Políticas de Segurança e Planos de Continuidade de Negócios

Tamanho: px
Começar a partir da página:

Download "Políticas de Segurança e Planos de Continuidade de Negócios"

Transcrição

1 Pós-graduação Segurança da Informação Políticas de Segurança e Planos de Continuidade de Negócios Prof. Edilberto Silva Brasília-DF Abril/2011

2 Sumário I. Introdução e apresentação da disciplina... 4 II. Conceitos básicos Aceitação do risco Ameaça Análise de riscos Avaliação de riscos Ativo Confidencialidade Disponibilidade Gestão de riscos Impacto Incidente Integridade Risco Risco residual Tratamento do risco Vulnerabilidade... 7 III. Diretrizes, normas e procedimentos ISO/IEC 27001: ISO/IEC 27002: ISO/IEC 27005: COBIT 4.1 x ITIL v3 x ISO/IEC COBIT ITIL IV. Metodologia para Implantação de um SGSI A Concepção do Sistema Estabelecimento de uma Política de Segurança da Informação Análise de Risco Gerenciamento de Riscos Seleção dos Controles e Declaração de Aplicabilidade Implementação e Acompanhamento dos Indicadores Auditoria do Sistema V. Comitê de Segurança da Informação VI. PCN - Plano de Continuidade dos Negócios Página 2 de 45

3 6.1 AIN - Análise de Impacto no Negócio Metodologia para desenvolvimento do PCN Plano de Administração de Crise Plano de Continuidade Operacional Plano de Recuperação de Desastres Identificação e Análise de Riscos de Desastres/Ameaças Classificação de Riscos Baseada em pesos relativos Construindo a Avaliação de Risco Fases de um Plano de Recuperação de Desastres Fase de Ativação Fase de Execução Fase de reconstituição Documentação do Plano de Recuperação de Desastres Conteúdo do documento de recuperação de desastres Estratégias de Contingência In-House Contratos com terceiros Cold Site Warm Site Hot Site Local recíproco VII. Auditoria e Controle Controles e Pontos de Controle Processos de Auditoria da Segurança da Informação Gestão do projeto ou do programa de auditoria Decisão sobre o propósito da auditoria Identificação de objetos e pontos de controle Definição de técnicas para obter evidências e procedimentos de controle Montagem da roteirização de auditoria Coleta e registro de evidências em papéis de trabalho Verificação, validação e avaliação de evidências Produção de pareceres e outros entregáveis Acompanhamento pós-auditoria Classificação da Informação segundo Decreto 4.553/ VIII. Referências: Página 3 de 45

4 I. Introdução e apresentação da disciplina Olá! Tudo bem? É com grande satisfação que estaremos juntos em mais uma disciplina. Esta em especial, pois é uma disciplina rica em conceitos e aplicações práticas. Uma disciplina que tenho certeza contribuirá para o desenvolvimento e know how na capacidade e visão gerencial que todo bom gestor de segurança deve possuir, sobretudo na complexidade do tema no atual cenário da Tecnologia da Informação. Um especialista na área de segurança deve estar apto a analisar e gerenciar diversos cenários e conhecer bem as práticas, normativos, leis e técnicas associadas à segurança, afinal o entendimento sobre a importância da segurança da informação caracteriza-se cada vez mais como condição sine qua non na gerência estratégica das organizações, quiçá dos países. A exemplo disto o governo brasileiro criou no Gabinete de Segurança Institucional da Presidência da República o Departamento de Segurança da Informação e Comunicações, a fim de aprimorar e organizar a segurança cibernética, coordenando as atividades de segurança da informação procurando assegurar, dentro do espaço cibernético, ações de segurança da informação e comunicações como fundamentais para a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. Nesta disciplina de Políticas de Segurança e Planos de Continuidade de Negócio vamos juntos aprender e aplicar conceitos relacionados à segurança da informação sob o prisma organizacional, especialmente no desenvolvimento de planos importantes e vitais para organizações no século XXI onde a Segurança da Informação faz parte da chave do sucesso. Na nova conformação da Sociedade da Informação, vale destacar os seguintes fenômenos: a) Elevada convergência tecnológica; b) Aumento significativo de sistemas e redes de informação, bem como da interconexão e interdependência dos mesmos; c) Aumento crescente e bastante substantivo de acesso à Internet e das redes sociais; d) Avanços das tecnologias de informação e comunicação (TICs); e) Aumento das ameaças e das Página 4 de 45

5 vulnerabilidades de segurança cibernética; e, f) Ambientes complexos, com múltiplos atores, diversidade de interesses, e em constantes e rápidas mudanças. Neste cenário desafiador aprenderemos sobre comitê gestor de segurança da informação, auditoria e controle, análise de impacto no negócio, estratégias de contingência, Compliance e políticas de segurança. E desenvolveremos plano de contingência, plano de administração de crise, plano de continuidade operacional e plano de Recuperação de Desastres. Esta disciplina os ajudará a atingir os propósitos do curso onde um especialista em segurança da informação deve estar apto a projetar, implantar e gerenciar soluções que aumentam o sigilo, a integridade e disponibilidade das informações, garantindo um processo contínuo de certificação da segurança às organizações. É nosso foco ainda desenvolver competências para que vocês possam atuar como Analistas de Segurança da Informação e assim analisar riscos, elaborar políticas de segurança e planos de continuidade de negócios bem assim realizar auditorias de sistemas. Diante deste desafio preparei um material com conceitos básicos sobre o assunto e, como não poderia deixar de ser, vamos colocar a mão na massa e elaborar vários documentos a fim de aplicar o conhecimento obtido haja vista que Segurança da informação está em voga. Então vamos lá! Arregacem as mangas! Abram suas mentes! Vamos aprender juntos a desenvolver bons planos de segurança e assim contribuir significativamente para a área de segurança e para nossas vidas! Contem comigo! Bons estudos! Prof. Edilberto Silva :=D Página 5 de 45

6 II. Conceitos básicos 2.1 Aceitação do risco Decisão de aceitar um risco [ABNT ISO/IEC Guia 73:2005] 2.2 Ameaça Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização [ISO/IEC :2004] 2.3 Análise de riscos Guia 73:2005] Uso sistemático de informações para identificar fontes e estimar o risco [ABNT ISO/IEC 2.4 Avaliação de riscos Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco [ABNT ISO/IEC Guia 73:2005]. 2.5 Ativo Qualquer coisa que tenha valor para a organização [ISO/IEC :2004] 2.6 Confidencialidade Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados [ISO/IEC :2004]. 2.7 Disponibilidade Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada [ISO/IEC :2004]. 2.8 Gestão de riscos Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos [ABNT ISO/IEC Guia 73:2005] Página 6 de 45

7 2.9 Impacto Abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio Incidente Fato (evento) decorrente de uma ação de uma ameaça, que explora uma ou mais vulnerabilidades, levando a perda de princípios da segurança da informação Integridade Propriedade de salvaguarda da exatidão e completeza de ativos [ISO/IEC :2004] Risco Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade ou disponibilidade, causando impactos nos negócios. Equação do Risco: 2.13 Risco residual Risco remanescente após o tratamento de riscos [ABNT ISO/IEC Guia 73:2005] Tratamento do risco Processo de seleção e implementação de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005] 2.15 Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Página 7 de 45

8 III. Diretrizes, normas e procedimentos. Faculdade de Tecnologia Senac DF A seguir apresenta-se um resumo pontual sobre as normas ISO/IEC, modelos, boas práticas de serviços e gestão de TI relacionadas e que servirão de apoio em nossa disciplina. O intuito é meramente diferenciar seus objetivos em um arcabouço breve e assim ajudar e deixar mais claro onde utilizar cada um nas atividades a serem desempenhadas em nossa disciplina. 3.1 ISO/IEC 27001:2006 Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho da estrutura organizacional. É esperado que este e os sistemas de apoio mudem com o passar do tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo, uma situação simples requer uma solução de um SGSI simples. Estrutura da ISO 27001: Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 5. Responsabilidades da direção (Comprometimento da direção / Gestão de recursos) 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção (Geral / Entradas para a análise crítica / Saídas da Análise Crítica) 8. Melhoria do SGSI (Melhoria contínua / Ação corretiva / Ação preventiva) A adota o modelo conhecido como PDCA - Plan-Do-Check-Act (figura 1), que é aplicado para estruturar todos os processos do SGSI - Sistema de Gestão de Segurança da Informação. Página 8 de 45

9 Figura 1 Modelo PDCA Plan, Do, Act e Check PDCA na ISO Plan (planejar) (estabelecer o SGSI) Do (fazer) (implementar e operar o SGSI) Check (checar) (monitorar e analisar criticamente o SGSI Act (agir) (manter e melhorar o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Implementar e operar a política, controles, processos e procedimentos do SGSI Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. 3.2 ISO/IEC 27002:2005 A norma ABNT NBR ISO/IEC 27002:2005 evidencia que é imprescindível proteger a informação dos diversos tipos de ameaças existentes com o objetivo de garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio para usuários, empresas e instituições, sejam elas privadas ou públicas. Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Página 9 de 45

10 Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Esta Norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades inter-organizacionais. Estrutura da ISO 27002: Introdução 1. Objetivo 2. Termos e definições 3. Estrutura da norma 4. Análise/avaliação e tratamento de riscos 5. Política de segurança da informação 6. Organizando a segurança da informação 7. Gestão de ativos 8. Segurança em recursos humanos 9. Segurança física e do ambiente 10. Gerenciamento das operações e comunicações 11. Controle de acessos 12. Aquisição, desenvolvimento e manutenção de sistemas 13. Gestão de incidentes de segurança da informação 14. Gestão da continuidade do negócio 15. Conformidade 3.3 ISO/IEC 27005:2008 Esta norma fornece diretrizes para a segurança da informação da gestão de riscos, tendo como objetivo fornecer um guia para a implementação da abordagem de gerenciamento de riscos orientada ao processo, para auxiliar na execução e no cumprimento satisfatório da implementação da gestão de riscos da informação, baseado nos requisitos da norma ISO/IEC Foi elaborada para facilitar uma implementação satisfatória da segurança da informação tendo como base a gestão de riscos. Aplica-se a todos os tipos de organização que pretendam gerir os riscos que poderiam comprometer a segurança da informação da organização. Nesta norma é encontrado um conjunto de técnicas que são empregadas para guiar o gerenciamento dos riscos de segurança, incluindo recomendações sobre a avaliação de riscos, tratamento, aceitação, comunicação, monitoramento e revisão dos riscos. Página 10 de 45

11 Estrutura da ISO 27005: Introdução 2. Escopo 3. Referências Normativas 4. Termos e Definições 5. Organização da Norma 6. Contextualização 7. Visão Geral do Processo de Gestão de Riscos de Segurança da Informação 8. Definição do Contexto 9. Análise/Avaliação de Riscos de SI 10. Tratamento do Risco de SI 11. Aceitação do Risco de SI 12. Comunicação do Risco de SI 13. Monitoramento e Análise Crítica de Riscos de SI Uma visão do gerenciamento de riscos, segundo a ISO , é mostrada na figura 2. Figura 2 Overview do Gerenciamento de Risco ISO Página 11 de 45

12 E o tratamento do Risco, parte do processo de gerenciamento é mostrado na figura 3. Figura 3 Tratamento de Risco na ISO Da mesma forma que na ISO a 27005:2008 também adota o modelo PDCA. PDCA na ISO Plan (planejar) Do (fazer) Check (checar) Act (agir) Estabelecimento do Contexto (Contextualização) Análise/Avaliação do Risco Desenvolvimento do Planejamento de Risco Aceitação do Risco Implementação do Tratamento de Risco Monitoração e Revisão dos Riscos Manutenção e melhoria do Processo de Gerenciamento de Risco da Segurança da Informação Página 12 de 45

13 3.4 COBIT 4.1 x ITIL v3 x ISO/IEC Em 2008 a ISACA (COBIT) e a OGC (ITIL) publicaram um trabalho deveras importante para nossa disciplina quiçá para nosso papel de gestores de TI e de segurança. Trata-se do documento Aligning COBIT 4.1, ITIL V3 and ISO/IEC for Business Benefit 1 que trata sobre o alinhamento do COBIT 4.1, ITIL V3 e ISO / IEC para Benefício Empresarial, traduzindo literalmente. O documento é uma versão atualizada tratando das últimas versões lançadas dos modelos relacionados e que trata sobre aplicação geral das melhores práticas de TI concentrando-se na Governança e Controle de TI, Gestão de Serviços e Gerenciamento da Segurança da Informação. (ISACA, 2008) Sugiro uma leitura no documento oficial, pois acredito que ele é uma fonte de informação extraordinária para os temas que estamos tratando aqui. Para contextualizar melhor, mas sem a pretensão de esgotar as partes mais importantes para nossa disciplina, descrevo a seguir alguns tópicos relevantes COBIT 4.1 O COBIT (Control Objectives for Information Technology) descreve um conjunto de objetivos (objetos) de controle e pontos de controle, típico de Organizações de Tecnologia da Informação. Ressalta-se que nem todos os objetivos declarados no COBIT 4.1 são relacionados à segurança da informação. O modelo, em sua versão 4.1 (ISACA, 2002), apresenta objetivos de controle agrupados em 34 arquétipos de processos de organização de TI. Os 34 processos organizacionais são agrupados em 4 domínios (Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte de Serviços de TI, além do Monitoramento e Avaliação). Os 318 objetivos de controle são subdivididos (implementados) com pontos de controle (chamados no COBIT de práticas de controle). 1 Disponível em Página 13 de 45

14 O COBIT fornece as melhores práticas e ferramentas para monitorar e gerenciar as atividades de TI, ajudando os executivos a compreender e gerir investimentos de TI em todo seu ciclo de vida. Ele fornece um método para avaliar se os serviços de TI e novas iniciativas são susceptíveis de oferecer os benefícios esperados. De forma resumida o COBIT inclui aspectos relacionados à segurança especialmente em: Quanto aos critérios da informação: Confidencialidade, Integridade e Disponibilidade. No domínio PO Planejamento e Organização os processos: P02 - Definir a Arquitetura da Informação, PO4 Definir os Processos, Organização e os Relacionamentos de TI e PO9 Avaliar e Gerenciar os Riscos de TI. No domínio AI Aquisição e Implementação o processo: AI2 Adquirir e Manter Software Aplicativo. No domínio DS Entrega e Suporte os processos: DS4 Assegurar Continuidade de Serviços, DS5 Assegurar a Segurança dos Serviços, DS7 Educar e Treinar os Usuários, DS8 Manage Service Desk and Incidents. A título exemplificativo são mostrados na figura 4 os relacionamentos entre processos, objetivos e métricas do processo DS5 Garantir Segurança dos Serviços. É descrita na figura a relação entre os objetivos de negócios de TI, processos e atividades e suas diferentes métricas, bem como os objetivos em cascata. Abaixo do objetivo está demonstrada a medida de resultados. As setas menores mostram que a mesma métrica é um indicador de performance para um objetivo de maior nível. (ITGI, 2007) Página 14 de 45

15 Figura 4 Relacionamento entre Processos, Objetivos e Métricas (DS5) ITIL 3 Hoje, as organizações dependem de TI para satisfazer seus objetivos corporativos, atender às necessidades de seus negócios e agregar valores aos clientes. Para que isso aconteça de uma forma gerenciável, responsável e repetitivo, as empresas devem garantir que serviços de TI sejam alta qualidade e que sejam fornecidos com as seguintes características: Projetados para acompanhar as necessidades do negócio e requisitos do usuário; Em conformidade com a legislação; Eficiente e eficaz na origem e entrega; Continuamente revisado e aprimorado. Página 15 de 45

16 Figura 5 Parte do mapeamento em alto nível do modelo de serviços do ITIL v3 O Gerenciamento de Serviços de TI está preocupado com o planejamento, projeto, implementação, operação, suporte e melhoria nos serviços de TI que sejam adequados às necessidades de negócios. O Gerenciamento de Serviços de TI é o conjunto de capacidades organizacionais (processos e métodos de trabalho, funções, papéis e atividades) realizadas para prover valor sob a forma de serviços. O Gerenciamento de Serviços é um conjunto de habilidades da organização para fornecer valor para o cliente em forma de serviços (ITIL V3) O ITIL V3 tem um eixo (núcleo) de condução das atividades, o livro de Estratégia de Serviço, que norteia os demais livros / processos, que são: Desenho de Serviço, Transição de Serviço e Operação de Serviço. Circundando todos os processos está o livro de Melhoria Contínua de Serviço. Todos são tidos como fases do ciclo de vida dos serviços, sendo a Estratégia a fase inicial do mesmo sendo distribuídos ao longo do ciclo de vida do serviço de TI. Página 16 de 45

17 A ITIL oferece um abrangente, consistente e coerente framework de melhores práticas para o gerenciamento de serviços e processos, voltado para alcance da eficácia empresarial e eficiência na gestão de serviços. Isto inclui aspectos relacionados à segurança especialmente nos tópicos a seguir. No Desenho de serviços: ISM Gerenciamento de Segurança da Informação e ITSCM - Gerenciamento de Continuidade dos serviços de TI Na Transição de serviços: Gerenciamento de Configuração e de Ativos de Serviço (SACM) especificamente na validação e testes de serviços. A figura 5 mostra uma parte do mapeamento em alto nível do modelo de serviços do ITIL V3, descrevendo a relação entre os serviços mencionados. (ITILV3, 2007) IV. Metodologia para Implantação de um SGSI Martins (MARTINS, 2005) apresenta uma proposta de metodologia para a implantação de um Sistema de Gestão da Segurança da Informação (SGSI). A metodologia é baseada em padrões e normas de segurança tais como: TECSEC: 1985, ISO 15408:1999, ISO/IEC TR 13335:1998, ISO/IEC 17799:2001 e IEC 61508:1998. O estudo apresenta uma metodologia em alto nível com intuito de se tornar uma referência para implantação e acompanhamento de Sistemas de Gestão da Segurança da Informação em organizações. As etapas e normas a elas associadas desta metodologia, bem como os resultados produzidos em cada etapa é apresentada na figura A Concepção do Sistema A etapa inicial, que ocorre antes da realização do primeiro passo da metodologia, corresponde à fase de concepção do sistema. É neste momento em que se determina a viabilidade do projeto, realiza-se o planejamento inicial de suas fases, bem como algumas estimativas iniciais de custo, alocação de pessoal, cronograma, escopo, objetivos e metas. Normalmente, a fase de concepção abrange duas etapas: Diagnóstico da situação atual e Planejamento do SGSI com preparação para a sua implantação Página 17 de 45

18 4.2 Estabelecimento de uma Política de Segurança da Informação Para construir as políticas de segurança da organização, o comitê deve tomar como base os padrões e normas de segurança. A política de segurança é um documento que deve descrever as recomendações, as regras, as responsabilidades e as práticas de segurança. Entretanto, sabe-se que não existe uma Política de Segurança Modelo que possa ser implementada em toda e qualquer organização, pois a política deverá ser moldada à especificidade de cada caso. Nos tópicos V e VI deste texto são tratados sobre o Comitê de Segurança e sobre a PCN - Plano de Continuidade dos Negócios que faz parte da política de Segurança da Informação. 4.3 Análise de Risco Na 3ª etapa é realizado o diagnóstico da segurança para o escopo definido, através da identificação dos ativos de informação envolvidos e do mapeamento de todas as ameaças relacionadas a estes onde para cada ameaça deve ser determinado o nível de risco envolvido. Nessa etapa é estimado o impacto que um determinado risco pode causar ao negócio. Como é praticamente impossível oferecer proteção total contra todas as ameaças existentes, é preciso identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos esforços e os gastos com segurança. Uma vez que os riscos tenham sido identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de fato implementadas. A ISO/IEC 27005:2008 descrita no tópico III descreve os passos para o gerenciamento de riscos que inclui a análise de riscos. Página 18 de 45

19 Figura 6 Metodologia para desenvolvimento de um SGSI Página 19 de 45

20 4.4 Gerenciamento de Riscos Nessa etapa é estimado o impacto que um determinado risco pode causar ao negócio. Como é praticamente impossível oferecer proteção total contra todas as ameaças existentes, é preciso identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos esforços e os gastos com segurança. Uma vez que os riscos tenham sido identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de fato implementadas. A ISO/IEC 27005:2008 descrita no tópico III descreve os passos para o gerenciamento de riscos que inclui a análise de riscos. 4.5 Seleção dos Controles e Declaração de Aplicabilidade Após a identificação dos requisitos de segurança, convêm que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. A ISO 27001:2006 provê os controles aplicáveis a esta etapa visto que são relacionados diretamente à gestão de segurança da informação. Como não basta instituir uma série de regras a serem cumpridas internamente é necessário estabelecer procedimentos e controles para o acesso de parceiros externos à corporação, como por exemplo: definição de convênios para acesso às bases corporativas e da política de uso da intranet e Internet; definição de modelo de identificação de pirataria; de gerenciamento de rede; de distribuição de versões de software e de padrões Internet; detecção de inatividade de modems ligados à rede; definição do padrão de atualização de antivírus e do acesso de empregados ao provedor corporativo; padronização do portal institucional e do site comercial; implantação, roteamento, criptografia, certificação digital, configuração de firewall, dentre outras ferramentas e tecnologias necessárias. Após sua definição, os controles devem ser implementados dentro do escopo estabelecido, seguindo as informações geradas durante o processo de análise de riscos, tomando o cuidado de sempre manter o foco nos propósitos do negócio, evitando prejudicar, inviabilizando ou retardando demasiadamente, a atividade fim da organização Página 20 de 45

21 4.6 Implementação e Acompanhamento dos Indicadores Os processos de implantação de contramedidas e de diretivas de segurança ocorrem durante toda a fase de implantação da metodologia. Em seguida, deve ocorrer um processo de acompanhamento de todos os controles implementados e, para isso, é necessária a produção de indicadores específicos que possibilitem visualizar as condições de funcionamento e desempenho do ambiente analisado. A implementação dos controles selecionados pode envolver a aquisição de tecnologia de software e/ou hardware (custos adicionais), mas em alguns casos, essa implementação resulta apenas na criação de padrões e normas internas a serem obedecidas. 4.7 Auditoria do Sistema As auditorias internas do SGSI têm a finalidade de verificar, com base em evidências objetivas, se as seguintes condições ocorrem satisfatoriamente: Os procedimentos e instruções operacionais são adequados e eficazes. Os setores da Empresa vêm atuando em concordância com os documentos normativos. Os subsídios fornecidos são suficientes para elaboração dos relatórios periódicos de análise crítica do SGSI. Para que as auditorias internas ocorram com eficácia, recomenda-se que alguns princípios sejam seguidos, como por exemplo, a independência dos auditores, o planejamento e notificação prévios, o aprimoramento contínuo do SGSI e a busca de constatações e observações que agreguem valores às atividades referentes à segurança da informação, aos objetivos e metas da organização e às suas políticas. A auditoria é discutida no tópico VII Auditoria e controle deste texto. Página 21 de 45

22 V. Comitê de Segurança da Informação Faculdade de Tecnologia Senac DF O sucesso de um Projeto Organizacional e seus desmembramentos inclui a adoção e gestão da Segurança da Informação que começa com o comprometimento de todos os setores da organização com a política de Segurança da Informação a ser implantada. Este comprometimento pode ser obtido através da criação de um comitê ou fórum de segurança da informação, que deve se encontrar regularmente a fim de balizar e respaldar o trabalho do CSO Chief Information Security Officer que é executivo responsável pela segurança da informação da organização inteira, tanto física como lógica. (SEMOLA, 2003) O CSO dentre outras tarefas é responsável por supervisionar e coordenar os esforços de segurança em toda a empresa, incluindo as áreas de tecnologia da informação, recursos humanos, comunicação, jurídica, gestão de instalações e de outros grupos, e identificar iniciativas de segurança e padrões definidos para a organização. (SEMOLA, 2003a) Em linhas gerais, o CSO tem um perfil executivo, tomando partido das decisões macro estratégicas da companhia e participando ativamente da modelagem do SGSI - Sistema de Gestão de Segurança. Este papel deve ser gerenciado no nível estratégico, envolvendo a cúpula da alta direção, com adequado planejamento alinhado às normas como ISO/IEC 27001, e 27005, visando adequar-se as conformidades, como por exemplo, Sarbanes-Oxley. Uma das funções principais deste comitê é definir o nível de risco aceitável pela organização. Dependendo do tamanho da organização, além deste comitê, é recomendada a criação de um departamento de segurança da informação, sob responsabilidade do CSO - Chief Security Officer. Algumas organizações podem ter também uma diretoria de segurança que engloba as áreas de segurança física ou patrimonial e segurança lógica. Seja qual for o modelo usado, é indispensável que o CSO tenha visibilidade em toda a organização. A inexistência do comitê afastará o departamento de segurança das decisões estratégicas, fazendo com que este se torne um departamento meramente operacional da área de Tecnologia da Informação. Página 22 de 45

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

BANCO CENTRAL DO BRASIL 2009/2010

BANCO CENTRAL DO BRASIL 2009/2010 BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

IMPLANTAÇÃO DE GOVERNANÇA DE TI

IMPLANTAÇÃO DE GOVERNANÇA DE TI 1 IMPLANTAÇÃO DE GOVERNANÇA DE TI André Luiz Guimarães dos Reis 1 1 João Souza Neto 2 1 Tomas Roberto C. Orlandi 3 1 andrer@correios.com.br szneto@correios.com.br tomasroberto@correios.com.br 1 Empresa

Leia mais

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 O SECRETÁRIO DE TECNOLOGIA DA INFORMAÇÃO DO TRIBUNAL SUPERIOR DO TRABALHO, no

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Continuidade do Negócio

Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Continuidade do Negócio Tópico 30 e 31 Plano de Continuidade dos Negócios (PCN) Plano de Continuidade de Negócios (PCN). Metodologia de levantamento de requisitos para o plano. Métodos de construção do documento. 2 Continuidade

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA. Levantamento da Gestão de TIC

Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA. Levantamento da Gestão de TIC Relatório de Consultoria PD.33.10.83A.0080A/RT-05-AA Levantamento da Gestão de TIC Cotação: 23424/09 Cliente: PRODABEL Contato: Carlos Bizzoto E-mail: cbizz@pbh.gov.br Endereço: Avenida Presidente Carlos

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações CobIT Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações Eduardo Mayer Fagundes Copyright(c)2008 por Eduardo Mayer Fagundes 1 Agenda 1. Princípio de Gestão Empresarial

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com)

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com) Conceitos Básicos e Implementação Pref. Mun. Vitória 2007 Analista de Suporte 120 A ITIL (information technology infrastructure library) visa documentar as melhores práticas na gerência, no suporte e na

Leia mais

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação Ministério da Saúde Departamento de Informática do SUS DATASUS Segurança da Informação e Comunicação Conceitos : Disponibilidade Segurança da Informação Significa estar acessível e utilizável quando demandado

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000).

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000). Segurança em Redes de Computadores e Auditoria de Sistemas Emanuel Rebouças, MBA AGENDA AULA 4 & 5 Objetivo: Avaliar as melhores práticas do mercado na área de Segurança da Informação e como aplicá-las

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos.

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos. ITIL V3 Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender o gerenciamento de riscos. Porquê Governança? Porque suas ações e seus requisitos

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI 1. PI06 TI 1.1. Processos a serem Atendidos pelos APLICATIVOS DESENVOLVIDOS Os seguintes processos do MACROPROCESSO

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS

ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS CAPÍTULO 1 INTRODUÇÃO ITIL V3 1.1. Introdução ao gerenciamento de serviços. Devemos ressaltar que nos últimos anos, muitos profissionais da

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição outubro 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Governança de TIC. CobiT 4.1

Governança de TIC. CobiT 4.1 Governança de TIC CobiT 4.1 Conceitos Governança: A expressão governar tem origem na expressão navegar... E o que quem navega faz? Ele faz um mapa, dá a direção, faz as regras de convivência. Tomáz de

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Manual de Gestão de Crises para Relações com Investidores Comunicação e estratégia para a preservação de valor

Manual de Gestão de Crises para Relações com Investidores Comunicação e estratégia para a preservação de valor Manual de Gestão de Crises para Relações com Investidores Comunicação e estratégia para a preservação de valor Sumário 1. Introdução... 2 2. Operação padrão (dia a dia) versus cenários de crise... 2 3.

Leia mais

ivirtua Solutions 4 ITIL

ivirtua Solutions 4 ITIL ivirtua Solutions 4 ITIL ivirtua Solutions ITIL WHITEPAPER ITIL INTRODUÇÃO O ITIL é o modelo de referência para endereçar estruturas de processos e procedimentos à gestão de TI, organizado em disciplinas

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial.

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial. Governança Corporativa A importância da Governança de TI e Segurança da Informação na estratégia empresarial. A virtualização dos negócios tem impactado diretamente a condição de fazer negócio, conferindo

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

Por que utilizar o modelo ITIL

Por que utilizar o modelo ITIL Por que utilizar o modelo ITIL... O que não é definido não pode ser controlado... O que não é controlado não pode ser medido... O que não é medido não pode ser melhorado Empregado para definir, controlar,

Leia mais

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração.

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração. Cobit e ITIL GOVERNANÇA, GP - RISCO, GP PROJETOS - PMP, SEGURANÇA DAIANA BUENO OUTUBRO 20, 2010 AT 8:00 3.496 visualizações Atualmente, as empresas estão com seus processos internos cada vez mais dependentes

Leia mais

Governança. Sistemas de Informação 8º Período Prof: Mafran Oliveira

Governança. Sistemas de Informação 8º Período Prof: Mafran Oliveira Governança Sistemas de Informação 8º Período Prof: Mafran Oliveira 1 Definição de Governança Governança Corporativa: É a Estrutura que identifica os objetivos de uma organização e de que forma pode-se

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Manual de Gestão de Crises para Relações com Investidores Comunicação e estratégia para a preservação de valor

Manual de Gestão de Crises para Relações com Investidores Comunicação e estratégia para a preservação de valor Manual de Gestão de Crises para Relações com Investidores Comunicação e estratégia para a preservação de valor Sumário Introdução... 02 Operação padrão (dia a dia) versus cenários de crise... 03 A relevância

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

A experiência de quem trouxe a internet para o Brasil agora mais perto de você

A experiência de quem trouxe a internet para o Brasil agora mais perto de você A experiência de quem trouxe a internet para o Brasil agora mais perto de você A Escola A Escola Superior de Redes da RNP privilegia um ensino totalmente prático. Os laboratórios são montados de forma

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais