Ivonete Ferreira de Sousa. Mapeamento e Monitoramento de Segurança Física e Ambiental em Instituição de Ensino

Tamanho: px
Começar a partir da página:

Download "Ivonete Ferreira de Sousa. Mapeamento e Monitoramento de Segurança Física e Ambiental em Instituição de Ensino"

Transcrição

1 Ivonete Ferreira de Sousa Mapeamento e Monitoramento de Segurança Física e Ambiental em Instituição de Ensino Brasília-DF 2012

2 Mapeamento e Monitoramento de Segurança física e Ambiental em Instituição de Ensino Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia SENAC do Distrito Federal, como requisito parcial para obtenção do título de Especialista em Segurança da Informação. Orientador: Mc. Edilberto Silva 2012

3 FICHA CATALOGRÁFICA Será elaborada pela bibliotecária do Senac. As informações serão repassadas no dia da apresentação do trabalho para a banca examinadora. ATENÇÃO: A ficha catalográfica é impressa no verso da folha de rosto, alinhada com a margem inferior.

4 Mapeamento e Monitoramento de Segurança física e Ambiental em Instituição de Ensino Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia SENAC do Distrito Federal, como requisito parcial para obtenção do título de Especialista em Segurança da Informação. Aprovado em 30 de Junho de BANCA EAMINADORA Ms. Edilberto Silva Professor Orientador Esp. Wilson Amaral Martins Professor Convidado Ms. Luiz Fernando Sirothru Serique Junior Coordenador do Curso

5 Dedico esse trabalho especialmente ao meu pai Vicente Ferreira de Sousa que tanto contribuiu para o meu crescimento profissional.

6 AGRADECIMENTOS Agradeço a todos os meus familiares que me ajudaram durante todo o percurso da minha vida e principalmente os professores da Faculdade de Tecnologia SENAC que me oportunizaram um novo conhecimento por meio de troca de experiências.

7 A educação é uma maneira econômica de as empresas alcançarem pelo menos uma segurança mínima (ANÔNIMO, 2001, P 14)

8 RESUMO A informação é o ativo mais importante dentro de uma instituição de ensino e todos os ativos devem estar protegido. Diante dessa realidade as instituições educacionais estão cada vez mais preocupadas em proteger não somente o ambiente tecnológico mais a parte física da instituição. Uma política de segurança eficaz reduz os números de acidentes, de forma a fazer com que a empresa possa proteger os seus ativos. Esse trabalho de conclusão de curso tem o objetivo de identificar e analisar os riscos físicos e ambientais existentes em uma instituição de ensino, propondo soluções aos riscos, garantindo a proteção das informações baseada nas normas NBR ISO/IEC 27002:2005, 27001:2006 e 27005:2008. Propondo ações que minimizem os problemas encontrados, garantindo a proteção das informações e sugerindo soluções de segurança física, para que os riscos existentes sejam fortemente diminuídos. Palavras chaves: segurança física e ambiental, riscos, informação.

9 ABSTRACT The information is the most important asset within an educational institution and all assets must be protected, there are many security issues that affect physical and environmental educational institutions today, it is necessary to create policies or rules order to have a reasonably secure environment. A security policy reduces the number of accidents in order to make the company can protect its assets. This conclusion of course work aims to identify and analyze the existing physical and environmental risks in an institution of higher education, proposing solutions to the risks, ensuring the protection of information based on ISO / IEC 27002:2005, 27001:2006 and 27005:2008. Proposing actions to minimize the problems encountered, ensuring the protection of information and suggesting solutions for physical security, so that the risks are greatly diminished keywords: physical security and environmental, risk and information.

10 LISTA DE ILUSTRAÇÕES Figuras Nome Páginas Figura 01 - Risco como Probabilidade x Impacto Figura 02 - Tríade da Segurança da Informação Figura 03 - Modelo Cebola Figura 04 - Térreo - situação atual Figura 05 - Térreo com controles Figura 06-1º andar - situação atual Figura 07-1º andar com controles Figura 08-1º andar-modelo cebola Figura 09-2º andar situação atual Figura 10-2º andar com controles Figura 11-3º andar-situação atual Figura 12-3º andar com controles Figura 13-3º andar -modelo cebola Figura 14-4º andar situação atual Figura 15-4º andar - com controles Figura 16 - Estacionamento - situação atual Figura 17 - Estacionamento - com controles... 44

11 LISTA DE TABELAS Numeração Nome Páginas Tabela 01- Checklist da Segurança Física e Ambiental Tabela 02- Áreas de Segurança... 47

12 LISTA DE SIGLAS ABNT / NBR - CUB - Associação Brasileira de Normas Técnicas Centro Universitário de Brasilia UGB - CPTED - EAD - ITIL - IEC- ISO - TI - Centro Universitário Geraldo Di Biase Crime Prevention Through Environmental Design Educação a Distância Information Technology Infrastructure Library International Engineering Consortium International Organization for Standardization Tecnologia da Informação

13 SUMÁRIO 1. Introdução Motivação Objetivo Geral Objetivos Específicos Metodologia Fundamentação Teórica Informação e Ativos da Informação Ameaças Riscos Segurança da Informação Segurança Física Segurança Ambiental Mecanismo de Proteção Análise Institucional Controle das Informações Ativos Checklist Resultados Considerações Finais... 49

14 1. Introdução Conseguir um ambiente físico seguro exige um estudo rigoroso que considera os aspectos comportamentais, culturais, as características físicas do local, além de política, normas e procedimentos internos. Também, devem ser considerados os agentes externos ao perímetro do local, considerando as vizinhanças mais próximas, compondo um sistema complexo. A inexistência de uma política de segurança nas instituições não se permite que se determinem diretrizes, normas e os procedimentos que apoiam as decisões da alta gerência. Baseado nessa falta de segurança nas instituições de ensino, onde o acesso é praticamente livre, esse trabalho tem o objetivo de analisar a situação atual, em relação à segurança física e ambiental, de uma instituição de ensino do DF, baseada nas normas NBR ISO/IEC 27002:2005, NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27005:2008. Propondo ações que minimizem os problemas encontrados, garantindo a proteção das informações e sugerindo soluções de segurança física para que os riscos existentes sejam fortemente diminuídos. Por meio da análise de uma instituição de ensino (pesquisas exploratórias, entrevistas, questionários e observação sistemática) foram propostas melhorias para proteger o espaço físico e ambiental baseado nas normas NBR ISO/IEC 27002:2005, NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27005:2008, analisando a eficácia das proteções utilizadas por meio do mapeamento de risco, propondo soluções para restringir o acesso dos usuários não autorizados aos ativos da informação. 1.1 Motivação Levando em consideração que a informação é o ativo mais importante dentro de uma instituição de ensino e a segurança física é de extrema relevância para o bom funcionamento desse universo acadêmico, o objetivo desse trabalho é analisar 14

15 e propor soluções para proteger o espaço físico das ameaças e dos riscos existentes e nos que possam vir a existir, como forma de prevenção e proteção de uma instituição de ensino superior, garantindo a proteção das informações existentes. Esse trabalho será desenvolvido no Centro Universitário de Brasília (CUB), nome fictício de uma instituição de ensino reconhecida nacionalmente. O estudo será feito na unidade do Distrito Federal. Atualmente, essa instituição ministra aulas presenciais e semi-presenciais em nível de Técnico, Graduação e Pós Graduação. 1.2 Objetivo Geral Analisar e propor melhoria para proteger o espaço físico e ambiental do Centro Universitário de Brasília (CUB) baseado nas normas NBR ISO/IEC 27002:2005, 27001:2006 e 27005:2008, de forma a garantir a proteção dos ativos da informação. 1.3 Objetivos Específicos Realizar o mapeamento dos riscos, no ambiente interno e externo. Analisar a eficácia das proteções físicas utilizados no CUB. Analisar as instalações físicas de processamento das informações dentro do CUB. Propor controles e barreiras físicas com vistas a proteger às informações existentes dentro da instituição analisada. Mostrar soluções para restringir o acesso dos usuários aos ativos da informação. 15

16 1.4. Metodologia A metodologia adotada para o desenvolvimento desse Trabalho de Conclusão de Curso se baseiam nas pesquisas exploratórias, entrevistas, questionários e observação sistemática. Essas etapas foram desmembradas na análise documental da instituição, seguida de observação sistemática para levantar os principais ativos da informação, análise da segurança do perímetro interno e externo, exploração do espaço físico, levantamento dos dados analisados e desenvolvimento do relatório de segurança física e ambiental. 2 Fundamentação Teórica Neste trabalho foram utilizadas referências bibliográficas de vital importância para o seu desenvolvimento, uma das principais referências foi a norma ABNT NBR ISO/IEC 27002:2005. Além do material de apoio utilizado como base, foram utilizadas pesquisas exploratórias na instituição de ensino onde o trabalho foi desenvolvido, fazendo com que toda teoria fosse analisada e aplicada, sendo apresentadas nos tópicos que se seguem: 2.1 Informação e Ativos da Informação Entende-se por ativos tudo que possui valor a uma instituição/empresa, podendo ser tangível (informações impressas/digitais, móveis, computadores, etc) ou intangíveis (imagem ou confiabilidade da empresa, marca de um produto, etc). Além da classificação quanto à tangibilidade, os ativos podem ser classificados em três tipos: lógico (ex: sistemas), físico (estações de trabalho) e humanos (servidores). [14] [11] 16

17 2.2 Ameaças As ameaças são eventos que comprometem objetivos da organização, baseado na possibilidade da exploração, intencionalmente ou não, de uma vulnerabilidade, levando a perda dos princípios de segurança da informação: confidencialidade, integridade e/ou disponibilidade. [11][9] A vulnerabilidade é a ausência de um mecanismo de proteção, falha ou fraqueza em procedimentos que resultam numa falha de segurança ou violação de politica de segurança. [11][9] O custo de se proteger algo, contra a ameaça, deve ser menor que o custo de se recuperar caso algo realmente se concretize. 2.3 Riscos O risco é a probabilidade de uma ameaça se concretizar, ou seja qualquer evento ou ação, gerada interna ou externamente, que impede uma organização a atingir seus objetivos. Os riscos afetam os objetivos de controle em diversas áreas da informação: integridade, precisão, temporalidade para tomada de decisão, habilidade de acesso ao sistema e confidencialidade das informações. [9][14] A análise de riscos, parte do processo de gerenciamento de riscos, é um método importante para determinar o nível de segurança dentro de uma organização. Antes de se pensar em proteger é necessário avaliar, analisar o que verdadeiramente deve ser protegido. Dentro do foco de gestão de risco, o objetivo principal não é a eliminação por completo do risco, pois estes, dentro das organizações são aceitáveis e até mesmo benéficos em alguns casos. Os riscos também podem ser transformados, algumas vezes, em oportunidades. [9][14] Por meio da Gestão dos Riscos a organização verifica as possivéis perdas resultantes de falhas nos procedimentos, seja estas causadas acidentalmente ou não, ameaças externas, econômicas, ambientais, de mercado ou qualquer evento que possa prejudicar interesses da organização ou impedir que oportunidades importantes ao sucesso da empresa sejam aproveitadas. 17

18 Nas diversas instituições podem ser caracterizados como risco o (i) acesso de pessoas não autorizadas aos ambientes operacionais; (ii) manipulação indevida de recursos e informações; (iii) acesso a computadores por pessoas não autorizadas; (iv) instalações não apropriadas, sem a devida manutenção e/ou guarda inadequada de equipamentos e mídia de dados podem levar a contingências múltiplas (indisponibilidade de ativos e perda de informações e dados) e o (v) acesso a informações confidenciais ou de uso restrito, por pessoas não autorizadas, utilizando senha de pessoas autorizadas. [9][14] A análise de riscos busca estruturar de forma mais concreta este processo, atribuindo um grau de risco a cada ativo dentro da organização, e, por meio desta atribuição efetuar um filtro para separar os ativos que apresentam um maior grau de risco e dessa forma, poder elaborar planos de proteção dentro dos moldes e condições da organização, focando no que realmente representa um maior risco para seu negócio. [9][14] A norma NBR ISO/IEC 27005:2008 tem como objetivo determinar diretrizes para que seja possível determinar o nível, avaliar e tratar os riscos, medir e verificar de forma contínua a gestão de riscos, reavaliar e melhorar o tratamento de riscos. Segundo Galvão e Poggi (2002, p.6), Denominamos risco ao potencial que uma ameaça tem de explorar vulnerabilidades em um ativo. Este potencial resulta da probabilidade de que esta exploração venha a efetivamente a ocorrer, e do impacto resultante.. 18

19 Figura 01 - Risco como Probabilidade x Impacto 2.4 Segurança da Informação Com o avanço da tecnologia e com o surgimento da Internet ampliou-se as fronteiras de acesso e manipulação da informação. Daí a importância da segurança da informação dentro e fora das empresas, à segurança dos ativos é importante e essencial para todas as organizações. O conceito de segurança fundamenta-se na seguinte tríade descrita na figura 02. Figura 02 - Tríade da Segurança da Informação Segundo a norma ISO/IEC 17799:2000, segurança da informação pode ser definida como a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. Ainda segundo a ISO/IEC 17799:2000 a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade (figura 02). O decreto Nº 3.505, DE 13 DE JUNHO DE 2000 (Brasil), já institui uma Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal: [7] 19

20 Art. 1º Fica instituída a Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, que tem como pressupostos básicos: I - assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição; II - proteção de assuntos que mereçam tratamento especial; III - capacitação dos segmentos das tecnologias sensíveis; IV - uso soberano de mecanismos de segurança da informação, com o domínio de tecnologias sensíveis e duais; V - criação, desenvolvimento e manutenção de mentalidade de segurança da informação; VI - capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do Estado; e VII - conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade. Ainda nesse mesmo decreto, no art 2 conceitua segurança da informação como proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento. [7] 2.5 Segurança Física A segurança física é um dos principais componentes da segurança da informação, sem a qual todo o esforço despendido na proteção lógica torna-se ineficaz, pois haveria grande possibilidade de que um incidente, incêndio, roubo, sabotagem, interrupção do fornecimento de energia, problemas com climatização, inundação, interrupção no abastecimento de água etc, pudessem ocorrer comprometendo a continuidade do negócio a partir da não preservação dos três componentes básicos citados acima. O seu objetivo é proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos. Podendo ser abordada sob duas formas: segurança de acesso - trata das 20

21 medidas de proteção contra o acesso físico não autorizado e a segurança ambiental trata da prevenção de danos por causas naturais. [9][1] A seguir seguem algumas recomendações para o controle do acesso físico, segundo o Prof. José Maurício S. Pinheiro - UGB 2009: [11] Deve-se instituir formas de identificação capazes de distinguir funcionários de visitantes e categorias diferenciadas de funcionários, se for o caso. Solicitar a devolução de bens de propriedade da empresa (crachás, chaves, etc), quando o visitante se retira ou quando o funcionário é retirado de suas funções. Controle de entrada e saída de materiais, equipamentos, pessoal, etc, registrando a data, horários e responsável. No caso de visitantes, restringir a circulação destes nas dependências da empresa e, se necessário, acompanhá-los até o local de destino. Instalar sistemas de proteção e vigilância 24 x 7. Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial, vigilância, etc). Não instalar em áreas de acesso público equipamentos que permitam o acesso à rede interna da corporação. Orientar os funcionários para que não deixem ligados computadores sem a devida supervisão, principalmente no horário das refeições ou quando se ausentarem por tempo prolongado. Utilizar mecanismos de controle de acesso físico em salas e áreas de acesso restrito (fechaduras eletrônicas, câmeras de vídeo, alarmes, etc). Proteger as linhas telefônicas internas e externas com dispositivos contra grampos. Proteger fisicamente as unidades de backup e restringir o acesso a computadores e impressoras que possam conter dados confidenciais. A segurança da informação é fundamental tanto para pessoas físicas quanto de pessoas jurídicas. Nas instituições, após serem detectados quais as informações que necessitam de segurança, aplicam-se algumas práticas para garantir a segura dessas informações, tais como: [3][4] 21

22 Protegê-las em áreas seguras, evitando acesso aos invasores; Criação de perímetro de segurança bem definidos com barreira de segurança bem apropriados e controle de acesso. E: restringir acesso de andares e evitar acessos não autorizados nas salas com equipamentos. Existe um padrão para criação de áreas comuns seguras em construções chamadas Crime Prevention Through Environmental Design (CPTED). O seu objetivo é reduzir os crimes por meio de medidas preventivas, que levam em conta um planejamento e um projeto de áreas a serem utilizadas para armazenamento de informação. [11] (Jeffery e Zahm, 1993:329) o conceito CPTED surgiu a partir de suas experiências com um projeto de reabilitação em Washington, eles tentaram controlar o ambiente escolar de jovens na área. Profundamente enraizado na teoria da aprendizagem psicológico de Skinner, a abordagem CPTED Jeffery enfatizou o papel do ambiente físico no desenvolvimento de experiências prazerosas e dolorosas para o agressor, que teria a capacidade de alterar os resultados comportamentais. Seu modelo original CPTED foi um estímuloresposta postulação modelo (SR) que o organismo aprendeu com castigos e reforços no meio ambiente. Jeffery enfatizou recompensas materiais... e o uso do ambiente físico para controlar o comportamento" (Jeffery e Zahm, 1993:330). A idéia principal aqui é que, removendo os reforços para o crime, ele não iria ocorrer. (Robinson, 1996). As estratégias da CPTED defendem a capacidade de influenciar as decisões do infrator que precedem atos criminosos. A investigação sobre o comportamento criminoso mostra que a decisão de ofender ou não ofender é mais influenciado por estímulos. O ambiente nunca influencia o comportamento diretamente, mas só por meio do cérebro. Qualquer modelo de prevenção do crime deve incluir tanto o cérebro e o ambiente físico.... como a abordagem contida no modelo CPTED, Jeffery é hoje baseada em muitos campos, incluindo o conhecimento científico das ciências do cérebro modernos, o foco na prevenção do crime só ambiental externo é inadequado, pois ignora toda uma outra dimensão de CPTED - ou seja, o ambiente interno (. Robinson, 1996) Os itens tratados pelo CPTED que possuem mais relevância são: Iluminação; Campo de visão; Pontos de esconderijos; Vigilância Natural; Misto de área comercial/residencial; 22

23 Espaços de atividades; Manutenção; Sinalização; Previsão de movimentos. Um bom modelo para segurança física é conhecido como modelo cebola ou a solução em níveis (figura 03) Figura 03 - Modelo Cebola Mundo Externo Área não controlada ao redor das instalações; Visitantes Área de espera para entrada de visitantes; Funcionários Área de funções comerciais normais; TI Materiais e equipamentos críticos à atividade comercial. Em uma das seções da norma ABNT NBR ISO/IEC 27002:2005 é descrito objetivos de controle para evitar acesso físico não autorizado, danos e interferências com as instalações e informações da organização. As instalações de processamento da informação devem ser mantidas em áreas seguras. [7] [1] 2.6 Segurança Ambiental 23

24 A falta de controles ambientais adequados pode provocar danos aos equipamentos, causados por desastre natural, picos de energia, descarga elétrica de um raio, temperaturas extremas ou eletricidade estática. Pode ainda ocorrer perda de dados devido às falhas ou falta de fornecimento de energia. A indisponibilidade dos sistemas computacionais pode acarretar problemas econômicos e perda de competitividade da empresa no mercado. [10][1] 2.7 Mecanismo de Proteção Segundo Moreira, (2001, p.120), Não existem ambientes 100% seguros. Um nível alto de proteção pode consumir grandes somas financeiras. Dessa forma, é necessário encontrar o equilíbrio entre o nível desejável de segurança e o orçamento. ALVES (2009, p. 29), os elementos utilizados como meio de segurança física, tais como: serviço de vigilância, os controles de acesso e também os meios de segurança eletrônicos, como câmeras, portas com detectores de metal e crachás são considerados instrumentos de segurança física, pois atuam de forma ostensiva na dissimulação. Alves (2009, p. 29) também considera como segurança física as ações ligadas diretamente com o controle e cuidado no trato com os documentos da organização, tais como: cuidados no manuseio e descarte de documentos sigilosos, mesas limpas e ambientes com restrição de acesso as informações sensíveis. Para garantir a segurança física de uma instituição, diversos mecanismos podem ser implementados, alguns desses mecanismos cobrem as seguintes áreas: Proteção de acesso; Proteção contra desastre; Controles e proteção interna. 24

25 3. Análise Institucional A pedido de sua direção, a instituição de Ensino analisada receberá o nome de Centro Universitário de Brasília (CUB), para preservar sua integridade e imagem junto a seus clientes e fornecedores. Essa instituição é do ramo educacional de caráter privado, atuante no Distrito Federal há anos. Apesar dessa instituição ser reconhecida nacionalmente e atuar há décadas no mercado de trabalho, com ótimo conceito na área educacional. Muitas decisões da empresa são tomadas por gestores ou servidores que não entendem o processo, às vezes os servidores da área técnica, não possui o conhecimento do negócio e possui autonomia para tomar decisões importantes na empresa. Outra dificuldade enfrentada nessa instituição e a centralização da tomada de decisão: por existir várias unidades operativas e uma sede que gerencia essas unidades, acaba por demorar a autorização de muitos processos que prejudica quem está na ponta, ou seja, o aluno. A área tecnológica da instituição está obsoleta, além do alto custo mensal, gasto com aluguéis de equipamentos, licenças e serviços de segurança. Atualmente essa empresa não possui um plano de segurança e o plano de contingência está desatualizado. Em caso de um grave incidente, essa instituição poderá parar de funcionar. [9] Nessa instituição existem 10 filiais, cada uma com sua estrutura própria de rede, mas convergindo suas conexões para a matriz, acessando o CPD central. O número de estações existentes nas filiais são diferentes. Na instituição analisada, possuem 327 estações, sendo que 300 são utilizados nos laboratórios de informática e 27 nos setores administrativos. Além das 04 impressoras, 1 fax, 10 aparelhos telefônicos, alarme contra incêndio e câmeras. No CPD local, funcionam 02 servidores plataforma Windows, 01 plataforma Linux/Unix (com os serviços Active Directory, proxy, DHCP e DNS). 25

26 3.1 Controle das Informações A política e o investimento no controle de acesso físico adotada pela empresa estarão diretamente ligados à importância de seus ativos, observando sempre a relação dos modelos de segurança do que apenas o uso de tecnologia. Segundo campos (2007, p. 167) a área de segurança é o espaço físico que precisa ser protegido contra as ameaças que poderiam gerar um incidente de segurança da informação. A NBR ISO/IEC 27002:2005 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta norma provêm diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação (SILVA, 2011,p.9), elencando os seguintes controles, quanto à proteção física: Perímetro da segurança física; Controles de entrada física; Segurança em escritórios, salas e instalações de processamento; Proteção contra ameaças externas e do meio ambiente; Trabalhando em áreas seguras; Acesso do público, áreas de entrega e de carregamento; Segurança de equipamentos; Utilidades; Segurança do cabeamento; Manutenção dos equipamentos; Segurança de equipamentos fora das dependências da organização; Reutilização e alienação segura de equipamentos; Remoção de propriedade. Na instituição CUB, foram objetos desse estudo as seguintes áreas: Hall de entrada (térreo e nos 3 andares existentes) Estacionamento externo para carga/descarga; 26

27 Salas administrativas, situadas no 1 andar (secretaria, gerência, atendimento ao cliente, coordenação e sala de apoio); Áreas de acesso comuns aos andares; Laboratórios de Informática; Salas de aula; Refeitório; Biblioteca; CPD. Foram verificadas em cada uma das áreas analisadas as seguintes condições gerais como: Iluminação, conservação, limpeza, condições de acesso às saídas de emergência, sinalização, proteção contra entrada não permitida, condições dos armários, eletrocalhas, pisos elevados, quadros de luz, cabos de transmissão de energia e dados, telefonia, condições gerais dos equipamentos de combate a incêndio como extintores, hidrantes, sprinklers (jatos de água acionados automaticamente em caso de incêndio), detectores de fumaça, suas respectivas distribuições considerando os diversos tipos de materiais inflamáveis; Acesso à documentação exposta e sem controle; Inspeção da sala de controle, das câmeras existentes, catracas/portas, com controle de acesso por mecanismo de identificação pessoal e individual Ativos Quando se fala em proteger um bem ou ativo de informação significa que este possui um valor para o seu proprietário. Os ativos de informação podem ser [10]: Serviços: processamento de dados, comunicação e fornecimento de energia; Sistemas computadorizados: aplicativos, sistemas básicos, ferramentas de desenvolvimento, etc; 27

28 Equipamentos: computadores, equipamentos de comunicação de dados, mídias (fitas e discos), equipamentos de fornecimento de energia alternativa, cofres; Documentos: contratos, demonstrações financeiras,etc; Pessoas: funcionários, terceiros e clientes; Imagem e reputação da organização; Informações: arquivos, bancos de dados, documentação de sistemas, material de treinamento, procedimentos, Plano de Continuidade dos Negócios, relatórios, telas, mídias, mensagens eletrônicas, registros de dados, arquivos de dados, entre outros; Edificações: edifícios, lojas, indústrias, depósitos, containeres, silos, centrais geradoras, linhas de distribuição, torres, etc. Segundo Galvão e Poggi (2002, p.5): Um ativo é algo que tem valor para a empresa, e portanto precisa ser protegido. Os ativos podem ser físicos (computadores, equipamentos, infraestruturas de transmissão de dados, prédios, etc), softwares, informações (documentos, bancos de dados, etc), processos, pessoas, e até mesmo intangíveis (por exemplo, a imagem da empresa). É muito importante avaliar periodicamente o grau de risco dos ativos, porque eles são o suporte de negócios da empresa. Após análise de todo o espaço físico do CUB, foram detectados que os principais ativos dessa instituição são: Dados pessoais dos alunos (armazenados na pasta individual do aluno na secretaria escolar), situados na secretária escolar no 1º andar; Diários de classe dos docentes (armazenados na secretaria escolar), situados na secretária escolar no 1º andar; Dados dos alunos armazenados no sistema informatizado, onde a fonte dos dados está no CPD situado no 3º andar; 28

29 Equipamentos eletrônicos existentes nos laboratórios de informática. 3.3 Checklist Após o mapeamento dos principais ativos, foi realizado o checklist baseado na NBR ISO/IEC 27002:2005 (tabela 01), de forma a auxiliar a análise dos pontos críticos da instituição. Tabela 01 - Checklist da Segurança Física e Ambiental Segurança física e do ambiente Áreas de Segurança SIM NÃO Perímetro segurança física da Se barreiras físicas, como recursos de segurança, foram implementadas para proteger o serviço de processamento da informação. Controles de Se existem controles de entrada para permitir somente a entrada física entrada do pessoal autorizado dentro de várias áreas da organização. Segurança em Se as salas, que possuem o serviço de processamento escritórios, salas e de informação ou contêm armários fechados ou cofres, instalações de são trancadas. processamento Se o serviço de processamento de informação é protegido contra desastres naturais ou causados pelo homem. Se existe alguma ameaça potencial de propriedades vizinhas. Trabalhando em ares de segurança Se existe algum controle de segurança para prestadores de serviço ou funcionários trabalhando em área de segurança. A informação só deve ser fornecida quando 29

Prof. José Maurício S. Pinheiro - UGB - 2009

Prof. José Maurício S. Pinheiro - UGB - 2009 Auditoria e Análise de Segurança da Informação Segurança Física e Lógica Prof. José Maurício S. Pinheiro - UGB - 2009 Segurança Física e Segurança Lógica da Informação 2 Segurança Física A segurança física

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança

Leia mais

Segurança Física de acesso aos dados

Segurança Física de acesso aos dados Segurança Física de acesso aos dados Segurança Física de acesso aos dados 1 A Segurança Física tem como objetivos específicos: ü Proteger edificações e equipamentos; ü Prevenir perda, dano ou comprometimento

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica Capítulo 2 Conceitos de Segurança Física e Segurança Lógica 2.1 Introdução 2.2 Segurança Física 2.2.1 Segurança externa e de entrada 2.2.2 Segurança da sala de equipamentos 2.2.3 Segurança dos equipamentos

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

DECISÃO Nº 124/2014 D E C I D E. aprovar a Política de Segurança da Informação da Universidade Federal do Rio Grande do Sul, como segue:

DECISÃO Nº 124/2014 D E C I D E. aprovar a Política de Segurança da Informação da Universidade Federal do Rio Grande do Sul, como segue: CONSUN Conselho Universitário DECISÃO Nº 124/2014 O CONSELHO UNIVERSITÁRIO, em sessão de 28/03/2014, tendo em vista o constante no processo nº 23078.020136/13-35, de acordo com o Parecer nº 494/2013 da

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

SEGURANÇA E AUDITORIA DE TI

SEGURANÇA E AUDITORIA DE TI 1 SEGURANÇA E AUDITORIA DE TI Objetivos - Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados

Leia mais

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC 1. INTRODUÇÃO A informação é o elemento básico para que a evolução

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Nº de Páginas: 1 / 5 1. OBJETIVOS Os objetivos desta Política de Segurança da Informação são estabelecer orientações gerais de segurança da informação no âmbito da Braslight, fornecendo o apoio conceitual

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD

Problema. Controle de Acesso Lógico e Físico. Controle de Acesso Físico. Definição. Localização do CPD. Localização do CPD Problema Controle de Acesso Lógico e Físico Prof. Alexandre Beletti Ferreira Com as informações armazenadas em computadores interligados com outros computadores no mundo todo surgi a necessidade de uma

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

PORTARIA Nº 992, DE 8 DE SETEMBRO DE 2004

PORTARIA Nº 992, DE 8 DE SETEMBRO DE 2004 PORTARIA Nº 992, DE 8 DE SETEMBRO DE 2004 O Ministro da Previdência Social, no uso de sua competência estabelecida no art. 87 da Constituição Federal e considerando o disposto no art. 23 da Lei nº 8.159,

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 6 Projeto de Sistema Biométrico 1. Definição de Metas A primeira etapa no projeto

Leia mais

Módulo 6: Segurança da TI

Módulo 6: Segurança da TI 1 Módulo 6: Segurança da TI 6.1. Questões de Segurança da TI Discute como se pode promover a qualidade e segurança dos sistemas de informação por uma diversidade de controles, procedimentos e instalações.

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

PORTFÓLIO www.imatec.com.br

PORTFÓLIO www.imatec.com.br História A IMATEC foi estabelecida em 1993 com o objetivo de atuar nos segmentos de microfilmagem, digitalização e guarda de documentos e informações, hoje conta com 300 colaboradores, têm em seu quadro,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DEFENDA BUSINESS PROTECTION SERVICES & SOLUTIONS Direitos Autorais Este documento contém informações de propriedade da Defenda Business Protection Services & Solutions.

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software Avaliação de riscos em fornecedores Manual de controles de segurança da informação para Fábricas de Software DSC Diretoria de segurança corporativa SSI Superintendência de Segurança da Informação 1 Índice

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES SETEMBRO 2013 Sumário 1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES DO MINISTÉRIO

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 Proposta de Política de Segurança da Informação e Comunicações da Anatel O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES,

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

VALEC INDICAR NESTE QUADRO EM QUE REVISÃO ESTÁ CADA FOLHA 00 M.BARROS E DIREX APLICAÇÃO

VALEC INDICAR NESTE QUADRO EM QUE REVISÃO ESTÁ CADA FOLHA 00 M.BARROS E DIREX APLICAÇÃO Nº Fls.: 1/12 INDICAR NESTE QUADRO EM QUE REVISÃO ESTÁ CADA FOLHA Rev/ Rev/ Fls. 01 02 03 04 05 06 07 08 09 Fls. 01 02 03 04 05 06 07 08 09 01 16 02 17 03 18 04 19 05 20 06 21 07 22 08 23 09 24 10 25 11

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

Plano de Segurança da Informação

Plano de Segurança da Informação Governança de Tecnologia da Informação LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Marcelo Faustino Sumário 1. OBJETIVO... 2 2. DESCRIÇÃO DO SERVIÇO... 2 3. ETAPAS

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

PSI POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

PSI POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PSI POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Índice Apresentação... 01 Objetivo... 02 1. Divulgação e acesso à estrutura normativa... 03 2. Diretrizes de segurança da informação 2.1. Proteção da informação...

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

REGULAMENTO DO USO DOS LABORATÓRIOS DE INFORMÁTICA DO IESUR INSTITUTO DE ENSINO SUPERIOR DE RONDÔNIA

REGULAMENTO DO USO DOS LABORATÓRIOS DE INFORMÁTICA DO IESUR INSTITUTO DE ENSINO SUPERIOR DE RONDÔNIA REGULAMENTO DO USO DOS LABORATÓRIOS DE INFORMÁTICA DO IESUR INSTITUTO DE ENSINO SUPERIOR DE RONDÔNIA Tem o presente regulamento a função de nortear as ações e procedimentos necessários ao bom funcionamento

Leia mais

NORMAS DE FUNCIONAMENTO NÚCLEO DE INFORMÁTICA

NORMAS DE FUNCIONAMENTO NÚCLEO DE INFORMÁTICA UNIVERSIDADE FEDERAL DE MINAS GERAIS ESCOLA DE ENFERMAGEM CENTRO DE TECNOLOGIA EDUCACIONAL EM ENFERMAGEM NÚCLEO DE INFORMÁTICA NORMAS DE FUNCIONAMENTO NÚCLEO DE INFORMÁTICA ELABORADO POR PROF. MARK ANTHONY

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

GOVERNO DO ESTADO DO CEARÁ Conselho de Políticas e Gestão do Meio Ambiente Superintendência Estadual do Meio Ambiente SEMACE

GOVERNO DO ESTADO DO CEARÁ Conselho de Políticas e Gestão do Meio Ambiente Superintendência Estadual do Meio Ambiente SEMACE 1. OBJETIVO: Este Termo de Referência têm como objetivo estabelecer diretrizes para elaboração do Plano de Emergência para Transporte de Produtos Perigosos. O plano deverá garantir de imediato, no ato

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES RESPONSABILIDADE DE TODOS PRESIDENTE DA REPÚBLICA Dilma Rouseff MINISTRO DE ESTADO DO TRABALHO E EMPREGO Carlos Roberto Lupi SECRETÁRIO EXECUTIVO Paulo Roberto dos

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Proposta de implementação de um sistema de proteção física utilizando os controles e diretrizes da ABNT ISO/IEC 27002:2005

Proposta de implementação de um sistema de proteção física utilizando os controles e diretrizes da ABNT ISO/IEC 27002:2005 Faculdade SENAC - DF Pós-graduação em Segurança da Informação Autores Rodrigo Terra de Figueiredo rodrigoterra@yahoo.com.br Edilberto Magalhães Silva edilms@yahoo.com Brasília-DF 2012 Trabalho de Conclusão

Leia mais

Atual gestor de TI do COREN-SP, com atuação em desenvolvimento de sistemas, infraestrutura de TI, suporte técnico e digitalização.

Atual gestor de TI do COREN-SP, com atuação em desenvolvimento de sistemas, infraestrutura de TI, suporte técnico e digitalização. 28/06/2013 André Luís Coutinho Bacharel em Sistemas de Informações pela Faculdade Politécnica de Jundiaí Pós-graduado em Gestão Estratégica da Tecnologia da Informação pelo IBTA MBA em Gestão Executiva

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS P á g i n a 1 / 13 MINISTÉRIO DA EDUCAÇÃO FUNDAÇÃO UNIVERSIDADE FEDERAL DA GRANDE DOURADOS COORDENADORIA DE DESENVOLVIMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Questionário de Segurança

Questionário de Segurança Questionário de Segurança Conforme Gil, em seu livro Segurança em informática, editora Atlas, com o objetivo de facilitar a otimização/auditoria da qualidade da segurança em informática, foi relacionado

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

PODER EXECUTIVO MUNICIPAL DE ITIQUIRA- MT

PODER EXECUTIVO MUNICIPAL DE ITIQUIRA- MT INSTRUÇÃO NORMATIVA STI Nº 001/2012, DE 06 DE NOVEMBRO DE 2012. Versão nº 01 Aprovação em: 06/11/2012 Ato de Aprovação: Decreto Municipal nº 55/2012 Unidade Responsável: Departamento de Tecnologia da Informação

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17.

FACULDADE PROCESSUS Recredenciamento da Faculdade Processus - PORTARIA Nº- 1.394, DE 23/11/2012, D.O.U nº 227 de 26/11/2012, Seção 1 P. 17. REGULAMENTO INTERNO DO USO E ADMINISTRAÇÃO DOS RECURSOS COMPUTACIONAIS E DA REDE DA FACULDADE PROCESSUS CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Este ato tem como objetivo definir o uso e administração

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI Objetivos Assegurar que os esforços despendidos na área de informática sejam consistentes com as estratégias, políticas e objetivos da organização como um todo; Proporcionar uma estrutura de serviços na

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA TECNOLOGIA DA INFORMAÇÃO ICA 7-19 PRECEITOS DE SEGURANÇA DA INFORMAÇÃO PARA O DEPARTAMENTO DE CONTROLE DO ESPAÇO AÉREO 2012 MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA

Leia mais

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos

ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos ÉTICA E SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Fundamentos Prof. Carlos Faria (adaptação) 2011 DESAFIOS ÉTICOS E DE SEGURANÇA Emprego Privacidade Saúde Segurança Ética e Sociedade Crime Individualidade Condições

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

POLÍTICA DE SEGURANÇA

POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA GADE SOLUTION Tatiana Lúcia Santana GADE SOLUTION 1. Conceituação: A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação de qualidade é capaz

Leia mais