de
Segurança da Informação e Comunicações do órgão ou entidade da APF;
d) Princípios: neste item recomenda-se relacionar os princípios que regem a
segurança da informação e comunicações no órgão ou entidade da APF;

49. Elaboração da POSIC
e) Diretrizes Gerais: neste item recomenda-se estabelecer
diretrizes sobre, no mínimo, os seguintes temas,
considerando as Normas específicas vigentes no
ordenamento jurídico:
i. Tratamento da Informação;
ii. Tratamento de Incidentes de Rede;
iii. Gestão de Risco;
iv. Gestão de Continuidade;
v. Auditoria e Conformidade;
vi. Controles de Acesso;
vii. Uso de e-mail;
viii. Acesso à Internet.

50. Elaboração da POSIC
f) Penalidades: neste item identificam-se as consequências e penalidades para os casos de
violação da Política de Segurança da Informação e Comunicações ou de quebra de
segurança, devendo ser proposto um termo de responsabilidade;
g) Competências e Responsabilidades: neste item recomendam-se os seguintes
procedimentos:
I. Definir a estrutura para a Gestão da Segurança da Informação e Comunicações;
II. Instituir o Gestor de Segurança da Informação e Comunicações do órgão ou entidade da APF, dentre servidores
públicos civis ou militares, conforme o caso, com as seguintes responsabilidades:
i. Promover cultura de segurança da informação e comunicações;
ii. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
iii. Propor recursos necessários às ações de segurança da informação e comunicações;
iv. Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a
Incidentes em Redes Computacionais;
v. Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da
informação e comunicações;
vi. Manter contato permanente e estreito com o Departamento de Segurança da Informação e
Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de
assuntos relativos à segurança da informação e comunicações;
vii. Propor Normas e procedimentos relativos à segurança da informação e comunicações no âmbito do
órgão ou entidade da APF.

51. Elaboração da POSIC
III. Instituir o Comitê de Segurança da Informação e Comunicações do órgão ou
entidade da APF com as seguintes responsabilidades:
i. Assessorar na implementação das ações de segurança da informação e comunicações no órgão
ou entidade da APF;
ii. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre
segurança da informação e comunicações; e
iii. Propor Normas e Procedimentos internos relativos à segurança da informação e comunicações,
em conformidade com as legislações existentes sobre o tema.
4. POSIC precisa ser objetiva, simples, de fácil leitura e
entendimento;
5. POSIC poderá ser complementada por Normas e
Procedimentos que a referenciem.

52. CULTURA DE SEGURANÇA DA
INFORMAÇÃO
Cultura é um padrão de comportamentos, crenças, suposições, atitudes
e maneiras de fazer as coisas. É espontânea e também é aprendida.

53. Cultura de SI
• As organizações que confiam exclusivamente nos aspectos
tecnológicos da segurança da informação, negligenciando o
fator humano, particularmente os níveis de conscientização
em segurança dos indivíduos que compõem a força de
trabalho, estão descuidando de uma camada de proteção
crucial.
• Os controles técnicos de segurança da informação provêem
controles preventivos e reativos e suportam a análise de dados
e a tomada de decisão, mas nenhum deles oferece uma
solução completa.

54. Programa Corporativo de
Conscientização em Segurança da
Informação (PCCSI)
• Esse tipo de Programa depende de um forte apoio da alta
administração e representa investimentos substanciais em
tempo, dinheiro e outros recursos.
• A construção de um Programa Corporativo de Conscientização
em Segurança da Informação – PCCSI pode se dar em 6 etapas,
que são:

55. 1ª Etapa - Definição do escopo preliminar do projeto
• Esse escopo provê o arcabouço para discussões detalhadas com as partes
interessadas e deve ser descrito em termos de públicos-alvo e
cronogramas. Os públicos-alvo podem ser empregados, fornecedores,
parceiros e clientes, entre outros, e cada um deles fazendo uso diferente
da informação. Quanto ao cronograma, deve-se trabalhar com um
horizonte temporal de 2 a 3 anos, com marcos de revisão ao fim do
período.
2ª Etapa – Engajamento do pessoal de negócio
• Agendar reuniões com os líderes das unidades de negócio para identificar
questões de segurança críticas para cada negócio. Apresente os benefícios
do PCCSI para cada unidade de negócio específica, bem como os impactos
que a concretização das ameaças pode causar.

56. 3ª Etapa – Construção do Projeto PCCSI
• Os objetivos do PCCSI devem ser claramente definidos, em linguagem de
negócio e, a partir deles, devem ser definidas as ações, com indicadores e
metas, para atingir os benefícios esperados. O Programa deve ser
desenvolvido sob a forma de projeto e deve ser criado um Comitê, com a
presença das partes interessadas, para direcionar e comunicar as ações
gerenciais do Programa.
4ª Etapa – Implementação do PCCSI
•Trabalhar a linguagem visual do Programa em alinhamento com a logomarca,
cores, slogans e outros identificadores da organização. O primeiro
treinamento de conscientização deve ser para o corpo gerencial, pois esse
pessoal é essencial para garantir o apoio para as fases seguintes.

57. 5ª Etapa – Medir e Otimizar
• Usar o baseline da etapa 3 para avaliar os resultados do Programa. Avaliar
o que está e o que não está funcionando, reconhecer o sucesso e corrigir as
falhas e, depois, repetir o processo num ciclo de melhoria contínua.
6ª Etapa – Relatar o andamento do PCCSI
•Durante o andamento do Programa, as partes interessadas devem ser
regularmente informadas dos resultados alcançados. O relatório deve ser
usado para reconhecer aqueles que apoiaram a iniciativa no passado e para
encorajar a continuidade do apoio.

58. Orientações da OCDE
• A OCDE (Organização para Cooperação e Desenvolvimento Econômico) publicou, em 2002,
um guia para orientar o estabelecimento de um cultura de SI e tem como princípios:
– Conscientização: todos os colaboradores devem estar conscientes da necessidade de segurança
para os sistemas de informação e a rede de dados;
– Responsabilidade: todos os colaboradores são responsáveis pela segurança dos sistemas de
informação e da rede de dados;
– Resposta: os colaboradores devem atuar de forma tempestiva e cooperativa para prevenir,
detectar e responder a incidentes de segurança;
– Ética: os colaboradores devem respeitar os legítimos interesses dos outros;
– Democracia: a segurança dos sistemas de informação e da rede de dados devem ser compatíveis
com os valores essenciais da sociedade democrática;
– Avaliação de risco: os colaboradores devem conduzir avaliações de risco;
– Projeto e implementação de segurança: os colaboradores devem incorporar a segurança como
um elemento essencial dos sistemas de informação e da rede de dados;
– Gestão da segurança: os colaboradores devem adotar uma abordagem de gestão de segurança;
– Reavaliação: os colaboradores devem rever e reavaliar a segurança dos sistemas de informação e
da rede de dados e fazer as modificações necessárias nas políticas, práticas, medidas e
procedimentos.

59. Referências
NETO, J. “Política e Cultura de Segurança”. Curso de Especialização em
Gestão da Segurança da Informação e Comunicações. UnB – Universidade de
Brasília. 2009 a 2011.