CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA E CONTROLE EXTERNO AUDITORIA EM SISTEMAS DE INFORMAÇÃO E A APLICAÇÃO DA NORMA ISO 27002:2005

Tamanho: px
Começar a partir da página:

Download "CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA E CONTROLE EXTERNO AUDITORIA EM SISTEMAS DE INFORMAÇÃO E A APLICAÇÃO DA NORMA ISO 27002:2005"

Transcrição

1 ESTADO DO RIO GRANDE DO SUL TRIBUNAL DE CONTAS DO ESTADO ESCOLA SUPERIOR DE GESTÃO E CONTROLE FRANCISCO JURUENA Credenciamento MEC Portaria nº 1965/06 CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA E CONTROLE EXTERNO AUDITORIA EM SISTEMAS DE INFORMAÇÃO E A APLICAÇÃO DA NORMA ISO 27002:2005 Elaine Candido da Silva PORTO ALEGRE 2008

2 RESUMO O avanço tecnológico, a crescente complexidade dos ambientes computacionais, o incremento do número de transações por meios virtuais demandam uma constante preocupação com a segurança das informações que trafegam neste contexto. Adotar medidas de segurança mediante procedimentos padronizados que garantam a confiabilidade, a integridade e a disponibilidade das informações torna-se um desafio para gestores e organizações. Os padrões, normas e marcos reguladores surgem, ora exigindo, ora contribuindo, para a implementação de regras que, se não eliminam completamente os riscos, atenuam os seus efeitos. Dentre as diversas opções de padrões ou normas existentes, optou-se por discutir a ISO 27002:2005 devido à abrangência de seus controles, assim como à sua boa aceitação no mercado atual de Tecnologia da Informação como instrumento para a implementação de segurança da informação. Considera-se que ela pode ser utilizada para orientar na implementação de uma metodologia para Auditoria em Sistemas de Informação no âmbito do Tribunal de Contas do Estado do Rio Grande do Sul. Palavras Chave: NBR ISO/IEC 27002:2005. Segurança da Informação. Sistemas Aplicativos. Sistemas de Informação. Tecnologia da Informação.

3 ABSTRACT Technological advances, the increasing complexity of computational environments, the increment of the number of transactions for virtual ways demands a constant concern with the security of the information that travel in this context. To adopt security measures through standardized procedures that ensure the reliability, integrity and availability of information becomes a challenge for managers and organizations. The standards, rules and regulatory frameworks appear, sometimes demanding, sometimes contributing, for the implementation of rules that, if do not eliminate the risks completely, attenuate its effect. Among the diverse options of standards or existing norms, it was opted to discuss the ISO 27002:2005 due to scope of its controls, as well as its good acceptance in the current market of Technology of the Information as instrument for the implementation of information security. It was believed that it can be used to guide the implementation of a methodology for Auditing in Information Systems within the Court of Accounts of the State of Rio Grande do Sul. Keywords: NBR ISO/IEC 27002:2005. Information Security. Applications Systems. Information Systems. Information Technology.

4 LISTA DE FIGURAS Quadro 1 Alinhamento Estratégico: Documentos da PSI X Nível de Atuação...37 Quadro 2 Manutenção da PSI...38

5 LISTA DE SIGLAS AAR ABNT ASI IEC ISO PDA PSI SI TI Análise e Avaliação de Riscos Associação Brasileira de Normas Técnicas Auditoria em Sistemas de Informação International Electrotechnical Commission International Organization for Standardization Personal Digital Assistant Política de Segurança da Informação Segurança da Informação Tecnologia da Informação

6 SUMÁRIO 1 INTRODUÇÃO CONCEITOS DE AUDITORIA E SISTEMAS DE INFORMAÇÃO AUDITORIA SISTEMAS DE INFORMAÇÃO Dado X Informação AUDITORIA EM SISTEMAS DE INFORMAÇÃO Controle Interno na Auditoria de Sistemas de Informação Internet: um desafio SEGURANÇA DA INFORMAÇÃO CONCEITOS GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO NORMAS E PADRÕES DE SEGURANÇA NBR ISO/IEC 27001: Information Security Management Systems Requirements (Sistema de Gestão da Segurança da Informação Requerimentos) NBR ISO/IEC 27002: Code of Practice for Information Security Management (Código de Práticas para Gestão da Segurança da Informação) ÁREAS DE CONTROLE DA ISO/IEC E A APLICABILIDADE NA POLÍTICA E GESTÃO DA SEGURANÇA EM SISTEMAS APLICATIVOS A ISO E SUAS ÁREAS DE CONTROLES PORQUE CONTROLAR? Controles Organizacionais Segregação de Funções Recursos Humanos Política de Segurança da Informação (PSI) Escopo da PSI Elaboração e Implementação da PSI Manutenção e Auditoria de conformidade com a PSI Controles de Desenvolvimento e Manutenção de Sistemas Aplicativos Validação dos dados de entrada Controle do processamento interno Validação dos dados de saída Tratamento de Mensagens Controles Criptográficos Segurança dos Arquivos do Sistema Segurança em processos de desenvolvimento e de suporte Gestão de vulnerabilidades técnicas...48

7 10 5 CONCLUSÃO REFERÊNCIAS GLOSSÁRIO... 52

8 11 1 INTRODUÇÃO Em uma época em que a tecnologia da informação está inserida em todas as áreas do conhecimento, a dinâmica que envolve a informatização de processos é uma preocupação crescente para os gestores, tanto na Administração Pública quanto na Administração Privada, e vem trazer um novo desafio para a atividade de fiscalização: auditar não apenas a informação gerada pela tecnologia, mas também a própria tecnologia com o propósito de averiguar se o processamento do dado em informação foi realizado de forma adequada, confiável e segura. Dada a complexidade tecnológica dos ambientes de Tecnologia da Informação (TI) atuais, aliado à proliferação de fraudes financeiras e contábeis e os crimes eletrônicos, trouxeram a necessidade de formar-se uma nova área dentro da auditoria e uma nova formação dentro da carreira de auditor: a Auditoria em Sistemas de Informação ou Auditoria da Tecnologia da Informação. Esta trajetória não é diferente dentro do Tribunal de Contas do Estado do Rio Grande do Sul (TCE-RS), no qual a crescente demanda por auditores em sistemas de informação chegou a um ponto crítico. As equipes de auditoria tradicionais estão enfrentando o desafio de auditar informações produzidas por sistemas informatizados e tendo que deparar-se com a seguinte dúvida: até que ponto este ambiente é confiável e seguro? Estão sendo estabelecidas discussões sobre qual o formato de auditoria em TI aplicável, qual a metodologia ou framework mais aderente ao processo de auditoria existente, qual a estratégia de formação da(s) equipe(s) de auditoria em TI dentro da nossa Corte de Contas. A maioria dos autores aponta para a formação de equipes híbridas, compostas por auditores tradicionais e auditores especialistas em Auditoria de Sistemas de Informação. Recomendam, também, que o treinamento em técnicas e métodos básicos de Auditoria em Sistemas de Informação (ASI) deveria ser aplicado a todos os auditores tradicionais já que dificilmente auditarão entidades que não utilizam a informática em seus processos e controles. Diante desse contexto, é fácil supor que este é um caminho sem volta, sendo necessário administrar as responsabilidades para a Segurança da Informação com o objetivo de preservar organizações e profissionais envolvidos de serem alvos

9 12 de punições legais ou admnistrativas. Contudo, este cenário nos leva a uma outra questão: qual(is) a(s) metodologia(s) aplicável(eis) em um processo de auditoria em Sistemas de Informação? A adoção de métricas, práticas de gestão e adequação às leis, normas ou regulamentações é um desafio para os gestores, mas tornam-se aliadas quando servem de espinha dorsal na implementação de uma metodologia que garanta a conformidade com padrões internacionais, prevenindo contra incidentes envolvendo questões de segurança e os seus conseqüentes impactos dentro da organização. Conforme Beal (2005, p. 31) 1, a aderência a uma norma ou padrão técnico garante a qualidade de qualquer processo e aumenta a garantia de que este seja eficiente, eficaz e confiável. Este documento tem por objetivo apresentar alguns aspectos importantes da ISO (antiga ISO 17799), como esta pode ser utilizada para a introdução da Gestão de Risco como garantia para a Segurança da Informação e, finalmente, como esta norma poderia servir de base para a implantação de auditoria em Sistemas de Informação, tanto no âmbito do interno TCE-RS quanto nos órgãos auditados por esta Corte de Contas. O trabalho foi dividido em três capítulos. O primeiro capítulo trata de apresentar conceitos de auditoria e de sistemas de informação. O segundo capítulo trata sobre os aspectos que envolvem a segurança da informação, a gestão de risco e apresenta, suscintamente, alguns padrões internacionais que desenvolveram um sistema formal de gestão da segurança da informação. E, por fim, o terceiro capítulo trata sobre a norma ISO e a sua aplicabilidade como garantia para a segurança da informação na aquisição, manutenção e desenvolvimento de sistemas de informação. 1 BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, p. 31

10 13 2 CONCEITOS DE AUDITORIA E SISTEMAS DE INFORMAÇÃO 2.1 AUDITORIA O conceito genérico de auditoria relaciona-se com o exame das operações, processos, sistemas e responsabilidades gerenciais de uma entidade ou organização com o propósito de verificar a sua conformidade com os objetivos e políticas organizacionais, orçamentos, normas ou padrões. 2 O termo auditoria, historicamente, esteve vinculado quase que exclusivamente ao campo contábil. Contudo, diversos autores têm um ponto de vista mais amplo e argumentam que ela engloba toda a organização, estendendo seu campo de ação com a comunidade: clientes, fornecedores, instituições públicas e privadas com as quais a empresa se relaciona. Cassaro (1997, p. 32) afirma que cabe à auditoria a responsabilidade de examinar e avaliar a ocorrência de atos e fatos empresariais com o objetivo de assegurar que eles estejam em conformidade com as políticas, diretrizes e normas da administração. Auditoria é uma função de assessoria à alta administração que, mediante a aplicação de procedimentos de trabalho adequadamente planejados, obedecendo a normas e padrões geralmente aceitos, contribui para o cumprimento das funções de controle das operações da empresa. 3 2 DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, p CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, p. 32.

11 SISTEMAS DE INFORMAÇÃO Para um melhor entendimento do que é um sistema de informação, é necessário distinguir dado de informação Dado X Informação Dados são os fatos de uma forma primária, tais como: nome de um servidor, número de dependentes, quantidade de material em estoque, número de matrícula, etc. A transformação de dados em informação é um processo ou uma série de tarefas logicamente relacionadas, executadas para atingir um resultado definido. O processo de definição das relações entre dados requer conhecimento. Conhecimento são regras, diretrizes e procedimentos usados para selecionar, organizar e manipular dados, com a finalidade de torná-los úteis para uma tarefa específica. Quando estes dados são organizados ou configurados de uma maneira significativa, eles se tornam uma informação. Sistemas é um conjunto de elementos inter-relacionados com o objetivo de produzir informações que ajudarão nas decisões gerenciais. 4 Um sistema é produzido após a identificação de um processo que transforma os dados de entrada em informações de saída que permite a organização avaliar uma tendência antes da tomada de decisão. É um processo dinâmico cujo ciclo de manutenção operacional permite que sejam agregadas novas estratégias empresariais visando à agregação de valor qualitativo e quantitativo às informações com o objetivo de minimizar a interferência de variáveis externas à organização, por exemplo, mercado, concorrência, regulamentações, etc. Em linhas gerais, um sistema é formado pelos seguintes elementos: a) Entrada: elementos que entram no sistema para serem processados; 4 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º ed. São Paulo: Atlas, p. 16

12 15 b) Processamento: processo de transformação que converte a entrada em produto; c) Saída: a transferência de elementos produzidos por um processo de transformação ao seu destino final; d) Feedback ou realimentação: a saída é usada para fazer ajustes ou modificações nas atividades de entrada ou processamento para a correção de erros ou a adequação do sistema a uma nova realidade. A fase de feedback é uma característica que permite que o sistema se autoregule ou se auto-monitore. Existem várias classificações de sistemas, porém o aprofundamento neste tema não é o objetivo deste trabalho. 2.3 AUDITORIA EM SISTEMAS DE INFORMAÇÃO A auditoria em sistemas de informação é um tipo de auditoria operacional e não muda a formação exigida para a profissão de auditor, ela apenas exige uma nova percepção já que as informações anteriormente disponíveis em papel agora são armazenadas em meios eletrônicos. Deste modo, este novo tipo de auditoria também se vale dos controles internos e agrega não só o fato de averiguar as informações em si, também verifica se as entradas, o processamento e as saídas foram feitas de forma adequada e segura. Neste ambiente, estão inseridos recursos materiais, tecnológicos e humanos. A partir daí, surge uma nova terminologia, muito importante dentro deste contexto: segurança da informação, tema do próximo capítulo deste trabalho Controle Interno na Auditoria de Sistemas de Informação O termo controle supõe a fiscalização exercida sobre atividades, pessoas, entidades ou produtos com o objetivo de verificar se estes estão em conformidade

13 16 com determinadas normas, regulamentações, regras ou padrões preestabelecidos. Genericamente, os controles podem classificados em três tipos: a) Preventivos: previnem erros, omissões ou atos fraudulentos (senhas de acesso a um sistema); b) Detectivos: detectam erros, omissões ou atos fraudulentos e relatam a sua ocorrência (relatórios de tentativas de acesso não autorizado a um sistema); c) Corretivos: corrigem os erros detectados e minimizam os impactos da sua ocorrência (planos de contingências). Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para cada tipo de transação, atividade ou função fiscalizada. Esses objetivos de controle, para serem alcançados na prática, são traduzidos em procedimentos de auditoria. Os procedimentos de auditoria formam um conjunto de verificações e averiguações que permitem obter e analisar as informações necessárias à formulação da opinião do auditor. 5 Já tendo conceituado o termo controle, podemos dizer que controle interno é realizado pelo pessoal interno da organização e sua principal função é assessorar a administração no controle (fiscalização) das operações da empresa. O sistema de controle interno compreende o plano de organização e o conjunto coordenado de sistemas, métodos e procedimentos adotados por uma empresa para: a salvaguarda de seu patrimônio, a eficiência operacional e a exatidão e confiabilidade dos registros e informações contábeis-financeiras. 6 Cassaro (1997, p. 34) afirma que existem dois tipos de controles internos, os de natureza contábil e os de natureza administrativa. Os controles de natureza contábil preocupam-se com a salvaguarda dos bens, direitos e obrigações, assim como a fidelidade dos registros. Dentro deste 5 DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, p CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, p. 34.

14 17 escopo, podemos afirmar que o controle de natureza contábil preocupa-se com a auditoria externa. Exemplos de controles deste grupo: a) integridade dos dados: os dados são confiáveis? b) segurança física: existem controles físicos sobre os bens e informações? c) segurança lógica: existe segregação de funções? existe log de transações ou trilha de auditoria? d) confidencialidade: existe sistema de autorização de acesso e aprovação de transações? e) conformidade: está obedecendo às normas ou regulamentações? Os controles de natureza administrativa preocupam-se com a eficiência e eficácia operacional, assim como com a obediência às diretrizes, políticas, normas e instruções da administração. Dentro deste escopo, podemos afirmar que o controle de natureza administrativa preocupa-se com a auditoria interna. Exemplos de controles deste grupo: a) eficácia: atendimento adequado dos objetivos; b) eficiência: produtividade e otimização dos processos e utilização adequada dos recursos; c) regras institucionais: obediência às diretrizes da administração. Os objetivos gerais de controle interno não apresentam diferenças nos procedimentos de controles internos em ambientes de TI Internet: um desafio A internet é um desafio crescente para os gestores de TI, pois à medida que as empresas começaram a se conectar na rede mundial para incrementar os seus negócios, os sistemas ficaram expostos a uma quantidade maior de pessoas e, a partir daí, explodiram os problemas de segurança. Acrescentando mais complexidade a este ambiente já conturbado, ainda temos diferentes países, com diferentes legislações agora interconectados, fazendo surgir um novo ramo das ciências jurídicas que é o direito digital que, por si só, já seria outro assunto para uma monografia.

15 18 A internet fez surgir outros dispositivos que dividem espaço com os computadores, tais como: smartphones, PDAs, ipods, etc; aparelhos que podem ser conectados à rede multiplicando o volume de informações que circulam neste meio e facilitando o acesso de pessoas mal-intencionadas. De forma bem resumida, saímos de uma situação em que informações sigilosas eram impressas em papel e protegidas fisicamente em cofres para um cenário em que agora elas trafegam por ondas viajando pelo ar que podem ser interceptadas a qualquer momento, muitas vezes de maneira não detectável. 7 Assim sendo, as empresas devem estar preparadas para lidar com cenários cada vez mais mutantes e interconectados, com variáveis sempre mais complexas que elevam o potencial de falhas e problemas de segurança. Tudo isto é um desafio constante para os profissionais de TI e de auditoria, estes devem manterse atualizados e atentos a novas tendências sob pena de ficar á margem deste mercado em constante evolução. 7 RAMOS, Anderson (org). Security Officer 1: Guia oficial para formação de gestores em segurança da informação. 1º ed. Porto Alegre: Zouk, p. 35

16 19 3 SEGURANÇA DA INFORMAÇÃO Dentro de uma organização a segurança 8 deve ser aplicada a tudo aquilo que possui valor e, por este motivo, demanda proteção. São os chamados ativos 9. Na chamada era do conhecimento, a informação tornou-se o principal patrimônio de uma organização e, pelo seu poder de agregar valor a um processo, produto ou serviço trouxe a necessidade de preservá-la contra ameaças que possam destruí-la, corrompê-la, adulterá-la ou deixá-la indisponível. 3.1 CONCEITOS A Segurança da Informação são procedimentos que visam proteger os ativos que contém informações contra as ameaças que poderiam comprometer a sua integridade, disponibilidade e confidencialidade. Ela tem como objetivo preservar os ativos de informação 10, considerando três aspectos: a) Confidencialidade: garantia de que o acesso à informação está restrito aos usuários autorizados. Neste aspecto, vale lembrar a necessidade de utilização de trilhas de auditoria e logs para as aplicações críticas que protegem os ativos contra erros e atos maliciosos cometidos por usuários autorizados; b) Integridade: garantia de que os dados não foram modificados por pessoas não autorizadas; c) Disponibilidade: garantia de que os ativos são acessíveis aos usuários ou processos autorizados quando necessários. 8 Segurança é estar livre de perigos e incertezas. 9 Ativo é tudo aquilo que possui um valor para uma organização. 10 Ativo de Informação: qualquer dado ou informação a que esteja associado um valor para o negócio. Representam ativos de informação as informações relevantes mantidas na mente dos tomadores de decisão, em bases de dados, arquivos de computador, documentos e planos registrados em papel, etc. BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, p. Introdução e Visão geral.

17 20 Cada organização terá critérios próprios para identificar e priorizar os ativos cujos componentes desejam assegurar. Ativos com necessidades de segurança diferentes devem ser protegidos de forma diferente. Cassarro (1997, p. 81) 11 afirma que, dos componentes materiais, tecnológicos e humanos que compõem uma empresa são os últimos os responsáveis por todas as fraudes e prejuízos praticados. Ele considera impossível a existência de um ativo que não possa ser fraudado ou burlado por uma pessoa e quanto maior o desafio, maior a motivação para vencê-lo. Afirma que não há segurança total em nada que diz respeito à vida e que ainda não existe um controle interno que garanta 100% de proteção contra a fraudes e ações dolosas. Na prática, nem todas as ações indevidas podem ser evitadas, assim como nem todos os ativos podem ser protegidos, pois isto demandaria muitos recursos humanos e financeiros. Para minimizar a probabilidade de ocorrência de uma ameaça é necessário detectar e prevenir falhas de segurança e definir quais os ativos se deseja proteger. É neste contexto que surge a necessidade de elaboração de um programa de Política de Segurança da Informação. A política de segurança da informação será tratada no capítulo 3 deste trabalho. 3.2 GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO Risco é a medida da exposição a qual um ativo está sujeito, depende da probabilidade de uma ameaça atacá-lo e do impacto resultante deste ataque. Análise de risco é realizada identificando as ameaças e vulnerabilidades a que estão sujeitos os ativos, bem como os impactos resultantes caso a sua segurança fosse violada. A gestão do risco 12 envolve cinco componentes básicos: valor, ameaças, vulnerabilidades e impactos. a) Valor: é a importância do ativo para a organização e será avaliado conforme o seu valor financeiro, o lucro que provê, o custo para substituílo, etc; 11 CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, p Gestão de Riscos é o processo que identifica e trata os riscos de forma sistemática e contínua.

18 21 b) Ameaça: é a expectativa de acontecimento acidental ou proposital, causado por um agente, que pode afetar um ambiente, sistema ou ativo de informação; c) Vulnerabilidade: fragilidade que pode ser explorada por uma ameaça para concretizar um ataque; d) Impacto: consequência de uma vulnerabilidade ter sido explorada por uma ameaça para concretizar um ataque; e) Probabilidade: chance de a ameaça atacar com sucesso os ativos computacionais. É importante reconhecer que os riscos podem ser apenas minimizados, já que é impossível eliminá-los completamente. Uma medida que hoje é eficiente, amanhã poderá ser violada, pois uma quebra de segurança sempre poderá ocorrer, é só uma questão de tempo, recursos técnicos e econômicos. As medidas proativas podem facilitar e tornar menos onerosas as medidas corretivas. Gestão do Risco é um conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos. 13 A gestão do risco possui várias etapas cíclicas que minimizam a probabilidade de ataques dos agentes sobre as vulnerabilidades dos alvos. São elas estabelecimento do contexto, identificação dos riscos, análise do risco (mensurando ameaças, vulnerabilidades e impactos), estimativa do risco, tratamento do risco e a aceitação residual do risco. Conforme a norma ISO 27002, a análise e avaliação de riscos é um dos aspectos mais importantes da Gestão de Riscos. Um passo anterior à implementação dos controles é ter mapeado todos os requisitos de segurança. Estes requisitos são baseados em três fontes: a) Análise e Avaliação de Riscos; b) Legislação e Regulamentação; c) Princípios e Valores da organização. 13 BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, p. 11

19 22 Afirma que a análise e avaliação de riscos deve ser usada para avaliar se todos os controles citados nas diversas seções da norma são ou não necessários, para determinar a necessidade de outros controles além dos citados na norma. 3.3 NORMAS E PADRÕES DE SEGURANÇA Conhecer e avaliar os riscos deixou de ser uma necessidade técnica para se transformar numa questão estratégica para as organizações, em função das exigências de mercado, governo, agências reguladoras e clientes. A avaliação de riscos de uma organização passa a ser medida pela capacidade de proteger seus ativos e isto está relacionado ao atendimento dos requisitos de Segurança da Informação. As regulamentações podem exigir a implementação de frameworks 14 (ITIL 15, COBIT 16, ISO 27001, ISO 27002) para garantir a segurança dos ativos. Ativos estes que envolvem ambientes, tecnologias, processos e pessoas. Estar em conformidade com normas e padrões representa o seguimento das melhores práticas, pois elas promovem a uniformidade e qualidade aos processos, produtos ou serviços visando a eficiência e eficácia. Normas e padrões técnicos representam uma referência importante para a qualidade de qualquer processo. Quando processos de produção de bens e serviços são desenvolvidos em conformidade com um padrão de referência de qualidade, aumentam as garantias de que estes sejam eficientes, eficazes e confiáveis. 17 Existem diversas metodologias (ou frameworks), padrões e regulamentações disponíveis no mercado que podem ser utilizados como referência para implementar a segurança da informação na organização. A aplicação pode 14 Frameworks : são metodologias estruturadas para a implementação de padrões técnicos. 15 ITIL: Information Technology Infrastructure Library. 16 COBIT: Common Objectives for Information and Related Technology. 17 BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, p. 31

20 23 variar de empresa para empresa e, mais importante do que a certificação, é o conhecimento de suas práticas para que cada organização possa extrair delas as recomendações que mais se adaptam a sua realidade. A seguir relacionamos dois padrões internacionais que desenvolveram um sistema formal de gestão da segurança da informação NBR ISO/IEC : Information Security Management Systems Requirements (Sistema de Gestão da Segurança da Informação Requerimentos) A ISO é uma norma que trata da Gestão da Segurança da Informação, ou seja, ela estabelece, implementa, opera, monitora, mantém e melhora um Sistema de Gestão da Segurança de Informação (SGSI) dentro das organizações. Estas podem ser de qualquer tipo, tamanho e natureza. Esta norma adota o modelo PDCA (plan-do-check-act), sendo: a) Plan: Estabelecer o SGSI; b) Do: Implementar o SGSI; c) Check: Monitorar e revisar o SGSI; d) Act: Manter e melhorar o SGSI. Ela está alinhada com outras normas, tais como NBR ISO 9001, NBR ISO e NBR ISO para apoiar a implementação e a operação de forma consistente e integrada com normas de gestão relacionadas. É o único padrão aceito internacionalmente para a gestão da segurança, pois é a única norma que permite a certificação das organizações na área de segurança. Esta questão é uma das diferenças entre a ISO e a ISO Enquanto esta trata de recomendar, aquela trata de requerer. É quando os requerimentos são implementados, monitorados e melhorados que a empresa poderá solicitar a certificação na ISO Áreas de controle da ISO 27001: a) Sistema de Gestão da Segurança de Informação; 18 ISO/IEC: International Organization for Standardization / International Electrotechnical Commission

21 24 b) Responsabilidades da Direção; c) Auditorias Internas do SGSI; d) Análise Crítica do SGSI pela direção; e) Melhoria do SGSI. Analisando as diversas normas nota-se que existem vários itens em comum e, em outros, elas se complementam em vários aspectos. Cada organização deve escolher a norma que mais se adapta a suas características ou realidade. Antes de mais nada, é necessário identificar o que se quer proteger para posteriormente planejar em cima deste escopo. A prevenção legal em Segurança da Informação é um processo de gestão dinâmico, sujeito a atualizações constantes, por este motivo é importante retroalimentar o processo NBR ISO/IEC 27002: Code of Practice for Information Security Management (Código de Práticas para Gestão da Segurança da Informação) A ISO é um conjunto de recomendações e de boas práticas para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações. Tem como propósito prover uma base comum para o desenvolvimento de normas de segurança organizacional, das práticas efetivas de gestão da segurança e prover confiança nos relacionamentos entre as organizações. A ISO atua em segurança da informação considerando tecnologia, processos e pessoas e é publicada no Brasil pela ABNT com o código NBR ISO/IEC 27002:2005. Até 2007, esta norma era conhecida como ISO Áreas de controle da ISO 27002: a) Política de Segurança; b) Organização da Segurança; c) Gestão de Ativos (Patrimônio); d) Segurança dos Recursos Humanos; e) Segurança Física e Ambiental; f) Gestão de Operações e Comunicações;

22 25 g) Controle de Acessos; h) Aquisição, Manutenção e Desenvolvimento de Sistemas; i) Gestão de Incidentes de Segurança da Informação; j) Gestão da Continuidade do Negócio; k) Conformidade. A ISO será discutida no próximo capítulo deste trabalho.

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

PARTE III Auditoria Conceitos Introdutórios

PARTE III Auditoria Conceitos Introdutórios FATERN Faculdade de Excelência Educacional do RN Coordenação Tecnológica de Redes e Sistemas Curso Superior de Tecnologia em Sistemas para Internet Auditoria em Sistemas de Informação Prof. Fabio Costa

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas 1. Conceitos e Organização da Auditoria Universidade do Estado de Minas Gerais 1.1 Conceitos Auditoria é uma atividade que engloba o exame de operações, processos, sistemas e responsabilidades gerenciais

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

$XGLWRULDé uma atividade que engloba o exame das operações, processos,

$XGLWRULDé uma atividade que engloba o exame das operações, processos, $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

Segurança da Informação: Conceitos e Modelo de Gestão

Segurança da Informação: Conceitos e Modelo de Gestão : Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1 Sistemas de Gestão - Evolução Sistema de Gestão da Qualidade

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Aula 02 ISO 27K Normas para Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 02 ISO 27K Normas para Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 02 ISO 27K Normas para Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes A invencibilidade está na defesa; a possibilidade de vitória no ataque.quem se defende mostra que sua força é

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

ISO 17025 Versão 2005

ISO 17025 Versão 2005 1º Fórum Regional de Química - ES ISO 17025 Versão 2005 Rev. 14 Samuel Vieira JUN/2010 1 Terminologia e Siglas ABNT NBR ISO 9000:2000 Sistemas de gestão da qualidade Fundamentos e Vocabulário ABNT NBR

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO:

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO: SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicações da Universidade Federal

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

ADMINISTRAÇÃO DE SISTEMAS DE INFORMAÇÃO: OS DESAFIOS ÉTICOS DA TECNOLOGIA DA INFORMAÇÃO x SEGURANÇA

ADMINISTRAÇÃO DE SISTEMAS DE INFORMAÇÃO: OS DESAFIOS ÉTICOS DA TECNOLOGIA DA INFORMAÇÃO x SEGURANÇA ADMINISTRAÇÃO DE SISTEMAS DE INFORMAÇÃO: OS DESAFIOS ÉTICOS DA TECNOLOGIA DA INFORMAÇÃO x SEGURANÇA NAVARRO SANCHES BURGO, Rodrigo Discente da Faculdade de Ciências Jurídicas e Gerenciais/ACEG. E-mail:

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

BANCO CENTRAL DO BRASIL 2009/2010

BANCO CENTRAL DO BRASIL 2009/2010 BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção

Leia mais

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Auditoria e Segurança de Sistemas Aula 02 Auditoria Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Evolução / Necessidade Empresas com Capital Fechado Aumento da concorrência Investimento em

Leia mais

Tópicos Especiais. Núcleo de Pós Graduação Pitágoras

Tópicos Especiais. Núcleo de Pós Graduação Pitágoras Núcleo de Pós Graduação Pitágoras Professor: Fernando Zaidan Disciplina: Arquitetura da Informática e Automação MBA Gestão em Tecnologia da Informaçao 1 Tópicos Especiais Novembro - 2008 2 Referências

Leia mais

Auditoria de Sistemas. UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima

Auditoria de Sistemas. UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima Auditoria de Sistemas UNIPAC Ipatinga Segurança e Auditoria de Sistemas Prof. Thiago Lopes Lima Auditoria É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial Maicom Rafael Victor Simch Tiago Squinzani Tonetto E-mail:tiago-tonetto@hotmail.com, maravisi@hotmail.com Resumo Neste trabalho é proposta

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Núcleo de Pós Graduação Pitágoras. Tópicos Especiais

Núcleo de Pós Graduação Pitágoras. Tópicos Especiais Núcleo de Pós Graduação Pitágoras Professor: Fernando Zaidan Disciplina: Arquitetura da Informática e Automação MBA Gestão em Tecnologia da Informaçao Tópicos Especiais Junho - 2008 Referências Acessos

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 08/08/2014 19:53:40 Endereço IP: 150.164.72.183 1. Liderança da alta administração 1.1. Com

Leia mais

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos

Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos DEZ 2005 Projeto 21:204.01-012 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos Sede: Rio de Janeiro

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011

PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE PARA O BRASIL E AMÉRICA LATINA PREVIEW DAS PRINCIPAIS SEÇÕES DA NBR ISO 19011 Diretrizes para auditorias de sistemas de gestão da qualidade e/ou ambiental

Leia mais