UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE"

Transcrição

1 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, IMPORTANTE INSTRUMENTO DA GESTÃO CORPORATIVA Por: Paulo Eduardo Rangel Orientador Prof. Vilson Sérgio de Carvalho Rio de Janeiro, Março 2005

2 UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU PROJETO A VEZ DO MESTRE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, IMPORTANTE INSTRUMENTO DA GESTÃO CORPORATIVA Apresentação de monografia à Universidade Candido Mendes como condição prévia para a conclusão do Curso de Pós-Graduação Lato Sensu em Finanças e Gestão Corporativa. Por: Paulo Eduardo Rangel

3 AGRADECIMENTOS Aos professores César Lima, Ana Cláudia, Fernando Spreafico e Pedro Paulo com os quais tive a honra de conviver e aprender nas disciplinas da Pós-Graduação, ao Professor Vilson Sérgio de Carvalho por sua paciente e eficiente orientação ao trabalho, e especialmente à empresa Cobra Tecnologia, que me acolheu há 26 anos, pela confiança, incentivo e oportunidade de aprimoramento profissional.

4 DEDICATÓRIA A minha esposa Irene Ribeiro, pelo apoio, compreensão, amor e incentivo incondicional, A minha mãe Maria Gomes, pelas orações e eterna dedicação, e Ao meu pai, Professor Darcy Rangel, pelo exemplo de vida, pela orientação e por ser a fonte de toda minha motivação, Dedico

5 iv RESUMO O tema abordado neste trabalho é denominado Segurança da Informação e objetiva a conscientização da importância de sua eficaz implantação nas empresas e instituições, na elaboração de um planejamento de segurança eficaz para, assim, protegê-las de maiores riscos, uma vez que a informação é um bem de valor intangível. Apresenta recursos e medidas relacionadas à proteção da informação e os riscos relativos às vulnerabilidades. Ressalta a importância de estratégias na identificação das necessidades adequadas à segurança da informação. Cita as causas de ameaças à segurança na integridade das informações e meios de prevenção. Aborda os controles adotados na prevenção de incidentes, definindo soluções para minimizar os riscos de segurança. Revela os elementos necessários nos processos confidenciais, mediante atuação efetiva de todos as pessoas, evitando, assim, falhas que possam afetar o bom funcionamento da empresa ou instituição.

6 v METODOLOGIA A metodologia utilizada para conclusão deste trabalho foram pesquisas a bibliografias e conceitos encontrados em livros, artigos e Internet, correlacionados diretamente a assuntos sobre o tema proposto, onde, através da análise destas informações, visamos propiciar uma visão analítica de como estruturar uma Política de Segurança de Informação adequada a uma gestão corporativa moderna. Ressaltamos crédito especial a 9ª Pesquisa Nacional de Segurança da Informação realizada pela empresa Módulo Security Solutions S.A. e a Norma NBR ISO/IEC (Código de prática para a gestão da segurança da informação) da Associação Brasileira de Normas Técnicas.

7 vi SUMÁRIO INTRODUÇÃO... 7 CAPÍTULO I - SEGURANÇA DA INFORMAÇÃO CAPÍTULO II - POLÍTICA DE SEGURANÇA E NORMA ISO CAPÍTULO III - PESQUISA DE SEGURANÇA DA INFORMAÇÃO ANÁLISES E CONCLUSÕES BIBLIOGRAFIA CONSULTADA ÍNDICE FOLHA DE AVALIAÇÃO... 43

8 7 INTRODUÇÃO A utilização maciça de recursos de processamento e armazenamento de informações em grandes computadores nas mais diversas áreas de atividades humanas e nos mais variados tipos de negócios e aplicações tornou aguda a dependência em relação ao tipo de recurso utilizado. Porém, mais importante que o aspecto de indisponibilidade dos equipamentos é a perda, indisponibilidade ou violação das informações que guardam. É comum aparecerem nos veículos de comunicação notícias relacionadas com crimes e fraudes cometidos com o uso de recursos computacionais, e vale a pena lembrar que é apenas uma pequena parte do que realmente ocorre, pois as empresa preferem preservar sua imagem. Esses crimes quando são descobertos já causaram prejuízos em graus variados, dependendo do ativo fraudado e da natureza do negócio. Hoje a soma anual dos valores fraudados pode chegar à casa dos bilhões de dólares no mundo todo. No Brasil, o assunto passou a representar uma preocupação maior após a publicação do relatório da Comissão Especial de Proteção de dados, Comissão 21, da extinta SEI e a formação de uma comissão na ABNT, denominada Comissão Técnica de Segurança em Informática, destinada a regulamentar a segurança de instalações de informática no final dos anos 80. Tem aumentado a conscientização entre empresários e profissionais da área quanto ao grau de dependência e da vulnerabilidade em relação ao acervo de informações, ainda que em grau muito baixo. Isso tende a agravar-se à medida que tanto as atividades administrativas dos negócios como as atividades de controle de processos em indústrias tornam-se mais dependentes de recursos de informática. Em alguns casos, a dependência chega a ser total.

9 8 A exemplo de outros países, a legislação deve prever e regulamentar a responsabilidade dos administradores nas empresas, relacionada com a preservação da segurança e integridade de informações, não importando o meio de registro que as contenha. Ainda que não se deva chegar ao exagero de tratar a segurança de informações como um segredo militar ou diplomático, também não se deve deixar que a segurança fique dependente principalmente do fato de a maioria das pessoas ignorar a importância de informações que diariamente lhes passam pelas mãos. Mais cedo ou mais tarde, aparece alguém que, além de conhecer os meios técnicos para se apossar das informações, também sabe como obter lucro com elas. Por todo o exposto, estabelecer uma eficiente política de Segurança da Informação é tão importante quanto investir no crescimento operacional da corporação, proporcionando a empresa nível de confiabilidade que permita proteção aos diversos tipos de ataque que porventura possa vir a sofrer. Muitas são as técnicas e ferramentas para se obter acesso indevido à informação, esteja ela em formato eletrônico, em papel etc. É preciso saber que de nada adiantará um alto nível de segurança no correio eletrônico, por exemplo, se o mesmo for posteriormente impresso, transportado, armazenado e até mesmo descartado sem o mesmo nível de segurança. A partir da especificação, configuração e implantação de controles físicos, tecnológicos e humanos preocupados com o manuseio, armazenamento, transporte e descarte das informações, consegue-se reduzir e administrar os riscos. Segurança é adotar controles que visem administrar os riscos, fazendo-os tender a zero. Por mais que tenha especificado os melhores controles para reduzir e administrar os riscos de quebra da confidencialidade, integridade e disponibilidade das informações, nunca estará totalmente seguro. O objetivo do processo de Segurança de Informações em uma organização é alcançar a disponibilidade, confidencialidade, integridade,

10 9 legalidade e auditabilidade da informação. A segurança das informações é difícil, talvez até mesmo impossível, porém existe a necessidade da proteção da informação, fator primordial para própria sobrevivência da empresa, reduzindo assim, os impactos e os riscos de incidentes de segurança. É necessário ter uma boa Política de Segurança, composta de regras claras, praticáveis e sintonizadas com a cultura do ambiente tecnológico da empresa. Deve não apenas proteger as informações confidenciais, mas também motivar as pessoas que as manuseiam, mediante a conscientização e envolvimento de todos. Para termos uma visão adequada de todos este pontos importantes, o trabalho foi estruturado da seguinte forma: No capítulo I, apresentamos a segurança de informação com os seus principais conceitos, sua real necessidade, avaliação dos riscos, controles necessários e fatores de sucesso para sua implantação. No capítulo II abordamos aspectos relativos à importância de implantação de uma eficiente política de segurança e sua conformidade com a norma ISO/IEC 17799:2001. No capítulo III, apresentamos importantes dados sobre segurança de informação, obtidos através da 9ª Pesquisa Nacional de Segurança da Informação, realizada pela empresa Módulo Security em outubro de Concluímos o trabalho, tendo a convicção de ter demonstrado, que a Segurança da informação deve ser a mobilização de interesses comuns, coletivos e difusos em prol da defesa e fortalecimento do patrimônio intangível a informação - um dos bens mais valiosos de qualquer organização.

11 10 CAPÍTULO I SEGURANÇA DA INFORMAÇÃO Informação é aquilo que sintetiza a natureza de tudo o que existe ou ocorre no mundo físico (Carlos Caruso Junho 1999).

12 11 SEGURANÇA DA INFORMAÇÃO 1.1 Conceitos de segurança da informação A informação é um ativo, entre outros ativos de extrema importância nos negócios. A informação deve ser protegida de maneira que não ocorra a possibilidade de acessos não autorizados, alterações indevidas ou sua indisponibilidade. A segurança da informação deve ser implantada em todas as áreas da organização, pois são encontradas em diversos meios como: impresso ou escrito em papel, armazenado eletronicamente, enviado pelo correio ou através de meios eletrônicos. A segurança da informação, conforme mostrado na figura 1, tem como objetivo a preservação de três princípios básicos pelos quais se norteia a implementação desta prática: Confiabilidade Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. Integridade Toda a Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. Disponibilidade Toda a informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).

13 12 Figura 1: Conceitos Básicos da Segurança da Informação Informação Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em troca de mensagens) ou transacionais (isto é, processos em que sejam realizadas operações que envolvam, por exemplo, a transferência de valores monetários). A informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados ativos, os quais são alvos de proteção da segurança da informação. Ativo Todo elemento que compõe os processos, incluindo o próprio processo, que manipulam e processam a informação, a contar a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada. O termo ativo possui esta denominação, oriunda da área financeira, por ser considerado em elemento de valor para o individuo ou organização, e que, por esse motivo, necessita de proteção adequada. Existem muitas formas de dividir e agrupar os ativos para facilitar seu tratamento, um deles é: equipamentos, aplicações, usuários, ambientes, informações e processos. Desta forma, torna-se possível identificar melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentando qualitativamente as atividades de segurança.(sêmola, 2003, p. 45 e 46).

14 Por que é necessária a segurança da informação A informação e os processos de apoio, sistemas e redes são importantes ativos e também, estratégicos para os negócios. Confiabilidade, integridade e disponibilidade, são características chave para a segurança da informação, é através dessas características que é possível preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organização no mercado. As organizações estão extremamente preocupadas com a segurança nos sistemas de informação e redes de computadores, esses tipos de ameaças à segurança podem acarretar em enormes prejuízos aos negócios, são utilizadas variedades de fontes como, fraudes eletrônicas, espionagem, sabotagem, entre outras. É necessário garantir a confiabilidade e segurança de suas transações e combater os ataques causados por vírus, hackers, e ataques de denial of service 1, que estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais vulneráveis às ameaças de segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente.(iso/iec 17799, 2001, p. 2). Muitos sistemas de informação não foram projetados para garantir a segurança, pelo motivo que esses sistemas foram desenvolvidos em uma época em que não existia a interconexão das redes de computadores. A segurança que pode ser alcançada por meios técnicos é limitada e convém 1 Denial of Service: ou DoS é uma técnica que consiste em dificultar ou impedir o bom funcionamento de um serviço de Internet, através de um grande volume de requisições de serviço para esse servidor.

15 14 que seja apoiada por uma gestão e procedimentos apropriados. É necessário escolher controles que permitam a implantação da segurança, mas para que os resultados sejam alcançados é necessária à participação de todos os funcionários da organização, e possivelmente a participação dos fornecedores, clientes e acionistas. Os controles de segurança da informação são consideravelmente mais baratos e mais eficientes se forem incorporados nos estágios do projeto e da especificação dos requisitos. 1.3 Como estabelecer os requisitos de segurança Toda organização para obter segurança de suas informações deve estabelecer requisitos, conforme a norma ISO/IEC 17799, pode ser dividido em três fontes principais: A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado. A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender. A terceira fonte são as particularidades da organização, objetivos e requisitos para o processamento da informação que uma organização tem que se desenvolver para apoiar suas operações.(iso/iec 17799, 2001, p. 2). 1.4 Avaliando os riscos de segurança Os requisitos de segurança são identificados através de uma avaliação sistemática dos riscos de segurança. Os gastos com os controles necessitam ser balanceado de acordo com os danos causados aos negócios gerados pelas potenciais falhas de segurança. As técnicas de avaliação de riscos podem ser aplicadas em toda a organização ou apenas em parte dela, assim como em

16 15 um sistema de informações individuais, componentes de um sistema especifico ou serviços, quando for viável, prático e útil. (ISO/IEC 17799, 2001, p. 2). Na visão holística do risco é conceitual considerar os planos e identificar os desafios e as características especificas do negócio são os primeiros passos para modelar uma solução de segurança adequada. Sendo assim, risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confiabilidade, integridade e disponibilidade, causando possivelmente, impactos para a organização. Com os resultados obtidos na avaliação de risco é possível direcionar e determinar as ações gerenciais e prioridades mais adequadas para um gerenciamento de riscos da segurança da informação e a selecionar os controles a serem implementados para a proteção contra estes riscos. É necessário realizar análises críticas periódicas dos riscos de segurança e dos controles implementados para: a) considerar as mudanças nos requisitos de negócios e suas prioridades; b) considerar novas ameaças e vulnerabilidades; c) confirmar que os controles permanecem eficientes e adequados. É de grande importância que as análises críticas sejam executadas em diferentes níveis de profundidade, dependendo dos resultados obtidos nas avaliações de riscos e das mudanças nos níveis de riscos é verificado se é aceitável para o negócio. A seqüência correta para a verificação das vulnerabilidades, deve ser primeiro a avaliação de riscos em um nível mais geral, como uma forma de priorizar recursos em áreas de alto risco, e então em um nível mais detalhado, para solucionar riscos específicos.

17 Controles para garantir a segurança da informação Uma vez tendo sido identificado os requisitos de segurança, convêm que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Comumente esta atividade faz parte de uma orientação obtida pela análise de riscos ou por sugestões de normas específicas de segurança, como a ISO17799, o CobiT 2, o Technical Report ou, ainda, normas específicas como a de cabeamento estruturado EIA/TIA586A. O universo de controles aplicáveis é enorme, pois estamos falando de mecanismos destinados à segurança física, tecnológica e humana. Se pensarmos no peopleware, ou seja, no capital humano como um dos elos mais críticos e relevantes para a redução dos riscos, temos alguns controles como: Seminários de sensibilização, Cursos de capacitação, Campanhas de divulgação da política de segurança, Crachás de identificação, Procedimentos específicos para demissão e admissão de funcionários, Termo de responsabilidade, Termo de confiabilidade, Softwares de auditoria de acessos, Softwares de monitoramento e filtragem de conteúdo etc... Muitos controles humanos citados interferem direta ou indiretamente no ambiente físico, mas este deve receber a implementação de um outro conjunto de mecanismos voltados a controlar o acesso e as condições de ambientes físicos, sinalizando registrando, impedindo e autorizando acessos e estados, dentre os quais podem ser utilizados: Roletas de controle de acesso físico, Climatizadores de ambiente, Detectores de fumaça, Acionadores de água para combater o incêndio, Extintores de incêndio, Cabeamento estruturado, Salas-cofre, Dispositivos biométricos, Smartcards, Certificados Digitais de Token, Circuitos internos de televisão, Alarmes e sirenes, Dispositivos de proteção física de equipamentos, Nobreaks, 2 CobiT (Control Objectives for Information and related Tecnhology), modelo utilizado para verificar a governança de Tecnologia da Informação em uma organização.

18 17 Dispositivos de armazenamento de mídia magnética, Fragmentadores de papel, Etc. Assim como ocorre com os controles físicos e humanos, a lista dos dispositivos aplicáveis aos ativos tecnológicos é extensa; afinal, além da diversidade e heterogeneidade de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta uma nova ferramenta ou equipamento praticamente a cada dia.os instrumentos aplicáveis aos ativos tecnológicos podem ser divididos em três famílias. Autenticação e autorização Destinados a suprir os processos de identificação de pessoas, equipamentos, sistemas e agentes em geral, os mecanismos de autenticação mostram-se fundamentais para os atuais padrões de informação, automação e compartilhamento de informações. Sem identificar a origem de um acesso e seu agente, torna-se praticamente inviável realizar autorizações condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informações valiosas sem controle. Combate a ataques e invasões Destinados a suprir a infra-estrutura tecnológica com os dispositivos de software e hardware de proteção, controle de acesso e conseqüente combate a ataques e invasões, esta família de mecanismos tem papel importante no modelo de gestão de segurança, à medida que as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente. Privacidade das comunicações É inevitável falar de criptografia quando o assunto é privacidade das comunicações. A criptografia é uma ciência que estuda os princípios, meios

19 18 e métodos para proteger a confiabilidade das informações através da codificação ou processo de cifração e que permite a restauração da informação original através do processo de decifração.largamente aplicada na comunicação de dados, esta ciência utiliza algoritmos matemáticos e da criptoanálise, para conferir maior ou menor proteção de acordo com a sua complexidade e estrutura de desenvolvimento. Quando vemos software de criptografia de mensagem ou, por exemplo, aplicações que adotam criptografia, estamos diante de situações em que a ciência foi empregada e materializada em forma de programas de computador. 1.6 Ponto de partida para a segurança da informação Um número de controles pode ser considerado como princípios básicos, fornecendo um bom ponto de partida para a implementação da segurança da informação. São baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas. Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem: a) proteção de dados e privacidade de informações pessoais; b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual. Os controles considerados como melhores práticas para a segurança da informação incluem: a) documento da política de segurança da informação; b) definição das responsabilidades na segurança da informação; c) educação e treinamento em segurança da informação; d) relatório dos incidentes de segurança; e) gestão da continuidade do negócio.

20 19 Estes controles se aplicam para a maioria dos ambientes corporativos, seguindo a Norma ISO/IEC 17799, percebemos que somente é possível utilizar esses controles, se determinarmos anteriormente a seleção dos controles (item 5), onde coletando as informações através da avaliação de riscos, é possível verificar as vulnerabilidades e garantir sua correção. 1.7 Fatores críticos de sucesso para a implementação A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização: a) política de segurança, objetivos e atividades, que reflitam os objetivos do negócio; b) um enfoque para a implementação da segurança que seja consistente com a cultura organizacional; c) comprometimento e apoio visível da direção; d) um bom entendimento dos requisitos de segurança, avaliação de risco e gerenciamento de risco; e) divulgação eficiente da segurança para todos os gestores e funcionários; f) distribuição das diretrizes sobre as normas e política de segurança da informação para todos os funcionários e fornecedores; g) proporcionar educação e treinamento adequados; h) um abrangente e balanceado sistema de medição, que é usado para avaliar o desempenho da gestão de segurança da informação e obtenção de sugestões para a melhoria.

21 20 CAPÍTULO II POLÍTICA DE SEGURANÇA E NORMA ISO A ISO estabelece uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas da gestão da segurança. (Alberto Bastos Janeiro 2002).

22 21 POLÍTICA DE SEGURANÇA E NORMA ISO Histórico A evolução tecnológica proporciona para as organizações maiores negócios com seus clientes, fornecedores e colaboradores, onde a conectividade tem um papel fundamental para alcançar o sucesso. Com o crescimento do sistema de informações colaborativas, é cada vez mais crucial manter essas informações seguras e suas fontes confiáveis. Mas para que essas informações sejam armazenadas e transmitidas de uma maneira segura, é preciso que sejam estabelecidos controles que garantam a qualidade e integridade da informação. Por esse motivo várias organizações começaram a se preocupar com a segurança da informação, mas não possuíam nenhum tipo de metodologia e controles que atendessem suas necessidades, pelo motivo de que cada organização trabalha de uma maneira e suas prioridades entre os níveis de segurança podem variar de uma organização para a outra. Com isso a International Organization for Standardization (ISO), onde seu objetivo é criar normas e padrões universalmente aceitos, criou a Norma ISO 17799, sendo no Brasil controlada pela Associação Brasileira de Norma Técnicas (ABNT), como NBR ISO/IEC 17799, que tem como nome Tecnologia da Informação Código de prática para a gestão da segurança da informação, onde proporciona para as organizações os controles necessários para a segurança da informação. 2.2 A NBR ISO/IEC A NBR (Norma Brasileira) ISO/IEC Tecnologia da Informação Código de prática para a gestão da segurança da informação, é originada da Norma Britânica BS7799 Parte 1 3, desenvolvida pela British Standards 3 É a primeira parte da norma, já homologada. Contém uma introdução, definição de extensão e condições principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. É planejado como um documento de referência para implementar "boas práticas" de segurança na empresa.

23 22 Institute (BSI), com inicio em 1995, e depois padronizada pela International Organization for Standardization (ISO) em 2000, como ISO/IEC Esta norma tem como objetivo fornecer recomendações para a gestão da segurança da informação para uso dos departamentos responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações. Proporcionando uma base comum para o desenvolvimento das normas de segurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nos relacionamentos entre as organizações. É importante observar que essas recomendações descritas na norma estejam de acordo com a legislação e regulamentação vigente. A NBR ISO/IEC 17799, abrange ao todo 10 domínios, reunidos em 36 grupos que se totalizam em 127 controles, sendo seus domínios, a Política de Segurança, a Segurança Organizacional, a Classificação e Controle dos Ativos de Informação, a Segurança de Pessoas, a Segurança Física e do Ambiente, o Gerenciamento das Operações e Comunicações, o Controle de Acesso, o Desenvolvimento e Manutenção de Sistemas, a Gestão da Continuidade do Negócio e a Conformidade. 2.3 Framework e controles de segurança da Norma BS7799 O Framework e os controles de segurança da informação estão descritos na parte 2 da Norma Britânica BS7799 4, onde estabelece o Sistema de Gestão de Segurança da Informação (SGSI), que somados ao conjunto de controles sugeridos na parte 1 da norma, torna possível a certificação. As empresas podem conduzir as ações de segurança sob a orientação de uma base comum proposta pela norma, além de se prepararem indiretamente para o reconhecimento de conformidade 4 A segunda parte da norma, ainda não homologada, cujo objetivo é proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas.

24 23 aferido por órgãos credenciados. A certificação da segurança, similar aos reflexos obtidos pela conquista da certificação de qualidade ISO9000, promove melhorias nas relações business-tobusiness e business-to-consumer, além de adicionar valor à empresa por representar um diferencial competitivo e uma demonstração pública do compromisso com a segurança das informações de seus clientes. As seis fases principais para que se possa alcançar a certificação, se iniciam na: - Definição das diretrizes da política de segurança - Definição do SGSI Sistema de Gestão de Segurança da Informação - Execução de análise de riscos - Definição de uma estrutura para gerenciamento de risco - Seleção dos objetos de controles e os controles aplicáveis - Preparação da declaração de aplicabilidade dos controles.(sêmola, 2003, p.141). 2.4 Política de segurança da informação O objetivo da política de segurança da informação é prover à direção uma orientação e apoio para a segurança da informação. A política de segurança representa a formalização das ações que devem ser realizadas para garantir a segurança corporativa. A criação, implementação e manutenção de uma política de segurança consistem em esforço, participação e colaboração de todas áreas da empresa. A política de segurança deve seguir controles internacionais, de modo a facilitar a auditoria e permitindo que a empresa esteja de acordo com os órgãos que regem o controle de qualidade. Segundo a NBR ISO/IEC (2001, p. 4) Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização. Para que seja possível a implantação da política é necessário que a alta direção tenha aprovado, comunicado e publicado, de maneira adequada para os funcionários. É necessário que a alta direção esteja sempre preocupada com o processo e estabeleça as linhas mestras para a gestão

25 24 da segurança da informação. Onde devem ser estabelecidas no mínimo as seguintes orientações: a) Definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação; b) Declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação; c) Breve explanação das políticas, princípios, padrões, e requisitos de conformidade de importância específica para a organização, por exemplo: 1) Conformidade com a legislação e cláusulas contratuais; 2) Requisitos na educação de segurança; 3) Prevenção e detecção de vírus e software maliciosos; 4) Gestão da continuidade no negócio; 5) Conseqüências das violações na política de segurança da informação; d) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança; e) Referencias à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam. (ISO/IEC 17799, 2001, p. 4). Apesar de a maioria dos executivos das Empresas estarem conscientes da necessidade da criação e cumprimento de uma Política de Segurança da Informação, faz-se necessário um esforço grande para que as Unidades de Segurança possam lançar mão dos recursos necessários para esta criação e manutenção. Portanto, cumpre identificar as soluções existentes voltadas a esta necessidade.

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Confidencialidade Integridade Disponibilidade OBJETIVOS DO ESTUDO

Confidencialidade Integridade Disponibilidade OBJETIVOS DO ESTUDO 1 A SEGURANÇA DA INFORMAÇÃO E A GERAÇÃO DE DIFERENCIAL COMPETITIVO RESUMO DO ARTIGO Este artigo trata do estudo sobre Segurança da Informação (SI) e sua importância como gerador de diferencial competitivo

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006

Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006 Apresentamos os resultados da Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe, realizada com o apoio da SUCESU-BA. O objetivo dessa pesquisa é transmitir aos gestores e ao mercado

Leia mais

COMPUTAÇÃO APLICADA À ENGENHARIA

COMPUTAÇÃO APLICADA À ENGENHARIA Universidade do Estado do Rio de Janeiro Campus Regional de Resende Curso: Engenharia de Produção COMPUTAÇÃO APLICADA À ENGENHARIA Prof. Gustavo Rangel Globalização expansionismo das empresas = visão

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA. Gestão na Segurança da Informação

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA. Gestão na Segurança da Informação UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA Gestão na Segurança da Informação Por: Fernando Antonio Costa Nascentes Orientador Prof. Sérgio Majerowicz Rio de Janeiro 2012

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Projeto 21:204.01-010. Tecnologia da informação - Código de prática para a gestão da segurança da informação

Projeto 21:204.01-010. Tecnologia da informação - Código de prática para a gestão da segurança da informação ABR 2001 Projeto 21:204.01-010 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação - Código de prática para a gestão da segurança da informação Sede: Rio de Janeiro Av. Treze de Maio,

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Política de Uso e Segurança dos Recursos de TI

Política de Uso e Segurança dos Recursos de TI 1 Política de Uso e Segurança dos Recursos de TI Conceitos Desenvolvimento da Informática no Brasil Por que ter segurança? Principais Vulnerabilidades Principais Ameaças às Informações Exemplos de Problemas

Leia mais

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial Maicom Rafael Victor Simch Tiago Squinzani Tonetto E-mail:tiago-tonetto@hotmail.com, maravisi@hotmail.com Resumo Neste trabalho é proposta

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

A SEGURANÇA DA INFORMAÇÃO E A GERAÇÃO DE PERCEPÇÃO DE DIFERENCIAL COMPETITIVO PERANTE O MERCADO

A SEGURANÇA DA INFORMAÇÃO E A GERAÇÃO DE PERCEPÇÃO DE DIFERENCIAL COMPETITIVO PERANTE O MERCADO 1 A SEGURANÇA DA INFORMAÇÃO E A GERAÇÃO DE PERCEPÇÃO DE DIFERENCIAL COMPETITIVO PERANTE O MERCADO AUTORES: ROSÂNGELA CAUBIT DE CARVALHO M.Sc. Endereço: Rua Caiapó, 39/903 Engenho Novo, Rio de Janeiro -

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU INSTITUTO A VEZ DO MESTRE GESTÃO DE SEGURANÇA DA INFORMAÇÃO UM DESAFIO NA ERA DO CONHECIMENTO Por: Cosme Martins Nunes Orientador Prof. Fabiane Muniz

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

A importância da Gestão da Segurança da Informação

A importância da Gestão da Segurança da Informação A importância da Gestão da Segurança da Informação Marcos Sêmola Consultor em Gestão de Segurança da Informação marcos@semola.com.br Apresentação Consultor em Gestão de Segurança da Informação 12 anos

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005

II Semana de Informática - CEUNSP. Segurança da Informação Novembro/2005 II Semana de Informática - CEUNSP Segurança da Informação Novembro/2005 1 Objetivo Apresentar os principais conceitos sobre Segurança da Informação Foco não é técnico Indicar onde conseguir informações

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC 1. INTRODUÇÃO A informação é o elemento básico para que a evolução

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM. Orientações Preliminares

BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM. Orientações Preliminares BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM ALEX DELGADO GONÇALVES CASAÑAS BSI005 BSI 04NA/NOTURNO 4 Orientações Preliminares O plano de ensino é um documento didático-pedagógico

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Apresentação do Curso

Apresentação do Curso Apresentação do Curso 26/9/2004 Prof. Rossoni, Farias 1 Programa da Disciplina Ementa de disciplina: SEGURANÇA DA INFORMAÇÃO Conceitos básicos: ameaças, avaliação de riscos e política de segurança. Segurança

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM COLÉGIOS: UM ESTUDO DE CASO

IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799 PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO EM COLÉGIOS: UM ESTUDO DE CASO ! "#$ " %'&)(*&)+,.- /10.2*&4365879&4/1:.+58;.2*=?5.@A2*3B;.- C)D 5.,.5FE)5.G.+ &4- (IHJ&?,.+ /?=)5.KA:.+5MLN&OHJ5F&4E)2*EOHJ&)(IHJ/)G.- D - ;./);.& IMPACTO NA IMPLEMENTAÇÃO DA NORMA NBR ISO/IEC 17799

Leia mais

Gestão Estratégica da Segurança das Informações

Gestão Estratégica da Segurança das Informações Gestão de riscos Risco é o efeito da incerteza nos objetivos. ISO Guide Riscos Uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular irá explorar uma vulnerabilidade

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Plano de Ensino Contato Introdução Análise e Avaliação de Riscos 2 1 PLANO DE ENSINO 3 Ementa Requisitos de segurança de aplicações, de base de dados e de comunicações

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799

Fundamentos em Segurança de Redes de Computadores ISO/IEC - NBR 17799 Fundamentos em Segurança de Redes de Computadores 1 Objetivos Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS

IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS IMPLEMENTANDO UMA ARQUITETURA DO SECURITY ANALYTICS Resumo da solução RESUMO As novas ameaças de segurança exigem uma nova abordagem ao gerenciamento de segurança. As equipes de segurança precisam de uma

Leia mais

Plano de Segurança da Informação

Plano de Segurança da Informação Governança de Tecnologia da Informação LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Marcelo Faustino Sumário 1. OBJETIVO... 2 2. DESCRIÇÃO DO SERVIÇO... 2 3. ETAPAS

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil Sumário executivo CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO.

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

DEFINIÇÃO DE UMA POLÍTICA DE SEGURANÇA PARA UM AMBIENTE DE DESENVOLVIMENTO DISTRIBUÍDO DE SOFTWARE

DEFINIÇÃO DE UMA POLÍTICA DE SEGURANÇA PARA UM AMBIENTE DE DESENVOLVIMENTO DISTRIBUÍDO DE SOFTWARE UNIVERSIDADE ESTADUAL DE MARINGÁ PROGRAMA DE INICIAÇÃO CIENTÍFICA PIC DEPARTAMENTO DE INFORMÁTICA ORIENTADORA: Luciana Andreia Fondazzi Martimiano ACADÊMICO: Anderson de Souza Zanichelli DEFINIÇÃO DE UMA

Leia mais

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação Segurança da Informação Fundamentos do Modelo de Segurança da Informação A Segurança da Informação no Governo Federal OGoverno Federal, em diversas oportunidades, tem se manifestado no sentido de assegurar

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles

Leia mais

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br

Segurança da Informação. Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Prof. Glauco Ruiz glauco.ruiz@uol.com.br Segurança da Informação Segurança é importante? Qual o nosso nível de dependência? Quanto tempo podemos ficar sem nossos dados? Quanto tempo

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

TECNOLOGIA E SISTEMAS DE INFORMAÇÃO UM ESTUDO DE CASO NA EMPRESA POSTO DOURADÃO LTDA RESUMO

TECNOLOGIA E SISTEMAS DE INFORMAÇÃO UM ESTUDO DE CASO NA EMPRESA POSTO DOURADÃO LTDA RESUMO TECNOLOGIA E SISTEMAS DE INFORMAÇÃO UM ESTUDO DE CASO NA EMPRESA POSTO DOURADÃO LTDA Hewerton Luis P. Santiago 1 Matheus Rabelo Costa 2 RESUMO Com o constante avanço tecnológico que vem ocorrendo nessa

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico.

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico. Exercícios da Parte II: Segurança da Informação Walter Cunha Criptografia (CESPE/PCF-PF 03 2002) 1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

Ricardo Hisao Watanabe Centro de Educação Tecnológica Paula Souza São Paulo Brasil ricawat@hotmail.com

Ricardo Hisao Watanabe Centro de Educação Tecnológica Paula Souza São Paulo Brasil ricawat@hotmail.com Proposta de Norma de Segurança da Informação para o Gerenciamento dos Ativos e Direitos de Acesso dos Militares Transferidos do 3º Centro de Telemática de Área Ricardo Hisao Watanabe Centro de Educação

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais