O IMPACTO DA ADOÇÃO DE NORMAS E PADRÕES DE SEGURANÇA DA

INFORMAÇÃO COM BASE NA NBR ISO/IEC 27002 APLICADO ÀS EMPRESAS.

Vagner dos Santos Freitas Andrade1

RESUMO

A composição econômica e os mercados contemporâneos perpassam por

acelerados processos de transformações, sobretudo no que diz respeito a tecnologia
acoplada a informação e a comunicação. Entretanto, tantas mudanças em busca de
eficiência e produtividade, tanto provocam benefícios e lucros empresariais, como,
que por sua vez, acendem um lado preocupante. O acesso a tecnologia e aos
bancos de dados sem prévia autorização dentro das empresas podem causar desde
o acesso indevido de informações a desvios de funções. Neste sentido, se faz
necessário, aplicar medidas de segurança que minimizem os riscos de informação
na corporação, bem como, implementar um código de ética próprio para o uso de
tecnologias no ambiente de trabalho como medida de proteção. O presente projeto
discorre sobre a adoção de normas e padrões de segurança da informação no
gerenciamento do ambiente de trabalho com base na NBR ISO/IEC 27002.
Evidencia-se, principalmente identificar quais os benefícios da aplicação da NBR
ISO 27002 com relação à segurança das empresas. Para tanto, a pesquisa traz
como objetivos específicos verificar o conceito ISO 27002, identificar quais são as
principais vulnerabilidades quanto ao SI enfrentadas pelas empresas, analisar como
ocorre sua aplicação e identificar quais as principais proteções implantadas ao SI
por meio desta norma. Trata-se de uma pesquisa exploratória de levantamento
bibliográfico, que tem como embasamento dois principais autores: Fontes (2006),
Sêmola (2014) e a NBR ISO/IEC 27002:2013.

PALAVRAS CHAVES: Informação. ISO 27002. Normas. Segurança.

1
Especializando em Gestão de Redes e Segurança da Informação – Faculdade de Administração e Negócios de
Sergipe, Licenciado em Informática – Universidade Tiradentes. E-mail: vagner.freitas@outlook.com.
1 INTRODUÇÃO

O mercado contemporâneo em busca de expansão das empresas e um

equilíbrio globalizado favorece as tecnologias e aos SIG’s (Sistemas de Informações
Gerenciais), uma vez que, essas ferramentas trazem para o mercado estruturas
organizacionais mais eficientes e competitivas.

Constantemente e já por longo tempo, empresas têm lidado com diversos

tipos de transformações demandadas pela aceleração e tendências do mercado,
bem como, são influenciadas por novidades que provocam mudanças de
argumentos, mesmo aqueles mais aceitos e aplicados. Assim, frequentemente
surgem novos conceitos e ideias, metodologia e arquétipos criados por grandes
estudiosos, curiosos e pesquisadores que não se acomodam e procuram sempre a
inovação e a variação de exemplares obsoletos, como um ciclo contínuo de
evolução.

Contudo, se voltássemos ao passado, notaremos várias etapas que vão

desde as revoluções, elétrica e industrial, a reengenharia, a terceirização e,
ultimamente, a tecnologia da informação sobreposta ao mercado. Em todas as
fases, a informação sempre permaneceu necessária e até os dias atuais é uma
aliada fundamental para a tomada de decisões.

Muito embora devam ser levadas em conta as diferenças culturais,

mercadológicas e macroenômicas do período, é evidente que todas as
organizações, seja de qualquer segmento, interesse no mercado ou tamanho,
sempre desfrutaram da informação como ferramenta para produzir mais, diminuir
custos, melhorar a atuação no mercado e obter mais agilidade, bem como,
competitividade.

Seja para o gerenciamento do estoque, seja para automação de setores ou

redes, ou para linha de produção, as decisões e planos devem receber suporte de
informações precisas. Estratégias, pesquisas de mercado e dados funcionais, são
informações essenciais e um importante diferencial com relação ao crescimento e ao
prosseguimento de uma empresa.
 Se confrontarmos as etapas do desenvolvimento empresarial, e observarmos
a forma como as organizações utilizavam a informação e administravam suas
empresas, notaremos claras transformações nas ferramentas ao longo dos anos.
Antigamente, quando a tecnologia ainda não predominava no mercado, a
informação era colhida manualmente e de forma centralizada, exigindo dos
profissionais tempo e organização e ainda limitando-os ao possível da coleta
manuscrita. Entretanto, com a evolução tecnológica, os investimentos da indústria
de alta tecnologia foram sendo lançados e aos poucos uma ciência mais avançada
fora sendo aplicada nas empresas.

Apesar de obterem muita informação em documentos manuscritos, empresas

foram evoluindo tecnologicamente. Assim, arquivos de ferro e mainframes perderam
o posto de central de armazenamento de dados. Logo notaríamos terminais
distribuídos pelos ambientes empresariais, primeiramente por divisão de setores que
admitiram consultas limitadas e remotas.

Desta forma, os mainframes deixaram de cumprir sozinhos o armazenamento

e o processamento de informações, uma vez que, os computadores começaram a
desempenhar o papel de ferramentas indispensáveis aos escritórios, abolindo a
ideia de informação central.

Partilhar informação passou a ser analisada uma técnica contemporânea de

administração empresarial, imperiosa a corporações que procuram maior agilidade
nas ações. Logo, as primeiras redes de computadores permitiram com que as
informações passassem a ser digitalizadas e os procedimentos mais automáticos.
Com isso, as organizações provaram e aplicaram a tecnologia da informação aos
seus processos, alcançando altos estados de conectividade e compartilhamento.

Entretanto, embora grandes empresas tenham ingressado nesta realidade,

algumas tenham deixado de se preocupar com a segurança de suas informações e
com o uso tecnológico demasiado no ambiente de trabalho, não adotando uma
norma de segurança como forma de aplicar boas práticas de gerenciamento.

No entanto, essa estratégia tem se mostrado uma ferramenta eficaz e

indispensável para o alcance dos objetivos de segurança de uma organização,
inclusive para o apoio de metas e aplicação de estruturas organizacionais.
 De forma ampla, a ISO (International Organization for Standardization) 27001
é a Norma Internacional que determina os pré-requisitos para Sistemas de Gestão
de Segurança da Informação. Ela auxilia as organizações a adotarem um sistema de
gestão da segurança da Informação que admita suavizar os riscos de segurança
infligidos aos seus procedimentos operacionais e a ajustar as informações realmente
necessárias aos setores de uma empresa.

De modo complementar, a NBR ISO/IEC 27002 é um código de ações com

um conjunto de controles que dão assistência a prática do Sistema de Gestão da
Segurança da Informação, facilitando entender as condições específicas da Norma
ISO 27001. Desta forma, a ISO 27001 e 27002 atuam geralmente em conjunto,
garantindo a segurança das informações das organizações.

Logo, este trabalho tem como objetivo geral identificar quais os benefícios da
aplicação da NBR ISO 27002 com relação à segurança das empresas. Em
consequência, a pesquisa traz como objetivos específicos verificar o conceito ISO
27002, identificar quais são as principais vulnerabilidades quanto ao SI enfrentadas
pelas empresas, analisar como ocorre sua aplicação e identificar quais as principais
proteções implantadas ao SI por meio desta norma.

Numa visão geral, por meio desta pesquisa será possível entender como
ocorre a adoção de normas e padrões de segurança da informação com base na
NBR ISO/IEC 27002 por meio dos questionamentos lançados nesta introdução, do
debate teórico do capítulo de desenvolvimento e em sua conclusão.

Espera-se que esta temática possa incentivar gestores de rede e segurança,

administradores e estudantes, ou que possa ainda servir de modelo para novas
análises.

2 DESENVOLVIMENTO

De forma impactante, Fontes (2006) comenta que a informação é um bem,

inclusive, bastante valioso, em qualquer organização, e, por isso, deve ser protegido
e coordenado. Segundo o autor, o banco de dados de uma empresa necessita ser
cultivado através de políticas, procedimentos e regras, entretanto, muitas vezes a
empresa se atenta apenas a modernização e se esquece da vigilância das ações,
possibilitando o vazamento de informação.

Holisticamente, Sêmola (2014) esclarece que os riscos com o uso da

informação são muitos, pois, os dados percorrem pela rede internet, intranet, ou
extranet, com tecnologia WAP e Wireless e nessas longas distâncias, algo pode
fugir do controle caso a empresa não disponha de um bom sistema de segurança.
Logo, segundo o estudioso, a informação deve ser manuseada com
confidencialidade, integridade, disponibilidade, autenticidade e legalidade.

Para Fontes (2006), segurança da informação é o conjunto de guias, normas

e regras que objetivam resguardar os dados armazenados e compartilhados de uma
organização, permitindo o alcance dos objetivos. O estudioso adverte que é de
extrema Inteligência empresarial que organizações requeiram dos seus
colaboradores o conhecimento e a aceitação de termo de compromisso e
responsabilidade da informação de que dispõem.

A autenticação de usuário também é uma medida de segurança eficaz

segundo Fontes (2012). Para autor, esta é uma forma de garantir que o usuário é a
pessoa autorizada para manusear as fontes de dados.

Para Sêmola (2014) quando o usuário insere sua senha de acesso, é

disponibilizada apenas as funções do sistema em que está autorizado a manusear,
bem como, tudo que fizer ficará registrado como sendo de sua autoria. Além do
mais, certamente o colaborador foi orientado a encerrar a sessão sempre que se
ausentar do seu local de trabalho.

Além disso, Fontes (2006) explica que uma organização deverá dispor de um
sistema de segurança da informação que também seja gerenciado por um gestor da
informação. Desta forma, a empresa obterá o controle e a exigência da aplicação de
métodos eficazes como: cópias de segurança, ações para solução de problemas,
produtos homologados, regras para uso da internet, regras para uso do correio
eletrônico, uso de antivírus, privacidade, legislação, direitos dos usuários e outras
normas.
2.1 Conceito e Aplicação ISO 27002

Conforme o próprio projeto ABNT NBR ISO/IEC 27002:2013, este Código é

utilizado como um apontador de qualidade ou como um orientador de ações. Suas
diretrizes surgem de estudos, avaliações e aprovações de grandes cases, e
permitem o uso de controles seguros no procedimento de prática de um sistema de
gestão da segurança da informação (SGSI), controles esses, fundamentados na
ABNT NBR ISO/IEC 27001.

Porquanto, empresas de todas as finalidades e tamanhos, privadas ou

públicas, comerciais ou sem fins lucrativos, arrecadam, acionam, registram e
comunicam informações diversas, de maneira eletrônica, física e verbal. Mas, em um
tempo de interligações simultâneas, a informação e procedimentos, sistemas e
redes requerem proteção contra múltiplos riscos.

Logo, diante da visão ABNT NBR ISO/IEC 27002:2013, ativos são elementos
de ameaças, tanto aleatórias como definidas, enquanto que os métodos,
regulamentos, redes e indivíduos possuem vulnerabilidades intrínsecas. Assim, as
alterações nos métodos e princípios podem instituir novos riscos de segurança da
informação.

Desta maneira, por motivos de diversas ameaças, nas quais podem causar
danos a uma organização, os riscos de segurança da informação são contínuos.
Assim, diante do que prega a ISO/IEC 27002, uma segurança da informação
enérgica e eficiente amortiza os riscos, resguardando a empresa de incidências
desagradáveis.

No teor da ABNT NBR ISO/IEC 27002:2013 contém a explicação de que um

sistema de gestão da segurança da informação (SGSI) analisa de maneira geral e
também sistemática os riscos de segurança da informação de uma organização com
intuito de colocar em pratica um conjunto de controles de segurança já delineado,
com embasamento em um sistema de gestão lógico.

No entanto, a determinação de quais controles deve ser aplicado requer

estudo detalhado devido às particularidades de cada empresa. Portanto, um sistema
de gestão da segurança da informação bem aplicado requer apoio de todos
participantes de uma instituição, inclusive, acionistas, fornecedores ou outros
envolvidos externos.

Quanto aos requisitos para sua implantação a ABNT NBR ISO/IEC

27002:2013 determina que seja fundamental que uma empresa primeiramente
conheça as suas condições de segurança da informação. Posterior a isso, elege três
fontes consideradas essenciais:

a) Uma fonte é obtida a partir da avaliação de riscos para a

organização, levando-se em conta os objetivos e as estratégias
globais de negócio da organização. Por meio da avaliação de riscos,
são identificadas as ameaças aos ativos, e as vulnerabilidades
destes e realizada uma estimativa da probabilidade de ocorrência
das ameaças e do impacto potencial ao negócio.
b) Uma outra fonte é a legislação vigente, os estatutos, a
regulamentação e as cláusulas contratuais que a organização, seus
parceiros comerciais, contratados e provedores de serviço têm que
atender, além do seu ambiente sociocultural.
c) A terceira fonte são os conjuntos particulares de princípios,
objetivos e os requisitos do negócio para o manuseio,
processamento, armazenamento, comunicação e arquivo da
informação, que uma organização tem que desenvolver para apoiar
suas operações (ABNT NBR ISO/IEC 27002:2013).
Ademais, a ABNT NBR ISO/IEC 27002:2013 esclarece que as ferramentas de
aplicação dos controles necessitam ser avaliadas com base na possibilidade de
danos ao negócio ou decorrência dos problemas de segurança pela deficiência
desses controles. Sendo assim, o resultado de uma estimativa de riscos auxiliará as
ações de gestão contra essas temeridades.

No que se refere aos Controles, a NBR ISO/IEC 27002:2013 aborda que

esses, devem ser apropriados à empresa, não importando de qual norma seja
originados, desde que atendam necessidades específicas. Logo, devem ser
fundamentados nas legislações e regulamentações, bem como, na aceitação de
riscos, nas alternativas para tratamento e no objetivo geral da gestão.

A partir disso, a NBR ISO/IEC 27002:2013 estabelece 14 (quatorze) controles

de segurança da informação a serem aplicados aos Sistemas de Informações
Gerenciais (SIG’s), conforme figura abaixo e capítulo a seguir:
FIGURA 1: ISSO 27002 – Código de Prática para a Gestão de Segurança da Informação
FONTE: MAPA MENTAL – ISO 27002 (http://i0.wp.com/www.diegomacedo.com.br/wp-
content/uploads/2012/06/ISO_27002_mind_map_780.gif?resize=660%2C524)

2.1.2 Controles

As Políticas de segurança da informação é a fase inicial dos controles

fundamentados na ABNT NBR ISO/IEC 27002:2013, segundo esta Norma, essas
políticas objetivam fornecer direção e apoio para a segurança da informação em
conformidade com as leis e com as particularidades de uma empresa. Desse modo,
devem comunicar aos envolvidos o conceito da segurança da informação, as
finalidades da empresa, a atribuição das responsabilidades e as alternativas para
solução de problemas.

Acredita-se que é fundamental elaborar um instrumento de comunicação

escrito, em que todos os envolvidos tenham acesso ao propósito da política de
segurança da informação da organização.

Neste documento deverá conter os conceitos de segurança da informação, a

responsabilidade da administração com a política, os objetivos, os controles
adotados, as análises, as avaliações, os riscos, as políticas, os princípios, as
normas, os requisitos de conformidade, tudo de acordo com o perfil da empresa.
 O segundo passo de implementação estabelecido pela ABNT NBR ISO/IEC
27002:2013 é a organização da segurança da informação. Significa dispor de uma
organização interna, estabelecendo para tanto, uma estrutura de controle e diante
disso, a divulgação de funções e reponsabilidades, observando ainda a separação
de papéis, ou seja, evitar o uso indevido das informações, possíveis modificações
sem autorização e acessos exclusivos.

Assim, para programar o SI em uma empresa, é preciso que seja constituída

uma composição de coordenação e gerenciamento. Para tanto, as ações de
segurança da informação devem ser delegadas pelos gerentes de setores. Todos os
encargos pela segurança da informação devem estar nitidamente definidos. É
necessário ainda que sejam formados acordos de confiança para resguardar as
informações sigilosas, inclusive aquelas acessadas externamente.

O terceiro passo a ser implantado segundo a ABNT NBR ISO/IEC 27002:2013

é a Segurança em recursos humanos. Em resumo, prega-se que deverá ser
assegurado o conhecimento das responsabilidades por parte dos funcionários e ao
selecionar para contratar, observar históricos de forma ética e legal, mas que,
percebam possíveis habilidades para o negócio. Portanto, a implementação desta
fase se dar pela comunicação, recrutamento, delegação, treinamento e
coordenações de responsabilidades.

Antes de concretizar uma admissão de funcionários, fornecedores e terceiros,

é importante que cada um deles conheça as atribuições e responsabilidades que
teriam caso fossem contratados. A finalidade disso é evitar o acontecimento de
roubo, fraude ou mau uso dos recursos da empresa.

Igualmente, as definições de função e as requisições da contratação devem

ser claras, principalmente no que se refere às obrigações de segurança da
informação. Consequentemente, funcionários, fornecedores e terceiros carecem
estar cônscios sobre os riscos concernentes à segurança da informação. Além
disso, quando ocorrer demissão ou cessão de serviços por parte dos fornecedores
ou terceiros, todas as ferramentas devem ser devolvidas, bem como, a
acessibilidade do sistema da empresa deve ser cessada por parte daquela pessoa.

Na etapa da Gestão de ativos a ABNT NBR ISO/IEC 27002:2013 traz como

objetivo verificar quais são os ativos da empresa e quais serão as responsabilidades
adequadas para a assistência e proteção dos mesmos. Assim, deverá ser realizado
um inventário dos ativos, ou seja, os ativos deverão ser organizados em estruturas
para que sejam mais bem coordenados.

Ademais, nesta quarta etapa, os ativos devem ser inicialmente conhecidos,

suas autorias registradas e mencionadas, ao ponto de que um inventário de ativos
seja elaborado para que possa ser classificado e respeitado. As informações e os
ativos ainda necessitam ser coordenados, segundo o nível de assistência indicada.

Na quinta etapa, ABNT NBR ISO/IEC 27002:2013 estabelece sobre o

Controle de acesso. Assim, tem como finalidade limitar o acesso aos bancos de
dados e aos seus recursos. Desta maneira, a Norma determina uma política de
controle, devidamente registrada e embasada aos pré-requisitos de segurança,
inclusive com regras de acessos as informações.

Os recursos de informação sigilosa devem ser conservados em lugares

seguros, com controles de acesso ajustados.

Os planejamentos da ABNT NBR ISO/IEC 27002:2013 também preveem a

Criptografia e nesta fase o objetivo principal é garantir o uso eficaz e apropriado da
codificação, bem como da integridade e confidencialidade da informação. Sendo
assim, também é sugerida uma política para a utilização de controles criptográficos.

Na sétima etapa dos controles, a ABNT NBR ISO/IEC 27002:2013 decide

sobre a segurança física e do ambiente. Neste campo, a finalidade é evitar o acesso
físico não permitido e intervenções nos caminhos que ligam as informações. As
ações neste sentido são sobre os perímetros de segurança para que sejam evitados
danos às instalações de processamento.

Baseado a isto, a ABNT NBR ISO/IEC 27002:2013 visa igualmente assegurar

as operações, tendo como finalidade a atribuição correta das ferramentas de
processamentos dos bancos de dados. Isto é, requer que as operações sejam
documentadas e permitidas aos usuários.

Ao passo, a nona fase prevista como controle NBR ISO/IEC 27002:2013 é

quanto a Segurança nas comunicações. Disso requer a garantia da proteção dos
bancos de dados em redes e dos recursos que dão suporte as informações. Ou seja,
as ações esperadas são as que visam o gerenciamento e controle.
 Na décima etapa, a NBR ISO/IEC 27002:2013 adverte sobre aquisição,
desenvolvimento e manutenção de sistemas. Sua ótica desta vez é quanto à
necessidade de garantir de que a segurança da informação seja entendida como
componente complementar de todo o circuito dos sistemas de informação e,
portanto, determina que as condições de segurança da informação sejam
compreendidas nas exigências para novos sistemas.

Na fase décima primeira, a NBR ISO/IEC 27002:2013 discorre sobre o

relacionamento na cadeia de suprimento, ou seja, para garantir a proteção das
informações passadas aos fornecedores, atuando para tanto com acordo de
restrição com os usuários.

Na etapa décima segunda, a NBR ISO/IEC 27002:2013 busca a Gestão de

incidentes de segurança da informação. Sua finalidade neste momento é proteger as
informações e comunicações de possíveis imprevistos. Assim prever ordem,
eficiência e respostas rápidas nos procedimentos.

Na décima terceira fase, são discorridas recomendações quanto aos aspectos

da segurança da informação na gestão da continuidade do negócio. Sendo assim,
busca-se a ininterrupção da segurança da informação, inclusive nos sistemas de
gestão.

Por fim, na décima quarta fase, a NBR ISO/IEC 27002:2013 planeja a

conformidade, buscando evitar a violação de qualquer lei, regulamento, contrato ou
estatuto no que se refere à segurança da informação. Procura então estabelecer o
conhecimento, ou seja, a identificação para que sejam registrados e sempre
obedecidos na organização.

Diante do porte deste desafio, a NBR ISO/IEC 27002:2013 age em todos os

setores da empresa que investe na sua implementação, visando a segurança da
informação como um todo, em sintonia com os objetivos éticos e profissionais da
instituição.

3 CONCLUSÃO
 Em vista dos argumentos apresentados neste trabalho, conclui-se que os
benefícios da aplicação da NBR ISO 27002 com relação a segurança as empresas
são inúmeros e em geral, diminuem efetivamente a quantidade de riscos de
infiltração inesperada da informação que podem calhar devido a ampliação de
recursos da logística comunicação, sejam eles, procedimentos tecnológicos ou
humanos.

Restou comprovado que a aplicação da ABNT NBR ISO/IEC 27002:2013 traz

uma segurança enérgica e eficaz, amortizando as vulnerabilidades da informação e
protegendo as empresas de ocorrências prejudicais. Isso porque, esse Código
pesquisa de forma ampla e metódica os riscos de segurança da informação de uma
instituição com a finalidade de aplicar controles de segurança já aprovados.

Ressalta-se que os benefícios trazidos pela ABNT NBR ISO/IEC 27002:2013

ocorrem da estratégica lógica de avaliar quais são os reais objetivos da instituição,
que posterior a isso, são classificados seus possíveis riscos após implementação
estatística de ameaças. Ademais, o Código visa priorizar e harmonizar a empresa
diante da legislação vigente, estatutos e cláusulas contratuais. Por fim, surge uma
sintonia dos princípios, objetivos e requisitos de manuseio e processamento da
organização uma vez que busca desenvolver e apoiar suas atividades.

Ficou demonstrado que a ABNT NBR ISO/IEC 27002:2013 é aceita como

uma ferramenta de qualidade ou como orientação de procedimentos de excelência
para que as empresas permaneçam mais seguras quanto ao bem - informação.

Ocorre que suas diretrizes são nascidas de estudos, avaliações e

aprovações já implantadas em organizações certificadas e consideradas exemplos
de qualidade. Comportam o lançamento de controles seguros nas ações de sistema
de gestão da segurança da informação (SGSI), uma vez que, são baseadas na
ABNT NBR ISO/IEC 27001.

As principais vulnerabilidades quanto ao SI enfrentadas pelas empresas

ocorrem devidos aos percursos de rede internet, intranet, ou extranet, tendo em vista
a tecnologia das redes convergentes. Portanto, longe das fronteiras, podem ocorrer
descontroles caso não tenha sido cultivado aos bancos de dados e aplicações um
sistema de segurança, isso porque, desta maneira é mais complexo trabalhar com a
confidencialidade, integridade, disponibilidade, autenticidade e legalidade.
 As teorias fundamentais desta pesquisa esclarece que o uso indevido aos
bancos de dados é uma vulnerabilidade e isso ocorre caso a empresa não determine
a autenticação de usuário, por ser isso uma medida de segurança, de alta eficácia.
Até porque, quando o usuário implanta sua senha de acesso é liberada apenas as
funções do sistema que tem permissão de manusear, ou seja, tudo que fizer restará
registrado e identificado sua autoria.

Em geral os estudiosos versam que diversos outros riscos ocorrem que a

gestão não investe em cópias de segurança, ações para solução de problemas,
produtos homologados, regras para uso da internet, regras para uso do correio
eletrônico, uso de antivírus, privacidade, legislação, direitos dos usuários e outras
regras.

No que se refere à aplicação da ABNT NBR ISO/IEC 27002:2013 podemos

observar que a Norma defende a integração de todos os envolvidos da organização,
uma vez que todos devem estar empenhados a aplicação das regras.

Em prática são 14 (quatorze) controles que visam organizar a empresa com

ajustes de seguranças da informação eficazes. São eles: políticas de segurança da
informação, organização da segurança, segurança em recursos humanos, gestão de
ativos, controle de acesso, criptografia, segurança física e do ambiente, operações,
segurança nas comunicações, aquisição, desenvolvimento e manutenção de
sistemas, relacionamento na cadeia de suprimento, gestão de incidentes de
segurança da informação, aspectos da segurança da informação na gestão da
continuidade do negócio e a conformidade.

Destarte, as principais proteções implantadas ao SI por meio da Norma ABNT

NBR ISO/IEC 27002:2013 consistem em diminuir vulnerabilidades de acessos
irregulares, quanto à confidencialidade, integridade, autenticidade, legalidade, dados
armazenados e compartilhados, privacidade e direitos e deveres dos usuários.

Finalmente, resta ressaltar que em sentido amplo, a ABNT NBR ISO/IEC

27002:2013 protege uma organização em sua amplitude, considerando que a
informação é o seu objeto defendido por ser considerado um bem precioso em
qualquer instituição.
ABSTRACT

The economic composition and contemporary markets permeates accelerated

transformation processes, especially about technology copled with information and
communication. However, so many changes in search of efficiency and productivity,
cause benefits and corporate profits, as, which in turn, light a disturbing side. Access
to technology and databases without prior authorization within companies can cause
from unauthorized access information functions deviations. In this sense, it is
necessary to implement safety measures to minimize the risks of information in the
enterprise, as well as implement a code of ethics itself to the use of technology in the
workplace as a protective measure. This project discusses the adoption of standards
and information security standards for the management of the working environment
based on ISO / IEC 27002. It is evident, mainly identify the benefits of implementing
ISO 27002 for security of companies. Therefore, the research brings aimed at
verifying the ISO 27002 concept, identify which are the main vulnerabilities as the SI
faced by companies, as occurs analyze them and identify what are the main
protections implemented to SI by this standard. This is an exploratory study of
literature, whose basement two main authors: Fontes (2006), Sêmola (2014) and the
NBR ISO / IEC 27002: 2013.

Keywords: Information. ISO 27002. Standards. Security.

REFERÊNCIAS

DICIONÁRIO INFORMAL. Significados de padrão. Disponível em

<http://www.dicionarioinformal.com.br/padr%C3%A3o/>. Acesso em 07 Abr. 2015

FONTES, Edison Luiz Gonçalves. Segurança da informação: o usuário faz a

diferença. 1. Ed. São Paulo: Saraiva, 2006.

FONTES, Edison Luiz Gonçalves. Políticas e Normas para a Segurança da

Informação: como desenvolver, implantar e manter regulamentos para a proteção
da informação nas organizações. 1. Ed. Rio de Janeiro: Brasport, 2012.

ISO. ISO. Disponível em: < www.iso.org.br>. Acesso em: 08 Abr. 2015.

NBR 27001 e 27002 (Código de Prática para a Gestão da Segurança da

Informação).
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 2.
Ed. São Paulo: Campus, 2014.