Pós Graduação Lato Sensu

Tamanho: px
Começar a partir da página:

Download "Pós Graduação Lato Sensu"

Transcrição

1 Universidade Federal de Lavras DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO Pós Graduação Lato Sensu MBA-EXECUTIVO EM GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Edson de Albuquerque Matos Neto Análise de Risco da Segurança da Informação no Ambiente da Empresa ACE-PE LAVRAS MG 2010

2 EDSON DE ALBUQUERQUE MATOS NETO Análise de Risco da Segurança da Informação no Ambiente da Empresa ACE-PE Monografia apresentada ao Departamento de Ciência da Computação da Universidade Federal de Lavras, como parte das exigências do Curso de Pós- Graduação Latu Sensu MBA Executivo em Governança de Tecnologia da Informação, para a obtenção do título de especialização. Orientador Prof. André Luiz Zambalde LAVRAS MINAS GERAIS-BRASIL 2010

3 EDSON DE ALBUQUERQUE MATOS NETO Análise de Risco da Segurança da Informação no Ambiente da Empresa ACE-PE Monografia apresentada ao Departamento de Ciência da Computação da Universidade Federal de Lavras, como parte das exigências do Curso de Pós- Graduação Latu Sensu MBA Executivo em Governança de Tecnologia da Informação, para a obtenção do título de especialização. APROVADA em de de Prof. Prof. Prof. André Luiz Zambalde LAVRAS MINAS GERAIS-BRASIL 2010

4 Aos meus pais, Jurilo ("in memoriam") e Sizenaide Aos meus filhos, Lucas e Alexandre À minha mulher, Ana Paula Ao meu estimado sobrinho Pedro Henrique

5 AGRADECIMENTOS O êxito de uma conquista é o resultado de um conjunto de fatores, o qual dificilmente é alcançado sem o apoio, a solidariedade e os conselhos das pessoas que acreditam no nosso trabalho. Agradeço a Deus, autor da minha vida. A minha mãe por estar sempre ao meu lado e por ter me acompanhado nessa caminhada de altos e baixos, proporcionando-me apoio incondicional e oportunidades para eu chegar aonde cheguei. Aos professores por terem compartilhado com todos nós seus conhecimentos, e em especial ao Professor André Zambalde por suas preciosas orientações, contribuindo assim para minha formação profissional. E, a ACE-PE, que me incentivou financeiramente para a realização deste trabalho.

6 SUMÁRIO LISTA DE FIGURAS... i LISTA DE QUADROS...ii LISTA DE ABREVIATURAS...iii RESUMO/ABSTRACT... iv 1 INTRODUÇÃO Contextualização e motivação Objetivos e estrutura do trabalho Objetivo Geral Objetivos Específicos Estrutura do trabalho REVISÃO DE LITERATURA Princípios básicos da Segurança da Informação O Processo da Segurança da Informação O Risco no contexto da Segurança da Informação Normas Técnicas de Segurança da Informação CobIT ITIL ABNT NBR ISO/IEC ABNT NBR ISO/IEC Mecanismos de Segurança Estado da Arte METODOLOGIA Tipo de pesquisa Procedimentos metodológicos RESULTADOS E DISCUSSÃO Descrição da organização Diagnóstico da Segurança da Informação Estratégia e intervenção CONCLUSÕES REFERÊNCIAS BIBLIOGRÁFICAS APÊNDICE Apêndice 1 - Painéis da apresentação... 47

7 LISTA DE FIGURAS FIGURA Potencial de proliferação das ameaças... 2 FIGURA Relação entre os princípios da Segurança da Informção... 6 FIGURA Tríplice da Segurança da Informação... 8 FIGURA Processo do Gerenciamento da Segurança da Informação... 9 FIGURA Relação do risco ao ambiente corporativo FIGURA Componentes da declaração de riscos FIGURA Índices de Segurança da informaçã no Brasil FIGURA Fluxo de impacto da vulnerabilidade ao negócio FIGURA Mudança de abordagem da TI FIGURA Ciclo do CobIT nos seus 4 domínios FIGURA Ciclo do ITIL nos seus 5 domínios FIGURA Ciclo PDCA FIGURA Organograma da empresa ACE-PE i

8 LISTA DE QUADROS QUADRO Exemplo de classificação de ameaças QUADRO Etapas PDCA para a solução de problemas QUADRO Quadrante risco vs impacto QUADRO Matriz de risco ii

9 LISTA DE ABREVIATURAS ABNT - Associação Brasileira de Normas Técnicas ACE - Empresa de Serviços Avançados de TI no Estado de Pernambuco BI - Business Intelligence BPM - Business Process Management BS - British Standard CRM - Customer Relationship Management COBIT - Control Objectives for Information and Related Technology GRC - Governance, Risk Management and Compliance ISACA - Information Systems Audit and Control Association ISMTB - Information Security Management Toolbox ISO/IEC - International Organization for Standardization/ International Electrotechnical Commission ITIL - Information Technology Infrastructure Library ITSMF - Foundation of IT Service Management MSF - Microsoft Solution Framework NBR - Norma Brasileira de Referência PDCA - Plan, Do, Check and Action ROI - Return on Investment SLA - Service Level Agreement ISMTB - Information Security Management Toolbox TI - Tecnologia da Informação iii

10 ANÁLISE DE RISCO DA SEGURANÇA DA INFORMAÇÃO NO AMBIENTE DA EMPRESA ACE-PE Edson de Albuquerque Matos Neto RESUMO Este trabalho foi desenvolvido com base em um estudo um de caso da empresa ACE-PE que trata de problemas relacionados ao ambiente computacional relacionados à segurança da informação com ênfase na análise de risco. Nele, o leitor encontrará importantes temas que abordam o assunto, tais como: os fundamentos da segurança informação, os conceitos de vulnerabilidade, ameaças, integridade e confidencialidade e suas interdependências, o processo da segurança da informação, normas técnicas e melhores práticas do mercado e um diagnóstico da maturidade da segurança, por meio de uma análise de risco, além de uma série de ações que minimizarão os impactos ao negócio, todas fundamentadas nos principais controles ITIL e COBIT e das normas ISO e ISO O principal objetivo do estudo de caso foi o mapeamento das fragilidades computacionais e tecnológicas, que foram realizadas com base no framework 4As. O resultado final apontou 64 falhas, e para cada item foi apresentado uma solução. O desfecho deste trabalho se deu por meio da mobilização total da empresa, onde processos e procedimentos de segurança foram implantados, tornando a ACE-PE mais segura em seus negócios. Palavras-chave: Segurança da Informação, Normas Técnicas e Análise de Riscos. INFORMATION SECURITY RISK ANALYSIS WITHIN THE COMPANY ACE-PE Edson de Albuquerque Matos Neto ABSTRACT This work was developed based on a study of one case of PE-ACE company that deals with problems related to the computing environment related to information security with emphasis on risk analysis. In it, the reader will find important topics about the subject, such as: the fundamentals of information security, the concepts of vulnerability, threat, integrity and confidentiality, and their interdependencies, the process of information security, technical standards and industry best practices and a diagnosis of the maturity of security through risk analysis, plus a series of actions that will minimize impacts to the business, all based in the main controls ITIL and COBIT and ISO and ISO The main objective of the case study was the mapping of the computational and technological weaknesses, which were based on the 4As framework. The final result showed 64 failures, and each item was presented a solution. The outcome of this work was achieved through the mobilization of the entire business, which processes and safety procedures were implemented, making ACE-PE safer in their businesses. Key words: Information Security, Technical Standards and Risk Analysis. iv

11 1 INTRODUÇÃO 1.1 Contextualização e motivação Por um período longo a segurança da informação foi amplamente ignorada no ambiente corporativo, tema que não reflete o cenário atual, ao contrário, encontra-se em fase evolutiva, sendo um dos principais desafios da administração moderna nos próximos anos. O interesse por esse assunto tem aumentando fortemente não só nas organizações como também em ambientes não corporativos, visto o crescimento do uso da Internet e principalmente do comércio eletrônico. Um número cada vez maior de empresas está publicando portais eletrônicos de seus negócios, e isso insere um risco ainda maior, o qual propõe algumas questões importantes para o negócio. Quais riscos correr e que atitudes adotar agora e no próximo orçamento? Por esse motivo é maior a exposição das organizações, tornando necessários investimentos em soluções que aumentem a segurança dos negócios. A tecnologia da informação é capaz de apresentar parte da solução a este problema, não sendo, contudo, capaz de resolvê-lo integralmente, e se mal aplicada, até mesmo contribuir, para agravá-lo. A gestão da TI (Tecnologia da Informação) precisa tomar decisões, e isso só será possível através de uma criteriosa análise do ambiente, a qual subsidiará o gerenciamento da segurança da informação para determinar suas ações estratégicas, táticas e operacionais de modo que o provedor de serviços de TI esteja em conformidade aos acordos pré-estabelecidos e que os aspectos de segurança sejam atendidos em conformidade. Visando suprir essa necessidade, este trabalho apresenta uma análise de risco que define um conjunto de ações consistentes que irão auxiliar na condução do conhecimento e na redução dos riscos relacionados à segurança da informação. A metodologia adotada é baseada nas melhores práticas de execução do Microsoft Solution Framework 1 - MSF. Essa metodologia consiste em um conjunto de modelos, princípios e guias em análise de segurança. E uma adaptação do Framework 4A desenvolvido por George Westerman. Ela auxilia no direcionamento dos objetivos de negócios e tecnologias da organização, reduzindo os custos de implantação de novas tecnologias. O principal benefício é expor e controlar riscos críticos e destacar pontos importantes para o 1 Framework é um conjunto de conceitos ou modelos usado para resolver um problema de um domínio específico, (Wikipedia).

12 planejamento do negócio. O arcabouço final da análise de risco consiste em um levantamento de informações para identificação de riscos e impacto na organização. A análise é realizada em três esferas: tecnologia, processos e pessoas. No resultado final, descrito nos resultados e discussão, apresenta a situação de segurança da informação na empresa, o qual ajudará na tomada de decisão, por onde começar a investir em segurança da informação e como minimizar os riscos e impactos dentro da organização a um nível aceitável. O gerenciamento da segurança da informação é composto por um conjunto de processos e procedimentos, baseado em normas e na legislação, que uma organização utiliza para prover segurança no uso de seus ativos tecnológicos. Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou indiretamente com a infra-estrutura de TI da organização, tais como: funcionários, prestadores de serviço, parceiros e terceirizados. Além de possuir obrigatoriamente o aval da direção e do departamento jurídico da organização para conferir sua legitimidade. A preocupação em adquirir e inovar tecnologias em segurança advém das inúmeras falhas no ambiente corporativo, onde o aumento das ameaças apresenta velocidade cada vez maior, a Figura 1.1 demonstra esse crescimento. Considerar às falhas humanas como um mecanismo presente no ambiente das empresas é uma premissa. A implantação da segurança da informação envolve primeiramente a análise de riscos na infra-estrutura de TI. Esta análise permite identificar os pontos vulneráveis e as falhas nos sistemas que deverão ser corrigidos. Além disso, na gestão da segurança da informação, são definidos processos para detectar e responder a incidentes de segurança e procedimentos para auditorias. Figura 1.1 Potencial de proliferação das ameaças Fonte: Zapater e Suzuki (2008). 2

13 A motivação para este trabalho é a inclusão das boas práticas em segurança da informação junto ao controle da informação que é um fator crítico e determinante para sucesso dos negócios a qual é fundamental para as corporações do ponto de vista estratégico e empresarial. A implantação dessas diretrizes irá minimizar consideravelmente os impactos dos riscos da TI na vida da empresa. 1.2 Objetivos e estrutura do trabalho Objetivo Geral O objetivo geral desta pesquisa é um estudo do ambiente tecnológico e a análise das falhas na segurança da informação na empresa ACE-PE, que medirá o risco da TI na corporação, com propósito de identificar as condições ideais para reduzir os riscos que a informação esta exposta Objetivos Específicos a) Diagnosticar as ameaças e vulnerabilidades ao sistema coorporativo; b) Apresentar o mapa das ameaças e vulnerabilidades através da análise de risco; c) Classificar as informações de acordo com o risco apresentado; d) Associar os riscos relatados ao potencial impacto à empresa; e) Apresentar soluções de melhorias e segurança ao ambiente Estrutura do trabalho Este trabalho está estruturado da seguinte maneira: no Capítulo 1, é apresentada a contextualização e objetivos para realização deste estudo de caso. O resultado do levantamento referencial teórico com toda a fundamentação dos conceitos básicos de segurança da informação é relatado no Capítulo 2, buscando justificar o porquê da preocupação e o que pode ser feito para melhorar, baseado em normas técnicas que contêm requisitos para segurança da informação. O capítulo 3 trata dos estudos relevantes para a metodologia deste trabalho. No Capítulo 4, é tratada toda descrição dos problemas e resultados do ambiente computacional, realçando a importância da segurança da informação ao negócio. Finalizando, no Capítulo 5, são apresentadas as considerações finais. 3

14 2 REVISÃO DA LITERATURA Por se tratar de uma disciplina de abrangência global nas empresas, onde a informação permeia pelos diversos departamentos, setores e repartições, a segurança da informação tem o papel presente nos processos, pessoas, fluxos de trabalho por meio de aplicativos integrados e suportados por uma estrutura composta por rede, base de dados, mensagens, colaboração e servidores de aplicativos para atender aos objetivos de negócios. Para muitas empresas, a análise dos problemas relacionados à segurança da informação ainda é feita de modo desestruturado ou fragmentado, através de métodos que muitas vezes falham por não estar integrada a Governança da TI. A fim de alinhar o campo do conhecimento com o qual lida a segurança da informação são apresentados a seguir algumas das abordagens apontadas na literatura. 2.1 Princípios básicos da Segurança da Informação Segundo Rezende e Abreu (2000), os processos de negócio de uma corporação dependem plenamente do fornecimento de informações. Na verdade esses processos compõem-se de um ou mais sistemas de informação. A informação é um patrimônio da empresa, tido como qualquer outro ativo importante para os negócios, de valor para a organização e que por sua vez necessita ser protegida de maneira. O gerenciamento da segurança da informação é um processo fundamental que visa controlar a oferta das informações e impedir o uso não autorizado. A informação tem forte influencia tanto na concepção quanto na execução de uma estratégia. Desta forma apóia os executivos a identificar as ameaças e as oportunidades para a empresa e cria um ambiente apropriado para respostas mais competitiva e eficaz. A informação funciona também como um recurso primordial para a definição de estratégias alternativas, e é essencial para uma organização flexível na qual o processo de mudança esta sempre em evidência (REZENDE e ABREU 2000). Segurança é à base da credibilidade das empresas, a liberdade necessária para a criação de novas oportunidades de negócio. Os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade que conforme (NBR 17999, 2003; Sêmola, 2003; Albuquerque e Ribeiro, 2002; Fontes, 2000), são os princípios básicos para garantir a segurança das informações:

15 Confidencialidade a informação apenas pode ser acessada e utilizada por pessoas explicitamente autorizadas. É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo; Disponibilidade a informação ou sistema de computacional deve estar disponível no momento em que a mesma for necessária para a empresa ou para realização do negócio; Autenticidade garante que a informação ou o usuário da mesma é autêntico, atesta com exatidão, a origem do dado ou informação; Não repúdio garante que ao usar ou enviar uma informação o usuário não possa negar (no sentido de dizer que não foi feito) uma operação ou serviço que criou, modificou, envio ou recebeu uma informação; Legalidade garante que a informação está de acordo com as leis aplicáveis, regulamento, licenças e contratos, é a aderência de um sistema à legislação, alinhados aos princípios éticos; Privacidade diferente do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencialidade a informação); Auditoria consiste no exame do histórico, de forma a rastrear os eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança, ou que informação foi submetida, identificando os participantes os locais e horários de cada etapa; Integridade a informação deve ser correta, ser verdadeira em sua forma original no momento em que foi armazenada. É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas. 5

16 Segundo Albuquerque e Ribeiro (2002), e Sêmola (2003), é sugerido que a segurança somente é alcançada por meio da relação e correta implementação de quatro princípios da segurança: confidencialidade, integridade, disponibilidade e auditoria. A Figura 2.1 ilustra a relação desses princípios. Figura 2.1 Relação entre os princípios da Segurança da Informação Fonte: Sêmola (2003). Os itens integridade e confiabilidade são distintos e não podem ser confundidos. Uma informação pode ser imprecisa, mas deve permanecer integra, ou seja, não deve sofrer alterações por pessoas não autorizadas. A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, proporcionando maior controle sobre os recursos de informática, viabilizando até o uso de aplicações de missão crítica. A combinação em proporções apropriadas dos itens confidencialidade, disponibilidade e integridade facilitam o suporte para que as empresas alcancem os seus objetivos, pois seus sistemas de informação serão mais confiáveis, (ALBUQUERQUE e RIBEIRO 2002). De acordo com Sêmola (2003), a confidencialidade é dependente da integridade, pois se a integridade de um sistema for perdida, os mecanismos que controlam a confidencialidade não são mais confiáveis. Ainda na análise de Sêmola (2003), a integridade é dependente da confidencialidade, pois se alguma informação confidencial for perdida (senha de administrador do sistema, por exemplo) os mecanismos de integridade podem ser desativados. 6

17 Sêmola (2003) completa que a auditoria e disponibilidade são dependentes da integridade e confidencialidade, pois estes mecanismos garantem a auditoria do sistema (registros históricos) e a disponibilidade do sistema (nenhum serviço ou informação vital é alterado). 2.2 O Processo da Segurança da Informação Com base em Baldam et al. (2008), até pouco tempo atrás a maioria absoluta dos assuntos relacionados à implantação dos processos de TI era de completa de responsabilidade de uma função específica, do diretor de TI, do superintendente de TI, ou mesmo do próprio departamento de TI, inclusive a transcrição do negócio para a ferramenta escolhida. Em pouquíssimas oportunidades o dono do processo tinha a participação na escolha. Somente no início do século XX foi que esse cenário mudou, em função dos altos investimentos com TI e dos baixos resultados. Desta forma os usuários passaram a entender melhor seus processos e participarem das tomadas de decisão. Os modelos de referencia apresentam forma própria de caracterizar seus processos para determinado propósito. Uma maneira fácil de entender os variados processos de uma organização é agrupando-os em basicamente três grupos: Processos de negócio incluem os processos como gerenciamento de conformidades, riscos, BI2, BPM3, desenvolvimento de estratégia, de negócios e arquitetura empresarial; Processos de gerenciamento envolvem as atividades rotineiras e mais comuns ao dia a dia do gerenciamento da organização: Gerenciamento Financeiro, controladoria, gerenciamento da informação, qualidade e ativos, entre outros; 2 Business Intelligence (BI), pode ser traduzido como Inteligência de Negócios, refere-se ao processo de coleta, organização, análise, compartilhamento e monitoramento de informações que oferecem suporte a gestão de negócios (Wikipedia, 2009). 3 Business Process Modeling (BPM), ou Modelagem de Processos de Negócio, é o conjunto de conceitos e técnicas que visam a criação de um modelo com os processos de negócio existentes em uma organização. Esta "modelagem" é utilizada no contexto da gestão de processos de negócio (Wikipedia, 2009). 7

18 Processos operacionais direcionados para atividades fim da corporação: CRM4, logística, desenvolvimento de produtos, gestão de material. Oliveira (2005) defende o que intitula de tríplice PPT Pessoas, Processos e Tecnologias. Para o autor, a segurança da informação só será alcançada plenamente se esses três aspectos estiverem envolvidos na estratégia de segurança, a Figura 2.2, ilustra a proposta do autor. Figura 2.2 Tríplice da Segurança da Informação Fonte: Oliveira (2005). Para Baldam et al. (2008), o atual interesse por gerenciamento de processos nas organizações se dá em função da crescente transparência na execução de suas transações. É notório o valor agregado pelo mercado financeiro as ações de corporativas que se submetem a iniciativas para gerencia de risco de tal forma que já existe um número substancial de projetos em BPM. Esta tendência já é acompanhada por vários organismos da iniciativa pública e privada, onde criam normas, regulamentações e leis para os diversos setores. De acordo com OGC (2007), a segurança da informação é um processo, e deve ser gerenciado por meio do ciclo de melhoria continua, podendo-se aplicar o processo na empresa de forma horizontal, ou seja, um único processo permeia pelos diversos departamentos e dessa maneira, melhora a segurança dos sistemas de forma abrangente, o processo de segurança da informação se dá conforme a representação da Figura O Customer Relationship Management (CRM), ou Gestão de Relacionamento com o Cliente é uma abordagem que coloca o cliente no centro do desenho dos processos do negócio (Wikipedia, 2009). 8

19 Figura 2.3 Processo do gerenciamento da Segurança da Informação Fonte: OGC (2007). 2.3 O Risco no contexto da Segurança da Informação Para Fontes (2000), toda tomada de decisão, simples ou complexa, envolve riscos, de maior ou menor proporção e que se feita sem critério ou de forma inapropriada influenciará diretamente nos resultados esperados pela empresas. Quando a frente de situações mais racionais é apropriado planos de médio e longo prazo, pois naturalmente há tempo para refletir sobre as questões. Risco é algo que deve ser tratado de forma individual para cada objetivo de negócio, de modo que não aja empecilho para sua realização, a Figura 2.4 apresenta uma visão mais ampla da relação do risco ao ambiente como um todo. As disciplinas essenciais para redução do risco são: Alicerce de TI bem estruturado, o processo de governança do risco bem projetado e executado, e uma Cultura de consciência do risco transparente na corporação. A análise preliminar e a abrangência dos riscos de uma corporação podem ser extremamente significativas para gerenciar e programar prioridades, observando a relação custo versos benefício (FONTES, 2000). 9

20 Figura 2.4 Relação do risco ao ambiente corporativo Fonte: Moreira (2001). Westerman e Hunter (2008) defendem três disciplinas centrais para a gestão do risco que de maneira harmônica reduzem o risco para empresa: Alicerce conjunto de ativos, procedimentos e funcionários que sustentam e possibilitam os processos de negócio; Processo de governança do risco estrutura e processos necessários para identificar e administrar riscos sistematicamente; Cultura de consciência responsabilidade pessoal e comportamental. Essas disciplinas complementam o Framework 4As para administrar o risco de TI: Avaliabilit (Disponibilidade) manter os sistemas em operação e recuperá-los em caso de interrupção; Access (Acesso) assegurar o acesso apropriado aos dados e sistemas de modo que as pessoas certas tenham e as pessoas erradas não; Accuray (Precisão) proporcionar informações corretas, oportunas e completas; Agitility (Agilidade) capacidade de mudar com rapidez e custo administrado. 10

21 De acordo com Westerman e Hunter (2008), risco é a probabilidade de acontecer algum dano potencial à empresa, e o principal objetivo da gestão de riscos é prevenir e evitar impactos negativos aos negócios. Os elementos chaves composto ao risco são observados na Figura 2.5, e devem ser avaliados, neutralizados ou minimizados. Figura 2.5 Componentes da declaração de riscos Fonte: Microsoft (2009). Ativo os bens e direitos das empresas incluem a segurança da informação, pois a informação é um ativo, possui um valor e precisa de proteção; Ameaça expectativa de acontecimento acidental ou proposital, causada por um agente, que pode afetar um ambiente, sistema ou ativo de informação; Impacto efeito ou conseqüência de um ataque ou incidente para a organização; Vulnerabilidade fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque; Atenuação ação a ser executada para reduzir a probabilidade ou o impacto de um risco; Probabilidade o processo de analisar os riscos, relacionado aos controles de segurança, avaliando a possibilidade da uma perda da informação, da disponibilidade, integridade ou confidencialidade. 11

22 Conforme descrito em Sêmola (2003), as ameaças à segurança da informação ocorrem tanto de fora como de dentro de uma organização ao ativo que se quer proteger. O ativo é qualquer coisa que manipule direta ou indiretamente uma informação. As ameaças podem ser classificadas quanto a sua intencionalidade e ser divididas em grupos: Naturais ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, entre outros; Involuntárias ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia; Voluntárias ameaças propositais causadas por agentes humanos como invasores, espiões, ladrões, disseminadores de vírus de computador. O Quadro 1.1 apresenta alguns exemplos de ameaças aos sistemas de informação: Quadro 2.1 Exemplo de classificação de ameaças Tipo de Ameaça Falha de hardware ou software Ações pessoais Invasão pelo terminal de acesso Incêndio Problemas elétricos Mudanças no programa Problemas de telecomunicação Raio Fonte: Adaptado de Sêmola (2003). Classificação Involuntárias Voluntárias Voluntárias Voluntárias/Involuntárias Involuntárias Voluntárias/Involuntárias Voluntárias/Involuntárias Naturais Esses problemas podem originar-se de fatores técnicos, organizacionais e ambientais, agravados por más decisões administrativas e ingerência na TI (LOPES, SAUVÉ e NICOLLETI, 2003). Na Figura 2.6, é apresentado os índices de incidentes acorridos no Brasil nos últimos 8 anos, onde é observado que nos últimos 3 anos houve redução bastante consistente em função das medidas preventivas da corporações, (TIINSIDE, 2009, p. 57). 12

23 Figura 2.6 Índices de Segurança da Informação no Brasil Fonte: TIINSIDE (2009, p. 57). O principio em que não existe ambiente 100% seguro, reflete a presença de vulnerabilidades de acordo com o grau de maturidade de cada empresa. As vulnerabilidades estão presentes e se apresentam em todas as áreas de uma organização, sobretudo na TI (FONTES, 2008). Na concepção de Westerman e Hunter (2008), um ponto de partida interessante para evitar incidentes de segurança é identificar as vulnerabilidades, através de uma análise de risco, e mapear e apresentar soluções de medidas adequadas de segurança em curto, médio e logo prazo de acordo com a estratégia corporativa. Ainda para Westerman e Hunter (2008), as vulnerabilidades podem ter uma ou várias causas. A negligência por parte da alta direção, a falta de foco por parte dos administradores de rede, e o baixo conhecimento técnico são exemplos típicos presentes na maioria da empresas. Este relacionamento é entendido na razão de n para n, ou seja, cada vulnerabilidade pode estar relacionada com um ou mais ambientes computacionais. O nível de vulnerabilidade reduz à proporção em que são inseridos controles e medidas de proteção adequadas, minimizando também os riscos ao negócio. Assim, é certo afirmar que os riscos estão relacionados ao nível de vulnerabilidades ao qual o ambiente possui, logo para se determinar os riscos e as ações a serem implantas, é mandatório que as vulnerabilidades precisam ser identificadas, classificadas e priorizadas (FONTES, 2008). 13

24 Para Ramos (2008), a vulnerabilidade é uma condição falha encontrada em recursos, processos ou configurações de modo que esses sistemas estão sujeitos a ataques. Este fluxo é representado na Figura 2.7. Figura 2.7 Fluxo de impacto da vulnerabilidade ao negócio Fonte: Moreira (2001). Na concepção de Zapater e Suzuki (2008), é cada vez mais comum a adoção de métricas de avaliação de investimento, que considerem os custos e benefícios atrelados a uma iniciativa de segurança, suportando a tomada de decisão e a priorização das ações. Uma das métricas mais comuns é o retorno sobre investimento, ROI (Return on Investment), em que os benefícios são mensurados por meio de processos de avaliação de riscos e consistem, fundamentalmente, em custos que podem ser minimizados, provindos de possíveis incidentes. A área de TI não é mais vista como suporte ao negócio, mas sim como parte fundamental para que o negócio funcione, a Figura 2.8 apresenta a visão dessa nova abordagem. Desta forma, minimizar riscos de paradas ou incidentes nos sistemas de TI incorporou na rotina dos gestores desta área. O principio básico é alinhar a TI ao negócio, traduzindo a tecnologia das operações coorporativas em uma linguagem de negócio. São várias as soluções de mercado, todas direcionadas ao mesmo foco, com pequenas variações. Além do desdobramento da estratégia, do mapeamento dos negócios da organização, da análise de eficiência dos serviços críticos e do entendimento dos impactos de um determinado defeito a análise de risco é o ponto principal para as tomadas de decisão, seja para reforço do alicerce, seja para os processos de governança, (TIINSIDE, 2009, p. 8). 14

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Ciência da Computação Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Agenda Histórico Conceitos básicos Objetivos Visão Geral do Modelo Publicações: Estratégia de

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

ivirtua Solutions 4 ITIL

ivirtua Solutions 4 ITIL ivirtua Solutions 4 ITIL ivirtua Solutions ITIL WHITEPAPER ITIL INTRODUÇÃO O ITIL é o modelo de referência para endereçar estruturas de processos e procedimentos à gestão de TI, organizado em disciplinas

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações CobIT Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações Eduardo Mayer Fagundes Copyright(c)2008 por Eduardo Mayer Fagundes 1 Agenda 1. Princípio de Gestão Empresarial

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio?

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? A Tecnologia da Informação vem evoluindo constantemente, e as empresas seja qual for seu porte estão cada

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração.

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração. Cobit e ITIL GOVERNANÇA, GP - RISCO, GP PROJETOS - PMP, SEGURANÇA DAIANA BUENO OUTUBRO 20, 2010 AT 8:00 3.496 visualizações Atualmente, as empresas estão com seus processos internos cada vez mais dependentes

Leia mais

Engenharia de Software Qualidade de Software

Engenharia de Software Qualidade de Software Engenharia de Software Qualidade de Software O termo qualidade assumiu diferentes significados, em engenharia de software, tem o significado de está em conformidade com os requisitos explícitos e implícitos

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Melhores práticas para gerenciamento de suporte a serviços de TI

Melhores práticas para gerenciamento de suporte a serviços de TI Melhores práticas para gerenciamento de suporte a serviços de TI Adriano Olimpio Tonelli Redes & Cia 1. Introdução A crescente dependência entre os negócios das organizações e a TI e o conseqüente aumento

Leia mais

IMPLANTAÇÃO DE GOVERNANÇA DE TI

IMPLANTAÇÃO DE GOVERNANÇA DE TI 1 IMPLANTAÇÃO DE GOVERNANÇA DE TI André Luiz Guimarães dos Reis 1 1 João Souza Neto 2 1 Tomas Roberto C. Orlandi 3 1 andrer@correios.com.br szneto@correios.com.br tomasroberto@correios.com.br 1 Empresa

Leia mais

Programa do Curso de Pós-Graduação Lato Sensu MBA em Gestão de Tecnologia da Informação

Programa do Curso de Pós-Graduação Lato Sensu MBA em Gestão de Tecnologia da Informação Programa do Curso de Pós-Graduação Lato Sensu MBA em Gestão de Tecnologia da Informação Apresentação O programa de Pós-graduação Lato Sensu em Gestão de Tecnologia da Informação tem por fornecer conhecimento

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Governança de TIC. CobiT 4.1

Governança de TIC. CobiT 4.1 Governança de TIC CobiT 4.1 Conceitos Governança: A expressão governar tem origem na expressão navegar... E o que quem navega faz? Ele faz um mapa, dá a direção, faz as regras de convivência. Tomáz de

Leia mais

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3 Gerenciamento de Serviços de TIC ISO/IEC 20.000 / ITIL V2 e V3 Agenda O que é serviço de TIC? O que é Qualidade de Serviços de TIC? O que é Gerenciamento de Serviços de TIC? ISO IEC/20.000-2005 ITIL versão

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 Conhecimento em Tecnologia da Informação Alinhamento Estratégico A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 2010 Bridge Consulting Apresentação

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

GIOVANI HIPOLITO MARONEZE ESTUDO DE CASO CONTENDO IMPLANTAÇÃO DO MODELO MR-MPS-SV (NÍVEL G)

GIOVANI HIPOLITO MARONEZE ESTUDO DE CASO CONTENDO IMPLANTAÇÃO DO MODELO MR-MPS-SV (NÍVEL G) GIOVANI HIPOLITO MARONEZE ESTUDO DE CASO CONTENDO IMPLANTAÇÃO DO MODELO MR-MPS-SV (NÍVEL G) LONDRINA - PR 2014 GIOVANI HIPOLITO MARONEZE ESTUDO DE CASO CONTENDO IMPLANTAÇÃO DO MODELO MR-MPS-SV (NÍVEL G)

Leia mais

Governança de TI. Professor: Ernesto Junior E-mail: egpjunior@gmail.com

Governança de TI. Professor: Ernesto Junior E-mail: egpjunior@gmail.com Governança de TI Professor: Ernesto Junior E-mail: egpjunior@gmail.com Governança Governar Governança Ato de governar(-se), governo, governação Governar ter mando, direção, dirigir, administrar tratar

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Agenda. Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI

Agenda. Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI Governança de TI Agenda Visão Geral Alinhamento Estratégico de TI Princípios de TI Plano de TI Portfolio de TI Operações de Serviços de TI Desempenho da área de TI Modelo de Governança de TI Uso do modelo

Leia mais

MBA Gestão da Tecnologia de Informação

MBA Gestão da Tecnologia de Informação MBA Gestão da Tecnologia de Informação Informações: Dias e horários das aulas: Segundas e Terças-feiras das 18h00 às 22h00 aulas semanais; Sábados das 08h00 às 12h00 aulas quinzenais. Carga horária: 600

Leia mais

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com

MBA em Gestão de Tecnologia da Informação. Governança de TI. Lincoln Herbert Teixeira lincolnherbert@gmail.com MBA em Gestão de Tecnologia da Informação Governança de TI Lincoln Herbert Teixeira lincolnherbert@gmail.com Governança de TI Ementa: Relacionar a governança de TI com a governança corporativa. Boas práticas

Leia mais

Tópicos Especiais. Núcleo de Pós Graduação Pitágoras

Tópicos Especiais. Núcleo de Pós Graduação Pitágoras Núcleo de Pós Graduação Pitágoras Professor: Fernando Zaidan Disciplina: Arquitetura da Informática e Automação MBA Gestão em Tecnologia da Informaçao 1 Tópicos Especiais Novembro - 2008 2 Referências

Leia mais

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MODELOS DE MELHORES PRÁTICAS DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MELHORES PRÁTICAS PARA T.I. MODELO DE MELHORES PRÁTICAS COBIT Control Objectives for Information

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

ADMINISTRAÇÃO DE REDES E DATA CENTER 1º PERÍODO DE TECNOLOGIA DE REDES

ADMINISTRAÇÃO DE REDES E DATA CENTER 1º PERÍODO DE TECNOLOGIA DE REDES DESENHO DE SERVIÇO Este estágio do ciclo de vida tem como foco o desenho e a criação de serviços de TI cujo propósito será realizar a estratégia concebida anteriormente. Através do uso das práticas, processos

Leia mais

Gestão da TI. É proibida a cópia deste conteúdo, no todo ou em parte, sem autorização prévia do autor.

Gestão da TI. É proibida a cópia deste conteúdo, no todo ou em parte, sem autorização prévia do autor. Este material foi desenvolvido especialmente para a disciplina Gestão da TI ministrada no curso de graduação em Sistemas de Informação da AES (Academia de Ensino Superior). Algumas imagens são de domínio

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

Administração de Ativos de TI. Prof. André Montevecchi

Administração de Ativos de TI. Prof. André Montevecchi Administração de Ativos de TI Prof. André Montevecchi Introdução a ITIL Em um mundo altamente competitivo, de mudanças constantes e inesperadas, é preciso ter flexibilidade e agilidade suficientes para

Leia mais

Segurança e Auditoria em Sistemas

Segurança e Auditoria em Sistemas Segurança e Auditoria em Sistemas Curso: Analise e Desenvolvimento de Sistemas Prof.Eduardo Araujo Site:www.professoreduardoaraujo.com EMENTA Definição de segurança de informação. Identificação das necessidades

Leia mais

Café da Manhã Corporativo

Café da Manhã Corporativo Café da Manhã Corporativo O ITIL como ferramenta de Governança de TI Palestrante: Julio Cesar R. S. Avila Palestrante: Julio Cesar R. S. Avila Especialista Newtrend em Governança de TI, é um profissional

Leia mais

Governança em TI ITIL, COBIT e ISO 20000

Governança em TI ITIL, COBIT e ISO 20000 ESADE ESCOLA SUPERIOR DE ADMINISTRAÇÃO, DIREITO E ECONOMIA. CURSO DE ADMINISTRAÇÃO Governança em TI ITIL, COBIT e ISO 20000 Camila Madeira Camila Pinto Daniel Mendes Elias Sarantopoulos Evandro Colpo Janaina

Leia mais

Núcleo de Pós Graduação Pitágoras. Tópicos Especiais

Núcleo de Pós Graduação Pitágoras. Tópicos Especiais Núcleo de Pós Graduação Pitágoras Professor: Fernando Zaidan Disciplina: Arquitetura da Informática e Automação MBA Gestão em Tecnologia da Informaçao Tópicos Especiais Junho - 2008 Referências Acessos

Leia mais

Análise de Risco em Ambientes Corporativos na Área de Tecnologia da Informação

Análise de Risco em Ambientes Corporativos na Área de Tecnologia da Informação Análise de Risco em Ambientes Corporativos na Área de Tecnologia da Informação RESUMO Um tema que vem sendo muito discutido é a governança em TI (Tecnologia da informação), no entanto existem muitos métodos

Leia mais

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos.

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos. ITIL V3 Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender o gerenciamento de riscos. Porquê Governança? Porque suas ações e seus requisitos

Leia mais

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com)

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com) Conceitos Básicos e Implementação Pref. Mun. Vitória 2007 Analista de Suporte 120 A ITIL (information technology infrastructure library) visa documentar as melhores práticas na gerência, no suporte e na

Leia mais

GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com Conceito Com base nas definições podemos concluir que: Governança de de TI TI busca o compartilhamento de de decisões de de TI TI com os os demais dirigentes

Leia mais

ITIL. Fundamentos do Gerenciamento de Serviços de TI. Juvenal Santana, PMP tecproit.com.br

ITIL. Fundamentos do Gerenciamento de Serviços de TI. Juvenal Santana, PMP tecproit.com.br ITIL Fundamentos do Gerenciamento de Serviços de TI Juvenal Santana, PMP tecproit.com.br Objetivo Prover uma visão geral sobre Gerenciamento de Serviços de TI: Conceito; Desafios; Estrutura; Benefícios;

Leia mais

A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI)

A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI) A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI) Os principais modelos de melhores práticas em TI Carlos Henrique Santos da Silva, MSc, PMP, ITIL

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Núcleo de Pós Graduação Pitágoras

Núcleo de Pós Graduação Pitágoras Núcleo de Pós Graduação Pitágoras MBA Gestão em TI Disciplina: Administração de Suporte e Automação Gerenciamento de Suporte Professor: Fernando Zaidan Ago-2009 1 2 Contexto Área de TI lugar estratégico

Leia mais

Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA. Levantamento da Gestão de TIC

Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA. Levantamento da Gestão de TIC Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA Levantamento da Gestão de TIC Cotação: 23424/09 Cliente: PRODABEL Contato: Carlos Bizzoto E-mail: cbizz@pbh.gov.br Endereço: Avenida Presidente Carlos

Leia mais

Serviço de Avaliaça o e Planejamento de Governança de TI

Serviço de Avaliaça o e Planejamento de Governança de TI efagundes.com Serviço de Avaliaça o e Planejamento de Governança de TI O serviço especializado avalia, planeja e implanta um modelo de governança nas organizações de TI alinhado com as estratégias e operações

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

Processos Técnicos - Aulas 1 a 3

Processos Técnicos - Aulas 1 a 3 Gerenciamento de Serviços de TI Processos Técnicos - Aulas 1 a 3 A Informática, ou Tecnologia da Informação, antigamente era vista como apenas mais um departamento, como um apoio à empresa. Hoje, qualquer

Leia mais

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000).

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000). Segurança em Redes de Computadores e Auditoria de Sistemas Emanuel Rebouças, MBA AGENDA AULA 4 & 5 Objetivo: Avaliar as melhores práticas do mercado na área de Segurança da Informação e como aplicá-las

Leia mais

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

Capítulo 2 Governança de TIC

Capítulo 2 Governança de TIC Sistema de Informação e Tecnologia FEQ 0411 Prof Luciel Henrique de Oliveira luciel@uol.com.br Capítulo 2 Governança de TIC PRADO, Edmir P.V.; SOUZA, Cesar A. de. (org). Fundamentos de Sistemas de Informação.

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Revista F@pciência, Apucarana-PR, ISSN 1984-2333, v.3, n. 9, p. 89 98, 2009. GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Márcia Cristina

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

www.projetode redes.co m.br www.redesde com p uta dores. com. br

www.projetode redes.co m.br www.redesde com p uta dores. com. br Outras Apostilas em: www.projetode redes.co m.br www.redesde com p uta dores. com. br Centro Universitário Geraldo di Biase 1. Enterprise Resouce Planning ERP O ERP, Sistema de Planejamento de Recursos

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Governança de TI. Heleno dos Santos Ferreira

Governança de TI. Heleno dos Santos Ferreira Governança de TI Heleno dos Santos Ferreira Agenda Governança de TI Heleno dos Santos Ferreira ITIL Publicação dos Livros revisados 2011 ITIL Correções ortográficas e concordâncias gramaticais; Ajustes

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA SUMÁRIO Apresentação ISO 14001 Sistema de Gestão Ambiental Nova ISO 14001 Principais alterações e mudanças na prática Estrutura de alto nível Contexto

Leia mais

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação CobiT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo? 2013 Bridge Consulting All rights reserved Apresentação Sabemos que a Tecnologia da

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

EXIN IT Service Management Foundation based on ISO/IEC 20000

EXIN IT Service Management Foundation based on ISO/IEC 20000 Exame simulado EXIN IT Service Management Foundation based on ISO/IEC 20000 Edição Novembro 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais