UNIVERSIDADE ANHEMBI MORUMBI FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE ANHEMBI MORUMBI FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI"

Transcrição

1 UNIVERSIDADE ANHEMBI MORUMBI FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI São Paulo 2011

2 FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI Trabalho apresentado como exigência parcial para a disciplina [nome da disciplina], do curso Sistemas de Informação da Universidade Anhembi Morumbi. Orientador: Prof. Luciano Freire São Paulo 2011

3 FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI Trabalho apresentado como exigência parcial para a disciplina [nome da disciplina], do curso Sistemas de Informação da Universidade Anhembi Morumbi. Aprovado em Nome do orientador/titulação/ies Nome do convidado/ titulação/ies Nome do convidado/ies São Paulo 2011

4 AGRADECIMENTOS Nosso obrigado a todos que colaboraram no desenvolvimento deste trabalho, direta ou indiretamente. Agradecemos ao professor e coordenador Luciano Freire pelo tempo dedicado a reuniões de orientação e aos professores que compreenderam o momento e incentivaram a conclusão deste trabalho.

5 RESUMO No cenário globalizado, as empresas tentam a todo custo fazer mais com menores investimentos. Terceirizar é uma opção que a maioria adota. Quando se observa a área de Tecnologia da Informação, existem riscos que as organizações correm quando não escolhem o fornecedor certo. Falhas de funcionamento, dificuldade de alteração de requisitos, não retenção de talentos, exposição de informações sigilosas, dificuldade de adaptação às alterações de negócio ou tecnológicas e recursos sem conhecimento técnico suficiente são alguns dos problemas que a organização pode encontrar ao terceirizar serviços de TI. Saber escolher o fornecedor é muito importante. É preciso identificar no momento de contratação, os fatores críticos que devem ser atendidos pelo fornecedor, além de estabelecer acordos de nível de serviço e métricas para análise do desempenho da parceria. O objetivo deste trabalho é identificar os riscos mais comuns e estabelecer um roteiro a ser analisado no momento de contratação, a fim de determinar se o fornecedor atende às necessidades de segurança da empresa. Palavras-chave: terceirização, segurança, tecnologia da informação

6 ABSTRACT In the global scenario, companies try their hardest to do more with less investment. Outsourcing is an option that the vast majority adopts. When we look at the area of Information Technology, there are risks that organizations face when they do not choose the right supplier. Malfunctions, difficulty of changing requirements, not retaining talent, exposure of sensitive information, difficulty in adapting to changing business or technological resources and without sufficient technical knowledge are some of the problems the organization may face when outsourcing IT services. Knowing how to choose the supplier is very important. You need to identify at the time of contracting, the critical factors that must be met by the supplier, and establish service level agreements and metrics for performance analysis of the partnership. The objective is to identify the most common risks and establish a model to be analyzed at the time of hiring, to determine whether the supplier meets the security needs of the company. Key-words: outsourcing, security, information technology

7 LISTA DE TABELAS Tabela 1: Principais motivos que levam as empresas a terceirizarem TI Tabela 2: Principais motivos que levam as empresas a terceirizarem TI Tabela 3: Principais motivos que levam as empresas a terceirizarem TI Tabela 4: Classificação dos níveis de vulnerabilidade Tabela 5: Classificação dos níveis de impacto Tabela 6: Cálculo de classificação de riscos Tabela 7: Modelos de Maturidade da Segurança da Informação Tabela 8: Análise de risos utilizada na formulação do questionário Tabela 9: Principais destaques dos entrevistados Tabela 10: Respostas dos entrevistados... 43

8 LISTA DE ABREVIATURAS E SIGLAS TI Tecnologia da Informação ITGI Information Technology Governance Institute ISO International Organization for Standardization ITIL Information Technology Infrastructure Library ISACA Information Systems Audit and Control Association COBIT Control Objectives for Information and related Technology CMMI Capability Maturity Model Integration IEC International Electrotechnical Commission

9 SUMÁRIO 1 INTRODUÇÃO OBJETIVO JUSTIFICATIVA ABRANGÊNCIA ESTRUTURA DO TRABALHO TERCEIRIZAÇÃO DE TI MOTIVOS PARA TERCEIRIZAR TI RISCOS VULNERABILIDADE TÉCNICAS DE ANÁLISE DE RISCOS CARACTERIZAÇÃO DOS ATIVOS IDENTIFICAÇÃO DE AMEAÇAS IDENTIFICAÇÃO DAS VULNERABILIDADES DETERMINAÇÃO DA VULNERABILIDADE ANÁLISE DE IMPACTO DETERMINAÇÃO DO RISCO SELEÇÃO DE CONTROLES DE SEGURANÇA APRESENTAÇÃO DOS RESULTADOS NORMAS INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO ISO ISO GUIDE TO INFORMATION TECHNOLOGY SECURITY SERVICES CAPABILITY MATURITY MODEL INTEGRATION COBIT NÍVEL DE MATURIDADE SEGURANÇA DA INFORMAÇÃO METODOLOGIA ELABORAÇÃO DO ROTEIRO ANÁLISE DE RISCOS QUESTIONÁRIO AVALIAÇÃO DO QUESTIONÁRIO RESULTADOS DA PESQUISA... 41

10 9 CONCLUSÃO TRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRÁFICAS... 45

11

12 12 1 INTRODUÇÃO Com a chegada da Era da Informação, o setor de TI Tecnologia da Informação passa a ganhar cada vez mais importância dentro das organizações, deixando de ser suporte operacional e passando a estar alinhada com os objetivos da empresa. Segundo pesquisa da Fundação Getúlio Vargas (SEBRAE/SC, 2011), as empresas no Brasil investem 6,7% de sua receita líquida em TI, valor que dobrou nos últimos 14 anos e 8% nos próximos anos. Essa crescente atenção destinada a TI não é por acaso. Segundo PORTER e MILLAR (1985), TI passou a ser um fator crítico de sucesso, possibilitando que a organização obtenha vantagem competitiva através de redução de custos ou diferenciação de produtos ou serviços. Enquanto tornar seu produto diferente envolve a exploração de informações relacionadas às necessidades dos clientes ou inovações mercadológicas, reduzir custos envolve uma série de medidas que visam fazer mais gastando o mesmo ou menos capital e uma dessas medidas é a terceirização. Com o aumento da importância de TI na vantagem competitiva das organizações, a demanda deste setor cresceu consideravelmente em certo período de tempo. Sendo assim, as empresas recorrem à terceirização principalmente para obter acesso imediato a conhecimento e também redução de custos. Embora seja importante para as empresas, o recurso da terceirização expõe as mesmas a alguns riscos, que podem ocasionar prejuízo financeiro e à imagem das corporações. 1.1 Objetivo Este trabalho tem como objetivo propor um roteiro para avaliação de riscos, baseado em um checklist, para que as empresas contratantes possam reduzir os riscos de segurança quando contratam fornecedores de serviços de TI. 1.2 Justificativa Devido a constante utilização de serviços de terceiros no ambiente de TI, as empresas estão expostas a uma série de riscos. Sabendo disso, busca-se identificar os riscos com base no referencial teórico e em pesquisas realizadas a partir de outros trabalhos.

13 Abrangência Este trabalho abrange uma série de riscos identificados por órgãos relacionados à padronização e boas práticas (como ISO e NIST). Será realizada uma análise de riscos com estes controles e na sequencia será elaborado um roteiro, que as empresas podem utilizar no momento de selecionar um fornecedor de serviços de TI. O roteiro proposto é aplicável a qualquer empresa que se utilize de terceirização de serviços de TI, mas principalmente micro e pequenas empresas, que contam com menor verba e muitas vezes não dispõem de pessoal qualificado para lidar com este processo. 1.4 Estrutura do Trabalho No capitulo 2 será abrangido os conceitos de terceirização de TI, os principais motivos para terceirizar. No capitulo 3 será apresentado alguns riscos, ameaças e vulnerabilidade que a organização pode estar sujeita a enfrentar a partir do momento que resolve terceirizar seus serviços. No capitulo 4 será explorado as técnicas de analise de riscos como por exemplo: caracterização dos ativos, identificação de ameaças e vulnerabilidades, determinação da probabilidade, analise de impacto, determinação de riscos, seleção de controles de segurança e apresentação dos resultados. No capitulo 5 será abordado os controle e normas existentes que tem relação com segurança da informação e terceirização de TI. No capitulo 6 será apresentado as etapas e os três elementos primordiais para garantir a Segurança da Informação. No capitulo 7 será apresentado algumas formas de medir o nível de maturidade e realizar uma avaliação através de princípios de qualidade que abrange cinco fases na adoção das praticas de qualidade: Incerteza, despertar, esclarecimento, sabedoria e certeza.

14 14 No capitulo 8 será visto a metodologia que foi utilizada para atingir o objetivo deste trabalho, elaboração do roteiro, analise de riscos, questionário para entrevista e avaliação deste questionário. No capitulo 10 será apresentado a conclusão do trabalho e sugestões para trabalhos futuros.

15 15 2 TERCEIRIZAÇÃO DE TI O conceito de terceirizar TI começou a tomar forma nas décadas de 50 e 60 (CUSUMANO, 1992). Para LEITE (1994), terceirizar é o ato de passar a responsabilidade de parte de uma área ou sua totalidade para outra empresa, denominada fornecedora. ARAÚJO (2001) conceitua de forma semelhante, dizendo que terceirizar é passar adiante (para terceiros) a responsabilidade de execução de uma ou mais tarefas. Já GIOSA (2003) conceitua como um processo gerencial no qual são repassadas algumas atividades para terceiros, com os quais se estabelece uma relação de parceria que permite à empresa contratante que se foque apenas nas tarefas ligadas à sua área de negócio. 2.1 Motivos para terceirizar TI Em sua pesquisa, LEITE (1995), demonstra que cada vez mais empresas - seja ela do setor privado ou público passam a terceiros a responsabilidade de operação de TI, concentrando esforços em outras atividades. Segundo O BRIEN (2001) em relação ao mercado norte americano, as grandes empresas têm terceirizado parte ou a totalidade de suas operações de TI. LEITE (1995) afirma ainda, que na época da pesquisa, 80% das empresas pesquisadas adotavam a terceirização para operar pelo menos alguma parte de tecnologia da informação. Em seu estudo, ficou evidente qual o principal motivo que levou as empresas estudadas a terceirizarem como podemos ver na tabela 1 a seguir. Tabela 1: Principais motivos que levam as empresas a terceirizarem TI Expectativa Porcentagem Conseguir acesso imediato a novos recursos, acelerando o processo de informatização 32% Redução de custos 20% Definição estratégica de concentrar esforços exclusivamente nas atividades-fim da organização 20% Procurar melhorar a eficácia da função, a fim de obter novas facilidades com o uso da informática 13% Outros (todos individualmente inferiores a 3%) 15% Fonte: LEITE, 1995

16 16 Conforme observado por Leite, (1994), o custo é o segundo principal motivo que leva as empresas a terceirizarem TI, mas pode ser quando avaliado em relação a outras atividades. Em estudo com aproximadamente 200 profissionais de TI, o ITGI, IT Governance Institute, (ISACA, 2005) observou as seguintes palavras-chave no contexto destes profissionais como motivos que levaram suas organizações a adotarem a terceirização. As razões mais recorrentes estão na tabela 2 a seguir que demonstram os principais motivos que levam as empresas a terceirizarem TI. Tabela 2: Principais motivos que levam as empresas a terceirizarem TI Motivo Porcentagem dos profissionais que enxergam como crítico Falta de conhecimento interno 48% Reduzir custos 42% Oferecer um serviço melhor/mais 34% rápido Reduzir riscos em TI 30% Fonte: ISACA, 2004 Uma controvérsia em relação ao principal motivo que leva as empresas a terceirizarem TI é o estudo de mestrado de PRADO (2000), onde identifica a seguinte situação que é demonstrada na tabela 3 a seguir. Tabela 3: Principais motivos que levam as empresas a terceirizarem TI Motivo para terceirizar TI Importância Ocorrência Expectativa de redução de custos 1º 28% Acesso ao conhecimento e à tecnologia 2º 20% Flutuação na carga de trabalho 3º 18% Melhoria na prestação de serviços de produtividade 4º 16% Outros 5º 19% Fonte: PRADO, 2000 Embora observadas controvérsias em relação à primeira colocação entre expectativa de redução de custos e acesso imediato à conhecimento e tecnologia, estas duas são as principais razões para uma empresa tomar a decisão de terceirizar sua área de Tecnologia da Informação.

17 17 3 RISCOS Segundo MARCH e SHAPIRA (1987) risco é definido em dois aspectos: econômico e gerencial. No aspecto econômico, o risco é uma variante de uma distribuição provável de possíveis ganhos ou perdas coligadas a uma determinada ação. Já no aspecto gerencial, o risco é associado a resultados negativos, logo, são problemas percebidos como um perigo ou ameaça. Ameaças são fatores/ocorrências que podem violar sistemas e causar incidentes de segurança e, dessa forma causar danos aos negócios das empresas. Existem diversos tipos de ameaças e incidentes como: revelação de informações; destruição de informações ou recursos; interrupção de serviços de rede; modificação ou deturpação das informações; roubo, remoção ou perda de informações ou de outros recursos. Todos os ambientes estão vulneráveis a incidentes de segurança, portanto, à ação de ameaças. Alguns ambientes tendem a ter maior ou menor probabilidade de ocorrência, devido à eficiência das medidas de segurança implementadas (MOREIRA, 2001). 3.1 Vulnerabilidade A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas com o intuito de guardar os bens da empresa (MOREIRA 2001). Todos os ambientes são vulneráveis, partindo do pressuposto de que não existem ambientes totalmente seguros. Muitas vezes, as medidas de segurança implementadas pelas empresas possuem vulnerabilidades. Neste caso, a ineficiência de medidas de proteção, em função de configurações inadequadas é uma das causas. Identificar as vulnerabilidades do sistema é um aspecto importante na identificação de medidas adequadas de segurança.

18 18 Os riscos não podem ser determinados sem o conhecimento de até onde um sistema é vulnerável, contribuindo então para a ação das ameaças (MOREIRA 2001). Em um processo de análise de segurança, deve-se identificar os processos vulneráveis e saber se os riscos associados são aceitáveis ou não. O nível de vulnerabilidade decai na medida em que são implementados controles de proteção adequadas, diminuindo também os riscos para os negócios. Pode-se dizer que os riscos estão ligados a um nível de vulnerabilidade que o ambiente analisado possui, pois para se determinar os riscos, as vulnerabilidades precisam ser identificadas (MOREIRA 2001). Os riscos relacionados com a área de TI estão cada vez mais evidenciados e o impacto nos negócios é visível, principalmente se a organização apresentar forte dependência da área de tecnologia da informação para tomada de decisão. Segundo ISACA (2007) não se pode dizer que existe somente um tipo genérico de risco em TI. O mesmo relata alguns que podem ser utilizados como exemplo: Risco de investimento: É o risco de que o investimento sendo feito em TI não seja excessivo ou perdido; Risco de segurança: Risco de informações confidenciais sejam divulgadas, ou acessadas por indivíduos sem a autoridade necessária. Inclui a privacidade e proteção de dados pessoais; Risco de integridade: O risco dos dados não serem inconsistentes, por serem privativos, incompletos ou inexatos; Risco de relevância: O risco de que as pessoas certas não tenham a informação necessária no momento oportuno para a tomada de decisão; Risco de disponibilidade: O risco de um serviço se tornar indisponível; Risco de Infraestrutura: Risco de que os sistemas e a infraestrutura de TI não ofereçam suporte à necessidade atual ou futura do negócio da organização de uma maneira eficiente, ou com o custo estimado; Risco de posse do projeto: Risco de os projetos de TI não atingirem seus objetivos por falta de responsabilidade e comprometimento;

19 19 4 TÉCNICAS DE ANÁLISE DE RISCOS Técnicas de análise de riscos são metodologias para identificar o nível de risco e ameaça aos sistemas informatizados. O Guide 73 (ISO, 2002) define como o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. É a primeira etapa do gerenciamento de riscos. Existem diversas metodologias de análise de riscos, a metodologia escolhida neste trabalho é a publicada por FERREIRA (2003) em seu livro, com base no NIST. Essa abordagem é qualitativa, sendo composta pelos passos a seguir. 4.1 Caracterização dos ativos Ativo é qualquer coisa que tenha valor para a organização (ISO/IEC , 2004). Esta etapa consiste em realizar um detalhado levantamento de tudo que tem valor para a organização, como hardware, software, interfaces de sistemas, dados e informações, além de pessoas que usam ou sustentam o ambiente de TI. 4.2 Identificação de Ameaças Ameaça é o potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ISO/IEC , 2004). Deve-se identificar as ameaças para cada ativo listado. O SP (NIST, 2002) classifica as ameaças como naturais (terremotos, tornados, enchentes, deslizamentos de terra, avalanches e etc.), humanos (intencionalmente ou deliberadamente, como ataque à rede, envio de arquivos maliciosos ou acesso indevido à informações confidenciais) ou ambientais (queda de energia por um longo período, poluição e queda de líquidos são alguns exemplos). 4.3 Identificação das Vulnerabilidades A definição de vulnerabilidade segundo a ISO/IEC (2005) é uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Nesta etapa é possível contar com o auxílio de sites especializados em vulnerabilidades, como o National Vulnerability Database (mantido pelo NIST) e o

20 20 SecurityFocus. Os sites de alguns fabricantes de software também contam com listas de vulnerabilidades e seus respectivos hot fixes, pacotes que corrigem estas vulnerabilidades. No caso de sistemas, é possível realizar testes para identificar vulnerabilidades, como utilizar ferramentas de varredura de portas, realizar ataques simulados ou ainda contar com o conhecimento dos profissionais especializados. 4.4 Determinação da Vulnerabilidade Esta etapa consiste em analisar cada vulnerabilidade identificada e determinar a probabilidade desta ser explorada. Alguns fatores podem contribuir na determinação da chance de ocorrer algum evento, como encontrar uma motivação da ameaça, a natureza da vulnerabilidade, existência e eficiência de modelos de controle atuais demonstrados na tabela 4 abaixo. Nível Alto Médio Baixo Fonte: NIST, 2002 Tabela 4: Classificação dos níveis de vulnerabilidade Definição A fonte de ameaça está altamente motivada e possui conhecimento suficiente para a execução do ataque. Os controles de Segurança para prevenir que a vulnerabilidade seja explorada são ineficazes A fonte de ameaça está motivada e possui conhecimento suficiente para a execução do ataque. Os controles de Segurança para prevenir que a vulnerabilidade seja explorada são eficazes A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para a execução do ataque. Os controles de Segurança para prevenir que a vulnerabilidade seja explorada são eficazes 4.5 Análise de Impacto Esta importante etapa constitui na determinação do impacto adverso causado pela exploração de uma vulnerabilidade. O SP (NIST, 2002) recomenda a utilização das seguintes informações para determinar o impacto: Missão do sistema (processos suportados pelo sistema); Criticidade do sistema e dos dados envolvidos (a importância do sistema e dos dados para a organização); Classificação do sistema e informações.

21 21 A Tabela 5 a seguir demonstra a classificação dos níveis de impacto. Nível Alto Médio Baixo Fonte: NIST, 2002 Tabela 5: Classificação dos níveis de impacto Definição Perda significante dos principais ativos e recursos Perda da reputação, imagem e credibilidade Impossibilidade de continuar com atividades de negócio Perda dos principais ativos e recursos Perda da reputação, imagem e credibilidade Perda de alguns dos principais ativos e recursos Perda da reputação, imagem e credibilidade 4.6 Determinação do Risco O objetivo desta etapa é analisar o nível de risco ao ativo de TI. A determinação do risco para uma determinada combinação de ameaça e vulnerabilidade pode ser expressa como (NIST, 2002): A possibilidade de uma fonte de ameaça tentar explorar uma vulnerabilidade; A magnitude do impacto caso a fonte de ameaça explore a vulnerabilidade com sucesso; A conformidade dos controles de segurança planejados ou existentes, para reduzir ou eliminar o risco; Para se determinar o nível do risco, deve-se utilizar a Matriz de Riscos, obtida pela multiplicação da probabilidade de ocorrência pelo nível de impacto, como no exemplo da tabela 6 abaixo. Tabela 6: Cálculo de classificação de riscos Impacto Probabilidade Baixo(10) Médio(50) Alto(100) Alto (1,0) Baixo 10 * 1,0 = Médio 50 * 1,0 = 50 Alto 100 * 1,0 = Médio(0,5) Baixo 10 * 0,5 = 5 Médio 50 * 0,5 = 25 Alto 100 * 0,5 = 50 Baixo (0,1) Baixo 10 * 0,1 = 1 Médio 50 * 0,1 = 5 Alto 100 * 0,1 = 10 Fonte: NIST, 2002

22 22 O risco é classificado como alto quando obtém mais de 50 pontos, médio quanto tem entre 10 e 50 pontos, e baixo quando tem menos de 10 pontos. 4.7 Seleção de Controles de Segurança A partir da relação de ativos e suas vulnerabilidades, deve-se determinar um ou mais controles que visem mitigar ou eliminar os respectivos riscos. É recomendado usar alguma norma para auxiliar este item. A seleção de controles é o resultado da análise de riscos, e fornece subsídio para o processo de mitigação de riscos. 4.8 Apresentação dos Resultados O NIST (2002) recomenda que uma vez finalizada a análise de riscos, os resultados devem ser documentados em um relatório oficial. Um relatório de análise de risco é um documento gerencial, que auxilia os tomadores de decisão a definir as políticas de segurança da empresa.

23 23 5 NORMAS Neste trabalho, serão exploradas algumas normas como ISO, CMMI e Cobit. O uso das mesmas ocorre visto sua vasta utilização no ambiente empresarial. Neste capítulo será apresentada uma breve introdução à algumas normas que têm relação com segurança da informação. 5.1 International Organization for Standardization - ISO Sediada na Europa, a ISO é uma entidade não governamental que atua na padronização de diversas disciplinas e sua adoção e aceitação é mundial. Atualmente é a principal desenvolvedora de padrões internacionais. O desenvolvimento das normas conta com a participação de institutos de normas de mais de 160 países (ISO, 2011) ISO Adotando a proposta da BS7799 publicada pelo BSI, a ISO especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes (NBR ISO 27001, 2006). Este padrão pode ser utilizado por empresas de diferentes tipos, portes e setores, como por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos (NBR ISO 27001, 2006) ISO Ao contrário da ISO que propõe um modelo que a empresa deve implementar, a ISO é um guia de boas práticas, que pode ser utilizado em conjunto com a ISO

24 24 Os objetivos de controle e os controles desta norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Esta Norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades inter organizacionais (NBR ISO 27002, 2005). A seguir, a ISO destaca os seguintes controles, que devem ser analisados: O fornecedor deve: 1. Verificar se o fornecedor possui uma política de segurança da informação; 2. Determinar os controles para assegurar a proteção dos ativos, incluindo: a. Procedimentos para proteger os ativos da organização, incluindo informação, software e hardware; b. Quaisquer mecanismos e controles para a proteção física requerida; c. Controles para assegurar a proteção contra software malicioso; d. Procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por exemplo, perda ou modificação de dados, software e hardware; e. Controles para assegurar o retorno ou a destruição da informação e dos ativos no final do contrato, ou em um dado momento definido no acordo; f. Confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante dos ativos; g. Restrições em relação a cópias e divulgação de informações, e uso dos acordos de confidencialidade; 3. Promover treinamento dos usuários e administradores nos métodos, procedimentos e segurança da informação; 4. Assegurar a conscientização dos usuários nas questões e responsabilidades pela segurança da informação; 5. Possibilitar a transferência de pessoal, onde necessário; 6. Responsabilidades com relação a manutenção e instalação de software e hardware;

25 25 Quando existem partes externas: Determinar recursos de processamento da informação que uma parte externa estará autorizada a acessar a. Acesso físico à escritórios, salas com computadores e arquivos de papéis; b. Acesso lógico à banco de dados e sistemas de informação; c. Conexão entre a organização e a parte externa, como acesso remoto ou conexão permanente; d. Se o acesso ocorrerá dentro ou fora da organização; Determinar o valor e a sensibilidade da informação envolvida, e sua criticidade para as operações do negócio; Determinar os controles necessários para proteger a informação que não deve ser acessada pelas partes externas; Identificar as pessoas das partes externas envolvidas no manuseio das informações da organização; Estabelecer os critérios que a parte externa e/ou o pessoal autorizado a ter acesso é/são identificados, como a autorização é verificada e com qual frequência isso precisa ser reconfirmado; Determinar as formas de controle aplicadas pela parte externa quando estiver armazenando, processando, comunicando, compartilhando e repassando informações; Avaliar o impacto do acesso não estar disponível à parte externa quando necessário, e a entrada ou o recebimento incorreto ou por engano da informação; Verificar a existência de práticas e procedimentos para tratar com incidentes de segurança da informação e danos potenciais, e os termos e condições para que a parte externa continue acessando, caso ocorra um incidente de segurança da informação; Determinar requisitos regulamentares e outras obrigações contratuais relevantes para a parte externa sejam levados em consideração;

26 26 Política de controle de acesso: Identificar as diferentes razões, requisitos e benefícios que justificam a necessidade de acesso pelo terceiro; Determinar os métodos de acessos permitidos e o controle e uso de identificadores únicos, tais como identificadores de usuários e senha de acesso; Definir processo de autorização de acessos e privilégios para os usuários; Determinar requisito para manter uma lista de pessoas autorizadas a usar os serviços que estão sendo disponibilizados, e qual seus direitos e privilégios em relação a tal uso; Elaborar declaração de que todo o acesso que não seja explicitamente autorizado é proibido; Validar processo para revogar os direitos de acessos ou interromper a conexão entre os sistemas; Serviços terceirizados: Monitorar níveis de desempenho de serviços para verificar aderência aos acordos; Analisar criticamente os relatórios de serviços produzidos por terceiros e agendamento de reuniões de progresso conforme requerido pelos acordos; Fornecer informações acerca de incidentes de segurança da informação e analise critica de tais informações tanto pelo terceiro quanto pela organização, como requerido pelos acordos e por quaisquer requerimento ou diretrizes que os apoiem; Resolver e gerenciar quaisquer problemas identificados; Renegociação dos acordos se os requisitos de segurança da organização mudarem;

27 Guide to Information Technology Security Services Escrito pelo NIST, órgão do Departamento de Comércio norte-americano. Contém uma série de recomendações para assegurar o bom uso da tecnologia da informação com o objetivo de assegurar a competitividade das empresas. Inclui práticas que podem ser utilizadas em todo o ciclo de vida do serviço de TI, mas é voltado ao setor executivo da empresa, pois não contém muitos termos e conceitos utilizados na operação de Tecnologia da Informação. 5.3 Capability Maturity Model Integration Descreve as principais características de uma organização de processos de engenharia de segurança, sendo usado como uma ferramenta para a organização definir práticas de seguranças, além de sugerir melhorias. Possui também um mecanismo para avaliar a capacidade de um provedor de engenharia de segurança. O SSE-CM aplica se a todas as organizações de engenharia de segurança. 5.4 Cobit O objetivo do Cobit é focar no que é necessário para atingir um adequado controle e gerenciamento de TI e está posicionado em elevado nível. O Cobit foi alinhado e harmonizado com outros padrões e boas práticas de TI. Sua atuação é como um integrador desses diferentes materiais de orientação, resumindo os principais objetivos sob uma metodologia que também está relacionada aos requisitos de governança e de negócios (ISACA, 2007) O ISACA (2007) define o Cobit como um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas. O Cobit habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. O Cobit é atualizado continuamente e harmonizado com outros padrões e guias. Assim, o ISACA (2007) cuidada para que o Cobit seja interpretado como integrador de boas práticas de TI e a metodologia de

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br

COBIT. Governança de TI. Juvenal Santana, PMP tecproit.com.br COBIT Governança de TI Juvenal Santana, PMP tecproit.com.br Sobre mim Juvenal Santana Gerente de Projetos PMP; Cobit Certified; ITIL Certified; OOAD Certified; 9+ anos de experiência em TI; Especialista

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio?

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? A Tecnologia da Informação vem evoluindo constantemente, e as empresas seja qual for seu porte estão cada

Leia mais

COBIT FOUNDATION - APOSTILA DE RESUMO

COBIT FOUNDATION - APOSTILA DE RESUMO COBIT FOUNDATION - APOSTILA DE RESUMO GOVERNANÇA DE TI O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias

Leia mais

Gerência de Projetos de Software Modelos de gerência. CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR

Gerência de Projetos de Software Modelos de gerência. CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR Modelos de gerência CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR Modelo de maturidade: CMM CMM (Capability Maturity Model) é um modelo subdividido em 5 estágios

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

GERENCIAMENTO E PROCESSO Porque adotá-los? Onivaldo Roncatti e Leonardo Noshi

GERENCIAMENTO E PROCESSO Porque adotá-los? Onivaldo Roncatti e Leonardo Noshi GERENCIAMENTO E PROCESSO Porque adotá-los? Onivaldo Roncatti e Leonardo Noshi 1 Sobre a empresa A Business Station é uma provedora de soluções de tecnologia. Possui 5 filiais: São Paulo (matriz), Campinas,

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MODELOS DE MELHORES PRÁTICAS DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MELHORES PRÁTICAS PARA T.I. MODELO DE MELHORES PRÁTICAS COBIT Control Objectives for Information

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014

PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO 2014 Uma visão estratégica dos principais elementos da Segurança da Informação no Brasil Sumário executivo CIBERCRIMES, FALHAS EM PROCESSOS, FRAUDES, COMPORTAMENTO.

Leia mais

Avaliação e Melhorias no Processo de Construção de Software

Avaliação e Melhorias no Processo de Construção de Software Avaliação e Melhorias no Processo de Construção de Software Martim Chitto Sisson Centro Tecnológico Universidade Federal de Santa Catarina (UFSC) Florianópolis SC Brasil martim@inf.ufsc.br Abstract. This

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

GIOVANI HIPOLITO MARONEZE ESTUDO DE CASO CONTENDO IMPLANTAÇÃO DO MODELO MR-MPS-SV (NÍVEL G)

GIOVANI HIPOLITO MARONEZE ESTUDO DE CASO CONTENDO IMPLANTAÇÃO DO MODELO MR-MPS-SV (NÍVEL G) GIOVANI HIPOLITO MARONEZE ESTUDO DE CASO CONTENDO IMPLANTAÇÃO DO MODELO MR-MPS-SV (NÍVEL G) LONDRINA - PR 2014 GIOVANI HIPOLITO MARONEZE ESTUDO DE CASO CONTENDO IMPLANTAÇÃO DO MODELO MR-MPS-SV (NÍVEL G)

Leia mais

Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL

Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL Alinhamento Estratégico da TI com o Modelo de Negócios da Empresa: um estudo sobre as melhores práticas da biblioteca ITIL Fernando Riquelme i Resumo. A necessidade por criar processos mais eficientes,

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Governança de TI: O que é COBIT?

Governança de TI: O que é COBIT? Governança de TI: O que é COBIT? Agenda Governança de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências Governança de

Leia mais

Exercícios: Governança de TI Prof. Walter Cunha http://www.waltercunha.com PRIMEIRA BATERIA. PMBoK

Exercícios: Governança de TI Prof. Walter Cunha http://www.waltercunha.com PRIMEIRA BATERIA. PMBoK Exercícios: Governança de TI Prof. Walter Cunha http://www.waltercunha.com PRIMEIRA BATERIA PMBoK 1. (FCC/ANALISTA-MPU 2007) De acordo com o corpo de conhecimento da gerência de projetos, as simulações

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3 Gerenciamento de Serviços de TIC ISO/IEC 20.000 / ITIL V2 e V3 Agenda O que é serviço de TIC? O que é Qualidade de Serviços de TIC? O que é Gerenciamento de Serviços de TIC? ISO IEC/20.000-2005 ITIL versão

Leia mais

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Ciência da Computação Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Agenda Histórico Conceitos básicos Objetivos Visão Geral do Modelo Publicações: Estratégia de

Leia mais

Imagem Gustavo Santos. Observe Bombinhas SC.

Imagem Gustavo Santos. Observe Bombinhas SC. Imagem Gustavo Santos. Observe Bombinhas SC. 1 2 1. Uma nova modalidade de prestação de serviços computacionais está em uso desde que a computação em nuvem começou a ser idealizada. As empresas norte-

Leia mais

Carlos Henrique Santos da Silva

Carlos Henrique Santos da Silva GOVERNANÇA DE TI Carlos Henrique Santos da Silva Mestre em Informática em Sistemas de Informação UFRJ/IM Certificado em Project Management Professional (PMP) PMI Certificado em IT Services Management ITIL

Leia mais

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA A FIESP esclarece que as informações apresentadas na presente Cartilha são apenas sugestões para auxiliar as

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS

POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS POLITÍCA DE SEGURANÇA DA INFORMAÇÃO NAS EMPRESAS Fabio Eder Cardoso 1 Paulo Cesar de Oliveira 2 Faculdade de Tecnologia de Ourinhos - FATEC 1. INTRODUÇÃO A informação é o elemento básico para que a evolução

Leia mais

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial.

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial. Governança Corporativa A importância da Governança de TI e Segurança da Informação na estratégia empresarial. A virtualização dos negócios tem impactado diretamente a condição de fazer negócio, conferindo

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Revista F@pciência, Apucarana-PR, ISSN 1984-2333, v.3, n. 9, p. 89 98, 2009. GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: UM ESTUDO DE CASO EM MICRO E PEQUENAS EMPRESAS NA CIDADE DE APUCARANA Márcia Cristina

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

agility made possible

agility made possible RESUMO DA SOLUÇÃO Gerenciamento de ativos de software com o CA IT Asset Manager como posso administrar melhor os meus ativos de software e reduzir o risco de auditorias de conformidade? agility made possible

Leia mais

(C) A-C-E-F-H (D) A-G-F-H (E) A-G-I. Exercícios: Governança de TI Walter Cunha PRIMEIRA BATERIA. PMBoK COBIT

(C) A-C-E-F-H (D) A-G-F-H (E) A-G-I. Exercícios: Governança de TI Walter Cunha PRIMEIRA BATERIA. PMBoK COBIT Exercícios: Governança de TI Walter Cunha PRIMEIRA ATERIA (C) A-C-E-F-H (D) A-G-F-H (E) A-G-I PMoK 1. (FCC/ANALISTA-MPU 2007) De acordo com o corpo de conhecimento da gerência de projetos, as simulações

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição outubro 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

a qualidade em suas mãos www.iso4all.com.br

a qualidade em suas mãos www.iso4all.com.br a qualidade em suas mãos www.iso4all.com.br ISO/DIS 9001:2015 Tradução livre* Sistemas de Gestão da Qualidade - Requisitos Sumário Prefácio... 5 Introdução... 6 0.1 Generalidades... 6 0.2 A Norma ISO para

Leia mais

Unidade V GOVERNANÇA DE TI. Profa. Gislaine Stachissini

Unidade V GOVERNANÇA DE TI. Profa. Gislaine Stachissini Unidade V GOVERNANÇA DE TI Profa. Gislaine Stachissini Control Objectives for Information and Related Technology - Cobit O CobiT é um guia para a gestão de TI recomendado pelo Information Systems Audit

Leia mais

EXIN IT Service Management Foundation based on ISO/IEC 20000

EXIN IT Service Management Foundation based on ISO/IEC 20000 Exame simulado EXIN IT Service Management Foundation based on ISO/IEC 20000 Edição Novembro 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Como posso gerenciar melhor os meus ativos de software e reduzir o risco de auditorias de conformidade?

Como posso gerenciar melhor os meus ativos de software e reduzir o risco de auditorias de conformidade? RESUMO DA SOLUÇÃO CA SERVICE MANAGEMENT - GERENCIAMENTO DE ATIVOS DE SOFTWARE Como posso gerenciar melhor os meus ativos de software e reduzir o risco de auditorias de conformidade? O CA Service Management

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Política de Sistemas Corporativos e Serviços da Rede Governamental

Política de Sistemas Corporativos e Serviços da Rede Governamental Dezembro de 2006 1.0 02/12/2006-2 - Índice 1 Objetivo... 3 2 Abrangência... 3 3 Considerações Gerais... 4 4 Exigências de Segurança para sistemas governamentais... 4 4.1 Exigências dos Níveis de Segurança...

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

Unidade V GOVERNANÇA DE TI

Unidade V GOVERNANÇA DE TI GOVERNANÇA DE TI Unidade V CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 1 O CobiT é um guia para a gestão de TI recomendado pelo Information Systems Audit and Control Foundation (ISACF)

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português

SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português 1 de 7 28/10/2012 16:47 SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português RESULTADO DO SIMULADO Total de questões: 40 Pontos: 0 Score: 0 % Tempo restante: 55:07 min Resultado: Você precisa

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

Política de Uso e Segurança dos Recursos de TI

Política de Uso e Segurança dos Recursos de TI 1 Política de Uso e Segurança dos Recursos de TI Conceitos Desenvolvimento da Informática no Brasil Por que ter segurança? Principais Vulnerabilidades Principais Ameaças às Informações Exemplos de Problemas

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais