GESTÃO EM SEGURANÇA DA INFORMAÇÃO

Tamanho: px
Começar a partir da página:

Download "GESTÃO EM SEGURANÇA DA INFORMAÇÃO"

Transcrição

1 GESTÃO EM SEGURANÇA DA INFORMAÇÃO Tiago da Silva Ogando Alexandre Timm Vieira Orientador Universidade Luterana do Brasil (Ulbra) Graduação de Tecnologia em Redes de Computadores Câmpus Canoas Av. Farroupilha, Bairro São Luis CEP Canoas - RS RESUMO 28 de novembro de 2011 Este artigo descreve a implementação da gestão em segurança da informação dentro de uma organização, alinhando suas necessidades de acordo com o negócio. Inicialmente, o processo de gestão realizou o mapeamento dos principais serviços que sustentam o negócio. Baseado nas melhores práticas de mercado série 27000, foi escolhido um serviço como escopo de trabalho, executada uma análise de risco, classificado e apresentado um resultado do cenário atual da organização. A partir da primeira amostragem, foi criado o plano de ação e executado o tratamento de risco. Para completar o ciclo, foi realizada nova análise de risco demonstrando os resultados finais do ambiente escolhido como escopo. Palavras-chave: Segurança da Informação, Análise de Risco, Tratamento de Risco. ABSTRACT Title: Management of information security This article describes the implementation of information security management in an organization, aligning their needs according to business. Initially, the management process held the mapping of the main services that support the business. Based on the best market practices series 27000, was chosen as a service scope of work, performed a risk analysis, classified and presented a result of the current situation of the organization. From the first sampling, was created the action plan and the risk treatment To complete the cycle was realized new risk analysis showing the final results of the chosen environment as the scope. Key-words: Information Security, Risk Analysis, Risk Treatment. 1 INTRODUÇÃO A onda de ataques na rede mundial de computadores nos últimos meses está ganhando destaque nos meios de comunicação. Dois grupos que, através das redes sociais, vêm divulgando a autoria dos ataques, o Anonymous e o LulzSec, estão expondo na mídia a fragilidade e o nome de algumas empresas que sofreram esses ataques, e assim, espalhando a sensação de que a vulnerabilidade é uma constante no mundo atual. A preocupação e o receio não estão somente no âmbito corporativo, pois instigam também os usuários comuns. Nem mesmo a gigante japonesa Sony escapou do alvo desses grupos. Recentemente, no mês de Abril, a empresa teve sua rede PSN (PlayStation Network) comprometida pelo grupo Anonymous. Segundo a empresa Ponemon Institute, estima-se um prejuízo de 24 bilhões de dólares pela indisponibilidade da rede neste período (IDGNOW, 2011). Dados da última pesquisa GISS (Global Information Security Survey) em que empresas de 61 países diferentes foram entrevistadas, 61% das organizações afirmam estarem preocupadas em proteger sua reputação e sua marca, e de fato as empresas estão adotando uma postura pró-ativa, onde 46% indicaram que seus investimentos em segurança da informação aumentaram, e afirmam que 91% dessas organizações possuem uma política de segurança documentada, demonstrando a preocupação com a segurança (Ernst & Young, 2010). Com o objetivo de desenvolver e preservar a confiabilidade, integridade e a disponibilidade da informação no ambiente computacional desta empresa, com o intuito de diminuir os riscos evitando uma possível exposição de seu nome ou marca na mídia, e garantindo a continuidade operacional do negócio, fazendo que a segurança deixe de ser vista como custo e se torne um dos objetos estratégico dentro da organização, melhorando a cultura em relação a segurança para que seus colaboradores utilizem com mais responsabilidade os recursos tecnológicos, a organização criou uma área específica e alocou um de seus colaboradores para estudar e desenvolver uma gestão de segurança dentro da empresa. Esse trabalho consiste em realizar uma análise de risco no ambiente corporativo, identificando os 1

2 processos de negócio que são essenciais para uma empresa, mapeando os ativos que sustentam estes processos, classificando os riscos com suas apresentações em três níveis, o alto, o médio e o baixo, podendo futuramente chegar a cinco níveis. Para que se tenha visibilidade e um embasamento da rigidez maior ou menor, em relação a política de segurança, das configurações dos ativos, dos investimentos em mecanismos de segurança e contrato de serviços especializados. Este artigo está dividido em quatro seções, sendo que na seção 2 está descrita a fundamentação teórica referente à gestão de segurança, enquanto a modelagem e análise do ambiente é apresentada na seção 3 e a contextualização da implementação das melhorias no ambiente é apresentada na seção 4; e a conclusão deste artigo ocorre na seção 5. 2 VISÃO DA SEGURANÇA E MERCADO Em um mundo em que tudo converge para a internet, a segurança é um assunto que cada vez mais está em evidência. Recentemente, a revista Info Exame (Agosto, 2011) publicou uma reportagem sobre ameaça hacker, no qual o tema da reportagem tinha uma expressão que chamou a atenção: vamos fritar o seu modem. O repórter Carlos Machado, através de informações na rede social twitter, conseguiu se infiltrar em salas privadas de chat durante um diálogo truncado com um dos membros do grupo Lulzsec. Desconfiado que o repórter fosse da policia federal, o membro do grupo ameaçou o repórter que poderia ligar 300 máquinas e realizar um ataque no IP (Internet Protocol) do repórter até queimar o modem, é claro que foi uma metáfora onde queimar o modem, nada mais é que um ataque de DDOS (Distributed Denial Of Service), que por sinal no Brasil nesses últimos meses, os sites governamentais estão sendo alvo desse tipo de ataque. Estes ataques são bem sucedidos devido ao grande número de computadores que disparam requisições para um determinado endereço, este grupo de computadores é chamado de botnet (bot network) rede de micros zumbis controlada por uma central remota. Segundo o pesquisador Sergey Golovanov da empresa de segurança Kaspersky Lab, o maior botnet do mundo possui 4,5 milhões de computadores sob controle (PCWORLD, 2011). Esta rede de computadores zumbis é utilizada para espalhar spams (mensagens eletrônicas não solicitadas enviadas em massa), phishing (pescaria, s induzem as pessoas a acessarem endereços de sites maliciosos, que servem para roubo de informações como dados pessoais e, principalmente, contas e senhas de banco) e ataque de DDOS. Sergey Golovanov afirma que esta rede é praticamente indestrutível, e que as máquinas que fazem parte dela foram infectadas com o trojan (programa com código malicioso que abrem portas no computador para controle e roubo de dados) chamado TDL-4. Esta rede foi julgada como indestrutível, devido às suas características,e esta ameaça é extremamente difícil de ser detectada por infectar a MBR (Master Boot Record) do computador com rootkit (um pacote de ferramentas para monitoramento de atividades do computador que serve, também, para modificar programas sem ser detectado, e até mesmo remover códigos maliciosos da concorrência). A empresa Symantec, no seu último relatório sobre ameaças à segurança na internet (Symantec, 2010), identificou um mercado clandestino de botnet, onde é possível comprar bots por US$15. Estes bots são usados para campanhas de spam e cada vez mais para ataques de DDOS. A revista Info Exame (Agosto, 2011) também publicou uma pesquisa realizada pela empresa de segurança Kaspersky Lab referente ao mercado negro, em que a partir de US$50 é possível alugar um botnet para ataques de DDOS durante 24 horas, e uma lista com 1 milhão de endereços de entre US$20 a US$100. Também é possível contratar por serviço, como, por exemplo, o envio de spams para 1milhão de s que custa US$150, e o mais curioso é o valor de US$2.000 para contratar um hacker com conhecimento de criptografia. Segundo a NBR ISSO/IEC (2005), as empresas do setor publico e privado estão cada vez mais expostas por uma adversidade de ameaças. Danos causados por código malicioso, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. Diante deste cenário, é possível notar que as organizações estão cada vez mais preocupadas com a segurança. Em recente estudo da empresa Frost & Sullivan, a America Latina aponta um crescimento 16,6% em 2010 no mercado de segurança (InformationWeek, 2011). Segundo o analista Fernando Belfort da empresa Frost & Sullivan, o Brasil investirá cerca de R$ 200 milhões na segurança de redes, obtendo um crescimento de 15,8% sobre Fernando Belfort comenta que o ritmo de investimento na segurança está acelerado no Brasil, e que poucos mercados estão investindo neste ritmo (Resenha Eletrônica Ministério da 2

3 Fazenda, 2011). 2.1 Conceitos Gerais A segurança da informação é a proteção de diversos tipos de ameaças à informação, preservando seus atributos que são confidencialidade, integridade e disponibilidade. (Sêmola, 2003). Importante destacar que a segurança da informação não é restrita a informações eletrônicas, sistemas computacionais ou mecanismos de armazenamento, ela está presente em todos os aspectos de proteção e armazenamento da informação, em qualquer formato, seja ela em papel ou em diferentes tipos de arquivos e mídia (Sêmola, 2003). Segundo Sêmola (2003), alguns termos, como os listados a seguir, são utilizados na segurança da informação: Informação: é um ativo que possui um valor cada vez maior para as organizações e requer proteção de acordo com seu valor. Ativo: é a informação em si, ou qualquer forma que compõe os processos que interferem indiretamente ou diretamente ao fluxo de informação, desde a sua origem até o destino. Vulnerabilidade: é uma brecha ou falha que pode ou não ser explorada por uma ameaça ou mais ameaças (Ramos, 2006). Impacto: é o nível de prejuízo que uma ameaça pode trazer para uma organização (Ramos, 2006). Ameaça: é um evento que pode interferir funcionamento normal da empresa, que tem impacto em seus objetivos em diferentes escalas (Ramos, 2006). Risco: é a possibilidade de uma ameaça, ou conjunto de ameaças utilizarem uma ou mais vulnerabilidades para causar danos a uma empresa (Ramos, 2006). Segundo Ramos (2006), a gestão de segurança possui um universo de áreas com suas atividades específicas, dentre elas o autor ressalta a política, classificação de informação, análise de risco, arquitetura empresarial, continuidade dos negócios, ética e legislação, segurança física, peopleware, equipe de segurança da informação e sistema de gestão. 2.2 Origem das normas ABNT NBR ISO/IEC 27001/ 27002/27005 da série O Governo Britânico foi quem criou praticamente todas as normas internacionais, em relação a segurança da informação (Fernades;Abreu, 2008). O BS 7799 (British Standard) foi o primeiro padrão de segurança que deu origem a série Este padrão foi dividido em duas partes, a primeira BS chamada código de prática para gerenciamento de segurança foi criada No ano 2000, tornou-se um padrão ISO (International Organization for Standardization) chamado ISO Em 2005 este padrão foi traduzido e publicado pela ABNT com o nome de NBR ISO/IEC (International Electrotechnical Commision) (Knowledgeleader, 2003). A segunda parte, chamada BS , foi criada em 2002; e em 2005 foi traduzida e publicada se tornando NBR ISO/IEC Com os objetivos de controles e descrição baseado na ISO 27002, a NBR ISO/IEC tem por objetivo, a certificação das organizações, a fim de comprovar os controles implementados pela NBR ISO/IEC (Knowledgeleader, 2003). Em 2005, passa a existir a BS , chamada gestão de risco de segurança da informação (Standarts, 2005). A partir deste padrão, em 2008 foi criada a norma ISO/IEC 27005, que foi traduzida e publicada, passando a ser chamada NBR ISO/IEC (ABNT, 2008). O Quadro 1 exibe a descrição das normas ISO e BS, e suas equivalências. Quadro 1 Normas e suas equivalências Norma BS Descrição da norma Norma ISO BS Código de pratica para gestão da segurança da informação. (ISO 17799) ISO/IEC BS Técnicas e requisitos de certificação da gestão da segurança da informação. ISO/IEC

4 Norma BS Descrição da norma Norma ISO BS Gestão de risco de segurança da informação. ISO/IEC Norma NBR ISO/IEC A norma ISO/IEC 27002, denominada código de prática para gestão da segurança da informação, tem por objetivo estabelecer princípios e diretrizes para uma gestão de segurança. Tem como objetivo iniciar, implementar, manter e melhorar os processos de gestão de segurança da informação em uma empresa, servindo como um guia prático (NBR ISO/IEC 27002, 2005). Esta norma está estruturada em onze seções de controle e suas respectivas trinta e nove categorias, onde cada sessão possui uma ou mais categorias (NBR ISO/IEC 27002, 2005). No Quadro 2, a seguir, as seções de controle com o número de categorias que cada seção possui. Quadro 2 Seções de controle e numero de categorias Seções de controle Quantidade de categorias Política de segurança da informação 1 Organizando a segurança da informação 2 Gestão de ativos 2 Segurança em recursos humanos 3 Segurança física e do meio ambiente 2 Gestão das operações e comunicações 10 Controle de acesso 7 Aquisição, desenvolvimento e manutenção de Sistemas de informação 6 Gestão de incidentes de segurança da informação 2 Gestão da continuidade do negócio 1 Conformidade Termos e definições Segundo a NBR ISO/IEC (2005) para o entendimento desta norma, se faz necessário conhecer alguns termos e definições. Controle é o gerenciamento do risco, através de políticas, práticas, diretrizes, processos e de estruturas organizacionais, que podem ser técnica, gestão ou legal. Diretrizes é a orientação, de como se deve proceder para alcançar os requisitos das políticas. Política é um conjunto de orientações e intenções, formalmente descritas e divulgadas pela direção. Na seção a seguir, será abordada a seção de controle chamada política de segurança da informação Política de segurança da informação De acordo com a NBR ISO/IEC (2005) esta seção de controle possui somente uma única categoria, chamada de política de segurança da informação. Fazem parte dessa categoria duas subseções, são elas: documento da política de segurança da informação e análise crítica da política de segurança da informação. A política de segurança da informação tem por objetivo demonstrar o compromisso e o aceite da direção da empresa com relação a segurança da informação diante de seus colaboradores e parceiros. Esta política deve ser clara e alinhada com negócio, ou seja, deve ser desenvolvida de acordo com a necessidade de cada organização (NBR ISO/IEC 27002, 2005). Segundo a NBR ISO/IEC (2005) é conveniente a política de segurança da informação ser aprovada pela direção, informada a todos os colaboradores, fornecedores ou prestadores de serviços relevantes. A política de segurança da informação deve ser analisada diante de uma revisão programada, ou quando ocorrer mudanças no ambiente para assegurar a sua eficácia e adaptação ao novo cenário (NBR ISO/IEC 27002, 2005). 4

5 2.4 Norma NBR ISO/IEC A norma NBR ISO/IEC 27001, denominada técnicas e requisitos para gestão de segurança da informação, tem como objetivo a cobertura de todo e qualquer tipo de empresa seja ela qual for o seu ramo de atuação. Esta norma possui requisitos para estabelecer, implementar, operar, monitorar, analisar e criticar uma gestão de segurança da informação, dos riscos globais de negócio de uma organização, dando instrumentos para implementação de segurança da informação, personalizando diante da necessidade de cada organização (NBR ISO/IEC 27001, 2006). Os objetivos de controle e controles da norma NBR ISO/IEC são utilizados como base pelas organizações que buscam a certificação IS (NBR ISO/IEC 27002, 2005) Certificação ISO A ISO/IEC permite que empresas interessadas obtenham certificação ISO 27001, com reconhecimento internacional, em gestão de segurança da informação. (Dinsmore(et.al.), 2007). Segundo a International Register (2011) no Brasil existem cerca de 23 empresas certificadas ISO 27001, e no mundo empresas. A empresa Módulo foi a primeira empresa a obter o certificado ISO Neste caso, além da organização ser reconhecida por ter um ambiente confiável, a certificação foi estratégica ao negócio por se tratar de uma empresa no ramo de segurança (Dinsmore et al., 2007). Outro caso de sucesso é o Tribunal Superior de Justiça (STJ), que destaca que a importância da certificação para a organização além do selo de qualidade, foi a credibilidade e a confiabilidade do nome da instituição, já que lidam rotineiramente com documentos confidenciais (Modulo, 2008) Termos e definições norma. A NBR ISO/IEC (2006) sugere que alguns termos devem ser conhecidos, para aplicação desta Integridade é a garantia de que a informação não foi violada, alterada de forma indesejada ou sem autorização. Disponibilidade é a garantia de que o ativo esta acessível, e íntegro para utilização da entidade autorizada. Confidencialidade é a garantia de que a informação não esteja disponível para indivíduos ou processos não autorizados. Evento de segurança da informação é um acontecimento que indica possível falha de controles ou violação da política de segurança da informação. Incidente de segurança trata-se de um ou mais eventos de segurança da informação, imprevistos ou indesejado, que pode ameaçar a segurança da informação, e que possa afetar as operações de negócio. Análise de risco é coletar informações de um escopo previamente definido, a fim de identificar e estimar riscos. Avaliação de risco é a verificação dos riscos para estimar uma classificação, diante de níveis de importância predefinidos. Aceitação de risco é a decisão de aceitar um risco (NBR ISO/IEC 2001, 2006). Gestão de risco é uma série de métodos para diminuir e controlar os riscos em uma organização. 2.5 Norma NBR ISO/IEC A norma NBR ISO/IEC (2008), também chamada de gestão de risco da segurança da informação, cujo objetivo é prover diretrizes para gerenciar os riscos referentes a segurança da informação, não tem métodos específicos para uma única forma de gestão, mas sim para ser abordada de acordo com as necessidades de cada empresa. Esta norma serve para identificar a necessidade da empresa em relação à segurança da informação, e sugere que faça parte sua gestão, além de ser utilizada no início do processo de gestão de segurança da informação, sugere-se que se torne um processo continuo dentro da empresa. Conforme a norma NBR ISO/IEC (2008) fazem parte de suas atividades da gestão os 5

6 seguintes itens: Definição do contexto. Análise e avaliação de risco. Tratamento do risco. Aceitação do risco. Comunicação do risco. Monitoramento e análise critica de riscos. A Figura 1 ilustra as atividades que compõem a norma NBR ISO/IEC 27005, bem como o seu ciclo do processo de gestão de risco. (Centro da Qualidade, Segurança e Produtividade, 2011) Figura 1 Processo de gestão de risco (Centro da Qualidade, Segurança e Produtividade, 2011) Análise de risco De acordo com a NBR ISO/IEC (2008), análise de risco é o processo que faz parte da seção análise e avaliação de risco, uma das atividades da gestão de risco, listadas acima. Segundo a norma NBR ISO/IEC (2008) análise e avaliação de risco são divididas em duas partes, uma é análise de risco assunto que compreende esta sessão e a outra é avaliação de risco. Análise de risco é uma forma de identificar os riscos que possam causar perdas ou danos, nos processos de negócio (NBR ISO/IEC 27005, 2008). 6

7 Para o entendimento das etapas que fazem parte da análise de risco, no Quadro 3 estão organizadas as seções com suas respectivas subseções: Quadro 3 Análise de risco seções e respectivas subseções Seções Subseções Identificação de riscos - Identificações dos ativos - Identificação das ameaças - Identificação dos controles existentes - Identificação das vulnerabilidades - Identificação das consequências Estimativa de riscos - Metodologias para estimativa de risco - Avaliação das conseqüências - Avaliação da probabilidade dos incidentes - Estimativa do nível de risco 3 MODELAGEM DO AMBIENTE Para a realização da análise de risco, foi escolhida uma empresa de grande porte cujas atividades são de comércio atacadista e varejista. Há mais de 40 anos no mercado, tem aproximadamente colaboradores e abrange a região Sul do país. Uns dos diferenciais desta empresa são os mais de 500 produtos de sua marca própria, comercializados nas mais de 280 lojas da sua rede de varejo. Já no segmento atacadista a empresa possui quatro centros de distribuição. A área administrativa da empresa é centralizada em um único prédio dividida por setores. No setor no qual está a divisão da tecnologia da informação (TI), também, é o local que hospeda o seu datacenter, responsável por sustentar todos os serviços e sistemas que dão suporte ao negócio. seguir: Os serviços essenciais de cada um dos negócios (atacado e varejo) desta organização são descritos a Atacado: EDI, (Electronic Data Interchange): serviço de transferência de arquivos por uma rede de dados. Serve para recebimento de pedidos de compra, envio das listas de preços e retorno de faltas para os clientes. NFE, nota fiscal eletrônica: serviço que foi denominado dentro da organização para o processo responsável pela consulta da reputação do emissor e comprador, diante da autorização da Secretaria da Fazenda Estadual, e, por fim a emissão da nota fiscal nos centros de distribuição. Xplan, é um serviço de apoio da cadeia de suprimentos da empresa, responsável por toda parte da reposição de estoques dos produtos. WMS, (Warehouse Management System) serviço de controle e armazenagem de produtos. Varejo: PDVM, é um serviço chamado de ponto de venda modular, processo utilizado para registrar as vendas nas filiais abrangendo as funcionalidades de consulta e descrição dos itens, preço e suas formas de pagamentos. Sistema também responsável por enviar os dados para matriz online, para dar visibilidade na gestão dos resultados da organização. TEF, serviço de Transferência Eletrônica de Fundos, sistema que realiza todas as transações de cartões e convênios de forma centralizada na rede de filiais. Website é o serviço de portal de vendas pela internet, onde é oferecido os mesmos produtos que são encontrados nas filiais, com a facilidade de poder atender todo o Brasil. 3.1 Ambiente de serviços e seus servidores A empresa possui dois datacenters localizados na matriz em prédios diferentes, ambos alimentados por dois geradores que formam uma espécie de cluster, e cada sala de processamento recebe energia de estações elétricas diferentes que energizam os nobreaks de cada sala. Um dos datacenters é chamado de sala principal, no qual está hospedado o maior número de servidores, storages, equipamentos de comunicação e refrigeração. O outro datacenter chama-se sala backup, que possui um número menor de servidores, 7

8 storages, ambiente de backup, equipamentos de comunicação e refrigeração, suficiente para estabelecer os serviços básicos para o negócio em caso de algum desastre. Referente a parte lógica, as duas salas são interligadas por cabos de fibras ópticas que passam por dois acessos diferentes entre os prédios. O ambiente de servidores da organização é muito heterogêneo e abrange máquinas de modelo rack como de modelo blade,também chamada de laminas, de fabricantes diferentes que totalizam cerca de 80 equipamentos. Estes servidores utilizam diferentes versões de sistemas operacionais, que variam de Windows, Linux e alguns sistemas operacionais proprietários. A Figura 2 esboça um diagrama da organização, dividida em três níveis alinhando a parte física e lógica ilustrada como infraestrutura, que sustenta os serviços para cada segmento do negócio. As setas vermelhas indicam a dependência do segmento de atacado em relação aos seus serviços, as setas azuis representam a dependência do segmento varejo suportados por seus respectivos serviços. No nível de serviços mostra a exposição dos sistemas em relação a infraestrutura. Figura 2 Organização em três níveis A organização, tanto no varejo quanto no atacado, possui, aproximadamente, um faturamento mensal de R$150 milhões, sendo a representatividade do varejo de 60% deste valor. O serviço TEF, Transferência Eletrônica de Fundos, representa 64% no resultado do varejo, deixando em evidência este serviço como um dos mais fundamentais para o negócio. Por ser fonte da maior fatia da arrecadação da organização, este serviço será o escopo de trabalho para análise de risco proposto neste artigo. 8

9 3.2 Escopo da análise de risco O TEF é o serviço responsável por realizar as autorizações, consultas, descontos e todas as formas de pagamentos existentes nas filiais do varejo, exceto venda à vista. Este serviço é essencial para o negócio, sem ele não é possível transacionar nenhum tipo de cartão, como débito, crédito e convênios. Através do TEF, também, é utilizado o serviço de proteção ao crédito, para forma de pagamento com cheque. O sistema trabalha de forma centralizada em que todas as administradoras de cartões e convênios são cadastradas em um único sistema, que trabalha com módulos por bandeira Lógica e física camada servidor Cada administradora possui seu módulo, e neste é configurado a comunicação com a administradora, as formas de pagamento, conforme as regras de negócio previamente acordadas entre a organização e as administradoras de cartões e convênios. Faz parte desta configuração, também, o cadastro de todas as lojas do varejo, é colocado em cada módulo as 280 lojas, cada uma com seu CNPJ, nome fantasia e endereço. O serviço TEF trabalha com sistema cliente e servidor. Na camada servidor ele está presente em dois servidores, que são chamados de servidor1 e servidor2, nos quais existem quatro serviços conforme listado abaixo: Solução inteligente TEF, serviço instalado no servidor1, responsável por estabelecer a comunicação com as administradoras de cartões e convênios, e também com a camada cliente, que está configurada nos pontos de venda das lojas do varejo. Este serviço possui diversos módulos, cada modulo é designado uma administradora. Exportador de logs cliente, serviço instalado, também, no servidor1, que serve para receber do serviço solução inteligente TEF os registros das transações efetuadas nos pontos de venda das lojas, que chegam em formato binário e são convertidos para arquivos de logs, que são enviados para o segundo servidor, denominado servidor2, que possui um serviço chamado exportador de logs servidor. Exportador de logs servidor, serviço instalado no servidor2, responsável por receber os arquivos do servidor1. Este serviço converte os arquivos log em blocos de comandos SQL (Structured Query Language) com insert e update, e, através de um ODBC (Open Database Connectivity) executa estes blocos de comandos, populando a base de dados situada no servidor3. Banco de dados, instalado no servidor3, é responsável pelo armazenamento dos comandos gerados pelo exportador de logs servidor. Através dele é possível realizar as conciliações financeiras e extrair os dados gerenciais para o BI (Business Intelligence). Os servidores que sustentam o serviço TEF, denominados servidor1 e servidor2, são duas máquinas de rack com sistema operacional Windows, hospedadas dentro da sala de processamento principal. Também faz parte do ambiente TEF o servidor3, que é uma lâmina blade, com sistema operacional Linux e banco de dados Oracle enterprise, conectado a um storage. Estes equipamentos também estão hospedados na sala de processamento principal Comunicação Para a comunicação entre o servidor1 e as administradoras de cartões e convênios é utilizada a tecnologia X-25 via rádio. Para estabelecer esta comunicação, o roteador2, localizado na sala de processamento principal, é ligado a uma antena direcional, que se encontra na parte externa da organização, onde está direcionada para o outro ponto, que é a antena da operadora, formando a nuvem X-25. No servidor1, conforme mencionado anteriormente, ficam centralizados todos os módulos e suas configurações com as administradoras. Em cada módulo no campo de comunicação é cadastrado o endereço IP (Internet Protocol ) do roteador2 X-25 e seu respectivo número do socket, também chamado de canal, conforme descrito a seguir. No roteador2 X-25 é criado um socket que recebe um número sequencial para cada administradora, este socket é configurado à designação da administradora. Cada administradora fornece sua designação, que é o endereço que vai fechar o canal e realizar a comunicação. Assim como as administradoras, a organização também possui sua designação, que é fornecida para todas as administradoras servindo como uma espécie de endereço origem e destino para estabelecer a comunicação entre os pontos. 9

10 A comunicação entre a parte cliente e servidor é realizada através dos links MPLS (Multi Protocol Label Switching) que interligam as lojas com a matriz, bem como os pontos de venda das filiais com o servidor1. O servidor1 está ligado a um segmento local de rede que chega à interface local do firewall, este por sua vez encaminha a conexão para o roteador1 que está no segmento de rede MPLS da operadora1, localizado na sala de processamento principal, que posteriormente é encaminhado para nuvem MPLS, e, a partir desta nuvem é roteado para o roteador da operadora1, localizado nas lojas do varejo, que chega até o segmento interno de rede das lojas do varejo, nos quais estão conectados todos os pontos de venda Lógica e física camada cliente A camada cliente, que são as lojas do varejo, possui um servidor, e em média de três a cinco pontos de venda, dependendo do porte da loja. O servidor da loja possui uma base de dados de pequeno porte, neste caso trabalha com Oracle XE (Express Edition), que serve para armazenar somente a estrutura para o funcionamento básico da filial, mais especificadamente venda à vista, caso ocorra interrupção no link de dados entra a loja e a matriz. A base de dados local, que fica no servidor da loja, recebe via replicação estabelecida através de um job de banco, entre o banco de dados da matriz que esta no servidor3 e o banco local da loja, todos os dados necessários para o funcionamento off-line da loja, tais como lista de produtos, promoções, e lista de preço. Cada ponto de venda utiliza o software chamado PDVM, este software possui uma função do sistema TEF que, através de uma biblioteca desenvolvida por uma empresa especializada em TEF, realiza a comunicação do ponto de venda com o servidor1 da matriz. Os pontos de venda realizam a venda em duas fases, na primeira fase é estabelecida a comunicação entre o ponto de venda e o servidor1 da matriz para receber a autorização, consultar crédito e debito, e efetuar a venda dando baixa no saldo do cliente. Na segunda fase é finalizada a venda, e esta é enviada para o servidor local através de comandos inseridos no banco de dados local. Após estes dados serem inseridos, são replicados para matriz, a única exceção é a venda à vista que utiliza somente a segunda fase. O servidor e os pontos de venda são computadores do tipo torre, com sistema operacional Linux. Para cada ponto de venda realizar as transações TEF é utilizado um equipamento chamado pin pad e impressora fiscal. O pin pad é o aparelho de leitura de cartões de crédito e débito, ele efetua a leitura através da tarja magnética e também de chips, este equipamento é conectado na porta serial do computador. Outro equipamento importante para o ciclo do TEF é a impressora fiscal, chamada de ECF sigla que significa emissor de cupom fiscal, ela também é conectada em uma porta serial do computador Estrutura elétrica matriz e filial A sala de processamento principal é alimentada por dois nobreaks, cada um correspondendo a um circuito diferente. Todos os racks dos servidores e equipamentos de comunicação são alimentados por estes dois circuitos, os servidores e equipamentos possuem fontes redundantes. Os nobreaks são equipamentos de grande porte, cuja autonomia é manter a sala energizada por duas horas. Estes dois nobreaks estão ligados a uma chave reversora que recebe energia da concessionária e também do gerador. Quando ocorre a interrupção da concessionária, em no máximo 50 segundos, o gerador é acionado, passando a alimentar os nobreaks, até normalizar o serviço da concessionária. Nas lojas do varejo, os equipamentos que sustentam o TEF, tais como máquinas, switch e o roteador da operadora1, são alimentados por um nobreak de pequeno porte, que tem autonomia de, aproximadamente, 20 minutos para todos estes equipamentos Topologia de infraestrutura do ambiente TEF A topologia do ambiente TEF é dividida em três partes, cliente, servidor e operadoras de cartão e convenio. A parte servidor que esta localizada na rede LAN da matriz, comunica com as operadoras de cartão e convenio por um segmento, e pelo outro segmento com a parte cliente que são as lojas do varejo. A Figura 3 demonstra um exemplo da Loja1, que representa a ligação de todas as lojas da rede de varejo com a matriz, realizando a comunicação cliente e servidor do ambiente TEF. 10

11 Também esta representando na Figura 3 abaixo, o fluxo da conexão para as operadoras de cartão e convenio com a matriz, fechando assim a terceira parte da topologia. risco. A Figura 3 ilustra a infraestrutura que sustenta todo ambiente TEF, que é o escopo para análise de Análise de risco Figura 3 Topologia da infraestrutura ambiente TEF A análise de risco, tendo o serviço TEF como escopo escolhido, será realizada no nível de infraestrutura, nos quais serão analisados os ativos que sustentam o ambiente TEF. Esta análise contempla a etapa que chamamos de identificação e classificação dos riscos. O critério utilizado para mensurar os níveis de riscos está disposto através de uma pontuação, que é resultado de uma composição entre ameaça e impacto. Ameaça representada em cinco níveis, muito baixo, baixo, médio, alto e muito alto, bem como o impacto, ilustrado no Quadro 4 a seguir. O risco foi classificado em três níveis, risco baixo de 1 a 6, risco médio de 7 a 11 e risco alto de 12 a 25. Quadro 4 Matriz de risco Ameaça M B BA ME AL MA MB BA ME

12 Impacto AL MA A etapa de identificação dos riscos, ilustrada no Quadro 5 abaixo, está organizada através de colunas, sendo a primeira chamada de ativos; a segunda coluna de ameaça; a terceira coluna de risco, estando esta dividida em três níveis: baixo, médio e alto, representadas pelas letras iniciais de suas palavras; a quarta coluna denominada impacto, classificada em cinco níveis denominados muito baixo, baixo, médio, alto e muito alto e a quinta, também a última coluna, denominada recomendações. Roteador2 TEF Quadro 5 Análise de risco Ativo Ameaça Risco Impacto Recomendação Antena comunicação de dados Falha de equipamento (hardware) Falha de software após alteração ou atualização.recuperaçã o de mídia (backup) Uso não autorizado do equipamento Alteração e atualização de software. B M A X (Controle) Alto Adquirir um novo roteador do mesmo modelo, deixar ligado e pré configurado no mesmo rack de comunicação. X Médio Realizar periodicamente, o backup das configurações do roteador, exportando suas configurações e gravando em uma área da rede. Documentar o processo de recover. X Médio Desabilitar o usuário padrão (admin), e criar usuários individuais, com senhas fortes (oito dígitos) para equipe de suporte. X Alto Criar um comitê de mudanças, para planejar e comunicar previamente as alterações no ambiente TEF. (horário 5h a 6h) Interrupção de energia X Muito Baixo Colocar fonte redundante para ser alimentado por dois circuitos distintos, que o rack disponibiliza. Controle de acesso X Baixo Desabilitar acesso remoto via http e telnet, Fenômeno natural (chuva). X Muito Alto deixar apenas ssh. Contratar um segundo link de dados, por outro meio de acesso diferente, como terrestre (par metálico). Roteador1 MPLS Falha de equipamento X Muito Baixo Responsabilidade da substituição é da operadora, através do SLA de 4hs. Uso não autoriza do equipamento X Baixo Controle de acesso do equipamento responsabilidade da operadora1. Backbone(switch core) Falha de software após alteração ou atualização X Médio Realizar periodicamente, o backup das configurações do roteador, exportando suas configurações e gravando em uma área da rede. Documentar o processo de recover. Rede interna matriz (LAN) Controle de acesso X Médio Segmentar a rede administrativa por setores e separar da rede de servidores, controlar acesso via ACLs. Servidor1 Falha de equipamento X Muito Alto Virtualizar o servidor, colocando em um ambiente mais robusto formado por um cluster de maquinas, e storages. Uso não autorizado X Médio Desabilitar o usuário genérico do sistema operacional, criar usuários individuais para equipe de suporte.respeitando as políticas de rede. Falha de software (bloqueio do usuário owner no sistema) X Médio Utilizar no serviço do Windows, o usuário administrador local da maquina como owner do sistema TEF, (não participa da política de senhas). 12

13 Falha de software X Médio Criar um ambiente de teste (um servidor com as mesmas características do de produção) para homologar os novos módulos TEF ou atualizações. Servidor1 Controle de acesso X Médio Desabilitar Acesso remoto (terminal services) ao servidor1. Alteração e atualização de software X Alto Criar um comitê de mudanças, para comunicar e executar previamente as alterações no ambiente TEF. Servidor2 Falha de equipamento X Baixo Virtualizar o servidor, colocando em um ambiente mais robusto formado por um cluster de maquinas 4, estrutura que já hospeda outros servidores. Uso não autorizado X Médio Desabilitar o usuário genérico do sistema operacional, criar usuários individuais para equipe de suporte. Respeitando as políticas de rede. Uso não autorizado de mídias Falha de software (bloqueio do usuário owner no sistema) X Baixo Bloqueio de portas USB, para armazenamento de dados. X Médio Utilizar no serviço do Windows, o usuário administrador local da maquina como owner do sistema TEF, (não participa da política de senhas). Falha de software X Médio Criar um ambiente de teste (um servidor com as mesmas características do de produção)para homologar os novos módulos TEF ou atualizações. Alteração e atualização de software X Baixo Criar um comitê de mudanças, para comunicar e executar previamente as alterações no ambiente TEF. Controle de acesso X Baixo Desabilitar Acesso remoto ao servidor2. Servidor3 Forjamento de direitos X Médio Usuário (owner) que manipula os objetos do sistema na base de dados com senha fraca(mesmo nome do usuário). Criar política de senha, com senhas fortes. Recuperação de mídia X Baixo Teste das mídias de backup, processo periódico de recuperação dos dados armazenados em fitas. Controle de acesso X Baixo Terceiros com acesso a base de dados. Criar um termo de confidencialidade anexado no contrato. Controle de acesso X Médio Desabilitar ou alterar senha do usuário genérico, e criar usuário individual para equipe que presta suporte, da empresa terceira. Maquinas do ponto de venda (PDVM) Ambiente computacional da organização Controle de acesso X Muito Baixo Controle de acesso sistema Furto de informações e divulgação indevida Acesso ao sistema operacional com usuário genérico, desabilitar o usuário e criar logins individuais para cada funcionário da loja. X Baixo Acesso ao sistema TEF com usuário genérico, desabilitar e criar usuários individuais para cada funcionário da loja. X Médio Bloqueio aos dispositivos de armazenamento, liberação diante de um termo de responsabilidade. (Através do agente de antivírus) 13

14 Furto de informações e divulgação indevida X Médio Controlar o envio e recebimento dos s corporativos, que possui informações de cartão. (DLP na ferramenta anti spam) O resultado da análise de risco, reflete o cenário atual da organização, bem como o percentual de cada nível de risco, esta ilustrado na Figura 4 abaixo. Figura 4 Risco por nível A análise de risco apontou 32 ameaças com riscos no ambiente atual. Seis itens foram classificados como risco alto, que representam 19% dos riscos, dezessete itens classificados como risco médio representando 53%, e nove itens de risco baixo que representam 28%. Este resultado foi divulgado para os stakeholders para que possam ser definidos os tratamentos dos riscos, montado um plano de ação. Através de reuniões com os stakeholders, foram analisadas as recomendações passadas pelo analista, e diante das recomendações e classificação, foram definidos os critérios para o tratamento dos riscos. Os critérios foram definidos através de uma decisão conjunta entre os stakeholders e os analistas envolvidos, definindo quais são os níveis máximos que a organização está disposta a tolerar. Todo risco que estiver acima deste nível definido, ele deverá ser tratado. Foi definido que o plano de ação será realizado com foco em dois critérios, sendo o primeiro a redução ou eliminação dos riscos de nível alto, e o segundo para refinar o plano de ação é de acordo com o impacto desta ameaça. Baseado nos dois critérios citados anteriormente, nível de risco e impacto, foi estabelecido o plano que está organizado em seis colunas que são: prioridade referente a ordem que será executado, ativo, recomendação, ação a ser implementada, data da implementação e áreas responsáveis, equipes ou setores envolvido nas ações, conforme o Quadro 6 a seguir. Quadro 6 Plano de ação Recomendação Ação a ser implementada Data Áreas Responsáveis Antena Servidor 1! " 14

15 # Servidor 1 $! % & Servidor 2 $! % " " ' Servidor 3 ( " ) )* + Rede interna da matriz $,! " -,!, 4 IMPLEMENTAÇÃO DO PLANO DE AÇÃO A partir do plano de ação que foi estabelecido na seção anterior, a implementação será executada em um escopo de seis ameaças, que foram priorizadas com nota de 1 a 6, onde 1 representa a prioridade máxima e 6 a menor prioridade. 4.1 Contingência da antena de comunicação A primeira implementação classificada como prioridade 1 é referente à comunicação via rádio, onde a organização está procurando uma forma de contingenciar este meio. A equipe comercial foi em busca, no mercado de comunicação, operadoras que trabalham com tecnologia X-25, mas somente uma operadora trabalha com esta tecnologia. Na primeira fase da implementação foi solicitada uma cotação de valores para implementar um segundo meio de acesso via terrestre, foi passado o valor para a equipe comercial e a mesma avaliou os valores e formato da proposta junto com os stakeholders para obter a aprovação deste contrato de serviço. Aprovado o contrato e aberta a ordem de serviço junto à operadora, foi realizado o primeiro contato com a equipe técnica, neste caso a área de suporte. A segunda fase que envolve a área de suporte foi previamente solicitado uma infraestrutura interna passando um par metálico do DG (Distribuidor Geral) da empresa até a sala principal de processamento. Após a infraestrutura pronta, foi agendada com a operadora a visita técnica para instalação dos seus equipamentos de comunicação, neste caso um modem. Também nesta segunda fase, foi comprado um segundo roteador do mesmo modelo pela área comercial, e configurado de acordo com o roteador de produção, criando uma estrutura paralela com o link de dados por meios diferentes, e também equipamentos distintos. Para completar o ciclo da implementação, a equipe de suporte comunicou as administradoras de cartão e convenio TEF sobre o novo circuito que está no modo de espera, para que seja liberado em sua estrutura as duas designações, a de produção e a que esta em espera. 4.2 Virtualização do servidor1 A segunda implementação na escala das prioridades possui nota 2, refere-se a virtualização do servidor1 do TEF, dividindo em três fases, a análise do ambiente virtual para receber o novo servidor, execução, acompanhamento e documentação. A primeira fase foi o acompanhamento de desempenho do servidor1 máquina física, para mensurar o consumo de hardware que será necessário no ambiente virtual onde ele será hospedado. Foi monitorado CPU, memória e disco, nesta mesma fase foi verificado se estes recursos estavam disponíveis no ambiente virtual, ou se existia a necessidade de algum investimento nos hosts que suportam o ambiente virtual. Após a análise foi identificado que o ambiente virtual estava com boa capacidade de crescimento, 15

16 apto assim a receber o novo servidor, neste caso o servidor1. A segunda fase da implementação é a execução da virtualização. Foi realizado uma reunião com a área de negócios do varejo, e verificado a melhor data e horário para deixar o serviço indisponível a fim de executar a migração, de acordo com os relatórios gerenciais que apóiam as áreas com os valores das vendas diário e mensal, foi definido que o segundo final de semana do mês de maio era a melhor janela para realizar a manutenção, no período da madrugada onde não teríamos um impacto muito grande no negocio. Com a janela de manutenção definida, foi comunicado as partes envolvidas, e executado o procedimento. Foi parado o serviço solução inteligente TEF, e exportador de logs cliente no servidor1, para não correr o risco de alguma inconsistência durante a migração. Foi utilizado para executar a virtualização da máquina física, a ferramenta chamada VMware vcenter converter standalone Server. Esta aplicação converte a máquina física em uma máquina virtual, levando todas as suas características de configuração. Após converter a máquina física para o ambiente virtual, foi desligado o servidor, e restabelecido os serviços, solução inteligente TEF e exportador de logs cliente, no novo servidor1 já na plataforma virtualizada. A terceira fase que é o acompanhamento e documentação, foi analisado o novo ambiente em nível de funcionamento, se os logs realmente estavam sendo gerados e exportados para o servidor2, bem como as autorizações das lojas estavam conectando e autorizando as vendas. Foi atualizada a documentação do servidor, descrevendo que agora está no ambiente virtual, trabalhando com recursos clusterizados, e comunicado as áreas responsáveis sobre a nova estrutura. 4.3 Alteração de owner nos serviços do servidor1 A implementação que está classificada como prioridade 3, refere-se a alteração no owner do serviço solução inteligente TEF e exportador de logs cliente, que está instanciado no servidor1, foi realizado em duas fases, análise de impacto e a execução. Na primeira fase foi realizada uma análise de impacto, entrando em contato com a empresa que desenvolveu a aplicação, informando a alteração que seria realizada, diante de uma análise técnica, a única observação da parte da empresa responsável pela aplicação, era que o usuário administrador local, deveria ter acesso ao diretório onde é gerado os logs, e ao diretório que realiza a transferência, área que o exportador utiliza para encaminhar os logs. A segunda fase que é a execução, antes de realizar o procedimento foi realizada uma reunião com a área de negócios do varejo, para decidir a melhor janela de manutenção, data e hora. Após a decisão, foi comunicado as lojas sobre a manutenção, e executada a tarefa. Conforme a orientação da empresa responsável pelo software, foi verificado os acessos nas pastas que o sistema utiliza para geração dos logs, e exportação que já estavam liberadas para o administrador local, e por fim parado o serviço e alterado o usuário. 4.4 Alteração de owner no serviço do servidor2 A modificação de owner do serviço exportador de logs servidor, que está instalado no servidor2, segue o mesmo cenário da seção anterior. Diante da sua classificação com a nota 4, foi implementado em conjunto com a alteração do servidor1, aproveitando a dependência que existe entre os dois servidores e seus serviços, utilizado a mesma janela de manutenção, definida pela área de negócios do varejo. Foi realizado em duas fases também, e aproveitado a ocasião do contato anterior para alteração do servidor1 com a empresa responsável pelo software, foi solicitado uma análise de impacto para troca do owner deste serviço. A recomendação da empresa foi verificar o acesso ao diretório onde é armazenado os arquivos de exportação. No momento da indisponibilidade dos serviços instanciados no servidor1 representados na seção anterior, foi parado o serviço exportador de logs servidor no servidor2 e realizado a alteração do owner, retirando o usuário genérico do sistema, e colocando o administrador local da máquina. Após parado e alterado o serviço, foi restabelecido o serviço e monitorado, para ter a certeza que os logs estavam sendo aplicadas na base de dados, de acordo com seu fluxo normal. 16

17 4.5 Alteração de senha do usuário de banco A implementação com a prioridade 5, é referente a troca de senha do usuário do banco de dados, que é utilizado para autenticar a aplicação no banco de dados, com uma senha classificada como fraca, de fácil acesso. Esta implementação foi dividida em três fases, análise de impacto, execução e acompanhamento. Na primeira fase foi encaminhada a demanda para as ADs (administradoras de dados) para que fosse executado o mapeamento dos objetos de banco e serviços utilizados por este usuário. Através da análise de impacto foi identificado um único ponto de falha para esta alteração, a conexão ODBC do servidor2. A conexão ODBC, configurada no servidor2, é utilizada para conectar na base de dados, e através do exportador aplicar os comandos. Após finalizar a análise de impacto, foi iniciado a segunda fase, solicitando a equipe de DBAs (Administradores de banco de dados), a execução da troca de senha, após a troca de senha na base de dados que esta instalada no servidor3, foi alterado também as configurações de conexão do ODBC instalado no servidor2. Foi realizado o acompanhado das funcionalidades da aplicação, que executa os comandos de insert, delete e update na base de dados, verificando nas tabelas se os registros com a data e hora corrente estavam sendo populados. 4.6 Segmentação da rede A implementação classificada com a nota 6 refere-se a segmentação da rede, onde serão separadas as redes dos setores e servidores para obter maior visibilidade e, também, controle nos acessos, a fim de criar políticas individuais por segmento. A implementação está sendo realizada em três fases, divididas em cotação e compra dos equipamentos, execução, e acompanhamento. A primeira fase, cotação e compra dos equipamentos, já foi realizada, de acordo com o desenho da nova topologia. O setor na qual é realizada a segmentação passa por uma análise das tecnologias que os atuais equipamentos suportam, verificando se possui as funcionalidades de vlan e 802.1x, viabilizando a substituição dos equipamentos se necessário. A Figura 5, abaixo, demonstra a topologia da rede com a segmentação e os equipamentos utilizados. 17

18 Figura 5 Topologia e segmentação da rede Neste momento está na segunda fase que é a execução, já foi segmentada a rede de alguns setores, totalizando 13 redes. Nesta fase também está sendo realizada a segmentação da rede de servidores. Por se tratar de uma rede que sustenta todos os serviços que apóiam o negócio da organização, a execução é realizada de acordo com cada serviço, mapeando o servidor com serviços que ele sustenta, alterando as configurações de rede pertinentes, e liberando os acessos conforme a necessidade de cada serviço em relação ao negocio. Esta execução segue na mesma linha das outras alterações, realizando reuniões com as áreas de negócio responsáveis, estabelecendo uma janela de manutenção, comunicando e executando. 4.7 Resultado Foi criada uma rotina semestral, para monitorar as ameaças já existentes, bem como incluir novas ameaças conforme a modificação do ambiente. É realizado neste monitoramento periódico, uma nova análise no ambiente com base na última análise, assim reclassificando as ameaças, tratando ou aceitando seus riscos. Após as implementações foi realizado nova análise de risco (ver anexo A), através desta análise, foi gerado novo gráfico, ilustrado na Figura 6. Figura 6 Análise após tratamento dos riscos Após o tratamento de risco foram identificadas 28 ameaças com uma redução de quatro ameaças com relação à primeira análise de risco. As 28 ameaças foram reclassificadas conforme o tratamento de risco. O risco alto ficou com apenas uma ameaça representando um percentual de 3%. O risco médio ficou com dezessete ameaças, que representam 61%, e o risco baixo com dez ameaças, representando 36% dos riscos. Algumas ameaças foram eliminadas através do tratamento de risco e outras diminuíram o seu nível de risco alterando os percentuais de todos os níveis, ficando assim, classificado em níveis mais aceitáveis, de acordo com o critério definido no inicio da análise de risco. 5 CONCLUSÃO A segurança da informação está cada vez mais em evidência. Com a rapidez com que as informações circulam interna e externamente nas organizações, e diante da concorrência e competitividade do mercado, as empresas estão valorizando suas informações e seus sistemas que sustentam o negócio. Este artigo apresentou a implementação da gestão de segurança da informação em uma empresa que trabalha em dois segmentos de mercado, são eles o varejo e o atacado. 18

19 Através da gestão de segurança da informação foi possível demonstrar uma maior visibilidade dos principais pilares que sustentam o negócio. Com este trabalho, também, foi possível evidenciar sistemas que são essenciais para a empresa. Com a implementação da gestão de segurança da informação foi possível reduzir a indisponibilidade de um dos serviços que sustentam o negócio, conhecido como TEF e identificado pelas áreas de negócio como o principal serviço da empresa, sendo, então, escolhido como o escopo inicial para o presente trabalho. Através deste trabalho foi possível aumentar a estabilidade deste serviço que causa impacto diretamente ao cliente final, demonstrando maior confiabilidade e credibilidade da marca e nome da empresa no mercado. Diante do escopo atual da análise de risco, existe uma tarefa citada no tratamento de risco que está em fase de implementação, que é a segmentação da rede. Sugere-se que após sua conclusão, este trabalho sirva de base para futuras implementações de controles dentro da organização. A partir desta segmentação será possível implementar mecanismos de segurança de perímetro de rede, bem como 802.1x, bloqueio de dispositivos de armazenamentos, de acordo com as características de cada área. Para futuros estudos, recomenda-se como novos escopos de trabalho dois serviços um de cada segmento, no segmento do varejo o serviço Website, e no segmento atacado o serviço EDI. É importante salientar que este é apenas o início de um ciclo da gestão de segurança da informação dentro da organização. Novos escopos e avaliações são recomendados para que o processo de gestão adquira maior maturidade. REFERÊNCIAS ERNST & YOUNG. Disponível em: <http://www.ey.com/publication/vwluassets/giss_-_apresentacao_- _2010/$FILE/GISS_apresentacao_-_2010.pdf> Acesso em: 7 ago IDGNOW. Disponível em: <http://idgnow.uol.com.br/seguranca/2011/04/27/prejuizo-da-sony-com-falha-dapsn-pode-ultrapassar-os-us-24-bilhoes/> Acesso em: 13 ago REVISTA INFO EXAME. Agosto 2011, Ed. Abril n.306 PCWORLD. Disponível em: <http://pcworld.uol.com.br/noticias/2011/06/29/maior-botnet-do-mundo-tinha- 4-5-milhoes-de-pcs-sob-controle/> Acesso em: 28 ago SYMANTEC. Disponível em: <http://www.symantec.com/content/pt/br/enterprise/images/theme/istr-16/> Acesso em: 28 ago ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC Tecnologia da informação Técnicas de segurança Código de prática para gestão da segurança da informação Elaboração. Rio de Janeiro: ABNT, p. INFORMATION WEEK. Disponível em: <http://informationweek.itweb.com.br/blogs/mercado-brasileirode-seguranca-da-informacao-destaque-global/> Acesso em: 3 set RESENHA ELETRONICA MINISTERIO DA FAZENDA. Disponível em: <http://www.fazenda.gov.br/resenhaeletronica/mostramateria.asp?page=&cod=735296> Acesso em: 3 set SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Ed. Campus, p. RAMOS, Anderson. Security Officer 1. Ed. Zouk, p. FERNANDES, Aguinaldo, ABREU, Vladimir Implantando a governança de TI. Ed. Brasport, p. KNOWLEDGELEADER. Disponível em: <http://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/checklistsguidesbritishst 19

20 andard7799!opendocument> Acesso em: 10 set STANDARDS. Disponível em: <http://17799.standardsdirect.org/bs7799.htm> Acesso em: 10 set ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC Tecnologia da informação Técnicas de segurança Gestão de riscos de segurança da informação Elaboração. Rio de Janeiro: ABNT, p. (QSP) Centro da Qualidade, Segurança e Produtividade. Disponível em: <http://www.qsp.org.br/artigo_27005.shtml> Acesso em 02 set DINSMORE, Paul Campbell, CAVALIERE, Adriane, CARNEIRO, Margareth, PINTO, Americo. Projetos Brasileiros Casos reais de gerenciamento. Ed. Brasport, INTERNATIONAL REGISTER. Disponível em: <http://www.iso27001certificates.com/taxonomy/certificatesearch.htm> Acesso em: 10 set MODULO. Disponível em: < Acesso em: 11 set ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos Elaboração. Rio de Janeiro: ABNT, p. 20

GOVBR- UEM-MARINGA PREFEITURA MUNICIPAL DE PEROLA

GOVBR- UEM-MARINGA PREFEITURA MUNICIPAL DE PEROLA GERENCIAMENTO DE PROJETOS PRONIM, IMPLANTAÇÃO SQL SERVER GOVBR- UEM-MARINGA PREFEITURA MUNICIPAL DE PEROLA Cliente GOVBR, UEM-MARINGA / Prefeitura Municipal de PEROLA Data 10/09/2015 Versão 1.0 Objeto:

Leia mais

BANCO POSTAL - Plataforma Tecnológica

BANCO POSTAL - Plataforma Tecnológica BANCO POSTAL - Plataforma Tecnológica 1. Arquitetura da Aplicação 1.1. O Banco Postal utiliza uma arquitetura cliente/servidor WEB em n camadas: 1.1.1. Camada de Apresentação estações de atendimento, nas

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

BEMATECH LOJA LIVE. Requerimento de Infra-instrutura (servidores no cliente)

BEMATECH LOJA LIVE. Requerimento de Infra-instrutura (servidores no cliente) BEMATECH LOJA LIVE Requerimento de Infra-instrutura (servidores no cliente) Versão 1.0 03 de março de 2011 DESCRIÇÃO Este documento oferece uma visão geral dos requerimentos e necessidades de infra-estrutura

Leia mais

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria

Informe técnico: Segurança de endpoints Symantec Protection Suite Enterprise Edition Proteção confiável para ambientes de endpoints e mensageria Proteção confiável para ambientes de endpoints e mensageria Visão geral O Symantec Protection Suite Enterprise Edition cria um ambiente de endpoints e mensageria protegido contra as complexas ameaças atuais,

Leia mais

Andarta - Guia de Instalação. Guia de Instalação

Andarta - Guia de Instalação. Guia de Instalação Guia de Instalação 29 de setembro de 2010 1 Sumário Introdução... 3 Os Módulos do Andarta... 4 Instalação por módulo... 6 Módulo Andarta Server... 6 Módulo Reporter... 8 Módulo Agent... 9 Instalação individual...

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

TEF Transferência Eletrônica de Fundos

TEF Transferência Eletrônica de Fundos 1. VISÃO GERAL 1.1 OBJETIVOS: O TEF é uma solução eficiente e robusta para atender as necessidades do dia a dia de empresas que buscam maior comodidade e segurança nas transações com cartões, adequação

Leia mais

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade...

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Reduzir custo de TI; Identificar lentidões no ambiente de TI Identificar problemas de performance

Leia mais

reputação da empresa.

reputação da empresa. Segurança premiada da mensageria para proteção no recebimento e controle no envio de mensagens Visão geral O oferece segurança para mensagens enviadas e recebidas em sistemas de e-mail e mensagens instantâneas,

Leia mais

COTAÇÃO ELETRÔNICA: 133/2012 COMPRASNET

COTAÇÃO ELETRÔNICA: 133/2012 COMPRASNET COTAÇÃO ELETRÔNICA: 133/2012 COMPRASNET AQUISIÇÃO DE SOLUÇÃO DE ANTIVÍRUS MCAFEE PARA PLATAFORMA DE SERVIDORES VIRTUALIZADOS VMWARE DA REDE CORPORATIVA PRODAM Diretoria de Infraestrutura e Tecnologia-

Leia mais

MINISTÉRIO DA FAZENDA

MINISTÉRIO DA FAZENDA MINISTÉRIO DA FAZENDA Procuradoria-Geral da Fazenda Nacional PGFN Departamento de Gestão Corporativa - DGC Coordenação-Geral de Tecnologia da Informação - CTI CATÁLOGO DE SERVIÇOS DE TECNOLOGIA Infraestrutura

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Plano de Recuperação de Desastre em TI

Plano de Recuperação de Desastre em TI Plano de Recuperação de Desastre em TI Edgar T. Monteiro The LatAm Healthcare IT Summit - 2014 >> AGENDA Blue Solutions na Saúde Ameaças para a TI em HeathCare Disaster Recovery >> Blue Solutions 10 anos

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Gerência de Redes e Serviços de Comunicação Multimídia

Gerência de Redes e Serviços de Comunicação Multimídia UNISUL 2013 / 1 Universidade do Sul de Santa Catarina Engenharia Elétrica - Telemática 1 Gerência de Redes e Serviços de Comunicação Multimídia Aula 3 Gerenciamento de Redes Cenário exemplo Detecção de

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Documento de Requisitos de Rede (DRP)

Documento de Requisitos de Rede (DRP) Documento de Requisitos de Rede (DRP) Versão 1.2 SysTrack - Grupo 1 1 Histórico de revisões do modelo Versão Data Autor Descrição 1.0 30/04/2011 João Ricardo Versão inicial 1.1 1/05/2011 André Ricardo

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br

Introdução a Segurança de Redes Segurança da Informação. Filipe Raulino filipe.raulino@ifrn.edu.br Introdução a Segurança de Redes Segurança da Informação Filipe Raulino filipe.raulino@ifrn.edu.br Objetivos Entender a necessidade de segurança da informação no contexto atual de redes de computadores;

Leia mais

Banco Postal. Processo de Seleção de Parceiros

Banco Postal. Processo de Seleção de Parceiros Banco Postal Processo de Seleção de Parceiros REQUISITOS TÉCNICOS E DESCRIÇÃO SUMÁRIA DA PLATAFORMA TECNOLÓGICA Anexo 5 do Edital de Chamamento do Banco Postal 1 /8 BANCO POSTAL - Plataforma Tecnológica

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Soluções de Segurança IBM: inteligência, integração e conhecimento

Soluções de Segurança IBM: inteligência, integração e conhecimento Soluções de Segurança IBM: inteligência, integração e conhecimento Um dos portfólios de serviços e produtos de segurança corporativa mais amplos, avançados e integrados do mercado Destaques A segurança

Leia mais

O que há aqui dentro, o que há lá fora

O que há aqui dentro, o que há lá fora Soluções em Gerenciamento Out-of-band REDES O que há aqui dentro, o que há lá fora Neste artigo, as abordagens tradicionais de monitoramento, manutenção e restauração de ativos de TI são questionadas;

Leia mais

T2Ti Tecnologia da Informação Ltda T2Ti.COM CNPJ: 10.793.118/0001-78 Projeto T2Ti ERP. Módulo Comercial. Gestão de Lojas PAF-ECF e TEF

T2Ti Tecnologia da Informação Ltda T2Ti.COM CNPJ: 10.793.118/0001-78 Projeto T2Ti ERP. Módulo Comercial. Gestão de Lojas PAF-ECF e TEF Módulo Comercial Gestão de Lojas PAF-ECF e TEF Objetivo O objetivo deste artigo é dar uma visão geral sobre o Módulo Comercial Gestão de Lojas PAF-ECF + TEF. Todas informações aqui disponibilizadas foram

Leia mais

Guia de vendas Windows Server 2012 R2

Guia de vendas Windows Server 2012 R2 Guia de vendas Windows Server 2012 R2 Por que Windows Server 2012 R2? O que é um servidor? Mais do que um computador que gerencia programas ou sistemas de uma empresa, o papel de um servidor é fazer com

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

GLADIADOR INTERNET CONTROLADA v.1.2.3.9

GLADIADOR INTERNET CONTROLADA v.1.2.3.9 GLADIADOR INTERNET CONTROLADA v.1.2.3.9 Pela grande necessidade de controlar a internet de diversos clientes, a NSC Soluções em Informática desenvolveu um novo produto capaz de gerenciar todos os recursos

Leia mais

Nettion Security & Net View. Mais que um software, gestão em Internet.

Nettion Security & Net View. Mais que um software, gestão em Internet. Nettion Security & Net View Mais que um software, gestão em Internet. Net View & Nettion Security Mais que um software, gestão em Internet. A Net View e a Nettion Security Software se uniram para suprir

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

PLANO DE CONTINUIDADE E CONTINGÊNCIA DE NEGÓCIOS (PCCN) Squadra Tecnologia

PLANO DE CONTINUIDADE E CONTINGÊNCIA DE NEGÓCIOS (PCCN) Squadra Tecnologia PLANO DE CONTINUIDADE E CONTINGÊNCIA DE NEGÓCIOS (PCCN) Squadra Tecnologia Sumário 1 INTRODUÇÃO... 2 2 OBJETIVO... 2 3 REVISÕES E ATUALIZAÇÕES... 2 4 POLÍTICAS E NORMAS DO PCCN... 2 5 COMITÊ DE CONTINUIDADE

Leia mais

CASO DE SUCESSO MICROWARE

CASO DE SUCESSO MICROWARE CASO DE SUCESSO MICROWARE CLIENTE: Ortobom SEGMENTO: Indústria MAIOR INTEGRAÇÃO E FLUXO DE DADOS GARANTE RESULTADOS ÁREA DE ATUAÇÃO: Datacenter DEMANDA: A empresa buscava maior comunicação e integração

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

TIC Microempresas 2007

TIC Microempresas 2007 TIC Microempresas 2007 Em 2007, o Centro de Estudos sobre as Tecnologias da Informação e da Comunicação do NIC.br, no contexto da TIC Empresas 2007 1, realizou pela primeira vez um estudo sobre o uso das

Leia mais

Acesse: www.eyenet.com.br ou ligue : (11) 5049-0441

Acesse: www.eyenet.com.br ou ligue : (11) 5049-0441 1 2 1) Proposta Comercial 2) Cases 3) Apresentação Eyenet 3 Objetivos do Projeto Construir uma intranet, oferecendo aos gestores, uma ferramenta web de fácil atualização de conteúdos, tornando-o um meio

Leia mais

Apresentação Cliente (Lojas)

Apresentação Cliente (Lojas) Apresentação Cliente (Lojas) Millenium 2012 Muito prazer, somos a Cappta Start up formada por grupo de investidores oriundos de diversas áreas (tecnologia, varejo, telecom), dispostos a replicar o modelo

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Tecnologia da Informação CAASP. DIS Departamento de Informática e Sistemas. Relatório Anuário 2008 Att. Gerência Geral e Diretoria CAASP

Tecnologia da Informação CAASP. DIS Departamento de Informática e Sistemas. Relatório Anuário 2008 Att. Gerência Geral e Diretoria CAASP Tecnologia da Informação CAASP DIS Relatório Anuário 2008 Att. Gerência Geral e Diretoria CAASP Introdução...03 Projetos e Fatos Relevantes 2008...03 Raio X de Investimentos e Custos...10 Considerações

Leia mais

1.Introdução. 2. Posicionamento

1.Introdução. 2. Posicionamento 1.Introdução 1.1 Finalidade Este documento tem o objetivo de demonstrar as necessidades e problemas que a rede de clínicas de vacinação IMUNIZA encontra em seu dia a dia, propondo após um levantamento

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

DOCUMENTO DE REQUISITOS

DOCUMENTO DE REQUISITOS DOCUMENTO DE REQUISITOS ID documento: Data: / / Versão : Responsável pelo documento: ID Projeto: HISTÓRICO DE REVISÕES Data de criação/ atualização Descrição da(s) Mudança(s) Ocorrida(s) Autor Versão do

Leia mais

CONCEITOS GERAIS SOBRE SEGURANÇA NA TECNOLOGIA DA INFORMAÇÃO. Prof. Me. Hélio Esperidião

CONCEITOS GERAIS SOBRE SEGURANÇA NA TECNOLOGIA DA INFORMAÇÃO. Prof. Me. Hélio Esperidião CONCEITOS GERAIS SOBRE SEGURANÇA NA TECNOLOGIA DA INFORMAÇÃO Prof. Me. Hélio Esperidião CONCEITOS GERAIS SOBRE SEGURANÇA NA TECNOLOGIA DA INFORMAÇÃO O conceito de segurança envolve formas de proteção e

Leia mais

Gestão da Segurança da Informação

Gestão da Segurança da Informação Gestão da Segurança da Informação Mercado Cibercrimes crescem 197% no Brasil em um ano Perplexo e receoso. Foi dessa forma que o funcionário público aposentado Edgar Silva Pereira, de 64 anos, recebeu

Leia mais

Administration Kit. Parte de Kaspersky Business Space Security Kaspersky Enterprise Space Security Kaspersky Total Space Security

Administration Kit. Parte de Kaspersky Business Space Security Kaspersky Enterprise Space Security Kaspersky Total Space Security Administration Kit Parte de Kaspersky Business Space Security Kaspersky Enterprise Space Security Kaspersky Total Space Security O Kaspersky Administration Kit é uma ferramenta de administração centralizada

Leia mais

ESTE DOCUMENTO APRESENTA UMA VISÃO GERAL SOBRE A SOLUÇÃO NFC-e DA NDD

ESTE DOCUMENTO APRESENTA UMA VISÃO GERAL SOBRE A SOLUÇÃO NFC-e DA NDD NFC-e ESTE DOCUMENTO APRESENTA UMA VISÃO GERAL SOBRE A SOLUÇÃO NFC-e DA NDD NECESSIDADE PERCEBIDA As empresas possuem a necessidade de adequação quanto ao projeto de nível nacional, o qual tem o objetivo

Leia mais

agility made possible

agility made possible RESUMO DA SOLUÇÃO Gerenciamento da infraestrutura convergente da CA Technologies Como posso fornecer serviços inovadores ao cliente com uma infraestrutura cada vez mais complexa e convergente? E com gerenciamento

Leia mais

Winconnection 6. Internet Gateway

Winconnection 6. Internet Gateway Winconnection 6 Internet Gateway Descrição Geral O Winconnection 6 é um gateway de acesso à internet desenvolvido dentro da filosofia UTM (Unified Threat Management). Assim centraliza as configurações

Leia mais

Serviços Gerenciados de Segurança de perímetro Firewall Dell SonicWALL

Serviços Gerenciados de Segurança de perímetro Firewall Dell SonicWALL 1/8 Serviços Gerenciados de Segurança de perímetro Firewall Dell SonicWALL www.alertasecurity.com.br +55 11 3105.8655 2/8 SUMÁRIO Visão Geral: Porque contratar os Serviços Gerenciados da Alerta Security

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

Integração entre o PROSEG e o PSGIS Uma abordagem no. tratamento de incidentes de segurança da informação. Parte 2. Elaboradores:

Integração entre o PROSEG e o PSGIS Uma abordagem no. tratamento de incidentes de segurança da informação. Parte 2. Elaboradores: Integração entre o PROSEG e o PSGIS Uma abordagem no tratamento de incidentes de segurança da informação Parte 2 Elaboradores: - Cristiane Gomes e Thiago Moraes/SUPGS - João Emílio e Maria do Carmo/COGSI

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Especificações da oferta Remote Infrastructure Monitoring

Especificações da oferta Remote Infrastructure Monitoring Visão geral do Serviço Especificações da oferta Remote Infrastructure Monitoring Este serviço oferece o Dell Remote Infrastructure Monitoring ("Serviço" ou "Serviços" RIM), como apresentado mais especificamente

Leia mais

Softwares de Sistemas e de Aplicação

Softwares de Sistemas e de Aplicação Fundamentos dos Sistemas de Informação Softwares de Sistemas e de Aplicação Profª. Esp. Milena Resende - milenaresende@fimes.edu.br Visão Geral de Software O que é um software? Qual a função do software?

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

SUA EMPRESA SE PREOCUPA COM A SEGURANÇA DAS INFORMAÇÕES?

SUA EMPRESA SE PREOCUPA COM A SEGURANÇA DAS INFORMAÇÕES? SUA EMPRESA SE PREOCUPA COM A SEGURANÇA DAS INFORMAÇÕES? ASSUMA O CONTROLE DAS INFORMAÇÕES DA SUA EMPRESA COM MAKROLOCK é um software de GERENCIAMENTO da SEGURANÇA DAS INFORMAÇÕES. Ele foi desenvolvido

Leia mais

CA Nimsoft Monitor para servidores

CA Nimsoft Monitor para servidores DOCUMENTAÇÃO TÉCNICA Setembro de 2012 CA Nimsoft Monitor para servidores agility made possible CA Nimsoft para monitoramento de servidores sumário CA Nimsoft Monitor para servidores 3 visão geral da solução

Leia mais

Especificação do KAPP-PPCP

Especificação do KAPP-PPCP Especificação do KAPP-PPCP 1. ESTRUTURA DO SISTEMA... 4 1.1. Concepção... 4 2. FUNCIONALIDADE E MODO DE OPERAÇÃO... 5 3. TECNOLOGIA... 7 4. INTEGRAÇÃO E MIGRAÇÃO DE OUTROS SISTEMAS... 8 5. TELAS E RELATÓRIOS

Leia mais

Usando a nuvem para melhorar a resiliência dos negócios

Usando a nuvem para melhorar a resiliência dos negócios IBM Global Technology Services White Paper IBM Resiliency Services Usando a nuvem para melhorar a resiliência dos negócios Escolha o provedor de serviços gerenciados certo para mitigar riscos à reputação

Leia mais

Symantec Endpoint Protection 12.1 Segurança inigualável. Performance superior. Projetado para ambientes virtuais.

Symantec Endpoint Protection 12.1 Segurança inigualável. Performance superior. Projetado para ambientes virtuais. Segurança inigualável. Performance superior. Projetado para ambientes virtuais. Visão Geral Com o poder do Symantec Insight, o Symantec Endpoint Protection é a segurança rápida e poderosa para endpoints.

Leia mais

Soluções de Segurança IBM

Soluções de Segurança IBM Soluções de Segurança IBM Security Framework As organizações frequentemente adotam uma abordagem orientada à tecnologia para a segurança. Porém, proteger só a tecnologia não oferece proteção para os processos

Leia mais

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança.

Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda ManagedOfficeProtection Mais que antivírus, solução em segurança. Net View & Panda Managed Office Protection É fato, tanto pequenas e médias e grandes empresas enfrentam os mesmos riscos

Leia mais

AutoXPert o sistema mais avançado e ágil no mercado para gestão de postos de serviços e lojas de conveniências.

AutoXPert o sistema mais avançado e ágil no mercado para gestão de postos de serviços e lojas de conveniências. AutoXPert o sistema mais avançado e ágil no mercado para gestão de postos de serviços e lojas de conveniências. Principais características do AutoXPert Sistema totalmente desenvolvido para windows Base

Leia mais

Co TRIBUNAL DE CONTAS

Co TRIBUNAL DE CONTAS 411 Co TRIBUNAL DE CONTAS PREGÃO ELETRÔNICO N 18/2014 PROCESSO N 1251712014-0 Esclarecimento n 1 Em atenção a pedido de esclarecimentos formulado por empresa interessada em participar da licitação em epígrafe,

Leia mais

IMPLEMENTAÇÃO DA GESTÃO OPERACIONAL DE PEQUENA E MÉDIA PLATAFORMA COM EFICIÊNCIA E BAIXO CUSTO

IMPLEMENTAÇÃO DA GESTÃO OPERACIONAL DE PEQUENA E MÉDIA PLATAFORMA COM EFICIÊNCIA E BAIXO CUSTO IMPLEMENTAÇÃO DA GESTÃO OPERACIONAL DE PEQUENA E MÉDIA PLATAFORMA COM EFICIÊNCIA E BAIXO CUSTO Flávio Luis de Oliveira (flavio@celepar.pr.gov.br) Helio Hamilton Sartorato (helio@celepar.pr.gov.br) Yuri

Leia mais

Endpoint Security Platform

Endpoint Security Platform AKER Endpoint Security Platform Proteção de endpoints dentro e fora da empresa Ataques virtuais a redes corporativas têm se tornado cada vez mais comuns. Sob constante ameaça, as empresas passaram a utilizar

Leia mais

Requisitos do Sistema

Requisitos do Sistema PJ8D - 017 ProJuris 8 Desktop Requisitos do Sistema PJ8D - 017 P á g i n a 1 Sumario Sumario... 1 Capítulo I - Introdução... 2 1.1 - Objetivo... 2 1.2 - Quem deve ler esse documento... 2 Capítulo II -

Leia mais

Gestão da Segurança da Informação

Gestão da Segurança da Informação Gestão da Segurança da Informação Você vai aprender: Conceitos básicos de segurança; Princípios da segurança e o ciclo de vida da informação; Vulnerabilidades de segurança; Ameaças à segurança; Ataques

Leia mais

TRANSFERÊNCIA ELETRÔNICA DE FUNDOS

TRANSFERÊNCIA ELETRÔNICA DE FUNDOS TRANSFERÊNCIA ELETRÔNICA DE FUNDOS Francislane Pereira Edson Ataliba Moreira Bastos Junior Associação Educacional Dom Bosco - AEDB Denis Rocha da Silva RESUMO Este artigo tem por objetivo apresentar a

Leia mais

Manual do sistema Lojamix PDV

Manual do sistema Lojamix PDV Manual do sistema Lojamix PDV Versão 1.10 Data da última atualização 07/11/2011 SUMÁRIO LISTA DE FIGURAS...3 LISTA DE Siglas...4 Primeiros passos...5 Acessando o ambiente de configuração...5 Acessando

Leia mais

GUIA DE MELHORES PRATICAS NA AREA DE TI

GUIA DE MELHORES PRATICAS NA AREA DE TI GUIA DE MELHORES PRATICAS NA AREA DE TI Ambiente Windows Small Business Rev 10501 DATA : 5 / 07/ 2007 Pag : 1 de7 1) Servidores a) Hardware o Servidor Alocado em Rack Fechado em ambiente reservado e refrigerado

Leia mais

Configuração SERVIDOR.

Configuração SERVIDOR. REQUISITOS MINIMOS SISTEMAS FORTES INFORMÁTICA. Versão 2.0 1. PRE-REQUISITOS FUNCIONAIS HARDWARES E SOFTWARES. 1.1 ANALISE DE HARDWARE Configuração SERVIDOR. Componentes Mínimo Recomendado Padrão Adotado

Leia mais

A Problemática da Gestão de Logs

A Problemática da Gestão de Logs SIEM Rogério Reis Agenda A Problemática da Gestão de Logs A Solução: SIEM SIEM: Uma plataforma para operações de segurança SIEM: Uma plataforma para operações de conformidade Uma Visão Geral da Tecnologia

Leia mais

Gerência de Redes de Computadores Gerência de Redes de Computadores As redes estão ficando cada vez mais importantes para as empresas Não são mais infra-estrutura dispensável: são de missão crítica, ou

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

ANEXO TÉCNICO REQUERIMENTO E PREPARAÇÃO PARA IMPLANTAÇÃO DO SISTEMA TEF

ANEXO TÉCNICO REQUERIMENTO E PREPARAÇÃO PARA IMPLANTAÇÃO DO SISTEMA TEF ANEXO TÉCNICO REQUERIMENTO E PREPARAÇÃO PARA IMPLANTAÇÃO DO SISTEMA TEF Introdução Antes da efetiva implementação e uso do sistema TEF, alguns requesitos de infraestrutura devem estar prontos e preparados

Leia mais

gladiador INTERNET CONTROLADA

gladiador INTERNET CONTROLADA gladiador INTERNET CONTROLADA funcionalidades do sistema gladiador sistema Gerenciamento de usuários, gerenciamento de discos, data e hora do sistema, backup gladiador. Estações de Trabalho Mapeamento

Leia mais

Simplificando a TECNOLOGIA

Simplificando a TECNOLOGIA 3 Simplificando a TECNOLOGIA SEGURANÇA DESENVOLVIMENTO BANCO DE DADOS S O L U Ç Õ ES E M T E C N O L O G I A MISSÃO VISÃO Contribuir com o sucesso dos Clientes através da Ser a melhor provedora de Soluções

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

O mercado de pagamentos eletrônicos e o TEF

O mercado de pagamentos eletrônicos e o TEF O mercado de pagamentos eletrônicos e o TEF Apresentação para Clientes Barueri, Julho de 2012 Esta apresentação é para uso exclusivo do cliente. Nenhuma de suas partes pode ser veiculada, transcrita ou

Leia mais

A EMPRESA. www.ngrnetwork.com.br

A EMPRESA. www.ngrnetwork.com.br A EMPRESA Desde a sua função, em 2003, a NGR Network vem desenvolvendo e implantando projeto de automação de escritórios em ambientes Multi plataforma integrando servidores, e soluções abertas nos ambientes

Leia mais

Organização de arquivos e pastas

Organização de arquivos e pastas Organização de arquivos e pastas Pasta compara-se a uma gaveta de arquivo. É um contêiner no qual é possível armazenar arquivos. As pastas podem conter diversas subpastas. Definir a melhor forma de armazenamento

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Proposta de Parceria. Documento Confidencial

Proposta de Parceria. Documento Confidencial Proposta de Parceria Quem Somos Uma empresa criada em 2011 com objetivo de prestar serviços e oferecer produtos para o mercado financeiro e de meios eletrônicos de pagamento. Criada por executivos de larga

Leia mais

TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO.

TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO. TERCEIRIZAÇÃO, OUTSOURCING, INFRAESTRUTURA DESENVOLVIMENTO DE SISTEMAS E SITES, AUDITORIAS E SEGURANÇA DA INFORMAÇÃO. OneIT A gente trabalha para o seu crescimento. Rua Bento Barbosa, n 155, Chácara Santo

Leia mais

Guia de Migração de Políticas do Symantec Client Firewall

Guia de Migração de Políticas do Symantec Client Firewall Guia de Migração de Políticas do Symantec Client Firewall Guia de Migração de Políticas do Symantec Client Firewall O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado

Leia mais

LSoft SGC Gestão Empresarial

LSoft SGC Gestão Empresarial LSoft SGC Gestão Empresarial O LSoft SGC é um sistema de gestão dinâmico, eficiente e flexível idealizado para atender diversos segmentos de indústrias, comércios e serviços. O objetivo principal é tornar

Leia mais

WMS - Warehouse Management System

WMS - Warehouse Management System Sistema de Gestão Empresarial LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Itair Pereira Sumário 1. INTRODUÇÃO... 2 2. WMS... 2 3. SEGURANÇA DA INFORMAÇÃO... 2 4. POLÍTICA

Leia mais

Soluções Inteligentes para regulamentações e negócios em aplicações SAP

Soluções Inteligentes para regulamentações e negócios em aplicações SAP Soluções Inteligentes para regulamentações e negócios em aplicações SAP Uma nova visão no Gerenciamento da Aplicação INDICE 1. A Union IT... 3 2. A importância de gerenciar dinamicamente infra-estrutura,

Leia mais

Serviços IBM de Resiliência:

Serviços IBM de Resiliência: Serviços IBM de Resiliência: Sempre disponível, em um mundo sempre conectado Como chegamos até aqui? Dois profissionais de TI estão sofrendo com interrupções de negócios frequentes, os problemas estão

Leia mais

ADMINISTRAÇÃO DOS RECURSOS DE HARDWARE E SOFTWARE

ADMINISTRAÇÃO DOS RECURSOS DE HARDWARE E SOFTWARE Capítulo 6 ADMINISTRAÇÃO DOS RECURSOS DE HARDWARE E SOFTWARE 6.1 2003 by Prentice Hall OBJETIVOS Qual é a capacidade de processamento e armazenagem que sua organização precisa para administrar suas informações

Leia mais

Kaspersky DDoS Protection. Proteja a sua empresa contra perdas financeiras e de reputação com o Kaspersky DDoS Protection

Kaspersky DDoS Protection. Proteja a sua empresa contra perdas financeiras e de reputação com o Kaspersky DDoS Protection Kaspersky DDoS Protection Proteja a sua empresa contra perdas financeiras e de reputação Um ataque DDoS (Distributed Denial of Service, Negação de Serviço Distribuído) é uma das mais populares armas no

Leia mais