O documento discute a importância de políticas de segurança da informação nas empresas para proteger dados contra acessos não autorizados. Ele explica que é preciso definir regras claras, treinar funcionários, classificar informações e punir quem violar as normas. A equipe de TI é responsável por zelar pela política e treinar outros colaboradores.

1. Camila Garcia
Faculdade de Tecnologia de Jales
Centro Estadual de Educação Tecnológica Paula Souza
Jales - SP, Brasil
Camila.garcia2@fatec.sp.gov.br
Segurança
Professor: Rogério Leão

3. Gestão da Segurança da Informação
• Com o excesso de ataques e pessoas especializadas em roubar,
invadir, criar vírus e etc a internet e todos os dispositivos nela
ligados estão de vulneráveis a todos os tipos de ataques.
• Vamos focar na área empresarial....

4. Apenas um bom antivírus não funciona...

5. Para isso é preciso que a empresa crie uma
política de segurança da informação
O objetivo será gerenciar e garantir que a informação será
mantida em segurança através de métodos e processos
documentados e aplicados dentro de toda a empresa.

6. Três itens são exigidos da empresa...
• Tempo
• Dinheiro
• Pessoas

7. A empresa deverá trabalhar com os
princípios básicos...

8. Vale lembrar
• Todos os funcionários fazem parte dessa politica.
• Caso não seja cumprida por qualquer colaborador independente do
cargo que exerce, haverá penalidades de suspenção ou até demissão
do mesmo.

9. Como funciona...
• A equipe de TI.
Responsáveis por zelar da política de segurança e criar novos métodos
para manter e melhorar seu funcionamento e ainda repassar o
conhecimento e realizar treinamentos para os demais colaboradores.

10. Política de senhas.
• Jamais anotar senha em papéis e deixar em lugares visíveis a outras
pessoas, tão pouco sede-las para outra pessoa em nenhuma
circunstância.

11. Norma para utilização de correio eletrônico e-
mail (corporativo e pessoal).
• Não utilizar e-mail corporativo para assuntos pessoais.
• Não utilizar e-mail pessoal para assuntos relativos a empresa, e
jamais acessar e-mails pessoais durante o horário de trabalho.

12. Norma para acesso à Internet.
• Somente será liberado mediante solicitação do gestor e somente para
fins profissionais relacionados a empresa.

13. Norma para utilização da estação de trabalho.
• Zelar pelo equipamento, mantendo limpo e organizado, não instalar
programas que não sejam autorizados e homologados pela empresa.

14. Norma para utilização de dispositivos móveis
(notebooks, laptops, tablets, etc).
• Nenhum equipamento deverá acessar a intranet nem internet,
somente será liberado uso mediante solicitação do gerente.

15. Norma para utilização de pen drives e HDs
externos.
• Somente a equipe de TI terá autorização para utilizar tais dispositivos.
Somente será liberado uso mediante solicitação do gerente por
tempo limitado para execução do trabalho.

16. Norma para utilização das portas USB
• Somente a equipe de TI terá autorização para utilizar tais dispositivos.
Somente será liberado uso mediante solicitação do gerente por
tempo limitado para execução do trabalho.

17. Vírus e códigos maliciosos.
• Será efetuada a desinfeção e rastreamento destas ameaças, bem
como será cobrado do usuário que foi infectado e caso seja
constatado não cumprimento das regras da política de segurança o
usuário será punido conforme regras estabelecidas.

18. E...
• Jamais passar informações importantes sobre a empresa para
qualquer pessoa ou ainda a exposição em redes sócias, jornais,
revistas ou qualquer meio de comunicação sem autorização por
escrito.

19. Profissional de segurança da informação...

20. Classificação da informação
• A ISO 27001 não prescreve os níveis de classificação – isto é algo que você
deveria desenvolver por conta própria, baseado no que é mais comum em
seu país ou indústria. Quanto maior e mais complexa sua organização, mais
níveis de confidencialidade você terá – por exemplo, para organizações de
médio porte você pode utilizar este tipo de níveis de classificação da
informação, com três níveis de confidencialidade e um nível público:
• Confidencial (o mais alto nível de confidencialidade)
• Restrita (médio nível de confidencialidade)
• Uso interno (o mais baixo nível de confidencialidade)
• Pública (todos podem ver a informação)

21. • Muito frequentemente, uma organização pode ter dois esquemas de
classificação diferentes implantados no caso de trabalhar tanto como o
setor governamental quanto com o privado. Por exemplo, a OTAN requer a
seguinte classificação com quatro níveis de confidencialidade e dois níveis
públicos:
• Cósmico Altamente secreto (Cosmic Top Secret)
• OTAN Secreto (NATO Secret)
• OTAN Confidencial (NATO Confidential)
• OTAN Restrito (NATO Restricted)
• OTAN Não Classificado (direito autoral) (NATO Unclassified (copyright))
• INFORMAÇÃO NÃO SENSÍVEL LIBERÁVEL PARA O PÚBLICO (NON SENSITIVE
INFORMATION RELEASABLE TO THE PUBLIC)

22. Referências
Site oficial “Pericia computacional"
<https://periciacomputacional.com/psi-politica-de-seguranca-da-
informacao/>.
https://advisera.com/27001academy/pt-
br/blog/2014/05/14/classificacao-da-informacao-de-acordo-com-a-iso-
27001/