Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Tamanho: px
Começar a partir da página:

Download "Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações"

Transcrição

1 Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações LUIS FERNANDO BUENO Governança da Segurança da Informação como um elemento propulsor para a eficácia de Redes de Intercâmbio de Dados e Informações Geoespaciais Brasília 2011

2 Luis Fernando Bueno Governança da Segurança da Informação como um elemento propulsor para a eficácia de Redes de Intercâmbio de Dados e Informações Geoespaciais Brasília 2011

3 Luis Fernando Bueno Governança da Segurança da Informação como um elemento propulsor para a eficácia de Redes de Intercâmbio de Dados e Informações Geoespaciais Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Dr. João Souza Neto Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Agosto de 2011

4 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/ Luis Fernando Bueno. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. Bueno, Luis Fernando Governança da Segurança da Informação como um elemento propulsor para a eficácia de Redes de Intercâmbio de Dados e Informações Geoespaciais / Luis Fernando Bueno. Brasília: O autor, p.; Ilustrado; 25 cm. Monografia (especialização) Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, Inclui Bibliografia. 1. Governança de Segurança da Informação. 2. Redes de Intercâmbio de Dados Espaciais. 3. Eficácia. I. Título. CDU

5

6 Dedicatória Dedico este trabalho aos Servidores Públicos Federais que, apesar de inconformados com a situação da Administração Pública Federal, acreditam na mudança para melhor, trabalham com afinco, perseveram diante de adversidades e enfrentam de cabeça erguida crises econômicas, morais e éticas no País.

7 Agradecimentos A Deus toda honra e toda glória, pois criastes todas as coisas; por tua vontade elas foram criadas e existem (Ap. 4.11). Ao Departamento de Segurança da Informação e Comunicações DSIC do Gabinete de Segurança Institucional da Presidência da República, e ao Departamento de Ciência da Computação da Universidade de Brasília pela oportunidade do curso. Ao colega Ronaldo de Souza Garcia pela indicação do curso e apoio nos momentos em que desenvolvi as atividades previstas nas fases de estudo e pesquisa. Ao companheiro José Neumar Moraes da Silveira pelo apoio incondicional para que eu pudesse participar do curso. Ao colega Zeno Rodrigues Viana pelo apoio e incentivo durante o curso. Ao professor Dr. João Souza Neto pela orientação, críticas e sugestões de melhoria que tornaram possível o desenvolvimento e conclusão da pesquisa. Ao colega Vinicius Costa Formiga Cavaco pelo auxílio e solidariedade durante os encontros presenciais em Brasília.

8 O medíocre discute pessoas. O comum discute fatos. O sábio discute idéias. Provérbio chinês.

9 Lista de Figuras Figura 1: Arquitetura do DBDG (Fonte: BRASIL, 2010a, p. 99) Figura 2: Processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC (Fonte: Departamento de Segurança da Informação e Comunicações do GSIPR, 2009, Anexo A) Figura 3: Domínios de processos do CobiT (Fonte: Sortica, Clemente e Carvalho, 2004, p. 4) Figura 4: Processos do ITIL (Fonte: Sortica, Clemente e Carvalho, 2004, p. 7) Figura 5: Relação entre Governança de Tecnologia da Informação e Governança de Segurança da Informação (Fonte: Ohki, Harada e Kawaguchi, 2009, p. 3) Figura 6: Esquema de Governança de Segurança da Informação (Fonte: Ohki, Harada e Kawaguchi, 2009, p. 3) Figura 7: Os domínios da ISO/IEC mapeados para AGM (Fonte: Korhonen, Yildiz e Mykkanen, 2009, p. 771) Figura 8: Incidentes reportados ao CERT.br no período de 1999 a 2011 (Fonte: CERT.br, 2011) Figura 9: Totais mensais dos incidentes reportados ao CERT.br no primeiro semestre de 2011 (Fonte: CERT.br, 2011) Figura 10: Tipos de ataques dos incidentes reportados ao CERT.br no primeiro semestre de 2011 (Fonte: CERT.br, 2011)

10 Lista de Quadros Quadro 1: Níveis de Maturidade de Segurança da Infraestrutura Crítica da Informação (YOO apud BRASIL, 2010c) Quadro 2: Descrição dos Impactos (BRASIL, 2010c) Quadro 3: Probabilidade X Impacto (BRASIL, 2010c)... 53

11 Lista de Tabelas Tabela 1: Descrição das Probabilidades (BRASIL, 2010c) Tabela 2: Avaliação de Riscos para o Nó da INDE Tabela 3: Nível de Maturidade Aferido para o Nó da INDE Tabela 4: Somatórios obtidos para as Categorias de Controles Avaliação feita pelos participantes da pesquisa Tabela 5: Média das avaliações, considerando o agrupamento dos participantes por área de atuação

12 Sumário Resumo... 5 Abstract Delimitação do Problema Introdução Formulação da Situação Problema Objetivos e Escopo Objetivo Geral Objetivos Específicos Escopo Justificativa Hipóteses Revisão de Literatura e Fundamentos Infraestrutura Nacional de Dados Espaciais - INDE A Segurança da Informação e Comunicações na Administração Pública Federal Brasileira A Metodologia de Gestão de Segurança da Informação e Comunicações da Administração Pública Federal Brasileira Gestão de Riscos de Segurança da Informação e Comunicação na Administração Pública Federal Brasileira A Política de Segurança da Informação e Comunicações para o DBDG Governança... 29

13 2.3.1 Governança Corporativa Governança de Tecnologia da Informação Governança de Segurança da Informação Modelos de Governança de Segurança da Informação Riscos de Segurança em Redes de Computadores Conectadas à Internet Ameaças e Vulnerabilidades Comuns O Cenário Brasileiro Metodologia Resultados Avaliação de Riscos para o Nó da INDE Percepção dos Gestores quanto à Adequação dos Controles Aplicados aos Ativos de informação Discussão Conclusões e Trabalhos Futuros Conclusões Trabalhos Futuros Referências e Fontes Consultadas Anexo A Guia prático para implementar Governança da Segurança da Informação (ALVES, CARMO e ALMEIDA, 2006) Anexo B Lista dos 10 principais problemas de segurança enfrentados pelas empresas (OWASP, 2010) Anexo C Os maiores riscos de Segurança Cibernética (SANS, 2009) Anexo D Tabela de Verificação de Requisitos Mínimos necessários à Segurança das Infraestruturas Críticas da Informação (YOO APUD BRASIL, 2010c)... 87

14 Resumo Infraestruturas de Dados Espaciais são estrategicamente criadas com o intuito de promover o compartilhamento de informação geoespacial entre usuários e provedores, do governo e demais setores da sociedade. O objetivo geral da pesquisa consistiu em analisar como a implantação da governança da segurança da informação poderá contribuir para a eficácia de redes de intercâmbio de dados e informações geoespaciais. Tratou-se de uma pesquisa exploratória, com estudo de caso realizado para uma instituição do Governo Federal participante da INDE. Foi realizada uma pesquisa bibliográfica para identificar modelos de Governança de Segurança da Informação que pudessem ser aplicados aos nós da rede INDE. Também foi elaborada uma análise de riscos para a organização. Como dados primários consideraram-se as percepções dos gestores acerca da adequação dos controles aplicados aos ativos de informação. Discutiu-se uma metodologia para implantação da Governança de Segurança da Informação, no sentido de verificar sua contribuição a este tipo de rede. Verificou-se que a Governança da Segurança da Informação deve ser inserida no contexto da Governança Corporativa. Constatouse também que ameaças diversas podem efetivamente impactar a eficácia dos nós de uma rede de intercâmbio de dados, por meio do comprometimento da disponibilidade, integridade, confiabilidade e autenticidade das informações manipuladas na rede. Concluiu-se pela confirmação da hipótese levantada no início do estudo, visto que foi possível perceber que a implantação da Governança de Segurança da Informação pode efetivamente contribuir para a diminuição dos riscos de Segurança da Informação e Comunicação que podem afetar a continuidade do negócio e o alcance dos objetivos traçados para este tipo de rede de intercâmbio de dados.

15 Abstract Spatial Data Infrastructures are strategically created with the aim to provide geospatial information sharing between providers and users, considering the government and other sectors of the society. The aim of the research was to examine how the implementation of information security governance can contribute to the effectiveness of networks for sharing geospatial data and information. It was an exploratory research, with case study performed for an institution of the Federal Government INDE partcipant. Was made a literature research in order to identify models of Information Security Governance that could be applied to INDE network nodes. Was also drawn up a risk analysis for the organization. As primary data were considered the opinions of managers about the adequacy of controls applied to information assets. Was discussed a methodology for implementation of Information Security Governance, to examine their contribution to this type of network. It was found that the Governance of Information Security must be placed in the context of corporate governance. It was found also several threats that can effectiveness impact the network nodes of data exchange, through the breaking of the availability, integrity, reliability and authenticity of the information handled in the network. It was concluded by the confirmation of the hypothesis at the beginning of the study, since it was revealed that the implementation of Information Security Governance can effectively contribute to reducing the security information and communications risks that can affect business continuity and the reach of the defined goals for this type of data exchange network.

16 7 1 Delimitação do Problema 1.1 Introdução A troca de informações entre instituições do Governo Federal é uma necessidade constante, visto que a execução de políticas públicas por vezes pressupõe o trabalho conjunto entre diferentes órgãos. A Tecnologia da Informação permite que produtores e usuários de dados e informações estejam conectados em redes de computadores, facilitando este intercâmbio. Relativamente ao uso da informação geoespacial na Administração Pública Federal, o aumento da conscientização sobre o papel central dos acordos de compartilhamento de bases de dados geoespaciais, com vistas à integração, compatibilização e disponibilização daquelas consideradas de uso comum, foi um fator que impulsionou a evolução das Infraestruturas de Dados Espaciais no mundo (BRASIL, 2010a). O Decreto no 6.666, de 27/11/2008, instituiu a Infraestrutura Nacional de Dados Espaciais INDE do Brasil, que pode ser entendida como uma grande rede para o intercâmbio de informações geoespaciais entre instituições públicas. De acordo com o decreto supracitado o compartilhamento e disseminação dos dados geoespaciais e seus metadados é obrigatório para todos os órgãos e entidades do Poder Executivo federal e voluntário para os órgãos e entidades dos Poderes Executivos Estadual, Distrital e Municipal. No cenário sugerido pela INDE é inevitável a preocupação com aspectos relacionados à segurança das informações trafegadas na rede. De acordo com a definição do IT Governance Institute (2006), Segurança da Informação consiste em proteger a informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e

17 8 as oportunidades de negócio. Numa outra definição, segurança da informação consiste na preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ABNT, 2006). As definições apresentadas acima representam uma visão moderna acerca da segurança da informação, na qual a informação é vista como recurso estratégico de grande valor para as organizações e, como tal, passa a ser o centro das atenções. Nas organizações atuais, a informação de qualidade é utilizada no processo decisório visando melhorar as decisões tomadas pelos gestores. Assim, o ciclo de vida da informação e sua utilização na organização precisam ser considerados em sua plenitude no momento da implantação das políticas de segurança da informação. A segurança da informação abrange todos os processos de informação, física e eletrônica, independentemente de envolver as pessoas e tecnologia ou relações com os parceiros comerciais, clientes e terceiros (IT GOVERNANCE INSTITUTE, 2006). O autor supra mencionado acrescenta que, embora as definições emergentes do âmbito da segurança da informação estejam adicionando conceitos como utilidade e posse da informação, devem ser considerada a necessidade de confiança e responsabilidade nas transações eletrônicas. Neste contexto, ainda segundo o autor, o objetivo da segurança é satisfeito quando se observa a disponibilidade, confidencialidade, integridade, autenticidade e não repúdio da informação. Percebe-se que a gestão da segurança da informação poderá desempenhar um importante papel na INDE, uma rede de intercâmbio de dados entre organizações públicas, visto que a disponibilidade, a confidencialidade, a integridade e a autenticidade das informações manipuladas terão impacto direto na qualidade das decisões tomadas pelos gestores públicos na elaboração ou acompanhamento de políticas públicas. Com efeito, falhas na segurança da informação poderão comprometer o alcance dos objetivos traçados e dos resultados esperados com a INDE, ou seja, poderão comprometer a eficácia da rede. Quanto à definição de eficácia, Carvalho e Gomes (2000) afirmam que não há consenso sobre a definição do conceito, nem sobre a forma de avaliá-lo. Acrescentam que, para alguns autores, eficácia é sinônimo de produtividade, rentabilidade, desempenho ou rendimento, enquanto que para outros significa

18 9 sobrevivência ou viabilidade. Para Carvalho e Gomes (2000) a perspectiva histórica do conceito de eficácia trata-se de algo que, de forma explícita ou implícita, percorre o pensamento organizacional e acompanha a sua evolução. Entretanto, ressaltam os autores que o entendimento do que é ou deve ser a eficácia refere-se à capacidade de gerar o efeito esperado. Marinho e Façanha (2001) discutiram a efetividade, a eficiência e a eficácia como dimensões da avaliação de programas sociais. Os autores ponderaram que a eficácia remete a condições controladas e a resultados desejados. Especificamente quanto aos programas sociais, afirmaram ainda que seja regido por objetivos de eficácia, uma vez que, os investimentos que mobilizam devem produzir os efeitos desejados. Mesmo considerando que a INDE não se trata de um programa social, a afirmação dos autores quanto à eficácia é relevante e oportuna, visto que se esperam resultados que correspondam aos investimentos realizados pelo Poder Público nesta iniciativa. A Governança da Segurança da Informação aparece como uma opção a ser considerada pelos gestores da INDE no sentido de buscar a eficácia da rede. Governança da segurança da informação é um subconjunto de Governança Corporativa que fornece orientação estratégica, garante que os objetivos sejam alcançados, gerencia riscos de forma adequada, usa os recursos organizacionais de forma responsável, e monitora o sucesso ou fracasso do programa de segurança da empresa (IT GOVERNANCE INSTITUTE, 2006). O autor acrescenta que a governança da segurança da informação é de responsabilidade do corpo diretivo das empresas, devendo ser parte integrante e transparente da governança empresarial e estar alinhada com a estrutura de Governança de Tecnologia da Informação. Os benefícios proporcionados pela governança da segurança da informação podem agregar valor às organizações, visto que melhoram a confiança nos relacionamentos com os clientes e parceiros; protegem a reputação das organizações; reduzem a probabilidade de violações; sugerem novas e melhores maneiras de processar transações eletrônicas; reduzem custos operacionais, pela atenuação de fatores de riscos que podem interromper o processo (IT GOVERNANCE INSTITUTE, 2006). A implantação da governança da segurança da informação nas organizações está ancorada em padrões reconhecidos internacionalmente, normas de segurança

19 10 adotadas nos países ou modelos acadêmicos desenvolvidos especificamente para esta finalidade. As particularidades de cada organização devem ser consideradas quando se procura identificar potenciais benefícios ou definir possíveis modelos de implantação da governança da segurança da informação. Especificamente quanto à INDE, o desafio consiste também em estabelecer como a governança da segurança da informação poderá auxiliar na proteção da informação, além de mensurar os reflexos na sua eficácia. 1.2 Formulação da Situação Problema A INDE do Brasil pode ser entendida como uma rede de compartilhamento de dados e informações geográficas, que envolve obrigatoriamente a participação de instituições do Governo Federal, e opcionalmente de Governos Estaduais e Municipais. Pretende-se que as informações espaciais sobre a região geográfica relativa aos limites do Brasil estejam disponíveis por meio desta rede para auxiliar os gestores públicos nas tomadas de decisões relativas à elaboração de políticas públicas. Se por um lado o avanço tecnológico proporcionou que os sistemas empresariais se tornassem cada vez mais interconectado, por outro lado as informações manipuladas nos sistemas em rede tornaram-se expostas a um número crescente de ameaças e vulnerabilidades. A segurança da informação é crucial para o perfeito funcionamento da INDE, visto que tal iniciativa baseia-se totalmente na utilização dos recursos de Tecnologia da Informação e Comunicação, especialmente aqueles compreendidos no universo das redes de computadores. Neste contexto, um desafio para o Corpo Gestor das organizações participantes da INDE consiste em garantir a disponibilidade, integridade, confidencialidade e autenticidade das informações distribuídas por meio da INDE, sob pena de não conseguir atingir o objetivo principal da rede, ou seja, o compartilhamento da informação geoespacial. Com efeito, um incidente de segurança pode comprometer a eficácia de redes como a INDE. Para tais gestores, do ponto de vista estratégico, também é relevante provar que a implantação de métodos relacionados à Governança de Segurança da Informação pode contribuir para a diminuição dos riscos de segurança inerentes à

20 11 atuação na rede INDE e efetivamente auxiliar no alcance dos objetivos estabelecidos. Ressalta-se como objeto de discussão o papel da Governança da Segurança da Informação em relação à eficácia das redes de intercâmbio de dados e informações geoespaciais. Assim, foi proposta a seguinte questão de pesquisa: Como a implantação da governança da segurança da informação poderá contribuir para a eficácia da INDE? 1.3 Objetivos e Escopo Objetivo Geral O objetivo principal desta pesquisa é analisar como a implantação da governança da segurança da informação poderá contribuir para a eficácia de Redes de Intercâmbio de Dados e Informações Geoespaciais Objetivos Específicos Para atingir o objetivo proposto foram definidos três objetivos específicos, a saber: 1. Avaliar riscos, de forma a identificar as ameaças e vulnerabilidades que podem acometer as informações armazenadas e manipuladas, e que podem impactar na eficácia deste tipo de redes; 2. Identificar modelos de governança da segurança da informação que poderão ser utilizados na implantação de tais redes; 3. Discutir etapas necessárias à implantação da governança da segurança da informação em redes de intercâmbio de dados e informações geoespaciais Escopo O objeto do estudo corresponde a um nó da rede Infraestrutura Nacional de Dados Espaciais. Serão consideradas as seguintes instâncias, para fins de delimitação do objeto de estudo: Diretório Brasileiro de Dados Geoespaciais - DBDG: sistema de servidores de dados, distribuídos na rede mundial de computadores, capaz de reunir eletronicamente produtores, gestores e usuários de dados geoespaciais, com vistas ao armazenamento, compartilhamento e acesso a esses dados e aos serviços relacionados;

21 12 Portal Brasileiro de Dados Geoespaciais: denominado SIG-Brasil, consiste num geoportal que serve de ponto de entrada ao DBDG; Nó da Infraestrutura Nacional de Dados Espaciais: Instituição do Governo Federal que implantou e mantém uma infraestrutura para dados espaciais em conformidade com os padrões estabelecidos para a INDE. 1.4 Justificativa A INDE objetiva o intercâmbio de informações espaciais entre diferentes instituições públicas dos governos estaduais e federal, cada uma delas com sua cultura, comportamento, políticas e processos estabelecidos. Desta forma, a rede pressupõe a existência de uma política de segurança da informação, capaz de respeitar as políticas de cada organização participante ao mesmo tempo em que garanta a disponibilidade, confiabilidade, integridade e autenticidade das informações que serão utilizadas no processo decisório por parte dos gestores públicos. O Plano de Implantação da INDE contempla aspectos de segurança da informação, ao descrever a Política de Segurança da Informação e Comunicações para o Diretório Brasileiro de Dados Geoespaciais, visando proteger o acervo de dados recebidos, tratados, produzidos, utilizados, transportados e armazenados no Portal Brasileiro de Dados Geoespaciais (BRASIL, 2010b). Relativamente ao atendimento dos objetivos traçados, (IT GOVERNANCE INSTITUTE, 2006) destaca que a segurança da informação deve ser uma parte integrante da governança da empresa, alinhada com a governança de tecnologia da informação e integrada na estratégia, conceito, design, implantação e operação. O mesmo autor argumenta que proteger a informação crítica deve constituir um dos principais pontos a serem considerados nas estratégias de gestão e deve também ser reconhecida como um fator crucial para o sucesso. De forma complementar, (BUSINESS SOFTWARE ALLIANCE, 2010) afirma que a segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infra-estruturais críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico ou o comércio eletrônico, e evitar ou reduzir os riscos relevantes.

22 13 O aumento da conectividade expõe as organizações a uma variedade de ameaças e vulnerabilidades. Fatores internos e externos, tais como tecnológicos, físicos, humanos e políticos devem ser considerados na gestão da segurança das informações em rede, no sentido de buscar a diminuição dos riscos à continuidade do negócio (CUNHA, 2008). É fundamental avaliar os riscos à que estão expostas as informações da INDE para que seja possível direcionar as ações para eliminar ou reduzir tais ameaças e vulnerabilidades. Porém, não se trata apenas de propor uma política de segurança de informação para a rede. Propõe-se demonstrar que a governança da segurança da informação pode ser uma ferramenta gerencial de auxílio ao alcance dos objetivos traçados nos planejamentos estratégicos da INDE. O funcionamento da rede é baseado em aplicações de geotecnologias por meio da Internet, que permitirão a troca de informações entre os participantes e o oferecimento de informações para suporte à tomada de decisão. Portanto, a segurança da informação na INDE não é uma questão meramente técnica, pois precisa ser encarada como fator crítico de sucesso para o cumprimento da missão e que deve ser sistematicamente gerenciada. Os benefícios que poderão ser proporcionados pela governança da segurança da informação, além do valor agregado às instituições que implantam esta ferramenta de gestão, podem contribuir para a eficácia da INDE. Destaca-se a viabilidade da pesquisa, uma vez que a INDE é amplamente divulgada pela CONCAR e pelos demais parceiros nos meios de comunicação, sendo o acesso aos documentos oficiais facilitado pelo IBGE, responsável pela construção, disponibilização e operação do Portal Brasileiro de Dados Geoespaciais SIG Brasil, bem como pela gestão do Diretório Brasileiro de Dados Geoespaciais DBDG, além da apresentação das propostas dos recursos necessários para a implantação e manutenção da INDE. Acredita-se que o Conselho Superior da INDE possua interesse no desenvolvimento de trabalhos desta natureza, visto que tias estudos contribuem para o aperfeiçoamento da rede. Considerando o cenário da INDE, marcado pela complexidade das relações institucionais e pela participação simultânea de instituições do Governo Federal, e possivelmente dos governos Estadual e Municipal, acredita-se que o resultado desta pesquisa poderá servir de base em outras iniciativas relacionadas à implantação da gestão da segurança da informação em organizações públicas.

23 14 Finalmente, destaca-se o potencial estratégico de aprofundar os conhecimentos acerca da segurança da informação nesta importante rede de intercâmbio de informações, visto que, conforme descrito na página de apresentação do Portal SIGBrasil a INDE nasce com o propósito de catalogar, integrar e harmonizar dados geoespaciais existentes nas instituições do governo brasileiro, produtoras e mantenedoras desse tipo de dado, de maneira que possam ser facilmente localizados, explorados e acessados para os mais diversos usos, por qualquer cliente que tenha acesso à Internet. 1.5 Hipótese Como hipótese básica assumiu-se que a governança da segurança da informação aparece como uma alternativa para a diminuição dos riscos potenciais quanto às informações manipuladas na INDE. A implantação da governança da segurança da informação poderá contribuir para que os participantes estejam cientes da necessidade de segurança da informação, sobre o que poderá ser feito para melhorar a segurança e, principalmente, como a exposição a ameaças e vulnerabilidades poderá afetar a continuidade do negócio e o alcance dos objetivos traçados durante o planejamento da INDE.

24 15 2 Revisão de Literatura e Fundamentos 2.1 Infraestrutura Nacional de Dados Espaciais - INDE Por meio do decreto n 6666, de 27 de novembro de 2008, a Presidência da República instituiu no âmbito do Poder Executivo Federal, a Infraestrutura Nacional de Dados Espaciais INDE. A Infraestrutura Nacional de Dados Espaciais INDE refere-se ao conjunto integrado de tecnologias; políticas; mecanismos e procedimentos de coordenação e monitoramento; padrões e acordos, necessário para facilitar e ordenar a geração, o armazenamento, o acesso, o compartilhamento, a disseminação e o uso dos dados geoespaciais de origem federal, estadual, distrital e municipal (BRASIL, 2010b). De acordo como citado decreto, a INDE do Brasil tem por objetivo promover o adequado ordenamento na geração, no armazenamento, no acesso, no compartilhamento, na disseminação e no uso dos dados geoespaciais de origem federal, estadual, distrital e municipal, em proveito do desenvolvimento do País. Também são objetivos da INDE brasileira promover a utilização, na produção dos dados geoespaciais pelos órgãos públicos das esferas federal, estadual, distrital e municipal, dos padrões e normas homologados pela Comissão Nacional de Cartografia - CONCAR; e evitar a duplicidade de ações e o desperdício de recursos na obtenção de dados geoespaciais pelos órgãos da administração pública, por meio da divulgação dos metadados relativos a esses dados disponíveis nas entidades e nos órgãos públicos das esferas federal, estadual, distrital e municipal. Com a criação da INDE o compartilhamento e disseminação dos dados geoespaciais e seus metadados é obrigatório para todos os órgãos e entidades do Poder Executivo federal e voluntário para os órgãos e entidades dos Poderes Executivos estadual, distrital e municipal (BRASIL, 2010b). Desta forma, conforme

25 16 preceitua o Decreto Presidencial, os órgãos e entidades do Poder Executivo federal deverão, na produção, direta ou indireta, ou na aquisição dos dados geoespaciais, obedecer aos padrões estabelecidos para a INDE e às normas relativas à Cartografia Nacional. Tais entidades também deverão consultar a CONCAR antes de iniciar a execução de novos projetos para a produção de dados geoespaciais, visando eliminar a duplicidade de esforços e recursos. Dado ou informação geoespacial, segundo definição explicitada no decreto de criação da INDE é aquele que se distingue essencialmente pelo componente espacial, que associa a cada entidade ou fenômeno uma localização na Terra, traduzida por sistema geodésico de referência, em dado instante ou período de tempo, podendo ser derivado, entre outras fontes, das tecnologias de levantamento, inclusive as associadas a sistemas globais de posicionamento apoiados por satélites, bem como de mapeamento ou de sensoriamento remoto. O decreto especifica ainda que o Diretório Brasileiro de Dados Geoespaciais DBDG consiste no sistema de servidores de dados, distribuídos na rede mundial de computadores, capaz de reunir eletronicamente produtores, gestores e usuários de dados geoespaciais, com vistas ao armazenamento, compartilhamento e acesso a esses dados e aos serviços relacionados. O portal que disponibilizará os recursos do DBDG para publicação ou consulta sobre a existência de dados geoespaciais, bem como para o acesso aos serviços relacionados, definido como o Portal Brasileiro de Dados Geoespaciais, foi denominado de Sistema de Informações Geográficas do Brasil - SIG Brasil. Conforme especificado no Plano de Ação para Implantação da INDE do Brasil, o Diretório Brasileiro de Dados Geoespaciais deverá ser implantado segundo uma arquitetura multicamadas. A figura 1 a seguir ilustra a arquitetura em camadas do DBDG, a qual será comentada a seguir nos termos descritos no referido Plano.

26 17 Figura 1: Arquitetura do DBDG (Fonte: Brasil, 2010b, p. 99). A camada de aplicações é composta por navegadores web ou por aplicações que se situam nos domínios do cliente. Tanto navegadores quanto aplicações podem interagir com o DBDG via Portal SIG Brasil, enquanto que acessos diretos aos servidores de dados geoespaciais do DBDG, situados nos nós da rede, são possíveis por meio web services. A camada intermediária assume diversas funções, tais como o registro de usuários; o controle de acesso às informações armazenadas nos catálogos globais; o processamento das requisições geradas pela camada de aplicações; a agregação dos metadados dos catálogos dos servidores remotos; a possibilidade de acesso simplificado aos recursos do DBDG; dentre outras. O Portal SIG Brasil e o módulo de administração são componentes da camada intermediária. A camada dos servidores é constituída de servidores de dados geoespaciais, servidores de web services, servidores de arquivos e servidores de metadados sob responsabilidade das organizações produtoras de dados geoespaciais que integram o DBDG.

27 18 O conjunto de servidores sob responsabilidade de uma entidade provedora de dados geoespaciais é denominado nó. O DBDG pode ser caracterizado como uma rede de nós que interoperam por meio de interfaces baseadas em padrões abertos e que utilizam a rede mundial de computadores como meio físico de comunicação (BRASIL, 2010b). De acordo com o Plano de Ação para Implantação, a composição de serviços e dados geoespaciais oferecidos por um nó é de responsabilidade exclusiva da organização a qual se encontra vinculado. A organização deve observar requisitos mínimos definidos para os nós da rede INDE. Dentre os requisitos não funcionais que devem ser considerado na implantação do DBDG, destacam-se os seguintes (BRASIL, 2010b): Devem ser seguidas as recomendações do e-ping e e-mag; A instituição produtora de informações geográficas, responsável pelo nó, deverá garantir uma disponibilidade mínima de 90%, considerando-se um dia de 8h; Os servidores deverão permitir uma fácil agregação de recursos a fim de atender demandas futuras decorrentes de aumento do volume de dados armazenados e queda de desempenho por aumento de conexões simultâneas; A estrutura de fornecimento de energia deverá ser capaz de manter a continuidade de operação dos servidores por períodos compatíveis com os parâmetros definidos para a disponibilidade; O tempo médio de reparação de falhas nos subsistemas componentes de um nó deve ser inferior às 24h; O tempo de resposta da aplicação servidora de mapas deve ser inferior a 8s; Os canais de Internet devem ter banda passante mínima de 512 kbps exclusiva para integração ao DBDG. O nó deverá ser dotado de recursos de proteção (hardware/software) que garantam a integridade dos dados e metadados armazenados em seus servidores;

28 19 O acesso de usuários/aplicações para download de dados poderá ser realizado mediante identificação implementada pela instituição produtora da informação; Deverão ser implementadas estratégias que garantam integridade dos metadados durante operações de transferência para o catálogo global de metadados; Recomenda-se que os servidores e dispositivos de rede tenham redundância a fim de garantir os índices mínimos de desempenho estabelecidos nos requisitos não funcionais gerais. Recomenda-se que os computadores utilizados para hospedagem das aplicações relacionadas sejam homologados para operação com alguma distribuição de sistema operacional de código aberto. Os novos equipamentos deverão ser adquiridos com garantia mínima de dois anos e suporte onsite, com tempo de atendimento máximo de 24h. A implementação dos servidores de mapa e de metadados deverá ser compatível com os serviços especificados pelo Open Geospatial Consortium - OGC: Web Map Service - WMS e Catalog Service Web - WMS. Serviços adicionais que venham a ser oferecidos pela instituição deverão seguir, sempre que possível, as especificações OGC correspondentes. O DBDG prevê duas possibilidades para publicação de metadados e dados geoespaciais no Portal. A primeira delas consiste em usar infraestrutura própria da instituição fornecedora dos metadados e dados geoespaciais. A outra possibilidade refere-se ao uso da infraestrutura do Instituto Brasileiro de Geografia e Estatística, que hospedará metadados e dados geoespaciais de instituições que não dispõem da infraestrutura necessária aderente aos requisitos do e-ping e da INDE. 2.2 A Segurança da Informação e Comunicações na Administração Pública Federal Brasileira A Instrução Normativa do Gabinete de Segurança Institucional da Presidência da República - GSI/PR nº 1, de 13 de junho de 2008 disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta. As definições e competências relatadas nos próximos parágrafos desta seção foram obtidas no texto da Instrução Normativa supracitada.

29 20 Para os fins da Instrução Normativa GSI/PR nº 1, entende-se por Política de Segurança da Informação e Comunicações o documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implantação da segurança da informação e comunicações. A Segurança da Informação e Comunicações - SIC corresponde às ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações Neste contexto, disponibilidade refere-se à propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade. A integridade diz respeito à propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental. A propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado é definido como confidencialidade. A autenticidade definiu-se como a propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade. A Gestão de Segurança da Informação e Comunicações foi definida como as ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à Tecnologia da Informação e Comunicações. A Instrução Normativa GSI/PR nº 1 estabeleceu as competências do Gabinete de Segurança Institucional da Presidência da República - GSI, por intermédio do Departamento de Segurança da Informação e Comunicações - DSIC, a saber: Planejar e coordenar as atividades de segurança da informação e comunicações na Administração Pública Federal, direta e indireta; Estabelecer normas definindo os requisitos metodológicos para implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da Administração Pública Federal, direta e indireta;

30 21 Operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da Administração Pública Federal, direta e indireta, denominado CTIR.GOV; Elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos em segurança da informação e comunicações; Orientar a condução da Política de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta; Receber e consolidar os resultados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações da Administração Pública Federal, direta e indireta; Propor programa orçamentário específico para as ações de segurança da informação e comunicações. Competências do Comitê Gestor de Segurança da Informação também foram estabelecidas na instrução normativa, quer sejam assessorar o GSI no aperfeiçoamento da Gestão de Segurança da Informação e Comunicações da Administração Pública Federal, direta e indireta; e instituir grupos de trabalho para tratar de temas específicos relacionados à segurança da informação e comunicações. Aos demais órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de atuação, nos termos da instrução normativa, foram atribuídos as seguintes competências: Coordenar as ações de segurança da informação e comunicações; Aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança; Propor programa orçamentário específico para as ações de segurança da informação e comunicações; Nomear Gestor de Segurança da Informação e Comunicações; Instituir e programar equipe de tratamento e resposta a incidentes em redes computacionais; Instituir Comitê de Segurança da Informação e Comunicações; Aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da informação e comunicações;

31 22 Remeter os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o GSI. Especificamente quanto ao Comitê de Segurança da Informação e Comunicações, foi estabelecido que observado seu âmbito de atuação, compete: Assessorar na implementação das ações de segurança da informação e comunicações; Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações; Propor alterações na Política de Segurança da Informação e Comunicações; Propor normas relativas à segurança da informação e comunicações. Foram definidas as seguintes incumbências aos Gestores de Segurança da Informação e Comunicações: Promover cultura de segurança da informação e comunicações; Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança; Propor recursos necessários às ações de segurança da informação e comunicações; Coordenar o Comitê de Segurança da Informação e Comunicações e a equipe de tratamento e resposta a incidentes em redes computacionais; Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações; Manter contato direto com o DSIC para o trato de assuntos relativos à segurança da informação e comunicações; Propor normas relativas à segurança da informação e comunicações A Metodologia de Gestão de Segurança da Informação e Comunicações da Administração Pública Federal Brasileira Por meio da Norma Complementar n 2 de 13 de outubro de 2008, o DSIC definiu a metodologia de gestão de segurança da informação e comunicações utilizada pelos órgãos e entidades da Administração Pública Federal, direta e indireta.

32 23 A metodologia apresentada na norma tem caráter complementar aos primeiros processos de Gestão de Segurança da Informação e Comunicações, previstos na Instrução Normativa GSI/PR nº 1, de 13 de junho de De acordo com o texto da referida norma a metodologia de gestão de segurança da informação e comunicações baseia-se no processo de melhoria contínua, denominado ciclo PDCA (Plan-Do-Check-Act), Os critérios utilizados para a escolha da metodologia, segundo especificado na norma complementar supramencionada, foram a simplicidade do modelo; a compatibilidade com a cultura de gestão de segurança da informação em uso nas organizações públicas e privadas brasileiras e a coerência com as práticas de qualidade e gestão adotadas em órgãos públicos brasileiros. Segundo descrito na norma complementar, o ciclo PDCA foi referenciado pela norma ABNT NBR ISO/IEC 27001:2006. Nos próximos parágrafos desta seção, apresentam-se resumidamente as fases previstas na metodologia, nos termos descritos na Norma Complementar n 2 de 13 de outubro de 2008 do DSIC. A fase Planejar ( Plan P ) é a fase do ciclo na qual o Gestor de Segurança da Informação e Comunicações planejará as ações de segurança da informação e comunicações que serão implementadas, considerando os requisitos ou pressupostos estabelecidos pelo planejamento organizacional, bem como as diretrizes expedidas pela autoridade decisória de seu órgão ou entidade. A fase Fazer ( Do D ) é a fase do ciclo na qual o Gestor de Segurança da Informação e Comunicações implementará as ações de segurança da informação e comunicações definidas na fase anterior. A fase Checar ( Check C ) é a fase do ciclo na qual o Gestor de Segurança da Informação e Comunicações avaliará as ações de segurança da informação e comunicações implementadas na fase anterior. A fase Agir ( Act A ) é a fase do ciclo na qual o Gestor de Segurança da Informação e Comunicações aperfeiçoará as ações de segurança da informação e comunicações, baseando-se no monitoramento realizado na fase anterior Gestão de Riscos de Segurança da Informação e Comunicação na Administração Pública Federal Brasileira As diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações GRSIC nos órgãos ou entidades da Administração

33 24 Pública Federal, direta e indireta foram estabelecidas na Norma Complementar n 4 do DSIC, cujo teor será apresentado nos parágrafos seguintes. Para os efeitos da referida norma, definiu-se como ameaça o conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. Por outro lado, vulnerabilidade corresponde ao conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação interna de segurança da informação. Ainda de acordo com as definições para efeitos da norma complementar n 4 do DSIC, a avaliação de riscos corresponde ao processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. A estimativa de riscos diz respeito ao processo utilizado para atribuir valores à probabilidade e conseqüências de um risco. Segundo definido na norma, Gestão de Riscos de Segurança da Informação e Comunicações refere-se ao conjunto de processos que permite identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos; Quanto às diretrizes gerais do processo de Gestão de Riscos de Segurança da Informação e Comunicações GRSIC versa a norma que deverão considerar, prioritariamente, os objetivos estratégicos, os processos, os requisitos legais e a estrutura do órgão ou entidade da Administração Pública Federal, direta e indireta, além de estarem alinhadas à respectiva Política de Segurança da Informação e Comunicações do órgão ou entidade. O processo de Gestão de Riscos de Segurança da Informação e Comunicações GRSIC deve ser contínuo e aplicado na implementação e operação da Gestão de Segurança da Informação e Comunicações e, conforme definido na Norma Complementar nº 02 do DSIC, devem estar alinhados ao modelo PDCA. A norma estabelece os procedimentos para uma abordagem sistemática do processo Gestão de Riscos de Segurança da Informação e Comunicações GRSIC, com o objetivo de manter os riscos em níveis aceitáveis. A figura 2 a seguir apresenta o processo de gestão de riscos previstos na norma complementar n 4 do DSIC.

34 25 Figura 2: Processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC (Fonte: Departamento de Segurança da Informação e Comunicações do GSIPR, 2009, Anexo A) A Política de Segurança da Informação e Comunicações para o DBDG Em conformidade com a Instrução Normativa n 1 do GSI/PR nº 1, de 13 de junho de 2008, foi elaborada uma Política de Segurança da Informação e Comunicações - POSIC para o DBDG. A POSIC-DBDG foi relatada no Plano de

35 26 Ação para Implantação da INDE. Com base em tal relato, apresentamos os destaques a segui. A POSIC-DBDG estabelece princípios doutrinários para a implantação, atribuição de responsabilidades e manutenção da estrutura estabelecida para a Segurança da Informação e Comunicações para a INDE, a fim de proteger o acervo de dados recebidos, tratados, produzidos, utilizados, transportados e armazenados no Portal Brasileiro de Dados Geoespaciais, assim como manter o acesso aos seus serviços, sob a responsabilidade técnica e administrativa do IBGE. Foi definida uma estruturação de Gestores de Segurança da Informação e Comunicações - GesSIC. Conforme definição, cada órgão ou entidade participante do DBDG deverá nomear formalmente um GesSIC para assumir a responsabilidade pela condução da POSIC-DBDG e seus respectivos sistemas e servidores que concentram dados geoespaciais. Definiu-se que o referido representante deverá ter o entendimento necessário para conduzir o assunto, bem como a respectiva autoridade para conduzir os ajustes necessários, a fim de implementar a segurança de dados interna e atender às solicitações do gestor do DBDG. Acerca dos GesSIC nomeados pelos órgãos e entidades participantes da INDE, foi estabelecido que atuassem sob a orientação, orquestração e supervisão de um GesSIC coordenador-geral, do IBGE, a quem caberá conduzir a aplicação da POSIC-DBDG. Quanto às responsabilidades previstas pela POSIC-DBDG, compete ao Coordenador-Geral dos GesSIC-DBDG: Cumprir a política de segurança da informação e comunicações, bem como as respectivas normas básicas de segurança estabelecidas para a INDE; Interagir com os demais GesSIC-DBDG, de modo a acompanhar o cumprimento das medidas de segurança estabelecidas; Zelar pelo fortalecimento da cultura de segurança; Manter um programa de treinamento de SIC para os GesSIC-DBDG; Manter o DBDG preparado para eventuais auditorias internas ou externas, referentes à SIC; e Orientar e orquestrar a atuação dos GesSIC-DBDG.

36 27 Relativamente ao GesSIC, à vista dos meios disponíveis e das orientações do coordenador-geral, foram atribuídas as seguintes competências: Sugerir procedimentos e medidas de proteção para o aperfeiçoamento da infraestrutura da SIC existente; Implementar a política de segurança da informação e comunicações, bem como cumprir as respectivas normas básicas de segurança estabelecidas para o DBDG; Assessorar o coordenador-geral nos assuntos de SIC de seu órgão ou entidade; Alterar, propor, analisar e verificar se os requisitos de SIC estão sendo praticados em conformidade com a política de SIC, de modo a se obter o efeito desejado; Identificar os recursos de informática de seu órgão ou entidade que necessitam de proteção, de acordo com o respectivo grau de sigilo da informação por eles processada ou armazenada. Esse procedimento de identificação deverá estar explícito formalmente; Reportar prontamente os incidentes de SIC ao coordenador-geral, após uma avaliação preliminar, visando ao aperfeiçoamento de medidas de proteção; Elaborar e encaminhar ao coordenador-geral relatório de análise de riscos e vulnerabilidades, ao menos uma vez por ano; Analisar o impacto da descontinuidade ou implantação de serviços, e suas conseqüências para o contexto da INDE, estabelecendo um plano de contingência; Apresentar, implementar, revisar e adequar anualmente o plano de contingência, promovendo testes periódicos no órgão ou entidade participante; Exigir do pessoal externo autorizado a executar serviços que envolvam os recursos computacionais do DBDG a assinatura do Termo de Compromisso Individual, Termo de Cessão de Equipamento do DBDG, bem como o cumprimento das regras estabelecidas nos referidos Termos;

37 28 Adotar providências para que os serviços (instalações, manutenções ou correções) sejam executados sem comprometer a segurança dos sistemas de informações digitais; e Garantir, à vista dos meios disponíveis e das orientações superiores recebidas, que todos os atores da INDE participantes do DBDG estejam cientes da política de SIC em vigor, por meio da assinatura do Termo de Compromisso Individual e do Termo de Cessão de Equipamento do DBDG. Em relação aos Componentes das Equipes dos Sistemas de Informações dos Órgãos e Entidades Participantes da INDE, observaram-se as seguintes responsabilidades: Não divulgar características da rede local, equipamentos servidores, e aspectos de segurança aplicados no desenvolvimento de serviços; Auxiliar o GesSIC na divulgação de regras de segurança estabelecidas para a INDE; Assessorar o GesSIC, quando solicitado, na avaliação dos incidentes de SIC; Estabelecer procedimentos para garantir que as cópias de segurança (backups) estejam sendo feitas e guardadas de forma correta e segura; e Executar exercícios do plano de contingência. Finalmente, destaca-se ainda a aplicabilidade da POSIC-DBDG, visto que suas medidas de segurança aplicam-se: Às atividades que envolvam trâmite, processamento ou arquivamento de informação em meio eletrônico; Aos recursos de informática e aos sistemas de informações digitais; Aos usuários internos e externos, aos GesSIC-DBDG e aos componentes dos setores de TI dos respectivos órgãos e entidades participantes que interagem com os serviços disponibilizados e com as bases de dados sob o contexto da INDE; e Aos contratos efetuados com empresas, ou terceiros, cujo escopo envolva acessos à informação digital de qualquer espécie, estando à mesma disposta de modo integrado ou não, disponível em um (ou mais)

38 29 computador (es), servidor (es) ou em mídias, por meio da rede local, de uma Intranet ou da Internet. 2.3 Governança Governança Corporativa Para Alves, Carmo e Almeida (2006) Governança é o ato de criação e manutenção de uma estrutura corporativa ótima e eficiente. Segundo os autores tal cenário pode ser alcançado pela integração de pessoas, processos e tecnologia, e pela criação de uma apropriada cultura organizacional para atingir o sucesso corporativo. Conceitos importantes relacionados à Governança foram relacionados por Alves, Carmo e Almeida (2006), os quais serão apresentados sucintamente a seguir. O conceito de visão refere-se à percepção de que o mercado precisa e como a organização irá suportá-lo. A missão é o conjunto formalizado de intenções e aspirações para serem intencionalmente disseminados por todos os departamentos de uma organização. Relativamente à transparência, argumentaram os autores que os principais executivos da organização devam prover todas as informações pertinentes, além daquelas exigidas por lei ou regulamento, assim que estiverem disponíveis, a todos os interessados, prevalecendo o conteúdo sobre a forma. Complementaram os citados autores que o Conselho de Administração deva fornecer informação transparente, usando um formato acessível para o público alvo. A equidade pode ser caracterizada por um tratamento igual e justo para grupos minoritários, acionistas, parceiros, clientes, fornecedores, credores e outros. Para Alves, Carmo e Almeida (2006) abordagens discriminatórias ou políticas são totalmente inaceitáveis sob quaisquer circunstâncias. Quanto à responsabilidade, os autores afirmaram que os agentes da governança corporativa devam sempre fornecer relatórios de seu desempenho, assim sendo totalmente responsável por todos os seus atos. Por outro lado, ainda na visão dos autores, o conceito de responsabilidade corporativa sugere que executivos e membros do conselho devam olhar além da sustentabilidade das suas organizações, levando em conta questões sociais e ambientais. Para os autores

39 30 supracitados, responsabilidade corporativa é uma visão mais ampla da estratégia, incluindo todas as relações com a comunidade onde a empresa está inserida. Para Ohki, Harada e Kawaguchi (2009) Governança Corporativa inclui todos os aspectos de governança para lidar com todos os tipos de riscos. Discorreram os autores que os executivos são responsáveis pela Governança Corporativa, pela Governança de Tecnologia da Informação e também são pela Governança da Segurança da Informação. Acerca do tema, afirmaram os citados autores que, a relação entre Gestão da Segurança da Informação e Gestão da Tecnologia da Informação não está claramente definida, embora a segurança da informação seja um dos grandes temas em Gestão de Tecnologia da Informação. Gestão da Segurança da Informação inclui não só a segurança de Tecnologia da Informação, mas também segurança física (OHKI, HARADA e KAWAGUCHI, 2009) Governança de Tecnologia da Informação Bernardes e Moreira (2005) afirmaram que os modelos COBIT e ITIL são reconhecidos e adotados em larga escala internacionalmente. Ainda segundo os autores, tais modelos possuem uma coleção das melhores práticas para auxiliar a Governança da Tecnologia da Informação e Comunicação, compiladas a partir da experiência profissional e práticas de especialistas que desenvolvem suas pesquisas pelo mundo todo. Sortica, Clementi e Carvalho (2004) realizaram um comparativo prático entre as metodologias COBIT e ITIL, além de analisar um estudo de caso sob a ótica de tais metodologias. As figuras 3 e 4 a seguir, apresentam os domínios de processo do CobiT e os processos do ITIL, respectivamente. Os mencionados autores explicaram a integração dos domínios do CoBIT, apresentados na figura 3, de modo que a informação é requisito para o domínio de Planejamento e Organização e seus processos; os requisitos de saída do do domínios Planejamento e Organização são requisitos de entrada de informação para o domínio de Aquisição e Implementação, que por sua vez definem os requisitos de entrada para o domínio de Entrega e Suporte; ao passo que o domínio de Monitoração utiliza as informações de Entrega e Suporte nos seus processos e atividades relacionadas.

40 31 Figura 3: Domínios de processos do CobiT (Fonte: Sortica, Clemente e Carvalho, 2004, p. 4). Em relação ao ITIL Sortica, Clementi e Carvalho (2004) argumentaram que tem como foco principal, a operação e a gestão da infra-estrutura de tecnologia na organização, incluindo todos os assuntos que são importantes no fornecimento dos serviços de TI. A figura 4 apresenta os processos do ITIL, os quais são subdivididos em Gerenciamento de Aplicações, Gerenciamento de Serviços e Gerenciamento de Infra-estrutura de Tecnologia de Comunicações e de Informação.

41 32 Figura 4: Processos do ITIL (Fonte: Sortica, Clemente e Carvalho, 2004, p. 7). Ohki, Harada e Kawaguchi (2009) entendem que o gerenciamento dos ativos de informação deveria ser um elemento de destaque na estratégia de negócios e que medidas de Segurança da Informação são diretamente ligadas ao valor da organização. Argumentaram os autores que, se por um lado as atividades de negócio são profundamente dependentes da infraestrutura de Tecnologia da Informação, qualquer acidente de Tecnologia da Informação pode causar uma grande perda para a empresa. A figura 5 apresenta a relação entre Gestão da Segurança da Informação e Gestão da Tecnologia da Informação, na visão de Ohki, Harada e Kawaguchi (2009).

42 33 Figura 5: Relação entre Governança de Tecnologia da Informação e Governança de Segurança da Informação (Fonte: Ohki, Harada e Kawaguchi, 2009, p. 3). Neste sentido, cada vez mais a Governança Corporativa e a Governança de Tecnologia da Informação englobam a Segurança da Informação. Governança e Gestão de Segurança são mais eficazes quando são sistêmicas e quando a responsabilidade pela segurança empresarial é atribuído às funções que detém a autoridade necessária, responsabilidade e recursos para implementar e aplicar as ações necessárias (KORHONEN, YILDIZ e MYKKÄNEN, 2009) Governança de Segurança da Informação Governança de Segurança da Informação é o ato de dirigir e controlar uma organização alinhado com a estratégia e objetivos de negócio, estabelecendo e mantendo uma cultura de segurança da informação, otimizando os processos relacionados e atribuindo atividades para as pessoas mais competentes para realizar as ações necessárias (ALVES, CARMO e ALMEIDA, 2006). No trabalho de Hone e Eloff (2009) a Governança de Segurança da Informação foi definida como a orientação e controle das atividades de Segurança da Informação de uma organização através do estabelecimento de políticas aplicáveis, processos e procedimentos baseados nos riscos enfrentados pelos ativos de informação da organização.

43 34 Discorreram os autores sobre a temática, argumentando que esta definição implica que a Governança de Segurança da Informação consiste em atividades destinadas a gerir o nível predefinido de segurança, proporcional ao risco enfrentado pela organização, de todos os ativos de informação, independentemente do seu estado. Em artigo publicado pela Business Software Alliance (2010), organização comercial que envolve empresas desenvolvedoras e software e instituições governamentais de mais de 60 países em todo o mundo, o autor destaca que a segurança da informação não é apenas uma questão técnica, mas um desafio de governança corporativa. Para o autor, as organizações podem sobreviver à perda de outros ativos, incluindo instalações, equipamentos e pessoas, mas poucos podem superar a perda de suas informações críticas. Portanto, a gestão da segurança torna-se uma faceta crítica da governança corporativa. Segundo Bernardes e Moreira (2005), é muito comum encontrar um cenário onde as questões de segurança computacional não são tratadas em um nível de gestão da organização, tendo como conseqüência a falta de recursos para minimizar os riscos existentes ao nível exigido pela estratégia organizacional e definido pela análise de risco. A responsabilidade pelo nível correto de segurança da informação deve ser uma decisão estratégica de negócios, tendo como base um modelo de Governança da Segurança da Informação que contemple uma análise de risco. Na visão dos autores, o sucesso no processo de segurança de sua informação depende da integração da segurança computacional ao negócio da organização. Defendem que a maneira de se conseguir esta façanha consiste na estruturação de um Modelo de Governança da Segurança da Informação como parte do controle interno e políticas que façam parte da Governança Corporativa. Dentre os benefícios esperados da implantação da governança da segurança da informação nas organizações relatados na literatura (IT GOVERNANCE INSTITUTE, 2006; CUNHA, 2008; BUSINESS SOFTWARE ALLIANCE, 2010; MARCIANO, 2006; FRÓIO, 2008), destacam-se os seguintes: Aumento da previsibilidade e redução da incerteza das operações de negócios pela diminuição dos riscos relacionados à segurança da informação a níveis predefinidos e aceitáveis; Permite aperfeiçoar a alocação dos limitados recursos de segurança;

44 35 Garantia de uma eficaz política de segurança da informação, em conformidade com a política organizacional; Uma base sólida para a eficiente e eficaz gestão de riscos, melhoria no processo e rápida resposta a incidentes relacionados à segurança da informação; Um nível de garantia de que as decisões críticas não são baseadas em informações sem qualidade. De acordo com Johnston e Hale (2009), em termos de alinhamento estratégico Governança de Segurança da Informação permite que empresas alinhem segurança com estratégia de negócios para suportar objetivos organizacionais. Complementaram os autores, afirmando ainda que as empresas tornam-se susceptíveis de executar medidas adequadas para reduzir riscos e impactos potenciais a um nível aceitável e integrar todos os fatores relevantes para garantir o perfeito funcionamento dos processos. Governança de Segurança da Informação também suporta a otimização dos investimentos em segurança, em atenção aos objetivos de negócio, e permite à empresa usar o conhecimento de segurança e infraestrutura da maneira mais eficiente e eficaz possível (JOHNSTON e HALE, 2009). Ainda segundo os autores a Governança de Segurança da Informação permite a monitoração e a comunicação de processos de segurança para garantir a realização dos objetivos. Kryukov e Strauss (2009) compararam indicadores comuns de desempenho financeiro com indicadores de Modelos de Maturidade de Segurança da Informação. Como resultado do estudo, Kryukov e Strauss (2009) apontaram a existência de alta correlação entre os dois conjuntos de indicadores, sugerindo que a Governança de Segurança da Informação devesse ser tratada como um indicador de desempenho chave para este tipo de organização Modelos de Governança de Segurança da Informação Diversos padrões e modelos de melhores práticas para Gerenciamento de Segurança da Informação têm sido desenvolvidos para ajudar as organizações avaliar e controlar seus riscos de segurança e obedecer a requisitos impostos por regulamentos e governos (KORHONEN, YILDIZ e MYKKÄNEN, 2009).

45 36 Uma revisão de literatura sobre práticas de gerenciamento de segurança computacional, conduzida por Bernardes e Moreira (2005), apontou quatro pontos chaves a serem considerados na definição de um modelo, a saber: A necessidade de uma avaliação de risco: os riscos precisam ser conhecidos e as medidas de segurança correspondentes devem ser identificadas; A necessidade de uma estrutura organizacional de segurança computacional: segurança computacional deve ser tratada em todos os níveis da organização; A necessidade de criar, endossar, implementar, comunicar e monitorar uma política de segurança por toda a organização, com comprometimento e apoio visível dos gestores; A necessidade de fazer com que cada indivíduo da organização conheça a importância da segurança computacional e treiná-los para que possam utilizar as melhores práticas neste sentido A implantação da governança da segurança da informação nas organizações está ancorada em padrões reconhecidos internacionalmente, normas de segurança adotadas nos países ou modelos acadêmicos desenvolvidos especificamente para esta finalidade. Dentre os modelos para implantação da governança da segurança da informação, os mais comumente citados na literatura são baseados em modelos consagrados como CoBIT; ITIL; Capability Maturity Model CMM; além das normas ISO e (CUNHA, 2008; MARCIANO, 2006; FRÓIO, 2008). Bernardes e Moreira (2005) descreveram um modelo para inclusão da Governança da Segurança da Informação no escopo da Governança Organizacional. Os autores sugeriram que o modelo se tornasse subconjunto da Governança de Tecnologia da Informação e Comunicações e da Governança Organizacional, de forma que permitisse o alinhamento das questões de Segurança da Informação com o plano estratégico da organização. Na visão dos autores a segurança da informação precisa ser tratada não apenas como uma questão técnica, mas como um desafio administrativo e estratégico. Deste modo, defendem os autores que o modelo de Governança da Segurança da Informação deva estar fortemente acoplado ao modelo de

46 37 Governança de TIC, detalhando e ampliando seu escopo de atuação na área de interseção com a Segurança da Informação. No trabalho de Bernardes e Moreira (2005), os autores propuseram a combinação das potencialidades dos modelos COBIT e ITIL e da norma ISO Argumentaram os autores que esta estratégia possibilitou atender a todos os requisitos necessários a um modelo de Governança da Segurança da Informação. Alves, Carmo e Almeida (2006) propuseram um modelo para implantação da Governança de Segurança da Informação. O modelo proposto pelos autores considerou como aspectos principais o nível de maturidade em segurança da informação na organização; seleção de indicadores para acompanhar a evolução da Segurança da Informação; identificação dos principais fatores críticos de sucesso; integração de indicadores operacionais com indicadores estratégicos; e dificuldades na implantação da Governança da Segurança da Informação. A abordagem proposta pelos supramencionados autores considerou a integração entre objetivos estratégicos e respectivos indicadores do Balanced Scorecard BSC, com objetivos de negócio da Tecnologia da Informação previstos pelo CobiT, bem como as melhores práticas especificadas na norma ISO/IEC Por meio do inter-relacionamento entre estes elementos, afirmou os autores ser possível criar uma estrutura para suportar Governança da Segurança da Informação. O roteiro proposto por Alves, Carmo e Almeida (2006) para implementar a Governança de Segurança da Informação encontra-se no Anexo A desta monografia. Avaliaram os autores que o uso integrado do Balanced Scorecard e do Security Dashboard permitiu a visualização clara do alinhamento estratégico entre a segurança da informação e os objetivos de negócios. Entretanto, ressaltam Alves, Carmo e Almeida (2006) a necessidade de observar alguns aspectos importantes no contexto organizacional para obtenção de sucesso na implantação da metodologia proposta, tais como uma cultura organizacional orientada a segurança da informação; o comprometimento da alta direção, boa comunicação entre os departamentos organizacional, comprometimento do pessoal; e orçamento para investir em recursos humanos e tecnológicos.

47 38 Ohki, Harada e Kawaguchi (2009) propuseram um modelo de Governança de Segurança da Informação que combinou e inter-relacionou muitos esquemas existentes de Segurança da Informação. O modelo proposto por Ohki, Harada e Kawaguchi (2009) consistiu de cinco componentes, a saber: dirigir, para orientar as administrações do ponto de vista das estratégias empresariais e gestão de risco; monitorar, para garantir as atividades de governança visível com indicadores mensuráveis; avaliar, para a avaliação e verificação dos resultados; supervisionar, para observar os processos de governança e auditoria; e reportar, para a divulgação do relatório para as partes itneressadas. Segundo os citados autores, os componentes Dirigir, Monitorar e Avaliar são previstos na norma ISO/IEC A figura 6 a seguir demonstra o ciclo de Governança proposto por Ohki, Harada e Kawaguchi (2009). Figura 6: Modelo de Governança de Segurança da Informação (Fonte: Ohki, Harada e Kawaguchi, 2009, p. 3). A governança de elementos da Segurança da Informação em arquiteturas empresariais orientadas a serviços foram discutidos por Korhonen, Yildiz e Mykkanen (2009). No referido trabalho os autores identificaram e analisaram funções e tarefas em Governança da Segurança da Informação. Os elementos de governança identificados pelos autores foram mapeados para uma estrutura de governança que especificou aspectos de planejamento e execução em quatro níveis de tomadas de decisão.

48 39 O trabalho de Korhonen, Yildiz e Mykkanen (2009) sugeriu um modelo de referência para Governança de Segurança da Informação em arquiteturas orientadas a serviço (Service-Oriented Architecture SOA). De acordo com os autores, a estrutura de governança proposta contempla funções e responsabilidade que são amarradas para níveis organizacionais e aspectos de planejamento e execução. O modelo conceitual construído pelos autores supramencionados combinou modelos industriais e teóricos para Governança e Segurança, bem como experiência prática dos autores em SOA e Governança de arquiteturas empresariais. O modelo de Governança proposto incorpora considerações chave para Governança de Sistemas Empresariais Orientados a Serviços (KORHONEN, YILDIZ e MYKKÄNEN, 2009). Os autores utilizaram o Modelo de Governança Ágil (Agile Governance Model AGM) para analisar outras duas estruturas para Gerência de Segurança da Informação, a saber: a norma ISO/IEC e o Padrão de Boas Práticas para Segurança da Informação (Standard of Good Practice for Information Security SOGP). A figura 7 a seguir apresenta o relacionamento aproximado, estabelecido por Korhonen, Yildiz e Mykkanen (2009) entre os domínios da norma ISO/IEC e o modelo AGM. Figura 7: Os domínios da ISO/IEC mapeados para AGM (Fonte: Korhonen, Yildiz e Mykkanen, 2009, p. 771).

49 40 Encontra-se em Leusse e Dimitrakos (2010) outro trabalho que relacionou as temáticas Governança da Informação e Arquitetura Orientada à Serviço SOA. O objetivo principal do trabalho consistiu em demonstrar como um grupo de serviços relacionados à segurança, providos com base no paradigma Software como um Serviço (Software as a Service SaaS), podia ser aproveitado para proporcionar uma abordagem auditável e flexível para segurança em sistemas complexos e distribuídos. O trabalho de Leusse e Dimitrakos (2010) caracterizou um middleware que tinha como finalidade permitir a manipulação de configurações de segurança de recursos expostos de modo dinâmico e flexível. Os autores propuseram um middleware para Governança de Segurança baseado em SOA, que previa proporcionar diferentes configurações de segurança através do uso de composições de serviços gerenciados de segurança, denominados perfis. Ghernouti-Hélie, Simms e Tash (2010) descreveram uma estrutura para avaliar a Governança de Segurança que poderia ser aplicada para organização dos setores públicos e privado com diferentes culturas de segurança. No trabalho dos autores, também foram discutidos métodos de implementação, adaptações da metodologia e fatores críticos de sucesso. O modelo proposto pelos autores objetivou a elaboração de uma referência para avaliação da Segurança de Tecnologia da Informação, com base em uma visão holística e multidisciplinar, considerando o ambiente complexo e a necessidade de um nível predefinido de garantia no processo de avaliação. A metodologia de avaliação baseou-se nos crítérios de avaliação, nos quais cada elemento de segurança cibernética será avaliado; e na estrutura de avaliação composta por três eixos principais de avaliação, que fornece um nível de garantia sobre as saídas da avaliação, especificando os elementos de segurança cibernética que devessem ser avaliados. No trabalho de Johnston e Hale (2009) os autores examinaram o planejamento da Segurança da Informação no nível estratégico da empresa e avaliaram empiricamente o seu valor em melhorar a qualidade dos programas de segurança da informação. Os resultados dos estudos de Johnston e Hale (2009) reforçaram a inclusão do planejamento de segurança da informação como parte do processo de governança corporativa, alinhando assim a segurança com ativos de negócios e

50 41 processos críticos para o sucesso da empresa. Entretanto, os autores argumentaram que podem haver resistências ao desenvolvimento de um programa de Governança da Segurança da Informação. Exemplificaram os autores que, quando a segurança da informação é vista apenas como um componente operacional da Tecnologia da Informação, pode ser difícil para a gerência de fora da área da Tecnologia da Informação contribuir ou apoiar iniciativas de Segurança da Informação. Dhillon, Tejay e Hong (2007) discutiram que modelos de Governança da Segurança da Informação podem influenciar a questão da segurança comportamental, destacando também o componente humano neste cenário. Os autores supramencionados investigaram dimensões comportamentais da Segurança de Sistemas de Informações. Argumentaram os autores que o conhecimento das dimensões da Segurança de Sistemas de informações permitiu às organizações expender esforços de modo eficiente e efetivo, conseqüentemente conduzindo para uma organização segura. O resultado da análise dos dados, realizada por Dhillon, Tejay e Hong (2007), demonstrou que as dimensões denominadas estruturas de responsabilidade e integridade de pessoal tiveram um impacto significativo na segurança comportamental de uma organização; e que a segurança comportamental teve um impacto positivo sobre a segurança geral dos sistemas de informação. Na visão dos autores, a integridade de um indivíduo é altamente importante. Por outro lado, destacam ainda a necessidade do estabelecimento de estruturas de responsabilidade. Para os citados autores, as dimensões de governança contribuem para reforçar a segurança comportamental. Afirmaram ainda que a segurança comportamental é a chave para o sucesso do gerenciamento da Segurança em Sistemas de Informação. 2.4 Riscos de Segurança em Redes de Computadores Conectadas à Internet A potencial exploração de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização, configura os riscos de segurança da informação e comunicações (BRASIL, 2010c).

51 42 As ameaças podem ser classificadas como da natureza; não intencionais (falhas), e humanas (intencionais) (BRASIL, 2010c). De acordo com os citados autores, consideram-se ameaças da natureza, aquelas cujo acontecimento independe da ação direta do homem. Inundações, deslizamentos de terra, terremotos, furacões, tempestades, transbordamento de rios, tsunamis, entre outros, são fenômenos naturais severos, fortemente influenciados pelas características da região em que ocorrem. Acrescentam os autores que, quando essas ocorrências se dão em locais onde vivem seres humanos, resultando em danos (materiais e humanos) e prejuízos (sócio-econômicos), são considerados desastres naturais. Em relação às ameaças não intencionais, segundo (BRASIL, 2010c) são aquelas provocadas por falhas humanas ou de equipamentos, cujo acontecimento independe de dolo. Os autores dividem as ameaças não intencionais em duas categorias, a saber: humanas, as quais podem ser provocadas por negligência, imprudência ou imperícia; e tecnológicas, as quais podem ser provocadas por falhas em sistemas, equipamentos ou software. Quanto a ameaças humanas, afirmaram (BRASIL, 2010c) que se distinguem duas famílias de atributos de ameaças humanas: do recurso, que são atributos que descrevem a habilidade da fonte de ameaça em atingir o seu objetivo; e do compromisso, que são atributos que descrevem a determinação da fonte de ameaça. No documento Guia de Referência para a Segurança das Infraestruturas Críticas, elaborado pelo DSIC, são apresentados requisitos mínimos necessário para a Segurança da Informação e Comunicações. No referido documento, itens de controles são agrupados em categorias. Na visão dos autores, as categorias e respectivos itens de controle contribuem para parametrizar a situação das Infraestruturas Críticas da Informação em termos de seu nível de maturidade de segurança, considerando a identificação, o mapeamento e a gestão de ativos de informação de forma sistemática e nos níveis estratégicos, táticos e operacionais. A classificação proposta no documento, de acordo com os autores, consistiu de uma adaptação do artigo de Yoo apud Brasil (2010c). A tabela de verificação de requisitos mínimos, anexo D desta monografia, compreende 13 categorias de controles aplicáveis, a saber: Política de Proteção da Informação;

52 43 Gestão do Risco; Gestão de Configuração; Manutenção; Proteção de mídia; Cultura; Gestão de crise; Proteção Física e Ambiental; Segurança do Pessoal; Resposta a incidentes; Auditoria e Rastreamento de Responsabilidades; Controle de Acesso ao Sistema e Proteção das Comunicações; Aplicação. Os autores propuseram que para cada item de controle deverá ser atribuído um grau de implementação. A média do grau de implementação de cada um dos requisitos mínimos será posteriormente usada para determinar o nível de maturidade da organização em relação à segurança Ameaças e Vulnerabilidades Os institutos de segurança na web atualizam continuamente suas listas com os tipos mais freqüentes de riscos, ataques e vulnerabilidades em aplicações web (HOLANDA e FERNADES, 2010). Algumas destas listas e os respectivos riscos elencados foram discutidos no trabalho de Holanda e Fernandes (2010). A norma ABNT/NBR ISO/IEC 27005:2008 exemplifica ameaças típicas que pode ser utilizada no processo de avaliação de ameaças (BRASIL, 2010c). Os exemplos apresentados pela referida norma englobam ameaças intencionais; ameaças acidentais e ameaças de origem natural ou ambiental. Dentre os tipos de ameaças elencadas nos anexos da norma, destacam-se dano físico; eventos naturais; paralisação de serviços essenciais; distúrbio causado por radiação; comprometimento da informação; falhas técnicas; ações não autorizadas; e comprometimento de funções De forma semelhante, a norma ABNT/NBR ISO/IEC 27005:2008 fornece diversos exemplos de vulnerabilidades e possíveis ameaças em diversas áreas de segurança, o que segundo Brasil (2010c), pode servir de auxílio durante o processo de identificação de ameaças e vulnerabilidades. Dentre os tipos de vulnerabilidades

53 44 elencadas nos anexos da norma, destacam-se as seguintes: de hardware; de software; de rede; de recursos humanos; de instalações; e de organização. A Open Web Application Security Project OWASP é uma comunidade aberta dedicada a habilitar organizações a desenvolver, adquirir e manter aplicações confiáveis (OWASP, 2011). A OWASP publica uma lista intitulada OWASP Top 10, que reúne problemas de segurança enfrentados pelas empresas. Segundo a OWASP, o objetivo do projeto Top 10 é aumentar a conscientização sobre segurança da aplicação, identificando alguns dos riscos mais críticos enfrentados pelas organizações. A lista com os dez principais riscos, elaborada pela OWASP, é apresentada em anexo a esta monografia. O relatório intitulado Os Maiores Riscos de Segurança Cibernética, publicado pelo SANS Institute, apresentou dados de ataques coletados pelos sistemas de prevenção de intrusão da TippingPoint, que protegem organizações, dados de vulnerabilidades de de sistemas, compilados pela Qualys e análises adicionais e tutoriais do Internet Storm Center e dos membros da faculdade do SANS (SANS, 2009). No relatório os autores destacam dois grupos de vulnerabilidades que são comumente exploradas, a saber, software no lado do cliente que permanece sem correções; e Web Sites vulneráveis a partir da Internet. Quanto as vulnerabilidade relacionadas ao lado do cliente, discutiram os autores que os visitantes sentem-se seguros para baixar documentos de web sites confiáveis e por este motivo são facilmente enganados quando abrem e/ou executam arquivos. Argumentaram ainda que os computadores infectados possam ser usados para comprometer outros computadores. Por outro lado, argumentaram os autores que ataques contra aplicações web constituem mais de 60% do total das tentativas observadas na Internet. Acerca deste grupo de ataques, afirmaram os autores que tais vulnerabilidades estão sendo amplamente exploradas para transformar sites confiáveis em web sites maliciosos. Apesar do enorme número de ataques e não obstante a publicidade generalizada sobre essas vulnerabilidades, muitos proprietários de web sites falham na verificação dos problemas mais comuns e fazem com que seus sites transformem-se em ferramentas involuntárias a serviço dos criminosos para infectarem os visitantes que procurar por uma navegação segura (SANS, 2009).

54 45 A lista das 30 principais vulnerabilidades, identificadas na pesquisa e relacionadas no citado documento, é apresentada no anexo C deste trabalho O Cenário Brasileiro O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil CERT.br é mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil, e atende a qualquer rede brasileira conectada à Internet (CERT, 2011). O CERT.br mantém estatísticas sobre notificações de incidentes, que são voluntária e espontaneamente reportados ao CERT.br pelas organizações que tiveram suas redes atingidas ao CERT.br. O gráfico da figura 8 a seguir apresenta o total de incidentes reportados ao CERT.br no período de janeiro de 1999 a março de Figura 8: Incidentes reportados ao CERT.br no período de 1999 a 2011 (Fonte: CERT.br, 2011).

55 46 Quanto aos incidentes reportados no período de janeiro a março de 2011, a análise de alguns fatos de interesse observados foi realizada pelo CERT.br. A discussão de alguns dos resultados, elaborada pelo CERT.br, é apresentada a seguir. O número total de notificações de incidentes no primeiro trimestre de 2011 foi ligeiramente inferior a 91 mil, o que corresponde a um aumento de quase 118% em relação ao trimestre anterior e de 220% em relação ao mesmo período de Segundo o CERT.br a alta das notificações está relacionada ao crescimento da categoria Outros. Quanto às tentativas de fraude, segundo o CERT.br as notificações relacionadas a tentativas de fraude apresentaram crescimento de 45,8% em relação ao trimestre anterior e de 23,6% em relação ao mesmo período de Relatou ainda que houvesse aumento de 73,4% no número de notificações de páginas falsas de bancos e de sites de comércio eletrônico em relação ao quarto trimestre de 2010 e de 134,4% em relação ao mesmo período de Quanto às notificações sobre cavalos de Tróia, utilizados para furtar informações e credenciais, que de acordo com o CERT.br representam 45,5% das notificações de tentativas de fraude, cresceram 21,1% em relação ao quarto trimestre de 2010 mas reduziram 19,8% em relação ao primeiro trimestre de Relativamente aos ataques a servidores Web, a análise demonstrou que as notificações sobre ataques a servidores Web cresceram 10% em relação ao trimestre anterior e 68,6% em relação ao mesmo período de Conforme análise do CERT.br os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, cavalos de Tróia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam. As notificações referentes a varreduras reduziram 7,4% em relação ao trimestre anterior, mas aumentaram 141,1% em relação ao mesmo período de Na análise também se destacou que os serviços que podem sofrer ataques de força bruta, ainda estão sendo muito visados, correspondendo a, respectivamente, 17,4% e 3,4% das notificações.

56 47 Os totais mensais de incidentes reportados ao CERT.br no ano de 2011 são apresentados no gráfico da figura 9 a seguir. A quantidade de incidentes reportados apresentou crescimento a cada mês, sobretudo no mês de março de Figura 9: Totais mensais dos incidentes reportados ao CERT.br no primeiro semestre de 2011 (Fonte: CERT.br, 2011). O gráfico da figura 10 a seguir apresenta os incidentes reportados no período de janeiro a março de 2011, na forma de percentuais por tipos de ataques. Segundo o CERT.br o crescimento da categoria Outros foi ocasionado pelo acréscimo de notificações de máquinas brasileiras tentando acessar arquivos de configuração de códigos maliciosos.

57 48 Figura 10: Tipos de ataques dos incidentes reportados ao CERT.br no primeiro semestre de 2011 (Fonte: CERT.br, 2011).

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações A importância da Alta Administração na Segurança da Informação e Comunicações Agenda O Problema; Legislação; Quem somos; O que fazer. O problema A informação: é crucial para APF é acessada por pessoas

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL 15/IN01/DSIC/GSIPR 00 11/JUN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 13/IN01/DSIC/GSIPR 00 30/JAN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA GESTÃO DE MUDANÇAS NOS ASPECTOS RELATIVOS

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - PoSIC MINISTÉRIO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO GABINETE DO MINISTRO PORTARIA Nº 795, DE 5 DE SETEMBRO DE 2012 O MINISTRO DE ESTADO DA AGRICULTURA, PECUÁRIA E ABASTECIMENTO, no uso de suas atribuições

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação ORIGEM e Comunicações Departamento de Segurança da Informação e

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. Aprova a instituição e o funcionamento da equipe de tratamento e resposta a incidentes em redes computacionais do IPEA.

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO:

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO: SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicações da Universidade Federal

Leia mais

Ministério da Educação Universidade Tecnológica Federal do Paraná Reitoria. Política de Segurança da Informação e Comunicações da UTFPR

Ministério da Educação Universidade Tecnológica Federal do Paraná Reitoria. Política de Segurança da Informação e Comunicações da UTFPR Segurança da Informação da UTF Política de Segurança da Informação e Comunicações da UTF Trata da gestão da segurança da informação, no âmbito da UTF, considerando o disposto no Decreto Nº 3505, de 13

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

PR 29/07/2013. Instrução Normativa Nº 24/2013

PR 29/07/2013. Instrução Normativa Nº 24/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PR 29/07/2013 Instrução Normativa Nº 24/2013 Assunto: Institui a Política

Leia mais

ANEXO I. Colegiado Gestor e de Governança

ANEXO I. Colegiado Gestor e de Governança ANEXO I CENTRO DE SERVIÇOS COMPARTILHADOS DO CAU Política de Governança e de Gestão da Tecnologia da Informação do Centro de Serviço Compartilhado do Conselho de Arquitetura e Urbanismo Colegiado Gestor

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSI/PR 01 15/FEV/13 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do Sul - Reitoria. Regimento da

Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do Sul - Reitoria. Regimento da Regimento da Comissão de Segurança da Informação e Comunicações do IFRS - CSIC/IFRS - Aprovado pela Resolução do Consup nº 114, de 18/12/2012 Reitora Cláudia Schiedeck Soares de Souza Pró-Reitor de Administração

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO

ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO Art. 1º - A Diretoria de Tecnologia de Informação e Comunicação DTIC da Universidade FEDERAL DO ESTADO DO RIO

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES SETEMBRO 2013 Sumário 1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES DO MINISTÉRIO

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 Proposta de Política de Segurança da Informação e Comunicações da Anatel O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES,

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 05/IN01/DSIC/GSIPR 00 14/AGO/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações CRIAÇÃO DE EQUIPES DE TRATAMENTO E RESPOSTA A INCIDENTES

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSIPR 00 14/AGO/09 1/6 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

UNIVERSIDADE FEDERAL DE LAVRAS PRÓ-REITORIA DE PLANEJAMENTO E GESTÃO Diretoria de Gestão da Tecnologia da Informação

UNIVERSIDADE FEDERAL DE LAVRAS PRÓ-REITORIA DE PLANEJAMENTO E GESTÃO Diretoria de Gestão da Tecnologia da Informação PROCESSO DE GERENCIAMENTO DE RISCOS A Coordenadoria de Segurança da Informação da Diretoria de Gestão de Tecnologia da Informação DGTI, em conformidade com a Norma Complementar nº 04, da Instrução Normativa

Leia mais

ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA

ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA ANEXO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DE AUTORIDADE PÚBLICA OLÍMPICA 1. Escopo 1.1 A Política de Segurança da Informação e Comunicações da Autoridade Pública Olímpica (POSIC/APO) é uma

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 08/08/2014 19:53:40 Endereço IP: 150.164.72.183 1. Liderança da alta administração 1.1. Com

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

Ministério da Educação Universidade Tecnológica Federal do Paraná Reitoria. Proposta de Política de Segurança da Informação e Comunicações da UTFPR

Ministério da Educação Universidade Tecnológica Federal do Paraná Reitoria. Proposta de Política de Segurança da Informação e Comunicações da UTFPR Proposta de Política de Segurança da Informação e Comunicações da UTF Trata da gestão da segurança da informação, no âmbito da UTF, considerando o disposto na Norma Complementar nº 03/IN01/DSIC/GSI/, de

Leia mais

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação Ministério da Saúde Departamento de Informática do SUS DATASUS Segurança da Informação e Comunicação Conceitos : Disponibilidade Segurança da Informação Significa estar acessível e utilizável quando demandado

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO PÚBLICA FEDERAL SOB O CONTEXTO DA NOVA LEGISLAÇÃO DE ACESSO À INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO PÚBLICA FEDERAL SOB O CONTEXTO DA NOVA LEGISLAÇÃO DE ACESSO À INFORMAÇÃO PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO PÚBLICA FEDERAL SOB O CONTEXTO

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL RURAL DE PERNAMBUCO SECRETARIA GERAL DOS CONSELHOS DA ADMINISTRAÇÃO SUPERIOR CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 006/2014 EMENTA: Aprova Normas da Política de

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

Governo Federal / Governo Estadual. Imagem suportando a Infraestrutura Nacional de Dados Espaciais INDE Carlos Toledo

Governo Federal / Governo Estadual. Imagem suportando a Infraestrutura Nacional de Dados Espaciais INDE Carlos Toledo Governo Federal / Governo Estadual Imagem suportando a Infraestrutura Nacional de Dados Espaciais INDE Carlos Toledo Plenária Desafios comuns Governança de dados espaciais; Informação geográfica é um ativo

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

POLÍTICA DE GESTÃO DE RISCO - PGR

POLÍTICA DE GESTÃO DE RISCO - PGR POLÍTICA DE GESTÃO DE RISCO - PGR DATASUS Maio 2013 Arquivo: Política de Gestão de Riscos Modelo: DOC-PGR Pág.: 1/12 SUMÁRIO 1. APRESENTAÇÃO...3 1.1. Justificativa...3 1.2. Objetivo...3 1.3. Aplicabilidade...4

Leia mais

Infraestrutura de informações geoespaciais e georreferenciadas

Infraestrutura de informações geoespaciais e georreferenciadas Infraestrutura de informações geoespaciais e georreferenciadas 1. Apresentação do Problema Epitácio José Paes Brunet É cada vez mais expressiva, hoje, nas cidades brasileiras, uma nova cultura que passa

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12

20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12 20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Publicada no DJE/STF, n. 127, p. 1-3 em 3/7/2013. RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Dispõe sobre a Governança Corporativa de Tecnologia da Informação no âmbito do Supremo Tribunal Federal e dá outras

Leia mais

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais, Dispõe sobre a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais

Leia mais

Informação e Comunicações

Informação e Comunicações ORIGEM Ministério da Integração Nacional Departamento Nacional de Obras Política de Segurança da Contra as Secas DNOCS Informação e Comunicações Departamento Nacional de Obras Contra as Secas REFERÊNCIA

Leia mais

INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014.

INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014. INSTRUÇÃO NORMATIVA Nº 80, DE 26 DE NOVEMBRO DE 2014. Institui a Política de Segurança da Informação e Comunicações - PoSIC no âmbito da Agência Nacional de Aviação Civil - ANAC. A DIRETORIA DA AGÊNCIA

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Orientações para contratação de SIGAD e serviços correlatos

Orientações para contratação de SIGAD e serviços correlatos Conselho Nacional de Arquivos Câmara Técnica de Documentos Eletrônicos Orientação Técnica n.º 1 Abril / 2011 Orientações para contratação de SIGAD e serviços correlatos Este documento tem por objetivo

Leia mais

Art. 2º Esta Resolução entra em vigor a partir da presente data, revogando-se as disposições em contrário. Registre-se, Publique-se, Cumpra-se.

Art. 2º Esta Resolução entra em vigor a partir da presente data, revogando-se as disposições em contrário. Registre-se, Publique-se, Cumpra-se. Resolução nº 018, de 17 de dezembro de 2015 O Presidente em exercício do Conselho de Administração, no uso de suas atribuições legais que lhe confere o Art. 47 do Regimento Geral da Universidade Federal

Leia mais

RESOLUÇÃO CNJ nº 90/09

RESOLUÇÃO CNJ nº 90/09 RESOLUÇÃO CNJ nº 90/09 29 de setembro de 2009 PLANO DE TRABALHO - PDTI O presente Plano de Trabalho objetiva o nivelamento do Tribunal de Justiça do Estado de Roraima aos requisitos de tecnologia da informação

Leia mais

FICHA DE INSCRIÇÃO 1) Descrição da prática (Limite de 4 páginas, fotos, gráficos): Infraestrutura Nacional de Dados Espaciais

FICHA DE INSCRIÇÃO 1) Descrição da prática (Limite de 4 páginas, fotos, gráficos): Infraestrutura Nacional de Dados Espaciais FICHA DE INSCRIÇÃO Ministério Supervisor: Ministério do Planejamento Orçamento e Gestão Órgão/Entidade: Secretaria de Planejamento e Investimentos Estratégicos Titular: Esther Bemerguy de Albuquerque E-mail:

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Auditoria de Segurança

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

PORTARIA Nº 412, DE 5 DE SETEMBRO DE 2012

PORTARIA Nº 412, DE 5 DE SETEMBRO DE 2012 PORTARIA Nº 412, DE 5 DE SETEMBRO DE 2012 Estabelece diretrizes para a implementação da política de Gestão da Informação Corporativa no âmbito do Ministério da Previdência Social e de suas entidades vinculadas

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de

Leia mais

Secretaria de Política Nacional de Transportes. Departamento de Informações em Transportes

Secretaria de Política Nacional de Transportes. Departamento de Informações em Transportes APRESENTAÇÃO E LOTAÇÃO Secretaria de Política Nacional de Departamento de Informações em Coordenação Geral de Sistemas de Informações Georreferenciadas 1 PEGEO ST Plano Estratégico de Geoinformação do

Leia mais

ANEXO I A Estratégia de TIC do Poder Judiciário

ANEXO I A Estratégia de TIC do Poder Judiciário RESOLUÇÃO Nº 99, DE 24 DE NOVEMBRO DE 2009 Dispõe sobre o Planejamento Estratégico de TIC no âmbito do Poder Judiciário e dá outras providências. ANEXO I A Estratégia de TIC do Poder Judiciário Planejamento

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

Fundação Municipal de Tecnologia da Informação e Comunicação de Canoas Diretoria Executiva PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO

Fundação Municipal de Tecnologia da Informação e Comunicação de Canoas Diretoria Executiva PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO Fundação Municipal de Tecnologia da Informação e Comunicação de Canoas Diretoria Executiva PLANO DIRETOR DE TECNOLOGIA DA INFORMAÇÃO 2012 2015 Controle de Revisão Ver. Natureza Data Elaborador Revisor

Leia mais

MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO SECRETARIA EXECUTIVA COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO SECRETARIA EXECUTIVA COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO SECRETARIA EXECUTIVA COMITÊ DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NORMA OPERACIONAL/DTI/ Nº 01, DE 1 DE SETEMBRO DE 2014. Dispõe sobre a governança e

Leia mais

Unidade II GERENCIAMENTO DE SISTEMAS. Prof. Roberto Marcello

Unidade II GERENCIAMENTO DE SISTEMAS. Prof. Roberto Marcello Unidade II GERENCIAMENTO DE SISTEMAS DE INFORMAÇÃO Prof. Roberto Marcello SI Sistemas de gestão A Gestão dos Sistemas Integrados é uma forma organizada e sistemática de buscar a melhoria de resultados.

Leia mais

PODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO

PODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO Controle de Versões Autor da Solicitação: Subseção de Governança de TIC Email:dtic.governanca@trt3.jus.br Ramal: 7966 Versão Data Notas da Revisão 1 03.02.2015 Versão atualizada de acordo com os novos

Leia mais

Incentivar a inovação em processos funcionais. Aprimorar a gestão de pessoas de TIC

Incentivar a inovação em processos funcionais. Aprimorar a gestão de pessoas de TIC Incentivar a inovação em processos funcionais Aprendizagem e conhecimento Adotar práticas de gestão participativa para garantir maior envolvimento e adoção de soluções de TI e processos funcionais. Promover

Leia mais

Contrato de Serviço (SLA) para [Cliente] por [Provedor]

Contrato de Serviço (SLA) para [Cliente] por [Provedor] Contrato de Serviço (SLA) para [Cliente] por [Provedor] Data Gerador do documento: Gerente de Negociação: Versões Versão Data Revisão Autor Aprovação (Ao assinar abaixo, o cliente concorda com todos os

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS P á g i n a 1 / 13 MINISTÉRIO DA EDUCAÇÃO FUNDAÇÃO UNIVERSIDADE FEDERAL DA GRANDE DOURADOS COORDENADORIA DE DESENVOLVIMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL. Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR

TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL. Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR TRATAMENTO DA INFORMAÇÃO CLASSIFICADA NO GOVERNO FEDERAL Departamento de Segurança da Informação e Comunicações - DSIC SE/GSI/PR 2º. Encontro Rede SIC - Serviço de Informação ao Cidadão MPOG 20 de Novembro

Leia mais

Política de Responsabilidade Socioambiental

Política de Responsabilidade Socioambiental Política de Responsabilidade Socioambiental SUMÁRIO 1 INTRODUÇÃO... 3 2 OBJETIVO... 3 3 DETALHAMENTO... 3 3.1 Definições... 3 3.2 Envolvimento de partes interessadas... 4 3.3 Conformidade com a Legislação

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais