UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE"

Transcrição

1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, IMPORTANTE INSTRUMENTO DA GESTÃO CORPORATIVA Por: Paulo Eduardo Rangel Orientador Prof. Vilson Sérgio de Carvalho Rio de Janeiro, Março 2005

2 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, IMPORTANTE INSTRUMENTO DA GESTÃO CORPORATIVA Apresentação de monografia à Universidade Candido Mendes como condição prévia para a conclusão do Curso de Pós-Graduação Lato Sensu em Finanças e Gestão Corporativa. Por: Paulo Eduardo Rangel

3 AGRADECIMENTOS Aos professores César Lima, Ana Cláudia, Fernando Spreafico e Pedro Paulo com os quais tive a honra de conviver e aprender nas disciplinas da Pós-Graduação, ao Professor Vilson Sérgio de Carvalho por sua paciente e eficiente orientação ao trabalho, e especialmente à empresa Cobra Tecnologia, que me acolheu há 26 anos, pela confiança, incentivo e oportunidade de aprimoramento profissional.

4 DEDICATÓRIA A minha esposa Irene Ribeiro, pelo apoio, compreensão, amor e incentivo incondicional, A minha mãe Maria Gomes, pelas orações e eterna dedicação, e Ao meu pai, Professor Darcy Rangel, pelo exemplo de vida, pela orientação e por ser a fonte de toda minha motivação, Dedico

5 iv RESUMO O tema abordado neste trabalho é denominado Segurança da Informação e objetiva a conscientização da importância de sua eficaz implantação nas empresas e instituições, na elaboração de um planejamento de segurança eficaz para, assim, protegê-las de maiores riscos, uma vez que a informação é um bem de valor intangível. Apresenta recursos e medidas relacionadas à proteção da informação e os riscos relativos às vulnerabilidades. Ressalta a importância de estratégias na identificação das necessidades adequadas à segurança da informação. Cita as causas de ameaças à segurança na integridade das informações e meios de prevenção. Aborda os controles adotados na prevenção de incidentes, definindo soluções para minimizar os riscos de segurança. Revela os elementos necessários nos processos confidenciais, mediante atuação efetiva de todos as pessoas, evitando, assim, falhas que possam afetar o bom funcionamento da empresa ou instituição.

6 v METODOLOGIA A metodologia utilizada para conclusão deste trabalho foram pesquisas a bibliografias e conceitos encontrados em livros, artigos e Internet, correlacionados diretamente a assuntos sobre o tema proposto, onde, através da análise destas informações, visamos propiciar uma visão analítica de como estruturar uma Política de Segurança de Informação adequada a uma gestão corporativa moderna. Ressaltamos crédito especial a 9ª Pesquisa Nacional de Segurança da Informação realizada pela empresa Módulo Security Solutions S.A. e a Norma NBR ISO/IEC (Código de prática para a gestão da segurança da informação) da Associação Brasileira de Normas Técnicas.

7 vi SUMÁRIO INTRODUÇÃO... 7 CAPÍTULO I - SEGURANÇA DA INFORMAÇÃO CAPÍTULO II - POLÍTICA DE SEGURANÇA E NORMA ISO CAPÍTULO III - PESQUISA DE SEGURANÇA DA INFORMAÇÃO ANÁLISES E CONCLUSÕES BIBLIOGRAFIA CONSULTADA ÍNDICE FOLHA DE AVALIAÇÃO... 43

8 7 INTRODUÇÃO A utilização maciça de recursos de processamento e armazenamento de informações em grandes computadores nas mais diversas áreas de atividades humanas e nos mais variados tipos de negócios e aplicações tornou aguda a dependência em relação ao tipo de recurso utilizado. Porém, mais importante que o aspecto de indisponibilidade dos equipamentos é a perda, indisponibilidade ou violação das informações que guardam. É comum aparecerem nos veículos de comunicação notícias relacionadas com crimes e fraudes cometidos com o uso de recursos computacionais, e vale a pena lembrar que é apenas uma pequena parte do que realmente ocorre, pois as empresa preferem preservar sua imagem. Esses crimes quando são descobertos já causaram prejuízos em graus variados, dependendo do ativo fraudado e da natureza do negócio. Hoje a soma anual dos valores fraudados pode chegar à casa dos bilhões de dólares no mundo todo. No Brasil, o assunto passou a representar uma preocupação maior após a publicação do relatório da Comissão Especial de Proteção de dados, Comissão 21, da extinta SEI e a formação de uma comissão na ABNT, denominada Comissão Técnica de Segurança em Informática, destinada a regulamentar a segurança de instalações de informática no final dos anos 80. Tem aumentado a conscientização entre empresários e profissionais da área quanto ao grau de dependência e da vulnerabilidade em relação ao acervo de informações, ainda que em grau muito baixo. Isso tende a agravar-se à medida que tanto as atividades administrativas dos negócios como as atividades de controle de processos em indústrias tornam-se mais dependentes de recursos de informática. Em alguns casos, a dependência chega a ser total.

9 8 A exemplo de outros países, a legislação deve prever e regulamentar a responsabilidade dos administradores nas empresas, relacionada com a preservação da segurança e integridade de informações, não importando o meio de registro que as contenha. Ainda que não se deva chegar ao exagero de tratar a segurança de informações como um segredo militar ou diplomático, também não se deve deixar que a segurança fique dependente principalmente do fato de a maioria das pessoas ignorar a importância de informações que diariamente lhes passam pelas mãos. Mais cedo ou mais tarde, aparece alguém que, além de conhecer os meios técnicos para se apossar das informações, também sabe como obter lucro com elas. Por todo o exposto, estabelecer uma eficiente política de Segurança da Informação é tão importante quanto investir no crescimento operacional da corporação, proporcionando a empresa nível de confiabilidade que permita proteção aos diversos tipos de ataque que porventura possa vir a sofrer. Muitas são as técnicas e ferramentas para se obter acesso indevido à informação, esteja ela em formato eletrônico, em papel etc. É preciso saber que de nada adiantará um alto nível de segurança no correio eletrônico, por exemplo, se o mesmo for posteriormente impresso, transportado, armazenado e até mesmo descartado sem o mesmo nível de segurança. A partir da especificação, configuração e implantação de controles físicos, tecnológicos e humanos preocupados com o manuseio, armazenamento, transporte e descarte das informações, consegue-se reduzir e administrar os riscos. Segurança é adotar controles que visem administrar os riscos, fazendo-os tender a zero. Por mais que tenha especificado os melhores controles para reduzir e administrar os riscos de quebra da confidencialidade, integridade e disponibilidade das informações, nunca estará totalmente seguro. O objetivo do processo de Segurança de Informações em uma organização é alcançar a disponibilidade, confidencialidade, integridade,

10 9 legalidade e auditabilidade da informação. A segurança das informações é difícil, talvez até mesmo impossível, porém existe a necessidade da proteção da informação, fator primordial para própria sobrevivência da empresa, reduzindo assim, os impactos e os riscos de incidentes de segurança. É necessário ter uma boa Política de Segurança, composta de regras claras, praticáveis e sintonizadas com a cultura do ambiente tecnológico da empresa. Deve não apenas proteger as informações confidenciais, mas também motivar as pessoas que as manuseiam, mediante a conscientização e envolvimento de todos. Para termos uma visão adequada de todos este pontos importantes, o trabalho foi estruturado da seguinte forma: No capítulo I, apresentamos a segurança de informação com os seus principais conceitos, sua real necessidade, avaliação dos riscos, controles necessários e fatores de sucesso para sua implantação. No capítulo II abordamos aspectos relativos à importância de implantação de uma eficiente política de segurança e sua conformidade com a norma ISO/IEC 17799:2001. No capítulo III, apresentamos importantes dados sobre segurança de informação, obtidos através da 9ª Pesquisa Nacional de Segurança da Informação, realizada pela empresa Módulo Security em outubro de Concluímos o trabalho, tendo a convicção de ter demonstrado, que a Segurança da informação deve ser a mobilização de interesses comuns, coletivos e difusos em prol da defesa e fortalecimento do patrimônio intangível a informação - um dos bens mais valiosos de qualquer organização.

11 10 CAPÍTULO I SEGURANÇA DA INFORMAÇÃO Informação é aquilo que sintetiza a natureza de tudo o que existe ou ocorre no mundo físico (Carlos Caruso Junho 1999).

12 11 SEGURANÇA DA INFORMAÇÃO 1.1 Conceitos de segurança da informação A informação é um ativo, entre outros ativos de extrema importância nos negócios. A informação deve ser protegida de maneira que não ocorra a possibilidade de acessos não autorizados, alterações indevidas ou sua indisponibilidade. A segurança da informação deve ser implantada em todas as áreas da organização, pois são encontradas em diversos meios como: impresso ou escrito em papel, armazenado eletronicamente, enviado pelo correio ou através de meios eletrônicos. A segurança da informação, conforme mostrado na figura 1, tem como objetivo a preservação de três princípios básicos pelos quais se norteia a implementação desta prática: Confiabilidade Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. Integridade Toda a Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. Disponibilidade Toda a informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).

13 12 Figura 1: Conceitos Básicos da Segurança da Informação Informação Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em troca de mensagens) ou transacionais (isto é, processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários). A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvos de proteção da segurança da informação. Ativo Todo elemento que compõe os processos, incluindo o próprio processo, que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada. O termo ativo possui esta denominação, oriunda da área financeira, por ser considerado em elemento de valor para o individuo ou organização, e que, por esse motivo, necessita de proteção adequada. Existem muitas formas de dividir e agrupar os ativos para facilitar seu tratamento, um deles é: equipamentos, aplicações, usuários, ambientes, informações e processos. Desta forma, torna-se possível identificar melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentando qualitativamente as atividades de segurança.(sêmola, 2003, p. 45 e 46).

14 Por que é necessária a segurança da informação A informação e os processos de apoio, sistemas e redes são importantes ativos e também, estratégicos para os negócios. Confiabilidade, integridade e disponibilidade, são características chave para a segurança da informação, é através dessas características que é possível preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado. As organizações estão extremamente preocupadas com a segurança nos sistemas de informação e redes de computadores, esses tipos de ameaças à segurança podem acarretar em enormes prejuízos aos negócios, são utilizadas variedades de fontes como, fraudes eletrônicas, espionagem, sabotagem, entre outras. É necessário garantir a confiabilidade e segurança de suas transações e combater os ataques causados por vírus, hackers, e ataques de denial of service 1, que estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais vulneráveis às ameaças de segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente.(iso/iec 17799, 2001, p. 2). Muitos sistemas de informação não foram projetados para garantir a segurança, pelo motivo que esses sistemas foram desenvolvidos em uma época em que não existia a interconexão das redes de computadores. A segurança que pode ser alcançada por meios técnicos é limitada e convém 1 Denial of Service: ou DoS é uma técnica que consiste em dificultar ou impedir o bom funcionamento de um serviço de Internet, através de um grande volume de requisições de serviço para esse servidor.

15 14 que seja apoiada por uma gestão e procedimentos apropriados. É necessário escolher controles que permitam a implantação da segurança, mas para que os resultados sejam alcançados é necessária à participação de todos os funcionários da organização, e possivelmente a participação dos fornecedores, clientes e acionistas. Os controles de segurança da informação são consideravelmente mais baratos e mais eficientes se forem incorporados nos estágios do projeto e da especificação dos requisitos. 1.3 Como estabelecer os requisitos de segurança Toda organização para obter segurança de suas informações deve estabelecer requisitos, conforme a norma ISO/IEC 17799, pode ser dividido em três fontes principais: A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado. A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender. A terceira fonte são as particularidades da organização, objetivos e requisitos para o processamento da informação que uma organização tem que se desenvolver para apoiar suas operações.(iso/iec 17799, 2001, p. 2). 1.4 Avaliando os riscos de segurança Os requisitos de segurança são identificados através de uma avaliação sistemática dos riscos de segurança. Os gastos com os controles necessitam ser balanceado de acordo com os danos causados aos negócios gerados pelas potenciais falhas de segurança. As técnicas de avaliação de riscos podem ser aplicadas em toda a organização ou apenas em parte dela, assim como em

16 15 um sistema de informações individuais, componentes de um sistema especifico ou serviços, quando for viável, prático e útil. (ISO/IEC 17799, 2001, p. 2). Na visão holística do risco é conceitual considerar os planos e identificar os desafios e as características especificas do negócio são os primeiros passos para modelar uma solução de segurança adequada. Sendo assim, risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confiabilidade, integridade e disponibilidade, causando possivelmente, impactos para a organização. Com os resultados obtidos na avaliação de risco é possível direcionar e determinar as ações gerenciais e prioridades mais adequadas para um gerenciamento de riscos da segurança da informação e a selecionar os controles a serem implementados para a proteção contra estes riscos. É necessário realizar análises críticas periódicas dos riscos de segurança e dos controles implementados para: a) considerar as mudanças nos requisitos de negócios e suas prioridades; b) considerar novas ameaças e vulnerabilidades; c) confirmar que os controles permanecem eficientes e adequados. É de grande importância que as análises críticas sejam executadas em diferentes níveis de profundidade, dependendo dos resultados obtidos nas avaliações de riscos e das mudanças nos níveis de riscos é verificado se é aceitável para o negócio. A seqüência correta para a verificação das vulnerabilidades, deve ser primeiro a avaliação de riscos em um nível mais geral, como uma forma de priorizar recursos em áreas de alto risco, e então em um nível mais detalhado, para solucionar riscos específicos.

17 Controles para garantir a segurança da informação Uma vez tendo sido identificado os requisitos de segurança, convêm que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Comumente esta atividade faz parte de uma orientação obtida pela análise de riscos ou por sugestões de normas específicas de segurança, como a ISO17799, o CobiT 2, o Technical Report ou, ainda, normas específicas como a de cabeamento estruturado EIA/TIA586A. O universo de controles aplicáveis é enorme, pois estamos falando de mecanismos destinados à segurança física, tecnológica e humana. Se pensarmos no peopleware, ou seja, no capital humano como um dos elos mais críticos e relevantes para a redução dos riscos, temos alguns controles como: Seminários de sensibilização, Cursos de capacitação, Campanhas de divulgação da política de segurança, Crachás de identificação, Procedimentos específicos para demissão e admissão de funcionários, Termo de responsabilidade, Termo de confiabilidade, Softwares de auditoria de acessos, Softwares de monitoramento e filtragem de conteúdo etc... Muitos controles humanos citados interferem direta ou indiretamente no ambiente físico, mas este deve receber a implementação de um outro conjunto de mecanismos voltados a controlar o acesso e as condições de ambientes físicos, sinalizando registrando, impedindo e autorizando acessos e estados, dentre os quais podem ser utilizados: Roletas de controle de acesso físico, Climatizadores de ambiente, Detectores de fumaça, Acionadores de água para combater o incêndio, Extintores de incêndio, Cabeamento estruturado, Salas-cofre, Dispositivos biométricos, Smartcards, Certificados Digitais de Token, Circuitos internos de televisão, Alarmes e sirenes, Dispositivos de proteção física de equipamentos, Nobreaks, 2 CobiT (Control Objectives for Information and related Tecnhology), modelo utilizado para verificar a governança de Tecnologia da Informação em uma organização.

18 17 Dispositivos de armazenamento de mídia magnética, Fragmentadores de papel, Etc. Assim como ocorre com os controles físicos e humanos, a lista dos dispositivos aplicáveis aos ativos tecnológicos é extensa; afinal, além da diversidade e heterogeneidade de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta uma nova ferramenta ou equipamento praticamente a cada dia.os instrumentos aplicáveis aos ativos tecnológicos podem ser divididos em três famílias. Autenticação e autorização Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e agentes em geral, os mecanismos de autenticação mostram-se fundamentais para os atuais padrões de informação, automação e compartilhamento de informações. Sem identificar a origem de um acesso e seu agente, torna-se praticamente inviável realizar autorizações condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informações valiosas sem controle. Combate a ataques e invasões Destinados a suprir a infra-estrutura tecnológica com os dispositivos de software e hardware de proteção, controle de acesso e conseqüente combate a ataques e invasões, esta família de mecanismos tem papel importante no modelo de gestão de segurança, à medida que as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente. Privacidade das comunicações É inevitável falar de criptografia quando o assunto é privacidade das comunicações. A criptografia é uma ciência que estuda os princípios, meios

19 18 e métodos para proteger a confiabilidade das informações através da codificação ou processo de cifração e que permite a restauração da informação original através do processo de decifração.largamente aplicada na comunicação de dados, esta ciência utiliza algoritmos matemáticos e da criptoanálise, para conferir maior ou menor proteção de acordo com a sua complexidade e estrutura de desenvolvimento. Quando vemos software de criptografia de mensagem ou, por exemplo, aplicações que adotam criptografia, estamos diante de situações em que a ciência foi empregada e materializada em forma de programas de computador. 1.6 Ponto de partida para a segurança da informação Um número de controles pode ser considerado como princípios básicos, fornecendo um bom ponto de partida para a implementação da segurança da informação. São baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas. Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem: a) proteção de dados e privacidade de informações pessoais; b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual. Os controles considerados como melhores práticas para a segurança da informação incluem: a) documento da política de segurança da informação; b) definição das responsabilidades na segurança da informação; c) educação e treinamento em segurança da informação; d) relatório dos incidentes de segurança; e) gestão da continuidade do negócio.

20 19 Estes controles se aplicam para a maioria dos ambientes corporativos, seguindo a Norma ISO/IEC 17799, percebemos que somente é possível utilizar esses controles, se determinarmos anteriormente a seleção dos controles (item 5), onde coletando as informações através da avaliação de riscos, é possível verificar as vulnerabilidades e garantir sua correção. 1.7 Fatores críticos de sucesso para a implementação A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização: a) política de segurança, objetivos e atividades, que reflitam os objetivos do negócio; b) um enfoque para a implementação da segurança que seja consistente com a cultura organizacional; c) comprometimento e apoio visível da direção; d) um bom entendimento dos requisitos de segurança, avaliação de risco e gerenciamento de risco; e) divulgação eficiente da segurança para todos os gestores e funcionários; f) distribuição das diretrizes sobre as normas e política de segurança da informação para todos os funcionários e fornecedores; g) proporcionar educação e treinamento adequados; h) um abrangente e balanceado sistema de medição, que é usado para avaliar o desempenho da gestão de segurança da informação e obtenção de sugestões para a melhoria.

21 20 CAPÍTULO II POLÍTICA DE SEGURANÇA E NORMA ISO A ISO estabelece uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas da gestão da segurança. (Alberto Bastos Janeiro 2002).

22 21 POLÍTICA DE SEGURANÇA E NORMA ISO Histórico A evolução tecnológica proporciona para as organizações maiores negócios com seus clientes, fornecedores e colaboradores, onde a conectividade tem um papel fundamental para alcançar o sucesso. Com o crescimento do sistema de informações colaborativas, é cada vez mais crucial manter essas informações seguras e suas fontes confiáveis. Mas para que essas informações sejam armazenadas e transmitidas de uma maneira segura, é preciso que sejam estabelecidos controles que garantam a qualidade e integridade da informação. Por esse motivo várias organizações começaram a se preocupar com a segurança da informação, mas não possuíam nenhum tipo de metodologia e controles que atendessem suas necessidades, pelo motivo de que cada organização trabalha de uma maneira e suas prioridades entre os níveis de segurança podem variar de uma organização para a outra. Com isso a International Organization for Standardization (ISO), onde seu objetivo é criar normas e padrões universalmente aceitos, criou a Norma ISO 17799, sendo no Brasil controlada pela Associação Brasileira de Norma Técnicas (ABNT), como NBR ISO/IEC 17799, que tem como nome Tecnologia da Informação Código de prática para a gestão da segurança da informação, onde proporciona para as organizações os controles necessários para a segurança da informação. 2.2 A NBR ISO/IEC A NBR (Norma Brasileira) ISO/IEC Tecnologia da Informação Código de prática para a gestão da segurança da informação, é originada da Norma Britânica BS7799 Parte 1 3, desenvolvida pela British Standards 3 É a primeira parte da norma, já homologada. Contém uma introdução, definição de extensão e condições principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. É planejado como um documento de referência para implementar "boas práticas" de segurança na empresa.

23 22 Institute (BSI), com inicio em 1995, e depois padronizada pela International Organization for Standardization (ISO) em 2000, como ISO/IEC Esta norma tem como objetivo fornecer recomendações para a gestão da segurança da informação para uso dos departamentos responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações. Proporcionando uma base comum para o desenvolvimento das normas de segurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nos relacionamentos entre as organizações. É importante observar que essas recomendações descritas na norma estejam de acordo com a legislação e regulamentação vigente. A NBR ISO/IEC 17799, abrange ao todo 10 domínios, reunidos em 36 grupos que se totalizam em 127 controles, sendo seus domínios, a Política de Segurança, a Segurança Organizacional, a Classificação e Controle dos Ativos de Informação, a Segurança de Pessoas, a Segurança Física e do Ambiente, o Gerenciamento das Operações e Comunicações, o Controle de Acesso, o Desenvolvimento e Manutenção de Sistemas, a Gestão da Continuidade do Negócio e a Conformidade. 2.3 Framework e controles de segurança da Norma BS7799 O Framework e os controles de segurança da informação estão descritos na parte 2 da Norma Britânica BS7799 4, onde estabelece o Sistema de Gestão de Segurança da Informação (SGSI), que somados ao conjunto de controles sugeridos na parte 1 da norma, torna possível a certificação. As empresas podem conduzir as ações de segurança sob a orientação de uma base comum proposta pela norma, além de se prepararem indiretamente para o reconhecimento de conformidade 4 A segunda parte da norma, ainda não homologada, cujo objetivo é proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas.

24 23 aferido por órgãos credenciados. A certificação da segurança, similar aos reflexos obtidos pela conquista da certificação de qualidade ISO9000, promove melhorias nas relações business-tobusiness e business-to-consumer, além de adicionar valor à empresa por representar um diferencial competitivo e uma demonstração pública do compromisso com a segurança das informações de seus clientes. As seis fases principais para que se possa alcançar a certificação, se iniciam na: - Definição das diretrizes da política de segurança - Definição do SGSI Sistema de Gestão de Segurança da Informação - Execução de análise de riscos - Definição de uma estrutura para gerenciamento de risco - Seleção dos objetos de controles e os controles aplicáveis - Preparação da declaração de aplicabilidade dos controles.(sêmola, 2003, p.141). 2.4 Política de segurança da informação O objetivo da política de segurança da informação é prover à direção uma orientação e apoio para a segurança da informação. A política de segurança representa a formalização das ações que devem ser realizadas para garantir a segurança corporativa. A criação, implementação e manutenção de uma política de segurança consistem em esforço, participação e colaboração de todas áreas da empresa. A política de segurança deve seguir controles internacionais, de modo a facilitar a auditoria e permitindo que a empresa esteja de acordo com os órgãos que regem o controle de qualidade. Segundo a NBR ISO/IEC (2001, p. 4) Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização. Para que seja possível a implantação da política é necessário que a alta direção tenha aprovado, comunicado e publicado, de maneira adequada para os funcionários. É necessário que a alta direção esteja sempre preocupada com o processo e estabeleça as linhas mestras para a gestão

25 24 da segurança da informação. Onde devem ser estabelecidas no mínimo as seguintes orientações: a) Definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação; b) Declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação; c) Breve explanação das políticas, princípios, padrões, e requisitos de conformidade de importância específica para a organização, por exemplo: 1) Conformidade com a legislação e cláusulas contratuais; 2) Requisitos na educação de segurança; 3) Prevenção e detecção de vírus e software maliciosos; 4) Gestão da continuidade no negócio; 5) Conseqüências das violações na política de segurança da informação; d) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança; e) Referencias à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam. (ISO/IEC 17799, 2001, p. 4). Apesar de a maioria dos executivos das Empresas estarem conscientes da necessidade da criação e cumprimento de uma Política de Segurança da Informação, faz-se necessário um esforço grande para que as Unidades de Segurança possam lançar mão dos recursos necessários para esta criação e manutenção. Portanto, cumpre identificar as soluções existentes voltadas a esta necessidade.

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Página: 1 de 5 1. INTRODUÇÃO A informação é um ativo que possui grande importância para PRÓ-MEMÓRIA, sendo resguardada contra ameaças e riscos. Segurança da informação, segundo a NBR ISO/IEC 27002:2005,

Leia mais

Apresentação do Curso

Apresentação do Curso Apresentação do Curso 26/9/2004 Prof. Rossoni, Farias 1 Programa da Disciplina Ementa de disciplina: SEGURANÇA DA INFORMAÇÃO Conceitos básicos: ameaças, avaliação de riscos e política de segurança. Segurança

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. Aprova a instituição e o funcionamento da equipe de tratamento e resposta a incidentes em redes computacionais do IPEA.

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

Segurança da Informação

Segurança da Informação Agência Nacional de Vigilância Sanitária Segurança da Informação (Gerenciamento de Acesso a Sistemas de Informação) Projeto a ser desenvolvido no âmbito da Gerência de Sistemas/GGTIN Brasília, junho de

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012

Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012 Ato da Mesa Nº 47, DE 16 DE JULHO DE 2012 Institui a Política de Segurança da Informação da Câmara dos Deputados e dá outras providências. A MESA DA CÂMARA DOS DEPUTADOS, no uso de suas atribuições regimentais,

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Classificação das Informações 5/5/2015 Confidencial [ ] Uso Interno [ X ] Uso Público ÍNDICE 1 OBJETIVO... 3 2 ABRANGÊNCIA... 3 3 CONCEITOS... 3 4 ESTRUTURA NORMATIVA...

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Governança em T.I. GTI-V Noturno - 2015. Alunos: Douglas de Souza Braga Rafael vitor Hugo Bastos Kaysmier Walessa

Governança em T.I. GTI-V Noturno - 2015. Alunos: Douglas de Souza Braga Rafael vitor Hugo Bastos Kaysmier Walessa Governança em T.I GTI-V Noturno - 2015 Alunos: Douglas de Souza Braga Rafael vitor Hugo Bastos Kaysmier Walessa Politica de Segurança Ativos: Computadores: Sistema \ Hardwere \Segurança A infraestrutura

Leia mais

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico.

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico. Exercícios da Parte II: Segurança da Informação Walter Cunha Criptografia (CESPE/PCF-PF 03 2002) 1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799 Fundamentos em Segurança de Redes de Computadores 1 Objetivos Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

Leia mais

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 276:2011) - OTS NORMA Nº NIT-DICOR-011 APROVADA EM MAR/2013 Nº 01/46 SUMÁRIO

Leia mais

SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003.

SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003. Segurança da Informação - 2 Maio / 2008 SEMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2003. 1 A segurança da informação é: uma área do conhecimento dedicada

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

Estratégias em Tecnologia da Informação. Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar)

Estratégias em Tecnologia da Informação. Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar) Estratégias em Tecnologia da Informação Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar) Material de apoio 2 Esclarecimentos Esse material é de apoio para as aulas da disciplina

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

MECANISMOS PARA GOVERNANÇA DE T.I. IMPLEMENTAÇÃO DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MECANISMOS PARA GOVERNANÇA DE T.I. IMPLEMENTAÇÃO DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MECANISMOS PARA IMPLEMENTAÇÃO DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza CICLO DA GOVERNANÇA DE TI O CICLO DA GOVERNANÇA DE TI O Ciclo da Governança de T.I. ALINHAMENTO

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

Plano de Segurança da Informação

Plano de Segurança da Informação Governança de Tecnologia da Informação LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Marcelo Faustino Sumário 1. OBJETIVO... 2 2. DESCRIÇÃO DO SERVIÇO... 2 3. ETAPAS

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Projeto 21:204.01-010. Tecnologia da informação - Código de prática para a gestão da segurança da informação

Projeto 21:204.01-010. Tecnologia da informação - Código de prática para a gestão da segurança da informação ABR 2001 Projeto 21:204.01-010 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação - Código de prática para a gestão da segurança da informação Sede: Rio de Janeiro Av. Treze de Maio,

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006

Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006 Apresentamos os resultados da Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe, realizada com o apoio da SUCESU-BA. O objetivo dessa pesquisa é transmitir aos gestores e ao mercado

Leia mais

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS Autor(a): Tatiene Rochelle Santana Melo Coautor(es): Gliner Dias Alencar INTRODUÇÃO Com o aumento

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Segurança da Informação BM&FBOVESPA Última revisão: maio de 2014 Uso interno Índice 1. OBJETIVO... 3 2. ABRANGÊNCIA... 3 3. CONCEITOS... 3 4. ESTRUTURA NORMATIVA... 3 5. DIRETRIZES... 4 6. RESPONSABILIDADES...

Leia mais

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional Gerenciamento do Risco Operacional Controle do documento Data Autor Versão Outubro/2010 Compliance 001 Dezembro/2011 Compliance 002 Dezembro/2012 Compliance 003 Agosto/2014 Compliance 004 Revisão do documento

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 5. Política de Segurança da Informação 1 Roteiro (1/1) Objetivo Documento Orientações Mínimas para o Documento Análise Crítica e Avaliações 2 Objetivo

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação Segurança da Informação Fundamentos do Modelo de Segurança da Informação A Segurança da Informação no Governo Federal OGoverno Federal, em diversas oportunidades, tem se manifestado no sentido de assegurar

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org

Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Segurança da Informação (SI) Fonte: ISSA - http://www.issabrasil.org Aumento dos incidentes de segurança A freqüência de incidentes de segurança continua a aumentar rapidamente 120.000 100.000 80.000 60.000

Leia mais

BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM. Orientações Preliminares

BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM. Orientações Preliminares BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM ALEX DELGADO GONÇALVES CASAÑAS BSI005 BSI 04NA/NOTURNO 4 Orientações Preliminares O plano de ensino é um documento didático-pedagógico

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Resolução CC-52, de 23-6-2004

Resolução CC-52, de 23-6-2004 Resolução CC-52, de 23-6-2004 ANEXO I Institui a Política e o Plano Estratégico de Uso de Software na Administração Pública Estadual O Secretário-Chefe da Casa Civil, na qualidade de Presidente do Comitê

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com Conceito Com base nas definições podemos concluir que: Governança de de TI TI busca o compartilhamento de de decisões de de TI TI com os os demais dirigentes

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

SIG - Sistemas de Informações Gerenciais. Segurança da Informação

SIG - Sistemas de Informações Gerenciais. Segurança da Informação Segurança da Informação Importância da Informação A Informação é considerada atualmente como um dos principais patrimônio de uma organização. Importância da Informação Ela é um ativo que, como qualquer

Leia mais