Gestão de segurança da Informação - aula 4 Segurança em Recursos Humanos e gestão de ativos

Prévia do material em texto

71
Capítulo 4
Segurança em 
recursos humanos e 
gestão de ativos
Um sistema de gestão de segurança da informação (SGSI) é uma 
estrutura de políticas e procedimentos de controles que gerencia a se-
gurança e os riscos de forma sistemática e em toda a empresa.
A ISO/IEC 27002:2013 é um padrão suplementar que enfoca os con-
troles de segurança da informação que as organizações podem optar 
por implementar. Esses controles estão listados no anexo A da ISO/IEC 
27001:2013, ao qual os especialistas em segurança da informação ge-
ralmente se referem ao discutir os controles de segurança. No entanto, 
enquanto o anexo A simplesmente descreve cada controle em uma ou 
duas sentenças, a ISO/IEC 27002:2013 dedica aproximadamente uma 
M
aterial para uso exclusivo de aluno m
atriculado em
 curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com
partilham
ento digital, sob as penas da Lei. ©
 Editora Senac São Paulo.
72 M
at
er
ia
l p
ar
a 
us
o 
ex
cl
us
ivo
 d
e 
al
un
o 
m
at
ric
ul
ad
o 
em
 c
ur
so
 d
e 
Ed
uc
aç
ão
 a
 D
is
tâ
nc
ia
 d
a 
Re
de
 S
en
ac
 E
AD
, d
a 
di
sc
ip
lin
a 
co
rre
sp
on
de
nt
e.
 P
ro
ib
id
a 
a 
re
pr
od
uç
ão
 e
 o
 c
om
pa
rti
lh
am
en
to
 d
ig
ita
l, s
ob
 a
s 
pe
na
s 
da
 L
ei
. ©
 E
di
to
ra
 S
en
ac
 S
ão
 P
au
lo
.
Gestão de segurança da informação
página a cada controle. O padrão explica de que modo cada controle 
funciona, qual é seu objetivo e como você pode implementá-lo.
Na prática, a maioria das organizações que adotam a ABNT NBR 
ISO/IEC 27001:2013 também usam o anexo A e, portanto, empregam a 
ABNT NBR ISO/IEC 27002:2013 como uma estrutura ou estrutura geral 
para seus controles, fazendo várias alterações conforme seja necessá-
rio para atender a seus requisitos específicos de tratamento de risco de 
informação. As organizações não são obrigadas a implementar todos 
os 114 controles da ISO/IEC 27001:2013. Eles são simplesmente uma 
lista de possibilidades que você deve considerar com base nos requisi-
tos de sua organização.
Os controles descritos no anexo A7, Segurança de recursos hu-
manos, destinam-se a garantir o recrutamento do pessoal adequado 
e fazer com que este conheça suas responsabilidades e saia sem in-
terrupções; além de indicar quais medidas podem ser tomadas se não 
funcionarem adequadamente. O departamento de recursos humanos 
terá de implementar a maioria dos controles dessa seção, revisando e, 
quando necessário, introduzindo nova documentação de emprego. Os 
fatores humanos são frequentemente mencionados como a questão 
mais importante para obter-se uma segurança de informações eficaz.
Já os controles descritos no anexo A8, Gestão de ativos, são fun-
damentais para iniciar o sistema de gerenciamento de controle de se-
gurança da informação. Diz respeito à maneira como as organizações 
identificam os ativos de informação e definem as responsabilidades de 
proteção apropriadas.
A seguir, trataremos com mais detalhes os seis controles relaciona-
dos à segurança de recursos humanos (que é considerado o elo mais 
fraco de toda a segurança da informação) e os dez controles relaciona-
dos à gestão dos ativos.
73Segurança em recursos humanos e gestão de ativos
M
aterial para uso exclusivo de aluno m
atriculado em
 curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com
partilham
ento digital, sob as penas da Lei. ©
 Editora Senac São Paulo.
1 Segurança em recursos humanos
Hintzbergen et al. (2015, p. 107) são enfáticos ao afirmar que: 
Pessoas também podem ser consideradas um ativo da empresa. 
Seus conhecimentos e habilidades são ativos valiosos, e medidas 
são necessárias para proteger esse valor. Todas as pessoas são 
responsáveis pela segurança da informação. Essa responsabilida-
de deve ficar clara no contrato de trabalho. O manual dos funcioná-
rios deve conter um código de conduta junto com as sanções que 
serão impostas no caso do seu não cumprimento e se surgirem 
incidentes como consequência. O código de conduta pode esta-
belecer, por exemplo, que e-mails privados não são permitidos. O 
gerente é responsável pela correta descrição dos cargos e é, por-
tanto, também responsável pelos vários aspectos relacionados ao 
trato da informação nas diversas posições.
De modo geral, esta seção da norma permite que a empresa esta-
beleça procedimentos rigorosos para quando o funcionário ingresse ou 
saia do emprego, e também nas situações em que ele mude de função 
dentro da organização. Procedimentos para aquisição, remoção ou al-
teração de direitos como equipamentos e permissões devem ser esta-
belecidos e seguidos (HINTZBERGEN et al., 2015).
IMPORTANTE 
Nos últimos anos, com o aumento da utilização de recursos de tec-
nologia da informação e, consequentemente, da dependência destes 
dispositivos para a realização de atividades pessoais e profissionais, 
estamos cada vez mais suscetíveis a sermos vítimas de ataques ci-
bernéticos. Estes, por sua vez, não precisam necessariamente ocor-
rer por meio de dispositivos tecnológicos, como é o caso dos ataques 
realizados por meio da engenharia social, técnica empregada por 
criminosos virtuais para induzir usuários desavisados a enviar dados 
confidenciais, infectar seus computadores com malware ou abrir links 
para sites infectados. (WHITMAN; MATTORD, 2018)
 
74 M
at
er
ia
l p
ar
a 
us
o 
ex
cl
us
ivo
 d
e 
al
un
o 
m
at
ric
ul
ad
o 
em
 c
ur
so
 d
e 
Ed
uc
aç
ão
 a
 D
is
tâ
nc
ia
 d
a 
Re
de
 S
en
ac
 E
AD
, d
a 
di
sc
ip
lin
a 
co
rre
sp
on
de
nt
e.
 P
ro
ib
id
a 
a 
re
pr
od
uç
ão
 e
 o
 c
om
pa
rti
lh
am
en
to
 d
ig
ita
l, s
ob
 a
s 
pe
na
s 
da
 L
ei
. ©
 E
di
to
ra
 S
en
ac
 S
ão
 P
au
lo
.
Gestão de segurança da informação
Veremos, a seguir, cada um desses controles de maneira mais deta-
lhada, conforme a ABNT NBR ISO/IEC 27001:2013.
1.1 Antes da contratação
Hintzbergen et al. (2015) afirmam que as responsabilidades de se-
gurança da informação devem ser levadas em consideração ao recru-
tar funcionários permanentes, contratados e temporários, por meio de 
descrições de trabalho adequadas e triagem pré-contratação. Devem 
ser incluídas nos contratos, por exemplo, em termos e condições de 
emprego e outros acordos assinados, definindo funções e responsabili-
dades de segurança, obrigações de conformidade, etc.
O quadro 1 apresenta o anexo A.7.1 da ABNT NBR ISO/IEC 
27001:2013, que trata das responsabilidades dos indivíduos antes da 
contratação, composta por dois controles.
Quadro 1 – A.7.1 Antes da contratação
Objetivo: assegurar que funcionários e partes externas entendam as suas responsabilidades e estejam em 
conformidade com os papéis para os quais foram selecionados
A.7.1.1 Seleção
Verificações do histórico devem ser realizadas para todos os candidatos ao 
emprego, de acordo com a ética, regulamentações e leis relevantes, e devem ser 
proporcionais aos requisitos do negócio, aos riscos percebidos e à classificação 
das informações a serem acessadas
A.7.1.2
Termos e 
condições de 
contratação
As obrigações contratuais com funcionários e partes externas devem declarar 
sua responsabilidade e a da organização para a segurança da informação
Fonte: adaptado de ABNT (2013a, p. 13).
A triagem ou verificação pessoal será tão profunda quanto o nível de 
confidencialidade associado à função em questão do funcionário que 
está sendo contratado (HINTZBERGEN et al., 2015).
75Segurança em recursos humanos e gestão de ativos
M
aterial para uso exclusivo de aluno m
atriculado em
 curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com
partilham
ento digital, sob as penas da Lei. ©
 Editora Senac São Paulo.
1.2 Durante a contratação
Os gerentes devem garantir que os funcionários e contratados se-
jam informados e motivados a cumprir suas obrigações de modo a 
garantir a segurança da informação.Um processo disciplinar formal é 
necessário para lidar com incidentes de segurança da informação su-
postamente causados por funcionários que não cumpram com as polí-
ticas às quais se comprometeram quando ingressaram na organização 
(HINTZBERGEN et al., 2015).
O quadro 2 apresenta o anexo A.7.2 da ABNT NBR ISO/IEC 
27001:2013, que cobre as responsabilidades dos indivíduos durante o 
emprego, compostas por três controles.
Quadro 2 – A.7.2 Durante a contratação
Objetivo: assegurar que os funcionários e partes externas estejam conscientes e cumpram suas 
responsabilidades em relação à segurança da informação
A.7.2.1
Responsabilidades 
da direção
A direção deve requerer aos funcionários e partes externas que pratiquem 
a segurança da informação de acordo com o estabelecido nas políticas e 
procedimentos da organização
A.7.2.2
Conscientização, 
educação e 
treinamento em 
segurança da 
informação
Todos os funcionários da organização e, quando pertinentes, as partes 
externas devem receber treinamento, educação e conscientização 
apropriados, além das atualizações regulares das políticas e 
procedimentos organizacionais relevantes para suas funções
A.7.2.3 Processo disciplinar
Deve existir um processo disciplinar formal, implantado e comunicado, 
para tomar ações contra funcionários que tenham cometido uma violação 
de segurança da informação
Fonte: adaptado de ABNT (2013a, p. 14).
Uma das medidas mais eficazes para a segurança da informação 
é a equipe assistir a um curso de conscientização de segurança 
quando estiver entrando no emprego. Esse curso pode ser parte do 
seu treinamento de admissão. (HINTZBERGEN et al., 2015, p. 109)
76 M
at
er
ia
l p
ar
a 
us
o 
ex
cl
us
ivo
 d
e 
al
un
o 
m
at
ric
ul
ad
o 
em
 c
ur
so
 d
e 
Ed
uc
aç
ão
 a
 D
is
tâ
nc
ia
 d
a 
Re
de
 S
en
ac
 E
AD
, d
a 
di
sc
ip
lin
a 
co
rre
sp
on
de
nt
e.
 P
ro
ib
id
a 
a 
re
pr
od
uç
ão
 e
 o
 c
om
pa
rti
lh
am
en
to
 d
ig
ita
l, s
ob
 a
s 
pe
na
s 
da
 L
ei
. ©
 E
di
to
ra
 S
en
ac
 S
ão
 P
au
lo
.
Gestão de segurança da informação
A conscientização pode ser complementada por meio de folhetos, 
vídeos, cartazes e outros. 
IMPORTANTE 
A documentação e as informações de segurança devem estar disponí-
veis a todos na organização.
 
1.3 Encerramento e mudança da contratação
Esse controle trata das ações necessárias que devem ser tomadas 
quando do desligamento de um funcionário da organização. O anexo 
A.7.3 trata das responsabilidades de um funcionário quando ele deixa 
de exercer uma determinada função, seja porque deixou a organização, 
seja porque mudou de cargo.
Pode ser necessário que, após a cessação ou mudança de em-
prego, algumas responsabilidades de segurança da informação 
continuem a ser aplicadas ao pessoal envolvido, por exemplo, para 
assegurar a confidencialidade dos conhecimentos sobre os pro-
cedimentos de segurança dentro da organização. Se for o caso, 
isso deve ser abordado dentro de acordos de confidencialidade 
e, talvez, também nos contratos de emprego. Além da proteção 
do conhecimento, um processo adequado deve ser mantido para 
garantir que, quando alguém deixa a organização, todos os seus 
direitos sejam revogados e todos os ativos sejam devolvidos à or-
ganização. (HINTZBERGEN et al.; 2015, p. 110)
O quadro 3 apresenta o anexo A.7.3 da ABNT NBR ISO/IEC 
27001:2013, composta por um controle.
77Segurança em recursos humanos e gestão de ativos
M
aterial para uso exclusivo de aluno m
atriculado em
 curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com
partilham
ento digital, sob as penas da Lei. ©
 Editora Senac São Paulo.
Quadro 3 – A.7.3 Encerramento e mudança da contratação
Objetivo: proteger os interesses da organização como parte do processo de mudança ou encerramento da 
contratação
A.7.3.1
Responsabilidades pelo 
encerramento ou mudança 
da contratação
As responsabilidades e obrigações pela segurança da informação 
que permaneçam válidas após o encerramento ou mudança da 
contratação devem ser definidas, comunicadas aos funcionários ou 
partes externas e cumpridas
Fonte: adaptado de ABNT (2013a, p. 14).
Os aspectos de segurança no momento da saída de uma pessoa da 
organização ou quando ocorrem mudanças significativas de funções 
dentro dela devem ser gerenciados. É preciso solicitar informações 
corporativas e equipamentos que estejam em sua posse, atualizar os 
direitos de acesso e lembrá-los de suas obrigações contínuas de pri-
vacidade e propriedade intelectual, leis, termos contratuais, além das 
expectativas em relação às questões éticas.
2 Gestão de ativos
Para um SGSI, é fundamental a existência de um inventário de ativos 
com informações abrangentes e bem mantido. O primeiro passo para 
proteger as informações é identificar quais informações devem ser 
protegidas e classificá-las com base em sua sensibilidade. O esquema 
de classificação deve ser prático, compreensível e utilizável por todos 
(HINTZBERGEN et al., 2015).
Uma boa abordagem é começar com informações atuais, identificar 
grupos em comum e classificar em primeiro lugar as informações mais 
confidenciais, pois há grande probabilidade de que sejam em menor 
quantidade e mais fáceis de localizar. Em seguida, segue-se a hierarquia 
de forma decrescente, até finalizar o processo de classificação. Existem 
diversas ferramentas de software disponíveis para esse tipo de ativida-
de, como ilustrado pela figura 1. Podemos citar o TOPdesk e o Milvus, 
78 M
at
er
ia
l p
ar
a 
us
o 
ex
cl
us
ivo
 d
e 
al
un
o 
m
at
ric
ul
ad
o 
em
 c
ur
so
 d
e 
Ed
uc
aç
ão
 a
 D
is
tâ
nc
ia
 d
a 
Re
de
 S
en
ac
 E
AD
, d
a 
di
sc
ip
lin
a 
co
rre
sp
on
de
nt
e.
 P
ro
ib
id
a 
a 
re
pr
od
uç
ão
 e
 o
 c
om
pa
rti
lh
am
en
to
 d
ig
ita
l, s
ob
 a
s 
pe
na
s 
da
 L
ei
. ©
 E
di
to
ra
 S
en
ac
 S
ão
 P
au
lo
.
Gestão de segurança da informação
que disponibilizam várias funcionalidades que suportam os processos 
da ISO/IEC 27001:2013 para a gestão de ativos.
Figura 1 – Exemplo de ferramenta para gestão de ativos
Após a classificação do inventário, é preciso realizar as ações des-
critas a seguir.
 • Definir políticas de controle para cada classe, por exemplo, do-
cumentos confidenciais não devem ser enviados por e-mail para 
fora da organização ou para qualquer destino que não esteja em 
uma lista acordada. Além disso, só podem ser enviados se esti-
verem codificados.
 • Definir procedimentos para garantir que as informações perma-
neçam devidamente protegidas ao longo de sua vida, compreen-
dendo as maneiras como são usadas. Por exemplo, se são salvas 
em outra mídia ou se são impressas, transmitidas, enviadas por 
e-mail ou processadas de outra maneira.
79Segurança em recursos humanos e gestão de ativos
M
aterial para uso exclusivo de aluno m
atriculado em
 curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com
partilham
ento digital, sob as penas da Lei. ©
 Editora Senac São Paulo.
NA PRÁTICA 
Na internet, você pode buscar por exemplos de políticas de segurança 
da informação adotadas por instituições como Sesc e Senac, que estão 
em conformidade com a ABNT NBR ISO/IEC 27001:2013 e ABNT NBR 
ISO/IEC 27002:2013.
 
Esse anexo diz respeito à maneira como as organizações identificam 
os ativos de informação e definem as responsabilidades de proteção 
apropriadas. Contém três seções: A.8.1, Responsabilidade pelos ativos; 
A.8.2, Classificação da informação; e A.8.3, Tratamento de mídias, com 
um total de oito controles.
O quadro 4 apresenta trechos da seção 8 do anexo A da ABNT NBR 
ISO/IEC 27001:2013.
Quadro 4 – Gestão de ativos
A.8.1 Responsabilidade pelos ativos
A.8.1.1 Inventário
Os ativos associados à informação e aos recursos e processamento da 
informação devem ser identificados. Um inventário desses ativos deve ser 
estruturado e mantido
A.8.1.2 Proprietário Os ativosmantidos no inventário devem ter um proprietário
A.8.1.3 Uso aceitável
Regras para o uso aceitável das informações, dos ativos associados à 
informação e dos recursos de processamento da informação devem ser 
identificados, documentados e implementados
A.8.1.4 Devolução
Todos os funcionários e partes externas devem devolver todos os ativos 
da organização que estejam em sua posse após o encerramento de suas 
atividades, contrato ou acordo
A.8.2 Classificação da informação
A.8.2.1 Classificação
A informação deve ser classificada em termos do seu valor, requisitos 
legais, sensibilidade e criticidade para evitar modificação ou divulgação não 
autorizada
(cont.)
80 M
at
er
ia
l p
ar
a 
us
o 
ex
cl
us
ivo
 d
e 
al
un
o 
m
at
ric
ul
ad
o 
em
 c
ur
so
 d
e 
Ed
uc
aç
ão
 a
 D
is
tâ
nc
ia
 d
a 
Re
de
 S
en
ac
 E
AD
, d
a 
di
sc
ip
lin
a 
co
rre
sp
on
de
nt
e.
 P
ro
ib
id
a 
a 
re
pr
od
uç
ão
 e
 o
 c
om
pa
rti
lh
am
en
to
 d
ig
ita
l, s
ob
 a
s 
pe
na
s 
da
 L
ei
. ©
 E
di
to
ra
 S
en
ac
 S
ão
 P
au
lo
.
Gestão de segurança da informação
A.8.2.2
Rótulos e 
tratamento
Um conjunto apropriado de procedimentos para rotular e tratar a informação 
deve ser desenvolvido e implementado de acordo com o esquema de 
classificação da informação adotado pela organização
A.8.2.3 Tratamento
Procedimentos para o tratamento dos ativos devem ser desenvolvidos e 
implementados de acordo com o esquema de classificação da informação 
adotado pela organização
A.8.3 Tratamento de mídias
A.8.3.1 Gerenciamento
Procedimentos devem ser implementados para o gerenciamento de mídias 
removíveis, de acordo com o esquema de classificação adotado pela 
organização
A.8.3.2 Descarte
As mídias devem ser descartadas de maneira segura e protegida quando não 
forem mais necessárias, por meio de procedimentos formais
A.8.3.3
Transferência 
física
Mídias contendo informações devem ser protegidas contra acesso não 
autorizado, uso impróprio ou corrompimento durante o transporte
Fonte: adaptado de ABNT (2013a, p. 21).
A seguir, vamos abordar as seções A.8.1 e A.8.2 com um pouco mais 
de detalhes, conforme a ABNT NBR ISO/IEC 27002:2013.
2.1 Inventário dos ativos
Todos os ativos de informação devem ser inventariados e os pro-
prietários devem ser identificados para serem responsabilizados por 
sua segurança (HINTZBERGEN et al., 2015). As políticas de “uso acei-
tável” devem ser definidas e quando as pessoas deixam a organização 
precisam devolver os ativos. 
De acordo com Kosutic (2016), esse controle está relacionado à 
avaliação de risco, realizada levando-se em consideração os ativos da 
empresa. O inventário de ativos pode ser documentado como parte da 
documentação de avaliação de risco.
81Segurança em recursos humanos e gestão de ativos
M
aterial para uso exclusivo de aluno m
atriculado em
 curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com
partilham
ento digital, sob as penas da Lei. ©
 Editora Senac São Paulo.
NA PRÁTICA 
Inventariar os ativos permite à empresa controlar melhor a depreciação 
desses ativos e, de modo geral, inibir furtos por parte dos funcionários. 
Quando pensamos nos ativos pertinentes à segurança da informação, 
esse documento permite mais do que apenas gerenciar atualizações 
em sistemas a fim de evitar gastos inesperados ou rastrear hardware. 
Qualquer dispositivo, recurso ou serviço que exista dentro de sua pro-
priedade de TI pode estar sujeito a riscos ou vulnerabilidades que levam 
a uma violação do recurso individual e de sua rede como um todo, caso 
os invasores usem um recurso comprometido como ponte para lançar 
um ataque mais amplo. 
Assim sendo, inventariar os ativos de TI, de acordo com o framework de 
segurança cibernética NIST, permite à organização atingir seus objetivos 
de negócios identificados e gerenciados de acordo com a importância e 
a estratégia de risco definidas para a organização. O framework NIST, em 
inglês, NIST cybersecurity framework, fornece uma estrutura com base 
nos padrões, diretrizes e práticas existentes para organizações do setor 
privado nos Estados Unidos, a fim de gerenciar e reduzir melhor o risco 
de segurança cibernética.
 
Hintzbergen et al. (2015) complementam que um registro de ativos 
completo é necessário para a análise de ativos da empresa. Ele tam-
bém é utilizado para contabilidade financeira, requisitos legais e segu-
ros. Indica-se a auditoria dos ativos ao menos duas vezes ao ano. 
Geralmente, as informações necessárias para se manter sobre um 
ativo da empresa são: tipo, dono, localização, formato, classificação, 
valor para o negócio, custo inicial, idade, custo de reposição. Esse é o 
tipo de informação que se pode pedir em caso de incidente ou desastre 
e, segundo Hintzbergen et al. (2015, p. 113), “o dono é a pessoa respon-
sável por um processo, subprocesso ou atividade de negócio e cuida de 
todos os aspectos dos ativos de negócio, incluindo segurança, gestão, 
produção e desenvolvimento”.
82 M
at
er
ia
l p
ar
a 
us
o 
ex
cl
us
ivo
 d
e 
al
un
o 
m
at
ric
ul
ad
o 
em
 c
ur
so
 d
e 
Ed
uc
aç
ão
 a
 D
is
tâ
nc
ia
 d
a 
Re
de
 S
en
ac
 E
AD
, d
a 
di
sc
ip
lin
a 
co
rre
sp
on
de
nt
e.
 P
ro
ib
id
a 
a 
re
pr
od
uç
ão
 e
 o
 c
om
pa
rti
lh
am
en
to
 d
ig
ita
l, s
ob
 a
s 
pe
na
s 
da
 L
ei
. ©
 E
di
to
ra
 S
en
ac
 S
ão
 P
au
lo
.
Gestão de segurança da informação
2.2 Uso aceitável de ativos 
Esta seção corresponde à seção 8.1.3, Uso aceitável dos ativos, da 
ABNT NBR ISO/IEC 27001:2013. De acordo com as boas práticas de 
implementação, descritas pela ABNT NBR ISO/IEC 27002:2013 (ABNT, 
2013b, p. 30):
Convém que funcionários e partes externas que usam ou têm 
acesso aos ativos da organização estejam conscientes dos re-
quisitos de segurança da informação dos ativos da organização, 
associados à informação e aos recursos de processamento da in-
formação. Convém que eles sejam responsáveis pelo uso de qual-
quer recurso de processamento da informação e que tal uso seja 
realizado sob sua responsabilidade.
Hintzbergen et al. (2015) afirmam que a utilização de ativos de negó-
cios está sujeita a regras que podem ser disponibilizadas em um ma-
nual, incluindo instruções específicas de uso de equipamentos dentro 
e fora da organização, o que estaria incluído no âmbito das medidas 
organizacionais.
2.3 Classificação da informação
Classificar a informação significa definir diferentes níveis de sensibi-
lidade para que a informação seja estruturada, segundo Hintzbergen et 
al. (2015). Esse processo deve ser realizado pelo dono do ativo. A clas-
sificação demonstra a forma de segurança necessária e é determinada 
por sua importância para a organização, pelo valor, pelos requisitos le-
gais e por sua sensibilidade, entre outros. 
A ISO/IEC 27001:2013 define que a classificação da informação é um 
processo no qual as organizações focam o nível de proteção que deve 
ser dado em conformidade à sensibilidade dos dados. Organizá-los e 
classificá-los auxilia a empresa a reduzir riscos em infringir quaisquer 
83Segurança em recursos humanos e gestão de ativos
M
aterial para uso exclusivo de aluno m
atriculado em
 curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com
partilham
ento digital, sob as penas da Lei. ©
 Editora Senac São Paulo.
dispositivos relacionados às leis de proteção de dados pessoais. As 
organizações geralmente classificam as informações em termos de 
confidencialidade, ou seja, verificam quem tem acesso para vê-las. Um 
sistema típico incluirá quatro níveis de confidencialidade:
1. Confidencial: apenas a gerência sênior pode acessar.
2. Restrito: a maioria dos funcionários podem acessar. 
3. Interno: todos os funcionários podem acessar.
4. Informações públicas: todos podem acessar.
Os nomes escolhidos devem ser acompanhados por uma definição 
clara do que significam em termospráticos. Em geral, organizações 
maiores e mais complexas precisam de mais níveis de confidencialidade.
NA PRÁTICA 
Nos hospitais, médicos e enfermeiros precisam de acesso aos dados 
pessoais dos pacientes, incluindo seus históricos médicos, que contêm 
informações altamente confidenciais. No entanto, esses profissionais 
não devem ter acesso a outros tipos de informações confidenciais, 
como registros financeiros, endereço residencial, etc.
Em casos assim, um perfil específico de acesso deve ser criado para 
atender a funções de trabalho pontuais, que exigem o acesso a apenas 
determinado tipo de informação.
 
2.4 Rotulação e tratamento da informação
A rotulação de informações classificadas é um requisito-chave para 
acordos de compartilhamento de informações. Como o processo de 
rotulagem varia enormemente de organização para organização e de-
pende em parte da política de classificação final que se adota, não é 
possível fornecer uma política ou procedimento modelo.
84 M
at
er
ia
l p
ar
a 
us
o 
ex
cl
us
ivo
 d
e 
al
un
o 
m
at
ric
ul
ad
o 
em
 c
ur
so
 d
e 
Ed
uc
aç
ão
 a
 D
is
tâ
nc
ia
 d
a 
Re
de
 S
en
ac
 E
AD
, d
a 
di
sc
ip
lin
a 
co
rre
sp
on
de
nt
e.
 P
ro
ib
id
a 
a 
re
pr
od
uç
ão
 e
 o
 c
om
pa
rti
lh
am
en
to
 d
ig
ita
l, s
ob
 a
s 
pe
na
s 
da
 L
ei
. ©
 E
di
to
ra
 S
en
ac
 S
ão
 P
au
lo
.
Gestão de segurança da informação
É comum que as organizações criem suas próprias regras de ro-
tulagem. A ABNT (2013b, p. 20) estabelece as diretrizes a seguir para 
implementação desse controle:
Convém que procedimentos para a rotulagem da informação 
abranjam a informação e os seus ativos relacionados, nos for-
matos físico e eletrônico. A rotulagem pode refletir o esquema de 
classificação estabelecido em 8.2.1. Convém que os rótulos sejam 
facilmente reconhecidos. Convém que o procedimento oriente 
sobre onde e como os rótulos devem ser colocados, levando-se 
em conta como a informação é acessada ou os ativos são ma-
nuseados, em função dos tipos de mídias. O procedimento pode 
definir uma situação em que a rotulagem é omitida, por exemplo, 
rotulagem de informação não confidencial, para reduzir a carga de 
trabalho. Convém que os funcionários e partes externas estejam 
conscientes do procedimento de classificação da informação.
Alguns ativos de informação, como documentos em formato ele-
trônico, não podem ser fisicamente etiquetados e meios eletrônicos de 
etiquetagem precisam ser empregados. Quando a rotulagem não for 
viável, outros meios de designar a classificação da informação são apli-
cados, por exemplo, procedimentos ou metadados.
Considerações finais
Este capítulo apresentou de maneira mais detalhada os controles 
relacionados à seção A.7, Segurança em recursos humanos, e seus 
controles; o anexo A.7.1, que trata das responsabilidades dos indivíduos 
antes do emprego; o anexo A.7.2, que cobre suas responsabilidades du-
rante o emprego; e o anexo A.7.3, que trata de suas responsabilidades 
quando os funcionários deixam de exercer essa função – seja porque 
deixaram a organização, seja porque mudaram de cargo.
Também foram detalhados os controles da seção A.8, Gestão de 
ativos: o anexo A.8.1, que trata principalmente de organizações que 
85Segurança em recursos humanos e gestão de ativos
M
aterial para uso exclusivo de aluno m
atriculado em
 curso de Educação a Distância da Rede Senac EAD, da disciplina correspondente. Proibida a reprodução e o com
partilham
ento digital, sob as penas da Lei. ©
 Editora Senac São Paulo.
identificam ativos de informação dentro do escopo do SGSI; o anexo 
A.8.2, que trata da classificação da informação, garantindo que os ati-
vos de informação estejam sujeitos a um nível adequado de defesa; e, 
por fim, o anexo A.8.3, que trata do manuseio de mídia, garantindo que 
os dados confidenciais não estejam sujeitos à divulgação, modificação, 
remoção ou destruição não autorizada.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO/
IEC 27001:2013: tecnologia da informação: técnicas de segurança: sistemas 
de gestão da segurança da informação: requisitos. 2. ed. Rio de Janeiro: ABNT, 
2013a. 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). ABNT NBR ISO/
IEC 27002:2013: tecnologia da informação: técnicas de segurança: código de 
prática para controles de segurança da informação. 2. ed. Rio de Janeiro: ABNT, 
2013b.
HINTZBERGEN, Jule et al. Fundamentos de segurança da informação: com 
base na ISO 27001 e na ISO 27002. 2. ed. Rio de Janeiro: Brasport, 2015. 
KOSUTIC, Dejan. ISO 27001 annex A controls in plain english: a step-by-step 
handbook for information security practitioners in small businesses. Zagreb: 
Advisera Expert Solutions Ltd, 2016. (ISO pocket book series, v. 2)
WHITMAN, Michael E.; MATTORD, Herbert J. Management of information 
security. 6. ed. Boston: Cengage Learning, 2018.