Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR ISO-IEC Pós-Graduação em Segurança da Informação, FACSENAC-DF, Brasília-DF

Tamanho: px
Começar a partir da página:

Download "Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR ISO-IEC 27001. Pós-Graduação em Segurança da Informação, FACSENAC-DF, Brasília-DF"

Transcrição

1 Elaboração de um modelo de SGSI para a FACSENAC: Aplicação da NBR ISO-IEC Carlos Magno 2, Daniel Cordeiro 2, Jacy Ferreira 2 e Edilberto Silva 2 2 Pós-Graduação em Segurança da Informação, FACSENAC-DF, Brasília-DF Resumo. Este artigo propõe a implantação de um SGSI na empresa FACSENAC, criando uma matriz de riscos, para acompanhamento, monitoramento e evolução do processo de crescimento da empresa, identificando e gerenciando suas atividades, identificando vulnerabilidades para simplificar um futuro processo de auditoria da SGSI. O método a ser utilizado será um estudo de caso da empresa FACSENAC que possibilitará as etapas do processo de criação da SGSI à luz da ABNT ISO/IEC 27001:2006. O principal resultado deste artigo será a criação de uma matriz de riscos incremental, identificando os ativos físicos e lógicos para identificar as áreas mais criticas, possibilitando assim um nível adequado de proteção para o crescimento sustentável da empresa. Palavras-chave: Vulnerabilidade, Ativo, Sustentável. Abstract: : This paper proposes the implementation of a Information System in the SENAC company, creating a risk matrix for tracking, monitoring and progress of the company's growth, identifying and managing activities to simplify a future audit of the process. The method used is a case study that will enable the company FACSENAC stages of the creation of the ISMS the light of ABNT ISO/IEC 27001: The main result of this paper is to create an array of incremental risks, identifying the tangible physical) and intangible software) to identify the most critical cal areas, thus enabling an adequate level of protection for the sustainable growth of the company. KeyWords: Vulnerability, Active, Sustainable. 1. INTRODUÇÃO Hoje a informação é bem mais valiosa dentro das organizações, portanto precisa de uma política de proteção. Não se pode correr o risco de uma interrupção em suas operações, isso acarretaria a sérios prejuízos à corporação abalando as relações de parcerias comerciais. Hoje as empresas estão juntando todos os componentes da cadeia produtiva, através de vários tipos de conexões, e compartilhamento remoto de informações estratégicas com os diversos tipos clientes. Isso possivelmente agregará valor e se transformará em benefícios,

2 porém, a alta direção tem dificuldades em reconhecer o retorno imediato sobre o investimento em segurança, e elas não estão amparadas por um planejamento de segurança da informação, capaz de minimizar riscos de qualquer espécie causando prejuízos com perda de produtividade, proporcionando perdas financeiras e desgaste à sua imagem. O interesse da segurança deve partir do mais alto nível da organização, pelo elevado reconhecimento de sérios problemas que resultariam no vazamento, modificação ou indisponibilidade da informação. Este cenário eleva a política de segurança da Informação relacionada à proteção de dados, identificando a sua vulnerabilidade para a criação de ferramentas adequadas, dando suporte à estratégia de gestão de riscos de negócios. Este grupo propõe o PGSI Plano de Gestão de Segurança da Informação pautado na norma NBR ISO/IEC 27001:2006ABNT, 2006)[1], que adota o modelo PDCA Plan-Do-Check-Act Planejar, Fazer, Checar e Agir) que define diretrizes para a o planejamento e implantação de um SGSI Sistema de Gestão de Segurança da Informação). Trata-se de um estudo sobre a natureza do negócio sua área de operação, localidade do ambiente e mapeamento dos ativos físicos e lógicos para identificar as vulnerabilidades, mensurar o impacto na organização para determinar o grau de prioridade para cada risco. A adoção de um plano de informação pautado na NBR ISO/IEC 27001:2006ABNT, 2006)[1], tem como objetivo elevar a organização a um grau de qualidade e maturidade que permita o uso eficaz e eficiente do seu SGSI. : "#$%&'!)*+,-.+/0123/.'

3 C 2. MAPEAMENTO DOS ATIVOS De acordo com o escopo definido serão avaliados 10 ativos conforme tabela 1. Os ativos descritos nesta, foram escolhidos mediante análise técnica baseada em métodos, cujos resultados deverão ser comparados com regras estabelecidas pela empresa FACSENAC para a uma determinada atividade para identificar os riscos que estes representam para a empresa. ;'<-.')!*'F-'E-48+,-'8#L+G =;>* 2;=?M! 1'<-'E-48+>G8&%8%&',+ : U-,->.B8&#6'>G8'<#.#J',' C U+8-',+&-G D VW#865-G Q X V-&L#,+&,-2&P%#L+G Y 0-G78+FZG[\'F8+FZG[-+%8&+G ] 2F.#6'8#L+S"=U>^2\\T 0+6%E-48'HI+,+V#G8-E' ;'<-.':)akl-#g,-f&+<'<#.#,',-9 /&+<'<#.#,',-?'.+& 0-G6&#HI+ : =EF&+LRL-.,-M6+&&-&S!!'C`bT *B,#' C M6+&&-M6'G#+4'.E-48-SC!'Y`bT 2.8' D /&+LRL-.,-M6+&&-&SY!'!``bT ;'<-.'C3aKL-#G,-=EF'68+9 =EF'68+?'.+& 0-G6&#HI+ 0-GF&-JKL-.! : 2M&$'4#J'HI+6+4G-$%-&-F'&'&+G,'4+G6+EG-%GF&NF&#+G&-6%&G+G 1&K8#6+ C 2&-6%F-&'HI+,+G,'4+G-A8&'F+.'+G&-6%&G+G,'M&$'4#J'HI+ O&'L- D 0'4+GP%-L-45'E'E'465'&'#E'$-E,+d&$I++%$-&'&'.$%E#46#,-48-$&'L- O&'LKGG#E+ Q 0-G8&%#HI+=&&-F'&RL-.,'=E'$-E,+ =&&-F'&RL-.,'=E'$-E,+d&$I+-+c-&-6-&#G6+,-E+&8-'+GG-&L#,+&-G =*/21;M S=EF&+LRL-.T : 1&K8#6+ C O&'L- D O&'LKGG#E+ Q ;'<-.'D)/&+<'<#.#,',-e=EF'68+9 *B,#' F&+LRL-.T S/+GGKL-.T 2.8' S/&+LRL-.T *%#8+2.8' S"&-Pf-48-T : C D Q C D Q X D Q X Y Q X Y ] X Y ] _ 2.1. PGSI - Planejamento de Gestão de Segurança da Informação O PGSI para a FACSENAC tem a intenção de apresentar uma proposta de alto nível com metodologia baseado em regras e padrões pautado na ABNT ISO/IEC 27001:2006[1], para que futuramente possa servir de referência para

4 outras unidades da organização; na figura abaixo veja concepção no que diz respeito ao Planejamento PLAN) do SGSI. D! : O escopo do projeto apresenta metodologia baseado em regras estabelecidas para facilitar o desenvolvimento e o acompanhamento das etapas de forma que possa identificar as principais características do negócio, o que faz parte e quais áreas são mais criticas que irão fazer parte do PGSI, e dentro de cada identificando os ativos tangíveis e intangíveis necessários para a formação da matriz de riscos, conforme tabela abaixo. 28#L+G 2E-'H'G?%.4-&'<#.#,',-G 1'<-'E-48+ >G8&%8%&',+ U-,->.B8&#6' >G8'<#.#J',' C U+8-',+& D U+EF#E-48+,-6'<+ h%-,',- >4-&$#' h%-,',- >4-&$#'[ 28'P%- i'67-&s0,+gt "'.5',- i'&,w'&- h%-,',- >4-&$#'[ 28'P%- i'67-&s0,+gt "'.5',- i'&,w'&- U'8+Gg*+L-#Gg V-&L#,+&E'. #48-46#+4',+[ V+<&-6'&$'[ 0-G.#$'E-48+,+ c#'hi+'48#$' =4-A#G8j46#',-%E' U+8'2.8-&4'8#L'+%?#&8%'. =4-A#G8j46#',-%E' U+8'2.8-&4'8#L'+%?#&8%'. ;'<-.'Qk*'8&#J,-U#G6+G U#G6+,- #EF'68+ =48-&&%FHI+,- 8+,++%F'&8-,+ V#G8-E'#48-&4+- +%-A8-&4+ =48-&&%FHI+,- 8+,++V#G8-E' #48-&4+ =48-&&%FHI+,- 8+,+G+GV-&L#H+G P%-%8#.#J-E' =48-&4-8 =48-&&%FHI+,- 8+,+G+GV-&L#H+G P%-%8#.#J-E' =48-&4-8 U#G6+,- /&+<'<#.#,',- ak-.,- =EF'68+ U#G6+! : C U-GF+4GRL-. ;B64#6+,- U-,-! : C >.-8&#6#G8' C : D C : D 2,E#4#G8&',+&,'U-,- 2,E#4#G8&',+&,'U-,- ;&'8'E-48+ =G+.'E-48+'8&'LBG,- 6'4'.-8'G',-P%','G =G+.'E-48+,'&-,-6+E E'8B&#'Gl#4c.'ERL-#Gg >A8#48+&-G,-=46j4,#+ -E.%$'&-G-G8&'8B$#6+G *'4%8-4HI+F-&#N,#6',+-P%#F'E-48+[ '.8-&4'8#L'Fn-G8' -E-&$j46#' *'4%8-4HI+F-&#N,#6',+-P%#F'E-48+[ '.8-&4'8#L'Fn-G8' -E-&$j46#'

5 Q Q VW#865 X Y ] _!` V-&L#,+&,- 2&P%#L+G 0-G78+FZG[ \'F8+FZG- +%8&+G 2F.#6'8#L+ 0',+G 0+6%E-48'HI+,+V#G8-E' h%-,',- -4-&$#'[ "'.5',- i'&,w'&- h%-,',- >4-&$#'[ =48&%GI+ =48-&4'- >A8-&4' U+%<+[ h%-<&' 26-GG+,- V-&L#,+&-G' FR$#4'G G%GF-#8'G[ 1+4c#$%&'HI+,+"#&-W'.. h%-,',- -4-&$#'[ F-&,',-,-G-EF-45+[ =48&%GI+ #48-&4'- >A8-&4' /-&,'[ >A8&'L#+,- h%'.p%-& a'8%&-j' =4-A#G8j46#',-%E' U+8'2.8-&4'8#L'+%?#&8%'. h%-,',+v-&l#,+&[ =4L'GI+i'67-&+% F+&%EV-&L#,+&E'. #48-46#+4',+ =48-&&%FHI+,- V-&L#H+G[/-&,',- 0',+G ;&'L'E-48+,- 0-G78+FoG[ /&+$&'E'GP%-4I+ 6'&&-$'E-869 /'4-,-P%'.P%-& -GFB6#-4+V-&L#,+&[ =4L'GI+>A8-&4'+% =48-&4' /-&,'[>A8&'L#+,- h%'.p%-&a'8%&-j' h%-,',-;+,++ V#G8-E' 1++&F+&'8#L+ =48-&4+ =48-&&%FHI+,+ V#G8-E'[U+%<+[+% -A8&'L#+,- =4c+&E'Hp-G =48-&&%FHI+,- V-&L#H+G[/-&,',-,',+G[?'J'E-48+,-=4c+&E'Hp-G[ /-&,'4+ /'8&#Eq4#+ =48-&&%FHI+,- U+8#4'G[?'J'E-48+,- =4c+&E'Hp-G-869 U+%<+,- =4c+&E'Hp-G[/-&,',-,',+G-869 /-&,',- =4c+&E'Hp-G =EF+&8'48-GF'&','&6+48#4%#,',-,+V#G8-E' C : D! D D! : C D D Y D D Y! C Q 2,E#4#G8&',+&,-U-,- 24'.#G8',- V%F+&8-[ MF-&',+& V-&L#H+,- *'4%8-4HI+[ V-&L#,+&-G 24'.#G8',- V%F+&8-[ >GF-6#'.#G8' 0',+G 24'.#G8'[ 0#&-8+& *'4%8-4HI+F-&#N,#6',+-P%#F'E-48+[ '.8-&4'8#L'Fn-G8' -E-&$j46#' 6+4c#RL-.["'J-&V#G8-E',->GF-.5'E-48+[ E'48-4,+V#G8-E'4+ 2& '&1rE-&'G-E.%$'&-G-G8&'8B$#6+G[ 6+48&+.-,--48&','- V'K,',-E'8-&#'. 28%'.#J'HI+0#R&#',- 2F.#6'8#L+G[V%F-&L#GI+ 0#R&#',-U-$&'G,- a-$n6#+[1+4c#$%&'hi+,+"#&-w'.. V#G8-E',- >GF-.5'E-48+[ /&+$&'E'&U+8#4'G,- O%'&,'&8+,',+6%E-48'HI+,+G V#G8-E'G-E.%$'&-G 'F&+F&#',+G-8-&E'#G,-%E'6NF#' 3. CONCEITOS BÁSICOS Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela tenha um nível de proteção adequado para cumprimento de seus objetivos, que são: Confidencialidade - é preciso garantir que a informação mantenha o sigilo que lhe é cabível, de forma que o acesso seja restrito a pessoas que tenham autorização para tal. Integridade - a informação deve ser mantida da maneira como criada pelo seu autor, evitando alterações indevidas, intencionais ou acidentais. Disponibilidade - uma informação deve estar disponível aos usuários ou a uma instituição no momento em que for requisitada. Veja figura abaixo:

6 X "#$%&':3M<s-8#L+G,-V-$%&'4H','#4c+&E'HI+9 Ativos - Os elementos que fazem parte da vida da informação dentro de uma organização e a própria informação são considerados ativos. Ativo é "qualquer coisa que tenha valor para a organização". Ameaças - E uma causa potencial de um incidente indesejado, podendo resultar em dano para um sistema ou organização. Vulnerabilidade - Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma ameaça como. o Data Center ao lado de uma loja de fogos de artifício, portas destrancadas; o Alocação errada rada de direitos de senha falta de manutenção etc. Risco - É a medida do nível de incerteza associado à probabilidade de ocorrência de um evento e suas conseqüências. "#$%&'C3U#G ESTUDO DE CASO O estudo de caso foi realizado em campo levando-se em conta a situação atual da organização, através de uma abordagem metodológica de investigação com a coleta de dados descrevendo os acontecimentos e objetivando analisar o fenômeno a que se refere aprendendo a dinâmica do processo no que diz respeito à Segurança da Informação.

7 5. LEVANTAMENTO DAS INFORMAÇÕES DO PGSI PADRÕES E NORMAS No planejamento de sistemas de informação, aproveitam-se todos os casos de sucesso, todos os padrões e normas existentes que ao longo do tempo venham demonstrando maturidade suficiente para dar continuidade e fazer parte do SGSI. Foram analisadas todas as documentações, como regimento interno e portarias administrativas, para entender as reais necessidades de cada setor, e visando mensurar a real usabilidade de cada recurso da tecnologia da informação. Para melhorar as operações enumeramos os processos que não estão em conformidade com a NBR ISSO/IEC 27001:2006[1], que é identificar os problemas enfrentados e propor soluções para resolvê-los. Controles internos devem ser implementados para garantir ainda a eficiência das operações identificando os problemas enfrentados e sugerindo idéias para resolvê-los. 6. CONTROLE DE ÁREAS DE RISCO O processo para identificar e controlar as áreas de risco elimina ou minimiza os que podem afetar os recursos do sistema, identificação da gravidade e da probabilidade de ocorrência dos mesmos. Para ser considerado um risco, deve-se atentar aos seguintes requisitos: Algo provável de acontecer; Estimar prejuízos à organização; Estar diretamente associado a um ativo ou bem de valor; Ser possível identificar de onde vem a ameaça; Ser possível identificar a vulnerabilidade da ameaça. Riscos:! Risco de Negócio - Riscos de informação por tomada de decisões estratégicas equivocadas.! Risco Humano Podem vir de pessoas mal intencionadas ou não. Por falta de conhecimento que pode levá-lo lo a tomar decisões erradas, ou pessoas externas ou internas à organização agindo com más intenções. Y

8 ! Risco Tecnológico - A restrição de investimentos de tecnologia, a falta de planejamento adequado destes investimentos ou o conhecimento limitado na área de TI resulta em soluções de segurança erradas.! Risco de Imagem - Segurança gera confiança.! Risco Legal Atender às legislações vigentes e aos órgãos regulamentadores presentes no mercado brasileiro Obtenção de informações sobre o ambiente tecnológico A identificação dos pontos fortes e fracos dentro da FACSENAC para análise e customização, como por exemplo: Um firewall sem a devida análise do seu log, figurando apenas como uma barreira para potenciais invasores, sem que dele seja extraído todo o seu potencial.!"#" $%&') O grupo formado tem como meta, o planejamento do SGSI para identificar e corrigir falhas nos processos em tempo hábil para a não paralisação da organização mantendo a sua imagem. 7. PROPOSTA ] O SENAC é uma instituição de ensino ligada ao Governo Federal exercendo varias atividades, entre elas a Faculdade SENAC, estando em conformidade com o sistema S [6] e respaldado com a legislação do MEC[7], e sem fins lucrativos. Ela é formada por duas unidades de ensino que ficam distantes geograficamente no DF. O PGSI será primeiramente na unidade de Brasília localizada na 902 sul. O ciclo PDCA é a metodologia proposta pela NBR ISO/IEC 27001:2006[1] para melhoria continua do SGSI e será baseada na Tabela Matriz de Riscos. O PGSI está relacionado com regras métodos de proteção aplicados sobre um conjunto de dados no sentido de preservar o valor que possui para a Organização[3], como: Confidêncialidade;

9 _ Integridade; Disponibilidade Fatores críticos de sucesso Garantir que 100% dos alunos da FACSENAC tenham acesso a rede Lan ou Wireless com criptografia forte. 8. ATRIBUIÇÃO DE REGRAS E RESPONSABILIDADES 8.1. Comitê de Segurança da Informação O CGSI será formado por servidores da alta Gerência administrativa[4] que possuem funções estratégicas, como da área Financeira, Contabilidade, Rh, da Gerência Administrativa assim como da Gerência de Informática, Analista de BD, Administrador de Rede, Analista de Sistemas, e um responsável pela manutenção do prédio. As decisões serão tomadas em conjunto, cada colaborador com sua função hierárquica dentro do grupo com sua respectiva responsabilidade. Os colaboradores da gerência administrativa precisará trabalhar em sintonia com as áreas funcionais liderando as ações para que as melhores práticas de segurança sejam atendidas e aplicadas divulgando e estabelecendo os procedimentos para que as metas sejam alcançadas Proprietário das Informações O proprietário da informação é indicado pelo grupo, cabendo a ele: Elaborar para toda informação sob sua responsabilidade, uma relação de cargos e funções para as áreas mais críticas, concedendo e dando autoridades de acesso. Reavaliar sempre que necessário as concessões de acesso concedidas cancelando ou acrescentando poderes. Analisar os relatórios de controle de acesso concedidos pela área de gestão de SI, com o objetivo de identificar desvios em relação ás normas de Segurança da Informação, tomando as ações corretivas necessárias. Investigar incidentes de segurança da informação;

10 Reuniões periódicas com o comitê de gestão de SI, prestando esclarecimentos etc Classificando as informações A classificação da informação deve atender a política de segurança da informação da FACSENAC usando recursos homologados, autorizados, identificados, inventariados e protegidos com documentação atualizada[3]. A classificação deve tratar a informação durante o seu ciclo de vida com seus níveis e critérios para sua criação, transporte, manuseio e descarte, devendo ser revista periodicamente. Incidentes de segurança que trazem prejuízos forçam a reclassificação ou desclassificação dos ativos. As informações são classificadas mediante sua necessidade de sigilo, ou pela integridade e confiabilidade: Classificação: Ultra-secreto, Secreto, Confidencial e Reservado; 8.4. Área de Segurança da Informação O grupo criará uma área de segurança relativo aos ativos enumerados na matriz de riscos. A intenção é colocar uma blindagem nesta área para que ocorrrências sejam tratadas imediatamente de modo a se tornar automática de tal maneira que seja transparente ao usuário[5] Tratamentos de Vulnerabilidade dos Ativos Ativos - 1# 2# 3# 4# 5# e 6# O grupo formado deverá propor uma higienização e dedetização para toda a organização para evitar que cabos sejam corroídos ou partidos por roedores evitando assim que a rede tanto elétrica como lógica fiquem danificadas causando paralisação dos sistemas internos, e ou externo. Neste cenário o grupo liderado pelo Administrador de Rede deverá propor estruturar toda a rede tanto lógica como elétrica. A parte elétrica deverá atender com rigorosa observância todo projeto seus detalhes, exigência, especificações e componentes constantes no projeto elaborado pelo profissional da área contratado pelo grupo e que atenda as normas vigentes na ABNT respectiva, INMETRO etc, que passe!`

11 pela aprovação de Órgãos específicos, como Corpo de Bombeiros e outros órgãos competentes. A parte lógica também deve ter o seu projeto regido pelas normas da ABNT, INMETRO etc, e a idéia central é cabear todo o prédio de forma a colocar pontos de rede onde possam ser necessário. Todos os cabos irão para um ponto central, onde ficam os switches e outros equipamentos de rede. Tudo começa com a área central da rede, de preferência no térreo, onde ficaram todos os servidores, switches patch panel ou painel de comunicação. Este é intermediário entre as tomadas de parede e outros pontos de conexão e os switches da rede. Os cabos vindos dos pontos individuais são numerados e instalados em portas correspondentes ao patch panel, e as portas utilizadas são ligadas aos switches e os roteadores. Além de melhorarem a organização de cabos, os patch panels permitem a conexão com um número maior de pontos de rede do que portas dos switches. Veja figura abaixo. A Idea é que a área de equipamentos seja uma área de acesso restrito, onde os equipamentos fiquem fisicamente protegidos com câmeras em pontos estratégicos e portarias com identificação. "#$%&'D3i'67!! Ativo 3# Os roteadores deverão ser inteligentes com redundância para prover rota alternativa em caso de pane Ativo 4# Com o crescimento da rede a maior carga vai para o backbone, tornando-se vulnerável, então mensurar um backbone melhor, mais eficiente, robusto e com capacidade de evolução.

12 Ativo 5# Os Switches deverão ser inteligentes e monitoráveis para se identificar gargalos na rede e poder ter uma solução imediata para o desempenho não cair Ativos 6# 9# O servidor de Arquivos tem que ter um tratamento especial, assim a sua utilização com servidores duplicados em uma rede local, torna-se uma técnica de uso simples, factível e de baixo custo, possibilitando o aumento de disponibilidade e da confiabilidade dos sistemas todos protegidos por um bom antivírus. O servidor de Banco de DadosSGBD) D) terá que ter uma política de backups eficiente e constante. O objetivo principal é realizar backups dos sistemas em produção mantendo-os os disponíveis para a necessidade da recuperação dos dados[2] [2]. Mantendo-os os fisicamente distantes para a maior segurança. O Analista de banco de dados deverá acompanhar constantemente a seu desempenho para que eventualmente construa rotinas para melhorar a performance do BD.!: Ativo 8# O administrador de rede responsável pelo FIREWAL deverá manter uma política de concessão de acesso a servidores de acordo com seu cargo dentro da empresa. Deverá manter o aplicativo atualizado e rever constantemente as regras de para segurança Rede Wireless As redes Wireless se tornaram padrão para a conexão de computadores, praticamente todos os modelos de roteadores periféricos que permite compartilhar a internet banda larga com vários micros, vem com antena para rede sem fio, permitindo que a sua conexão a internet seja compartilhada não só entre os micros conectados via cabo ao roteador, mas também com aqueles dotados de antena para rede sem fio. Com essa popularização crescem também as vulnerabilidades das redes sem fio, portanto certos cuidados básicos deverão ser tomados como:

13 Mudança de senha padrão do roteador, desabilitar a funcionalidade de rede sem fio, caso não usá-la; Atualizar o firmware do roteador para mante-lo livre de falhas conhecidas, desabilitar o gerenciamento remoto; Habilitar e usar o tipo certo de criptografia WPA-2) sugerido, tanto no roteador or como nos computadores que farão parte da rede; Configurar a freqüência para que seja garantida a conexão de 100% de todos os pontos dentro da área determinada; É papel do Administrador de rede, fazer todo o monitoramento da rede para impedir invasões e acessos indevidos. 10. CONCLUSÃO!C A existência de um PGSI a ser implantado na FACSENAC permite ao usuário tomar conhecimento do quão protegido e seguro estarão as suas informações. Do ponto de vista dos profissionais técnicos, eles passarão a possuir um modelo de atuação comum, evitando assim que cada equipe tenha para si um padrão desconexo das demais equipes. A grande contribuição da metodologia é permitir que o responsável pelo planejamento do projeto de segurança tenha uma visão única do sistema de segurança da informação e dos diversos padrões, controles e métodos que o compõem.

14 !D **" +,-,+./0123) t!u9 ;B64#6'G,- t:u9 ">UU>=U2["9a9"9[2U2xyM[*9;9["z?>UM[29>9[/+.#8#6',-V-$%&'4H','=4c+&E'HI+[O%#'/&R8#6+ F'&'>.'<+&'HI+-=EF.-E-48'HI+:{>,#HI+U-L#G','[U#+,-y'4-#&+[-,#8+&'6#j46#'E+,-&4'[:``]9 HI+:{>,#HI+U-L#G','[U#+,-y'4-#&+[-,#8+&'6#j46#'E+,-&4'[:``]9 tcu9 "2mV;=a=[U+,&#$+92&8#$+k/+.K8#6',-V-$%&'4H','=4c+&E'HI+90#GF+4KL-.-Ek 588FknnWWW9c'%G8#4#6+4G%.8#4$96+En'&8#$+`Q958EÑ926-GG+-Ek`XG-89:`!!9 tdu9 /+.K8#6',-V-$%&'4H','=4c+&E'HI+ =4c+&E'HI+36+E+c'J-&Å90#GF+4KL-.-Ek 588Fknn'4'.#G8'8#96+EnF+.#8#6' 588Fknn'4'.#G8'8#96+EnF+.#8#6'),-) G-$%&'46'),')#4c+&E'6'+)6+E+)c'J-& c'j-&ñ926-gg+-ek`xg-89:`!!9 tqu9 Vm}m~=[*'&6#+}'F'8-&[U+,&#$+9V-$%&'4H','=4c+&E'HI+[mE,#c-&-46#'.,-8-&E#4'48-4' 6+EF-8#L#,',-,'G6+&F+&'Hp-G90#GF+4KL-.-Ek G90#GF+4KL-.-Ek 588FknnWWW9F&+E+496+E9<&nF+&8%$%-Gn4+8#6#'Gn,+W4.+',nV-$%&'46'D^-<9F,cÑ926-GG+-Ek]G-89 :`!!9 [6]. MP%-B+V#G8-E'ÄVÄÅ)V>a2=3 0#GF+4#L-.-Ek!<http://www.senai.br/br/ParaVoce/faq.aspx>. Acesso em 02/10/2011. [7]. \-$#G.'HI+'F.#6',''+G#G8-E'ÇVÇ30#GF+4#L-.-Ek Acesso em 02/10/2011

15 Autora)1. MINI-CURRÍCULO DOS AUTORES Jacy Ferreira Graduado em Análise de Sistemas pela Universidade São Francisco-SP 1995). Pós-Graduando em Segurança da Informação na FACSENAC - Faculdade Senac em Brasília/DF.!Q Autora)2. Daniel Cordeiro Gouveia Graduado em Tecnologia em Rede de Computadores pela FAMA- AP 2009). Pós-Graduando em Segurança da Informação na FACSENAC - Faculdade Senac em Brasília/DF. Autora)3. Carlos Magno de Oliveira Cutrim Graduado em Análise de Sistemas pela União Pioneira de Integração Social--DF2005). Pós-Graduando em Segurança da Informação na FACSENAC Faculdade Senac em Brasilia/DF. Autora)3. Edilberto Magalhães Silva - Mestre em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasília 2002) e Bacharel em Ciência da Computação - Faculdades Integradas do Planalto Central 1996). Pós-Graduando em Gestão de Tecnologia da Informação pela Universidade Senac-SP SP 2010-) e Pós-Graduando em Engenharia de Requisitos e Modelagem de Negócios pela Universidade Federal do Rio Grande do Sul 2010-). Funcionário Público lotado no MCT - Ministério de Ciência e Tecnologia Brasília/DF como Analista em TI. Docente na graduação da FACSENAC - Faculdade Senac em Brasília/DF Gestão de Tecnologia da Informação) e Docente titular da UNIPLAC - União Educacional do Planalto Central na graduação Bacharel em Sistemas de Informação). Docente na pós-graduação Banco de Dados, Segurança da Informação e Design Digital) na FACSENAC/DF. Tutor no curso de especialização lato sensu pós-graduação) em segurança da informação na UnB/DF modalidade EAD). Experiência profissional e de docência nas áreas de: Segurança da Informação, Desenvolvimento de Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Análise e Modelagem de Sistemas, Banco de Dados e CICS Plataforma Alta Mainframe). -

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Análise de Risco em Ambientes Corporativos na Área de Tecnologia da Informação

Análise de Risco em Ambientes Corporativos na Área de Tecnologia da Informação Análise de Risco em Ambientes Corporativos na Área de Tecnologia da Informação RESUMO Um tema que vem sendo muito discutido é a governança em TI (Tecnologia da informação), no entanto existem muitos métodos

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

Anexo III: Solução de Rede Local - LAN (Local Area Network)

Anexo III: Solução de Rede Local - LAN (Local Area Network) Anexo III: Solução de Rede Local - LAN (Local Area Network) 1. Objeto: 1.1. Contratação de uma Solução de rede de comunicação local (LAN) para interligar diferentes localidades físicas e os segmentos de

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

PLANO DE CONTINGÊNCIA DE TI: PREPARANDO SUA EMPRESA PARA REAGIR A DESASTRES E MANTER A CONTINUIDADE DO NEGÓCIO

PLANO DE CONTINGÊNCIA DE TI: PREPARANDO SUA EMPRESA PARA REAGIR A DESASTRES E MANTER A CONTINUIDADE DO NEGÓCIO PLANO DE CONTINGÊNCIA DE TI: PREPARANDO SUA EMPRESA PARA REAGIR A DESASTRES E MANTER A CONTINUIDADE DO NEGÓCIO Daniel Andrade², Eric Vinicius 2, Gabriel Mafra 2, Lúcio Flávio², Marcos Henrique² e Ulisses

Leia mais

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade...

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Reduzir custo de TI; Identificar lentidões no ambiente de TI Identificar problemas de performance

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

FACSENAC. SISGEP SISTEMA GERENCIADOR PEDAGÓGICO DRP (Documento de Requisitos do Projeto de Rede)

FACSENAC. SISGEP SISTEMA GERENCIADOR PEDAGÓGICO DRP (Documento de Requisitos do Projeto de Rede) FACSENAC SISTEMA GERENCIADOR PEDAGÓGICO Versão: 1.2 Data: 25/11/2011 Identificador do documento: Documento de Visão V. 1.7 Histórico de revisões Versão Data Descrição Autor 1.0 03/10/2011 Primeira Edição

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Segurança Física de acesso aos dados

Segurança Física de acesso aos dados Segurança Física de acesso aos dados Segurança Física de acesso aos dados 1 A Segurança Física tem como objetivos específicos: ü Proteger edificações e equipamentos; ü Prevenir perda, dano ou comprometimento

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Fu F n u d n a d m a e m n e t n os o de d e Se S g e u g r u an a ç n a a da d a Informação

Fu F n u d n a d m a e m n e t n os o de d e Se S g e u g r u an a ç n a a da d a Informação Fundamentos de Segurança da Informação O que é Segurança da Informação? O que é Segurança da Informação? A Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003.

SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003. Segurança da Informação - 2 Maio / 2008 SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003. 1 A segurança da informação é: uma área do conhecimento dedicada

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Equipamentos de rede também precisam de cuidados de segurança Independente do tipo de tecnologia usada, um equipamento conectado à rede, seja um computador, dispositivo móvel,

Leia mais

PROPOSTA DE PLANO DE ADMINISTRAÇÃO DE CRISE PARA A FACSENAC: APLICAÇÃO DOS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO DO COBIT 4.

PROPOSTA DE PLANO DE ADMINISTRAÇÃO DE CRISE PARA A FACSENAC: APLICAÇÃO DOS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO DO COBIT 4. PROPOSTA DE PLANO DE ADMINISTRAÇÃO DE CRISE PARA A FACSENAC: APLICAÇÃO DOS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO DO COBIT 4.1 E DO ITIL V3 Raphael Baptista de Oliveira, Rodrigo Terra de Figueiredo, Verandir

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

Soluções em Mobilidade

Soluções em Mobilidade Soluções em Mobilidade Soluções em Mobilidade Desafios das empresas no que se refere a mobilidade em TI Acesso aos dados e recursos de TI da empresa estando fora do escritório, em qualquer lugar conectado

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Segurança em Redes Sem Fio

Segurança em Redes Sem Fio Segurança em Redes Sem Fio Nós finalmente podemos dizer que as redes sem fio se tornaram padrão para a conexão de computadores. Placas de rede sem fio já são um acessório padrão nos notebooks há algum

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Superior Tribunal de Justiça

Superior Tribunal de Justiça Superior Tribunal de Justiça RESOLUÇÃO STJ/GP N. 11 DE 12 DE NOVEMBRO DE 2015. Institui a política de segurança da informação do Superior Tribunal de Justiça e dá outras providências. O PRESIDENTE DO SUPERIOR

Leia mais

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC 1. INTRODUÇÃO A informação é o elemento básico para que a evolução

Leia mais

SIG - Sistemas de Informações Gerenciais. Segurança da Informação

SIG - Sistemas de Informações Gerenciais. Segurança da Informação Segurança da Informação Importância da Informação A Informação é considerada atualmente como um dos principais patrimônio de uma organização. Importância da Informação Ela é um ativo que, como qualquer

Leia mais

EXIN Cloud Computing Fundamentos

EXIN Cloud Computing Fundamentos Exame Simulado EXIN Cloud Computing Fundamentos Edição Maio 2013 Copyright 2013 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

BANCO POSTAL - Plataforma Tecnológica

BANCO POSTAL - Plataforma Tecnológica BANCO POSTAL - Plataforma Tecnológica 1. Arquitetura da Aplicação 1.1. O Banco Postal utiliza uma arquitetura cliente/servidor WEB em n camadas: 1.1.1. Camada de Apresentação estações de atendimento, nas

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

O Módulo Risk Manager fornece workflow para tratamento dos riscos identificados nas avaliações e priorização das ações.

O Módulo Risk Manager fornece workflow para tratamento dos riscos identificados nas avaliações e priorização das ações. GRC - Governança, Riscos e Compliance já é uma realidade nas organizações. Sua adoção, no entanto, implica no desenvolvimento e na manutenção de um framework que viabilize a integração e colaboração entre

Leia mais

Ameaças a ativos da FacSenac: Controles conforme a ISO/IEC 27002

Ameaças a ativos da FacSenac: Controles conforme a ISO/IEC 27002 !" Ameaças a ativos da FacSenac: Controles conforme a ISO/IEC 27002 Amaury Júnior, Cleycione Carlos, Diego Neves, Guacyrena Perez, Jaqueline Pimentel, Sthefany Macedo e Edilberto Silva Pós-Graduação em

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Classificação da informação A classificação contribui para a manutenção da informação! Decreto Federal nº 4.553/2002: São considerados

Leia mais

Missão Visão Valores Dedicação aos clientes Foco nos resultados Alto padrão de integridade

Missão Visão Valores Dedicação aos clientes Foco nos resultados Alto padrão de integridade 2014 APRESENTAÇÃO DA EMPRESA QUEM SOMOS Missão Nossa missão é fornecer consultoria especializada e solução inteligente para nossos clientes. Levando satisfação e confiança, gerando assim, uma parceria

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

Segurança da Informação. Ativos Críticos

Segurança da Informação. Ativos Críticos FACULDADE DE TECNOLOGIA SENAC GOÍAS PROJETO INTEGRADOR Segurança da Informação Ativos Críticos 5º PERÍODO GESTÃO DA TECNOLOGIA DA INFORMAÇÃO GOIÂNIA 2015 1 Johnathas Caetano João Paulo Leocadio Danilo

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Gestão da Segurança da Informação

Gestão da Segurança da Informação Gestão da Segurança da Informação Mercado Empresas levam 200 dias até descobrirem que foram hackeadas Companhias precisam estabelecer uma visão holística de segurança para serem mais ágeis na detecção

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 1 Ambiente de Data Center Os serviços de comunicação em banda larga estão mais

Leia mais

ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO

ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO Art. 1º - A Diretoria de Tecnologia de Informação e Comunicação DTIC da Universidade FEDERAL DO ESTADO DO RIO

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

Soluções em Armazenamento

Soluções em Armazenamento Desafios das empresas no que se refere ao armazenamento de dados Aumento constante do volume de dados armazenados pelas empresas, gerando um desafio para manter os documentos armazenados Necessidade de

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

Cabeamento Estruturado (Parte 2) Prof. Eduardo

Cabeamento Estruturado (Parte 2) Prof. Eduardo Estruturado (Parte 2) Prof. Eduardo Para debater... O que vimos na aula anterior? Montar uma rede doméstica é diferente de montar uma rede local de uns 100 PCs? Na aula anterior trabalhamos com a combinação

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

PORTFÓLIO www.imatec.com.br

PORTFÓLIO www.imatec.com.br História A IMATEC foi estabelecida em 1993 com o objetivo de atuar nos segmentos de microfilmagem, digitalização e guarda de documentos e informações, hoje conta com 300 colaboradores, têm em seu quadro,

Leia mais

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa.

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa. Boas Práticas de Segurança da Informação Regras para proteção de dados de cartões para a pequena e média empresa. Prezado Cliente, A constante evolução da tecnologia está sempre rompendo paradigmas, tornando

Leia mais

MINISTÉRIO DA FAZENDA

MINISTÉRIO DA FAZENDA MINISTÉRIO DA FAZENDA Procuradoria-Geral da Fazenda Nacional PGFN Departamento de Gestão Corporativa - DGC Coordenação-Geral de Tecnologia da Informação - CTI CATÁLOGO DE SERVIÇOS DE TECNOLOGIA Infraestrutura

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Nº de Páginas: 1 / 5 1. OBJETIVOS Os objetivos desta Política de Segurança da Informação são estabelecer orientações gerais de segurança da informação no âmbito da Braslight, fornecendo o apoio conceitual

Leia mais

CONSULTORIA E SERVIÇOS DE INFORMÁTICA

CONSULTORIA E SERVIÇOS DE INFORMÁTICA CONSULTORIA E SERVIÇOS DE INFORMÁTICA Quem Somos A Vital T.I surgiu com apenas um propósito: atender com dedicação nossos clientes. Para nós, cada cliente é especial e procuramos entender toda a dinâmica

Leia mais

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17.

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17. REGULAMENTO INTERNO DO USO E ADMINISTRAÇÃO DOS RECURSOS COMPUTACIONAIS E DA REDE DA FACULDADE PROCESSUS CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Este ato tem como objetivo definir o uso e administração

Leia mais

POLÍTICA DE GESTÃO DE RISCO - PGR

POLÍTICA DE GESTÃO DE RISCO - PGR POLÍTICA DE GESTÃO DE RISCO - PGR DATASUS Maio 2013 Arquivo: Política de Gestão de Riscos Modelo: DOC-PGR Pág.: 1/12 SUMÁRIO 1. APRESENTAÇÃO...3 1.1. Justificativa...3 1.2. Objetivo...3 1.3. Aplicabilidade...4

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

Caso de sucesso. Impacto no Negócio. A Empresa

Caso de sucesso. Impacto no Negócio. A Empresa Escola disponibiliza acesso wireless de qualidade para alunos, funcionários e visitantes, e contribui para um aprendizado cada vez mais dinâmico. Com o objetivo de aperfeiçoar a iniciativa BYOD (Bring

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais