Atividade prática 1
Home
Políticas de Segurança da Informação
Aula 8
Melhores práticas e Benchmarking
Profa. Maristela
Tecnologia da Informação
Uma empresa pode ser segura sem uma política de segurança?
Pense bem antes de responder...
Imagine uma organização com dezenas de colaboradores, sistemas críticos e dados sensíveis de clientes — mas sem nenhuma regra formal de segurança. O que poderia acontecer?
Funcionários sem orientação clara
Senhas fracas ou compartilhadas
Dados expostos sem controle
Responsabilidades indefinidas
O que é uma Política de Segurança da Informação?
"Uma PSI é um conjunto formal de regras, diretrizes e boas práticas que orientam como uma organização protege suas informações e sistemas."
Ela define o que é permitido, o que é proibido e quem é responsável por cada ação relacionada à segurança da informação dentro da organização.
📋 Documento formal
Aprovado pela direção e comunicado a todos
🔒 Proteção de ativos
Dados, sistemas, pessoas e infraestrutura
⚖️ Base legal e ética
Alinhada a leis e normas vigentes
Por que as organizações precisam de políticas?
LGPD
A Lei Geral de Proteção de Dados exige que empresas adotem medidas técnicas e administrativas para proteger dados pessoais, sob risco de multas e sanções.
ISO 27001
A norma internacional de segurança da informação exige uma política documentada como requisito básico para certificação e gestão de riscos.
Governança
Políticas bem definidas garantem que a segurança seja tratada como prioridade estratégica, com responsabilidades claras em todos os níveis da organização.
O que uma boa política deve ter?
Uma PSI eficaz é composta por elementos essenciais que garantem sua completude, aplicabilidade e conformidade.
1
Objetivo
Define o propósito da política e o que ela busca proteger dentro da organização.
2
Escopo
Delimita a quem a política se aplica: setores, sistemas, colaboradores, terceiros.
3
Responsabilidades
Identifica quem é responsável por implementar, fiscalizar e atualizar a política.
4
Regras
Conjunto de diretrizes e proibições que norteiam o comportamento dos usuários.
5
Penalidades
Consequências previstas para o descumprimento das regras estabelecidas.
6
Conformidade
Alinhamento com leis, normas e regulamentações como LGPD e ISO 27001.
Exemplos de Regras Comuns em PSIs
🔑 Uso de Senhas
  • Mínimo de 12 caracteres com letras, números e símbolos
  • Troca obrigatória a cada 90 dias
  • Proibido compartilhar ou reutilizar senhas
🚪 Controle de Acesso
  • Princípio do menor privilégio: acesso apenas ao necessário
  • Autenticação multifator obrigatória para sistemas críticos
  • Revogação imediata ao desligamento do colaborador
💻 Uso de Dispositivos
  • Proibido uso de dispositivos pessoais em redes corporativas
  • Bloqueio automático de tela após 5 minutos de inatividade
  • Uso de pen drives apenas após aprovação do TI
📤 Compartilhamento de Dados
  • Dados sensíveis só podem ser enviados por canais criptografados
  • Proibida a transmissão de informações confidenciais por e-mail pessoal
  • Classificação obrigatória de dados antes do compartilhamento
Benchmarking em Políticas de Segurança
O que é Benchmarking?
Benchmarking é o processo de comparar as práticas da sua organização com as de outras empresas do setor ou com padrões internacionais reconhecidos, identificando lacunas e oportunidades de melhoria.
Por que comparar políticas?
Identificar boas práticas que já funcionam em outras organizações e adaptá-las ao seu contexto.
Benefícios diretos
Maturidade em segurança, conformidade com normas, redução de riscos e credibilidade com clientes e parceiros.
Análise Crítica: Nem toda política é boa
Ter uma política escrita não é suficiente. Muitas organizações possuem documentos que existem apenas no papel — sem aplicação real no dia a dia.
🔤 Linguagem complexa e técnica
Políticas escritas com jargão jurídico ou técnico excessivo se tornam inacessíveis aos colaboradores. Se ninguém entende, ninguém cumpre.
Falta de clareza nas regras
Regras vagas ou ambíguas geram interpretações conflitantes. Uma boa política é objetiva: diz exatamente o que pode e o que não pode ser feito.
🚫 Ausência de aplicação prática
Sem treinamento, comunicação e fiscalização, a política vira letra morta. A eficácia depende de gestão, cultura e engajamento contínuo.

💡 Dica: Uma política ideal é simples, clara, comunicada, treinada e revisada periodicamente.
Atividade Prática 1
Analisando uma Política Real
Nesta atividade, você irá ler e analisar criticamente uma Política de Segurança da Informação real (ou adaptada) de uma organização, aplicando os conceitos estudados em aula.
01
Leia a política disponibilizada abaixo
Identifique os elementos presentes: objetivo, escopo, regras, etc.
02
Avalie a clareza e completude
A linguagem é acessível? Há lacunas ou ambiguidades?
03
Compare com os critérios da aula
A política atende aos requisitos de uma boa PSI?
04
Apresente suas conclusões
Pontos positivos, falhas identificadas e sugestões de melhoria.

📝 Entrega: Relatório individual com análise comentada da política avaliada.
Enviar no Moodle em 1º Bimestre - Atividades
PSI
Atividade Prática 2
Criando a sua Política de Segurança
Agora é a sua vez de criar! Com base em um cenário fictício de empresa, elabore uma política de segurança da informação (resumida) seguindo a estrutura abaixo.
🎯 Objetivo
Defina o que a política busca proteger e qual é o seu propósito dentro da empresa fictícia.
📏 Regras
Liste ao menos 5 regras claras, práticas e aplicáveis ao contexto da empresa escolhida.
👥 Responsabilidades
Indique quem é responsável por implementar, monitorar e atualizar cada regra definida.
⚠️ Penalidades
Descreva as consequências para quem descumprir as regras, de forma proporcional e justa.

💡 Dica: Pense em uma empresa real que você conhece como referência. Seja objetivo, use linguagem simples e pense na aplicação prática de cada regra.
Enviar no Moodle em 1º Bimestre - Atividades
Governança e Segurança da Informação
Política como instrumento de gestão
A segurança da informação não é responsabilidade exclusiva do departamento de TI. Ela precisa estar integrada à estratégia organizacional, com o comprometimento da alta direção e a participação de todas as áreas.
Segurança como cultura
Uma política eficaz transforma comportamentos individuais em hábitos coletivos de proteção da informação.
Revisão contínua
Ameaças evoluem constantemente. A política precisa ser revisada periodicamente para se manter relevante e eficaz.
Treinamento e conscientização
Colaboradores treinados são a primeira linha de defesa de qualquer organização.
O tripé da governança em segurança
🏛️ Estratégia
Alinhamento com objetivos de negócio
⚙️ Processos
Normas, políticas e controles operacionais
🧑‍💼 Pessoas
Cultura, treinamento e responsabilização
Reflexão Final
O que é mais difícil: criar a política ou fazer cumprir?
Criar a política
Requer conhecimento técnico e jurídico
Demanda pesquisa, benchmarking e alinhamento
Envolve aprovação da alta direção
Fazer cumprir
Exige mudança de comportamento e cultura
Depende de treinamento contínuo e fiscalização
Resistência humana é o maior obstáculo

🧠 Pense: Qual dos dois lados você considera o maior desafio em uma organização real? Traga sua resposta para o debate em sala!
Segurança não é só tecnologia
"Segurança da Informação é comportamento, gestão e cultura — a tecnologia é apenas um dos meios, não o fim."
🧠 Comportamento
Cada colaborador é um elo da cadeia de segurança. Atitudes conscientes protegem mais do que qualquer firewall.
📋 Política
O documento formal é o ponto de partida — mas precisa ser vivo, comunicado e aplicado no cotidiano.
🏢 Gestão
Líderes comprometidos criam ambientes onde a segurança é valorizada como parte do negócio, não como burocracia.
Profa. Maristela
Tecnologia da Informação
Obrigada!