Ameaças a ativos da FacSenac: Controles conforme a ISO/IEC 27002

Tamanho: px
Começar a partir da página:

Download "Ameaças a ativos da FacSenac: Controles conforme a ISO/IEC 27002"

Transcrição

1 !" Ameaças a ativos da FacSenac: Controles conforme a ISO/IEC Amaury Júnior, Cleycione Carlos, Diego Neves, Guacyrena Perez, Jaqueline Pimentel, Sthefany Macedo e Edilberto Silva Pós-Graduação em Segurança da Informação, FACSENAC-DF, Brasília-DF 1 ; 2 ; 3 ; 4 ; 5 ; 6 ; 7 ; Resumo. O uso da informação e dos processos de apoio a segurança da informação, como, sistemas e redes são um fator determinante na organização junto do mercado. Nos dias atuais, não se fala em gerar e guardar documentos e informações em papéis, toda informação é feita por meio digital. Estas informações precisam ser geradas e armazenadas de forma segura e livre das várias ameaças que podem comprometer seriamente sua integridade, além disso, todos os artefatos necessários para a geração e administração destas informações também necessitam de uma atenção especial. Não se pode garantir um nível de proteção a esses artefatos, ou porque não dizer ativos da informação, sem atingir um grau de segurança ideal. E para isso, é preciso adotar alguns critérios ou controles de segurança que possam tornar o sistema seguro. Este artigo trará referência à aplicação da NBR ISO/IEC 27002:2005 (ABNT, 2005) a partir da elaboração do plano de segurança com seleção de controles. Dessa forma será utilizado como estudo de caso o ambiente da faculdade FacSenac abordando a avaliação de ativos e riscos, e em relação a esse contexto propor a construção de uma matriz de risco e a implementação de controles objetivando o maior controle da organização, e garantir o bom andamento do negócio e a Segurança da Informação. Palavras-chave: Segurança, Sistemas de informação, ISO/IEC Abstract: The use of information and processes to support information security, such as systems and networks are a key factor in the organization to the market. Nowadays, nobody speaks to generate and store documents and information papers, all information is provided by digital media. This information must be generated and stored securely and free of the various threats that can seriously compromise their

2 #" integrity, in addition, all the artifacts required for the generation and management of this information also require special attention. We can not guarantee a level of protection to these artifacts, not to say or because information assets, without reaching an ideal level of security. And for that, we must adopt some criteria or security controls which could make the system safe. This article will refer to the application of ISO / IEC 27002:2005 (ABNT, 2005) from the elaboration of the security plan with selection of controls. This form will be used as a case study the environment of college FacSenac addressing the valuation of assets and risks, and in relation to this context to propose the construction of an array of risk and implementing controls aimed at greater control of the organization, and ensure smooth course of business and information security. KeyWords: Security, Information systems, ISO/IEC INTRODUÇÃO Com as inovações tecnológicas e o advento da Internet, os imensos e frágeis arquivos com os históricos escolares de alunos e professores, estão caindo em desuso. Hoje, toda aquela estrutura de arquivos, livros, históricos e dados referentes aos alunos e professores encontram-se arquivados em meios digitais. Embora tenha ganhado espaço físico e mais agilidade nas tarefas administrativas, junto à benesse veio o desafio de cuidar da integridade e segurança destas informações. Para isso é necessário identificar os ativos do empreendimento ligados diretamente à tecnologia da informação e os dados que se quer preservar e aplicar as políticas de segurança que neste caso especificamente, estão descritos entre os itens 5 e 11 da NBR ISO/IEC 27002:2005 (ABNT, 2005). No ambiente organizacional, a prática pela segurança é atribuída às políticas de segurança da informação, que vão desde os recursos computacionais mais básicos até recursos humanos, atendendo uma grande área da organização. O objetivo deste artigo, portanto, é analisar a segurança da informação apresentando e comentando a norma ABNT NBR ISO/IEC 27002:2005 a partir dos seus controles e identificar os ativos ligados à tecnologia os quais, se influenciados diretamente pela nsegurança da informação sérios prejuízos à instituição.

3 $" Detectar as vulnerabilidades do negócio e verificar se esta falha afetará a organização, essa avaliação inicia-se com a obtenção do conhecimento do ambiente tecnológico por meio de uma análise e identificação dos riscos e vulnerabilidades que causam impacto ao negócio. 2. SEGURANÇA DA INFORMAÇÃO A fim de garantir um nível de proteção ideal para os ativos de informação, primeiro é preciso entender o que é segurança da informação. O grau de segurança de uma aplicação está ligado à capacidade de resistir aos ataques promovidos por agentes maliciosos em ambientes de produção. Para que seja possível atingir o grau de segurança esperado, é preciso adotar alguns critérios de segurança que possam tornar o sistema seguro em todo o ciclo de vida da aplicação. E para isso, se faz necessário o uso de forma integrada de ferramentas e políticas de segurança fortes. As recomendações baseadas na ISO/IEC (International Organization for Standardization/International Electrotechnical Commission) tratam de prevenção e controle das vulnerabilidades em ativos de TI por um processo preventivo de melhoria continuada que oferece suporte para sustentar as melhores práticas de Gestão de Segurança da Informação. ISO/IEC 27001: É a norma que vai tratar das técnicas e passos para implantação de um SGSI (Sistema de Gestão de Segurança da Informação); ISO/IEC-27002: Complementa a ISO e elenca uma lista de objetivos de controle que compõem o SGSI, além disso, faz recomendações por meio de um conjunto de especificações e práticas para dar início, implementar e manter o SGSI. ISO/IEC-27005: Promove diretrizes para orientar e assistir a implantação de processos de Segurança da Informação numa abordagem de Gerenciamento de Riscos, levando em consideração os conceitos especificados na ISO/IEC e A fim de ilustrar alguns conceitos, a ISO/IEC 27001:2006 tem como objetivos, entre outros: atender todos os tipos de organização. As atividades devem seguir um

4 %" processo (PDCA) e ativos e vulnerabilidades devem ser especificados, contudo é necessária uma verificação e melhoria contínua do processo através da implementação de um SGSI. A ISO/IEC 27002:2005, por sua vez, ilustra, a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar retorno sobre os investimentos e O objetivo da norma ISO/IEC 27002:2005 é estabelecer diretrizes e princípios gerais para implementar, manter e melhorar a gestão de S.I em uma organização. O princípio dos controles tem como finalidade, a de ser implementados para atender aos requisitos identificados na análise/avaliação de risco. Entre as boas práticas ou políticas de segurança descritas na norma temos as seguintes: política de segurança segurança organizacional classificação e controle de ativos de informação segurança relacionada a pessoas segurança ambiental e física gerenciamento das operações e comunicações controle de acesso desenvolvimento e manutenção de sistemas gestão de incidentes de segurança gestão da continuidade do negócio; e conformidade com as diretrizes da empresa. Portanto, o objetivo é usar os vários mecanismos existentes dentro da ISO/IEC 27002:2005 para garantir a segurança necessária aos ativos. Existe hoje um número muito grande de ferramentas, controles e sistemas que buscam oferecer esta segurança, entre eles destacam-se os detectores de intrusão, antivírus, firewalls e outros. Para Beal (2005), segurança da informação é o processo de proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade. ecimento

5 &" dedicada à proteção de ativos da informação contra acessos não autorizados, Diante do exposto, conclui-se que segurança da informação é a área do conhecimento que busca proteger as informações de ameaças a sua integridade, disponibilidade e confidencialidade, garantindo com isso a continuidade do negócio minimizando os riscos. Como a grande parte das informações importantes do negócio está armazenada em forma de arquivos digitais em computadores, o empreendedor precisa confiar em seus sistemas e equipamentos, mais que isso, ele depende disso para que seu empreendimento tenha sucesso. Dentro do conceito de segurança da informação, destacam-se três aspectos fundamentais que compõem a segurança, são elas: Integridade - que tem como objetivo garantir a exatidão da informação bem como assegurar que pessoas não autorizadas tenham acessos aos dados e possam alterá-los, acrescentar ou subtrair informação mesmo que seja de forma acidental; Confidencialidade - que garante que somente pessoas autorizadas acessarão as informações; Disponibilidade - dá a garantia de acesso sempre que necessário das informações. Esta tríade - integridade, confidencialidade e disponibilidade - dão ao empreendimento a segurança necessária para garantir que, dentro dos limites aceitáveis, suas informações estarão seguras e confiáveis. Segundo Moraes, revolução causada pela informação. Dessa forma, deve-se ter consciência de que a informação é um requisito tão importante quanto os recursos humanos, pois dela Diante dessa premissa, as organizações precisam adotar controles de segurança que sejam capazes de proteger adequadamente dados e informações, a fim de garantir um nível de proteção adequado para seus ativos de informação. 3. ANÁLISE DE RISCOS

6 '" A análise dos riscos define, dentro do contexto da organização, quais são os ativos, que riscos e vulnerabilidades estão sujeitos e que grau de impacto sofrerá diante de um incidente, ou seja, por meio dela será possível conhecer os ativos, valorar cada um e avaliar as vulnerabilidades do sistema de informação, possibilitando assim o emprego dos controles descritos na NBR ISO/IEC 27002:2005. O processo de gestão de riscos de SGSI é composto pelas atividades: planejar (estabelecer e elaborar o SGSI), fazer (implementar e planejar), checar (monitorar e analisar criticamente) e agir (manter e melhorar o SGSI), formando o ciclo PDCA (Plan, Do, Check, Act). Segundo Santana (2011), "o tratamento do risco consiste em selecionar opções para que sejam diminuídos ao máximo possível, e para isso existem opções de ação que se deve tomar em frente a um risco ainda não tratado." A tabela 1 relaciona os ativos, seus pontos de controles organizados por objeto de controle, utilidade e prioridade para resolução de possíveis problemas. Para se realizar a análise foram selecionados dez ativos, como escopo acadêmico desta pesquisa. Os riscos serão avaliados em ALTO, MÉDIO e BAIXO, sendo as probabilidades de acontecimentos avaliadas em um intervalo de tempo de um ano, conforme parâmetros: ALTO (1): Representa sérios riscos a organização trazendo um grande impacto ao bom andamento do negócio. Intervalo de 6 vezes ao ano. MÉDIO (2): Representa risco considerável ao bom andamento do negócio. Intervalo de 4 vezes ao ano. BAIXO (3): Representa risco aceitável em relação ao bom andamento do negócio. Intervalo de 2 vezes ao ano. ID Local Pontos de Controle A1 CPD Servidores A2 CORREDOR Antena Wirelles Tabela 1: Avaliação de ativos Objeto de Controle DELL POWER EDGE ACCESS POINT QTD Utilidade Prioridade 1 Firewall, DHCP, WEB 1 1 DNS e Proxy 1 1 Banco de Dados 1 5 Acesso a rede Internet 3 A3 CPD Rede ROTEADOR 2 Rede Corporativa Rede Acadêmica 2 A4 SECRETARIA Work DESKTOP 5 Terminal de trabalho e 2

7 (" A5 A6 A7 A8 A9 A10 CPD PORTARIA CPD LABORATÓRI O DE TI SECRETARIA DEPARTAME NTO DE RECURSOS HUMANOS Station, impressoras Link de Intenet Catraca eletrônica Banco de dados Work Station Ponto de frequência de colaboradore s Treiamento Recrutament o DELL, IMPRESSORA XEROX impressão PROVEDOR 1 Conexão a Internet 1 CATRACA 1 DBA 1 DESKTOP POSITIVO PONTO ELETRÔNICO RECURSOS HUMANOS Controle de acesso físico Controlar e gerenciar banco de dados 20 Pesquisa e treinamento Conrolar frequência dos colaboradores Treinar e conscientizar quanto ao uso institucional e de TI A tabela 2 descreve um exemplo de matriz de riscos contendo vulnerabilidade, impactos ao negócio e probabilidade de ocorrência aos ativos de TI na empresa FacSenac. Tabela 2: Matriz de riscos. ID Ameaças Vulnerabilidades Impacto ao negócio Probabilida de A1 Pane elétrica Falta de nobreak Perda de dados Média Alto A2 A3 A4 A5 A6 A7 A8 Perda sinal Queima de hardware Infecção no desktop por vírus ou outro tipo de praga virtual Pane elétrica Perda de sinal Acesso não autorizado DBA Pane Instalação em local impróprio Falta de redundância Perda de sinal na rede acadêmica Perda na comunicação acadêmica e corporativa Média Alto Risco Baixo Alto Antivírus desatualizado Roubo de dados Alto Alto Instalação imprópria e/ou malha elétrica avariada Atraso nos serviços acadêmicos Baixo Baixo Falta de redundância Imagem do negócio Média Alto Fraude Perda de dados ou ativos Média Alto Falta de políticas de acesso e senhas Perda de dados nas pesquisas e treinamentos Perda de acesso ao banco de dados Média Alto Imagem da instituição Média Médio A9 Pane elétrica Falha no sistema Imagem da instituição Baixa Médio

8 )" A10 Engenharia social Falha no treinamento Imagem da instituição Baixa Alto 4. IMPLEMENTAÇÃO DOS CONTROLES A Política de Segurança da Informação serve como base ao estabelecimento de normas e procedimentos que garantem a segurança da informação, bem como determinam as responsabilidades relativas à segurança dentro da empresa. Certamente a segurança da informação tem sua improtância para proteger infraestruturas críticas. No âmbito da organização, a segurança da informação viabilizará a proteção evitando ou reduzindo riscos relevantes. Abordar a prática de Segurança da Informação significa implementar mecanismos e ferramentas de segurança que se fundamentem os princípios de Confidencialidade, Disponibilidade, Integridade e Autenticidade. A tabela 03 demonstra os controles, que devem estar previstos na política de segurança, de acordo com a norma ISO/IEC realizados nos ativos para diminuir ou controlar os riscos. Tabela 03 Implementação dos Controles. ID Nível de Risco Prioridade Controles existentes e/ou Sugeridos A1 Alto 1 Para a implemtetação do controle para estes ativos, será necessário aplicar A2 Baixo 3 o disposto na NBR ISO/IEC item 9 Segurança Física e do Ambiente, A3 Alto 2 Subitens Controle de entrada física, Segurança em A4 Alto 2 escritórios, salas e instalações, Segurança de equipamento, A5 Alto 1 Instalação e proteção do equipamento e Segurança do cabeamento A6 Alto 1 Para a implementação do controle deste ativo será necessário aplicar o disposto na NBR ISO/IEC 2002 ítem 9 Segurança Fisica e do Ambiente, Subitens Perímetro e Segurança, Segurança em escritórios, A7 Alto 1 Para a implementação do controle deste ativo será necessário aplicar o disposto na NBR ISO/IEC 2002 ítem 10 Gerenciamento de operações e comunicações, 10.1 Procedimentos e responsabilidades operacionais, Documentação dos procedimentos de operação, Gestão de mudanças. A8 Médio 2 Para a implemtetação do controle para estes ativos, será necessário aplicar o disposto na NBR ISO/IEC item 9 Segurança Física e do Ambiente, Segurança de equipamento, Instalação e proteção do A9 Médio 2 equipamento e Segurança do cabeamento A10 Alto 1 Para a implementação do controle deste ativo será necessário aplicar o disposto na NBR ISO/IEC 2002 ítem 9 Segurança Fisica e do Ambiente, Subitens Perímetro e Segurança, Segurança em escritórios,

9 *" Para os ativos selecionados, foram aplicados controles de acesso SEGURANÇA FÍSICA E DE AMBIENTE e CONTROLE DE ACESSO cujo objetivo é impedir o acesso não autorizado, prejuizos ou interferência nas instalações e informamações da instituição Senac. O controle deve ser aplicado nas áreas de processamento da informação sensíveis à danos cujo perímetro de segurança são definidos por barreiras e controles de entrada adequados. A proteção fornecida deve ser proporcional aos riscos identificados para evitar perda, dano, roubo ou comprometimento de ativos e interrupção das atividades da organização. Os equipametnos devem ser protegidos contra ameaças física e ambiental. O controle de acesso visa cuidar do acesso às informações, recuros e processos do negócio com base na necessidade de segurança e do negócio da organização. A regulamentação para as políticas de controle de acesso deve considerar a distribuição das informações e autorizações, devendo para isso, estabelecer procedimentos para atribuição de permissões de acesso aos sistemas e informações (ISO/IEC 27002:2005,p.98). 5. CONCLUSÃO Após analisar a matriz de riscos e identificar os principais ativos que compõem o ambiente avaliado, foi possível especificar as ações necessárias para diminuição dos riscos seguindo criteriosamente os controles elencados na NBR ISO/IEC 27002:2005. Neste artigo, constatou-se que quanto maior for o conhecimento dos gestores e profissionais ligados diretamente a TI no ambiente corporativo, maior será a eficácia na mitigação dos riscos. Foram aqui elencados controles para os ativos da instituição de maneira a reduzir os riscos selecionados, porém, novos riscos podem aparecer ou outras vulnerabilidades podem ser descobertas à medida que a tecnologia evolui. O real controle dos riscos só se dará de forma eficaz com o processo de reavaliação dos riscos e vulnerabilidades dos ativos, da conscientização dos usuários que

10 disponibilizam da informação na organização, e a aplicação de forma efetiva das instruções enumeradas na norma NBR ISO/IEC 27002:2005. Partindo do ponto de vista da ISO/IEC 27002:2005, pode-se afirmar que a ISSO e um ponto de partida para se desenvolver uma gestão de segurança específica em uma organização. Vale salientar que nem todas as recomendações e controles da norma em questão são aplicáveis à instituição Senac, havendo casos em que controles adicionais possam ser necessários.!+" 6. REFERÊNCIAS Andreia Batista. Santana, Bruno Rodrigues. Elder Santos. Gabriel Galdino. Yury Hans. Edilberto Silva. (2011) Proposta de SGSI para a faculdade Alfa: Aplicação das ISO s 27001,27002, e Auditoria da Segurança da Informação Pós Graduação em Segurança da Informação Faculdade de tecnologia Senac-DF, Brasil, BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações - São Paulo: Atlas, CUNHA, Walter; TI & Informática para concursos públicos. Disponível em Acesso em 01 setembro ISO ABNT NBR ISO/IEC 27002: Tecnologia da Informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas - Rio de Janeiro: ABNT, 2005 MORAES, Giseli Diniz de Almeida; TERENCE, Ana Cláudia Fernandes; ESCRIVÃO FILHO, Edmundo. A tecnologia da informação como suporte à gestão estratégica da informação na pequena empresa - Revista de Gestão da Tecnologia e Sistemas da Informação, v.1, n.1, 2004, p SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva - Rio de Janeiro: Campus, 2003.

11 M INI-CURRÍCULO DOS AUTORES Cleycione Carlos da Silva Graduado em Gestão de Tecnologia da Informação pela Faculdade Senac de Brasília (2011). Pós-Graduando em Segurança da Informação pela Faculdade Senac de Brasília (2011-). Servi dor Público lotado no Instituto Brasília Ambiental IBRAM como técnico de atividades ambientais contabilidade. Jaqueline Pimentel Souza Graduada em Ciências da Computação pela Universidade Federal do Tocantins (2008). Pós-Graduando em Segurança da Informação pela Faculdade Senac de Brasília (2011). Sthéfany de Sousa Macedo - Bacharel em Sistemas de Informações pelo Instituto de Ensino Superior Cenecista - Faculdade INESC (2009). Pós-Graduando em Segurança da Informação pela Faculdade Senac de Brasília (2011). Setor Financeiro da Concessionária Ford Universo como Auxiliar Administrativo. Diego Eustáquio Neves Bacharel em sistemas de informação pela faculdade INESC de Unaí (2009). Pós-Graduando em segurança da informação pela faculdade SENAC-DF, agente administrativo e colaborador do programa de segurança da informação do SICOOB Noroeste de Minas. Amaury Coriolano da Silveira Junior Graduado em Gestão de Tecnologia da Informação pela Faculdade Senac de Brasília (2010). Pós-Graduando em Segurança da Informação pela Faculdade Senac de Brasília (2011-). Servidor Público Municipal lotado na Câmara Municipal de Novo Gama - GO como escriturário e cerimonial administrativo. Guacyrena dos Santos Perez Bacharel em Ciência da Computação - Faculdades Integradas do Planalto Central (2000). Pós-Graduada em Inteligência Estratégica pela Faculdade Gama Filho-RJ (2011) e Pós-Graduando em Segurança da Informação pela Faculdade Senac de Brasília (2011). Funcionária Pública lotada na INFRAERO Empresa Brasileira de Infra-Estrutura Aeroportuária como profissional de serviços aeroportuários. Edilberto Magalhães Silva - Mestre em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasília (2002) e Bacharel em Ciência da Computação - Faculdades Integradas do Planalto Central (1996). Pós-Graduando em Gestão de Tecnologia da Informação pela Universidade Senac-SP (2010-) e Pós-Graduando em Engenharia de Requisitos e Modelagem de Negócios pela Universidade Federal do Rio Grande do Sul (2010-). Funcionário Público lotado no MCT - Ministério de Ciência e Tecnologia Brasília/DF como Analista em TI. Docente na graduação da FACSENAC - Faculdade Senac em Brasília/DF (Gestão de Tecnologia da Informação) e Docente titular da UNIPLAC - União Educacional do Planalto Central na graduação (Bacharel em Sistemas de Informação). Docente na pós-graduação (Banco de Dados, Segurança da Informação e Design Digital) na FACSENAC/DF. Tutor no curso de especialização lato sensu (pósgraduação) em segurança da informação na UnB/DF (modalidade EAD). Experiência profissional e de docência nas áreas de: Segurança da Informação, Desenvolvimento de Sistemas, Hardware, Metodologia de Pesquisa Aplicada, Análise e Modelagem de Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe). (http://www.edilms.eti.br -

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

PROPOSTA DE PLANO DE ADMINISTRAÇÃO DE CRISE PARA A FACSENAC: APLICAÇÃO DOS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO DO COBIT 4.

PROPOSTA DE PLANO DE ADMINISTRAÇÃO DE CRISE PARA A FACSENAC: APLICAÇÃO DOS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO DO COBIT 4. PROPOSTA DE PLANO DE ADMINISTRAÇÃO DE CRISE PARA A FACSENAC: APLICAÇÃO DOS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO DO COBIT 4.1 E DO ITIL V3 Raphael Baptista de Oliveira, Rodrigo Terra de Figueiredo, Verandir

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

PLANO DE CONTINGÊNCIA DE TI: PREPARANDO SUA EMPRESA PARA REAGIR A DESASTRES E MANTER A CONTINUIDADE DO NEGÓCIO

PLANO DE CONTINGÊNCIA DE TI: PREPARANDO SUA EMPRESA PARA REAGIR A DESASTRES E MANTER A CONTINUIDADE DO NEGÓCIO PLANO DE CONTINGÊNCIA DE TI: PREPARANDO SUA EMPRESA PARA REAGIR A DESASTRES E MANTER A CONTINUIDADE DO NEGÓCIO Daniel Andrade², Eric Vinicius 2, Gabriel Mafra 2, Lúcio Flávio², Marcos Henrique² e Ulisses

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

Segurança da Informação: Conceitos e Modelo de Gestão

Segurança da Informação: Conceitos e Modelo de Gestão : Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1 Sistemas de Gestão - Evolução Sistema de Gestão da Qualidade

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

Proposta de um Sistema de Gestão da Segurança da Informação SGSI baseado nas normas ISO/IEC 27001:2006, ISO/IEC

Proposta de um Sistema de Gestão da Segurança da Informação SGSI baseado nas normas ISO/IEC 27001:2006, ISO/IEC Faculdade SENAC DF Pós-Graduação em Segurança da Informação Autores Bruno Rodrigues Santana rodribruno2@hotmail.com Edilberto Magalhães Silva edilms@yahoo.com José Henrique Ferreira da Silva jhferreira@gmail.com

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000).

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000). Segurança em Redes de Computadores e Auditoria de Sistemas Emanuel Rebouças, MBA AGENDA AULA 4 & 5 Objetivo: Avaliar as melhores práticas do mercado na área de Segurança da Informação e como aplicá-las

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Plano de Trabalho Docente 2014. Ensino Técnico

Plano de Trabalho Docente 2014. Ensino Técnico Plano de Trabalho Docente 2014 Ensino Técnico Etec Etec: Paulino Botelho Código: 091 Município: São Carlos Eixo Tecnológico: Informação e Comunicação Habilitação Profissional: Técnico em Informática Qualificação:

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Proposta de elaboração de PRD - Plano de Recuperação de Desastres: com base no gerenciamento de risco e na norma NBR ISO/IEC 27002:2005.

Proposta de elaboração de PRD - Plano de Recuperação de Desastres: com base no gerenciamento de risco e na norma NBR ISO/IEC 27002:2005. Faculdade SENAC DF Pós-Graduação em Segurança da Informação Proposta de elaboração de PRD - Plano de Recuperação de Desastres: com base no gerenciamento de risco e na norma NBR ISO/IEC 27002:2005. Autores

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

SIG - Sistemas de Informações Gerenciais. Segurança da Informação

SIG - Sistemas de Informações Gerenciais. Segurança da Informação Segurança da Informação Importância da Informação A Informação é considerada atualmente como um dos principais patrimônio de uma organização. Importância da Informação Ela é um ativo que, como qualquer

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSI/PR 01 15/FEV/13 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

Proposta de Elaboração de um Plano de Continuidade de Negócio (PCN) de acordo com a realidade e necessidades de uma Instituição de Ensino Superior

Proposta de Elaboração de um Plano de Continuidade de Negócio (PCN) de acordo com a realidade e necessidades de uma Instituição de Ensino Superior Faculdade SENAC DF Pós-Graduação em Segurança da Informação Proposta de Elaboração de um Plano de Continuidade de Negócio (PCN) de acordo com a realidade e necessidades de uma Instituição de Ensino Superior

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Segurança de Redes. Introdução

Segurança de Redes. Introdução Segurança de Redes Introdução Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Apresentação Ementa Conceitos de Segurança. Segurança de Dados, Informações

Leia mais

EXIN IT Service Management Foundation based on ISO/IEC 20000

EXIN IT Service Management Foundation based on ISO/IEC 20000 Exame simulado EXIN IT Service Management Foundation based on ISO/IEC 20000 Edição Novembro 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA. Gestão na Segurança da Informação

UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA. Gestão na Segurança da Informação UNIVERSIDADE CANDIDO MENDES PÓS-GRADUAÇÃO LATO SENSU AVM FACULDADE INTEGRADA Gestão na Segurança da Informação Por: Fernando Antonio Costa Nascentes Orientador Prof. Sérgio Majerowicz Rio de Janeiro 2012

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança?

TESTE. Sua empresa está em conformidade com a ISO 27002? POLÍTICA DE SEGURANÇA. 2. Algum responsável pela gestão da política de segurança? TESTE Sua empresa está em conformidade com a ISO 27002? O objetivo do teste tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações de Segurança

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

WWW.CONTEUDOJURIDICO.COM.BR

WWW.CONTEUDOJURIDICO.COM.BR NORMAS DE SEGURANÇA DA INFORMAÇÃO APLICADA A UM ÓRGÃO PÚBLICO WAGNER SALAZAR PIRES: mestre em Ciência da Computação pela UFMG e Analista do Ministério Público de Minas Gerais. Suas áreas de interessem

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Vital para a Competitividade da sua Organização

Vital para a Competitividade da sua Organização ISO 27001 Segurança da Informação Vital para a Competitividade da sua Organização Quem Somos? Apresentação do Grupo DECSIS Perfil da Empresa Com origem na DECSIS, Sistemas de Informação, Lda., fundada

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM. Orientações Preliminares

BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM. Orientações Preliminares BACHARELADO EM SISTEMA DE INFORMAÇÃO SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORM ALEX DELGADO GONÇALVES CASAÑAS BSI005 BSI 04NA/NOTURNO 4 Orientações Preliminares O plano de ensino é um documento didático-pedagógico

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 04/IN01/DSIC/GSIPR 00 14/AGO/09 1/6 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 Licença de

Leia mais

Soluções em Armazenamento

Soluções em Armazenamento Desafios das empresas no que se refere ao armazenamento de dados Aumento constante do volume de dados armazenados pelas empresas, gerando um desafio para manter os documentos armazenados Necessidade de

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição Novembro, 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

Diretoria Executiva de Controles Internos e Risco Operacional

Diretoria Executiva de Controles Internos e Risco Operacional Diretoria Executiva de Controles Internos e Risco Operacional Seminário de Segurança da Informação 2014 Painel "A dinâmica do cenário de ameaças à rede interna frente a um contexto GRC e às novas ferramentas

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico.

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico. Exercícios da Parte II: Segurança da Informação Walter Cunha Criptografia (CESPE/PCF-PF 03 2002) 1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada

Leia mais

Principais tópicos da norma NBR ISO/IEC 27001:2006

Principais tópicos da norma NBR ISO/IEC 27001:2006 FACULDADE DE TECNOLOGIA DO IPIRANGA CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS TIAGO GREGÓRIO DA SILVA Principais tópicos da norma NBR ISO/IEC 27001:2006 SÃO PAULO 2013 Índice 1 Introdução... 3 2 Assunto

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

Proposta de implementação de um sistema de proteção física utilizando os controles e diretrizes da ABNT ISO/IEC 27002:2005

Proposta de implementação de um sistema de proteção física utilizando os controles e diretrizes da ABNT ISO/IEC 27002:2005 Faculdade SENAC - DF Pós-graduação em Segurança da Informação Autores Rodrigo Terra de Figueiredo rodrigoterra@yahoo.com.br Edilberto Magalhães Silva edilms@yahoo.com Brasília-DF 2012 Trabalho de Conclusão

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Pós-Graduação em Segurança da Informação, FACSENAC-DF, Brasília-DF. gleycemagalhaes@gmail.com; domsavis@gmail.com; edilms@yahoo.

Pós-Graduação em Segurança da Informação, FACSENAC-DF, Brasília-DF. gleycemagalhaes@gmail.com; domsavis@gmail.com; edilms@yahoo. VISÃO ESTRATÉGICA DA GESTÃO DA SEGURANÇA DA INFORMAÇÃO: UMA ANÁLISE AMBIENTAL DO ENVOLVIMENTO DA ALTA-DIREÇÃO NA FORMULAÇÃO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS EFETIVO. 1 Gleyce Kelly Magalhães de

Leia mais

JONES JOSÉ CORREIA JÚNIOR

JONES JOSÉ CORREIA JÚNIOR Centro Universitário de Brasília Instituto CEUB de Pesquisa e Desenvolvimento - ICPD JONES JOSÉ CORREIA JÚNIOR MODELO PRÁTICO DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO PARA ORGANIZAÇÕES Brasília 2014

Leia mais

RESOLUÇÃO POLÍTICA DE ATUALIZAÇÃO DE EQUIPAMENTOS E SOFTWARES.

RESOLUÇÃO POLÍTICA DE ATUALIZAÇÃO DE EQUIPAMENTOS E SOFTWARES. RESOLUÇÃO CAS Nº 39 /2010, DE 28 DE DEZEMBRO DE 2010 POLÍTICA DE ATUALIZAÇÃO DE EQUIPAMENTOS E SOFTWARES. O CONSELHO DE ADMINISTRAÇÃO SUPERIOR, face ao disposto no Artigo 5º do Regimento Unificado das

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

FACULDADE ERNESTO RISCALI

FACULDADE ERNESTO RISCALI PLANO DE ATUALIZAÇÃO E MANUTENÇÃO DE EQUIPAMENTOS OLÍMPIA 2015 Rua Bruno Riscali Vila Hípica Olímpia (SP) - (17) 3281-1231 CEP: 15400-000 2 PLANO DE ATUALIZAÇÃO E MANUTENÇÃO DOS EQUIPAMENTOS. 1. INTRODUÇÃO

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Contrato de Suporte End.: Telefones:

Contrato de Suporte End.: Telefones: Contrato de Suporte Contrato de Suporte Desafios das empresas no que se refere à infraestrutura de TI Possuir uma infraestrutura de TI que atenda as necessidades da empresa Obter disponibilidade dos recursos

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade...

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Reduzir custo de TI; Identificar lentidões no ambiente de TI Identificar problemas de performance

Leia mais