UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO POLÍTICAS DE SEGURANÇA DE REDES CORPORATIVAS

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO POLÍTICAS DE SEGURANÇA DE REDES CORPORATIVAS"

Transcrição

1 UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO POLÍTICAS DE SEGURANÇA DE REDES CORPORATIVAS DANIEL JONY DA SILVA ORMOND CUIABÁ MT 2006

2 UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO POLÍTICAS DE SEGURANÇA DE REDES CORPORATIVAS DANIEL JONY DA SILVA ORMOND Graduando em Ciências da Computação Orientador: Prof. CUSTÓDIO GASTÃO DA SILVA JÚNIOR Monografia apresentada ao Departamento de Ciência da Computação da Universidade Federal de Mato Grosso, para obtenção do Título de Bacharel em Ciência da Computação. Área de Concentração: Ciência da Computação CUIABÁ MT 2006

3 UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO CERTIFICADO DE APROVAÇÃO Políticas de segurança de redes corporativas: Autor: Daniel Jony da Silva Ormond Orientador: Prof. Custódio Gastão da Silva Júnior. Aprovada em 11/09/2006 Prof. Custódio Gastão da Silva Júnior. ICET/DCC (Orientador) Prof. Msc. José Airton de Paula. ICET/DCC Prof. Msc. Luciana Correia Lima de Faria Borges. UFMT/ICET/ DCC

4 DEDICATÓRIA Assim diz o Senhor: Não se glorie o sábio em sua sabedoria nem o forte em sua força nem o rico em sua riqueza, mas quem se gloriar, glorie-se nisto: Em compreender-me e conhecer-me, pois eu sou o Senhor [...]. Jeremias 9:23-24

5 AGRADECIMENTOS A Deus pela esperança, saúde e forças concedidas. Aos meus pais pelo carinho e educação que me deram. Ao Professor Custódio Gastão da Silva Júnior pelo apoio neste trabalho de conclusão de curso. Aos meus amigos Jakeline Carneiro Simi e Thompsom Queiroz de Campos pela companhia valiosa.

6 SUMÁRIO LISTA DE FIGURAS... 7 RESUMO... 8 ABSTRACT INTRODUÇÃO APRESENTAÇÃO OBJETIVOS Objetivo geral Objetivos específicos JUSTIFICATIVA METODOLOGIA CONSIDERAÇÕES SOBRE SEGURANÇA DEFESA EM CAMADAS VULNERABILIDADES E AMEAÇAS TIPOS DE AMEAÇAS CONTRA A SEGURANÇA PLANEJAMENTO DA GESTÃO DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Comitê Corporativo de Segurança TIPOS DE CONTROLES DE SEGURANÇA Sistema detector de intrusos Firewall Criptografia POLÍTICAS DE SEGURANÇA POLÍTICA DE SEGURANÇA SEGUNDO A NORMA NBR ISO/IEC POLÍTICA DE SEGURANÇA SEGUNDO A RFC POLÍTICAS ESPECÍFICAS Políticas para firewall Políticas para acesso remoto Políticas de senhas ASPECTOS RELEVANTES PARA POLÍTICAS DE SEGURANÇA COMO ELABORAR UMA POLÍTICA DE SEGURANÇA Classificação de informações...47

7 5.1.2 Identificação de prioridades Avaliação e análise de riscos Equipe de segurança METODOLOGIA DE AVALIAÇÃO OCTAVE-S ESTUDO DE CASO CENÁRIO DA EMPRESA IMPLANTAÇÃO DA METODOLOGIA DESENVOLVIMENTO Seleção dos ativos fundamentais e requisitos de segurança Avaliação das práticas de segurança CONSIDERAÇÕES FINAIS BIBLIOGRAFIA APÊNDICE... 75

8 LISTA DE FIGURAS Figura 1. Ameaças e vulnerabilidades Figura 2. Diversidade de ameaças corporativas Figura 3. Principais ameaças de segurança reportada em pesquisa Figura 4. Adequação a normas, regulamentações e legislações Figura 5. Esquema de proteção integrado IDS/firewall Figura 6. Firewall como ferramenta de controle de acesso Figura 7. Esquema típico de uma política de segurança Figura 8. Esquema de uma zona desmilitarizada (DMZ) Figura 9. Processo de levantamento dos dados de segurança... 53

9 RESUMO Empresas de diversos ramos e setores atualmente, vêem-se integrando novos recursos de computação, em especial, dispositivos e serviços da rede para as atividades de negócio que desempenham papel fundamental para a missão organizacional. Por isso a importância da política de segurança de redes corporativa para uma boa gestão de segurança dos ativos tecnológicos da empresa. Portanto, os aspectos relevantes para a elaboração, recomendação de normas de práticas de segurança ou práticas mais comuns para o gerenciamento de riscos devem ser pré-avaliadas para uma boa política de segurança de redes capaz de proteger os recursos e serviços corporativos. Palavras-chave: segurança da informação, política de segurança, requisitos de segurança, análise de risco.

10 ABSTRACT Companies of diverse sectors currently perceive that new resources of computer science, specially devices and services of network, are integrated with their activities of businesses that performs a basic task for the organizational mission, therefore the importance of a corporative network security politics as part of a good security management over the technological assets. The excellent aspects for the elaboration, recommendation of norms of practical of security or most common practices for risks management must be daily payevaluated for a good network security politics capable to protect corporative services and devices. Key-words: security of the information, security politics, security requirements, risk analysis.

11 10 1. INTRODUÇÃO 1.1 Apresentação As informações são, muitas vezes, o diferencial competitivo para o crescimento ou continuidade do negócio. Por isso, aplicar normas de Segurança da Informação é fundamental para o bom andamento das atividades operacionais e proteção dos ativos de uma organização. As empresas cada vez mais experimentam a tecnologia em suas atividades e, por isso, estão mais dependentes dos recursos de TI para armazenar e processar dados importantes. O sangue da empresa é a informação, distribuída por todos os processos de negócios [...] e circulando por diversos ativos, ambientes e tecnologias... (SÊMOLA,2003, p.6). Proteger a informação é proteger os instrumentos para a boa gestão dos negócios. Os ativos da informação são assim chamados por se tratarem de bens de caráter estratégico, por vezes mais subjetivos e intangíveis que outros bens, para as atividades de empresas de pequeno, médio e, significativamente para as de grande porte. Os ativos da informação auxiliam os administradores que buscam melhor produtividade, redução de custos, competitividade e apoio à tomada de decisão; são muitas vezes os segredos de negócios, pesquisas de mercado e análise da concorrência e dados operacionais armazenados. A RFC 2196 (The Site Security Handbook), norma de segurança disponível pela Internet, define políticas de segurança como uma documentação elaborada após o estudo de objetivos de segurança dos dados. Essa documentação precisa considerar os dados a serem protegidos, bem como diversos outros fatores: os custos dos mecanismos de defesa, os riscos de ameaças à segurança da rede, as ferramentas apropriadas para a proteção dos bens da corporação e quais serviços serão oferecidos pela rede e restrições de acesso necessárias. O pessoal de nível gerencial de uma empresa deve preocupar-se em viabilizar a implantação de uma política de segurança para proteger os ativos tornando a rede mais segura. A política de segurança, na verdade, não leva em consideração apenas a segurança da rede de computadores, mas define os papéis de funcionários, chefes e encarregados da TI (Tecnologia da Informação) nos procedimentos de segurança, além

12 11 de processos de auditoria e mecanismos de defesa em caso de ataques. O propósito da política de segurança segundo a mesma norma é informar todos os envolvidos desde usuários comuns a gerentes e profissionais de TI quais são suas responsabilidades para proteger as informações estratégicas, de negócios ou pessoais de clientes e funcionários; o papel da política de segurança é também especificar mecanismos para que essas metas sejam alcançadas. Elaborar uma política de segurança é um processo complexo de analisar benefícios, custos, vulnerabilidades, especificar um roteiro para adquirir novos dispositivos, configurar e conferir o bom uso destes recursos. Para que seja conveniente é importante que ela seja pensada por todos os agentes de uma organização para lidar com as ameaças atuais e proteger os bens da empresa. Apesar de toda essa complexidade na tarefa de elaborar uma política de segurança completa, este trabalho terá como finalidade publicar a importância e as práticas de implantação de políticas de segurança em uma rede típica de uma média e pequena empresa. Sabe-se que a importância de uma política de segurança é proteger as informações que trazem vantagem competitiva no mercado, muito importantes para empresas prestadoras de serviços, por exemplo. A implantação de políticas de segurança é parte integrante da gestão dos recursos tecnológicos necessárias à missão da organização, auxiliando na identificação de ameaças e barreiras de segurança necessárias. 1.2 Objetivos Objetivo geral O objetivo deste trabalho é servir como fonte de pesquisa e referência bibliográfica sobre a importância e benefícios da implantação de uma política de segurança em uma rede de computadores típica de médias e pequenas empresas, abordando normas e recomendações de segurança de órgãos, empresas e profissionais conceituados para a elaboração de uma política de segurança eficaz. O trabalho também

13 12 possui como objetivo esclarecer alguns dos aspectos relevantes para a elaboração do documento normativo através da exemplificação de um ambiente de rede corporativo em um estudo de caso Objetivos específicos Investigar quais os aspectos relevantes para a elaboração de políticas de segurança de redes. Descrever conceitos de segurança, ameaças, vulnerabilidades e mecanismos de proteção em geral. Relacionar normas de segurança homologados e aceitos internacionalmente e/ou nacionalmente no que diz respeito às políticas de segurança em geral. Apontar boas práticas de elaboração dos documentos normativos de segurança abordando a visão administrativa dos seus responsáveis através de um estudo de caso. 1.3 Justificativa A política de segurança é uma prática, de caráter normativo, adotada para o fim de manter a segurança do ambiente computacional para estabelecer controles de segurança na rede corporativa. Considerando a importância de se proteger os ativos da empresa, conceituados como elementos de valor nos processos de negócios, o fundamento lógico deste trabalho é disponibilizar as práticas de elaboração e implantação de políticas de segurança para redes de computadores considerando não somente os aspectos tecnológicos e técnicos, mas também os fatores humanos e de processos de negócios.

14 Metodologia O trabalho foi desenvolvido por meio do levantamento bibliográfico a partir de pesquisas teóricas e explicativas em livros de autores como Marcos Sêmola em Gestão da Segurança da Informação: uma visão executiva de 2003; Mike Horton em seu livro Hack Notes: segurança de redes, referência rápida de 2003; a norma NBR ISO/IEC e a RFC Muitos dos aspectos relevantes para a elaboração de uma política de segurança de redes foram exemplificados através da identificação de um cenário de ambiente de rede e práticas operacionais de uma empresa de desenvolvimento de softwares referenciada com um nome fictício. As informações foram coletadas através da seleção, adaptação e tradução de questionários disponibilizados pelo guia de implementação da metodologia de avaliação de riscos OCTAVE-s, disponível no website

15 14 2. CONSIDERAÇÕES SOBRE SEGURANÇA Primeiramente devemos compreender a finalidade da Segurança da Informação para a proteção dos ativos da informação em uma rede corporativa. Sêmola (2003) considera Segurança da Informação como a prática de gestão de riscos de incidentes que impliquem o comprometimento dos parâmetros de segurança e define: Segurança da informação é a área do conhecimento dedicada à proteção dos ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003, p. 43). Ele aponta que qualquer solução de segurança deve usar como elemento-chave as pessoas envolvidas no uso dos recursos, processos e tecnologia para garantir os parâmetros de confidencialidade, integridade e disponibilidade, que medem a Segurança da Informação (SÊMOLA, 2003). Para proteger os bens da empresa é necessário compreender contra o quê se estará protegendo, quais os riscos e ameaças. Já os parâmetros que medem a Segurança da Informação podem ser entendidos desta forma: Confidencialidade - é a propriedade de disponibilizar dados e informações somente àqueles que precisam ter acesso a elas. Uma falha desse tipo pode causar perda de credibilidade da empresa para o cliente, perda de tempo ou mesmo perda de uma vantagem competitiva. Integridade - dizemos que os dados estão íntegros quando não foram indevidamente alterados e permanecem exatos. Fator crítico para o normal andamento das atividades de empresas que utilizam redes de computadores com acesso à Internet. Disponibilidade - visa garantir que no momento necessário os dados estejam acessíveis aos usuários. Fator fundamental quando uma aplicação necessita de respostas em tempo real ou alguém precise conectar-se remotamente à rede de sua empresa para trabalhar e tomar decisões. Muitos são os fatores que influenciam a busca por uma solução de segurança corporativa, e tendem a aumentar à medida que empresas aderem a novas tecnologias, modelos de negócios e inovações em sua missão empresarial (ANÔNIMO, 2001). A

16 15 integração de redes privadas com redes públicas, o compartilhamento de recursos entre fornecedores, parceiros e clientes, a implantação de redes sem fio entre outros fatores podem aumentar as possibilidades de vazamento de informações e problemas de serviços na rede, o quê significa novos riscos e ameaças. Administrar a segurança não significa alcançar segurança absoluta do parque tecnológico ou dos procedimentos de uso dos recursos pelos funcionários da empresa, até mesmo porque, segundo profissionais da área, não existe tal nível de segurança; significa, sim, lidar com o gerenciamento de riscos. Sêmola (2003) define riscos como a probabilidade de que ameaças explorem vulnerabilidades, quebrando parâmetros de segurança - integridade, disponibilidade e confidencialidade - que possivelmente, cause impactos nos negócios. Explica também ameaças de segurança como agentes ou condições que causam incidentes, que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. O encarregado de propor medidas de segurança na organização deve, portanto, preocupar-se em reduzir eficientemente os níveis de riscos reduzindo o número de vulnerabilidades, definido como: [...] um ponto fraco (características inerentes ou falhas) associado a um bem ou a seu ambiente que pode permitir um comprometimento ou um dano ao bem (HORTON, 2003, p. 32). Estas podem ocorrer devido (HORTON et. al.): Aos controles inadequados; Controles e configurações funcionais incorretamente ajustados; Falhas estruturais; Falta de atualizações ou de patches de software; e Má administração ou procedimentos operacionais indevidos. 2.1 Defesa em camadas Existem tipos diferentes de controle e mecanismos de proteção disponíveis para tornar a rede de computadores mais segura. Entre os mecanismos está o firewall, o VPN

17 16 (Virtual Private Network), os sistemas de detecção de intrusão (IDS Intrusion Detection System) e certificação digital. Os controles operacionais incluem políticas de segurança, auditoria de logs de atividades, implantação de circuito interno de televisão ou uso da biometria para controle de acesso. Há muitos recursos disponíveis no mercado para a proteção da rede de uma organização, e os métodos de controle de acesso especificando diferentes níveis de permissão de usuários em uma rede típica de um ambiente corporativo tornam o processo de aquisição, implementação e gerenciamento dos controles dificultoso. Por isso cada empresa deve adotar um programa de segurança bem definido que utilize vários desses mecanismos para proteger seus ativos intensivamente, analisando a relação custo benefício de cada ferramenta de proteção. Horton (2003) explica que mecanismos de proteção são os meios técnicos e operacionais que a organização pode utilizar para proteger seus bens e informações e cuja finalidade é detectar falhas de segurança, reagir e recuperar esses bens e informações através desses mecanismos. E são estes mecanismos que atenderão às regras de segurança especificada em uma política de segurança. O conceito de defesa intensiva ou em camadas constitui-se na combinação desses diferentes mecanismos de controle de segurança em um ambiente (redes de computadores por exemplo). A defesa intensiva recorre a várias funções de segurança em camadas para melhorar o nível de segurança, alterando a relação de tempo e recursos necessários para que o invasor consiga explorar as vulnerabilidades da rede (Horton, 2003, p.13). Vejamos, por exemplo, o seguinte: uma empresa disponibiliza acesso ao servidor de e acesso aos serviços internos pela Internet (acesso ao sistema de controle de estoque, banco de dados financeiros, sistemas de preços, intranet) para clientes, fornecedores e representantes, de acordo com as suas necessidades. Ela precisa proteger o acesso indevido e comprometimento dos seus servidores e não pode crer que definindo eficientemente as regras de filtragem do firewall terá um nível de segurança suficiente para a proteção dos seus servidores e rede interna Esta empresa deve procurar utilizar outras tecnologias de filtragem de pacotes, utilizar sistemas de detecção de intrusão que auxilie o controle das atividades de usuários internos (funcionários), buscar estabelecer conexões entre filiais através de

18 17 uma linha dedicada ou uso de VPN, implementar a autenticação através de certificados digitais validados por uma autoridade certificadora com objetivo de intensificar a defesa dos ativos da informação. Ao combinar vários mecanismos de proteção, aumenta-se a dificuldade de quebras de segurança, exigindo mais tempo e recursos necessários para uma ameaça explorar uma vulnerabilidade na rede de uma corporação; logo o nível de risco diminui e o princípio da defesa em camadas ou defesa intensiva é alcançado. Uma política de segurança deve definir regras que desencoraje, dificulte e detenha as ameaças através de uma defesa que apresente várias barreiras contra invasão, fraude, erros e sabotagem. 2.2 Vulnerabilidades e Ameaças Uma empresa funciona, normalmente, sob várias influências: medidas econômicas adotadas pelo governo, política, mercado financeiro, cambial ou mesmo as mais internas como a setorial, o técnico, pessoal, e físico. Comparativamente, são muitos os fatores que influenciam a medida de Segurança da Informação de uma organização. Estas variáveis crescem à medida que os recursos tecnológicos da computação dão suporte às atividades de missão empresarial, não deixando de ser considerados também importantes os aspectos físicos e pessoais dentro do ambiente de trabalho. Organizações que adotam acesso remoto à rede ou a tecnologia Wireless (sem fio) para trabalhar, por exemplo, compartilham o fluxo de informações para ambientes mais distantes e possuem novos aspectos a serem considerados e novas variáveis que influenciam na Segurança da Informação por apresentar uma rede mais distribuída. Os desafios (Figura 1) de implementar um modelo de segurança corporativo envolvem aspectos tecnológicos (falha de software, vírus, hacker), físicos (pane elétrica, incêndio) e humanos (curioso, funcionário insatisfeito, fraudador) do ambiente de negócios da empresa e por esse motivo, se faz necessário a identificação da situação de segurança, levantamento das ameaças, vulnerabilidades e prioridades de proteção. A busca por uma solução de segurança adequada deve começar pelo levantamento das atuais vulnerabilidades e possíveis ameaças à rede de computadores

19 18 para a implantação de mecanismos de proteção adequados para a empresa que, individualmente, sofre diversas influências externas e internas, comuns a outras do ramo ou específicas, precisando, portanto, de um estudo sobre os riscos e impactos sobre a segurança da rede. Figura 1 Ameaças e vulnerabilidades (SÊMOLA, 2003). Quando as ameaças conseguem explorar uma vulnerabilidade ocorre a quebra de segurança e os processos de negócios corporativos podem estar comprometidos por essas ameaças. Em uma pesquisa nacional de Segurança da Informação realizada pela Módulo Security Solutions S/A publicada em 2004 e disponibilizado na Internet, 42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa e 35% reconhecem que tiveram perdas financeiras. A coleta de dados foi realizada através de questionários respondidos por profissionais de TI (Tecnologia da Informação) de empresas de diversos segmentos:

20 19 financeiro, governo, indústria, tecnologia, serviços e outros. Muitos entrevistados (68%) relataram possuir uma política de segurança formalizada dentro da sua organização. Esta pesquisa serviu também para constatar que entre os principais desafios das equipes de Segurança da Informação estão: A preocupação com vírus, funcionários insatisfeitos e falhas na política de senhas como principais ameaças; A Internet como principal meio de fraudes e vazamento de informação; A necessidade de realizar análise de riscos e revisar periodicamente a política de segurança; e Capacitar equipes de profissionais para a gestão da Segurança da Informação, motivar os executivos e conscientizar todos os funcionários sobre suas responsabilidades sobre a segurança dos ativos da informação. A Figura 2 representa alguns possíveis pontos fracos em uma rede de computadores e auxilia na compreensão de que ameaças específicas exploram vulnerabilidades compatíveis. A questão atual em redes corporativas é que a empresa integra todos os setores na comunicação, depende de um fluxo compartilhado de informações e, portanto, as mesmas estão sujeitas às vulnerabilidades que vão além dos aspectos tecnológicos. Sua segurança está fortemente ameaçada por aspectos físicos e humanos. Podemos visualizar na Figura 2 vulnerabilidades relacionadas ao aspecto técnico das tecnologias ( configuração imprópria do firewall, Criptografia fraca ), mas também temos ali representado vulnerabilidades como falta de treinamento, falta de controle físico de acesso, Ausência de norma para senha que estão diretamente ligadas aos aspectos físicos e humanos e representam ameaças que podem pôr em risco o negócio da empresa. Por isso os aspectos tecnológicos são apenas uma parte do problema de segurança e os riscos internos devem ser considerados no momento de propor uma política de segurança de redes corporativa. Sêmola (2003) nos aponta a importância de mapear as características físicas, tecnológicas e humanas da empresa além de considerar os planos e definições estratégicas do negócio para identificar os elementos externos e internos que interferem

21 20 nos riscos à Segurança da Informação (SÊMOLA, 2003). Uma empresa que não se preocupa com a sensibilização dos usuários quanto aos procedimentos de segurança no uso dos recursos da rede pode pôr a perder todo o investimento na implementação de ferramentas de controle de segurança. Elas serão comprometidas por falhas originadas de dentro para fora mesmo que a rede esteja toda blindada, isto é, os controles tenham sidos corretamente escolhidos e configurados. Uma boa política de segurança de redes feita sob medida para uma empresa poderá minimizar os riscos ao estabelecer regras para o correto acesso dos recursos da rede pelos funcionários, gestores e diretores. Figura 2 Diversidade de ameaças corporativas (SÊMOLA, 2003)

22 Tipos de ameaças contra a segurança Grande parte das empresas consideram a Internet como o principal ponto de invasão dos seus sistemas segundo pesquisa realizada pela Módulo Security Solutions S/A em 2003 e 29% dos entrevistados apontaram as fraudes via como uma das principais, as quais segundo levantamento foram registradas como os incidentes de Segurança da Informação mais reportados a equipes de respostas de incidentes no país. Dentre as principais ameaças à segurança reportadas pela pesquisa, as que por sua vez foram consideradas mais críticas à continuidade do negócio foram o vazamento de informações, funcionários insatisfeitos, fraudes, erros e acidentes, vírus e acessos indevidos. Figura 3 Principais ameaças de segurança reportada em pesquisa (SOLUTIONS, 2003). Na Figura 3, podemos deduzir que as principais ameaças consideradas são responsáveis por levar as empresas a tomarem medidas preventivas de proteção como política de senhas, restrições de acesso à Internet e serviços da rede, procedimentos de segurança no ato de desligamento do funcionário, programas de conscientização de segurança para os funcionários e muitos outros controles.

23 22 Segundo relatório de ameaças à segurança na Internet (Internet Security Threat Report) 1 publicada pela Symantec, houve 40% mais vulnerabilidades reportadas em 2005 do que em 2004, o que nos leva a pensar que o índice de crescimento permanecerá positivo nos próximos anos. O relatório informa que o tempo médio entre a publicação de uma vulnerabilidade e o aparecimento de um código que explore essa falha foi de 6,8 dias durante o período de levantamento. Das falhas recém-descobertas 68% foram consideradas de fácil exploração e houve documentação recorde de vulnerabilidades desde Dados estatísticos comprovam a importância de uma gestão de segurança nas empresas de qualquer ramo e a necessidade da elaboração e implantação de uma política de segurança de rede que oriente toda a corporação como uma ferramenta de proteção à informação, tão importante nas operações de rotina das empresas. Caso uma ameaça consiga explorar uma vulnerabilidade presente na organização e expor informações confidenciais muitos podem ser os prejuízos, alguns importantes e difíceis de medir como a confiabilidade do público cliente. Tais ameaças estão aumentando segundo empresas especializadas em segurança, juntamente com ameaças de roubo em transações financeiras realizados via Internet. Existem diversos outros tipos de ameaças que podem ser combatidas através do planejamento da gestão de segurança que adota diversos mecanismos de controle e ferramentas. Uma política de segurança poderá ser útil como uma ferramenta de apoio ao gerenciamento de riscos de ameaças e disseminação de uma cultura organizacional de segurança que podem evitar práticas do tipo engenharia social. A engenharia social consiste de técnicas utilizadas por fraudadores que se aproveitam de falhas humanas para obter informações confidenciais que auxiliam no acesso não autorizado a sistemas computacionais. Através de telefonemas, conversas pessoais ou s, um funcionário não consciente dos procedimentos de segurança pode representar o elo mais fraco do sistema de proteção. Um invasor pode induzir esse funcionário a agir de acordo com o seu desejo, desabilitando controles de segurança ou repassando informações sensíveis. 1 Disponível em oferece análise e discussão sobre as atividades de ataques pela Internet, vulnerabilidades, códigos maliciosos e tendências reportadas num período semestral pela Symantec Corporation.

24 23 3. PLANEJAMENTO DA GESTÃO DE SEGURANÇA As diretrizes gerais de uma política de segurança visam governar a proteção dos ativos da companhia (CARUSO, 1999). Com esta definição podemos entender política de segurança como um documento normativo, formal e de caráter preventivo com objetivo maior de proteger os bens de um indivíduo ou organização. Bens são os itens que possuem valor tangível e/ou intangível para a empresa com base na função que desempenham em operações rotineiras (HORTON, 2003, p.29). O comprometimento desses bens pode prejudicar a empresa ou gerar um efeito cascata sobre outros. Horton (2003) considera que na mesma forma que a informação, um bem por si só pode ter um valor inferior, mas quando violado juntamente com outros bens o prejuízo pode ser muito maior. Por exemplo, ao violar o servidor de aplicações os servidores de banco de dados e o acesso aos dados dos clientes são afetados, prejudicando o bom andamento das operações. Uma política de segurança bem elaborada junto com a conscientização de todos os usuários de recursos sobre os problemas da falta de segurança pode barrar muitas ameaças voluntárias de agentes humanos devidos à falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros, omissões e invasões. Por esse motivo a política deve ser planejada a partir do nível estratégico da empresa pelos diretores para que a questão de Segurança da Informação possa atingir todos os níveis de operação de negócio e conte com a percepção e investimentos necessários. As definições vindas do corpo executivo sobre questões de segurança possibilitam ações coordenadas desde o nível operacional da empresa até o estratégico. Segundo a norma NBR ISO/IEC o documento de política de segurança tem como objetivo prover uma orientação e apoio da direção para a Segurança da Informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes (ISO 17799, 2005, seção 5.1) mas, como conduzir o planejamento de uma política de segurança de rede corporativa? O primeiro passo na tarefa de implantar políticas de segurança de redes é definir o que se deseja proteger, fixar os objetivos, definir os meios e recursos necessários.

25 24 Somente após análise do ambiente de rede e de seus riscos, é que se deve começar a etapa de execução. Esta análise/avaliação de riscos deve ser realizada por meio de uma metodologia apropriada para identificar, quantificar e priorizar os riscos com base em critérios de aceitação dos mesmos e segundo aspectos relevantes para a missão da organização (NBR ISO/IEC 17799, 2005, seção 4.1). Pesquisas 2 demonstram (Figura 4) que as empresas, atualmente, estão buscando adequação com legislação, regulamentos e normas de segurança. Cada entidade tem também adotado as regulamentações específicas do seu segmento (resoluções do Banco Central, decretos do Governo Federal) e a ISO é apontada como a norma mais amplamente utilizada como referência técnica para equipes de segurança da informação (SOLUTIONS S/A, Módulo Security, 2003). Figura 4 Adequação a normas, regulamentações e legislações (SOLUTIONS, 2003). As recomendações de normas específicas podem orientar a política de segurança com modelos de conduta na gestão de segurança da informação e práticas de implantação de controle que reduzam o risco a um patamar aceitável para os negócios, mas algumas normas nacionais e internacionais como a ISO 17799: 2000, homologada pela ISO - International Standartization Organization não são suficientes para as necessidades de segurança corporativa. Pois, apesar de orientar o gerenciamento da 2 A soma das porcentagens é superior a 100% porque a questão respondida por profissionais aceitava múltiplas escolhas.

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE Modelo de Otimização de SAM Controle, otimize, cresça Em um mercado internacional em constante mudança, as empresas buscam oportunidades de ganhar vantagem competitiva

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Objetivos deste capítulo

Objetivos deste capítulo 1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. Aprova a instituição e o funcionamento da equipe de tratamento e resposta a incidentes em redes computacionais do IPEA.

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Plano de Segurança da Informação

Plano de Segurança da Informação Governança de Tecnologia da Informação LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Marcelo Faustino Sumário 1. OBJETIVO... 2 2. DESCRIÇÃO DO SERVIÇO... 2 3. ETAPAS

Leia mais

SI- Sistemas de Informação. Professora: Mariana A. Fuini

SI- Sistemas de Informação. Professora: Mariana A. Fuini SI- Sistemas de Informação Professora: Mariana A. Fuini INTRODUÇÃO A informação é tudo na administração de uma organização. Mas para uma boa informação é necessário existir um conjunto de características

Leia mais

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança?

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança? TESTE Sua empresa está em conformidade com a ISO 27002? O objetivo do teste tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações de Segurança

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos

Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos Visão geral do Serviço Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos Os Serviços de gerenciamento de dispositivos distribuídos ajudam você a controlar ativos

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003.

SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003. Segurança da Informação - 2 Maio / 2008 SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003. 1 A segurança da informação é: uma área do conhecimento dedicada

Leia mais

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação TERMO DE REFERÊNCIA 1. Objeto 1.1. Contratação de empresa especializada em auditoria de tecnologia da informação e comunicações, com foco em segurança da informação na análise de quatro domínios: Processos

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

III. Norma Geral de Segurança da Informação para Uso da Internet

III. Norma Geral de Segurança da Informação para Uso da Internet O B J E CT I V O Estabelecer critérios para acesso à Internet utilizando recursos do Projecto Portal do Governo de Angola. Orientar os Utilizadores sobre as competências, o uso e responsabilidades associadas

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI 1. PI06 TI 1.1. Processos a serem Atendidos pelos APLICATIVOS DESENVOLVIDOS Os seguintes processos do MACROPROCESSO

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação Utilização cada vez maior da Internet e a criação de ambientes cooperativos, levam a uma crescente preocupação

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Visão Geral do Mercado Embora o uso dos produtos da Web 2.0 esteja crescendo rapidamente, seu impacto integral sobre

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Norma de Segurança Estadual para Gerenciamento de Senhas

Norma de Segurança Estadual para Gerenciamento de Senhas GOVERNO DO ESTADO DE MATO GROSSO SECRETARIA DE ESTADO DE PLANEJAMENTO E COORDENAÇÃO GERAL CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE INFORMAÇÃO E TECNOLOGIA DA INFORMAÇÃO ANEXO I - RESOLUÇÃO Nº. 011/2011

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO

REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO 1. INTRODUÇÃO O presente documento define o regulamento para o uso apropriado da rede de computadores

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

Política de Utilização da Rede Sem Fio (Wireless)

Política de Utilização da Rede Sem Fio (Wireless) Política de Utilização da Rede Sem Fio (Wireless) Apucarana, 01 de fevereiro de 2011. Objetivos A política de utilização da rede wireless tem como objetivo estabelecer regras e normas de utilização e ao

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

Diretoria Executiva de Controles Internos e Risco Operacional

Diretoria Executiva de Controles Internos e Risco Operacional Diretoria Executiva de Controles Internos e Risco Operacional Seminário de Segurança da Informação 2014 Painel "A dinâmica do cenário de ameaças à rede interna frente a um contexto GRC e às novas ferramentas

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

Via Prática Firewall Box Gateway O acesso à Internet

Via Prática Firewall Box Gateway O acesso à Internet FIREWALL BOX Via Prática Firewall Box Gateway O acesso à Internet Via Prática Firewall Box Gateway pode tornar sua rede mais confiável, otimizar sua largura de banda e ajudar você a controlar o que está

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Quais tipos de informações nós obteremos para este produto

Quais tipos de informações nós obteremos para este produto Termos de Uso O aplicativo Claro Facilidades faz uso de mensagens de texto (SMS), mensagens publicitárias e de serviços de internet. Nos casos em que houver uso de um serviço tarifado como, por exemplo,

Leia mais

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC

SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO Prof. Ms. Edison Fontes, CISM, CISA, CRISC NUCLEO CONSULTORIA EM SEGURANÇA Artigo SPED Sistema Público de Escrituração Fiscal CONTROLES MÍNIMOS PARA A SEGURANÇA DA INFORMAÇÃO BRASIL, São Paulo Novembro, 2013 V.1.0 1. RESUMO Este artigo apresenta

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador Programas Maliciosos 2001 / 1 Segurança de Redes/Márcio d Ávila 182 Vírus de Computador Vírus de computador Código intruso que se anexa a outro programa Ações básicas: propagação e atividade A solução

Leia mais

SIG - Sistemas de Informações Gerenciais. Segurança da Informação

SIG - Sistemas de Informações Gerenciais. Segurança da Informação Segurança da Informação Importância da Informação A Informação é considerada atualmente como um dos principais patrimônio de uma organização. Importância da Informação Ela é um ativo que, como qualquer

Leia mais

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade...

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Reduzir custo de TI; Identificar lentidões no ambiente de TI Identificar problemas de performance

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Aspectos a Serem Considerados Rodrigo Rubira Branco rodrigo@firewalls.com.br O que é a Firewalls? - Empresa Especializada em Segurança; - Profissionais Certificados; - Atenta a

Leia mais

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de 2016-1

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de 2016-1 Segurança Computacional Redes de Computadores Professor: Airton Ribeiro Fevereiro de 2016-1 1 2 Compreende os mecanismos de proteção baseados em softwares Senhas Listas de controle de acesso - ACL Criptografia

Leia mais

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Auditoria e Segurança de Sistemas Aula 02 Auditoria Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Evolução / Necessidade Empresas com Capital Fechado Aumento da concorrência Investimento em

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais