Avaliação de um Sistema de Gestão de Identidade e Acesso em uma Organização Pública Federal

Tamanho: px
Começar a partir da página:

Download "Avaliação de um Sistema de Gestão de Identidade e Acesso em uma Organização Pública Federal"

Transcrição

1 Avaliação de um Sistema de Gestão de Identidade e Acesso em uma Organização Pública Federal Yuri Feitosa Negócio 1, Felipe P. de Assumpção Santiago 1, Laerte Peotta de Melo 2 1 Empresa de Tecnologia e Informações da Previdência Social - DATAPREV 2 Universidade de Brasília - UNB. {yuri.feitosa, Abstract. The protection of individual and institution privacy is essential within Brazilian federal public administration due to the critical informations handled by the governmental systems. It involves the eecution of a set of procedures that ensures information access control properly. Concerning this scenario, this paper analyzes the enforcement of information and communication security controls related to identity and access management applied by a federal public organization Resumo. Para a Administração Pública Federal se torna imperativo proteger a privacidade individual e das instituições. Devido à criticidade das informações manipuladas por estes sistemas, eige-se que sejam aplicados uma série de processos que assegurem que a informação tenha seu acesso controlado adequadamente. Neste sentido, este trabalho realiza uma análise na aplicação atual dos controles de segurança da informação e comunicações relacionadas à gestão de identidade e de acesso fornecida aos clientes de uma Organização Pública Federal. 1. Introdução O avanço constante das tecnologias de computação e comunicação possibilita cada vez mais o acesso da sociedade a uma vasta gama de informações, sem as tradicionais restrições físicas e temporais. Esta nova realidade que se apresenta, denominada de Sociedade da Informação, está alterando bruscamente as relações entre os indivíduos e setores da sociedade. No sentido de reduzir a burocracia e melhorar o atendimento da população, a Administração Pública Federal (APF) tem realizado constantes investimentos no desenvolvimento de sistemas de informação. Segundo Simião (2009), a APF é composta por organizações compleas de amplo alcance que lidam com informações importantes, tanto para a prestação de serviços públicos aos cidadãos, como também para a tomada de decisões estratégicas do Estado. Desta forma, a medida que estes novos sistemas de informação representam os processos de negócio e fornecem insumos para a tomada de decisões, eles tem se tornado cada vez maiores e mais compleos, e, conseqüentemente, disponibilizam um maior volume de informações e recursos sensíveis. Considerando a sua importância e impacto nos objetivos de negócios de uma organização, o controle de acesso necessita de leis, normas, regulamentos, procedimentos que governem sua eecução. Alguns esforços na APF são observados, como o Decreto nº 4.553, de 27 de dezembro de 2002, a Instrução Normativa GSI nº 1, de 13 de junho de 2008, e a Norma Complementar 07, de 06 de maio de 2010.

2 Entretanto, inúmeros desafios ainda estão presentes. Uma evidência das dificuldades, mesmo que não diretamente relacionado com a APF, é que de acordo com a pesquisa feita pelo Ponemon Institute (Ponemon, 2010), 87% dos usuários das organizações possuem acesso a mais informações do que precisariam para eecução de suas atividades. Neste sentido, considerando os desafios envolvidos na atividade de gestão da segurança da informação e comunicações e tendo em vista reduzir as ameaças envolvidas, este artigo apresenta uma avaliação da gestão de identidade e de acesso desempenhados por uma organização da APF. Para isso, foram selecionados e avaliados 63 controles de segurança nos principais frameworks, normativos e guias como o COBIT (ITGI, 2007), OISM3 (O-ISM3, 2011), ABNT NBR ISO 27002:2005 (ABNT, 2005), Norma Complementar 07 (DISC/GSIPR, 2010) e o guia de Boas Práticas em Segurança da Informação do Tribunal de Contas da União (BRASIL, 2008). Trabalhos similares foram realizados por (Barbosa, 2009) e (Paranhos, 2010). O primeiro trabalho avalia de forma geral as Organizações Militares do Eército Brasileiro quanto à maturidade e aplicação dos controles ISO/IEC 27002:2005. O segundo trabalho propõe um framework para avaliação da maturidade da segurança da informação em organizações, através do uso de diversas normas. Este artigo difere um pouco dos demais, pois engloba os normativos e guias adotados pela APF como referência. Este artigo está organizado da seguinte forma: a seção 2 apresenta os conceitos e a classificação adotada para os controles da gestão de identidade e de acesso. A seção 3 apresenta as principais referências selecionadas para a identificação dos controles. A seção 4 apresenta os controles selecionados e o estado atual da aplicação deles na organização avaliada. Por fim, a seção 5 apresenta as conclusões finais e os trabalhos futuros. 2. Gestão de Identidade e Acesso O conceito de identidade está relacionado com a associação entre um indivíduo e suas características únicas. A gestão de identidade é o controle de todo o ciclo de vida envolvido na eecução deste processo. De acordo com NSTC (2008), a gestão de identidade pode ser definida como a combinação de sistemas técnicos, regras e procedimentos que definem a posse, utilização, e segurança de uma identidade. Seu objetivo primário é estabelecer a confiança na associação de atributos a uma identidade digital e conectar esta identidade com uma entidade individual. Para complementar a gestão de identidade, eiste a gestão de acesso que, de acordo com FICAM (2009), tem como propósito garantir que a verificação da identidade seja realizada quando um indivíduo tenta acessar os dados, sistemas de informação ou instalações físicas. Para simplificar a compreensão e melhorar a identificação das responsabilidades, o FICAM (2009) dividiu a gestão de acesso em três áreas principais: Gestão de Recursos: Responsável por estabelecer e manter os dados (regras de acesso, requisitos de credenciais) para uma determinada informação ou recurso que possa ser acessado. Gestão de Privilégios: Responsável pela gestão de políticas e processos que definem como são fornecidos os direitos de acesso das entidades aos sistemas de

3 informação. Engloba a gestão de todos os dados que constituem os privilégios de acesso e atributos, envolvendo o armazenamento, organização e acesso a informação nos diretórios. Gestão de Políticas: Responsável pelos processos que estabelecem e mantêm as políticas de controle de acesso que são incorporadas nas lógicas e regras de negócio. Normalmente, é baseada nos atributos e papéis associados a uma identidade. Ela gerencia o que é permitido ou não de ser acessado em uma determinada transação. A gestão de identidade e de acesso é uma atividade complea que pode estar difusa nos processos de uma organização. Diante da ineistência de um programa de gestão de identidade e de acesso, é importante identificar as responsabilidades sobre a eecução de controles de segurança por áreas. Sendo assim, este artigo adota a separação em cinco áreas de gestão identidade, gestão de acesso (recursos, privilégios, e políticas) e auditoria. 3. Controles para Gestão de Identidade e Acesso A atividade de controle está relacionada com a capacidade de uma determinada pessoa ou grupo adquirir domínio sobre uma determinada atividade ou outro grupo. Para a área de tecnologia da informação não eiste um consenso formal sobre a definição de controle, entretanto, para esta pesquisa foi utilizada a definição proposta pelo COBIT (ITGI, 2007) em que c detectados e corrigidos. As próimas subseções irão apresentar os principais frameworks e normas relacionados com a segurança da informação e com a gestão de identidade e de acesso. Cada subseção irá identificar as áreas ou grupo de controles diretamente envolvidos na gestão de identidade e de acesso COBIT O Control Objectives for Information and related Technology (ITGI, 2007) é e orientado a processos, baseado em controles e orientado por medic modelo COBIT, em sua versão 4.1, apresenta um conjunto de boas práticas identificadas através de um consenso entre especialistas internacionais, que são organizadas através modelo de processo genérico baseado em quatro domínios e trinta e quatro processos. O COBIT define suas atividades em alto nível, orientando a organização no que precisa ser feito e não em como deve ser feito para se obter governança, gerenciamento e controle. Os processos são responsáveis, em conjunto com os recursos de TI, por constituir a arquitetura de TI da organização. No COBIT, os processos são mapeados em domínios que equivalem às tradicionais áreas sob responsabilidade de TI, como o planejamento, construção, processamento e monitoramento. Os quatro domínios de processos (ITGI, 2007) são: Planejar e Organizar (PO), Adquirir e Implementar (AI), Entregar e Suportar (DS), Monitorar e Avaliar (ME).

4 Em 2009, criou-se o Programa de Auditoria e Garantia de Gestão de Identidade (ISACA, 2009) com o objetivo de prover uma avaliação independente relacionada com a eficácia da gestão de identidade, suas políticas, procedimentos e atividades de governança através de uma revisão de auditoria. O foco desta revisão de auditoria está relacionado nos padrões, guias e procedimentos, bem como na sua implementação e governança sobre tais atividades. De acordo com (ISACA, 2009) os domínios Planejar e Organizar (PO) e Entrega e Suporte (DS) estão diretamente relacionados com a avaliação da gestão de identidade. Para o primeiro domínio temos os controles Esquema de Classificação de Dados (PO 2.3) e Responsabilidade por Riscos, Segurança e Conformidade (PO 4.8). Para o segundo domínio temos os controles Gestão de Identidade (DS 5.3) e Gestão de Contas de Usuário (DS 5.4) Open Information Security Management Maturity Model (O-ISM3) O Open Information Security Management Maturity Model (O-ISM3, 2011) é um framework para a criação, adaptação e operação de um Sistema de Gerenciamento de Segurança da Informação (SGSI) desenvolvido pelo The Open Group. Ele define um número gerenciável e coeso de processos de segurança da informação necessários para a maioria das organizações. Para cada processo relevante, alguns controles de segurança são identificados e atuam como partes essenciais do processo. Neste sentido, o ISM3 é compatível com os padrões ISO/IEC 27000:2009, COBIT e ITIL(OGC, 2007). De acordo com o O-ISM3, para serem efetivos, os processos de segurança da informação de uma organização devem ser documentados, medidos e gerenciados. O framework O-ISM3 define a maturidade de acordo com a eecução de processos essenciais para a segurança. A capacidade é definida em termos de métricas e práticas gerenciais utilizadas. O framework eige que os objetivos de segurança e suas responsabilidades sejam derivados dos objetivos de negócio, além de promover uma medição formal da eficácia de cada processo de segurança. A gestão de identidade e controle de acesso é uma das categorias de objetivos de segurança essenciais para determinar os processos que compõe o sistema de gestão de segurança da informação (SGSI) baseado no O-ISM3. Nesta pesquisa, foram identificados quatro processos diretamente relacionados, são eles: 1. Definição das regras de divisão de responsabilidades (SSP-4): Através da divisão das responsabilidades, é possível melhorar o uso dos recursos e reduzir os riscos de incidentes por ameaças internas. 2. Inventário de Ativos (OSP-3): A operação do SGSI depende da identificação e classificação dos ativos críticos da organização. 3. Controle de Acesso (OSP-11): Garante a proteção contra incidentes como, por eemplo, espionagem, negação de responsabilidade, tentativa de acesso não autorizado e divulgação da informação. 4. Registro de Usuários (OSP-12): Garante a proteção contra incidentes relacionados com o cadastro errôneo e concessão inadequada de acesso as informações da organização. São três processos operacionais e um único estratégico. O SSP-4 é um processo estratégico que tem a importante missão de separar a responsabilidade na eecução de processos de negócio críticos. O OSP-3 é responsável por classificar a informação e os

5 ativos da organização, sendo considerada uma atividade essencial para uma política de controle de acesso eficaz. O OSP 11 e OSP-12 são os tradicionais processos de gestão de acesso e identidade Guia de Boas Práticas em Segurança da Informação do TCU O Tribunal de Contas da União, com a Administração Pública Federal, em segurança da informação (Brasil, 2008). O guia tem como objetivo apresentar as boas práticas para qualquer pessoa que se relacione de alguma forma com sistemas informatizados, desde simples usuários até profissionais envolvidos diretamente com segurança da informação. O documento está dividido em quatro capítulos, que tratam o controle de acesso lógico, a política de segurança de informações e o plano de contingência. Por fim, o guia apresenta no quarto capítulo os comentários sobre a NBR ISO/IEC 27002:2005 e Por ter sido escrito de forma abrangente, o guia apresenta informalmente conceitos e controles relacionados com os assuntos pertinentes a cada capítulo. Considerando o foco desta pesquisa, observa-se que as práticas envolvidas no controle de acesso lógico de sistemas podem ser divididas em sete grupos de práticas, são elas: Credenciamento, Autenticação, Gerenciamento de Sessões, Autorização, Monitoramento, Administração de Usuários e Acesso e Políticas de Controle de Acesso Norma Complementar 07 O Departamento de Seguranca da Informac (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI-PR) aprovou a Norma Complementar 07 que estabelece as diretrizes para a implementac a da Informac entidades da Administrac A Norma Complementar 07 baseou-se amplamente nos controles definidos pela ISO/IEC 27002:2005. Entretanto, ela faz uma clara distinção entre o controle de acesso lógico e o físico. Para o controle de acesso lógico foram definidos três grupos de diretrizes, são eles: Criação e Administração de Contas, Acesso a Rede de Computadores e Ativos da Informação. Para o controle de acesso físico são definidos quatro grupos de diretrizes: Acesso as Áreas e Instalações Físicas, Usuários, Ativos de Informação e ao Perímetro de Segurança. O foco deste trabalho está orientado na avaliação da organização quanto ao controle de acesso lógico, portanto, apenas as diretrizes relacionadas controle de acesso lógico foram avaliados ISO 27002:2005 A ABNT NBR ISO 27002:2005 é a versão nacional do código de práticas para gestão da segurança da informação. Historicamente, a norma derivou-se da BS7799-1:1999 definida pelo BSI (British Standards Institution) no Reino Unido. Seu objetivo é definir, de forma abrangente, um conjunto de controles que podem ser implementados por uma organização. Segundo Calder; Watkins (2008), ela é utilizada como guia de

6 ações necessárias para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) segundo a norma ABNT NBR ISO 27001:2005. De acordo ABNT NBR ISO 27002:2005(ABNT, 2005), seus controles podem ser considerados como o ponto de partida para o desenvolvimento de diretrizes voltadas para a segurança da informação em uma organização. Entretanto, nem sempre eles podem ser aplicados ou são suficientes para assegurar a segurança da informação. Um eemplo desta afirmativa, é o fato de que determinados controles podem ser mais dispendiosos que o valor da informação que eles pretendem proteger ou que a constante evolução das ameaças justifique a adoção de controles adicionais. Sendo assim, eles devem ser selecionados mediante uma análise de risco e de retorno de investimento periódica. Os controles relacionados com gestão de identidade e de acesso estão distribuídos em graus diferentes por todas as áreas definidas. Entretanto, eles estão concentrados em maior grau nas áreas de gestão de ativos, segurança em recursos humanos e controle de acesso. 4. Controles Selecionados e Avaliação em uma OPF Segundo a ABNT NBR ISO 27002:2005 (ABNT, 2005), convém que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Para cada controle identificado foi realizada uma análise do objetivo envolvido. Diante desta análise, os controles similares foram agrupados em um único controle e classificados quanto ao seu tipo: Administrativo (A), Operacional (O) e Técnico (T). Para cada item de controle identificado, sua eecução foi classificada através da escala apresentada na Tabela 1. Tabela 1 Escala de verificação de controles Nível Efetivo Não Efetivo Insuficiente Descrição Quando o controle é aplicado e o seu resultado é considerado eficiente. Quando o controle é aplicado mas o seu resultado não é considerado eficiente. Quando o controle é aplicado, mas não atende completamente. Não Aplicado Quando o controle não é aplicado. A Tabela 2 apresenta os controles identificados já agrupados, a relação de cada controle com o framework ou norma que o definiu e a relação com do controle com a área de gestão identidade e de acesso (recursos, privilégios e políticas). Ao total foram 63 controles identificados, onde 22 relativos à gestão de identidade, 34 com a gestão de acesso e 7 com auditoria. Para a avaliação dos controles foram utilizadas técnicas como a análise documental, observação direta e a realização de entrevistas semi-estruturadas com os dois principais responsáveis pela área de gestão de identidade e de acesso da organização.

7 Tabela 2 Controles Selecionados para a Gestão de Identidade e de Acesso Controles C O T N 2 Controles C O T N 2 Gestão de Identidade Políticas e Procedimentos (A) Se todos os usuários possuem um único identificador universal e formalmente definido. (A) Se o custo beneficio para a representação da identidade digital foi definido (A) Se os direitos e obrigações do uso da identidade estão definidos no contrato de trabalho (A) Se o processo de solicitação, emissão, revogação, modificação de identidade está definido (O) Se eiste política de confidencialidade na entrega de credenciais (A) Se eistem políticas de privacidade para o uso da identidade (A) Se são definidos políticas e procedimentos prévios de credenciamento (O) Se os direitos de acesso são concedidos baseados nos princípios necessidade de conhecer, mínimo privilégio e interesse do serviço (O) Se os direitos de acesso são revisados periodicamente (O) Se eistem relatórios de métricas de acesso Gestão de Políticas Política e Procedimentos (A) Se os direitos e obrigações do uso dos direitos de acesso estão definidos no contrato de trabalho (A) Se a política de controle de acesso é definida formalmente pela organização (A) Se a segregação de funções é definida na política de controle de acesso (A) Se o credenciamento ocorre apenas depois da contratação (A) Se eiste política para a criação de credenciais seguras (A) Se o processo de solicitação, emissão, revogação e modificação de identidade está definido para os ambientes de desenvolvimento (A) Se o credenciamento dos usuários está de acordo com as normas e legislações vigentes para o acesso a sistemas críticos (A) Se são definidas políticas para a concessão de credenciais de administração Eecução e Verificação (T) Se as identidades digitais estão armazenadas em um repositório central (O) Se as identidades digitais são revisadas periodicamente (A) Se eistem relatórios de métricas das identidades (T) Se o primeiro acesso com uma credencial é controlado (O) Se as credenciais são modificadas periodicamente (T) Se os históricos das credenciais são armazenados (T) Se as identidades são bloqueadas por inatividade (T) Se o credenciamento é feito por um processo automatizado (O) Se as credenciais são removidas após o desligamento do usuário (T) Se a autenticação utiliza múltiplos fatores Gestão de Acesso Gestão de Recursos (A) Se eiste uma política que descreva o procedimento de autenticação (A) Se são definidos nos contratos políticas que apliquem sanções a acessos não autorizados por parte das terceirizadas (A) Se a implementação do controle de acesso é aprovada previamente pela direção da organização (A) Se a política de controle de acesso está em conformidade com a política de segurança da informação e comunicações (A) Se eistem programas de conscientização e sensibilização sobre controle de acesso Eecução e Verificação (T) Se o registro de último acesso é preservado e mostrado ao usuário (T) Se a sessão de acesso é epirada após tempo de inatividade (T) Se a sessão de acesso proíbe acesso concorrente (T) Se a concessão de acesso baseia-se em horários (T) Se as coneões são encerradas apos o fim da sessão de acesso (T) Se informações relevantes não são informadas no procedimento de autenticação Gestão de Privilégios Política e Procedimentos (A) Se o processo de solicitação, concessão, modificação e revogação de direitos de acesso está definido Política e Procedimentos (A) Se a política de classificação da informação está definida (A) Se eiste um modelo para solicitação de acesso (A) Se a concessão de acesso é baseada na segregação de funções

8 (A) Se os controles de acesso são identificados com base na gestão de riscos de segurança da informação e comunicações (A) Se os direitos de acesso são aprovados pelos proprietários das informações (A) Se são definidos termos de responsabilidade para o uso dos recursos (A) Se os direitos de acesso são documentados (A) Se os recursos criptográficos utilizados são homologados Eecução e Verificação (O) Se a informação está classificada quanto ao sigilo (O) Se os proprietários da informação são definidos (O) Se o tempo de retenção da informação é definido (O) Se a classificação da informação é revisada periodicamente (T) Se os direitos de acesso são armazenados em um repositório central (T) Se o armazenamento das informações é adequado (T) Se o recurso oferecido utiliza canal seguro de comunicação (A) Se o processo de solicitação, concessão, modificação e revogação de direitos de acesso está definido (A) Se eiste um modelo para solicitação de acesso (A) Se a concessão de acesso é baseada na segregação de funções (A) Se os direitos de acesso são aprovados pelos proprietários das informações (A) Se o processo de revisão de concessão de direitos de acesso é definido formalmente Legenda: C = Cobit, O = OISM2, T = TCU, N = NC 07 e 2 = ISO (A) Se o processo de revisão de concessão de direitos de acesso é definido formalmente Eecução e verificação (O) Se os direitos de acesso são concedidos baseados nos princípios necessidade de conhecer, mínimo privilégio e interesse do serviço (O) Se os direitos de acesso são revisados periodicamente (O) Se eistem relatórios de métricas de acesso Auditoria Políticas e Procedimentos (A) Se os eventos de auditoria são previamente definidos (T) Se são definidos mecanismos que garantam a eatidão dos registros de auditoria Eecução e Verificação (T) Se o uso da identidade é registrado (trilha de auditoria) (O) Se as trilhas de auditoria do uso da identidade são analisadas (T) Se os usuários são identificados no acesso as informações (trilhas de auditoria) (O) Se as trilhas de auditorias do acesso as informações são analisadas periodicamente (T) Se os acessos são registrados para oferecer rastreabilidade das ações tomadas As próimas subseções apresentam os resultados coletados sobre a conformidade de uma organização com os controles identificados Gestão de Identidade A Figura 1 apresenta os resultados obtidos dos controles relacionados com a Gestão de Identidade Política e Procedimentos. Foram identificados 59% dos controles como efetivos, 25% como insuficientes, 8% como não efetivos e 8% como não aplicados. Quanto a Eecução e Verificação foram identificados 60% dos controles como efetivos, 20% como insuficientes, 20% como não aplicados e nenhum controle como não efetivo. Figura 1: Avaliação dos Controles da Gestão de Identidade

9 4.2. Gestão de Acesso A Figura 2 apresenta os resultados obtidos dos controles relacionados com a Gestão de Acesso e Política e Procedimentos. Foram identificados 50% dos controles como efetivos, 11% como insuficientes, 39% como não aplicados e nenhum como não efetivo. Figura 2: Controles da Gestão de Acesso A Figura 2 também apresenta os resultados obtidos dos controles relacionados com a Gestão de Acesso e Eecução e Verificação. Foram identificados 56% dos controles como efetivos, 19% como insuficientes, 19% como não aplicados e 6% como não efetivos Auditoria A Figura 3 apresenta os resultados obtidos dos controles relacionados com a Auditoria Políticas e Procedimentos. Foram identificados 50% dos controles como efetivos, 50% como insuficientes. Não foram identificados controles como não aplicados e não efetivos. Quanto a Eecução e Verificação, foram identificados 60% dos controles como efetivos, 20% como insuficientes, 20% como não aplicados e nenhum como não efetivo. Figura 3: Controles de Auditoria relacionados com Políticas e Procedimentos 5. Conclusão e Trabalhos Futuros Este trabalho teve como objetivo avaliar um sistema de gestão de identidade e de acesso em uma Organização Pública Federal. Para o estabelecimento do critério de análise, foram identificados os principais controles técnicos, administrativos e operacionais relacionados com a gestão de identidade e de acesso, com base nos principais normativos. Os controles relacionados foram identificados e agrupados de acordo com o seu propósito, levando em consideração gestão da identidade e as subdivisões da gestão de acesso, como a gestão de recursos, gestão de privilégios e gestão de políticas. Após a identificação, os controles de segurança foram avaliados em uma organização específica integrante da APF. Embora os dados coletados sejam suficientes para compreender o panorama atual da gestão da identidade e do acesso da organização pesquisada, a não adoção de um modelo de maturidade tornou impossível a

10 classificação do estágio atual em níveis. Este desafio será foco de futuros trabalhos, com o objetivo de melhorar a avaliação do sistema de gestão de identidade e de acesso. Por fim, a identificação dos controles de segurança da gestão de identidade e do acesso com base nos principais normativos e a verificação da implementação real de tais controles foram as principais contribuições da pesquisa para a organização. Os controles identificados podem ser utilizados por outras organizações para a avaliação de seus sistemas de gestão de identidade e de acesso, como também, podem ser verificados novamente para identificar a evolução destes processos. Esta nova verificação permite observar e direcionar melhorias na segurança da informação e comunicações no controle de acesso às informações. Referências Bibliográficas ABNT. Código de prática para a gestão da segurança da informação: ABNT NBR ISO/IEC 27002: a. ed. Rio de Janeiro, BARBOSA, A. de S. Avaliação Preliminar dos Níveis de Maturidade dos Controles de Segurança da Informação e Comunicações adotados em Organizações Militares do Eército Brasileiro, de acordo com a Norma ABNT NBR ISO/IEC 27002:2005. Monografia de Conclusão de Curso (Especialização). Universidade de Brasília ALDER A WA K N G : A M G D y ISO 27001/ISO ª Edição. Reino Unido. Kogan Page Limited BRASIL. Tribunal de Contas da União. Boas práticas em segurança da informação / Tribunal de Contas da União. 3. ed. Brasília. TCU DSIC/GSIPR. Norma Complementar 07/IN01/DSIC/GSIPR FICAM. Federal Identity, Credential, and Access Management (FICAM). Roadmap and Implementation Guidance. Versão ISACA. Information Systems Audit and Control Foundation. Identity Management Audit/Assurance Program. ISACA ITGI - IT GOVERNANCE INSTITUTE. COBIT ed. USA, NTSC. National Science and Technology Council: Subcommittee on Biometrics and Identity Management. Identity Management Task Force Report. USA OGC. Information Technology Infrastructure Library: Service Strategy. Londres O-ISM3. Open Information Security Management Maturity Model. Open Group PARANHOS, M. M. Framework de segurança da informação para medição do nível de maturidade das organizações. Dissertação de mestrado. UCB. Brasília PONEMON. Access Governance Trends Survey Study of IT Practitioners in Multinational Organizations. Ponemon Institute SILVA, S. R. F. Proposta de Modelo de Controle de Acesso Lógico por Servidores Públicos aos Recursos Computacionais da Administração Pública. Monografia de Conclusão de Curso (Especialização). Universidade de Brasília SIMIÃO, R. S. Segurança da Informação e Comunicações: conceito aplicável em organizações governamentais. Monografia de Conclusão de Curso (Especialização). Universidade de Brasília

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

Atividade: COBIT : Entendendo seus principais fundamentos

Atividade: COBIT : Entendendo seus principais fundamentos SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DO PIAUÍ CAMPUS FLORIANO EIXO TECNOLÓGICO: INFORMAÇÃO E COMUNICAÇÃO CURSO: TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS PERÍODO

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração.

Cobit e ITIL. Cobit. Planejamento e organização; Aquisição e implementação; Entrega e suporte; Monitoração. Cobit e ITIL GOVERNANÇA, GP - RISCO, GP PROJETOS - PMP, SEGURANÇA DAIANA BUENO OUTUBRO 20, 2010 AT 8:00 3.496 visualizações Atualmente, as empresas estão com seus processos internos cada vez mais dependentes

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Conhecimento em Tecnologia da Informação. CobiT 5. Apresentação do novo framework da ISACA. 2013 Bridge Consulting All rights reserved

Conhecimento em Tecnologia da Informação. CobiT 5. Apresentação do novo framework da ISACA. 2013 Bridge Consulting All rights reserved Conhecimento em Tecnologia da Informação CobiT 5 Apresentação do novo framework da ISACA Apresentação Este artigo tem como objetivo apresentar a nova versão do modelo de governança de TI, CobiT 5, lançado

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL. A importância da Alta Administração na Segurança da Informação e Comunicações A importância da Alta Administração na Segurança da Informação e Comunicações Agenda O Problema; Legislação; Quem somos; O que fazer. O problema A informação: é crucial para APF é acessada por pessoas

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5

12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 12/IN01/DSIC/GSIPR 00 30/JAN/2012 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Uso de Dispositivos Móveis nos Aspectos relativos

Leia mais

Serviço de Avaliaça o e Planejamento de Governança de TI

Serviço de Avaliaça o e Planejamento de Governança de TI efagundes.com Serviço de Avaliaça o e Planejamento de Governança de TI O serviço especializado avalia, planeja e implanta um modelo de governança nas organizações de TI alinhado com as estratégias e operações

Leia mais

Gerenciamento de Serviços de TI. ITIL (IT Infraestructure Library) Conceitos Básicos Aula 1

Gerenciamento de Serviços de TI. ITIL (IT Infraestructure Library) Conceitos Básicos Aula 1 Gerenciamento de Serviços de TI ITIL (IT Infraestructure Library) Conceitos Básicos Aula 1 Objetivo do Curso Ensinar os conceitos do ITIL V3 apresentando pelos menos as seguintes visões: Mercado Aplicação

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

Nuvem Pública na APF - Recomendações na Contratação

Nuvem Pública na APF - Recomendações na Contratação Nuvem Pública na APF - Recomendações na Contratação Thiago Ferreira Lopes tferreiralopes@gmail.com UCB João Souza Neto szneto@globo.com UCB Resumo:A Computação em Nuvem é uma opção que gera ganhos com

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000).

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000). Segurança em Redes de Computadores e Auditoria de Sistemas Emanuel Rebouças, MBA AGENDA AULA 4 & 5 Objetivo: Avaliar as melhores práticas do mercado na área de Segurança da Informação e como aplicá-las

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação ORIGEM e Comunicações Departamento de Segurança da Informação e

Leia mais

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações

CobIT. Eduardo Mayer Fagundes. Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações CobIT Um framework para a eficiência das organizações de Tecnologia da Informação e Telecomunicações Eduardo Mayer Fagundes Copyright(c)2008 por Eduardo Mayer Fagundes 1 Agenda 1. Princípio de Gestão Empresarial

Leia mais

Unidade V GOVERNANÇA DE TI. Profa. Gislaine Stachissini

Unidade V GOVERNANÇA DE TI. Profa. Gislaine Stachissini Unidade V GOVERNANÇA DE TI Profa. Gislaine Stachissini Control Objectives for Information and Related Technology - Cobit O CobiT é um guia para a gestão de TI recomendado pelo Information Systems Audit

Leia mais

Unidade V GOVERNANÇA DE TI

Unidade V GOVERNANÇA DE TI GOVERNANÇA DE TI Unidade V CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 1 O CobiT é um guia para a gestão de TI recomendado pelo Information Systems Audit and Control Foundation (ISACF)

Leia mais

Plano de Governança de Tecnologia de Informação

Plano de Governança de Tecnologia de Informação Plano de Governança de Tecnologia de Informação Julho/2012 Junho/2014 1 Universidade Federal Fluminense Superintendência de Tecnologia da Informação Fernando Cesar Cunha Gonçalves Superintendência de Tecnologia

Leia mais

Governança de TI. Heleno dos Santos Ferreira

Governança de TI. Heleno dos Santos Ferreira Governança de TI Heleno dos Santos Ferreira Agenda Governança de TI Heleno dos Santos Ferreira ITIL Publicação dos Livros revisados 2011 ITIL Correções ortográficas e concordâncias gramaticais; Ajustes

Leia mais

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais, Dispõe sobre a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais

Leia mais

SENAC GO. Gestão da Tecnologia da Informação. Tópicos especiais em administração. Professor Itair Pereira da Silva. Alunos: Eduardo Vaz

SENAC GO. Gestão da Tecnologia da Informação. Tópicos especiais em administração. Professor Itair Pereira da Silva. Alunos: Eduardo Vaz SENAC GO Gestão da Tecnologia da Informação Tópicos especiais em administração Professor Itair Pereira da Silva Alunos: Eduardo Vaz Jalles Gonçalves COBIT COBIT (CONTROL OBJETIVES FOR INFORMATION AND RELATED

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Certificação ISO/IEC 27001. SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV Certificação ISO/IEC 27001 SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Avaliação da Segurança da Informação no âmbito da APF

Avaliação da Segurança da Informação no âmbito da APF Avaliação da Segurança da Informação no âmbito da APF Pedro Coutinho Filho Sefti Brasília, 17 de maio de 2013 www.tcu.gov.br/fiscalizacaoti 2 da TI o Levantamento IGovTI o Objetivos Agenda o Principais

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

Implantação da Governança a de TI na CGU

Implantação da Governança a de TI na CGU Implantação da Governança a de TI na CGU José Geraldo Loureiro Rodrigues Diretor de Sistemas e Informação Controladoria-Geral da União I Workshop de Governança de TI da Embrapa Estratégia utilizada para

Leia mais

Governança de TI através do COBIT

Governança de TI através do COBIT 4.0 COBIT III Congresso de Gestão de TI Governança de TI através do COBIT GOVERNANÇA CORPORATIVA Mercado e Empresa - Relacionamentos SOCIEDADE AGENTES FINANCEIROS PROFISSIONAIS MEIO AMBIENTE GOVERNO CLIENTES

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

Uma Iniciativa Para Aprimorar a Gestão de Riscos de Segurança da Informação na Administração Pública Federal

Uma Iniciativa Para Aprimorar a Gestão de Riscos de Segurança da Informação na Administração Pública Federal Uma Iniciativa Para Aprimorar a Gestão de Riscos de Segurança da Informação na Administração Pública Federal Paulo Marcos Siqueira Bueno, Fabio Sato Ikuno 1, Anderson Souza de Araújo, José Ney de Oliveira

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008 Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001 Susana Carias Lisboa, 24 de Outubro de 2008 Agenda Introdução Desafio 1º passo Problemática ISO 27001 ISO 20000 Conclusões 2 Agenda Introdução

Leia mais

Gestão da TI. É proibida a cópia deste conteúdo, no todo ou em parte, sem autorização prévia do autor.

Gestão da TI. É proibida a cópia deste conteúdo, no todo ou em parte, sem autorização prévia do autor. Este material foi desenvolvido especialmente para a disciplina Gestão da TI ministrada no curso de graduação em Sistemas de Informação da AES (Academia de Ensino Superior). Algumas imagens são de domínio

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação CobiT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo? 2013 Bridge Consulting All rights reserved Apresentação Sabemos que a Tecnologia da

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

Por que conhecer o COBIT 5

Por que conhecer o COBIT 5 10Minutos Tecnologia da Informação Saiba quais são as novidades da versão 5 do COBIT Por que conhecer o COBIT 5 Destaques A utilização do COBIT 5 como guia de melhores práticas permite alinhar de modo

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS P á g i n a 1 / 13 MINISTÉRIO DA EDUCAÇÃO FUNDAÇÃO UNIVERSIDADE FEDERAL DA GRANDE DOURADOS COORDENADORIA DE DESENVOLVIMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Proposta de um Programa de Segurança da Informação para as Autarquias Federais

Proposta de um Programa de Segurança da Informação para as Autarquias Federais Proposta de um Programa de Segurança da Informação para as Autarquias Federais Johnson, Luciano Mestrado Multidisciplinar em Ciência, Gestão e Tecnologia da Informação. Universidade Federal do Paraná -

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil Sumário executivo CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO.

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL

DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA ADMINISTRAÇÃO PÚBLICA FEDERAL 15/IN01/DSIC/GSIPR 00 11/JUN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA O USO SEGURO DAS REDES SOCIAIS NA

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MODELOS DE MELHORES PRÁTICAS DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MELHORES PRÁTICAS PARA T.I. MODELO DE MELHORES PRÁTICAS COBIT Control Objectives for Information

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Classificação da Informação no TCU. Assessoria de Segurança da Informação e Governança de Tecnologia da Informação (Assig)

Classificação da Informação no TCU. Assessoria de Segurança da Informação e Governança de Tecnologia da Informação (Assig) Classificação da Informação no TCU Assessoria de Segurança da Informação e Governança de Tecnologia da Informação (Assig) Para que classificar? Identificar Organizar Otimizar controles Tratar Para que

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Governança em TI ITIL, COBIT e ISO 20000

Governança em TI ITIL, COBIT e ISO 20000 ESADE ESCOLA SUPERIOR DE ADMINISTRAÇÃO, DIREITO E ECONOMIA. CURSO DE ADMINISTRAÇÃO Governança em TI ITIL, COBIT e ISO 20000 Camila Madeira Camila Pinto Daniel Mendes Elias Sarantopoulos Evandro Colpo Janaina

Leia mais

GOVERNANÇA e SEGURANÇA

GOVERNANÇA e SEGURANÇA Forum de Pro-reitores de Planejamento FORPLAD - ANDIFES GOVERNANÇA e SEGURANÇA 19MAR2015 Edson Kowask Coordenador Acadêmico Governança e Segurança 1 Objetivos Apresentar o tema Governança e Segurança Apresentar

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

Correlação entre CobiT e ITIL e norma ISO 17799

Correlação entre CobiT e ITIL e norma ISO 17799 Correlação entre CobiT e ITIL e norma ISO 17799 1. Resumo A dependência atual das organizações da sua infra-estrutura de TI (Tecnologia da Informação), associado às oportunidades, benefícios e riscos inerentes

Leia mais

Diretrizes para Governança de T.I.

Diretrizes para Governança de T.I. Diretrizes para Governança de T.I. Karina Campos da Silva 1, Luís Augusto Mattos Mendes (Orientador) 1 1 Departamento de Ciências da Computação Universidade Presidente Antônio Carlos UNIPAC Barbacena,

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

Gestão de Sistemas de Informação II Estrutura do COBIT

Gestão de Sistemas de Informação II Estrutura do COBIT Gestão de Sistemas de Informação II Estrutura do COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT As organizações organizam suas atividades de TI em grupos, equipes, células, ao invés de organizá-las

Leia mais

Governança de TIC. CobiT 4.1

Governança de TIC. CobiT 4.1 Governança de TIC CobiT 4.1 Conceitos Governança: A expressão governar tem origem na expressão navegar... E o que quem navega faz? Ele faz um mapa, dá a direção, faz as regras de convivência. Tomáz de

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

AUDITORIA DE PROCESSOS BASEADA EM RISCOS. Diorgens Miguel Meira

AUDITORIA DE PROCESSOS BASEADA EM RISCOS. Diorgens Miguel Meira AUDITORIA DE PROCESSOS BASEADA EM RISCOS Diorgens Miguel Meira AGENDA 1 2 3 4 5 O BANCO DO NORDESTE TECNOLOGIA DA INFORMAÇÃO NO BNB AUDITORIA NO BANCO DO NORDESTE SELEÇÃO DE PROCESSOS CRÍTICOS AUDITORIA

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Revista F@pciência, Apucarana-PR, ISSN 1984-2333, v.3, n. 9, p. 89 98, 2009. GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Márcia Cristina

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Gaia Inventário: um Modelo para Gestão da Configuração, Inventário e Ativos de Serviços de Tecnologia da Informação

Gaia Inventário: um Modelo para Gestão da Configuração, Inventário e Ativos de Serviços de Tecnologia da Informação Gaia Inventário: um Modelo para Gestão da Configuração, Inventário e Ativos de Serviços de Tecnologia da Informação Natali Silva Honda 1, Bruno Bogaz Zarpelão 1 1 Departamento de Computação Universidade

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES SETEMBRO 2013 Sumário 1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES DO MINISTÉRIO

Leia mais

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação

TERMO DE REFERÊNCIA. 1. Objeto. 2. Antecedentes. 3. Objeto da Licitação TERMO DE REFERÊNCIA 1. Objeto 1.1. Contratação de empresa especializada em auditoria de tecnologia da informação e comunicações, com foco em segurança da informação na análise de quatro domínios: Processos

Leia mais