Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Tamanho: px
Começar a partir da página:

Download "Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações"

Transcrição

1 Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações FÁBIO VINÍCIUS SANTOS SOUSA Segurança das Informações Públicas Segurança Cibernética Brasília 2011

2 Fábio Vinícius Santos Sousa Segurança das Informações Públicas Segurança Cibernética Brasília 2011

3 Fábio Vinícius Santos Sousa Segurança das Informações Públicas Segurança Cibernética Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. ME Nasser Youssif Arabi Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Novembro de 2011

4 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/ Fábio Vinícius Santos Sousa. Qualquer parte desta publicação pode ser reproduzida, desde que citada à fonte. Santos Sousa, Fábio Vinícius Segurança das Informações Públicas: Segurança Cibernética / Fábio Vinícius Santos Sousa. Brasília: O autor, p.; Ilustrado; 25 cm. Monografia (especialização) Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, Inclui Bibliografia. 1. Gestão de Riscos de Segurança da Informação e Comunicações. 2. Política de Segurança da Informação. 3. Backup das Informações Públicas. I. Título. CDU

5 Ata de Defesa de Monografia 2 Monografia de Especialização Lato Sensu, defendida sob o título Segurança das Informações Públicas, por Fábio Vinícius Santos Sousa, em 13 de Outubro de 2011, no Auditório do Departamento de Ciência da Computação da UnB, em Brasília - DF, e aprovada pela banca examinadora constituída por: Prof. ME Nasser Youssif Arabi Serviço Federal de Processamento de Dados - SERPRO Orientador <Prof. (se aplicável). Dr/ME/Esp (usar o maior título) Outros Títulos (usar se relevante) Nome do 2º Membro da Banca> <Organização à qual é Vinculado> <Prof. (se aplicável). Dr/ME/Esp (usar o maior título) Outros Títulos (usar se relevante) Nome do Terceiro Membro da Banca> <Organização à qual é Vinculado> Prof. Dr. Jorge Henrique Cabral Fernandes Coordenador do Curso de Especialização em Gestão da Segurança da Informação e Comunicações CEGSIC 2009/2011

6 Dedicatória Dedico este trabalho primeiramente a Deus, pela saúde, fé e perseverança que tem me dado. A Jéssika de Oliveira Cabral Sousa, minha fiel companheira na hora da tribulação. A minha mãe Judite Ana Santos, a quem honro pelo esforço com a qual manteve dois filhos, permitindo-lhes condições de galgar êxito na sociedade letrada. A meus amigos pelo incentivo a busca de novos conhecimentos, a todos os professores e professoras que muito contribuíram para a minha formação, dos quais tenho boas lembranças.

7 Agradecimentos À minha mãe, pelo carinho, dedicação e amor, que sempre me apoiou e me amparou quando se fazia necessário. Ao meu pai, pelo exemplo e amor, que ajudaram em muito a definir o meu caráter, e cujas lembranças estarão sempre na minha memória. À minha esposa, por todo o amor, carinho e compreensão, que muito me incentiva e apóia e que é a luz que me ilumina durante todos os momentos, conduzindo-me da tristeza para a felicidade. À minha família por todo o apoio prestado. Ao meu orientador Nasser Youssif Arabi, cujo apoio, dedicação e objetividade científica foram fatores essenciais para atingir os objetivos propostos. Aos amigos e funcionários do SERPRO Leila Ferreira, Marcus Aurélio Marcão, Rogério Oliveira, Lucídio Alves, Maurício Mazzoni, Maximiliano Preste Max, Alfredo Tristão e Rildo Alves Rildão por toda dedicação, empenho profissional e pela excepcional amizade. À empresa SERPRO que gentilmente aprovou o projeto inicial, possibilitando a execução deste trabalho.

8 - aquele que conhece o inimigo e a si mesmo, lutará cem batalhas sem perigo de derrota; - para aquele que não conhece o inimigo, mas conhece a si mesmo, as chances para a vitória ou para a derrota serão iguais; - aquele que não conhece nem o inimigo e nem a si próprio, será derrotado em todas as batalhas. Sun Tzu, em A Arte da Guerra.

9 Lista de Figuras 3 Figura 1: IBM TSM administração de backup, site da IBM Figura 2: Monitoramento e gerenciamento do ambiente. Extraído da aula de Segurança da Informação, Prof. Mauro Sobrinho Unieuro/Brasília, Figura 3: Topologia da Rede de Backup SERPRO/REGIONAL/BRASÍLIA. Equipe de suporte de backup/fornecedores dos hardwares (ORACLE/IBM)

10 Lista de Tabelas e Gráficos 4 Gráfico 1 Incidente de Segurança reportados ao CERT.br Gráfico 2 Principais obstáculos para implementação da segurança. Extraído da aula de Segurança da Informação, Prof. Mauro Sobrinho Unieuro/Brasília, Tabela 1 - Atividades do Projeto de Pesquisa... 27

11 Sumário Ata de Defesa de Monografia... 3 Dedicatória... 4 Agradecimentos... 5 Lista de Figuras... 7 Lista de Tabelas e Gráficos... 8 Sumário... 9 Resumo Abstract Delimitação do Problema Introdução Formulação da situação problema (Questões de pesquisa) Objetivos e escopo Objetivo Geral Objetivos Específicos Escopo Justificativa Hipóteses Hipótese sobre sistemas Hipótese sobre política de backup Revisão de Literatura e Fundamentos Backup Recuperação a Desastre... 19

12 2.3 Incidentes de Segurança Argumentos do Pesquisador Gestão da Segurança Política de Segurança Metodologia Resultados Discussão Conclusões Referências e Fontes Consultadas... 32

13 Resumo A presente pesquisa aborda as implicações da Gestão da Segurança da Informação em uma organização, descrevendo como as integrações entre pessoas, processos e tecnologia podem garantir principalmente Confidencialidade, Integridade e Disponibilidade da Informação. Este projeto de pesquisa vem apresentar os problemas na Gestão de Riscos de Segurança da Informação e Comunicações, com ênfase no Backup das Informações Públicas na maior empresa de Tecnologia da Informação e Comunicação TIC, da América Latina, o Serviço Federal de Processamento de Dados - SERPRO e quais medidas devem ser tomadas para minimizar os riscos quando houver desastres. Justifica-se a realização de trabalho investigando a seguinte pergunta de pesquisa: o que fazer quando se perde o dado armazenado, e o que pode ser feito para minimizar os riscos de perda? Será apresentado um ambiente virtual de armazenamento de dados - STORAGE, onde será simulada a perda de dados públicos irrecuperáveis e as medidas adotadas para evitar e minimizar tais perdas.

14 Abstract This paper discusses the implications of the Management of Information Security in an organization, describing how the integration between people, processes and technology can ensure mainly Confidentiality, Integrity and Availability of Information. This research project is to present the issues in Risk Management Information Security and Communications, with emphasis on Public Information in the Backup largest Information and Communication Technology - ICT, Latin America, the Federal Data Processing - SERPRO and what measures should be taken to minimize risks when there are disasters. It is justified to carry out work investigating the following research question: what to do when you lose the stored data and what can be done to minimize the risk of loss? We will present a virtual environment for data storage - STORAGE, which will simulate the loss of public data unrecoverable and the measures taken to prevent and minimize such losses.

15 13 1 Delimitação do Problema 1.1 Introdução Durante as primeiras décadas de sua existência, as redes de computadores foram principalmente usadas por pesquisadores universitários, para enviar mensagens de correio eletrônico e por funcionários de empresas, para compartilhar impressoras. Sob essas condições, a segurança nunca precisou de maiores cuidados. Mas atualmente, como milhões de cidadãos comuns estão usando as redes para executar operações que transitam informações bem mais valiosas, tornase necessária a utilização de ferramentas de autenticação, autorização e manutenção da privacidade/sigilo na transmissão e armazenamento de informações. Porém, todo sistema é tão forte quanto seu elo mais fraco, e de acordo com algumas pesquisas feitas em ambientes computacionais (SERPRO/Regional - Brasília), as causas mais freqüentes de acesso não autorizado, perda de dados ou pane nos sistemas informatizados estão ligados a erros, omissões, sabotagem, extorsão, invasões criminosas provocadas por pessoas da própria organização, acidentes ambientais (incêndios, enchentes, sobrecarga elétrica, corte de energia), falhas de hardware e software e os invasores externos aparecem em segundo plano. Pode parecer um contrassenso para alguns, mas o maior risco para os sistemas de Tecnologia da informação (Ti) não são os invasores externos, mas sim os internos. Sim, o maior perigo vem de dentro da própria empresa. Há casos de invasores que se valem da chamada engenharia social, que consiste do mais antigo truque para enganar alguém: vale-se da boa vontade do usuário. Por isso é comum aquele que pede para clicar em algum link para abrir uma foto ou documento, mas que na verdade abre as portas do computador ao invasor. Para este perigo não bastam apenas os programas antivírus ou proteções contra invasões, mas sim a instrução de todos os funcionários para que saibam como agir nestes casos.

16 14 Existe também outro risco. Muitas informações consideradas sigilosas estão ao alcance de qualquer funcionário, deixando à possibilidade que tais dados sejam usados de forma indevida, até mesmo as informações necessárias para o colaborador exercer as suas funções podem ser utilizadas dessa forma. Por isso, é necessário que o empresário invista em uma boa análise de risco para que possa identificar as informações consideradas sigilosas, quem as acessa, qual a ferramenta que existe para identificar estes acessos e mensurar o impacto do roubo da informação. Este projeto de pesquisa vem apresentar os problemas na Gestão de Riscos de Segurança da Informação e Comunicações, com ênfase no backup das informações públicas na maior empresa de Tecnologia da Informação e Comunicação TIC, da América Latina, o Serviço Federal de Processamento de Dados - SERPRO. Gestão de Riscos de Segurança da Informação e Comunicações conjunto de processos que permite identificar e implementar as medidas e proteções necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos, extraído da Internet. A questão da segurança passou a integrar a legislação brasileira por meio do decreto nº3505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal, de acordo com o José Bonifácio de Andrada, Subchefe para assuntos jurídicos da Casa Civil, o governo criou uma definição para segurança da informação, primeiro passo para que o assunto passasse a ser elaborado e colocado em pauta. Segurança da Informação é a proteção dos sistemas de informação contra a negação de serviços a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computadores, assim como as áreas destinadas a prevenir, detectar, deter e documentar eventuais ameaça a seu desenvolvimento.

17 Formulação da situação problema (Questões de pesquisa) Justifica-se a realização de trabalho investigando a seguinte pergunta de pesquisa: o que fazer quando se perde o dado armazenado, e o que pode ser feito para minimizar os riscos de perda? Será apresentado um ambiente virtual de armazenamento de dados - STORAGE, onde será simulada a perda de dados públicos irrecuperáveis e as medidas adotadas para evitar e minimizar tais perdas. 1.3 Objetivos e escopo Objetivo Geral Este projeto de pesquisa tem como objetivo geral, apresentar os problemas na Gestão de Riscos de Segurança da Informação e Comunicações, com ênfase no backup das informações públicas na maior empresa de Tecnologia da Informação e Comunicação TIC, da América Latina, o Serviço Federal de Processamento de Dados - SERPRO Objetivos Específicos Explanar o ambiente virtual de backup do SERPRO em Brasília Escopo Esse projeto de pesquisa tem como escopo a área de suporte do SERPRO/Brasília, responsável pelo armazenamento das informações públicas federais, o backup. Será simulada a perda de dados e a sua recuperação (restore). 1.4 Justificativa Abordar as práticas da Política de Segurança da Informação do SERPRO, para uma melhor organização e execução de rotinas do armazenamento das informações públicas como a sua recuperação no ambiente digital. Embora medidas sejam tomadas no intuito de promover segurança da informação, a questão será sempre muito mais complexa do que parece. A grande maioria das pessoas acredita que o uso de um sistema simples qualquer, bastará para garantir a sua segurança. Até empresas renomadas não têm sido eficazes no que diz respeito a segurança que oferecem aos usuários dos seus produtos. Fatos como esse causam grande preocupação nas gestões de T.I., que sempre buscam assegurar a proteção da informação. São muitos os casos de vazamento de informações ocorridas no âmbito das empresas privadas e até mesmo

18 16 da administração pública federal, e problemas como esse causam grandes prejuízos e comprometem a credibilidade das instituições. A Administração Pública Brasileira vem passando por um processo de aperfeiçoamento, procurando adaptar-se às tendências mundiais. Isso tem levado as entidades públicas a realizarem investimentos relevantes em tecnologias da informação como um componente de transparência para as ações governamentais e como sustentáculo para a tomada de decisões pelos gestores públicos. Entretanto, esse ambiente informatizado requer controles internos mais rigorosos, para os quais novos pontos de controle e técnicas próprias de Auditoria de Sistemas são cogentes para assegurar a integridade e segurança dos dados que trafegam pelos sistemas. 1.5 Hipóteses As duas hipóteses apresentadas são comprovadas mediante a experiência em trabalhar com TI e relatos de colegas trabalho, com base em pesquisa de campo na Regional SERPRO Brasília no ano de Hipótese sobre sistemas Um fato observado é que não há um sistema de TI 100% seguro e inviolável, não importando sua modelagem, simulação, testes, pois a teoria vai divergir da prática em algum momento. Por utilizarmos ativos humanos em nossos sistemas estaremos vulneráveis a falhas humanas, mesmo que o sistema apresente um histórico de não ocorrer falhas físicas e lógicas Hipótese sobre política de backup A política é elaborada considerando-se o ambiente em que se está trabalhando, como a tecnologia da segurança da informação, para que os critérios estabelecidos estejam de acordo com as práticas internas mais recomendadas da organização e com as práticas de segurança atualmente adotadas a fim de buscar uma conformidade maior com critérios atualizados e reconhecidos em todo o mundo. A melhor forma de minimizar a ocorrência de um desastre no armazenamento de dados é protegendo os seus ativos, uma boa forma para isso é o backup, que consiste na replicação dos dados armazenados.

19 17 Há existência de um plano de recuperação dos dados também é importante, assim como manter mais de um backup em lugares diferentes o que aumenta a segurança da informação. Capacitar de forma técnica às pessoas que vão manipular os dados do backup, e ter uma política de mais de uma pessoa para realizar qualquer procedimento de alto risco nos dados armazenados.

20 18 2 Revisão de Literatura e Fundamentos 2.1 Backup Atualmente muito se fala em backup, como também toda e qualquer empresa faz (ou tenta fazer) backup de seus dados. A metodologia e os conceitos sobre backup encontram-se dispersos em diversos livros que tratam de segurança da informação, além de inúmeros sites da Internet também abordarem tal tema. Em informática, cópia de segurança (em inglês: backup) é a cópia de dados de um dispositivo de armazenamento a outro para que possa ser restaurado em caso da perda dos dados originais, o que pode envolver apagamentos acidentais ou corrupção de dados. Cópias de segurança são geralmente confundidas com arquivos e sistemas tolerantes a falhas. Diferem de arquivos, pois enquanto arquivos são cópias primárias dos dados, cópias de segurança são cópias secundárias dos dados. Diferem de sistemas tolerantes a falhas, pois cópias de segurança assumem que a falha causará a perda dos dados, enquanto sistemas tolerantes a falhas assumem que a falha não causará. Na eventualidade de ocorrência de incidente, os dados devem ser repostos, recorrendo então à informação armazenada na cópia de segurança. A recuperação dos dados deverá ser efetuada rapidamente e de forma eficiente, para que os serviços não se encontrem inativos por muito tempo. A prioridade da reposição dos dados deve ser estabelecida, conforme as necessidades da organização. Existem ferramentas que auxiliam nessa administração do backup. No SERPRO uma das ferramentas utilizadas é o TSM da IBM, na figura abaixa vê-se a sua utilização.

21 19 Figura 1: IBM TSM administração de backup, site da IBM. Na tela observam-se quatro ícones principais, backup, archive, restore e retrieve. O backup é responsável pelas cópias dos arquivos do servidor de armazenamento prevenindo a perda dos dados. Esse backup possui políticas de retenção diferenciadas para cada tipo de serviço, exemplo: diário com 35 versões, mensal com 12 versões. O archive é para cópias de longa retenção como o anual com 5 versões. Restore e retrieve são as recuperações dos dados do backup e archive respectivamente do servidor de armazenamento. 2.2 Recuperação a Desastre Disaster Recovery: O plano de recuperação de desastres é composto por cenários e procedimentos para recuperação de ativos, quando ocorrer uma falha devido a alguma inconsistência ocorrida em virtude de ameaças como incêndio, enchente, vandalismo, sabotagem ou falhas de tecnologia. É conhecido como DRP - Disaster Recovery Plan, os planos normalmente são desenvolvidos pelos gestores de ativos, muitas vezes por exigências de regulamentações internacionais como a lei Sarbanes-Oxley, Bacen 3380, ISO 27000, ou devido a exigências de acionistas ou do próprio negócio. Geralmente é composto de três fases:

22 20 * Programa de Administração de Crise Plano desenvolvido em conjunto, com definição de atividade, pessoas, dados lógicos e físicos. * Plano de Continuidade Operacional Possui diretivas do que fazer em cada operação em caso de desastres. * Plano de Recuperação de Desastres É a aplicação na prática do plano de continuidade operacional. A seguir está uma lista das estratégias mais comuns para a proteção de dados: * Backup feito em fita e enviado para fora do local em intervalos regulares. * Backup feito para o disco no local e automaticamente copiado para o disco fora do local, ou feitas diretamente para o disco fora do local. * A replicação de dados de um local para outro, que supera a necessidade de restaurar os dados (apenas os sistemas, então precisam ser restauradas ou sincronizadas). Isso geralmente faz uso de tecnologia de rede de armazenamento Storage Agent Network - SAN. * A alta disponibilidade dos sistemas que mantêm tanto os dados e sistema replicado fora do local, permitindo o acesso contínuo aos dados e sistemas. Em muitos casos, a organização poderá optar por usar um provedor terceirizado de recuperação de desastres para fornecer um stand-by site e sistemas ao invés de usar suas próprias instalações remotas. Além de preparar para a necessidade de recuperar os sistemas, as organizações também devem implementar medidas preventivas com o objetivo de evitar uma catástrofe, em primeiro lugar. Estes podem incluir alguns dos seguintes: * Espelho Local de sistemas e / ou dados e utilização de tecnologia de proteção de disco, como o RAID. * Proteção contra às sobre tensões - para minimizar o efeito de picos de energia de um equipamento eletrônico delicado. * Fonte de alimentação ininterrupta (UPS) e / ou gerador de reserva para manter os sistemas de ir, no evento de uma falha de energia. * Prevenção contra incêndios - alarmes, extintores de incêndio. * O software antivírus e outras medidas de segurança.

23 Incidentes de Segurança Um fato observado é que não há um sistema de TI 100% seguro e inviolável, não importando sua modelagem, simulação, testes, pois a teoria vai divergir da prática em algum momento. Por utilizarmos ativos humanos em nossos sistemas estaremos vulneráveis a falhas humanas, mesmo que o sistema apresente um histórico de não ocorrer falhas físicas e lógicas. Segundo pesquisa feita no site do CERT.br, um estudo realizado recentemente pela Universidade do Texas, apenas 6% das empresas que sofrem um desastre informático sobrevive. Os demais 94% desaparecem, mais cedo ou mais tarde. Atualmente, pesquisas do Gartner Group, ainda que mais moderadas, confirmam essa tendência ao indicar que duas de cada cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir, segundo o seu site na web (gartner.com). Gráfico 1 Incidente de Segurança reportados ao CERT.br

24 22 Conforme o gráfico acima do CERT.br, podemos verificar o crescimento por ano dos incidentes de segurança reportados nessa instituição, mostrando a importância de termos um bom sistema de segurança, o que inclui o backup dos dados armazenados. 2.4 Argumentos do Pesquisador Uma política de segurança bem implantada é aquela que reflete os objetivos de negócio da empresa. Para conseguir realizar uma implantação da política de segurança bemsucedida, é necessário ter o apoio da alta direção da empresa e criar nela uma consciência a respeito. A política de segurança pode compreender uma grande variedade de escopos dentro da empresa, e eles são escolhidos com base na importância de cada um deles para os negócios da mesma. Não basta conhecer as fragilidades do ambiente ou ter uma política de segurança por escrito. Devem-se instalar ferramentas, divulgar regras, conscientizar os usuários sobre o valor das informações, configurar os ambientes, escolher e implementar cada medida de proteção para contribuir com a redução das vulnerabilidades.

25 Gestão da Segurança Figura 2: Monitoramento e gerenciamento do ambiente. Extraído da aula de Segurança da Informação, Prof. Mauro Sobrinho Unieuro/Brasília, A administração de um ambiente seguro envolve todo um ciclo de macro atividades, conforme mostra a figura à cima. A primeira fase desse ciclo é a análise de riscos, onde se conhece o ambiente e o que se deve implementar. É necessário monitorar os ativos, desde a medição constante de indicadores que mostrem quão eficazes são as medidas adotadas e o que é necessário alterar. A partir da leitura desses indicadores, é feita outra análise de risco e começa o ciclo novamente. O sucesso de uma implementação de segurança somente é alcançado buscando- se a administração eficaz de todo o ciclo. 2.6 Política de Segurança Quando a política de segurança é utilizada de forma correta, podemos dizer que traz algumas vantagens como:

26 24 Permite definir controles em sistemas informáticos. Permite estabelecer os direitos de acesso com base nas funções de cada pessoa. Permite a orientação dos usuários em relação à disciplina necessária para evitar violações de segurança. Estabelece exigências que pretendem evitar que a organização seja prejudicada em casos de quebra de segurança. Permite a realização de investigações de delitos nos computadores. É o primeiro passo para transformar a segurança em um esforço comum. Conforme o gráfico abaixo os obstáculos à implementação da segurança pode vim de diversas maneiras, como a falta de ferramentas atualizadas e prontas para gerir o seu negócio, falta de apoio especializado, RH, orçamento e consciência voltado ao ativo humano. Gráfico 2 Principais obstáculos para implementação da segurança. Extraído da aula de Segurança da Informação, Prof. Mauro Sobrinho Unieuro/Brasília, Pelo fato de os recursos humanos serem o elo mais fraco das organizações em questões relacionadas à segurança da informação, uma vez que não correspondem diretamente a área essencialmente técnica, faz-se necessária, dentro de uma política de segurança da informação, a adoção de medidas voltadas para o treinamento, capacitação de RH, apresentação de seminários, palestras que foquem à importância com que deve ser tratado o fator humano na TI. Levando-se em

27 25 consideração que dificilmente a engenharia social será erradicada, essas medidas, certamente, farão com que vulnerabilidades relacionadas à engenharia social sejam minimizadas no âmbito das organizações.

28 26 3 Metodologia Uma pesquisa é um processo sistemático de construção do conhecimento que tem como metas principais gerar novos conhecimentos e/ou corroborar ou refutar algum conhecimento pré-existente. É basicamente um processo de aprendizagem tanto do indivíduo que a realiza quanto da sociedade na qual esta se desenvolve. A pesquisa acadêmica é realizada no âmbito da academia (universidade, faculdade ou outra instituição de ensino superior), conduzida por pesquisadores que, via de regra, são professores e/ou estudantes universitários. A pesquisa acadêmica é um dos três pilares da atividade universitária, junto com o ensino e a extensão universitária, visando a produzir conhecimento especificamente para uma disciplina acadêmica pré-existente. Visa relacionar os aspectos objetivos e subjetivos da realidade que envolve o objeto a ser pesquisado. A pesquisa foi feita utilizando o Método de Estudo de Caso Avaliativo/Analítico, similar ao realizado durante as disciplinas do CEGSIC 2009/2011, envolvendo, Análise ou Avaliação de um tópico. Será apresentado um ambiente virtual de armazenamento de dados, onde será simuladas a perda de dados irrecuperáveis e as medidas adotadas para evitar e minimizar tais perdas. Houve pesquisa encima dessa temática na Internet, assim como estudo de casos. Abaixo temos em detalhes a tabela de atividades do projeto de pesquisa, realizada no decorrer do curso.

29 27 COLETA LOCAL DATA HORÁRIO OBSERVAÇÃO SERPRO/REGIONAL/BRASÍLIA 07/09-09/10 08:00h-18:00h PESQ. BIBLIO. SÍTIOS WEBS 07/09-09/10 20:00h-22:00h OBSERVAÇÃO SERPRO/REGIONAL/BRASÍLIA 03/11-05/11 08:00h-18:00h PESQ. BIBLIO. SÍTIOS WEBS 03/11-05/11 20:00h-22:00h Tabela 1 - Atividades do Projeto de Pesquisa Tópicos da Pesquisa: Vulnerabilidades de sistemas Controles de segurança Prestígio do gestor Sistemas em operação Visitantes dos sistemas (sítios web) Disponibilidade de sistemas Ataques sofridos pelos sistemas Custos (investimentos e despesas) realizados pelo gestor Utilizou-se a intranet do SERPRO, sítios webs, entrevista a funcionário que utilizam o sistema de backup TSM (IBM Tivoli Storage Manager) e as logs do sistema. Ambiente Organizacional: Como pode ocorrer o desastre? Quais medidas são adotadas nesse caso? Quais os efeitos para a empresa nesses casos? Sítios Webs: Disaster recovery: Medidas adotadas pelas grandes empresas de armazenamentos de dados em caso de desastre. Foi discutido com alguns colegas de trabalho e perguntado se já houve casos como esses e o que foi feito. Pergunta: O que fazer quando se perde o dado armazenado, e o que pode ser feito para minimizar os riscos de perda?

30 28 4 Resultados 4.1 Backup e Restore de Dados no SERPRO: Todo o servidor que possui um contrato de retenção de dados com o SERPRO, tem o seu backup conforme sua política de retenção armazenados em nossos robôs de fitas e virtualizadores da plataforma open. Assim quando necessário à restauração de qualquer dado pode ser efetuado com um simples comando no cliente, utilizando a ferramenta de backup da IBM o TSM. Devido ao constante crescimento das demandas de armazenamento para Backup, da plataforma Open-System da Regional Brasília; foi necessário rever a estratégia de implementação, avaliando também os impactos no ambiente e na forma de implementação. Foram avaliados em conjunto com o fornecedor da aplicação de Backup Tivoli Storage Manager os modelos propostos pelo SERPRO, e nele feito as alterações e melhorias que se adaptam ao ambiente atual, e visando o máximo de aproveitamento da solução, tanto quanto possível e prevendo questões de longo prazo nos cenários do ambiente. Impactos da implementação nas aplicações de backup e processos. Entretanto, alguns fatores não possibilitam uma maior flexibilidade, quando se trata os temas dimensionamento, recursos, provisionamento, implementação paralela com o ambiente atual, restrições com outras implementações tais como ambiente cluster, que requer sincronia entre dois servidores distintos e melhores práticas para adequação em tempo hábil das soluções de armazenamento. Na figura 3, foi definida a utilização de um Virtual Tape Library VTL, site primário para produção dos backups de curta retenção utilizando uma área de 45 TB para armazenamento, duas libraries virtuais, 20 drives com 455 volumes virtuais de

31 GB cada. No site secundário tem a replicação dos dados produzidos no site primário. Quando as SL8500 (robô de armazenamento de fitas magnéticas) seriam utilizadas para backups de longa retenção e teria no site primário a produção e secundário as copias, além de oferecer os POOLS de Library Overflow para os VTL. Para as instâncias de produção de backup diário de curta retenção, a definição foi feita utilizando um node de VTL para cada instância. Com isso definiu-se inicialmente uma library para cada instancias e 10 drives virtuais. As SL8500 seguiam o mesmo modelo, mas seriam os pontos finais de armazenamento. Figura 3: Topologia da Rede de Backup SERPRO/REGIONAL/BRASÍLIA. Equipe de suporte de backup/fornecedores dos hardwares (ORACLE/IBM). No SERPRO há três políticas de backup: diário 35, mensal 12 e anual 5. Diário 35 será armazenado trinta e cinco versões do backup diário desse servidor. Mensal 12, doze versões mensais desse servidor e anual 5, cinco versões de archive full (backup completo).

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM. Orientações Preliminares

BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM. Orientações Preliminares BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM ALEX DELGADO GONÇALVES CASAÑAS BSI005 BSI 04NA/NOTURNO 4 Orientações Preliminares O plano de ensino é um documento didático-pedagógico

Leia mais

Soluções em Armazenamento

Soluções em Armazenamento Desafios das empresas no que se refere ao armazenamento de dados Aumento constante do volume de dados armazenados pelas empresas, gerando um desafio para manter os documentos armazenados Necessidade de

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Versão 1.6 15/08/2013 Visão Resumida Data Criação 15/08/2013 Versão Documento 1.6 Projeto Responsáveis

Leia mais

Ricardo Scheurer Sonda Supermercado

Ricardo Scheurer Sonda Supermercado Tema: Apresentador: Plano Diretor de Tecnologia da Informação Ricardo Scheurer Sonda Supermercado Objetivo desta palestra será resolver as seguintes questões: Porque fazer um PDTI? Quais os benefícios

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

COORDENAÇÃO DE TECNOLOGIA (COTEC) ABRIL/2011

COORDENAÇÃO DE TECNOLOGIA (COTEC) ABRIL/2011 SERVIÇOS BÁSICOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO COORDENAÇÃO DE TECNOLOGIA (COTEC) ABRIL/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cotec@ifbaiano.edu.br

Leia mais

FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS.

FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS. FERNANDO BRACALENTE GESTÃO DE SEGURANÇA DA INFORMAÇÃO EM REDE CORPORATIVA LOCAL ANALISANDO VULNERABILIDADES TÉCNICAS E HUMANAS. Trabalho apresentado à Faculdade de Vinhedo para a obtenção do grau de Bacharel

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

Plano de Segurança da Informação

Plano de Segurança da Informação Governança de Tecnologia da Informação LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Marcelo Faustino Sumário 1. OBJETIVO... 2 2. DESCRIÇÃO DO SERVIÇO... 2 3. ETAPAS

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Gestão de SI- seção 4.4 Gestão da segurança da informação 1 Segurança Dados e informações devem estar bem guardadas e cuidadas Vulnerabilidades (externa e interna) Acesso sem autorização

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

III. Norma Geral de Segurança da Informação para Uso da Internet

III. Norma Geral de Segurança da Informação para Uso da Internet O B J E CT I V O Estabelecer critérios para acesso à Internet utilizando recursos do Projecto Portal do Governo de Angola. Orientar os Utilizadores sobre as competências, o uso e responsabilidades associadas

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Portaria nº 111, de 23 de janeiro de 2014.

Portaria nº 111, de 23 de janeiro de 2014. PODER JUDICIÁRIO JUSTIÇA DO TRABALHO TRIBUNAL REGIONAL DO TRABALHO DA 14ª REGIÃO Portaria nº 111, de 23 de janeiro de 2014. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 14ª REGIÃO, no uso de suas atribuições

Leia mais

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários. $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &RQWUROHVVREUHEDQFRGHGDGRVH PLFURFRPSXWDGRUHV

Leia mais

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC NUCLEO CONSULTORIA EM SEGURANÇA Artigo SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO BRASIL, São Paulo Novembro, 2013 V.1.0 1. RESUMO Este artigo apresenta

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade...

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Reduzir custo de TI; Identificar lentidões no ambiente de TI Identificar problemas de performance

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações A importância da Alta Administração na Segurança da Informação e Comunicações Agenda O Problema; Legislação; Quem somos; O que fazer. O problema A informação: é crucial para APF é acessada por pessoas

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Política de Uso e Segurança dos Recursos de TI

Política de Uso e Segurança dos Recursos de TI 1 Política de Uso e Segurança dos Recursos de TI Conceitos Desenvolvimento da Informática no Brasil Por que ter segurança? Principais Vulnerabilidades Principais Ameaças às Informações Exemplos de Problemas

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Informação é o seu bem mais precioso e você não pode correr riscos de perder dados importantes. Por isso, oferecemos um serviço de qualidade e

Informação é o seu bem mais precioso e você não pode correr riscos de perder dados importantes. Por isso, oferecemos um serviço de qualidade e Informação é o seu bem mais precioso e você não pode correr riscos de perder dados importantes. Por isso, oferecemos um serviço de qualidade e confiança que vai garantir maior eficiência e segurança para

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

MANUAL DA QUALIDADE MQ SGQ 01-10

MANUAL DA QUALIDADE MQ SGQ 01-10 SUMÁRIO: Apresentação da ACEP 2 Missão da Empresa 3 Escopo e Justificativas de Exclusão 4 Comprometimento da Direção 5 Política da Qualidade 7 Objetivos de Qualidade 7 Fluxo de Processos 8 Organograma

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005 II Semana de Informática - CEUNSP Segurança da Informação Novembro/2005 1 Objetivo Apresentar os principais conceitos sobre Segurança da Informação Foco não é técnico Indicar onde conseguir informações

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Conteúdo. Políticas de Backup 4/22/2009. pia de segurança. Políticas de Backup 1. Introdução O que é backup/cópia

Conteúdo. Políticas de Backup 4/22/2009. pia de segurança. Políticas de Backup 1. Introdução O que é backup/cópia Políticas de Backup FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Conteúdo Introdução O que é backup/cópia

Leia mais

EXIN Cloud Computing Fundamentos

EXIN Cloud Computing Fundamentos Exame Simulado EXIN Cloud Computing Fundamentos Edição Maio 2013 Copyright 2013 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor Gestão e Governança de TI Modelo de Governança em TI Prof. Marcel Santos Silva PMI (2013), a gestão de portfólio é: uma coleção de projetos e/ou programas e outros trabalhos que são agrupados para facilitar

Leia mais

Manual do Sistema de Gestão Ambiental - Instant Solutions. Manual do Sistema de Gestão Ambiental da empresa

Manual do Sistema de Gestão Ambiental - Instant Solutions. Manual do Sistema de Gestão Ambiental da empresa Manual do Sistema de Gestão Ambiental da empresa Data da Criação: 09/11/2012 Dara de revisão: 18/12/2012 1 - Sumário - 1. A Instant Solutions... 3 1.1. Perfil da empresa... 3 1.2. Responsabilidade ambiental...

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

Segurança da Informação

Segurança da Informação Em parceria com: Segurança da Informação Sua organização se preocupa em proteger as informações? Informação X Segurança DO QUE proteger as informações? ENTENDENDO A AMEAÇA Existem mais de 26.000 produtos

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

GERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação e Comunicações Núcleo de Segurança da Informação Código: NO06 Revisão: 0.0 Vigência:

Leia mais

Departamento de Dermatologia da Universidade Federal de São Paulo Núcleo detecnologia da Informação (NUTI)

Departamento de Dermatologia da Universidade Federal de São Paulo Núcleo detecnologia da Informação (NUTI) Departamento de Dermatologia da Universidade Federal de São Paulo Núcleo detecnologia da Informação (NUTI) Coordenador: Paulo Celso Budri Freire Aprovada pelo Conselho do Departamento de Dermatologia da

Leia mais

ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO

ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO Art. 1º - A Diretoria de Tecnologia de Informação e Comunicação DTIC da Universidade FEDERAL DO ESTADO DO RIO

Leia mais

Soluções Inteligentes para regulamentações e negócios em aplicações SAP

Soluções Inteligentes para regulamentações e negócios em aplicações SAP Soluções Inteligentes para regulamentações e negócios em aplicações SAP Uma nova visão no Gerenciamento da Aplicação INDICE 1. A Union IT... 3 2. A importância de gerenciar dinamicamente infra-estrutura,

Leia mais

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos.

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos. ITIL V3 Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender o gerenciamento de riscos. Porquê Governança? Porque suas ações e seus requisitos

Leia mais

IBM System Storage. Projeta suas informações de negócios importantes com soluções de segurança de informações da IBM

IBM System Storage. Projeta suas informações de negócios importantes com soluções de segurança de informações da IBM IBM System Storage Projeta suas informações de negócios importantes com soluções de segurança de informações da IBM As organizações sempre se esforçaram para gerenciar o crescimento exponencial de informações

Leia mais

A consolidação de servidores traz uma séria de vantagens, como por exemplo:

A consolidação de servidores traz uma séria de vantagens, como por exemplo: INFRAESTRUTURA Para que as empresas alcancem os seus objetivos de negócio, torna-se cada vez mais preponderante o papel da área de tecnologia da informação (TI). Desempenho e disponibilidade são importantes

Leia mais

Processos Técnicos - Aulas 4 e 5

Processos Técnicos - Aulas 4 e 5 Processos Técnicos - Aulas 4 e 5 Trabalho / PEM Tema: Frameworks Públicos Grupo: equipe do TCC Entrega: versão digital, 1ª semana de Abril (de 31/03 a 04/04), no e-mail do professor (rodrigues.yuri@yahoo.com.br)

Leia mais

Cloud Computing: Quando a nuvem pode ser um risco para o negócio. Marco Lima aka Mago Enterprise Technology Specialist

Cloud Computing: Quando a nuvem pode ser um risco para o negócio. Marco Lima aka Mago Enterprise Technology Specialist Cloud Computing: Quando a nuvem pode ser um risco para o negócio Marco Lima aka Mago Enterprise Technology Specialist 05 De onde vem o termo nuvem? Business Servidores SAN WAN SAN LANs Roteador NAS Switch

Leia mais

Contrato de Suporte End.: Telefones:

Contrato de Suporte End.: Telefones: Contrato de Suporte Contrato de Suporte Desafios das empresas no que se refere à infraestrutura de TI Possuir uma infraestrutura de TI que atenda as necessidades da empresa Obter disponibilidade dos recursos

Leia mais

Soluções em Documentação

Soluções em Documentação Desafios das empresas no que se refere à documentação de infraestrutura de TI Realizar e manter atualizado o inventário de recursos de Hardware e software da empresa, bem como a topologia de rede Possuir

Leia mais

ITIL. Conteúdo. 1. Introdução. 2. Suporte de Serviços. 3. Entrega de Serviços. 4. CobIT X ITIL. 5. Considerações Finais

ITIL. Conteúdo. 1. Introdução. 2. Suporte de Serviços. 3. Entrega de Serviços. 4. CobIT X ITIL. 5. Considerações Finais ITIL Conteúdo 1. Introdução 2. Suporte de Serviços 3. Entrega de Serviços 4. CobIT X ITIL 5. Considerações Finais Introdução Introdução Information Technology Infrastructure Library O ITIL foi desenvolvido,

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Aula 02 ISO 27K Normas para Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 02 ISO 27K Normas para Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 02 ISO 27K Normas para Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes A invencibilidade está na defesa; a possibilidade de vitória no ataque.quem se defende mostra que sua força é

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Ficha técnica do material. Políticas de Backup 1

Ficha técnica do material. Políticas de Backup 1 Ficha técnica do material Autor: Humberto Celeste Innarelli Origem: Apostila Preservação de Documentos Digitais Páginas: 24 a 28 Mês/Ano: 12/2003 Entidade promotora do curso: UNIVERSIDADE ESTADUAL DE CAMPINAS

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

GERENCIAMENTO CENTRALIZADO DELL POWERVAULT DL 2000 BASEADO EM TECNOLOGIA SYMANTEC

GERENCIAMENTO CENTRALIZADO DELL POWERVAULT DL 2000 BASEADO EM TECNOLOGIA SYMANTEC GERENCIAMENTO CENTRALIZADO DELL POWERVAULT DL 2000 BASEADO EM TECNOLOGIA SYMANTEC RESUMO EXECUTIVO O PowerVault DL2000, baseado na tecnologia Symantec Backup Exec, oferece a única solução de backup em

Leia mais

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador Programas Maliciosos 2001 / 1 Segurança de Redes/Márcio d Ávila 182 Vírus de Computador Vírus de computador Código intruso que se anexa a outro programa Ações básicas: propagação e atividade A solução

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ABNT 21:204.01-010 A Política de segurança da informação, na empresa Agiliza Promotora de Vendas, aplica-se a todos os funcionários, prestadores de

Leia mais

Diretoria de Informática

Diretoria de Informática Diretoria de Informática Estratégia Geral de Tecnologias de Informação para 2013-2015 EGTI 2013-2015 Introdução: Este documento indica quais são os objetivos estratégicos da área de TI do IBGE que subsidiam

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais, Dispõe sobre a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais

Leia mais

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI Profa. Gislaine Stachissini Unidade III GOVERNANÇA DE TI Information Technology Infrastructure Library ITIL Criado pelo governo do Reino Unido, tem como objetivo a criação de um guia com as melhores práticas

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Nº de Páginas: 1 / 5 1. OBJETIVOS Os objetivos desta Política de Segurança da Informação são estabelecer orientações gerais de segurança da informação no âmbito da Braslight, fornecendo o apoio conceitual

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI Objetivos Assegurar que os esforços despendidos na área de informática sejam consistentes com as estratégias, políticas e objetivos da organização como um todo; Proporcionar uma estrutura de serviços na

Leia mais

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES V CONGRESSO BRASILEIRO DE METROLOGIA Metrologia para a competitividade em áreas estratégicas 9 a 13 de novembro de 2009. Salvador, Bahia Brasil. ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO

Leia mais