POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A EMPRESA ACME

Tamanho: px
Começar a partir da página:

Download "POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A EMPRESA ACME"

Transcrição

1 FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA TECNOLOGIA DE SEGURANÇA DA INFORMAÇÃO JHONATAN SIDRÔNIO VELOSO SANTOS LEONARDO DELINSK HAICKEL MARTINS STADLER POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A EMPRESA ACME BRASÍLIA-DF 2013

2 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A EMPRESA ACME Trabalho de Conclusão de Curso apresentado como requisito parcial para conclusão do curso de Tecnologia de Segurança da Informação. Cintra Orientador: Prof ª. MSc. Cid Bendahan Coelho BRASÍLIA-DF 2013

3 III JHONATAN SIDRÔNIO VELOSO SANTOS LEONARDO DELINSK HAICKEL MARTINS STADLER POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA A EMPRESA ACME Trabalho de Conclusão de Curso apresentado como requisito parcial para conclusão do curso de Tecnologia de Segurança da Informação. Cintra Orientador: Prof ª. MSc. Cid Bendahan Coelho Aprovada por Prof... Orientador. Prof... Orientador. Prof... Orientador.

4 IV AGRADECIMENTOS Agradecemos, primeiramente a Deus por conceder tamanha oportunidade na obtenção de um extenso conhecimento para um futuro que almejamos, aos nossos pais por apoiarem nossos objetivos de maneira unânime e por fim aos professores Cid Bendahan e Maria José, do qual nos contemplaram com sua sabedoria na forma de orientação.

5 V RESUMO Esta proposta de Política de Segurança da Informação foi desenvolvida para a empresa ACME (nome fictício) com a finalidade de promover uma melhora significativa nos aspectos de segurança. Durante o desenvolvimento foi feito um levantamento dos ativos físicos e lógicos por meio de análise de risco, com o objetivo de diagnosticar as possíveis falhas e vulnerabilidades. De posse dessas informações foram elaboradas as devidas medidas de segurança chamadas diretrizes da proposta de Política de Segurança da Informação, que foi desenvolvida para a área de informática e em especial para o ambiente de banco de dados. O desenvolvimento da política proposta neste trabalho foi fundamentado nos critérios adotados pela norma ABNT/NBR ISO/IEC 27002:27005 Palavras-chave: Segurança da informação, segurança de dados, banco de dados e política de segurança da informação.

6 VI ABSTRACT This proposed Information Security Policy was developed to ACME (fictitious name) in order to promote a significant improvement in safety. When developing it a survey was made of the physical and logical assets through risk analysis, in order to diagnose possible security breaches and vulnerabilities. With this information was prepared the necessary security measures called the proposed guidelines for Information Security Policy, only developed for the computer area and in particular to the database area sector. The development of the policy proposed in this work was based on the criteria adopted by the ABNT / NBR ISO / IEC 27002:27005 by Leonardo Stadler. Keywords: Information security, data security, database and information security policy.

7 VII LISTA DE FIGURAS Figura 1 Sistema de banco de dados Figura 2 - Organograma de TI Figura 3 Entrada da secretaria de TI Figura 4 Sala da secretaria de TI Figura 5 Manutenção da infraestrutura Figura 6 - Entrada da sala de atendimento ao usuário Figura 7 - Sala de atendimento ao usuário Figura 8 - Entrada do CPD Figura 9 - Hack com nobreaks, servidores, switches e ferramentas para backup Figura 10 - Hack com servidores e KVM Figura 11 - Estrutura de cabeamento dos servidores e switches Figura 12 - Cofre anti-chamas Figura 13 - Entrada da sala do banco de dados Figura 14 - Sala do banco de dados Figura 15 - Interface do correio eletrônico Figura 16 - Interface do sistema de Help Desk Figura 17 - Interface do gerenciador de mensagens instantâneas Figura 18 - Planta baixa da STI... 48

8 VIII LISTA DE QUADROS Quadro 1 - Matriz de risco Quadro 2 - Matriz de risco controle de acesso físico Quadro 3 - Matriz de risco perímetro de segurança Quadro 4 - Matriz de risco acesso ao ambiente do CPD Quadro 5 - Matriz de risco ambiente do banco de dados Quadro 6 - Matriz de risco responsabilidade do usuário Quadro 7 - Matriz de risco controle de acesso à rede Quadro 8 - Matriz de risco proteção contra código malicioso... 33

9 IX LISTA DE ABREVIATURAS E SIGLAS ABNT AES ANSI CPD DES DNS DML DDL IDEA IDS IEC IP IPS ISO RDBMS RSA SQL STI PSI TI DBA Associação Brasileira de Normas Técnicas Advanced Encryption Algorithm American National Standards Institute Centro de Processamento de Dados Data Encryption Standard Domain Name Service Linguagem de Manipulação de Dados Linguagem de Definição de Dados International Data Encryption Algorithm Sistema de Detecção de Invasão International Electrotechnical Comission Internet Protocol Sistema de Prevenção de Invasão International Organization for Standardization Sistema De Gerenciamento De Banco De Dados Relacional Rivest, Shamir e Adleman (criadores do algoritmo) Structured Query Language Secretaria de Tecnologia da Informação Política de Segurança da Informação Tecnologia da Informação Administrador de Banco de Dados

10 X SUMÁRIO 1 INTRODUÇÃO Justificativa OBJETIVOS Geral Específico Metodologia REFERENCIAL TEÓRICO A relevância da informação A relevância da segurança da informação Política de segurança Vulnerabilidades Controle de acesso Controle de acesso lógico Controle de acesso físico Banco de dados Modelos de dados Linguagem de banco de dados Arquitetura de banco de dados Usuários e administradores de banco de dados Usuários de banco de dados e interfaces com o usuário Administradores de banco de dados Segurança em banco de dados Banco de dados Oracle Segurança em banco de dados Oracle Oracle Data Masking Criptografia no Oracle...29

11 XI 3.7 Segurança em redes Auditoria Backup ESTUDO DE CASO Propósito do empresa ACME Gerente de TI Banco de dados Atendimento ao usuário Manutenção da infraestrutura Secretaria de tecnologia da informação (STI) Levantamento do ambiente Levantamento dos ativos de sistemas Sistema Novell Webmail Sistema Help desk Gerenciador de Mensagens Instantâneas Levantamento dos ativos físicos Manutenção da infraestrutura Atendimento ao usuário Banco de dados Centro de Processamento de Dados (CPD) Gerente de TI Matriz de risco Matriz de risco controle de acesso físico Matriz de risco perímetro de segurança Matriz de risco acesso ao ambiente do CPD Matriz de risco ambiente de banco de dados Matriz de risco responsabilidade do usuário Matriz de risco controle de acesso à rede Matriz de risco proteção contra código malicioso ANÁLISE DE RISCO Controle de acesso físico da STI...53

12 XII 5.2 Perímetro de segurança Acesso ao ambiente do CPD Ambiente de banco de dados Responsabilidade do usuário Controle de acesso a rede Proteção contra código malicioso PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Empresa Objetivo Termologia Referências Diretrizes Controle de acesso físico da STI Perímetro de segurança Controle de acesso ao CPD Ambiente de banco de dados Responsabilidade do usuário Segurança de rede Proteção contra código malicioso CONCLUSÃO...61 REFERÊNCIAS...62

13 14 1 INTRODUÇÃO Pouco tempo após o surgimento da informática e durante a consolidação de seu uso, já havia um consentimento sobre a segurança dos sistemas informatizados, do qual formulavam estratégias para evitar que suas informações não fossem perdidas, alteradas ou interceptadas. Investir em segurança é primordial para a sobrevivência da empresa, pois uma vez identificado seu ativo de valor, é vital assegurar a confiabilidade, integridade e disponibilidade por meio de uma boa política de segurança bem fundamentada e de acordo com as normas vigentes. Uma Política de Segurança é criada, formalmente, para que as regras sejam seguidas, possibilitando o acesso a determinados recursos de uma organização. Ela se relaciona com a proteção de dados ou informações, devendo ser proativa para que esteja atenta as possíveis falhas de segurança, com a prontidão necessária para corrigi-las e abrangente para que seja aceita e compreendida. O objetivo para a implementação de uma Política de Segurança na empresa 1 ACME é prover ou aperfeiçoar regras e diretrizes de segurança garantindo uma próação, e não uma reação, quanto às possíveis brechas, permitindo a continuidade da utilização das ferramentas de dados. Por meio do estudo das características de segurança de dados em ambiente computacional, o presente trabalho apresenta uma proposta de Política de Segurança da Informação (PSI), direcionada para os serviços de banco de dados da empresa. 1.1 Justificativa Implementar uma política de segurança no setor de banco de dados é primordial por conter em seu escopo de trabalho determinadas deficiências nas áreas de tratamento e manipulação de dados sensíveis, sendo esses requisitos de suma 1 O uso da sigla ACME substitui o nome real da empresa.

14 15 importância para garantir a continuidade pela preservação e manipulação dos dados, pois, atualmente a empresa dispõe apenas de uma norma de recursos de Tecnologia da Informação (TI), usada como referência. Para determinar seu estado, a empresa ACME utiliza, em seu ambiente computacional, o Banco de Dados Oracle e suas ferramentas. Atualmente passa pelo seguinte cenário:) a) não possui uma política de segurança; b) não utilizam uma ferramenta para o mascaramento de dados visando a segurança dos mesmos quando repassados para outros ambientes, tal como o de desenvolvimento; c) não é utilizada a criptografia nos backups de uma base de dados para garantir a integridade e confidencialidade, a fim de evitar seu acesso em caso de violação, furto ou algo do gênero; d) não é efetuada auditoria de acesso aos dados compartilhados; e) o sistema de recuperação de dados contra desastres é instável e passível de falhas; e f) a segurança do perímetro físico da sala dos servidores não é satisfatória. O setor de banco de dados da empresa ACME apresenta algumas vulnerabilidades que precisam ser sanadas quanto ao manuseio e compartilhamento dos dados sensíveis. A utilização das orientações desta política tem por finalidade combater a modificação ou divulgação indevida das informações, quer acidental ou intencional, aprimorando as camadas de segurança, protegendo a integridade dos dados e restringindo sua real informação. Na segurança física, o cumprimento das regras propostas irá acarretar melhoria no controle de acesso, ou seja, tanto os dados como o acesso físico se restringirão a quem possuir tal direito e a implantação, manutenção e cumprimento da política se dará por meio da dedicação e contribuição de todos para a realização do investimento, proporcionando uma evolução do conhecimento adquirido no decorrer do curso.

15 16

16 17 2 OBJETIVOS 2.1 Geral Propor uma Política de Segurança da Informação física e lógica para o Setor de Banco de Dados da empresa ACME com base na Norma ABNT NBR ISO/IEC 27002: Específicos realizar levantamento bibliográfico referente ao tema; efetuar estudo crítico do material levantado; analisar textos alternativos referentes ao tema em questão; levantar vulnerabilidades no ambiente computacional; levantar os riscos de segurança aos serviços de dados; e elaborar uma proposta de Política de Segurança. 2.3 Metodologia Foi realizada uma pesquisa exploratória com o intuito de coletar relevantes conceitos referentes à Segurança da Informação bem como a Política de Segurança da Informação tendo como referência obras conceituadas e em principal a norma ABNT NBR ISO/IEC 27002: Por meio da pesquisa realizada, foi efetuado um levantamento conciso sobre a forma na qual a empresa ACME lida com a segurança de seus ativos físicos e lógicos, mesmo não dispondo de uma Política de Segurança da Informação. Ao mesmo tempo

17 18 foi procurado identificar as possíveis vulnerabilidades e casos que claramente expressam a necessidade de implementar requisitos de segurança. A análise de risco foi desenvolvida com base em consulta e comparações com a norma ABNT NBR ISO/IEC 27002:27005 no qual possui em sua definição um conjunto de melhores práticas para um resultado inerente ao nível de excelência em segurança da informação. Após realizada a análise, foi utilizado o método da matriz de risco para quantificar e qualificar o mesmo e por fim elaborada uma proposta de Política de Segurança da Informação com diretrizes rígidas e coerentes tendo como objetivo elevar a segurança da empresa.

18 19 3 REFERENCIAL TEÓRICO 3.1 A relevância da informação A informação se constitui em um dos patrimônios mais valiosos de uma organização. Sua perda ou exposição indevida acarreta em consequências delicadas para a continuidade dos negócios. Caracterizando-se a partir desse princípio é necessário proteger este relevante ativo. A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. (NBR ISO/IEC 27002:2005, p. 2) Por ter um valor, altamente relevante, a informação desde que esteja disponível, pode representar muito poder para quem a possui comercialmente ou socialmente e a repercussão de sua circulação, em diversos ambientes cooperativos, gera uma atividade econômica atrativa e um desenvolvimento acelerado em vários mercados. Resumidamente, fazer o uso correto da informação e seu conteúdo fidedigno na tomada de decisões influencia significativamente no crescimento de uma organização, representando uma inteligência competitiva. A informação precisa estar disponível para a pessoa certa e no momento em que ela precisar. (MOREIRA, 2001, p. 9) Reconhecida como um ativo crítico e assumindo uma importância crescente, é preciso armazenar a informação para manter a sobrevivência do comércio. A informação auxilia no processo decisório, pois quando devidamente estruturada é de crucial importância para a empresa, associa diversos subsistemas e capacita a empresa a impetrar seus objetivos. (OLIVEIRA, 1992, p. 205) 3.2 A relevância da segurança da informação No ambiente computacional, é necessário proteger a informação cada vez mais, especialmente devido a evolução e o dinamismo de sistemas interconectados, onde a exposição ocorre em grande escala, trazendo como consequência uma

19 20 variedade maior de ameaças e vulnerabilidades. Independente da forma como a informação é apresentada, de sua qualidade, quantidade e acessibilidade, sempre que for solicitada, ela é um ativo sensível e precioso, e salvaguardá-la é uma recomendação primordial em todos os casos, seja ela compartilhada ou armazenada. Tudo gira em torno do quão valiosa é a informação, de quanto ela é sensível e o quanto ela representa para seu negócio. (MOREIRA, 2001, p. 8) O investimento em segurança da informação cria um alicerce para a empresa a conduzindo em várias reduções de probabilidades, tais como ocorrências de incidentes de segurança, danos ou perdas causados por tais incidentes e melhoria na recuperação dos danos em casos de desastre. Para que a estrutura da organização seja sólida, é preciso seguir algumas regras de segurança essenciais, como disponibilizar a informação quando o acesso a mesma ocorre de maneira contínua e ininterrupta, protegê-la contra qualquer tipo de alteração ou modificação sem a devida autorização e manter seu sigilo ou privacidade por meios seguros, tal como criptografia. O objetivo da segurança, no que tange à informação, é a busca da disponibilidade, confidencialidade e integridade dos seus recursos e da própria informação. (MOREIRA, 2001, p. 8). 3.3 Política de segurança Política de segurança consiste em um conjunto de regras e padrões para usuários, administradores, visitantes entre outros, que tem por objetivo proteger a informação e garantir sua confidencialidade, disponibilidade e integridade. Possui ainda um caráter de responsabilidade, ou seja, visa responsabilizar os usuários por atos inapropriados, e assegurar que a informação não será divulgada sem autorização. "A Segurança da informação é a proteção dos dados contra divulgação acidental ou intencional, modificação não autorizada ou destruição. (FERREIRA, 2003, p. 21).

20 Vulnerabilidades Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. (ABNT NBR ISO/IEC 27002; 2005, p. 7) Geralmente, após desenvolver seus projetos iniciais, as organizações procuram focar em mantê-las funcionais, porém se esquecem de implementar alguns aspectos de segurança que se dão conta somente após as vulnerabilidades surgirem, e caso as mesmas sejam potencializadas, trarão como consequência uma perda ou vazamento de dados/informações. Exemplos comuns, e não muito valorizados, seriam a falha física de acesso aos servidores e uma falta de controle de visitantes. A identificação das vulnerabilidades é um passo fundamental para a contribuição de medidas preventivas, diminuindo os riscos do negócio e auxiliando no descobrimento dos fatores críticos reconhecidos pela análise de segurança. 3.5 Controle de acesso Controla e monitora o acesso a áreas e/ou recursos, atribuindo tipos ou privilégios, controlando assim o pessoal autorizado e o não autorizado podendo ser físico ou lógico Controle de acesso lógico Consiste de um mecanismo lógico destinado à identificação e autenticação dos usuários que necessitam acessar determinadas informações ou áreas de uma organização. Esses elementos de controle somente concederão acesso a quem for autorizado, e esse acesso deve ser monitorado e registrado. A segurança lógica utiliza de procedimentos e ferramentas de segurança como, identificação e autenticação de usuário, senhas de acesso, sistemas biométricos, criptografia, firewall, anti-vírus e IDS, para proteger os dados, softwares e sistemas, contra tentativas de acessos não autorizados, pois a disponibilidade das informações

21 22 se dá a partir do recurso computacional que se pretende proteger e do usuário a quem se pretende dar privilégios e acesso aos recursos. "O controle de acesso lógico deve abranger o recurso informatizado que se pretende proteger e o usuário a quem se pretende dar certos privilégios e acessos." (FERREIRA, 2003, p. 47) Controle de acesso físico A segurança física se relaciona com a segurança lógica, ambas são fundamentais à organização, e a soma dessas duas resulta na segurança da informação. A segurança física é a base de todo o processo de segurança de uma organização e deve ser elaborada de acordo com as necessidades de segurança, ou seja, deve ser direcionada aos sistemas, áreas ou informações mais sensíveis visando restringir o acesso de pessoas, por meio de equipamentos como crachás magnéticos, identificadores biométricos, muros, cercas, portas, cofres, guardas, alarmes, câmeras de vídeo e etc, formando assim um conjunto de normas e mecanismos que formam a política. O controle de acesso físico é toda e qualquer aplicação de procedimentos ou uso de equipamentos com o objetivo de proteger ambientes, equipamentos ou informações cujo acesso deve ser restrito. (FERREIRA, p.126) Um exemplo resumido de tipo de acesso, seria a leitura de cartão ou crachá de identificação, pois por esse meio, funcionários credenciados ou visitantes são obrigados a utilizá-lo para ter o seu acesso autorizado. Particularmente, esse método deve ser discreto quanto às informações contidas no crachá, não possuindo dados que demonstrem o nível de acesso dos funcionários que o portam e ao mesmo tempo dispor de leitura programada. Não há como garantir completamente a segurança física das instalações, porém com a combinação de vários dispositivos, e regras como quanto menor a quantidade de acesso melhor será o seu controle, certamente haverá uma diminuição considerável ao acesso indevido.

22 Banco de dados Pode-se definir como uma coleção de dados operacionais logicamente coerentes, sendo mantidos de forma independente em dispositivos de armazenamento secundários de um sistema de computação. Para garantir a integridade das informações, é utilizado um sistema chamado de Sistema de Gerenciamento de Banco de Dados (SGBD), que é um software construído para facilitar as atividades de definição, construção e manipulação de dados armazenados em um banco de dados. O seu surgimento veio em resposta aos métodos mais antigos de gerenciamento computadorizado de dados comerciais. Em seu escopo está englobado a função do processamento dos dados. Os exemplos comuns de SGBD são Oracle, DB2, SQL Server, etc. Um sistema de gerenciamento de banco de dados, é uma coleção de dados inter-relacionados e um conjunto de programas para acessar esses dados. (SILBERSCHATZ; KORTH; SUDARSHAN, 2006, p. 1) A figura 1, abaixo, apresenta o contexto de um sistema de banco de dados: Figura 1: Sistema de banco de dados Fonte: MICROCAMP (2002)

23 24 Projetado para gerenciar grandes blocos de informação, o sistema de banco de dados define estruturas para o armazenamento da informação e mecanismos para a manipulação da mesma, buscando garantir a segurança e evitando resultados anômalos em situações como o compartilhamento de dados entre vários usuários. Entre suas aplicações, pode-se destacar as usadas em bancos, linhas aéreas, universidades, cartões de crédito, vendas e indústria Modelos de dados Podem ser caracterizados como uma coleção de ferramentas conceituais para descrever dados, relações de dados, semântica de dados e restrições de consistência. Com o passar do tempo os SGBD s adotaram diversas formas de representação, ou modelos de dados para descrever a estrutura das informações contidas em seus bancos de dados. De acordo com Silberschatz, Korth e Sudarshan (2006), os modelos de dados podem ser classificados nas categorias abaixo: a) modelo relacional: basicamente usa uma coleção de tabelas para representar os dados e as relações entre eles. Caracterizado por ser um modelo baseado em registros e usado na grande maioria dos sistemas de banco de dados; b) modelo entidade/relacionamento: consiste em uma coleção de objetos básicos chamados entidades e a relação entre esses objetos. Amplamente usado em projetos de banco de dados; e c) modelo orientado a objetos: tecnicamente uma extensão ao modelo entidade/relacionamento com noções de encapsulamento, métodos (funções) e identidade de objeto.

24 Linguagem de banco de dados Em seu sistema, um banco de dados concede uma linguagem de definição de dados e uma linguagem de manipulação de dados, onde especificam o esquema e expressam as consultas e atualizações de banco de dados, respectivamente. Na linguagem de manipulação de dados (DML) permite os usuários acessarem ou manipularem os dados por meio de consultas, ou seja, é basicamente uma instrução enviada para retornar a recuperação de informações, realiza também a inserção, exclusão e modificação de informações. Uma consulta normalmente pode ser traduzida em qualquer um dos vários planos de avaliação que produzem todos o mesmo resultado. (SILBERSCHATZ; KORTH; SUDARSHAN, 2006, p. 6) Usada para detalhar propriedades adicionais aos dados, a linguagem de definição de dados (DDL) contém recursos para especificar restrições de consistência para toda vez que o banco de dados é atualizado. Na prática, as linguagens de definição de dados e de manipulação de dados não são duas linguagens separadas, mas simplesmente formam partes de uma única linguagem de banco de dados, como a amplamente usada linguagem SQL. (SILBERSCHATZ; KORTH; SUDARSHAN, 2006, p. 6) Arquitetura de banco de dados Em geral, a arquitetura de um sistema de banco de dados sofre uma alta influência pelo sistema de computador subjacente em que o banco de dados é executado, podendo também ser projetado para explorar arquiteturas de computador paralelas. Segundo Silberschatz, Korth e Sudarshan (2006), a arquitetura de banco de dados se resume nos sistemas abaixo: a) sistemas centralizados: neste sistema, os dados estão disponíveis basicamente em uma única unidade com alto poder de processamento

25 26 onde todos os serviços executam de maneira centralizada, não interagindo com outros sistemas de computador; e b) sistema cliente-servidor: possui uma divisão entre um sistema servidor e vários sistemas cliente podendo ter servidores de transação ou de dados onde utilizam esta interface para enviarem solicitações para realizar uma ação com o intuito de obter resultados e interações como leitura ou atualizações de dados, respectivamente Usuários e administradores de banco de dados Usuários de banco de dados e interfaces com o usuário De acordo com Silberschatz, Korth e Sudarshan (2006), existem quatro tipos diferentes de usuários de sistema de banco de dados: a) usuários leigos: não avançados que interagem com o sistema do qual precisam chamar um programa de aplicação previamente escrito; b) programadores de aplicação: profissionais que escrevem programas de aplicação podendo escolher ferramentas para desenvolver interfaces com o usuário; c) usuários avançados: interagem com o sistema sem escrever programas formando requisições por meio de linguagem de consulta de banco de dados; e d) usuários especializados: são usuários avançados que escrevem aplicações de banco de dados especializadas que não se encaixam na estrutura de processamento de dados tradicional.

26 Administradores de banco de dados Segundo Silberschatz, Korth e Sudarshan (2006), uma pessoa precisa ter o controle central sobre os dados e os programas que o acessam. As funções de um Administrador de Banco de Dados (DBA) incluem: a) definição de esquema: criado por meio de um conjunto de instruções DDL; b) estrutura de armazenamento e definição de método de acesso; c) modificação de esquema e de organização física: atua nesta realização para refletir as alterações da necessidade da empresa; d) concessão de autorização para acesso a dados: controla por meio da concessão de diferentes tipos de autorização quais partes do banco de dados os vários usuários podem acessar; e e) manutenção de rotina: efetuam ações como a realização de backups periódicos para prevenir perda de dados e garantir que haja espaço livre em disco para as operações Segurança em banco de dados Frequentemente, são citados termos como segurança e integridade no contexto de banco de dados, embora ambos sejam bem distintos, o primeiro garante que usuários tenham permissão e o segundo que as ações que estejam sendo feitas sejam corretas. Segurança refere-se à proteção de dados contra a divulgação, alteração ou destruição não-autorizadas; integridade refere-se à precisão ou validade dos dados. (DATE, 1990, p. 457) É necessário que o sistema de banco de dados esteja ciente das limitações dos usuários, das quais o DBA deve principalmente especificar em linguagem apropriada e mantê-la no catálogo do dicionário de dados. O SGBD precisa, quanto aos casos de segurança e integridade, efetuar o monitoramento das interações dos usuários, para assegurar que suas limitações sejam de fato observadas, pois escala de proteção dos

27 28 dados pode ser individual, de um lado referir-se a todo um conjunto de tabelas e, de outro, a um valor de dado específico em determinada posição, linha e coluna dentro de uma tabela específica Banco de dados Oracle Segundo Watson (2010), o Oracle Database Server consiste em um repositório de dados sem limites de tamanho, e ao mesmo tempo, acessado diretamente pelos usuários finais por meio de ferramentas cliente-servidor e aplicações, ou indiretamente, por meio de aplicações em execução em um servidor de aplicações. Portanto, é um mecanismo que gerencia o acesso aos dados. Composto por duas entidades, um servidor Oracle possui uma instância e o banco de dados, os quais se resumem em estruturas de memória e os processos e os arquivos no disco, respectivamente. Separados, mas conectados, porém, em seu processo de criação, a instância vem em primeiro lugar, assim como sua inicialização e somente então o banco de dados é aberto. Uma característica do servidor é efetuar uma abstração completa entre o armazenamento lógico e o físico, onde as estruturas lógicas geralmente visíveis pelos programadores não estão diretamente relacionadas às estruturas físicas, ou seja, os arquivos de dados que somente os administradores do sistema veem. A abstração do armazenamento lógico para o armazenamento físico faz parte do padrão sistema de gerenciamento de banco de dados relacional (RDBMS). (WATSON, 2010, p. 34) Dispondo de recursos para desenvolver aplicações, o Oracle também conta com linguagens como SQL, PL/SQL e Java, além fornecer a conexão com diversas ferramentas e ambientes de terceiros Segurança em banco de dados Oracle A segurança dos dados no Oracle possui determinados aspectos avançados, fornecendo muitos recursos para impor a segurança até e além dos padrões mais

28 29 altos de legislação. Watson (2010) acredita que em aspectos operacionais, o servidor de banco de dados Oracle dispõe de requisitos como: a) auditoria onde é efetuado uma gravação das operações executadas e os respectivos usuários que as executam para gerar um arquivo passível de análise com o intuito de detectar as prováveis ameaças de segurança, além do rastreamento do uso de certo privilégios; b) métodos de autenticação de acesso por meio de possibilidades como autenticação pelo sistema operacional, por arquivo de senha, por senha, externa e global; e c) princípio do menor privilégio, que consiste na política de que ninguém deve ter acesso a qualquer coisa que esteja além do mínimo absolutamente necessário para executar seu trabalho, e qualquer coisa não especificamente permitida é proibida. A segurança padrão em um banco de dados Oracle é de 100%. Você não pode sequer fazer logon sem uma permissão concedida para isso. Não há como se conectar anonimamente, embora existam várias maneiras de você se autenticar. (WATSON, 2010, p. 315) Oracle Data Masking Atualmente as empresas precisam compartilhar seus dados de produção com vários componentes e ao mesmo tempo proteger aspectos sensíveis da informação, principalmente quando se percebe que à medida que o número de aplicações cresce, mais e mais dados são compartilhados aumentando o risco de que os mesmos sejam violados estando expostos a pessoas não autorizadas. De acordo com a Oracle (2010) o Oracle Data Masking atua neste problema, substituindo de forma irreversível os dados sensíveis originais com dados de aparência realista possuindo o mesmo tipo e características que os dados originais, permitindo por meio desta técnica que as organizações compartilhem esta informações em conformidade com as políticas de segurança da informação e regulamentações governamentais.

29 30 Segundo a Oracle (2010), a implementação do método de mascaramento de dados tem por base uma abordagem de quatro etapas abrangentes: a) procurar: esta fase envolve a identificação e catalogação de dados confidenciais ou regulamentados em toda a empresa, com o objetivo de criar uma lista de elementos de dados sensíveis específicos para a organização; b) avaliar: nesta fase, os desenvolvedores e DBA s, em conjunto com as empresas, identificam os algoritmos de mascaramento que representam as técnicas ideais para substituir os dados sensíveis originais; c) assegurar: o administrador de segurança executa o processo de mascaramento para proteger os dados sensíveis durante os ensaios de mascaramento; d) testar: na etapa final, os usuários de produção executam processos de aplicação para testar se os dados mascarados resultantes podem ser visíveis para os outros usuários Criptografia no Oracle Como uma das tecnologias de segurança mais antigas do mercado, a criptografia aumentou sua segurança devido a problemas como roubo de números de seguridade social e de propriedade intelectual. A necessidade de proteger informações confidenciais se estende desde os meios acadêmicos até praticamente todo tipo de negócio no mundo. De acordo com a Oracle (2008), seu banco de dados possui uma solução de criptografia chamada Transparent Data Encryption, Criptografia Transparente de Dados (TDE) do qual é completamente transparente para as aplicações atuais, pois, ela permite uma criptografia robusta para salvaguardar dados confidenciais contra acesso não autorizado no nível do sistema operacional ou por meio de roubo de hardware ou da mídia de backup. Ela cumpre os requisitos de privacidade protegendo informações de identidade pessoal criptografando os dados de forma transparente quando gravados no disco e são descriptografados da mesma forma.

30 Segurança em redes Devido aos padrões regidos pelas normas técnicas para o estabelecimento das regras da Política de Segurança, na sua elaboração deve ser feita ou atualizada uma documentação quanto à utilização da rede, como quais aplicativos ou computadores podem e não podem ser utilizados bem como quem pode utilizar, assegurando assim quais tipos de informações podem trafegar na rede. Uma vez estabelecidas as Políticas de Segurança apropriadas para a rede da organização, o passo seguinte deve ser a configuração segura dos sistemas que estarão nessa rede. (FERREIRA 2003, p. 51) Para garantir uma segurança mínima dos dados que trafegam por uma rede assim como os que estão armazenados nos computadores, é fundamental a utilização de um Antivírus. Na maioria dos casos em que ocorre um ataque por vírus o usuário é também o responsável, e isso ocorre devido à falta de treinamento e conscientização. A ferramenta auxilia a prevenir que programas maliciosos sejam executados e garante a segurança dos servidores de dados bem como um melhor cumprimento das normas que a política da organização determina. A grande maioria dos problemas relacionados a incidentes de segurança em computadores pessoais é causada por programas maliciosos, dentre os quais estão os vírus normais e de macro. (FERREIRA 2003, p. 79) Uma fonte muito comum de infecção por vírus são os s, que em empresas representam um grave risco, além de disseminar contaminação, falsificação, tentativas de roubo de informações, pois, os s devem ser utilizados somente para assuntos comerciais ou de interesse da organização e não para fins particulares. Existem vários riscos quando o assunto é . Desde falsificação até contaminação por vírus. (FERREIRA 2003, p. 79) 3.8 Auditoria É definida pela ocorrência de gravações e manutenções de uma trilha de ações realizadas no sistema, ou seja, os registros são mantidos pelos sistema de tudo

31 32 o que foi feito, de modo que, em caso de problema de segurança, é possível identificar o que ou quem causou. Há alguns detalhes relevantes na aplicação da auditoria do qual não sendo bem administrada pode acarretar em problemas de espaço, lentidão e dificuldade de análise, tudo devido ao excesso de informação e a não filtragem da mesma. Também se deve considerar neste processo a privacidade, mas o importante na auditoria é se questionar quando gerar dados, e por qual motivo precisa especificamente deles. Conforme Albuquerque e Ribeiro (2002), compreende-se que os objetivos de segurança abaixo são candidatos a exigir um sistema de auditoria: a) responsabilidade do autor: todo o usuário deve ser responsabilizado por seus atos; b) detecção de ataques: o sistema deve ser capaz de permitir a detecção de ataques não previstos na especificação original; c) alteração de registro do orçamento: o sistema deve registrar qualquer alteração na tabela de orçamento; e d) protocolo de volume: o sistema deve permitir a detecção de anormalidades no volume de compras mensais dos responsáveis por compra de cada área. 3.9 Backup É uma cópia de segurança, feita periodicamente e intencionalmente, para proteger arquivos pessoais, de configurações ou de todo um sistema. Depois de feita, a cópia é armazenada, para quando em uma situação em que há necessidade ser usada, como por exemplo para restaurar arquivos que podem ter sido corrompidos, perdidos ou roubados, em consequência de uma falha de segurança, de sistema, ou por um ataque, garantindo assim uma continuidade do negócio bem como a disponibilidade das informações da organização. Um backup é uma cópia intencional dos seus dados, arquivos de programas, e configurações do sistema, e é usado para obter e armazenar informação. Um backup pode se usado para substituir ou restaurar os seus arquivos e sistemas após uma falha de rede ou ataques de malware. (BASTA; ZGOLA, 2012, p.31)

32 33 Para ser realizado o backup deve possuir um plano de gerência, que é um processo utilizado para assegurar os dados que trafegam pela rede sem isso as chances de perda de ativos e interrupção nos serviços de rede é imensa." Um plano de gerenciamento de backup é um processo desenvolvido para assegurar a segurança dos dados em uma rede." (BASTA; ZGOLA, 2012, p.31) Para ser feito o backup além de um plano, é necessário também ser feita a escolha da solução ideal, diante das várias opções que existem atualmente no mercado. O CNFP utiliza as soluções da Oracle, porém de acordo com BASTA e ZGOLA (2012), antes da escolha de qual solução é a mais adequada às necessidades no negócio, é necessário que várias perguntas sejam respondidas: a) qual tipo de mídia devo usar? Com base no tipo de data a armazenar, a expansão, tipo de trabalho, compatibilidade com o ambiente, e principalmente o custo para o negócio, imediatamente após a criação do plano de backup, deve ser feita a escolha do tipo de mídia a utilizar; b) onde o backup será armazenado? O backup deve ser armazenado separadamente da rede e também, cópia não deve ficar junto do original, a fim de evitar a perda/destruição de ambos nem tão pouco no mesmo sistema do original. Geralmente é armazenado fora dos sistemas que tornam a informação disponível ou seja deve ser salvo em CD's ou tapes e depois armazenado em um local seguro como um cofre; c) o que deve ser salvo? Deve ser decidido o que é crítico e tem prioridade para a organização e portanto deve ser salvo preferencialmente, por meio de um mapeamento dos dados; d) com que frequência a informação deve ser salva? A frequência deve se correlacionar com a importância, ou seja quanto mais importante a informação mais frequente deve ser feito o backup; e) a que horas do dia ou da noite o backup deve ocorrer? O backup deve ser feito após os horários de trabalho, pois nenhuma informação deve ser salva enquanto é usada ou atualizada. f) que tipo de backup deve ser completo? Há tipos diferentes de backup, um "backup completo" salva toda a informação independente da

33 34 natureza, importância, idade ou prioridade. Um "backup incremental" salva só as informações que sofreram mudanças desde o último "backup completo" ou "incremental" e ao ser feito o backup as informações que estão sendo atualizadas são marcadas com uma "flag" para que não sejam salvas nos próximos backups. O "backup diferencial" salva somente a data que foi modificada desde os últimos backups porém não acrescenta nenhuma "flag" ou seja no próximo backup a informação é salva novamente. 4 ESTUDO DE CASO Este trabalho tem como base e finalidade a empresa ACME (nome fictício), localizada em Brasília-DF. 4.1 Propósito do empresa ACME Tecnicamente, a 2 ACME é uma empresa de comércio eletrônico e seu objetivo é atuar em prol do cidadão. Adota como valores a ética, a transparência, o pluralismo e a valorização das pessoas. Em seu papel se deve: a) zelar pela autonomia da criação dos ditados; e b) aprimorar a autenticidade dos autores dos ditados, assegurando sua autoria de forma responsável e socialmente efetiva. A informatização da empresa se constitui de equipamentos com alta disponibilidade, contendo por exemplo um serviço de atendimento ao usuário e um Centro de Processamento de Dados (CPD), para melhor adequação quantos aos processos de tecnologia. A figura abaixo (figura 2), apresenta o organograma da área de informática da empresa ACME: 2 A sigla ACME substitui o nome real da empresa.

34 35 Figura 2: Organograma de TI Gerente de TI Responsável pela gerência de projetos e serviços de TI na sede local, autorizando as aquisições, projetos e documentações Banco de dados Equipe responsável pelo gerenciamento e administração do banco de dados, criação e manutenção de modelos de dados, assim com a manipulação e backup dos mesmos Atendimento ao usuário Equipe responsável pelo suporte ao usuário atendendo chamados em nível de software quanto às aplicações e realização da manutenção e gerenciamento da rede e servidores além de programadores.

35 Manutenção da infraestrutura Equipe responsável pela montagem e computadores, troca física de equipamentos, formatação e instalação dos sistemas operacionais utilizados e suas aplicações compatíveis Secretaria de tecnologia da informação (STI) Responsável pela recepção e atendimento da área de TI aliando serviços administrativos burocráticos. 4.2 Levantamento do ambiente O levantamento do ambiente foi realizado com base em informações prestadas pelos administradores de rede, servidores e os demais membros da STI. Existe um termo de sigilo para alguns serviços exigidos, como ativos de informação que devem ser criptografados e um termo de ciência para usuários onde devem ser usadas as melhores práticas. Conforme a figura abaixo (figura 3), a porta de entrada para todas as salas de informática, e principalmente para a sala de banco de dados da ACME, é feita pela recepção da STI. Figura 3: Entrada da secretaria de TI.

36 37 A recepção da STI (figura 4) é responsável pela entrada dos visitantes à mesma e demais setores, como Banco de Dados, CPD e Laboratório de Informática da Manutenção de Infraestrutura e também pelas atribuições administrativas. Figura 4: Sala da secretaria de TI. Área de manutenção (figura 5), é a encarregada da manutenção dos equipamentos. Figura 5: Manutenção da infraestrutura.

37 38 Na figura abaixo (figura 6), está localizado o ponto de acesso a área de atendimento ao usuário e, ao fundo, a porta de acesso à sala de banco de dados. Figura 6: Entrada da sala de atendimento ao usuário. A sala de atendimento ao usuário (figura 7), efetua a homologação e testes de softwares, assim como gerencia o fato de nenhum usuário possuir senha de administrador. O Antivírus, Trend, está instalado em servidor próprio com as licenças distribuídas em cada máquina; o servidor busca as atualizações automaticamente e provê as mesmas em cada máquina.

38 39 Figura 7: Sala de atendimento ao usuário. O CPD (figura 8), dispõe de um único mecanismo de segurança física, uma fechadura com tranca, o que facilita o acesso indevido, pois não há um monitoramento de acesso. Como medida de prevenção de desastres, há um extintor de incêndio. Figura 8: Entrada do CPD.

39 40 A sala do CPD, (figura 9) dispõe de ambiente climatizado adequadamente com dois equipamentos de ares-condicionados e dois nobreaks, rack com servidores, switches e ferramentas para backup. Figura 9: Rack com nobreaks, servidores, switches e ferramentas para backup. Atualmente a empresa ACME dispõe de um link dedicado de 50 Mbps fornecido por um provedor. A distribuição do proxy, tanto reverso quanto a NAT para acesso à Internet, é administrado pela concessionária Embratel e a rede do local é segmentada, fazendo uso de sub-redes, servidores e wireless. O serviço de segurança é duplicado, pois utilizam Sistema de Prevenção de Invasão (IPS) e Sistema de Detecção de Invasão (IDS), dispondo de Firewall na saída

40 41 e entrada de serviços e replicado pela Embratel também tanto na entrada e saída de Internet. O sistema de rede interno é gerenciado por uma suíte de aplicativos desenvolvidos pela empresa Novell, o qual é responsável pelo login e autenticação dos usuários, alterações periódicas de senhas, pelos servidores de arquivos e aplicações baseados em Sistema Operacional Linux. Após a criação de um usuário é dado um acesso mínimo, de acordo com a área do mesmo. A Intranet é administrada pela área de manutenção e os ataques de rede são em média 98% barrados pelo serviço da Embratel, o restante é feito pelo Firewall, monitorado 24 horas por dia e 7 dias por semana, por uma empresa terceirizada. A sala do CPD (figura 10), também possui outro hack, mas este com 6 servidores e KVM de acesso para manutenção e suporte dos serviços dos servidores. Figura10: Rack com servidores e KVM.

41 42 A estrutura de cabeamento dos servidores e switches (figura 11), atualmente é desorganizada, o que dificulta a manutenção, controle e monitoramento da rede. Figura 11: Estrutura de cabeamento dos servidores e switches. Externamente à sala do CPD, existe um cofre anti-chamas (figura 12), para salvaguardar os backups.

42 43 Figura 12: Cofre anti-chamas. O acesso à sala de banco de dados (figura 13), é feito após a sala de atendimento ao usuário. Figura 13: Entrada da sala de banco de dados.

43 44 A sala de banco de dados (figura 14), é a área responsável pela administração do banco de dados, manipulação dos mesmos bem como o procedimento lógico de backups por meio da criação de tarefas automatizadas como scripts e agendamentos. Em sua rotina consiste também a administração dos usuários que terão acesso aos dados e o compartilhamento deles, e repassá-los para desenvolvedores os utilizarem em ferramentas de aplicação. Os servidores de backup também são baseados em Linux, com horários programados para a noite ou madrugada, por meio de um agendamento criado por um script, para evitar aumentar o tráfego de rede e manter a autenticidade dos arquivos, que são armazenados em um cofre anti-chamas para salvaguardar os backups em HD. As restaurações dos backups são realizadas com o auxílio de ferramentas nativas da aplicação Oracle. Figura 14: Sala de banco de dados. 4.3 Levantamento dos ativos de sistemas Logo abaixo, os sistemas utilizados na empresa ACME.

44 Sistema Novell Webmail O correio eletrônico do local é próprio, utiliza-se o sistema Groupwise da empresa Novell, responsável por uma suíte de produtos de rede (figura 15). Figura 15: Interface do correio eletrônico Sistema Help desk Sistema responsável pela abertura de chamados para o suporte de softwares, alteração, inserção e manipulação de dados e manutenção dos equipamentos de TI (figura 16). Figura 16: Interface do sistema de Help Desk.

45 Gerenciador de Mensagens Instantâneas Sistema utilizado para troca de mensagens instantâneas entre os funcionários do local, viabilizando a informação (figura 17). Figura 17: Interface do gerenciador de mensagens instantâneas. 4.4 Levantamento dos ativos físicos Manutenção da infraestrutura 3 - Computadores completos (gabinete, monitor, teclado e mouse); 2 - Monitores adicionais para os técnicos em manutenção; 5 - Cadeiras Atendimento ao usuário 11 - Computadores completos (gabinete, monitor, teclado e mouse); 11 - Monitores adicionais para os atendentes e programadores; 1 - Impressora; e

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Segurança Física de acesso aos dados

Segurança Física de acesso aos dados Segurança Física de acesso aos dados Segurança Física de acesso aos dados 1 A Segurança Física tem como objetivos específicos: ü Proteger edificações e equipamentos; ü Prevenir perda, dano ou comprometimento

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Administração de Banco de Dados

Administração de Banco de Dados Administração de Banco de Dados Professora conteudista: Cida Atum Sumário Administração de Banco de Dados Unidade I 1 INTRODUÇÃO A BANCO DE DADOS...1 1.1 Histórico...1 1.2 Definições...2 1.3 Importância

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente,

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente, PORTARIA Nº 7876 Dispõe sobre a Norma PSI/N.0001 - Utilização da Estação de Trabalho, nos termos dos arts. 20 e 24, da Resolução nº 041/2010-SPDE. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Unidade III. Unidade III

Unidade III. Unidade III Unidade III 4 ADMINISTRAÇÃO DE SGBDs As pessoas que trabalham com um banco de dados podem ser categorizadas como usuários de banco de dados ou administradores de banco de dados. 1 Entre os usuários, existem

Leia mais

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador Programas Maliciosos 2001 / 1 Segurança de Redes/Márcio d Ávila 182 Vírus de Computador Vírus de computador Código intruso que se anexa a outro programa Ações básicas: propagação e atividade A solução

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

FACULDADE INTEGRADAS DE PARANAÍBA ADMINISTRAÇÃO DE EMPRESAS. Bancos de Dados Conceitos Fundamentais

FACULDADE INTEGRADAS DE PARANAÍBA ADMINISTRAÇÃO DE EMPRESAS. Bancos de Dados Conceitos Fundamentais FACULDADE INTEGRADAS DE PARANAÍBA ADMINISTRAÇÃO DE EMPRESAS Bancos de Dados Conceitos Fundamentais Tópicos Conceitos Básicos Bancos de Dados Sistemas de Bancos de Dados Sistemas de Gerenciamento de Bancos

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

GUIA DE MELHORES PRATICAS NA AREA DE TI

GUIA DE MELHORES PRATICAS NA AREA DE TI GUIA DE MELHORES PRATICAS NA AREA DE TI Ambiente Windows Small Business Rev 10501 DATA : 5 / 07/ 2007 Pag : 1 de7 1) Servidores a) Hardware o Servidor Alocado em Rack Fechado em ambiente reservado e refrigerado

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD Problema Controle de Acesso Lógico e Físico Prof. Alexandre Beletti Ferreira Com as informações armazenadas em computadores interligados com outros computadores no mundo todo surgi a necessidade de uma

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Fundamentos de Banco de Dados

Fundamentos de Banco de Dados Fundamentos de Banco de Dados SISTEMAS BASEADOS NO PROCESSAMENTO DE ARQUIVOS Sistema A Funcionário Pagamento Cargo Sistema B Funcionário Projeto SISTEMAS GERENCIADORES DE BANCO DE DADOS (SGBD) Sistema

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Banco de Dados I. Introdução. Fabricio Breve

Banco de Dados I. Introdução. Fabricio Breve Banco de Dados I Introdução Fabricio Breve Introdução SGBD (Sistema Gerenciador de Banco de Dados): coleção de dados interrelacionados e um conjunto de programas para acessar esses dados Coleção de dados

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Segurança em Banco de Dados

Segurança em Banco de Dados Centro de Educação Superior de Brasília Instituto de Educação Superior de Brasília Pós-Graduação em Banco de Dados Segurança em Banco de Dados Cláudio Reis Ferreira Galvão José Augusto Campos Versiani

Leia mais

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA A FIESP esclarece que as informações apresentadas na presente Cartilha são apenas sugestões para auxiliar as

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

EXIN Cloud Computing Fundamentos

EXIN Cloud Computing Fundamentos Exame Simulado EXIN Cloud Computing Fundamentos Edição Maio 2013 Copyright 2013 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

INSTRUÇÃO NORMATIVA Nº 81, DE 26 DE MARÇO DE 2009

INSTRUÇÃO NORMATIVA Nº 81, DE 26 DE MARÇO DE 2009 Publicada no Boletim de Serviço Nº 4, em 7/4/2009. INSTRUÇÃO NORMATIVA Nº 81, DE 26 DE MARÇO DE 2009 Disciplina o uso dos recursos de tecnologia da informação do Supremo Tribunal Federal e dá outras providências.

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC 1786/2015 - Quinta-feira, 06 de Agosto de 2015 Tribunal Regional do Trabalho da 18ª Região 1 FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia

Leia mais

SUA EMPRESA SE PREOCUPA COM A SEGURANÇA DAS INFORMAÇÕES?

SUA EMPRESA SE PREOCUPA COM A SEGURANÇA DAS INFORMAÇÕES? SUA EMPRESA SE PREOCUPA COM A SEGURANÇA DAS INFORMAÇÕES? ASSUMA O CONTROLE DAS INFORMAÇÕES DA SUA EMPRESA COM MAKROLOCK é um software de GERENCIAMENTO da SEGURANÇA DAS INFORMAÇÕES. Ele foi desenvolvido

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

SEGURANÇA E AUDITORIA DE TI

SEGURANÇA E AUDITORIA DE TI 1 SEGURANÇA E AUDITORIA DE TI Objetivos - Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados

Leia mais

BANCO POSTAL - Plataforma Tecnológica

BANCO POSTAL - Plataforma Tecnológica BANCO POSTAL - Plataforma Tecnológica 1. Arquitetura da Aplicação 1.1. O Banco Postal utiliza uma arquitetura cliente/servidor WEB em n camadas: 1.1.1. Camada de Apresentação estações de atendimento, nas

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós!

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós! Prezado Colaborador, O conteúdo desta cartilha tem como objetivo compartilhar alguns conceitos relacionados ao tema Segurança da Informação. Além de dicas de como tratar os recursos e as informações corporativas

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Política de Sistemas Corporativos e Serviços da Rede Governamental

Política de Sistemas Corporativos e Serviços da Rede Governamental Dezembro de 2006 1.0 02/12/2006-2 - Índice 1 Objetivo... 3 2 Abrangência... 3 3 Considerações Gerais... 4 4 Exigências de Segurança para sistemas governamentais... 4 4.1 Exigências dos Níveis de Segurança...

Leia mais

BANCO DE DADOS E BUSINESS INTELIGENCE. C/H: 20 horas (20/02, 25/02, 27/02, 04/03, 06/03)

BANCO DE DADOS E BUSINESS INTELIGENCE. C/H: 20 horas (20/02, 25/02, 27/02, 04/03, 06/03) MBA em Gestão de TI MÓDULO: BANCO DE DADOS E BUSINESS INTELIGENCE C/H: 20 horas (20/02, 25/02, 27/02, 04/03, 06/03) PROFESSOR: Edison Andrade Martins Morais prof@edison.eti.br http://www.edison.eti.br

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 4 Introdução aos Sistemas Biométricos 1. Identificação, Autenticação e Controle

Leia mais

Módulo 6: Segurança da TI

Módulo 6: Segurança da TI 1 Módulo 6: Segurança da TI 6.1. Questões de Segurança da TI Discute como se pode promover a qualidade e segurança dos sistemas de informação por uma diversidade de controles, procedimentos e instalações.

Leia mais

POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA GADE SOLUTION Tatiana Lúcia Santana GADE SOLUTION 1. Conceituação: A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles

Leia mais

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e regulamentares, e tendo em vista o que consta do Processo

Leia mais

Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps. Artigo do Google escrito em fevereiro de 2007

Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps. Artigo do Google escrito em fevereiro de 2007 Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps Artigo do Google escrito em fevereiro de 2007 Segurança do Google Apps PARA OBTER MAIS INFORMAÇÕES On-line: www.google.com/a

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

ESTADO DO RIO DE JANEIRO PREFEITURA DE SÃO GONÇALO SECRETARIA DE FAZENDA SUBSECRETARIA DE INFORMÁTICA

ESTADO DO RIO DE JANEIRO PREFEITURA DE SÃO GONÇALO SECRETARIA DE FAZENDA SUBSECRETARIA DE INFORMÁTICA DECRETO 331/2005. São Gonçalo, 04 de novembro de 2005. DISPÕE SOBRE A POLÍTICA DE SEGURANÇA DE INFORMAÇÕES DA. A PREFEITURA MUNICIPAL DE SÃO GONÇALO, no uso das atribuições que lhe são conferidas pela

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes Introdução ao Gerenciamento de Redes O que é Gerenciamento de Redes? O gerenciamento de rede inclui a disponibilização, a integração e a coordenação de elementos de hardware, software e humanos, para monitorar,

Leia mais

Privacidade.

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

Bancos de dados distribuídos Prof. Tiago Eugenio de Melo tiagodemelo@gmail.com. http://www.tiagodemelo.info

Bancos de dados distribuídos Prof. Tiago Eugenio de Melo tiagodemelo@gmail.com. http://www.tiagodemelo.info Bancos de dados distribuídos Prof. Tiago Eugenio de Melo tiagodemelo@gmail.com Última atualização: 20.03.2013 Conceitos Banco de dados distribuídos pode ser entendido como uma coleção de múltiplos bds

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria Proteção confiável para ambientes de endpoints e mensageria Visão geral O Symantec Protection Suite Enterprise Edition cria um ambiente de endpoints e mensageria protegido contra as complexas ameaças atuais,

Leia mais

Introdução visando a proteção da informação, que é um patrimônio da Prefeitura da Cidade do Rio de Janeiro (ou da Organização).

Introdução visando a proteção da informação, que é um patrimônio da Prefeitura da Cidade do Rio de Janeiro (ou da Organização). Cartilha Segurança de Informações 1 Prezado Servidor, A preocupação com a segurança da informação é crescente em empresas e governos de todos os âmbitos, isto porque cada vez mais dependemos de informação

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO

REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO 1. INTRODUÇÃO O presente documento define o regulamento para o uso apropriado da rede de computadores

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Segurança do SharePoint em ação: melhores práticas orientam a colaboração segura. agility made possible

Segurança do SharePoint em ação: melhores práticas orientam a colaboração segura. agility made possible Segurança do SharePoint em ação: melhores práticas orientam a colaboração segura agility made possible Um dos aplicativos mais amplamente implantados em uso atualmente, o Microsoft SharePoint Server, conquistou

Leia mais

Câmara Municipal de Sinop

Câmara Municipal de Sinop CÂMARA MUNICIPAL DE SINOP - ESTADO DE MATO GROSSO INSTRUÇÃO NORMATIVA STI 001/2011 Versão: 01 Aprovação em: 06/12/2011 Unidade Responsável: Coordenadoria de Administração CAD STI: Sistema de Tecnologia

Leia mais

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais