Sistema de Gestão da Segurança da Informação (SGSI)


Gestão de Segurança da Informação
Aula 13
Aprendizagem em Ação



Prof.ª Maristela Oliveira
Roteiro
Roteiro da Apresentação
Os slides a seguir cobrem os fundamentos do SGSI de forma aplicada — conectando norma, processo, risco e cultura organizacional. Cada seção prepara o aluno para a simulação prática ao final da aula.
01
Conceito e Importância do SGSI
O que é, por que existe e o problema da ausência de gestão
02
Estrutura, Norma e Ciclo PDCA
Componentes, ISO/IEC 27001 e o modelo de melhoria contínua
03
Gestão de Riscos e Controles
Fluxo de análise, exemplos práticos e categorias de controle
04
Indicadores, Auditoria e Cultura
Métricas de desempenho, conformidade e o fator humano
05
Estudo de Caso e Desafio
TechCore Solutions — aplicação prática em grupo
Sistema de Gestão da Segurança da Informação (SGSI)

Bem-vindos à Aula 13. A partir deste ponto, saímos dos fundamentos e mergulhamos na gestão estratégica, governança e implementação prática de um SGSI — o que realmente separa organizações seguras das vulneráveis.
Uma abordagem sistemática, processual e estratégica para proteger os ativos de informação de uma organização — indo muito além de ferramentas e tecnologias isoladas.
Objetivos da Aula
Ao final desta aula, você estará apto a estruturar e comunicar um plano de SGSI real, conectando teoria, norma e prática organizacional.
1
Compreender a Estrutura do SGSI
Identificar os componentes essenciais e como eles se interrelacionam dentro de uma organização.
2
Relacionar SGSI à ISO/IEC 27001
Entender como a norma orienta processos, governança e controles sem prescrever ferramentas específicas.
3
Aplicar Gestão de Riscos
Executar o fluxo de identificação, avaliação e tratamento de riscos de forma estruturada.
4
Implementar Melhoria Contínua
Utilizar o ciclo PDCA como motor de evolução permanente do SGSI.
5
Construir Estratégias Organizacionais
Desenvolver políticas e controles alinhados às necessidades do negócio.
O que é SGSI?
Sistema de Gestão da Segurança da Informação é uma estrutura organizacional integrada que une processos, políticas, controles, gestão de riscos e melhoria contínua para proteger a informação de forma estratégica.
Não é um produto. Não é um software. É um modelo de gestão.
Pilares do SGSI
Processos
Procedimentos definidos e documentados que guiam as operações de segurança
Políticas
Diretrizes formais que estabelecem regras e responsabilidades
Controles
Salvaguardas técnicas, administrativas e físicas implementadas
Gestão de Riscos
Identificação e tratamento contínuo de ameaças e vulnerabilidades
Melhoria Contínua
Ciclo permanente de revisão, ajuste e evolução do sistema
Por que o SGSI é Importante?

Problema crítico: Empresas investem em ferramentas de segurança, mas não possuem gestão. Ter firewall não é ter SGSI.
Redução de Riscos
Identifica e trata ameaças antes que se tornem incidentes com impacto real
Conformidade Regulatória
Atende exigências legais como LGPD, GDPR, requisitos setoriais e contratuais
Proteção de Ativos
Salvaguarda dados, sistemas, reputação e propriedade intelectual
Resposta a Incidentes
Estrutura processos claros para contenção, investigação e recuperação
Continuidade Operacional
Garante que o negócio continue funcionando mesmo sob ataque ou falha
Componentes do SGSI
Um SGSI maduro é composto por múltiplas disciplinas integradas. Cada componente tem papel específico e se conecta aos demais para formar um sistema coeso.
Política de Segurança
Documento norteador que define objetivos, escopo e responsabilidades do SGSI
Gestão de Ativos
Inventário, classificação e responsabilidade sobre todos os ativos de informação
Gestão de Riscos
Identificação, avaliação e tratamento sistemático de ameaças e vulnerabilidades
Controle de Acesso
Gerenciamento de identidades, privilégios e autenticação por perfis de usuário
Gestão de Incidentes
Processos de detecção, resposta, contenção e lições aprendidas
Backup e Recuperação
Estratégias de cópia, retenção e restauração de dados críticos
Norma Internacional
Estrutura baseada na ISO/IEC 27001
A ISO/IEC 27001 é a norma internacional que define os requisitos para implementar, monitorar, manter e melhorar um SGSI. Ela é certificável — ou seja, uma organização pode obter auditoria independente confirmando sua conformidade.

A norma não prescreve quais ferramentas usar. Ela define processos, governança e controles organizacionais — a escolha das tecnologias é responsabilidade de cada organização.
A norma exige:
  • Definição do escopo do SGSI
  • Análise de contexto e partes interessadas
  • Avaliação e tratamento de riscos documentados
  • Aplicação de controles do Anexo A (93 controles)
  • Ciclo contínuo de auditoria e revisão
Ciclo PDCA no SGSI
O SGSI opera sobre o modelo PDCA — um ciclo de melhoria contínua que garante que a segurança evolua junto com as ameaças e com o próprio negócio. Não existe um estado final: o SGSI é sempre um trabalho em progresso.
🔵 PLAN — Planejar
Definir escopo, política de segurança, realizar análise de riscos e selecionar controles adequados ao perfil da organização
🟠 DO — Fazer
Implementar e operar os controles selecionados, treinamentos, procedimentos e mecanismos de resposta
🟢 CHECK — Verificar
Monitorar e medir desempenho dos controles, realizar auditorias internas e revisar indicadores de segurança
🔴 ACT — Agir
Corrigir não conformidades, implementar melhorias, atualizar riscos e realimentar o ciclo com as lições aprendidas
Gestão de Riscos no SGSI
A gestão de riscos é o coração do SGSI. Sem ela, os controles são escolhidos aleatoriamente — com ela, cada decisão de segurança é justificada por evidência e proporcionalidade ao risco real.
O tratamento do risco pode resultar em quatro decisões: mitigar (implementar controles), aceitar (assumir o risco consciente), transferir (ex: seguro, terceirização) ou eliminar (descontinuar o ativo/processo).
Exemplo de Análise de Risco
A tabela abaixo ilustra como a análise de risco é aplicada na prática — conectando ativos reais a ameaças concretas, vulnerabilidades conhecidas e impactos mensuráveis.
Controles de Segurança
Os controles de segurança são classificados em três categorias complementares. Um SGSI robusto precisa das três — controles técnicos sem políticas administrativas criam lacunas críticas.
🔧 Controles Técnicos
  • MFA — Autenticação multifator para contas críticas
  • Firewall e IDS/IPS — Filtragem e detecção de intrusões
  • SIEM — Correlação e análise de eventos em tempo real
  • EDR — Detecção e resposta em endpoints
  • Criptografia — Em repouso e em trânsito
📋 Controles Administrativos
  • Políticas — Uso aceitável, senhas, dispositivos móveis
  • Treinamentos — Conscientização e simulações regulares
  • Gestão de acessos — Revisão periódica de privilégios
  • Plano de resposta — Procedimentos documentados de IR
🏢 Controles Físicos
  • CFTV — Monitoramento visual de áreas críticas
  • Biometria — Controle de acesso a data centers e salas
  • Sala segura — Ambiente controlado para servidores
  • Destruição de mídia — Descarte seguro de dispositivos
Indicadores no SGSI
"O que não é medido não pode ser melhorado."
Indicadores (KPIs e KRIs) são fundamentais para demonstrar o valor do SGSI à alta gestão, identificar tendências e direcionar investimentos de segurança com evidência.
Exemplos de Indicadores
Volume de Incidentes
Quantidade de incidentes por categoria por mês — indica evolução das ameaças
Tempo de Resposta (MTTR)
Tempo médio de detecção, contenção e recuperação de incidentes
Nível de Patch
Percentual de sistemas com atualizações críticas aplicadas
Taxa de Clique em Phishing
Resultado de simulações — mede maturidade de conscientização
Disponibilidade de Sistemas
Uptime de ativos críticos versus SLA estabelecido
Auditoria e Conformidade
A auditoria é o mecanismo que valida se o SGSI está funcionando conforme planejado. Sem auditoria regular, o PDCA perde seu pilar de verificação e o sistema degrada silenciosamente.
Objetivo Principal
Verificar a aderência dos processos e controles às políticas definidas e à norma ISO 27001
Identificar Falhas
Apontar não conformidades, gaps de controle e desvios antes que se tornem incidentes
Garantir Melhoria
Alimentar o ciclo PDCA com achados concretos para ações corretivas e preventivas
1
Auditoria Interna
Realizada pela própria equipe de segurança ou por área de auditoria interna da organização
2
Auditoria Externa
Conduzida por entidade independente — exigida para certificação ISO 27001
3
Auditoria de Conformidade
Foco em requisitos regulatórios específicos: LGPD, PCI-DSS, SOC 2, entre outros
Cultura Organizacional de Segurança

Reflexão: "Qual é o elo mais vulnerável da segurança da informação?" — A resposta, invariavelmente, aponta para o fator humano.
Apoio da Alta Gestão
Sem patrocínio executivo, o SGSI não tem recursos, visibilidade nem autoridade para agir. A liderança define a prioridade real da segurança na organização.
Participação dos Colaboradores
Segurança não é responsabilidade exclusiva de TI. Todo colaborador que acessa informação é um ator de segurança — e precisa ser tratado como tal.
Treinamento Contínuo
As ameaças evoluem constantemente. Treinamentos anuais são insuficientes — campanhas de conscientização, simulações de phishing e reciclagem são essenciais.
Estudo de Caso
TechCore Solutions
A TechCore Solutions é uma empresa de médio porte do setor de tecnologia com 200 colaboradores, infraestrutura híbrida (on-premise + cloud) e dados sensíveis de clientes empresariais. Após um incidente de segurança recente, a diretoria decidiu estruturar um SGSI. O diagnóstico inicial revelou os seguintes problemas:
Sem MFA
Todas as contas corporativas — incluindo acesso a sistemas críticos — utilizam apenas senha
Notebooks sem Criptografia
Dispositivos dos colaboradores não possuem criptografia de disco habilitada
Backup Manual e Irregular
Processo de backup depende de ação humana, sem automação, verificação ou teste de restore
Sem Política de Acesso
Ausência de RBAC — vários colaboradores têm acesso irrestrito a sistemas que não utilizam
Phishing Recorrente
Média de 3 incidentes de phishing por mês, sem treinamento ou simulações preventivas
Sem Plano de Resposta a Incidentes
Sem processo documentado — quando ocorre um incidente, a resposta é improvisada
Desafio da Aula — Missão SGSI

Cada aluno precisa montar um plano inicial de SGSI para a TechCore Solutions. O resultado será apresentado e debatido em plenária.
1. Identificar Riscos
Mapeie os principais riscos a partir do diagnóstico da TechCore. Priorize por impacto e probabilidade.
2. Definir Controles
Para cada risco, selecione controles técnicos, administrativos e físicos proporcionais e viáveis.
3. Aplicar PDCA
Estruture o plano nas quatro fases do PDCA — incluindo indicadores para a fase CHECK.
4. Plano de Resposta
Elabore um processo básico de resposta a incidentes cobrindo detecção, contenção e recuperação.
Encerramento
"O SGSI transforma a segurança em um processo contínuo de gestão — não um projeto com data de término, mas uma disciplina permanente do negócio."
Perguntas para Reflexão Final
Qual o maior desafio na implementação?
É técnico, cultural, orçamentário ou de governança? O que impede as organizações de avançarem no SGSI?
Tecnologia resolve tudo?
Por que organizações com grandes orçamentos em segurança ainda sofrem brechas graves? O que falta além das ferramentas?
Segurança é responsabilidade de quem?
Do CISO? Da TI? Do RH? De todos? Como estruturar accountability real dentro de uma organização?