PGSI

SEI/IFTO - 2222423 - Documento padrão https://sei.ifto.edu.br/sei/controlador.php?acao=docu...
Ministério da Educação
Secretaria de Educação Profissional e Tecnológica
Instituto Federal de Educação, Ciência e Tecnologia do Tocantins
Reitoria
PLANO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
HISTÓRICO DE VERSÕES
Data Versão Descrição

Elaboração do plano de gestão de segurança da
22/11/2023 1 informação no IFTO.
1. INTRODUÇÃO
Um plano de gestão de segurança da informação é um

documento estratégico que detalha as políticas, processos,
procedimentos, programas e ações de controle necessários para garantir
a proteção, confidencialidade, integridade e disponibilidade das
informações e dados sensíveis e de defesa contra ameaças cibernéticas
no âmbito do IFTO.
Este documento visa mitigar ameaças e vulnerabilidades de
privacidade e segurança da informação, estabelecer controles adequados
para garantir maior proteção de dados e promover uma cultura de
privacidade e segurança da informação em todo o IFTO. Este plano
considera ameaças internas e externas, avalia riscos, define
responsabilidades e implementa medidas de segurança para salvaguardar
ativos de informação críticos para o instituto.
O plano de gestão de segurança da informação consiste em
um processo contínuo para estabelecer um sistema de gestão de
segurança da informação contemplando as fases: estabelecer,
implementar e operar, monitorar e analisar criticamente e manter e
melhorar a segurança da informação dentro do IFTO. O documento foi
elaborado a partir de boas práticas apresentadas no framework de
Privacidade e Segurança da Informação divulgado pela Secretaria de
Governo Digital (SGD, 2023), normas 27001 e 27002 publicada pela
ISO/IEC (ABNT, 2022a; ABNT, 2022b) e Controles CIS apresentados pelo
Center for Internet Security (CIS, 2023).
1.1. Escopo
O escopo deste documento contempla medidas de controle

para garantir privacidade e segurança da informação para os recursos
1 of 64 29/12/2023, 17:21
operacionais e comunicação disponibilizados pela área de Tecnologia da

Informação no âmbito do IFTO.
1.2. Objetivos
Este plano tem como objetivo criar um ambiente seguro no

qual o IFTO possa operar, proteger seus ativos de informação e garantir
que as informações críticas estejam disponíveis, íntegras e confidenciais,
contribuindo para a confiabilidade, conformidade e eficiência geral das
operações do IFTO.
1.3. Abrangência
O plano abrange a definição de políticas, normas, medidas de

segurança, procedimentos, atividades e ferramentas a serem adotadas
pelo IFTO nos próximos anos visando a privacidade e segurança das
informações relacionadas aos recursos, sistemas operacionais,
aplicações, softwares, sistemas de informações, aplicativos e serviços de
TI.
1.4. Benefícios esperados
Com a execução do plano de gestão de segurança da

informação espera-se obter os seguintes benefícios:
a) proteção dos ativos de informação;
b) melhorar os controles de privacidade e segurança da informação
adotados pelo IFTO;
c) promover a conformidade com a legislação vigente (leis, decretos,
instruções normativas, portarias, políticas, normas, entre outros);
d) melhorar as estratégias de monitoramento e controle de privacidade e
segurança da informação;
e) evitar o vazamento de informações e proteger os dados sensíveis do
IFTO;
f) ajudar a reduzir os riscos de ataques cibernéticos e falhas de
segurança;
g) melhorar a confiança dos sistemas tecnológicos desenvolvidos e
mantidos pelo IFTO;
h) estabelecer procedimentos para detecção, notificação e resposta a
incidentes de segurança da informação;
i) garantir a proteção e privacidade dos dados dos usuários;
j) ampliar a confiabilidade e proteção de sistemas de informação contra
os principais ataques que podem resultar em incidentes de segurança da
informação;
2 of 64 29/12/2023, 17:21
k) garantir a continuidade de negócios; e

l) disseminar a cultura de privacidade e segurança da informação no
IFTO.
2. DEFINIÇÕES
Para melhor compreender os termos, acrônimos e abreviações

referentes à temática segurança da informação foram utilizados os
conceitos apresentados no glossário de segurança da informação
(BRASIL, 2021), nas normas ABNT 27001 (ABNT, 2022a), 27002 (ABNT,
2022b), 27005 (ABNT, 2019), 31000 (ABNT, 2018).
a) ameaça: qualquer evento que explore vulnerabilidades. Causa
potencial de um incidente indesejado que pode resultar em dano para um
sistema ou organização;
b) análise de riscos: uso sistemático de informações visando a
identificação e estimativa das fontes de risco;
c) avaliação de riscos: processo global da análise de risco e da valoração
do risco;
d) autenticidade: propriedade de estar associado a uma determinada
pessoa, entidade ou processo; permite a validação de identidade de
usuários e sistemas;
e) autenticidade: propriedade de estar associado a uma determinada
pessoa, entidade ou processo; Permite a validação de identidade de
usuários e sistemas;
f) ataque: qualquer ação que comprometa a segurança de uma
organização;
g) ativo: qualquer elemento que tenha valor para a organização e para os
seus negócios. Alguns exemplos: banco de dados, softwares,
equipamentos (computadores, notebooks e servidores), elementos de
redes (roteadores, switches entre outros), pessoas, processos e serviços;
h) confidencialidade: propriedade de não estar disponível ou acessível
para pessoas, entidades ou processos não autorizados;
i) controle de acesso: conjunto de procedimentos, recursos e meios
utilizados com a finalidade de conceder ou bloquear o acesso aos meios
de tecnologia oferecidos;
j) CSI: Comitê de Segurança da Informação;
k) diretriz: descrição que orienta o que deve ser feito e como para se
alcançarem objetivos estabelecidos nas políticas;
l) disponibilidade: propriedade de estar disponível e utilizável diante da
demanda de uma entidade devidamente autorizada;
m) ETIR: grupo de agentes públicos com a responsabilidade de prestar
serviços relacionados à segurança cibernética para o órgão ou a entidade
da administração pública federal, em observância à política de segurança
da informação e aos processos de gestão de riscos de segurança da
informação do órgão ou da entidade. Anteriormente era chamada de
3 of 64 29/12/2023, 17:21
Equipe de Tratamento de Incidentes de Rede;

n) evento: ocorrência identificada de um estado de rede, serviço ou
sistema que indique uma possível falha da política de segurança ou falha
das salvaguardas, ou mesmo uma situação até então desconhecida que
pode se tornar relevante em termos de segurança;
o) evento de segurança da informação: ocorrência identificada de um
sistema, serviço ou rede que indica uma possível violação da Política de
Segurança da Informação, ou falha de controles, ou uma situação
previamente desconhecida, que possa ser relevante para a segurança da
informação;
p) gerenciamento de riscos: atividades coordenadas para dirigir e
controlar uma organização, no que se refere aos riscos. Normalmente
inclui a avaliação do risco, o tratamento do risco, a aceitação do risco e a
comunicação do risco;
q) gerenciamento de incidentes: processo responsável pela gestão do
ciclo de vida de todos os incidentes. Seu propósito é restaurar a operação
normal do serviço de TI o mais rápido possível e que o impacto no
negócio seja minimizado;
r) impacto: consequência avaliada de um evento em particular;
s) informação: dados, processados ou não, que podem ser utilizados para
produção e transmissão de conhecimento, contidos em qualquer meio,
suporte ou formato;
t) incidente: evento ou série de eventos indesejados ou inesperados que
provavelmente comprometerão as operações da empresa ou ameaçam a
segurança da informação. Uma interrupção não planejada (imprevista) de
um serviço ou redução na qualidade de um serviço. Qualquer evento que
cause ou possa causar uma interrupção ou uma redução da qualidade do
serviço prestado. Como exemplo de incidente tem-se: indisponibilidade de
internet, queima de componentes eletrônicos em servidor, bug de sistema
ou problemas de impressão;
u) incidente de segurança: um ou uma série de eventos de segurança da
informação indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operações do negócio e ameaçar a
segurança da informação como por exemplo ataques cibernéticos;
v) integridade: propriedade de salvaguardar a precisão e completude dos
ativos;
x) não repúdio: propriedade de garantir que uma pessoa ou entidade
participante numa dada operação jamais possa negar essa participação;
plano de trabalho: instrumento tático de diagnóstico e planejamento da
implementação dos controles de privacidade e de segurança da
informação;
w) política de segurança da informação: Documento que declara o
comprometimento da direção e estabelece o enfoque da organização para
gerenciar a segurança da informação;
y) privacidade: direito à inviolabilidade da intimidade, da vida privada, da
honra e da imagem das pessoas, nos termos do inciso X do art. 5 da
Constituição da República Federativa do Brasil de 1988;
4 of 64 29/12/2023, 17:21
z) processo: qualquer atividade utilizando recursos e gerenciamento para

promover a transformação de entradas em saídas;
a1) segurança da informação: ações que objetivam assegurar a
preservação da confidencialidade, integridade e disponibilidade da
informação. Além disso, outras propriedades, como autenticidade,
responsabilização, não repúdio e confiabilidade podem também estar
envolvidas;
b1) vulnerabilidade: qualquer fraqueza que possa ser explorada e
comprometer a segurança de sistemas ou informações. Fragilidade de um
ativo ou grupo de ativos que pode ser explorada por uma ou mais
ameaças. São falhas que permitem o surgimento de deficiências na
segurança geral do computador ou da rede; e
c1) Usuário: pessoa que utiliza sistemas e/ou demais recursos de
tecnologia da informação e comunicação do IFTO.
3. SEGURANÇA DA INFORMAÇÃO
A gestão de segurança da informação é um conjunto de

processos, metodologias, procedimentos desenvolvidos e implementados
para garantir a confidencialidade, integridade e disponibilidade das
informações atuando contra acessos não autorizados, mau uso,
divulgações indevidas, cópias não autorizadas, destruição ou alterações.
Ela envolve a implementação de políticas, procedimentos, práticas e
tecnologias com o propósito de garantir que os dados e informações
críticas de uma organização sejam protegidos de maneira eficaz,
reduzindo riscos e garantindo a integridade e a confiabilidade desses
ativos.
As atividades e responsabilidades sobre questões
relacionadas à segurança da informação dos recursos de processamento
da informação, inclusive dos recursos de computação em nuvem no
âmbito do IFTO são definidas conforme a Instrução Normativa PR/SGD nº
1, de 27 de maio de 2020 e Portaria SGD/MGI nº 852, de 28 de março de
2023, Lei nº 13.709/2018 e Política de Segurança da Informação do IFTO.
3.1. Estrutura organizacional de segurança da informação
A estrutura de gestão de segurança da informação no IFTO é

formada da seguinte forma:
a) Gestor de Tecnologia da Informação: dentre outras atribuições, nos

termos da Portaria nº 778, de 4 de abril de 2019, responsável por
planejar, implementar e melhorar continuamente os controles de
privacidade e segurança da informação em soluções de tecnologia da
informação e comunicações, considerando a cadeia de suprimentos
relacionada à solução;
b) Gestor de Segurança da Informação: dentre outras atribuições, nos
termos da Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete
de Segurança Institucional, da Presidência da República - GSI/PR,
responsável por planejar, implementar e melhorar continuamente os
controles de segurança da informação em ativos de informação;
5 of 64 29/12/2023, 17:21
c) Encarregado pelo Tratamento de Dados Pessoais: dentre outras

atribuições, nos termos do art. 41, §2º, da Lei nº 13.709, de 14 de agosto
de 2018 (Lei Geral de Proteção de Dados - LGPD), responsável por
conduzir o diagnóstico de privacidade, bem como orientar, no que couber,
os gestores proprietários dos ativos de informação, responsáveis pelo
planejamento, implementação e melhoria contínua dos controles de
privacidade em ativos de informação que realizem o tratamento de dados
pessoais ou dados pessoais sensíveis;
d) Responsável pela Unidade Controle Interno: atuará no apoio,
supervisão e monitoramento das atividades desenvolvidas pela primeira
linha de defesa prevista pela Instrução Normativa CGU nº 3, de 9 de
junho de 2017;
e) Comitê de Segurança da Informação: grupo de pessoas formado por
representantes das áreas finalísticas e assessoram a implementação das
ações de segurança da informação, constituem grupos de trabalhos para
tratar temas e propor soluções específicas sobre segurança da
informação, participam da elaboração da Política de Segurança da
Informação e das normas internas de segurança da informação; e
f) Equipe de Tratamento e Resposta a Incidentes de Segurança da
Informação: composta preferencialmente por servidores públicos civis
ocupantes de cargo efetivo ou militares de carreira, com capacidade
técnica compatível com as atividades dessa equipe. A atuação da equipe
será regida por normativos, padrões e procedimentos técnicos exarados
pelo Centro de Tratamento e Resposta de Incidentes Cibernéticos do
governo, sem prejuízo das demais metodologias e padrões conhecidos.
3.2. Sistema de Gestão de Segurança da Informação
O sistema de gestão de segurança da informação (SGSI-IFTO)

do IFTO utiliza como referência a norma ISO/IEC/ABNT 27001:2022
(ABNT, 2022a). A figura 1 apresenta as 4 (quatro) fases a serem
executadas continuamente pelo IFTO para garantir a privacidade e
segurança da informação como também a conformidade com a legislação
pertinente.
Figura 1 - Fases do SGSI-IFTO
O SGSI-IFTO apresentado na figura 1, utilizado pelo IFTO

inclui uma abordagem para proteger a informação de acordo com os
princípios e atributos de confidencialidade, disponibilidade, integridade,
6 of 64 29/12/2023, 17:21
responsabilidade, autenticidade e criticidade. Ele envolve vários

processos organizacionais dentre eles: classificação da informação,
gestão de riscos de segurança da informação, gestão de resposta a
incidentes cibernéticos, controle de acesso à informação, gestão de ativos
de tecnologia da informação, conscientização, educação e treinamento
em segurança da informação dentre outros processos.
O SGSI-IFTO é uma abordagem estratégica criada a partir das
necessidades e objetivos, requisitos de segurança, processos
organizacionais e tamanho do IFTO. Ela permite o entendimento dos
requisitos de segurança da informação e a necessidade de estabelecer
uma política e objetivos para a segurança da informação. Também
possibilita a implementação e operação de controles para gerenciar os
riscos de segurança da informação no contexto dos riscos de
negócio. Esta abordagem permite o monitoramento crítico e análise
crítica do desempenho e eficácia do SGSI e a melhoria contínua baseada
em medições objetivas.
3.3. Processos e programa de gestão de segurança da informação
Na execução do plano de gestão de privacidade e segurança

da informação vários processos e programa que compõem o Sistema de
Gestão de Segurança da Informação (SGSI-IFTO) estão interrelacionados
de forma a possibilitar a gestão de segurança da informação integrada
aos demais processos organizacionais. A figura 2 apresenta
resuimidamente alguns dos processos relacionados à privacidade e
segurança da informação.
Figura 2 - Processos e programa que compõem o SGSI-IFTO
A figura 2 apresenta os processos e programa que compõe o

SGSI-FTO. Para cada processo e programa existem medidas de controles
a serem implementadas para assegurar a disponibilidade, integridade,
7 of 64 29/12/2023, 17:21
confidencialidade e a autenticidade da informação no âmbito do IFTO.
3.4. Controles de privacidade e segurança da informação
A gestão de segurança da informação envolvem os controles

de privacidade e segurança da informação definidos pelo Center for
Internet Security (CIS, 2023). Estes controles envolvem rotinas para
gestão de ativos da informação, classificação da informação, riscos de
segurança da informação, acesso à informação, auditoria de logs,
incidentes de segurança da informação, gestão contínua de
vulnerabilidades, proteção e recuperação de dados e educação de
usuários. A figura 3 apresenta de forma resumida os controles que
compõem a privacidade de dados no IFTO.
Figura 3 - Controles de Privacidade
O detalhamento dos controles de privacidade apresentados na

figura 3 consta no anexo I deste documento. A figura 4 apresenta de
forma resumida os controles que compõem a segurança da informação no
IFTO.
8 of 64 29/12/2023, 17:21
Figura 4 - Controles de Segurança da Informação
O detalhamento dos controles apresentados na figura 4

consta no anexo I deste documento. Estes controles seguem a
recomendação do Center for Internet Security (CIS, 2023) e Norma
ANBT/ISO/IEC 27002:2022 (ABNT, 2022b).
3.5. Framework de Privacidade e Segurança da Informação
Para a implementação de ações relacionadas aos controles de

privacidade e segurança da informação, o IFTO utiliza o Programa de
Privacidade e Segurança da Informação (PPSI) definido na
Portaria SGD/MGI Nº 852, de 28 de março de 2023 (BRASIL, 2023). A
figura 5 apresenta o framework utilizado pelo IFTO.
Figura 5 - Framework de privacidade e segurança da informação

(BRASIL, 2023)
9 of 64 29/12/2023, 17:21
A figura 5 resume a metodologia utilizada para a

implementação do framework de privacidade e segurança da informação
no âmbito do IFTO. A metodologia é composta por 4 (quatro) etapas:
autoavaliação, análise de gaps, planejamento e implementação.
3.6. Plano de gestão de segurança da informação
O plano de gestão de segurança da informação é composto

por 12 (doze) etapas iterativas e incrementais. Estas etapas envolvem
diversas temáticas: monitoramento de ameaças e vulnerabilidades,
desenvolvimento de políticas, programas, normas, processos, planos,
contratos e procedimentos, treinamento e conscientização,
implementação de controles técnicos, monitoramento e detecção de
incidentes, privacidade de dados, gestão de fornecedores e terceiros,
gestão da segurança da rede, auditorias e revisões, conformidade
regulatória, resposta a incidentes e melhoria contínua. A figura 6
apresenta de forma resumida as etapas que são utilizadas pelo IFTO para
gerir a segurança da informação.
Figura 6 - Plano de gestão de segurança da informação
As etapas do plano de gestão de segurança da informação

apresentadas na figura 6 foram definidas a partir das boas práticas
utilizadas no mercado para a privacidade e segurança da informação.
Grande parte das medidas e controles a serem utilizadas pelo IFTO são
recomendadas pelo Center for Internet Security (CIS, 2023) e Norma
ANBT/ISO/IEC 27002:2022 (ABNT, 2022b).
3.4.1. Monitoramento de ameaças e vulnerabilidades
10 of 64 29/12/2023, 17:21
Etapa responsável por identificar as ameaças potenciais aos

sistemas e dados do IFTO com também as possíveis vulnerabilidades em
sistemas, softwares e aplicativos utilizados pelo IFTO. A fase avalia as
vulnerabilidades que podem ser exploradas e determina o impacto e
probabilidade de ocorrência de cada ameaça identificada. Nesta etapa
são realizadas as atividades:
a) avaliação de impactos à proteção de dados;

b) identificação e análise de riscos de privacidade e segurança da
informação;
c) identificação e análise de vulnerabilidades; e
d) avaliação dos alertas de segurança da informação emitidos pelas
organizações que atuam com privacidade e segurança da informação.
3.4.2. Desenvolvimento de políticas, programas, normas,

processos, planos e contratos
Etapa responsável por estabelecer políticas, programas,

normas, processos, planos e contratos referentes à controle de acesso,
gestão de ativos, registro de logs de auditoria, gestão de backups, gestão
de vulnerabilidades, gestão de mudanças, recuperação de dados dentre
outras atividades essenciais para garantir a privacidade e segurança da
informação. Nesta etapa são realizadas as atividades:
a) elaboração de políticas sobre segurança da informação;

b) elaboração do programas, tais como: testes de invasão,
conscientização, educação e treinamento em segurança da Informação;
c) elaboração de normas complementares sobre segurança da
informação;
d) elaboração de processos de gestão de segurança da informação;
e) elaboração de planos para gestão de processos relacionados à
segurança da informação; e
f) estabelecimento de contratos para prestação de serviços, aquisição de
hardwares e softwares e capacitações envolvendo segurança da
informação.
3.4.3. Conscientização, educação e treinamento
Etapa responsável por realizar por ações de conscientização,

educação e treinamento em segurança da informação. Nesta etapa são
realizadas as atividades:
a) elaboração de estratégias para realização de campanhas de

conscientização, educação e treinamento sobre a importância da
b) realização de ações de conscientização sobre segurança da informação
por meio de divulgação de materiais eletrônicos e impressos;
c) treinamentos com usuários sobre práticas seguras de privacidade e
11 of 64 29/12/2023, 17:21
proteção de dados de forma presencial e online; e

c) disponibilização de materiais educativos sobre segurança da
informação através dos canais de comunicação oficiais do IFTO.
3.4.4. Configuração de infraestrutura de rede
Etapa responsável por configurar, dispositivos de rede,

servidores, firewalls, ferramentas e aplicações para a implementação dos
controles de privacidade e segurança da informação. Nesta etapa são
a) configuração de infraestrutura adequada para a privacidade e

b) manutenção preventiva e corretiva de hardware e software
relacionados a rede de computadores, tais como servidores, switches,
firewalls, access points; e
d) implementação de atualizações de segurança para recursos de redes,
sistemas operacionais, sistemas de informação e softwares.
3.4.5. Implementação de controles de segurança
Etapa responsável por realizar a implementação de controles

de segurança da informação, tais como: criptografia para proteger dados
confidenciais em trânsito e em repouso, implementação de softwares
proteção de equipamentos e redes dentre outras atividades. Nesta etapa
são realizadas as atividades:
a) implementação de criptografia nos recursos, sistemas operacionais,

sistemas de informação e aplicativos;
b) instalação e configuração de antivírus nos ativos institucionais;
c) instalação e configuração de sistemas prevenção e detecção de
intrusão; e
d) instalação e configuração de controles de proteção relacionados ao uso
de sistemas operacionais e softwares institucionais.
3.4.6. Implementação de controles de privacidade
Etapa responsável por realizar a implementação de controles

de privacidade. Nesta etapa são realizadas as atividades:
a) identificação e classificação dados pessoais e sensíveis para garantir

seu tratamento adequado; e
b) configuração de mecanismos de controle de acesso a dados sensíveis.
3.4.7. Gestão de fornecedores e terceiros
12 of 64 29/12/2023, 17:21
Etapa responsável por gerenciar contratos com empresas

fornecedoras de softwares, hardwares e serviços especializados em
privacidade e segurança da informação. Esta etapa faz a avaliação da
segurança da informação de fornecedores e parceiros de negócios. Nesta
etapa é realizada a atividade:
a) estabelecimento de acordos contratuais que garantam a conformidade

com os padrões de segurança e privacidade do IFTO.
3.4.8. Gestão de incidentes de segurança da informação
Etapa responsável pela implementação de ferramentas de

monitoramento de incidentes de segurança da informação para
identificar atividades suspeitas ou não autorizadas. Nesta etapa são
a) definição dos procedimentos para detecção, análise, contenção,

resposta e documentação sobre incidentes de segurança da informação; e
b) definição dos documentos para registro das atividades realizadas.
3.4.9. Gestão de continuidade de negócios
Etapa responsável pela implementação de soluções para

continuidade de negócios. Nesta etapa são realizadas as atividades:
a) definição dos procedimentos para a gestão de continuidade de

negócios; e
b) definição dos documentos para registro das atividades realizadas.
3.4.10. Auditorias e revisões
Etapa responsável pela condução de auditorias sobre os

controles de privacidade e segurança da informação com a finalidade de
avaliar se as ações realizadas são suficientes para assegurar a
confiabilidade, autenticidade, disponibilidade no contexto do IFTO. Nesta
etapa é realizada a atividade:
a) validação prática das políticas, programas, planos, processos, controles

e procedimentos operacionais.
3.4.11. Conformidade regulatória
Etapa responsável pela garantia de que o plano de gestão de

segurança da informação esteja em conformidade com regulamentos de
privacidade, como o GDPR, LGPD, CCPA, entre outros. Nesta etapa são
a) avaliações de conformidade utilizando como parâmetros as

recomendações da legislação pertinente à privacidade e segurança da
13 of 64 29/12/2023, 17:21
informação; e
b) elaboração de relatórios de conformidade exigidos por
regulamentações específicas.
3.4.12. Melhoria contínua
Etapa responsável por realizar a análise crítica dos resultados

obtidos através da execução das etapas anteriores. Nesta etapa são
a) revisão das políticas, programa, processos, normas, planos,

procedimentos, contratos, acordos envolvendo privacidade e segurança
da informação de acordo com a legislação pertinente à administração
pública federal; e
b) adaptação do plano de gestão de privacidade e segurança da
informação de acordo com as ameaças cibernéticas, vulnerabilidades,
tecnologias e regulamentos.
4. PAPÉIS E RESPONSABILIDADES
Os papéis e responsabilidades para a execução do plano de

gestão de segurança da informação no IFTO são definidos com base na
Instrução Normativa nº 1, de 27 de maio de 2020 e a Portaria SGD/MGI
nº 852, de 28 de março de 2023.
5. MATRIZ RACI
A matriz RACI apresentada na tabela 1 é utilizada para

definir com clareza as atribuições, papéis e responsabilidades de cada
colaborador nas atividades do processo. A sigla RACI significa, em inglês:
responsible, accountable, consulted e informed.
a) responsible (responsável): pessoa, função ou unidade organizacional

responsável pela execução de uma atividade no âmbito de um processo;
b) accountable (responsabilizado): dono da atividade, deverá fornecer
os meios para que a atividade possa ser executada, e será
responsabilizado caso a atividade não alcance os seus objetivos; Cada
atividade só pode possuir um accountable;
c) consulted (consultado): pessoas que deverão ser consultadas
durante a execução da atividade; As informações levantadas junto a essas
pessoas tornam-se entradas para a execução da atividade;
d) informed (informado): pessoas que serão informadas acerca do
progresso da execução da atividade.
Tabela 1 - Matriz de responsabilidades
Etapa AA CSI GSI ETIR STI U
14 of 64 29/12/2023, 17:21
Monitoramento de ameaças e A C C C R I
vulnerabilidades.
Desenvolvimento de políticas,
programas, normas, processos, planos A C C R C I
e contratos.
Conscientização, educação e A C R C C I
treinamento.
Configuração da infraestrutura da A C C C R I
rede.
Implementação de controles de A C C C R I
segurança.
Implementação de controles de A C C C R I
privacidade.
Gestão de fornecedores e terceiros. A C C C R I
Gestão de incidentes de segurança da A C C C R I
informação.
Gestão de continuidade de negócios. A C C C R I
Auditorias e revisões. A C C R C I
Conformidade regulatória. A C C R C I
Melhoria contínua. A C C R C I
Fonte: Diretoria de Tecnologia da Informação

Legenda:
AA: Alta Administração
CSI: Comitê de Segurança da Informação.
GSI: Gestor de Segurança da Informação.
ETIR: Equipe de Tratamento de Incidente de Segurança da Informação.
STI: Setor de Tecnologia da Informação (Diretoria de Tecnologia da
Informação e setores de TI das unidades do IFTO).
U: Usuário
6. INDICADOR DE DESEMPENHO
As atividades de segurança da informação dos recursos de

processamento da informação, inclusive dos recursos de computação em
nuvem serão monitoradas e constantemente medidas através de
indicador de desempenho. Esse indicador tem como objetivo acompanhar
a eficácia do processo, identificando tendências, falhas e oportunidades
de correções, promovendo sempre a melhoria contínua. A tabela 2
apresenta o indicador de desempenho do processo.
Tabela 2 - Indicador de desempenho
Número de controles de segurança da informação

Indicador gerenciados durante o ano.
Aumentar o número de controles de segurança da
Objetivo informação gerenciados durante o ano.
Periodicidade Anual.
Fonte Diretoria de Tecnologia da Informação.
15 of 64 29/12/2023, 17:21
Somatório de controles de segurança da informação

Fórmula gerenciados durante o ano.
Aumentar o número de controles de privacidade e
Meta segurança da informação aplicados durante o ano.
Fonte: Diretoria de Tecnologia da Informação
7. PRÁTICAS RECOMENDADAS
Para as atividades de privacidade e gestão da segurança dos

recursos de processamento da informação, inclusive dos recursos de
computação em nuvem sejam executadas com eficiência foram
estabelecidas as seguintes práticas a serem observadas:
1. A instituição deve elaborar políticas, programas, normas, processos,
procedimentos e controles inerentes à gestão da privacidade e segurança
dos recursos de processamento da informação, inclusive dos recursos de
computação em nuvem.
2. A instituição deve executar atividades de gestão de privacidade
segurança dos recursos de processamento da informação, inclusive dos
recursos de computação em nuvem.
3. A instituição deve gerenciar (inventariar e controlar) os dispositivos
conectados em sua rede.
4. A instituição deve gerenciar (inventariar e controlar) os softwares
instalados nos dispositivos conectados em sua rede.
5. A instituição deve gerenciar vulnerabilidades técnicas em seus ativos
de software, de hardware e de rede críticos para o negócio.
6. A instituição deve implementar configurações seguras em seus ativos
de software, hardware e de rede críticos para o negócio.
7. A instituição deve manter, monitorar e analisar logs de auditoria dos
ativos de software, de hardware e de rede críticos para o negócio.
8. A instituição deve aplicar controles compensatórios para o uso de
privilégios administrativos em seus ativos de software, de hardware e de
rede críticos para o negócio.
9. A instituição deve implementar defesas contra malware (ex. vírus) e
outras ameaças cibernéticas (ex. phishing).
10. A instituição deve limitar e controlar o uso de portas, protocolos e
serviços de rede nas conexões de sua rede interna com a internet e
outras redes externas.
11. A instituição deve implementar defesa de perímetro das conexões de
sua rede interna com a internet e outras redes externas.
12. A instituição deve implementar cópias regulares de segurança
(backup) das informações em meio digital, conforme as melhores práticas
e as necessidades de negócio, incluindo a realização periódica de testes
de recuperação das informações.
13. A instituição deve executar regularmente testes de segurança em seu
ambiente de TI (detecção de vulnerabilidades e testes de penetração).
16 of 64 29/12/2023, 17:21
14. A instituição deve implementar controles de acesso físicos e lógicos à

informação e aos ativos associados à informação que são por ela
gerenciados ou custodiados, com vistas a proteger adequadamente a
confidencialidade das informações não públicas e a integridade e a
disponibilidade das informações consideradas críticas para o negócio.
15. A instituição deve instituir uma política, princípios, objetivos,
diretrizes, principais atividades e responsabilidades relativas ao processo
de gestão de privacidade e segurança da informação.
16. A instituição deve avaliar periodicamente o desempenho e a
conformidade do processo de gestão de privacidade e segurança da
informação e promover eventuais ajustes necessários.
8. REFERÊNCIAS
ABNT. NBR 16167, de 4 de maio de 2013. Estabelece as diretrizes

básicas para classificação, rotulação e tratamento das informações
de acordo com sua sensibilidade e criticidade para a organização,
visando o estabelecimento de níveis adequados de proteção. (ABNT,
2013). Brasil, 2013.
BRASIL. Norma Complementar 20/IN01/DSIC/GSIPR, de 15 de
julho de 2014. Estabelece as diretrizes de Segurança da Informação e
Comunicações para instituição do processo de tratamento da informação,
envolvendo todas as etapas do ciclo de vida da informação, no âmbito da
Administração Pública Federal, direta e indireta. (BRASIL , 2014).
ABNT. NBR ISO/IEC 27032. Tecnologia da Informação. Técnicas de
segurança: diretrizes para segurança cibernética. (ABNT, 2015).
Brasil, 2015.
ABNT. NBR ISO/IEC 27017. Tecnologia da Informação. Técnicas de
segurança. Código de prática para controles de segurança da
informação com base ABNT NBR ISO/IEC 27002 para serviços em
nuvem. (ABNT, 2016). Brasil, 2016.
ABNT. NBR ISO/IEC 27004:2017. Tecnologia da Informação. Técnicas
de Segurança: Sistemas de gestão da segurança da informação:
monitoramento, medição, análise e avaliação. (ABNT, 2017). Brasil,
2017.
BRASIL. Gabinete de Segurança Institucional. Secretaria de Coordenação
de Sistemas. Departamento de Segurança da Informação e
Comunicações. Norma complementar 14/IN01/DSIC/SCS/GSIPR.
Princípios, diretrizes e responsabilidades relacionados à
segurança da informação para o tratamento da informação em
ambiente de computação em nuvem. Brasil, 2018. Disponível em:
https://repositorio.cgu.gov.br/bitstream/1/42764
/9/Norma%20Complementar_14_R01_%20Seguranca%20da%20Informacao%20-
Nuvem.pdf Acesso em: 03 jan. 2021.
ABNT. NBR ISO/IEC 27005:2019. Tecnologia da informação. Técnicas
de segurança: Gestão de riscos de segurança da informação.
(ABNT, 2019a). Brasil, 2019.
17 of 64 29/12/2023, 17:21
ABNT. NBR ISO/IEC 27701. Técnicas de Segurança. Extensão da ABNT

NBR/ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da
privacidade da informação: requisitos e diretrizes. (ABNT, 2019b).
Brasil, 2019.
ABNT. NBR ISO/IEC 27003:2020. Tecnologia da informação. Técnicas
de segurança: Sistemas de gestão da segurança da informação.
Orientações. (ABNT, 2020). Brasil, 2020.
ABNT. NBR ISO/IEC 27007. Segurança da Informação, segurança
cibernética e proteção da privacidade: diretrizes para auditoria de
sistemas de gestão de segurança da informação. (ABNT, 2021).
Brasil, 2021.
BRASIL. Presidência da República. Gabinete de Segurança Institucional.
Portaria Nº 93, de 18 de outubro de 2021: Glossário de segurança
da informação. (BRASIL, 2021).
ABNT. NBR ISO/IEC 27001:2022. Segurança da informação,
segurança cibernética e proteção à privacidade: sistemas de
gestão da segurança da informação. Requisitos. (ABNT, 2022a).
Brasil, 2022.
ABNT. NBR ISO/IEC 27002:2022. Segurança da informação,
segurança cibernética e proteção à privacidade de segurança.
Controles de segurança da informação. (ABNT, 2022b). Brasil, 2022.
Instrução Normativa Nº 1, de 27 de maio de 2020. Dispõe sobre a
Estrutura de Gestão da Segurança da Informação nos órgãos e nas
entidades da administração pública federal. Disponível em:
https://www.in.gov.br/en/web/dou/-/instrucao-normativa-n-1-de-27-de-
maio-de-2020-258915215. Acesso em: 06 set. de 2023.
Instrução Normativa Nº 3, de 28 de maio de 2021. Dispõe sobre os
processos relacionados à gestão de segurança da informação nos
órgãos e nas entidades da administração pública federal. Disponível
em: https://www.in.gov.br/en/web/dou/-/instrucao-normativa-gsi/pr-n-3-
de-28-de-maio-de-2021-322963172. Acesso em: 06 de set. 2023.
BRASIL. Presidência de República. Ministério da Gestão e da inovação
em serviços públicos. Guia do framework de privacidade e segurança
da informação. Programa de privacidade e segurança da
informação. Disponível em: https://www.gov.br/governodigital/pt-
br/seguranca-e-protecao-de-dados/ppsi/guia_framework_psi.pdf Acesso
em: 17 abr. 2023.
CENTER FOR INTERNET SECURITY, INC. Controles CIS Versão 8.
Disponível em: https://www.cisecurity.org/controls/v8/ (CIS, 2023). Acesso
em 20/12/2021 às 09:54.
ANEXO I
PLANO DE TRABALHO
A área de TI do IFTO tem utilizado nos últimos anos como
18 of 64 29/12/2023, 17:21
referência para a gestão de privacidade e segurança da informação os

controles de segurança definidos pelo Center for Internet Security (CIS,
2023) e normas ABNT 27001 (ABNT, 2022a) e 27002 (ABNT, 2022b).
Estes controles possibilitam aumentar o nível de maturidade em relação
ao processo de gestão de segurança da informação como também são
mecanismos de defesa cibernética. Atualmente nem todos os controles
estão implantados, pois estão em fase de estudo de viabilidade técnica.
Os controles de privacidade e segurança da informação
Critical Security Controls são práticas recomendadas no mercado
formuladas por grupo de especialistas em TI que utilizam informações
coletadas de ataques reais e suas defesas eficazes. Estas práticas
fornecem orientação específica e um caminho claro para que as
organizações atinjam os objetivos e metas descritos por várias estruturas
legais, regulamentares e políticas (CIS, 2023). As próximas seções
detalham os controles para a execução de atividades de gestão de
segurança dos recursos de processamento da informação, inclusive dos
recursos de computação em nuvem que serão utilizados pelo IFTO nos
próximos anos.
1. Controles de Segurança
1.1. Inventário e controle de ativos corporativos
Este controle é responsável por gerenciar ativamente

(inventariar, rastrear e corrigir) todos os ativos da empresa (dispositivos
de usuário final, incluindo portáteis e móveis; dispositivos de rede;
dispositivos não informáticos / IoT - Internet das Coisas; e servidores)
conectados à infraestrutura fisicamente, virtualmente, remotamente, e
aqueles em ambientes de nuvem, para saber com precisão a totalidade de
ativos que precisam ser monitorados e protegidos dentro da empresa.
Isso também apoiará a identificação de ativos não autorizados e não
gerenciados para remover ou corrigir.
Segundo a norma ABNT 27002 (ABNT, 2022b) convém que
todos os ativos sejam inventariados e tenham um proprietário
responsável. Para CIS (CIS, 2023), a instituição deve ter gestão ativa
(inventariar, rastrear e corrigir) de todos os ativos corporativos
(dispositivos de usuário final, incluindo portáteis e móveis, dispositivos de
rede, dispositivos não computacionais; internet das coisas (IoT) e
servidores conectados fisicamente à infraestrutura, virtualmente,
remotamente e aqueles em ambientes de nuvem, para saber com precisão
a totalidade dos ativos que precisam ser monitorados e protegidos dentro
da instituição.
Para CIS (2023) a gestão do controle de todos os ativos
corporativos exerce papel crítico no monitoramento de segurança,
resposta a incidentes, backup e recuperação de sistemas. As empresas
devem saber quais dados são essenciais para elas, e a gestão adequada
de ativos ajudará a identificar os ativos corporativos que mantém ou
gerenciam esses dados críticos, para que os controles de segurança
apropriados possam ser aplicados. No IFTO este controle é gerenciado
19 of 64 29/12/2023, 17:21
através de várias soluções de tecnologia da informação, como por

exemplo a ferramenta GLPI, software de gerenciamento de serviços
baseado em tecnologias de código aberto.
1.1.1. Procedimentos e ferramentas

1. Inventário de ativos de corporativos de TI;
2. Definir os proprietários dos ativos;
3. Classificação da informação;
4. Varredura ativa e descoberta de vulnerabilidades na rede por meio de
ferramentas de varredura de rede (logs, registros de plataforma
corporativa (sistemas, portais, VPN, IDS, IPS, DPI, MDM).
1.1.2. Medidas de segurança
Existem diversas medidas que podem ser adotadas para o

inventário e controle de ativos corporativos. Dentre elas tem-se as
atividades apresentadas na tabela 1.
Tabela 1 - Atividades para o inventário e controle de ativos
corporativos
Tipo de Função de Ferramenta

Descrição Ativo Segurança Periodicidade de Apoio
Estabelecer e
manter um GLPI
inventário Dispositivo Identificar Semanalmente ZABBIX
detalhado de PFSENSE
ativos
corporativos.
Endereçar
ativos não Dispositivo Responder Semanalmente PFSENSE
autorizados.
Utilizar uma
ferramenta de
descoberta
ativa para Dispositivo Detectar Semanalmente NMAP
identificar NESSUS
ativos
conectados à
rede.
Usar o
Dynamic Host
Configuration
Protocol
(DHCP) para Dispositivo Identificar Diariamente PFSENSE
atualizar o
inventário de
ativos
corporativos.
Usar uma
ferramenta de
descoberta Dispositivo Detectar Semanalmente NMAP
NESSUS
passiva para
20 of 64 29/12/2023, 17:21
identificar
ativos
conectados à
rede
corporativa.
1.2. Inventário e controle de ativos de software
Segundo CIS (2023) este controle é responsável pela gestão

ativa (inventariar, rastrear e corrigir) de todos os softwares (sistemas
operacionais e aplicações) na rede para que apenas o software autorizado
seja instalado e possa ser executado, e que o software não autorizado e
não gerenciado seja encontrado e impedido de ser instalado ou
executado.

1. Lista de permissões;
2. Ferramenta de inventário de software.
Existem diversas medidas que podem ser adotadas para o

inventário e controle de ativos de software. Dentre elas tem-se as
Tabela 2 - Atividades para o inventário e controle de ativos de
software

Descrição Periodicidade
Ativo Segurança de Apoio
Estabelecer e
manter um
inventário
detalhado de
softwares Aplicações Identificar Semestralmente -
licenciados
instalados em
ativos
corporativos.
21 of 64 29/12/2023, 17:21
Assegurar que
apenas o
software com
suporte
atualmente
suportado
seja Aplicações Identificar Mensalmente -
designado
como
autorizado no
inventário de
software para
ativos
corporativos.
Assegurar que
o software
não
autorizado
seja retirado
do uso em Aplicações Responder Mensalmente -
ativos
corporativos
ou
receba uma
exceção
documentada.
Utilizar
ferramentas
de inventário
de software,
quando
possível, em
todo o IFTO Aplicações Detectar Diariamente -
para
automatizar a
descoberta e
documentação
do software
instalado.
Usar
controles
técnicos,
como a lista
de permissões
de aplicativos,
para garantir Aplicações Proteger Semestralmente -
que apenas
software
autorizado
possa
executar ou
ser acessado.
Usar
controles
técnicos para
garantir que
apenas
bibliotecas de Aplicações Proteger Semestralmente -
software
autorizadas,
como
arquivos .dll,
22 of 64 29/12/2023, 17:21
.ocx, .so, etc.

específicos,
tenham
permissão
para carregar
em um
processo do
sistema.
Bloquear o
carregamento
de bibliotecas
não
autorizadas
em um
processo do
sistema.
Usar
controles
técnicos,
como
assinaturas
digitais e
controle de
versão, para
garantir que
apenas scripts
autorizados, Aplicações Proteger Semestralmente -
como
arquivos .ps1,
.py, etc.
específicos,
tenham
permissão
para executar.
Bloquear a
execução de
scripts não
autorizados.
1.3. Proteção de dados
Este controle é responsável por utilizar processos e controles

técnicos para identificar, classificar, manusear, reter e descartar dados
com segurança (BRASIL, 2023; CIS, 2023). Para CIS (2023) os dados
devem ser gerenciados de maneira adequada em todo o seu ciclo de
vida. O IFTO deve desenvolver um processo de gestão de dados que
inclua um framework de gestão de dados, diretrizes de classificação de
dados e requisitos para proteção, manuseio, retenção e descarte de
dados.
A instituição deve desenvolver processos e controles técnicos
para identificar, classificar, manusear com segurança, reter e descartar
dados. Segundo a ABNT 27002 (ABNT, 2022b) deve-se assegurar que a
informação receba um nível adequado de proteção. A informação deve ser
classificada para indicar a necessidade, prioridades e o nível esperado de
proteção quando do tratamento da informação (ABNT, 2013).
A implementação do controle de proteção de dados pode
23 of 64 29/12/2023, 17:21
ajudar a proteger uma infinidade de informações em uma rede

corporativa, incluindo Informações de Identificação pessoais. A área de TI
utiliza várias soluções para proteção de dados, como por exemplo:
firewalls, antivírus, criptografia entre outros.

1. Processo de gerenciamento de dados;
2. Inventário ou mapeamento de dados;
3. Lista de controle de acesso a dados;
4. Esquema de classificação de dados;
5. Fluxo de dados de documentos.
Existem diversas medidas que podem ser adotados para a

proteção de dados. Dentre elas tem-se as atividades apresentadas na
tabela 3.
Tabela 3 - Atividades para a proteção de dados

Estabelecer e
manter um
processo de Dados Identificar Anualmente SEI
gestão de
dados.
Estabelecer e
manter um Dados Identificar Anualmente SEI
inventário de
dados.
Configurar
listas de
controle de
acesso a dados Dados Proteger - -
com base na
necessidade de
um usuário.
Reter os dados
de acordo com o
processo de
gerenciamento
de dados da
empresa. A Dados Proteger - -
retenção de
dados deve
incluir
cronogramas
mínimo e
máximo.
Eliminar os
dados com Dados Proteger - -
segurança
24 of 64 29/12/2023, 17:21
conforme
descrito no
processo de
gerenciamento
de dados da
empresa.
Certificar-se de
que o processo
e o método de
descarte sejam
proporcionais à
sensibilidade
dos dados.
Criptografar os
dados em
dispositivos do
usuário final
contendo dados
confidenciais.
Implementações
de exemplo Dispositivos Proteger - -
podem incluir:
Windows
BitLocker®,
Apple
FileVault®,
Linux® dm-
crypt.
Estabelecer e
manter um
esquema geral
de classificação
de dados para a
empresa. As
empresas
podem usar
rótulos, como
“Sensível”,
“Confidencial” e
“Público”, e
classificar seus
dados de acordo Dados Identificar - -
com esses
rótulos. Revisar
e atualizar o
esquema de
classificação
anualmente ou
quando
ocorrerem
mudanças
significativas na
empresa que
possam
impactar esta
proteção.
Documentar
fluxos de dados
do documento.
A documentação Dados Identifi
ficar Anualmente SEI
do fluxo de
dados inclui
25 of 64 29/12/2023, 17:21
fluxos de dados
do provedor de
serviços e deve
ser baseada no
processo de
gerenciamento
de dados da
empresa.
Revisar e
atualizar a
documentação
anualmente ou
quando
ocorrerem
mudanças
significativas na
empresa que
possam afetar
esta proteção.
Criptografar
dados em mídia Dados Proteger - -
removível.
Criptografar
dados
confidenciais
em trânsito.
Implementações
de exemplo
podem incluir: Dados Proteger - -
Transport Layer
Security (TLS) e
Open Secure
Shell
(OpenSSH).
Criptografar
dados
confidenciais
em repouso em
servidores,
aplicativos e
bancos de dados
que contenham
dados sensíveis.
A criptografia
da camada de
armazenamento,
também
conhecida como
criptografia do Dados Proteger - -
lado do servidor,
atende ao
requisito
mínimo desta
proteção.
Métodos de
criptografia
adicionais
podem incluir
criptografia de
camada de
aplicativo,
também
26 of 64 29/12/2023, 17:21
conhecida como
criptografia do
lado do cliente,
em que o acesso
ao (s)
dispositivo (s)
de
armazenamento
de dados não
permite o
acesso aos
dados de texto
simples.
Segmentar o
processamento
e
armazenamento
de dados com
base na
sensibilidade
dos dados. Não Rede Proteger - -
processar dados
sensíveis em
ativos
corporativos
destinados a
dados de menor
sensibilidade.
Implementar
uma ferramenta
automatizada,
como uma
ferramenta de
prevenção de
perda de dados
(DLP) baseada
em host, para
identificar todos
os dados
confidenciais
armazenados,
processados ou Dados Proteger - -
transmitidos por
meio de ativos
da empresa,
incluindo
aqueles situados
no local ou em
um provedor de
serviços remoto,
e atualizar o
inventário de
dados sensíveis
do IFTO.
Registrar o
acesso a dados
confidenciais, Dados Detectar - -
incluindo
modificação e
descarte.
27 of 64 29/12/2023, 17:21
1.4. Configuração segura de ativos corporativos e software
Este controle é responsável por estabelecer e manter a

configuração segura de ativos institucionais (dispositivos de usuário final,
incluindo portáteis e móveis, dispositivos de rede, dispositivos não
computacionais/IoT, servidores e software (sistemas operacionais e
aplicações). Para CIS (2023) a instituição deve estabelecer e manter a
configuração segura de ativos corporativos (dispositivos de usuário final,
incluindo portáteis e móveis; dispositivos de rede; dispositivos não
computacionais/IoT; e servidores) e software (sistemas operacionais e
aplicações). A partir da classificação de riscos dos dados, os ativos
corporativos e softwares são configurados.

1. Determine a classificação de risco dos dados
manipulados/armazenados no ativo corporativo (por exemplo, risco alto,
moderado, baixo).
2. Crie um script de configuração de segurança que defina as
configurações de segurança do sistema para atender aos requisitos para
proteger os dados usados no ativo corporativo. Use benchmarks, como os
descritos anteriormente nesta seção.
3. Instale o software básico do sistema operacional.
4. Aplique o sistema operacional e os patches de segurança apropriados.
5. Instale os pacotes, ferramentas e utilitários de software de aplicação
apropriados.
6. Aplique as atualizações apropriadas.
7. Instale scripts de customização locais nesta imagem.
8. Execute o script de segurança para definir o nível de segurança
apropriado.
9. Execute uma ferramenta compatível com o SCAP para
registrar/pontuar a configuração do sistema da imagem do baseline.
10. Execute um teste de garantia de qualidade de segurança.
11. Salve esta imagem de base em um local seguro.
Existem diversas medidas que podem ser adotadas para

configuração segura de ativos corporativos e software. Dentre elas tem-se
as atividades apresentadas na tabela 4.
Tabela 4 - Atividades para configuração segura de ativos
corporativos e software

28 of 64 29/12/2023, 17:21
Estabelecer e
manter um
processo de
configuração
segura para ativos
corporativos
(dispositivos de
usuário final,
incluindo
dispositivos
portáteis e móveis,
não
computacionais /
IoT e servidores) e Aplicações Proteger Anualmente -
software (sistemas
operacionais e
aplicativos).
Revisar e atualizar
a documentação
anualmente ou
quando ocorrerem
mudanças
significativas no
IFTO que possam
impactar esta
medida de
segurança.
Estabelecer e
manter um
processo de
configuração
segura para
infraestrutura de
rede. Revisar e
atualizar a Rede Proteger Anualmente -
documentação
anualmente ou
quando ocorrerem
mudanças
significativas no
IFTO que possam
afetar esta medida
de segurança.
Configurar o
bloqueio
automático de
sessão em ativos Usuários Proteger - -
corporativos após
um período
definido de
inatividade.
Implementar e
gerenciar um
firewall nos
servidores, onde
houver suporte. Windows
Implementações de Dispositivo Proteger - Defender
exemplo incluem PFSENSE
um firewall virtual,
firewall do sistema
operacional ou um
agente de firewall
29 of 64 29/12/2023, 17:21
de terceiros.
Implementar e
gerenciar um
firewall baseado
em host ou uma
ferramenta de
filtragem de porta
em dispositivos de Windows
usuário final, com Dispositivo Proteger - Defender
uma regra de PFSENSE
negação padrão
que elimina todo o
tráfego, exceto os
serviços e portas
que são
explicitamente
permitidos.
Gerenciar com
segurança ativos e
software
corporativos.
Implementações de
exemplo incluem
gerenciamento de
configuração por
meio de
infraestrutura
controlada por
versão como
código e acesso a
interfaces
administrativas em
protocolos de rede Rede Proteger - -
seguros, como
Secure Shell (SSH)
e Hypertext
Transfer Protocol
Secure (HTTPS).
Não usar
protocolos de
gerenciamento
inseguros, como
Telnet (Teletype
Network) e HTTP, a
menos que seja
operacionalmente
essencial.
Gerenciar contas
padrão em ativos e
software
corporativos, como
root, administrador
e outras contas de
fornecedores pré- Usuários Proteger - -
configuradas.
Implementações de
exemplo podem
incluir: desativar
contas padrão ou
torná-las
inutilizáveis.
30 of 64 29/12/2023, 17:21
Desinstalar ou
desativar serviços
desnecessários em
ativos e software
corporativos, como
um serviço de Dispositivo Proteger - -
compartilhamento
de arquivos não
utilizado, módulo
de aplicativo da
web ou função de
serviço.
Configurar
servidores DNS
confiáveis em
ativos
corporativos. As
implementações de
exemplo incluem:
configuração de DNS IFTO
Dispositivo Proteger -
ativos para usar DNS Google
servidores DNS
controlados pela
empresa e/ou
servidores DNS
confiáveis
acessíveis
externamente.
Impor o bloqueio
automático de
dispositivo
seguindo um limite
predeterminado de
tentativas de Active
Dispositivo Responder -
autenticação local Directory
com falha em
dispositivos
portáteis de
usuário final,
quando compatível.
Impor capacidade
de
limpeza remota nos
dados nos
dispositivos
portáteis de
usuário final de
propriedade do
IFTO quando for Dispositivo Proteger - -
considerado
apropriado, como
dispositivos
perdidos ou
roubados, ou
quando um
indivíduo não
oferecer mais
suporte ao IFTO.
Separar espaços de
trabalho
corporativos em Dispositivo Proteger - -
dispositivos móveis
31 of 64 29/12/2023, 17:21
de usuário final,
onde houver
suporte.
1.5. Gestão de contas
Controle responsável por usar processos e ferramentas para

atribuir e gerenciar autorização de credenciais para contas de usuário,
incluindo contas de administrador, contas de serviço para ativos e
softwares institucionais (BRASIL, 2023). A instituição deve usar
processos e ferramentas para atribuir e gerenciar autorização de
credenciais para contas de usuário, incluindo contas de administrador,
bem como contas de serviço, de ativos corporativos e software (CIS,
2023).
O gerenciamento de contas é aplicável a todos os aplicativos,
dispositivos e serviços. Todos os usuários precisarão de uma conta para
acessar aplicativos, dispositivos e provedores de serviços internos ou
externos. O registro e o monitoramento de contas são componentes
críticos das operações de segurança. O IFTO deve desenvolver políticas
de senha adequadas e orientações para não reutilizar senhas.
As contas devem ser rastreadas. Qualquer conta que esteja
inativa deve ser desabilitada e eventualmente removida do sistema. Deve
haver auditorias periódicas para garantir que todas as contas ativas
sejam rastreadas para usuários autorizados do ativo corporativo. Os
usuários devem usar aplicações de gestão de senhas para armazenar com
segurança suas senhas e devem ser instruídos a não mantê-las em
planilhas ou arquivos de texto em seus computadores. O IFTO utiliza o
SUAP para o gerenciamento de contas de usuários.

1. Desenvolver um programa abrangente de gestão de acesso e
identidades (Identity and Access Management - IAM);
2. Identificar e rastrear contas administrativas ou de alto privilégio e
contas de serviço;
3. Auditoria periódicas.
Existem diversas medidas que podem ser adotadas para a

gestão de contas. Dentre elas tem-se as atividades apresentadas na
tabela 5.
Tabela 5 - Atividades para gestão de contas
Tipo de Função de
Descrição Periodicidade Ferramenta
32 of 64 29/12/2023, 17:21
Estabelecer e
manter um
inventário de todas Identificar Trimestralmente. Active
as contas Directory
gerenciadas no
IFTO.
Usar senhas
exclusivas para Active
Usuários Proteger -
todos os ativos Directory
institucionais.
Excluir ou
desabilitar quaisquer
contas inativas após Active
um período Usuários Responder - Directory
determinado de
inatividade, quando
houver suporte.
Restringir os
privilégios de
administrador a
contas de
administrador
dedicadas em ativos
corporativos.
Realizar atividades
gerais de Active
computação, como Usuários Proteger - Directory
navegação na
Internet, e-mail e
uso do pacote de
produtividade, a
partir da conta
primária não
privilegiada do
usuário.
Estabelecer e
manter um Active
Usuários Identificar -
inventário de contas Directory
de serviço.
Centralizar o
gerenciamento de
contas por meio de Active
Usuários Proteger -
um diretório ou Directory
serviço de
identidade.
1.6. Gestão do controle de acesso
Controle responsável por usar processos e ferramentas para

criar, atribuir, gerenciar e revogar credenciais de acesso e privilégios
para contas de usuário, administrador e serviço para ativos e software
institucionais (BRASIL, 2023). O controle de gerenciamento de acesso
destina-se a gerenciar grande parte do processo de autenticação e
autorização, desde como um usuário acessa um dispositivo até a
revogação de credenciais e privilégios de acesso.
A instituição deve usar processos e ferramentas para criar,
33 of 64 29/12/2023, 17:21
atribuir, gerenciar e revogar credenciais de acesso e privilégios para

contas de usuário, administrador e serviço para ativos e software
corporativos. Para a norma ABNT 27002 (ABNT, 2022b) a instituição deve
assegurar acesso de usuário autorizado e prevenir acesso não autorizado
a sistemas de informação (ABNT, 2013). Esta prática é responsável pelo
controle de acesso à informação e aos ativos associados à informação.

1. Procedimento forma de registro e cancelamento de usuários;
2. Gerenciamento de senha de usuário;
3. Gerenciamento de acesso privilegiado;
4. Inventariar e rastrear contas de serviço;
5. Listas de processos em execução.

gestão do controle de acesso. Dentre elas tem-se as atividades
apresentadas na tabela 6.
Tabela 6 - Atividades para gestão de contas

Estabelecer e seguir
um processo, de
preferência
automatizado, para
conceder acesso aos Active
ativos do IFTO Usuários Proteger - Directory
mediante nova SUAP
contratação, concessão
de direitos ou mudança
de função de um
usuário.
Estabelecer e seguir
um processo, de
preferência
automatizado, para
revogar o acesso aos
ativos do IFTO, por
meio da desativação de
contas imediatamente Active
após o encerramento, Usuários Proteger - Directory
revogação de direitos SUAP
ou mudança de função
de um usuário.
Desativar contas, em
vez de excluí-las, pode
ser necessário para
preservar as trilhas de
auditoria.
34 of 64 29/12/2023, 17:21
Exigir que todas as

aplicações corporativas
ou de terceiros Revisar e E-mail.
Federação
expostas Usuários Proteger atualizar CAFe
externamente apliquem anualmente GOV.BR
o MFA quando houver
suporte.
Exigir MFA para acesso Usuários Proteger - -
remoto à rede.
Exigir MFA para todas
as contas de acesso
administrativo, onde
houver suporte, em
todos os ativos do Usuários Proteger - -
IFTO, sejam
gerenciados no local ou
por meio de um
provedor terceirizado.
Estabelecer e manter
um inventário dos
sistemas de
autenticação e
autorização do IFTO, Usuários Identificar Anualmente -
incluindo aqueles
hospedados no local ou
em um provedor de
serviços remoto.
Centralizar o controle
de acesso para todos
os ativos da empresa
por meio de um serviço Usuários Proteger - -
de diretório ou
provedor de SSO, onde
houver suporte.
Definir e manter o
controle de acesso
baseado em funções,
determinando e
documentando os
direitos de acesso
necessários para cada
função dentro da
empresa para cumprir Dados Proteger Anualmente -
com sucesso suas
funções atribuídas.
Realizar análises de
controle de acesso de
ativos corporativos
para validar se todos
os privilégios estão
autorizados.
1.7. Gestão contínua de vulnerabilidades
Controle responsável por desenvolver um plano para avaliar e

rastrear vulnerabilidades continuamente em todos os ativos dentro da
infraestrutura do IFTO, a fim de remediar e minimizar a janela de
oportunidade para atacantes. Monitorar as fontes públicas e privadas
35 of 64 29/12/2023, 17:21
para novas informações sobre ameaças e vulnerabilidades.

Segundo Brasil (2023) este controle é voltado ao
monitoramento de possíveis vulnerabilidades em softwares ou hardwares
usados pela instituição. Abrange processos para tomada de decisões com
ações proativas e correções naquilo que possa comprometer a
privacidade, incluindo ações defensivas.
A instituição deve desenvolver um plano para avaliar e
rastrear vulnerabilidades continuamente em todos os ativos corporativos
dentro da infraestrutura da instituição, a fim de remediar e minimizar a
janela de oportunidade para atacantes. Deve-se monitorar fontes públicas
e privadas para novas informações sobre ameaças e vulnerabilidades. A
área de TI realiza a gestão contínua de vulnerabilidades por meio de
softwares livres.

1. Ferramentas de varredura de vulnerabilidades.
2. Processo de garantia de qualidade para verificar as atualizações de
configuração ou patches implementados corretamente em todos os ativos.

gestão contínua de vulnerabilidades. Dentre elas tem-se as atividades
Tabela 7 - Atividades para gestão contínua de vulnerabilidades

Descrição Periodicidade
Estabelecer e
manter um
processo de
gestão de Aplicações Proteger Anualmente SEI
vulnerabilidade
documentado
para ativos
corporativos.
Estabelecer e
manter uma
estratégia de
remediação
baseada em
risco Aplicações Responder Mensalmente SEI
documentada
em um processo
de remediação,
com revisões
mensais ou mais
frequentes.
Executar Rundeck
atualizações do Playlist
sistema Aplicações Proteger Mensalmente Windows
operacional em Update
36 of 64 29/12/2023, 17:21
ativos
corporativos por
meio do
gerenciamento
automatizado
de patches.
Executar a
gestão
automatizada de Aplicações Proteger Mensalmente
patches de
aplicações.
Realizar
varreduras
automatizadas
de
vulnerabilidade
de ativos
corporativos
internos.
Realizar
varreduras Aplicações Identificar Trimestralmente Nessus
Wazuh
autenticadas e
não
autenticadas,
usando uma
ferramenta de
varredura de
vulnerabilidade
compatível com
SCAP.
Executar
varreduras de
vulnerabilidade
automatizadas
de ativos
corporativos
expostos Nessus
Aplicações Identificar Mensalmente
externamente Wazuh
usando uma
ferramenta de
varredura de
vulnerabilidade
compatível com
SCAP.
Corrigir as
vulnerabilidades
detectadas no
software por Aplicações Responder Mensalmente -
meio de
processos e
ferramentas.
1.8. Gestão de registros de auditoria
Controle responsável por coletar, alertar, analisar e reter logs

de eventos com o objetivo de ajudar a detectar, compreender ou se
recuperar de um ataque (BRASIL, 2023). A instituição deve coletar,
alertar, analisar e reter logs de auditoria de eventos que podem ajudar a
37 of 64 29/12/2023, 17:21
detectar, compreender ou se recuperar de um ataque (CIS, 2023).

1. Servidor de logs centralizado;
2. Avaliação periódicas de logs.

gestão de registros de auditoria. Dentre elas tem-se as atividades
Tabela 8 - Atividades para gestão de registros de auditoria

Estabelecer e
manter um
processo de
gerenciamento
de registro de
auditoria que
defina os
requisitos de
registro do
IFTO. No Rede Proteger Anualmente -
mínimo, tratar
da coleta,
revisão e
retenção de
logs de
auditoria para
ativos
corporativos.
Coletar logs de
Rede Detectar Diariamente -
auditoria.
Garantir o
armazenamento
adequado do Rede Proteger Diariamente -
registro de
auditoria.
Padronizar a Active
sincronização Rede Proteger Diariamente Directory
de tempo.
Coletar logs de
auditoria Rede Detectar - -
detalhados.
Coletar logs de
auditoria de
consulta DNS
em ativos -
Rede Detectar -
corporativos,
quando
apropriado e
suportado.
38 of 64 29/12/2023, 17:21
Coletar logs de
auditoria de
requisição de
URL em ativos Rede Detectar - -
corporativos,
quando
apropriado e
suportado.
Coletar logs de
auditoria de Dispositivo Detectar - -
linha de
comando.
Centralizar, na
medida do
possível, a
coleta e
retenção de Rede Detectar - -
logs de
auditoria nos
ativos
corporativos.
Reter os logs
de auditoria em Rede - Proteger - -
ativos
corporativos.
Realizar
análises de logs
de auditoria
para detectar
anomalias ou Rede Detectar - -
eventos
anormais que
possam indicar
uma ameaça
potencial.
Coletar logs do
provedor de
serviços, Dados Detectar - -
quando houver
suporte.
1.9. Proteções de e-mail e navegador Web
Controle responsável por melhorar as proteções e detecções

de vetores de ameaças de e-mail e web, pois são oportunidades para
atacantes manipularem o comportamento humano por meio do
engajamento direto (BRASIL, 2023; CIS, 2023).
A instituição deve melhorar as proteções e detecções de
vetores de ameaças de e-mail e web, pois são oportunidades para
atacantes manipularem o comportamento humano por meio do
engajamento direto.

1. Habilitar filtros de conteúdo e ativar os bloqueadores de pop-up;
39 of 64 29/12/2023, 17:21
2. Assinar serviços de filtragem de DNS para bloquear tentativas de

acesso a esses sites no nível da rede;
3. Treinar e encorajar o comportamento correto;
4. Ferramenta de filtragem de spam e verificação de malware no gateway
de e-mail reduz o número de e-mails e anexos maliciosos que chegam à
rede corporativa.

proteções de e-mail e navegador web. Dentre elas tem-se as atividades
Tabela 9 - Atividades para proteções de e-mail e navegador web

Garantir o uso
apenas de
navegadores e
clientes de Aplicações Proteger - -
e-mail
suportados
plenamente.
Usar serviços
de filtragem de
DNS em todos
os ativos
corporativos
para bloquear Rede Proteger - -
o acesso a
domínios mal-
intencionados
conhecidos.
Impor e
atualizar filtros
de URL
baseados em
rede para
limitar um
ativo Rede Proteger - -
corporativo de
se conectar a
sites
potencialmente
maliciosos ou
não aprovados.
Restringir
extensões de
cliente de
e-mail e Aplicações Proteger - Google
navegador
desnecessárias
ou não
autorizadas.
Implementar o Servidor
Rede Proteger -
DMARC. DNS
40 of 64 29/12/2023, 17:21
Bloquear tipos
de arquivo
desnecessários
que tentem Rede Proteger - -
entrar no
gateway de
e-mail do IFTO.
Implantar e
manter
proteções
antimalware
de servidor de Rede Proteger - -
e-mail, como
varredura de
anexos e/ou
sandbox.
1.10. Defesas contra malware
Controle responsável por impedir ou controlar a instalação,

disseminação e execução de aplicações, códigos ou scripts maliciosos em
ativos da organização (BRASIL, 2023). Para CIS (2023) a instituição deve
impedir ou controlar a instalação, disseminação e execução de
aplicações, códigos ou scripts maliciosos em ativos corporativos. Segundo
a ABNT 27002 (ABNT, 2022b) convém que os usuários estejam
conscientes dos perigos do código malicioso e que os gestores, onde
apropriado, implantem controles para prevenir, detectar e remover
código malicioso e controlar códigos móveis (ABNT, 2013).

1. Atualizações automatizadas de proteção contra malware;
2. Coleta centralizada dos logs;
3. Política para proibição de softwares não autorizados.

defesas contra malware. Dentre elas tem-se as atividades apresentadas
na tabela 10.
Tabela 10 - Atividades para defesas contra malware

Instalar e
manter um
software anti-
Dispositivo Detectar - -
malware em
todos os ativos
corporativos.
41 of 64 29/12/2023, 17:21
Configurar
atualizações
automáticas de
assinatura anti- Dispositivo Proteger - -
malware em
todos os ativos
corporativos.
Desabilitar a
funcionalidade
de execução e
reprodução Dispositivo Proteger - -
automática para
mídias
removíveis.
Configurar a
varredura anti-
malware Dispositivo Detectar - -
automática de
mídia
removível.
Habilitar
recursos anti- Dispositivo Proteger - -
exploração.
Gerenciar o
software anti-
malware de Dispositivo Proteger - -
maneira
centralizada.
Usar software
anti-malware
Dispositivo Detectar - -
baseado em
comportamento.
1.11. Recuperação de dados
Controle responsável por criar e manter práticas de

recuperação de dados que sejam capazes de restaurar os ativos da
organização para um estado pré-incidente ou o estado mais
confiável possível (BRASIL, 2023). A instituição deve estabelecer e
manter práticas de recuperação de dados suficientes para restaurar
ativos corporativos dentro do escopo para um estado pré-incidente e
confiável.

1. Processo de gestão de dados;
2. Procedimentos de recuperação de dados;
3. Procedimentos de restauração de dados.
42 of 64 29/12/2023, 17:21
recuperação de dados. Dentre elas tem-se as atividades apresentadas na

tabela 11.
Tabela 11 - Atividades para recuperação de dados
Tipo Função de Ferramenta

Descrição de Periodicidade
Segurança de Apoio
Ativo
Estabelecer e
manter um
processo de Dados Recuperar Anualmente -
recuperação de
dados.
Executar
backups
automatizados Dados Recuperar Semanalmente -
de ativos
corporativos.
Proteger os
dados de
recuperação Dados Proteger - -
com controles
equivalentes dos
dados originais.
Estabelecer e
manter uma
instância isolada Dados Recuperar - -
de dados de
recuperação.
Testar os dados Dados Recuperar Trimestralmente -
de recuperação.
1.12. Gestão de infraestrutura de redes
Controle responsável por estabelecer, implementar e

gerenciar ativamente (rastreie, reporte e corrija) os dispositivos de rede,
a fim de evitar que atacantes explorem serviços de rede e pontos de
acesso vulneráveis (BRASIL, 2023). A instituição deve estabelecer,
implementar e gerenciar ativamente (rastrear, reportar, corrigir) os
dispositivos de rede, a fim de evitar que atacantes explorem serviços de
rede e pontos de acesso vulneráveis (CIS, 2023). A aplicação deste
controle visa a garantir que a infraestrutura de rede seja mantida e
configurada adequadamente durante todo o seu ciclo de vida.

1. Monitorar versões e configurações de infraestrutura em busca de
vulnerabilidades;
2. Diagrama de arquitetura de segurança.
43 of 64 29/12/2023, 17:21

gestão de infraestrutura de redes. Dentre elas tem-se as atividades
Tabela 12 - Atividades para gestão de infraestrutura de redes

Assegurar que
a
infraestrutura Rede Proteger Mensalmente -
de rede seja
mantida
atualizada.
Estabelecer e
manter uma
Rede Proteger - -
arquitetura de
rede segura.
Gerenciar
infraestrutura Rede Proteger - -
de rede com
segurança.
Estabelecer e
manter
diagrama(s) Rede Identificar Diariamente ZABBIX
de
arquitetura.
Centralizar a
autenticação,
autorização e Rede Proteger - -
auditoria
(AAA) de rede.
Usar
protocolos de
comunicação e Rede Proteger - -
gestão de rede
seguros.
Assegurar que
os dispositivos
remotos
utilizem uma
VPN e esteja Dispositivo Proteger - -
se conectando
a uma
infraestrutura
AAA do IFTO.
Estabelecer e
manter
recursos de
computação Dispositivo Proteger - -
dedicados
para todo o
trabalho
administrativo.
1.13. Monitoramento e defesa da rede
Controle responsável por implementar processos e
44 of 64 29/12/2023, 17:21
ferramentas para que a organização estabeleça o monitoramento e a

defesa de rede contra ameaças de segurança em toda a sua
infraestrutura de rede e base de usuários (BRASIL, 2023). A instituição
deve operar processos e ferramentas para estabelecer e manter
monitoramento e defesa de rede abrangente contra ameaças de
segurança em toda a infraestrutura de rede corporativa e base de
usuários (CIS, 2023). Para a norma ABNT 27001 (ABNT, 2022a) a
instituição deve garantir a proteção das informações em redes e a
proteção da infraestrutura de suporte.

1. Controles de rede;
2. Segurança dos serviços de rede;
3. Processo de monitoramento contínuo;
4. Relatório de atividades;
5. Procedimentos de resposta;
6. Registros de auditoria;
7. Monitoramento do uso do sistema;
8. Registro de log de administrador e operador;
9. Registro de falhas;
10. Sincronização dos relógios;
11. Revisões semanais de logs de auditoria;
12. Ferramentas de correlação de logs de auditoria;
13. Ferramentas automatizadas de análise de log.

monitoramento e defesa de rede. Dentre elas tem-se as atividades
Tabela 13 - Atividades para monitoramento e defesa da rede

Centralizar o
alerta de
de Rede Detectar - -
eventos
segurança.
Implantar
solução de
detecção de Dispositivo Detectar - -
intrusão
baseada em
host.
45 of 64 29/12/2023, 17:21
Implantar
uma solução
de detecção Rede Detectar - -
de intrusão
de rede.
Realizar
filtragem de
tráfego entre Rede Proteger - -
segmentos
de rede.
Gerenciar
controle de
acesso para Dispositivo Proteger - -
ativos
remotos.
Coletar logs
de fluxo de Rede Detectar - -
tráfego da
rede.
Implantar
solução de
prevenção Dispositivo Proteger - -
de intrusão
baseada em
host.
Implantar
uma solução
de Rede Proteger - -
prevenção
de intrusão
de rede.
Implantar
controle de
acesso no Dispositivo Proteger - -
nível de
porta.
Executar
filtragem da Rede Proteger - -
camada de
aplicação.
Ajustar
limites de
alerta de Rede Detectar Mensalmente -
eventos de
segurança.
1.14. Conscientização sobre segurança e treinamento de

competências
Controle responsável por implantar e manter um programa de

conscientização de segurança que possa influenciar e conscientizar o
comportamento dos colaboradores, tornando-os devidamente qualificados
e assim atingir o objetivo de reduzir riscos de segurança cibernética da
organização (BRASIL, 2023). A aplicação deste controle destina-se a
garantir que os colaboradores recebam treinamento de segurança
direcionado para suas funções e responsabilidades específicas levando
46 of 64 29/12/2023, 17:21
em consideração o treinamento através da lente de conscientização de

privacidade.
Segundo CIS (2023) a instituição deve estabelecer e manter
um programa de conscientização de segurança para influenciar o
comportamento da força de trabalho para ser consciente em segurança e
devidamente qualificada para reduzir os riscos de segurança cibernética
para a empresa. Para a norma ABNT 27002 (ABNT, 2022b) convém que
todos os funcionários da organização e, onde pertinente, fornecedores e
terceiros recebam treinamento apropriados em conscientização, e
atualizações regulares nas políticas e procedimentos organizacionais,
relevantes para as suas funções (ABNT, 2013).

1. Programa de conscientização e treinamento de segurança da
informação.

monitoramento e defesa de rede. Dentre elas tem-se as atividades
Tabela 14 - Atividades para conscientização sobre segurança e
treinamento de competências
Tipo Função de
Descrição de Periodicidade Ferramenta
Estabelecer e
manter um
programa de N/A Proteger Anualmente -
conscientização de
segurança.
Treinar membros
da força de
trabalho para
reconhecer
ataques de N/A Proteger - -
engenharia social,
como phishing,
pretexto e uso não
autorizado.
Treinar membros
da força de
trabalho nas N/A Proteger - -
melhores práticas
de autenticação.
Treinar a força de
trabalho nas
melhores práticas N/A Proteger - -
de tratamento de
dados.
47 of 64 29/12/2023, 17:21
Treinar membros
da força de
trabalho sobre as
causas da N/A Proteger - -
exposição não
intencional de
dados.
Treinar membros
da força de
trabalho no
reconhecimento e N/A Proteger - -
comunicação de
incidentes de
Segurança.
Treinar a força de
trabalho sobre
como identificar e
comunicar se o
seus ativos N/A Proteger - -
corporativos estão
faltando
atualizações de
segurança.
Treinar a força de
trabalho sobre os
perigos de se
conectar e N/A Proteger - -
transmitir dados
corporativos em
redes inseguras.
Conduzir
treinamento de
competências e
conscientização de N/A Proteger - -
segurança para
funções
específicas.
1.15. Gestão de provedor de serviços
Controle responsável por garantir a proteção das

informações, sistemas e processos críticos da organização a partir de um
processo para avaliar os provedores de serviços que operem e
mantenham estes ativos da organização. Este processo deve avaliar os
provedores de serviços que mantêm dados sensíveis, ou são responsáveis
por plataformas ou processos de TI críticos de uma empresa, para
garantir que esses provedores estejam protegendo essas plataformas e
dados de forma adequada (BRASIL, 2023).

1. Checklists ISO 27001/Controles CIS;
2. Inventário de provedores de serviços.
48 of 64 29/12/2023, 17:21

gestão de provedor de serviços. Dentre elas tem-se as atividades
Tabela 15 - Atividades para gestão de provedor de serviços

Descrição de Segurança Periodicidade de Apoio
Ativo
Estabelecer e
manter um
inventário de N/A Identificar Anualmente SEI
provedores de
serviços.
Estabelecer e
manter uma
política de gestão N/A Identificar Anualmente SEI
de provedores de
serviços.
Classificar
provedores de N/A Identificar Anualmente SEI
serviços.
Garantir que os
contratos do
provedor de N/A Proteger Anualmente SEI
serviços incluam
requisitos de
segurança.
Avaliar
provedores de N/A Identificar Anualmente SEI
serviços.
Monitorar
provedores de Dados Detectar Anualmente SEI
serviços.
Descomissionar
com segurança os Dados Proteger Anualmente SEI
provedores de
serviços.
1.16. Segurança de aplicações
A instituição deve gerenciar o ciclo de vida da segurança de

software desenvolvido, hospedado ou adquirido internamente para
prevenir, detectar e corrigir os pontos fracos de segurança antes que
possam afetar a empresa (CIS, 2023).

1. Checklists ISO 27001/Controles CIS;
2. Processo de gestão de vulnerabilidades;
3. Processo de software.
49 of 64 29/12/2023, 17:21

segurança de aplicações. Dentre elas tem-se as atividades apresentadas
na tabela 16.
Tabela 16 - Atividades para segurança de aplicações
Tipo de Função de Ferramenta de

Descrição Ativo Segurança Periodicidade Apoio
Estabelecer e
manter um
processo seguro
Aplicações Proteger Anualmente -
de
desenvolvimento
de aplicações.
Estabelecer e
manter um
processo para
aceitar e Aplicações Proteger Anualmente -
endereçar
vulnerabilidades
de software.
Executar análise
de causa raiz
em Aplicações Proteger - -
vulnerabilidades
de segurança.
Estabelecer e
gerenciar um
inventário de
componentes de Aplicações Proteger - -
software de
terceiros.
Usar
componentes de
software de Aplicações Proteger - -
terceiros
atualizados e
confiáveis.
Estabelecer e
manter um
sistema de
classificação de Aplicações Identificar - -
gravidade e
processo para
vulnerabilidades
de aplicações.
Usar modelos de
configurações
de segurança Aplicações Proteger - -
padrão para
infraestrutura
de aplicações.
Separar Ambiente de
sistemas de Aplicações Proteger - desenvolvimento
produção e não de software
50 of 64 29/12/2023, 17:21
produção.
Treinar
desenvolvedores
em conceitos de
segurança de Aplicações Proteger - -
aplicações e
codificação
segura.
Aplicar
princípios de
design seguro Aplicações Proteger - -
em arquiteturas
de aplicações.
Aproveitar os
módulos ou
serviços
controlados Aplicações Proteger - -
para
componentes de
segurança de
aplicações.
Implementar
verificações de Aplicações Proteger - -
segurança em
nível de código.
Realizar teste
de invasão de Aplicações Proteger -
aplicação.
Conduzir
aplicações de Aplicações Proteger - -
modelagem de
ameaças.
1.17. Gestão de respostas a incidentes
A instituição deve estabelecer um programa para desenvolver

e manter uma capacidade de resposta a incidentes (por exemplo,
políticas, planos, procedimentos, funções definidas, treinamento e
comunicações) para preparar, detectar e responder rapidamente a um
ataque.

1. Processo de gestão de incidentes de segurança da informação.

gestão de respostas a incidentes. Dentre elas tem-se as atividades
Tabela 17 - Atividades para gestão de respostas a incidentes
51 of 64 29/12/2023, 17:21

Processo de
Designar pessoal Revisar e gerenciamento
para gerenciar N/A Responder atualizar de incidentes
tratamento de anualmente de segurança
incidentes. da informação
Estabelecer e Processo de
manter Revisar e gerenciamento
informações de
para N/A Identificar atualizar de incidentes
contato anualmente de segurança
relatar incidentes da informação
de segurança.
manter um Revisar e gerenciamento
processo
corporativo para N/A Identificar atualizar de incidentes
anualmente de segurança
relatar da informação
incidentes.
manter um Revisar e gerenciamento
processo de N/A Identificar atualizar de incidentes
resposta a anualmente de segurança
incidentes. da informação
Processo de
Atribuir funções e Revisar e gerenciamento
responsabilidades N/A Identificar atualizar de incidentes
chave. anualmente de segurança
da informação
Processo de
Definir gerenciamento
mecanismos de e de incidentes
Revisar
comunicação de segurança
a N/A Responder atualizar
durante da informação.
anualmente
resposta a Central de
incidentes. Serviços no
SUAP.
Conduzir
exercícios de Revisar e
resposta a N/A Recuperar atualizar -
incidentes anualmente
rotineiros.
Revisar e
Conduzir análises N/A Recuperar atualizar -
pós-incidente. anualmente
Estabelecer e Revisar e
manter limites de N/A Recuperar atualizar -
incidentes de anualmente
segurança.
1.18. Testes de invasão
A instituição deve testar a eficácia e a resiliência dos ativos

corporativos por meio da identificação e exploração de fraquezas nos
controles (pessoas, processos e tecnologia) e da simulação dos objetivos e
ações de um atacante.
52 of 64 29/12/2023, 17:21

1. Programa de Teste de Invasão.

testes de invasão. Dentre elas tem-se as atividades apresentadas na
tabela 18.
Tabela 18 - Atividades para testes de invasão
Tipo Função de
Segurança de Apoio
Ativo
Estabelecer e Revisar e
manter um N/A Identificar atualizar -
programa de anualmente
teste de invasão.
Nmap
Realizar testes Wireshark
Revisar e Metasploit
de invasão Rede Identificar atualizar
externos anualmente
periódicos.
Corrigir as Revisar e
descobertas do Rede Recuperar atualizar -
teste de invasão. anualmente
Validar as Revisar e
medidas de Rede Proteger atualizar -
segurança. anualmente
Realizar testes Revisar e
de invasão N/A Proteger atualizar -
internos anualmente
periódicos.
1.19. Política de Segurança da Informação
Segundo a norma ABNT 27002 (ABNT, 2022b) a instituição

deve estabelecer uma clara orientação da política de segurança da
informação alinhada com os objetivos do negócio e demonstrar apoio e
comprometimento com a segurança da informação por meio da
publicação e manutenção de sua política de segurança da informação
(ABNT, 2022b). O IFTO deve prover uma orientação e apoio da direção
para a segurança da informação de acordo com os requisitos do negócio e
com as leis e regulamentos pertinentes.

1. Política de segurança da informação;
2. Normas complementares sobre segurança da informação;
53 of 64 29/12/2023, 17:21
3. Análise crítica da política de segurança da informação.
Existem diversas medidas que podem ser adotadas em relação

a política de segurança da informação. Dentre elas tem-se as atividades
Tabela 19 - Atividades relacionadas à política de segurança da
informação
Tipo
Descrição de Função de Ferramenta
Periodicidade
Segurança de Apoio
Ativo
Publicar a Revisar e Portal
política de N/A Identificar atualizar
segurança da Institucional
anualmente
informação.
Análise crítica Revisar e
da política de N/A Identificar atualizar SEI
segurança da anualmente
informação.
1.20. Organização da segurança da informação
A instituição deve gerenciar a segurança da informação

dentro da organização.

1. Definição de atribuições e responsabilidades pela segurança da
informação;
2. Coordenação da segurança da informação.

a organização da segurança da informação. Dentre elas tem-se as
Tabela 20 - Atividades relacionadas à organização da segurança da
informação
Tipo Função de
Segurança de Apoio
Ativo
Papéis e Revisar e Política de
responsabilidades N/A Identificar atualizar Segurança da
pela SI. anualmente Informação
54 of 64 29/12/2023, 17:21
Comitê de Revisar e
Segurança da N/A Identificar atualizar Portaria
Informação. anualmente
Revisar e
Acordos de Identificar
confidencialidade. N/A atualizar SEI
anualmente
Revisar e
Acordos de nível N/A Identificar atualizar SEI
de serviços. anualmente
1.21. Segurança em recursos humanos
Para a norma ABNT 27002 a instituição deve assegurar que

os funcionários, fornecedores e terceiros entendam suas
responsabilidades e estejam de acordo com os seus papéis e reduzir o
risco de furto ou roubo, fraude ou mau uso de recursos. A instituição deve
definir claramente todas as responsabilidades pela segurança da
informação (ABNT, 2022b).

1. Atribuir papéis e responsabilidades para a segurança da informação;
2. Matriz RACI.

à segurança em recursos humanos. Dentre elas tem-se as atividades
Tabela 21 - Atividades relacionadas à segurança em recursos
humanos
Tipo Função de
Ativo Segurança
Estabelecer o Revisar e SEI
Comitê de N/A Identificar atualizar
Segurança da (Portaria)
anualmente
Informação.
Definir papéis e
responsabilidades Revisar e SEI
para a privacidade N/A Identificar atualizar (Portaria)
e segurança da anualmente
informação.
1.22. Segurança física e do ambiente
A instituição deve prevenir o acesso físico não autorizado,
55 of 64 29/12/2023, 17:21
danos e interferências com as instalações e informações da organização.

Para a norma ABNT 27002 convém que as instalações de processamento
da informação críticas ou sensíveis sejam mantidas em áreas seguras,
protegidas por perímetros de segurança definidos, com barreiras de
segurança e controles de acesso apropriados. Convém que a proteção
oferecida seja compatível com os riscos identificados (ABNT, 2022b).

1. Perímetros de segurança (paredes, portões controlados por cartões,
alarmes, fechaduras, portas corta-fogo);
2. Controles apropriados de entrada e saída de visitantes;
3. Proteção contra incêndios, enchentes, terremotos, explosões,
perturbações da ordem pública e outras formas de desastres naturais;
4. Proteção de equipamentos contra ameaças físicas e do meio ambiente;
5. Proteção contra intempéries da natureza;
6. Manutenção de equipamentos;
7. Proteção de equipamentos usados fora das dependências do IFTO;
8. Proteção de equipamentos móveis;
9. Reutilização e alienação segura de equipamentos;
10. Autorização prévia para retirada de equipamentos.

à segurança física e do ambiente. Dentre elas tem-se as atividades
Tabela 22 - Atividades relacionadas à segurança física e do
ambiente

Segurança de Apoio
Ativo
Definir o Revisar e
perímetro de N/A Proteger atualizar -
segurança física. anualmente
Definir controles Revisar e
de entrada N/A Proteger atualizar -
física. anualmente
Segurança em Revisar e
escritórios, salas N/A Proteger atualizar -
e instalações. anualmente
Proteção contra Revisar e
ameaças N/A Proteger atualizar -
externas e do anualmente
meio ambiente.
Revisar e
Trabalhando em N/A Proteger atualizar -
áreas seguras. anualmente
56 of 64 29/12/2023, 17:21
Acesso do Revisar e
público, áreas de N/A Proteger atualizar -
entrega e de anualmente
carregamento.
1.23. Segurança de equipamentos
A instituição deve impedir perdas, danos, furto ou roubo, ou

comprometimento de ativos e interrupção das atividades da organização.

1. Instalação e proteção do equipamento;
2. Utilidades;
3. Segurança do cabeamento;
4. Manutenção dos equipamentos;
5. Segurança de equipamentos fora das dependências da organização;
6. Reutilização e alienação segura de equipamentos;
7. Remoção de propriedade.

à segurança de equipamentos. Dentre elas tem-se as atividades
Tabela 23 - Atividades relacionadas à segurança de equipamentos
Tipo Função de
Periodicidade Ferramenta de
Descrição de Segurança Apoio
Ativo
Proteção do Revisar e
local de N/A Proteger atualizar -
instalação de anualmente
equipamentos.
Estabilização Revisar e
de energia N/A Proteger atualizar -
elétrica. anualmente
Proteção do Revisar e
cabeamento N/A Proteger atualizar -
estruturado. anualmente
Manutenção Revisar e
corretiva e N/A Proteger atualizar -
preventiva de anualmente
equipamentos.
Proteção de
equipamentos Revisar e
para uso fora N/A Proteger atualizar -
das anualmente
dependências
57 of 64 29/12/2023, 17:21
da organização.
Descarte Revisar e
seguro da N/A Proteger atualizar -
mídia. anualmente
Norma sobre
retirada de Revisar e Norma de uso
equipamento N/A Proteger atualizar de recursos
do local de anualmente computacionais
instalação.
1.24. Gerenciamento das operações e comunicações
A instituição deve garantir a operação segura e correta dos

recursos de processamento da informação. Para a norma ABNT 27002
convém que os procedimentos e responsabilidade pela gestão e operação
de todos os recursos de processamento das informações sejam definidos,
documentados, mantidos atualizados e disponíveis a todos os usuários
que dele necessitem (ABNT, 2022b).

1. Procedimentos e responsabilidades operacionais;
2. Documentação dos procedimentos de operação;
3. Gestão de mudanças;
4. Segregação de funções;
5. Separação dos recursos de desenvolvimento, teste e de produção;
6. Gerenciamento de serviços terceirizados;
7. Entrega de serviços;
8. Monitoramento e análise crítica de serviços terceirizados;
9. Gerenciamento de mudanças para serviços terceirizados;
10. Gestão de capacidade;
11. Aceitação de sistemas.

ao gerenciamento das operações e comunicações. Dentre elas tem-se as
Tabela 24 - Atividades relacionadas ao gerenciamento das
operações e comunicações

58 of 64 29/12/2023, 17:21
Documentar,
manter
atualizados e Revisar e Google Drive
disponíveis a N/A Identificar atualizar Portal
todos os usuários anualmente Institucional
os
procedimentos
de operações.
Controlar
mudanças nos Revisar e
recursos de N/A Proteger atualizar -
processamento anualmente
da informação e
sistemas.
Segregar as e Programa de
Revisar
funções para a privacidade e
N/A Proteger atualizar
Segurança da segurança da
anualmente
Informação. informação
Separar recursos Revisar e Ambiente de
de N/A Proteger atualizar homologação
desenvolvimento, anualmente de sistemas
teste e produção.
Implementar,
executar e Revisar e Catálogo de
manter acordos N/A Proteger atualizar Serviços de TI
de nível de anualmente
serviços.
Monitorar e
analisar Revisar e Checklist de
criticamente os N/A Proteger atualizar execução
serviços anualmente contratual
terceirizados.
Revisar e Processo de
Gerenciar N/A Proteger atualizar gerenciamento
mudanças. anualmente de mudanças
Revisar e
Gestão de N/A Proteger atualizar -
capacidade. anualmente
Estabelecer
critérios de Revisar e Processo
aceitação para N/A de
Proteger atualizar
novos sistemas, Software
anualmente
atualizações e
novas versões.
1.25. Manuseio de mídias
A instituição deve prevenir contra divulgação não autorizada,

modificação, remoção ou destruição aos ativos e interrupções das
atividades do negócio.

1. Gerenciamento de mídias removíveis;
2. Descarte seguro de mídias;
59 of 64 29/12/2023, 17:21
3. Tratamento da informação;
4. Segurança da documentação dos sistemas.

ao manuseio de mídias. Dentre elas tem-se as atividades apresentadas na
tabela 25.
Tabela 25 - Atividades relacionadas ao manuseio de mídias
Tipo Função de
Segurança de Apoio
Ativo
Implementar
gerenciamento de N/A Proteger - -
mídias removíveis.
Definir
procedimento
formal para N/A Proteger - SEI
descarte seguro de
mídias.
Estabelecer
procedimentos
para o tratamento
e o
armazenamento de N/A Proteger - -
informações contra
a divulgação não
autorizada ou uso
indevido.
Proteger
documentação de
sistemas contra N/A Proteger - Criptografia
acessos não
autorizados.
1.26. Troca de informações
A instituição deve manter a segurança na troca de

informações e softwares internamente à organização e com quaisquer
entidades externas.

1. Políticas e procedimentos para troca de informações;
2. Acordos para a troca de informações;
3. Mídias em trânsito;
4. Mensagens eletrônicas;
5. Sistemas de informações do negócio.
60 of 64 29/12/2023, 17:21

à troca de informações. Dentre elas tem-se as atividades apresentadas na
tabela 26.
Tabela 26 - Atividades relacionadas à troca de informações

Estabelecer e
formalizar
políticas,
procedimentos e Revisar e
controles para N/A Identificar atualizar SEI
proteger a troca anualmente
de informações
em todos os tipos
de recursos de
comunicação.
Estabelecer
acordos para a
troca de Revisar e Acordos de
informações e N/A Identificar atualizar Cooperação
softwares entre a anualmente Técnica
organização e
entidades
externas.
Proteger
informações
contra acesso não
autorizado, uso
impróprio ou Revisar e Log de
alteração indevida N/A Identificar atualizar acessos
durante o anualmente Criptografia
transporte
externos aos
limites físicos da
organização.
Desenvolver e
implementar
políticas e
procedimentos
para proteger as Revisar e Controle de
informações N/A Identificar atualizar
associadas com a anualmente acesso
interconexão de
sistemas de
informações do
negócio.
1.27. Controle de acesso à rede
A instituição deve prevenir acesso não autorizado aos serviços

de rede.
61 of 64 29/12/2023, 17:21

1. Autorização de uso de serviços de rede;
2. Métodos de autenticação de usuários remotos;
3. Identificação de equipamentos em redes;
4. Proteção de portas de configuração e diagnóstico remotos;
5. Segregação de redes;
6. Controle de conexão de rede;
7. Controle de roteamento de rede.

ao controle de acesso à rede. Dentre elas tem-se as atividades
Tabela 27 - Atividades relacionadas ao controle de acesso à rede

Definir política Revisar e Norma de uso
de uso dos N/A Identificar atualizar de recursos
serviços de anualmente computacionais
rede.
Definir métodos
de autenticação Revisar e Active
para controlar o N/A Proteger atualizar
acesso de Directory
anualmente
usuários
remotos.
Definir métodos
de identificação
automática de
equipamentos Revisar e
como um meio N/A Identificar atualizar Servidor DHCP
de autenticar anualmente
conexões vindas
de localizações
e equipamentos
específicos.
Definir métodos
para controle
de acessos Revisar e Servidor
físicos e lógico N/A Identificar atualizar
para Firewall
anualmente
diagnosticar e
configurar
portas.
Definir métodos
de segregação Revisar e Configuração
de redes para N/A Identificar atualizar de VLANs
grupos de anualmente
62 of 64 29/12/2023, 17:21
serviços de
informação,
usuários e
sistemas de
informação.
Definir métodos
para controle
de conexão de
rede de acordo Revisar e Servidor
com a política N/A Identificar atualizar Firewall
de controle de anualmente
acesso e os
requisitos das
aplicações.
Implementar
controle de
roteamento na
rede para
assegurar que
as conexões de
computador e Revisar e Servidor
fluxos de N/A Identificar atualizar Firewall
informação não anualmente
violem a
política de
controle de
acesso das
aplicações do
negócio.
ANEXO II
PREVISÃO ORÇAMENTÁRIA
Para a execução do plano de privacidade e segurança da

informação estima-se previsão orçamentária apresentada na tabela
abaixo:
Previsão
Ação de Segurança Orçamentária
Atualização de infraestrutura física de R$ 721.933,63
servidores.
Aquisição de solução de antivírus. R$ 388.900,00
Aquisição de solução de backup. R$ 210.000,00
PREVISÃO DE INVESTIMENTO R$ 1.320.833,63
Documento assinado eletronicamente por Fabiana Ferreira

Cardoso, Gestora de Segurança da Informação, em
19/12/2023, às 11:00, conforme horário oficial de Brasília, com
fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro
de 2015.
63 of 64 29/12/2023, 17:21
Documento assinado eletronicamente por Kleyton Matos

Moreira, Diretor, em 22/12/2023, às 14:56, conforme horário
oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº
8.539, de 8 de outubro de 2015.
A autenticidade deste documento pode ser conferida no site

http://sei.ifto.edu.br
/sei/controlador_externo.php?acao=documento_conferir&
id_orgao_acesso_externo=0, informando o código verificador
2222423 e o código CRC 221428D5.
Avenida Joaquim Teotônio Segurado, Quadra 202 Sul, ACSU-SE 20, Conjunto 1,
Lote 8 - Plano Diretor Sul — CEP 77020-450 Palmas/TO — (63) 3229-2200
portal.ifto.edu.br — reitoria@ifto.edu.br
Referência: Processo nº
SEI nº 2222423
23235.023730/2023-25
64 of 64 29/12/2023, 17:21

PGSI

Enviado por

Direitos autorais:

Formatos disponíveis

PGSI

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PGSI

Enviado por

Direitos autorais:

Formatos disponíveis

SEI/IFTO - 2222423 - Documento padrão https://sei.ifto.edu.br/sei/controlador.php?acao=docu...

PLANO DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Data Versão Descrição

Um plano de gestão de segurança da informação é um

O escopo deste documento contempla medidas de controle

operacionais e comunicação disponibilizados pela área de Tecnologia da

Este plano tem como objetivo criar um ambiente seguro no

O plano abrange a deﬁnição de políticas, normas, medidas de

1.4. Benefícios esperados

Com a execução do plano de gestão de segurança da

k) garantir a continuidade de negócios; e

Para melhor compreender os termos, acrônimos e abreviações

Equipe de Tratamento de Incidentes de Rede;

z) processo: qualquer atividade utilizando recursos e gerenciamento para

A gestão de segurança da informação é um conjunto de

3.1. Estrutura organizacional de segurança da informação

A estrutura de gestão de segurança da informação no IFTO é

a) Gestor de Tecnologia da Informação: dentre outras atribuições, nos

c) Encarregado pelo Tratamento de Dados Pessoais: dentre outras

3.2. Sistema de Gestão de Segurança da Informação

O sistema de gestão de segurança da informação (SGSI-IFTO)

Figura 1 - Fases do SGSI-IFTO

O SGSI-IFTO apresentado na ﬁgura 1, utilizado pelo IFTO

responsabilidade, autenticidade e criticidade. Ele envolve vários

3.3. Processos e programa de gestão de segurança da informação

Na execução do plano de gestão de privacidade e segurança

Figura 2 - Processos e programa que compõem o SGSI-IFTO

A ﬁgura 2 apresenta os processos e programa que compõe o

conﬁdencialidade e a autenticidade da informação no âmbito do IFTO.

3.4. Controles de privacidade e segurança da informação

A gestão de segurança da informação envolvem os controles

Figura 3 - Controles de Privacidade

O detalhamento dos controles de privacidade apresentados na

Figura 4 - Controles de Segurança da Informação

O detalhamento dos controles apresentados na ﬁgura 4

3.5. Framework de Privacidade e Segurança da Informação

Para a implementação de ações relacionadas aos controles de

Figura 5 - Framework de privacidade e segurança da informação

A ﬁgura 5 resume a metodologia utilizada para a

3.6. Plano de gestão de segurança da informação

O plano de gestão de segurança da informação é composto

Figura 6 - Plano de gestão de segurança da informação

As etapas do plano de gestão de segurança da informação

3.4.1. Monitoramento de ameaças e vulnerabilidades

Etapa responsável por identiﬁcar as ameaças potenciais aos

a) avaliação de impactos à proteção de dados;

3.4.2. Desenvolvimento de políticas, programas, normas,

Etapa responsável por estabelecer políticas, programas,

a) elaboração de políticas sobre segurança da informação;

3.4.3. Conscientização, educação e treinamento

Etapa responsável por realizar por ações de conscientização,

a) elaboração de estratégias para realização de campanhas de

proteção de dados de forma presencial e online; e

3.4.4. Conﬁguração de infraestrutura de rede

Etapa responsável por conﬁgurar, dispositivos de rede,

a) conﬁguração de infraestrutura adequada para a privacidade e

3.4.5. Implementação de controles de segurança

Etapa responsável por realizar a implementação de controles

a) implementação de criptograﬁa nos recursos, sistemas operacionais,

3.4.6. Implementação de controles de privacidade