Políticas de Segurança e Planos de Continuidade de Negócios

Tamanho: px
Começar a partir da página:

Download "Políticas de Segurança e Planos de Continuidade de Negócios"

Transcrição

1 Pós-graduação Segurança da Informação Políticas de Segurança e Planos de Continuidade de Negócios Prof. Edilberto Silva Brasília-DF Abril/2011

2 Sumário I. Introdução e apresentação da disciplina... 4 II. Conceitos básicos Aceitação do risco Ameaça Análise de riscos Avaliação de riscos Ativo Confidencialidade Disponibilidade Gestão de riscos Impacto Incidente Integridade Risco Risco residual Tratamento do risco Vulnerabilidade... 7 III. Diretrizes, normas e procedimentos ISO/IEC 27001: ISO/IEC 27002: ISO/IEC 27005: COBIT 4.1 x ITIL v3 x ISO/IEC COBIT ITIL IV. Metodologia para Implantação de um SGSI A Concepção do Sistema Estabelecimento de uma Política de Segurança da Informação Análise de Risco Gerenciamento de Riscos Seleção dos Controles e Declaração de Aplicabilidade Implementação e Acompanhamento dos Indicadores Auditoria do Sistema V. Comitê de Segurança da Informação VI. PCN - Plano de Continuidade dos Negócios Página 2 de 45

3 6.1 AIN - Análise de Impacto no Negócio Metodologia para desenvolvimento do PCN Plano de Administração de Crise Plano de Continuidade Operacional Plano de Recuperação de Desastres Identificação e Análise de Riscos de Desastres/Ameaças Classificação de Riscos Baseada em pesos relativos Construindo a Avaliação de Risco Fases de um Plano de Recuperação de Desastres Fase de Ativação Fase de Execução Fase de reconstituição Documentação do Plano de Recuperação de Desastres Conteúdo do documento de recuperação de desastres Estratégias de Contingência In-House Contratos com terceiros Cold Site Warm Site Hot Site Local recíproco VII. Auditoria e Controle Controles e Pontos de Controle Processos de Auditoria da Segurança da Informação Gestão do projeto ou do programa de auditoria Decisão sobre o propósito da auditoria Identificação de objetos e pontos de controle Definição de técnicas para obter evidências e procedimentos de controle Montagem da roteirização de auditoria Coleta e registro de evidências em papéis de trabalho Verificação, validação e avaliação de evidências Produção de pareceres e outros entregáveis Acompanhamento pós-auditoria Classificação da Informação segundo Decreto 4.553/ VIII. Referências: Página 3 de 45

4 I. Introdução e apresentação da disciplina Olá! Tudo bem? É com grande satisfação que estaremos juntos em mais uma disciplina. Esta em especial, pois é uma disciplina rica em conceitos e aplicações práticas. Uma disciplina que tenho certeza contribuirá para o desenvolvimento e know how na capacidade e visão gerencial que todo bom gestor de segurança deve possuir, sobretudo na complexidade do tema no atual cenário da Tecnologia da Informação. Um especialista na área de segurança deve estar apto a analisar e gerenciar diversos cenários e conhecer bem as práticas, normativos, leis e técnicas associadas à segurança, afinal o entendimento sobre a importância da segurança da informação caracteriza-se cada vez mais como condição sine qua non na gerência estratégica das organizações, quiçá dos países. A exemplo disto o governo brasileiro criou no Gabinete de Segurança Institucional da Presidência da República o Departamento de Segurança da Informação e Comunicações, a fim de aprimorar e organizar a segurança cibernética, coordenando as atividades de segurança da informação procurando assegurar, dentro do espaço cibernético, ações de segurança da informação e comunicações como fundamentais para a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. Nesta disciplina de Políticas de Segurança e Planos de Continuidade de Negócio vamos juntos aprender e aplicar conceitos relacionados à segurança da informação sob o prisma organizacional, especialmente no desenvolvimento de planos importantes e vitais para organizações no século XXI onde a Segurança da Informação faz parte da chave do sucesso. Na nova conformação da Sociedade da Informação, vale destacar os seguintes fenômenos: a) Elevada convergência tecnológica; b) Aumento significativo de sistemas e redes de informação, bem como da interconexão e interdependência dos mesmos; c) Aumento crescente e bastante substantivo de acesso à Internet e das redes sociais; d) Avanços das tecnologias de informação e comunicação (TICs); e) Aumento das ameaças e das Página 4 de 45

5 vulnerabilidades de segurança cibernética; e, f) Ambientes complexos, com múltiplos atores, diversidade de interesses, e em constantes e rápidas mudanças. Neste cenário desafiador aprenderemos sobre comitê gestor de segurança da informação, auditoria e controle, análise de impacto no negócio, estratégias de contingência, Compliance e políticas de segurança. E desenvolveremos plano de contingência, plano de administração de crise, plano de continuidade operacional e plano de Recuperação de Desastres. Esta disciplina os ajudará a atingir os propósitos do curso onde um especialista em segurança da informação deve estar apto a projetar, implantar e gerenciar soluções que aumentam o sigilo, a integridade e disponibilidade das informações, garantindo um processo contínuo de certificação da segurança às organizações. É nosso foco ainda desenvolver competências para que vocês possam atuar como Analistas de Segurança da Informação e assim analisar riscos, elaborar políticas de segurança e planos de continuidade de negócios bem assim realizar auditorias de sistemas. Diante deste desafio preparei um material com conceitos básicos sobre o assunto e, como não poderia deixar de ser, vamos colocar a mão na massa e elaborar vários documentos a fim de aplicar o conhecimento obtido haja vista que Segurança da informação está em voga. Então vamos lá! Arregacem as mangas! Abram suas mentes! Vamos aprender juntos a desenvolver bons planos de segurança e assim contribuir significativamente para a área de segurança e para nossas vidas! Contem comigo! Bons estudos! Prof. Edilberto Silva :=D Página 5 de 45

6 II. Conceitos básicos 2.1 Aceitação do risco Decisão de aceitar um risco [ABNT ISO/IEC Guia 73:2005] 2.2 Ameaça Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização [ISO/IEC :2004] 2.3 Análise de riscos Guia 73:2005] Uso sistemático de informações para identificar fontes e estimar o risco [ABNT ISO/IEC 2.4 Avaliação de riscos Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco [ABNT ISO/IEC Guia 73:2005]. 2.5 Ativo Qualquer coisa que tenha valor para a organização [ISO/IEC :2004] 2.6 Confidencialidade Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados [ISO/IEC :2004]. 2.7 Disponibilidade Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada [ISO/IEC :2004]. 2.8 Gestão de riscos Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos [ABNT ISO/IEC Guia 73:2005] Página 6 de 45

7 2.9 Impacto Abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio Incidente Fato (evento) decorrente de uma ação de uma ameaça, que explora uma ou mais vulnerabilidades, levando a perda de princípios da segurança da informação Integridade Propriedade de salvaguarda da exatidão e completeza de ativos [ISO/IEC :2004] Risco Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade ou disponibilidade, causando impactos nos negócios. Equação do Risco: 2.13 Risco residual Risco remanescente após o tratamento de riscos [ABNT ISO/IEC Guia 73:2005] Tratamento do risco Processo de seleção e implementação de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005] 2.15 Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Página 7 de 45

8 III. Diretrizes, normas e procedimentos. Faculdade de Tecnologia Senac DF A seguir apresenta-se um resumo pontual sobre as normas ISO/IEC, modelos, boas práticas de serviços e gestão de TI relacionadas e que servirão de apoio em nossa disciplina. O intuito é meramente diferenciar seus objetivos em um arcabouço breve e assim ajudar e deixar mais claro onde utilizar cada um nas atividades a serem desempenhadas em nossa disciplina. 3.1 ISO/IEC 27001:2006 Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho da estrutura organizacional. É esperado que este e os sistemas de apoio mudem com o passar do tempo. É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo, uma situação simples requer uma solução de um SGSI simples. Estrutura da ISO 27001: Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 5. Responsabilidades da direção (Comprometimento da direção / Gestão de recursos) 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção (Geral / Entradas para a análise crítica / Saídas da Análise Crítica) 8. Melhoria do SGSI (Melhoria contínua / Ação corretiva / Ação preventiva) A adota o modelo conhecido como PDCA - Plan-Do-Check-Act (figura 1), que é aplicado para estruturar todos os processos do SGSI - Sistema de Gestão de Segurança da Informação. Página 8 de 45

9 Figura 1 Modelo PDCA Plan, Do, Act e Check PDCA na ISO Plan (planejar) (estabelecer o SGSI) Do (fazer) (implementar e operar o SGSI) Check (checar) (monitorar e analisar criticamente o SGSI Act (agir) (manter e melhorar o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Implementar e operar a política, controles, processos e procedimentos do SGSI Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. 3.2 ISO/IEC 27002:2005 A norma ABNT NBR ISO/IEC 27002:2005 evidencia que é imprescindível proteger a informação dos diversos tipos de ameaças existentes com o objetivo de garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio para usuários, empresas e instituições, sejam elas privadas ou públicas. Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Página 9 de 45

10 Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Esta Norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades inter-organizacionais. Estrutura da ISO 27002: Introdução 1. Objetivo 2. Termos e definições 3. Estrutura da norma 4. Análise/avaliação e tratamento de riscos 5. Política de segurança da informação 6. Organizando a segurança da informação 7. Gestão de ativos 8. Segurança em recursos humanos 9. Segurança física e do ambiente 10. Gerenciamento das operações e comunicações 11. Controle de acessos 12. Aquisição, desenvolvimento e manutenção de sistemas 13. Gestão de incidentes de segurança da informação 14. Gestão da continuidade do negócio 15. Conformidade 3.3 ISO/IEC 27005:2008 Esta norma fornece diretrizes para a segurança da informação da gestão de riscos, tendo como objetivo fornecer um guia para a implementação da abordagem de gerenciamento de riscos orientada ao processo, para auxiliar na execução e no cumprimento satisfatório da implementação da gestão de riscos da informação, baseado nos requisitos da norma ISO/IEC Foi elaborada para facilitar uma implementação satisfatória da segurança da informação tendo como base a gestão de riscos. Aplica-se a todos os tipos de organização que pretendam gerir os riscos que poderiam comprometer a segurança da informação da organização. Nesta norma é encontrado um conjunto de técnicas que são empregadas para guiar o gerenciamento dos riscos de segurança, incluindo recomendações sobre a avaliação de riscos, tratamento, aceitação, comunicação, monitoramento e revisão dos riscos. Página 10 de 45

11 Estrutura da ISO 27005: Introdução 2. Escopo 3. Referências Normativas 4. Termos e Definições 5. Organização da Norma 6. Contextualização 7. Visão Geral do Processo de Gestão de Riscos de Segurança da Informação 8. Definição do Contexto 9. Análise/Avaliação de Riscos de SI 10. Tratamento do Risco de SI 11. Aceitação do Risco de SI 12. Comunicação do Risco de SI 13. Monitoramento e Análise Crítica de Riscos de SI Uma visão do gerenciamento de riscos, segundo a ISO , é mostrada na figura 2. Figura 2 Overview do Gerenciamento de Risco ISO Página 11 de 45

12 E o tratamento do Risco, parte do processo de gerenciamento é mostrado na figura 3. Figura 3 Tratamento de Risco na ISO Da mesma forma que na ISO a 27005:2008 também adota o modelo PDCA. PDCA na ISO Plan (planejar) Do (fazer) Check (checar) Act (agir) Estabelecimento do Contexto (Contextualização) Análise/Avaliação do Risco Desenvolvimento do Planejamento de Risco Aceitação do Risco Implementação do Tratamento de Risco Monitoração e Revisão dos Riscos Manutenção e melhoria do Processo de Gerenciamento de Risco da Segurança da Informação Página 12 de 45

13 3.4 COBIT 4.1 x ITIL v3 x ISO/IEC Em 2008 a ISACA (COBIT) e a OGC (ITIL) publicaram um trabalho deveras importante para nossa disciplina quiçá para nosso papel de gestores de TI e de segurança. Trata-se do documento Aligning COBIT 4.1, ITIL V3 and ISO/IEC for Business Benefit 1 que trata sobre o alinhamento do COBIT 4.1, ITIL V3 e ISO / IEC para Benefício Empresarial, traduzindo literalmente. O documento é uma versão atualizada tratando das últimas versões lançadas dos modelos relacionados e que trata sobre aplicação geral das melhores práticas de TI concentrando-se na Governança e Controle de TI, Gestão de Serviços e Gerenciamento da Segurança da Informação. (ISACA, 2008) Sugiro uma leitura no documento oficial, pois acredito que ele é uma fonte de informação extraordinária para os temas que estamos tratando aqui. Para contextualizar melhor, mas sem a pretensão de esgotar as partes mais importantes para nossa disciplina, descrevo a seguir alguns tópicos relevantes COBIT 4.1 O COBIT (Control Objectives for Information Technology) descreve um conjunto de objetivos (objetos) de controle e pontos de controle, típico de Organizações de Tecnologia da Informação. Ressalta-se que nem todos os objetivos declarados no COBIT 4.1 são relacionados à segurança da informação. O modelo, em sua versão 4.1 (ISACA, 2002), apresenta objetivos de controle agrupados em 34 arquétipos de processos de organização de TI. Os 34 processos organizacionais são agrupados em 4 domínios (Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte de Serviços de TI, além do Monitoramento e Avaliação). Os 318 objetivos de controle são subdivididos (implementados) com pontos de controle (chamados no COBIT de práticas de controle). 1 Disponível em Página 13 de 45

14 O COBIT fornece as melhores práticas e ferramentas para monitorar e gerenciar as atividades de TI, ajudando os executivos a compreender e gerir investimentos de TI em todo seu ciclo de vida. Ele fornece um método para avaliar se os serviços de TI e novas iniciativas são susceptíveis de oferecer os benefícios esperados. De forma resumida o COBIT inclui aspectos relacionados à segurança especialmente em: Quanto aos critérios da informação: Confidencialidade, Integridade e Disponibilidade. No domínio PO Planejamento e Organização os processos: P02 - Definir a Arquitetura da Informação, PO4 Definir os Processos, Organização e os Relacionamentos de TI e PO9 Avaliar e Gerenciar os Riscos de TI. No domínio AI Aquisição e Implementação o processo: AI2 Adquirir e Manter Software Aplicativo. No domínio DS Entrega e Suporte os processos: DS4 Assegurar Continuidade de Serviços, DS5 Assegurar a Segurança dos Serviços, DS7 Educar e Treinar os Usuários, DS8 Manage Service Desk and Incidents. A título exemplificativo são mostrados na figura 4 os relacionamentos entre processos, objetivos e métricas do processo DS5 Garantir Segurança dos Serviços. É descrita na figura a relação entre os objetivos de negócios de TI, processos e atividades e suas diferentes métricas, bem como os objetivos em cascata. Abaixo do objetivo está demonstrada a medida de resultados. As setas menores mostram que a mesma métrica é um indicador de performance para um objetivo de maior nível. (ITGI, 2007) Página 14 de 45

15 Figura 4 Relacionamento entre Processos, Objetivos e Métricas (DS5) ITIL 3 Hoje, as organizações dependem de TI para satisfazer seus objetivos corporativos, atender às necessidades de seus negócios e agregar valores aos clientes. Para que isso aconteça de uma forma gerenciável, responsável e repetitivo, as empresas devem garantir que serviços de TI sejam alta qualidade e que sejam fornecidos com as seguintes características: Projetados para acompanhar as necessidades do negócio e requisitos do usuário; Em conformidade com a legislação; Eficiente e eficaz na origem e entrega; Continuamente revisado e aprimorado. Página 15 de 45

16 Figura 5 Parte do mapeamento em alto nível do modelo de serviços do ITIL v3 O Gerenciamento de Serviços de TI está preocupado com o planejamento, projeto, implementação, operação, suporte e melhoria nos serviços de TI que sejam adequados às necessidades de negócios. O Gerenciamento de Serviços de TI é o conjunto de capacidades organizacionais (processos e métodos de trabalho, funções, papéis e atividades) realizadas para prover valor sob a forma de serviços. O Gerenciamento de Serviços é um conjunto de habilidades da organização para fornecer valor para o cliente em forma de serviços (ITIL V3) O ITIL V3 tem um eixo (núcleo) de condução das atividades, o livro de Estratégia de Serviço, que norteia os demais livros / processos, que são: Desenho de Serviço, Transição de Serviço e Operação de Serviço. Circundando todos os processos está o livro de Melhoria Contínua de Serviço. Todos são tidos como fases do ciclo de vida dos serviços, sendo a Estratégia a fase inicial do mesmo sendo distribuídos ao longo do ciclo de vida do serviço de TI. Página 16 de 45

17 A ITIL oferece um abrangente, consistente e coerente framework de melhores práticas para o gerenciamento de serviços e processos, voltado para alcance da eficácia empresarial e eficiência na gestão de serviços. Isto inclui aspectos relacionados à segurança especialmente nos tópicos a seguir. No Desenho de serviços: ISM Gerenciamento de Segurança da Informação e ITSCM - Gerenciamento de Continuidade dos serviços de TI Na Transição de serviços: Gerenciamento de Configuração e de Ativos de Serviço (SACM) especificamente na validação e testes de serviços. A figura 5 mostra uma parte do mapeamento em alto nível do modelo de serviços do ITIL V3, descrevendo a relação entre os serviços mencionados. (ITILV3, 2007) IV. Metodologia para Implantação de um SGSI Martins (MARTINS, 2005) apresenta uma proposta de metodologia para a implantação de um Sistema de Gestão da Segurança da Informação (SGSI). A metodologia é baseada em padrões e normas de segurança tais como: TECSEC: 1985, ISO 15408:1999, ISO/IEC TR 13335:1998, ISO/IEC 17799:2001 e IEC 61508:1998. O estudo apresenta uma metodologia em alto nível com intuito de se tornar uma referência para implantação e acompanhamento de Sistemas de Gestão da Segurança da Informação em organizações. As etapas e normas a elas associadas desta metodologia, bem como os resultados produzidos em cada etapa é apresentada na figura A Concepção do Sistema A etapa inicial, que ocorre antes da realização do primeiro passo da metodologia, corresponde à fase de concepção do sistema. É neste momento em que se determina a viabilidade do projeto, realiza-se o planejamento inicial de suas fases, bem como algumas estimativas iniciais de custo, alocação de pessoal, cronograma, escopo, objetivos e metas. Normalmente, a fase de concepção abrange duas etapas: Diagnóstico da situação atual e Planejamento do SGSI com preparação para a sua implantação Página 17 de 45

18 4.2 Estabelecimento de uma Política de Segurança da Informação Para construir as políticas de segurança da organização, o comitê deve tomar como base os padrões e normas de segurança. A política de segurança é um documento que deve descrever as recomendações, as regras, as responsabilidades e as práticas de segurança. Entretanto, sabe-se que não existe uma Política de Segurança Modelo que possa ser implementada em toda e qualquer organização, pois a política deverá ser moldada à especificidade de cada caso. Nos tópicos V e VI deste texto são tratados sobre o Comitê de Segurança e sobre a PCN - Plano de Continuidade dos Negócios que faz parte da política de Segurança da Informação. 4.3 Análise de Risco Na 3ª etapa é realizado o diagnóstico da segurança para o escopo definido, através da identificação dos ativos de informação envolvidos e do mapeamento de todas as ameaças relacionadas a estes onde para cada ameaça deve ser determinado o nível de risco envolvido. Nessa etapa é estimado o impacto que um determinado risco pode causar ao negócio. Como é praticamente impossível oferecer proteção total contra todas as ameaças existentes, é preciso identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos esforços e os gastos com segurança. Uma vez que os riscos tenham sido identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de fato implementadas. A ISO/IEC 27005:2008 descrita no tópico III descreve os passos para o gerenciamento de riscos que inclui a análise de riscos. Página 18 de 45

19 Figura 6 Metodologia para desenvolvimento de um SGSI Página 19 de 45

20 4.4 Gerenciamento de Riscos Nessa etapa é estimado o impacto que um determinado risco pode causar ao negócio. Como é praticamente impossível oferecer proteção total contra todas as ameaças existentes, é preciso identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos esforços e os gastos com segurança. Uma vez que os riscos tenham sido identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de fato implementadas. A ISO/IEC 27005:2008 descrita no tópico III descreve os passos para o gerenciamento de riscos que inclui a análise de riscos. 4.5 Seleção dos Controles e Declaração de Aplicabilidade Após a identificação dos requisitos de segurança, convêm que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. A ISO 27001:2006 provê os controles aplicáveis a esta etapa visto que são relacionados diretamente à gestão de segurança da informação. Como não basta instituir uma série de regras a serem cumpridas internamente é necessário estabelecer procedimentos e controles para o acesso de parceiros externos à corporação, como por exemplo: definição de convênios para acesso às bases corporativas e da política de uso da intranet e Internet; definição de modelo de identificação de pirataria; de gerenciamento de rede; de distribuição de versões de software e de padrões Internet; detecção de inatividade de modems ligados à rede; definição do padrão de atualização de antivírus e do acesso de empregados ao provedor corporativo; padronização do portal institucional e do site comercial; implantação, roteamento, criptografia, certificação digital, configuração de firewall, dentre outras ferramentas e tecnologias necessárias. Após sua definição, os controles devem ser implementados dentro do escopo estabelecido, seguindo as informações geradas durante o processo de análise de riscos, tomando o cuidado de sempre manter o foco nos propósitos do negócio, evitando prejudicar, inviabilizando ou retardando demasiadamente, a atividade fim da organização Página 20 de 45

21 4.6 Implementação e Acompanhamento dos Indicadores Os processos de implantação de contramedidas e de diretivas de segurança ocorrem durante toda a fase de implantação da metodologia. Em seguida, deve ocorrer um processo de acompanhamento de todos os controles implementados e, para isso, é necessária a produção de indicadores específicos que possibilitem visualizar as condições de funcionamento e desempenho do ambiente analisado. A implementação dos controles selecionados pode envolver a aquisição de tecnologia de software e/ou hardware (custos adicionais), mas em alguns casos, essa implementação resulta apenas na criação de padrões e normas internas a serem obedecidas. 4.7 Auditoria do Sistema As auditorias internas do SGSI têm a finalidade de verificar, com base em evidências objetivas, se as seguintes condições ocorrem satisfatoriamente: Os procedimentos e instruções operacionais são adequados e eficazes. Os setores da Empresa vêm atuando em concordância com os documentos normativos. Os subsídios fornecidos são suficientes para elaboração dos relatórios periódicos de análise crítica do SGSI. Para que as auditorias internas ocorram com eficácia, recomenda-se que alguns princípios sejam seguidos, como por exemplo, a independência dos auditores, o planejamento e notificação prévios, o aprimoramento contínuo do SGSI e a busca de constatações e observações que agreguem valores às atividades referentes à segurança da informação, aos objetivos e metas da organização e às suas políticas. A auditoria é discutida no tópico VII Auditoria e controle deste texto. Página 21 de 45

22 V. Comitê de Segurança da Informação Faculdade de Tecnologia Senac DF O sucesso de um Projeto Organizacional e seus desmembramentos inclui a adoção e gestão da Segurança da Informação que começa com o comprometimento de todos os setores da organização com a política de Segurança da Informação a ser implantada. Este comprometimento pode ser obtido através da criação de um comitê ou fórum de segurança da informação, que deve se encontrar regularmente a fim de balizar e respaldar o trabalho do CSO Chief Information Security Officer que é executivo responsável pela segurança da informação da organização inteira, tanto física como lógica. (SEMOLA, 2003) O CSO dentre outras tarefas é responsável por supervisionar e coordenar os esforços de segurança em toda a empresa, incluindo as áreas de tecnologia da informação, recursos humanos, comunicação, jurídica, gestão de instalações e de outros grupos, e identificar iniciativas de segurança e padrões definidos para a organização. (SEMOLA, 2003a) Em linhas gerais, o CSO tem um perfil executivo, tomando partido das decisões macro estratégicas da companhia e participando ativamente da modelagem do SGSI - Sistema de Gestão de Segurança. Este papel deve ser gerenciado no nível estratégico, envolvendo a cúpula da alta direção, com adequado planejamento alinhado às normas como ISO/IEC 27001, e 27005, visando adequar-se as conformidades, como por exemplo, Sarbanes-Oxley. Uma das funções principais deste comitê é definir o nível de risco aceitável pela organização. Dependendo do tamanho da organização, além deste comitê, é recomendada a criação de um departamento de segurança da informação, sob responsabilidade do CSO - Chief Security Officer. Algumas organizações podem ter também uma diretoria de segurança que engloba as áreas de segurança física ou patrimonial e segurança lógica. Seja qual for o modelo usado, é indispensável que o CSO tenha visibilidade em toda a organização. A inexistência do comitê afastará o departamento de segurança das decisões estratégicas, fazendo com que este se torne um departamento meramente operacional da área de Tecnologia da Informação. Página 22 de 45

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI 1. PI06 TI 1.1. Processos a serem Atendidos pelos APLICATIVOS DESENVOLVIDOS Os seguintes processos do MACROPROCESSO

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

BANCO CENTRAL DO BRASIL 2009/2010

BANCO CENTRAL DO BRASIL 2009/2010 BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção

Leia mais

Estrutura da Gestão de Risco Operacional

Estrutura da Gestão de Risco Operacional Conceito No Brasil a Resolução n.º 3380, emitida pelo BACEN em 29 de junho de 2006, seguindo as diretrizes estabelecidas pelo Conselho Monetário Nacional, definiu como: A possibilidade de ocorrência de

Leia mais

Governança de TI. ITIL v.2&3. parte 1

Governança de TI. ITIL v.2&3. parte 1 Governança de TI ITIL v.2&3 parte 1 Prof. Luís Fernando Garcia LUIS@GARCIA.PRO.BR ITIL 1 1 ITIL Gerenciamento de Serviços 2 2 Gerenciamento de Serviços Gerenciamento de Serviços 3 3 Gerenciamento de Serviços

Leia mais

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 O SECRETÁRIO DE TECNOLOGIA DA INFORMAÇÃO DO TRIBUNAL SUPERIOR DO TRABALHO, no

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS

ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS CAPÍTULO 1 INTRODUÇÃO ITIL V3 1.1. Introdução ao gerenciamento de serviços. Devemos ressaltar que nos últimos anos, muitos profissionais da

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Versão 1.6 15/08/2013 Visão Resumida Data Criação 15/08/2013 Versão Documento 1.6 Projeto Responsáveis

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM SISTEMA DE GESTÃO AMBIENTAL: ISO 14001 Material Didático: IBB 254 Gestão Ambiental / 2015 Conceitos Gerais A gestão ambiental abrange uma vasta gama de questões, inclusive aquelas com implicações estratégicas

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 276:2011) - OTS NORMA Nº NIT-DICOR-011 APROVADA EM MAR/2013 Nº 01/46 SUMÁRIO

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Primeira Aula: ISO 27001 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br Documentos Normativos Básicos ISO 27001:2006

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES V CONGRESSO BRASILEIRO DE METROLOGIA Metrologia para a competitividade em áreas estratégicas 9 a 13 de novembro de 2009. Salvador, Bahia Brasil. ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO

Leia mais

DISASTER RECOVERY PLAN. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

DISASTER RECOVERY PLAN. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com DISASTER RECOVERY PLAN Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com 1. Introdução O principal objetivo de um plano de continuidade de negócios (BCP Business Continuity Plan) é garantir a operação

Leia mais

MANUAL DE GESTÃO DA QUALIDADE

MANUAL DE GESTÃO DA QUALIDADE Revisão: 07 Data: 05.03.09 Página 1 de 7 Copia controlada MANUAL DE GESTÃO DA QUALIDADE José G. Cardoso Diretor Executivo As informações contidas neste Manual são de propriedade da Abadiaço Ind. e Com.

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

Núcleo de Pós Graduação Pitágoras

Núcleo de Pós Graduação Pitágoras Núcleo de Pós Graduação Pitágoras MBA Gestão em TI Disciplina: Administração de Suporte e Automação Gerenciamento de Suporte Professor: Fernando Zaidan Ago-2009 1 2 Contexto Área de TI lugar estratégico

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Por que utilizar o modelo ITIL

Por que utilizar o modelo ITIL Por que utilizar o modelo ITIL... O que não é definido não pode ser controlado... O que não é controlado não pode ser medido... O que não é medido não pode ser melhorado Empregado para definir, controlar,

Leia mais

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos.

Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender gerenciamento de riscos. ITIL V3 Porquê na ITIL nas empresas? o Para termos uma resposta efetiva é preciso entender o porque da governança; o Entender o gerenciamento de riscos. Porquê Governança? Porque suas ações e seus requisitos

Leia mais

Sistema de Gestão da Qualidade

Sistema de Gestão da Qualidade Sistema de Gestão da Qualidade Coordenadora Responsável Mara Luck Mendes, Jaguariúna, SP, mara@cnpma.embrapa.br RESUMO Em abril de 2003 foi lançado oficialmente pela Chefia da Embrapa Meio Ambiente o Cronograma

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição outubro 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração.

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração. Cobit e ITIL GOVERNANÇA, GP - RISCO, GP PROJETOS - PMP, SEGURANÇA DAIANA BUENO OUTUBRO 20, 2010 AT 8:00 3.496 visualizações Atualmente, as empresas estão com seus processos internos cada vez mais dependentes

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial.

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial. Governança Corporativa A importância da Governança de TI e Segurança da Informação na estratégia empresarial. A virtualização dos negócios tem impactado diretamente a condição de fazer negócio, conferindo

Leia mais

Política de Gestão de Riscos

Política de Gestão de Riscos Política de Gestão de Riscos 1 OBJETIVO Fornecer as diretrizes para a Gestão de Riscos da Fibria, assim como conceituar, detalhar e documentar as atividades a ela relacionadas. 2 ABRANGÊNCIA Abrange todas

Leia mais

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012 Risk Tecnologia Coleção Risk Tecnologia SISTEMAS INTEGRADOS DE GESTÃO Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012 Aplicável às Atuais e Futuras Normas ISO 9001, ISO 14001,

Leia mais

RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008

RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008 SUPERINTENDÊNCIA DE CONTROLE GERÊNCIA DE CONTROLE DE TESOURARIA ANÁLISE DE RISCO OPERACIONAL RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008 Belo Horizonte

Leia mais

Exame de Fundamentos da ITIL

Exame de Fundamentos da ITIL Exame de Fundamentos da ITIL Simulado B, versão 5.1 Múltipla escolha Instruções 1. Todas as 40 perguntas devem ser respondidas. 2. Todas as respostas devem ser assinaladas na grade de respostas fornecida.

Leia mais

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações CobIT Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações Eduardo Mayer Fagundes Copyright(c)2008 por Eduardo Mayer Fagundes 1 Agenda 1. Princípio de Gestão Empresarial

Leia mais

Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP

Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP 6. Procedimento de gerenciamento de risco O fabricante ou prestador de serviço deve estabelecer e manter um processo para identificar

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente;

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL Mas o que gerenciar? Gerenciamento de Serviço de TI. Infra-estrutura

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

MASTER IN PROJECT MANAGEMENT

MASTER IN PROJECT MANAGEMENT MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Atividade 1 Que modelos em gestão de projetos estão sendo adotados como referência nas organizações? Como

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

ISO 14004:2004. ISO14004 uma diretriz. Os princípios-chave ISO14004. Os princípios-chave

ISO 14004:2004. ISO14004 uma diretriz. Os princípios-chave ISO14004. Os princípios-chave ISO14004 uma diretriz ISO 14004:2004 Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio Prof.Dr.Daniel Bertoli Gonçalves FACENS 1 Seu propósito geral é auxiliar as

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

ITIL - Information Technology Infraestructure Library

ITIL - Information Technology Infraestructure Library ITIL Biblioteca de infra estrutura de TI (do Inglês, Information Technology Infraestructure Library) e ISO/IEC 20.000 ITIL - Information Technology Infraestructure Library Foi criado no fim dos anos 80

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Pós-Graduação em Gerenciamento de Projetos práticas do PMI

Pós-Graduação em Gerenciamento de Projetos práticas do PMI Pós-Graduação em Gerenciamento de Projetos práticas do PMI Planejamento do Gerenciamento das Comunicações (10) e das Partes Interessadas (13) PLANEJAMENTO 2 PLANEJAMENTO Sem 1 Sem 2 Sem 3 Sem 4 Sem 5 ABRIL

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Frederico Sauer, D.Sc. Auditor de Segurança da Informação fsauer@gmail.com 1/65 Objetivos Essenciais Conceito de Risco e suas componentes Mensurabilidade do Risco Gestão do Risco

Leia mais

Gestão da Continuidade dos Negócios

Gestão da Continuidade dos Negócios Caixa Econômica Federal Gestão da Continuidade dos Negócios Alexandre Guindani CBCP,SBCI A CAIXA em números 80.606 25.031 148 5.564 48 Mi GCN - Estrutura Organizacional Estrutura Organizacional Vice-presidência

Leia mais

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento MBA em Sistemas de Informação CobiT Conteúdo 1. Sumário Executivo 2. Estrutura 3. Objetivos de Controle 4. Diretrizes de Gerenciamento 5. Modelo de Maturidade 6. Guia de Certificação de TI 7. Implementação

Leia mais

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Avenida Presidente Wilson, 231 11 andar 20030-905 Rio de Janeiro- RJ ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL MARÇO, 2015 ÍNDICE OBJETIVO 3 ESCOPO 3 DEFINIÇÕES Risco Inerente 4 DEFINIÇÕES Risco Operacional 4 DEFINIÇÕES Evento de Risco Operacional 4 FUNÇÕES E RESPONSABILIDADES

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação

Ministério da Saúde Departamento de Informática do SUS DATASUS. Segurança da Informação e Comunicação Ministério da Saúde Departamento de Informática do SUS DATASUS Segurança da Informação e Comunicação Conceitos : Disponibilidade Segurança da Informação Significa estar acessível e utilizável quando demandado

Leia mais

GERENCIAMENTO DE PROCESSOS DE NEGÓCIO. Professor: Rômulo César romulodandrade@gmail.com www.romulocesar.com.br

GERENCIAMENTO DE PROCESSOS DE NEGÓCIO. Professor: Rômulo César romulodandrade@gmail.com www.romulocesar.com.br GERENCIAMENTO DE PROCESSOS DE NEGÓCIO Professor: Rômulo César romulodandrade@gmail.com www.romulocesar.com.br Guia de Estudo Vamos utilizar para a nossa disciplina de Modelagem de Processos com BPM o guia

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

A Biblioteca: Gerenciamento de Serviços de TI. Instrutor : Cláudio Magalhães E-mail: cacmagalhaes@io2.com.br

A Biblioteca: Gerenciamento de Serviços de TI. Instrutor : Cláudio Magalhães E-mail: cacmagalhaes@io2.com.br A Biblioteca: Gerenciamento de Serviços de TI Instrutor : Cláudio Magalhães E-mail: cacmagalhaes@io2.com.br 2 A Biblioteca ITIL: Information Technology Infrastructure Library v2 Fornece um conjunto amplo,

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

A experiência de quem trouxe a internet para o Brasil agora mais perto de você

A experiência de quem trouxe a internet para o Brasil agora mais perto de você A experiência de quem trouxe a internet para o Brasil agora mais perto de você A Escola A Escola Superior de Redes da RNP privilegia um ensino totalmente prático. Os laboratórios são montados de forma

Leia mais

CobiT 4.1 Plan and Organize Manage Projects PO10

CobiT 4.1 Plan and Organize Manage Projects PO10 CobiT 4.1 Plan and Organize Manage Projects PO10 Planejar e Organizar Gerenciar Projetos Pedro Rocha http://rochapedro.wordpress.com RESUMO Este documento trás a tradução do objetivo de controle PO10 (Gerenciamento

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI Objetivos Assegurar que os esforços despendidos na área de informática sejam consistentes com as estratégias, políticas e objetivos da organização como um todo; Proporcionar uma estrutura de serviços na

Leia mais

SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português

SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português 1 de 7 28/10/2012 16:47 SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português RESULTADO DO SIMULADO Total de questões: 40 Pontos: 0 Score: 0 % Tempo restante: 55:07 min Resultado: Você precisa

Leia mais

Controles Internos e Governança de TI. Charles Holland e Gianni Ricciardi

Controles Internos e Governança de TI. Charles Holland e Gianni Ricciardi Controles Internos e Governança de TI Para Executivos e Auditores Charles Holland e Gianni Ricciardi Alguns Desafios da Gestão da TI Viabilizar a inovação em produtos e serviços do negócio, que contem

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais