UNIVERSIDADE ANHEMBI MORUMBI FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE ANHEMBI MORUMBI FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI"

Transcrição

1 UNIVERSIDADE ANHEMBI MORUMBI FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI São Paulo 2011

2 FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI Trabalho apresentado como exigência parcial para a disciplina [nome da disciplina], do curso Sistemas de Informação da Universidade Anhembi Morumbi. Orientador: Prof. Luciano Freire São Paulo 2011

3 FELIPE TENAGLIA DIAS SAMUEL DA SILVA MAROSTEGA ROTEIRO DE AVALIAÇÃO DE RISCOS NA TERCEIRIZAÇÃO DE TI Trabalho apresentado como exigência parcial para a disciplina [nome da disciplina], do curso Sistemas de Informação da Universidade Anhembi Morumbi. Aprovado em Nome do orientador/titulação/ies Nome do convidado/ titulação/ies Nome do convidado/ies São Paulo 2011

4 AGRADECIMENTOS Nosso obrigado a todos que colaboraram no desenvolvimento deste trabalho, direta ou indiretamente. Agradecemos ao professor e coordenador Luciano Freire pelo tempo dedicado a reuniões de orientação e aos professores que compreenderam o momento e incentivaram a conclusão deste trabalho.

5 RESUMO No cenário globalizado, as empresas tentam a todo custo fazer mais com menores investimentos. Terceirizar é uma opção que a maioria adota. Quando se observa a área de Tecnologia da Informação, existem riscos que as organizações correm quando não escolhem o fornecedor certo. Falhas de funcionamento, dificuldade de alteração de requisitos, não retenção de talentos, exposição de informações sigilosas, dificuldade de adaptação às alterações de negócio ou tecnológicas e recursos sem conhecimento técnico suficiente são alguns dos problemas que a organização pode encontrar ao terceirizar serviços de TI. Saber escolher o fornecedor é muito importante. É preciso identificar no momento de contratação, os fatores críticos que devem ser atendidos pelo fornecedor, além de estabelecer acordos de nível de serviço e métricas para análise do desempenho da parceria. O objetivo deste trabalho é identificar os riscos mais comuns e estabelecer um roteiro a ser analisado no momento de contratação, a fim de determinar se o fornecedor atende às necessidades de segurança da empresa. Palavras-chave: terceirização, segurança, tecnologia da informação

6 ABSTRACT In the global scenario, companies try their hardest to do more with less investment. Outsourcing is an option that the vast majority adopts. When we look at the area of Information Technology, there are risks that organizations face when they do not choose the right supplier. Malfunctions, difficulty of changing requirements, not retaining talent, exposure of sensitive information, difficulty in adapting to changing business or technological resources and without sufficient technical knowledge are some of the problems the organization may face when outsourcing IT services. Knowing how to choose the supplier is very important. You need to identify at the time of contracting, the critical factors that must be met by the supplier, and establish service level agreements and metrics for performance analysis of the partnership. The objective is to identify the most common risks and establish a model to be analyzed at the time of hiring, to determine whether the supplier meets the security needs of the company. Key-words: outsourcing, security, information technology

7 LISTA DE TABELAS Tabela 1: Principais motivos que levam as empresas a terceirizarem TI Tabela 2: Principais motivos que levam as empresas a terceirizarem TI Tabela 3: Principais motivos que levam as empresas a terceirizarem TI Tabela 4: Classificação dos níveis de vulnerabilidade Tabela 5: Classificação dos níveis de impacto Tabela 6: Cálculo de classificação de riscos Tabela 7: Modelos de Maturidade da Segurança da Informação Tabela 8: Análise de risos utilizada na formulação do questionário Tabela 9: Principais destaques dos entrevistados Tabela 10: Respostas dos entrevistados... 43

8 LISTA DE ABREVIATURAS E SIGLAS TI Tecnologia da Informação ITGI Information Technology Governance Institute ISO International Organization for Standardization ITIL Information Technology Infrastructure Library ISACA Information Systems Audit and Control Association COBIT Control Objectives for Information and related Technology CMMI Capability Maturity Model Integration IEC International Electrotechnical Commission

9 SUMÁRIO 1 INTRODUÇÃO OBJETIVO JUSTIFICATIVA ABRANGÊNCIA ESTRUTURA DO TRABALHO TERCEIRIZAÇÃO DE TI MOTIVOS PARA TERCEIRIZAR TI RISCOS VULNERABILIDADE TÉCNICAS DE ANÁLISE DE RISCOS CARACTERIZAÇÃO DOS ATIVOS IDENTIFICAÇÃO DE AMEAÇAS IDENTIFICAÇÃO DAS VULNERABILIDADES DETERMINAÇÃO DA VULNERABILIDADE ANÁLISE DE IMPACTO DETERMINAÇÃO DO RISCO SELEÇÃO DE CONTROLES DE SEGURANÇA APRESENTAÇÃO DOS RESULTADOS NORMAS INTERNATIONAL ORGANIZATION FOR STANDARDIZATION - ISO ISO ISO GUIDE TO INFORMATION TECHNOLOGY SECURITY SERVICES CAPABILITY MATURITY MODEL INTEGRATION COBIT NÍVEL DE MATURIDADE SEGURANÇA DA INFORMAÇÃO METODOLOGIA ELABORAÇÃO DO ROTEIRO ANÁLISE DE RISCOS QUESTIONÁRIO AVALIAÇÃO DO QUESTIONÁRIO RESULTADOS DA PESQUISA... 41

10 9 CONCLUSÃO TRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRÁFICAS... 45

11

12 12 1 INTRODUÇÃO Com a chegada da Era da Informação, o setor de TI Tecnologia da Informação passa a ganhar cada vez mais importância dentro das organizações, deixando de ser suporte operacional e passando a estar alinhada com os objetivos da empresa. Segundo pesquisa da Fundação Getúlio Vargas (SEBRAE/SC, 2011), as empresas no Brasil investem 6,7% de sua receita líquida em TI, valor que dobrou nos últimos 14 anos e 8% nos próximos anos. Essa crescente atenção destinada a TI não é por acaso. Segundo PORTER e MILLAR (1985), TI passou a ser um fator crítico de sucesso, possibilitando que a organização obtenha vantagem competitiva através de redução de custos ou diferenciação de produtos ou serviços. Enquanto tornar seu produto diferente envolve a exploração de informações relacionadas às necessidades dos clientes ou inovações mercadológicas, reduzir custos envolve uma série de medidas que visam fazer mais gastando o mesmo ou menos capital e uma dessas medidas é a terceirização. Com o aumento da importância de TI na vantagem competitiva das organizações, a demanda deste setor cresceu consideravelmente em certo período de tempo. Sendo assim, as empresas recorrem à terceirização principalmente para obter acesso imediato a conhecimento e também redução de custos. Embora seja importante para as empresas, o recurso da terceirização expõe as mesmas a alguns riscos, que podem ocasionar prejuízo financeiro e à imagem das corporações. 1.1 Objetivo Este trabalho tem como objetivo propor um roteiro para avaliação de riscos, baseado em um checklist, para que as empresas contratantes possam reduzir os riscos de segurança quando contratam fornecedores de serviços de TI. 1.2 Justificativa Devido a constante utilização de serviços de terceiros no ambiente de TI, as empresas estão expostas a uma série de riscos. Sabendo disso, busca-se identificar os riscos com base no referencial teórico e em pesquisas realizadas a partir de outros trabalhos.

13 Abrangência Este trabalho abrange uma série de riscos identificados por órgãos relacionados à padronização e boas práticas (como ISO e NIST). Será realizada uma análise de riscos com estes controles e na sequencia será elaborado um roteiro, que as empresas podem utilizar no momento de selecionar um fornecedor de serviços de TI. O roteiro proposto é aplicável a qualquer empresa que se utilize de terceirização de serviços de TI, mas principalmente micro e pequenas empresas, que contam com menor verba e muitas vezes não dispõem de pessoal qualificado para lidar com este processo. 1.4 Estrutura do Trabalho No capitulo 2 será abrangido os conceitos de terceirização de TI, os principais motivos para terceirizar. No capitulo 3 será apresentado alguns riscos, ameaças e vulnerabilidade que a organização pode estar sujeita a enfrentar a partir do momento que resolve terceirizar seus serviços. No capitulo 4 será explorado as técnicas de analise de riscos como por exemplo: caracterização dos ativos, identificação de ameaças e vulnerabilidades, determinação da probabilidade, analise de impacto, determinação de riscos, seleção de controles de segurança e apresentação dos resultados. No capitulo 5 será abordado os controle e normas existentes que tem relação com segurança da informação e terceirização de TI. No capitulo 6 será apresentado as etapas e os três elementos primordiais para garantir a Segurança da Informação. No capitulo 7 será apresentado algumas formas de medir o nível de maturidade e realizar uma avaliação através de princípios de qualidade que abrange cinco fases na adoção das praticas de qualidade: Incerteza, despertar, esclarecimento, sabedoria e certeza.

14 14 No capitulo 8 será visto a metodologia que foi utilizada para atingir o objetivo deste trabalho, elaboração do roteiro, analise de riscos, questionário para entrevista e avaliação deste questionário. No capitulo 10 será apresentado a conclusão do trabalho e sugestões para trabalhos futuros.

15 15 2 TERCEIRIZAÇÃO DE TI O conceito de terceirizar TI começou a tomar forma nas décadas de 50 e 60 (CUSUMANO, 1992). Para LEITE (1994), terceirizar é o ato de passar a responsabilidade de parte de uma área ou sua totalidade para outra empresa, denominada fornecedora. ARAÚJO (2001) conceitua de forma semelhante, dizendo que terceirizar é passar adiante (para terceiros) a responsabilidade de execução de uma ou mais tarefas. Já GIOSA (2003) conceitua como um processo gerencial no qual são repassadas algumas atividades para terceiros, com os quais se estabelece uma relação de parceria que permite à empresa contratante que se foque apenas nas tarefas ligadas à sua área de negócio. 2.1 Motivos para terceirizar TI Em sua pesquisa, LEITE (1995), demonstra que cada vez mais empresas - seja ela do setor privado ou público passam a terceiros a responsabilidade de operação de TI, concentrando esforços em outras atividades. Segundo O BRIEN (2001) em relação ao mercado norte americano, as grandes empresas têm terceirizado parte ou a totalidade de suas operações de TI. LEITE (1995) afirma ainda, que na época da pesquisa, 80% das empresas pesquisadas adotavam a terceirização para operar pelo menos alguma parte de tecnologia da informação. Em seu estudo, ficou evidente qual o principal motivo que levou as empresas estudadas a terceirizarem como podemos ver na tabela 1 a seguir. Tabela 1: Principais motivos que levam as empresas a terceirizarem TI Expectativa Porcentagem Conseguir acesso imediato a novos recursos, acelerando o processo de informatização 32% Redução de custos 20% Definição estratégica de concentrar esforços exclusivamente nas atividades-fim da organização 20% Procurar melhorar a eficácia da função, a fim de obter novas facilidades com o uso da informática 13% Outros (todos individualmente inferiores a 3%) 15% Fonte: LEITE, 1995

16 16 Conforme observado por Leite, (1994), o custo é o segundo principal motivo que leva as empresas a terceirizarem TI, mas pode ser quando avaliado em relação a outras atividades. Em estudo com aproximadamente 200 profissionais de TI, o ITGI, IT Governance Institute, (ISACA, 2005) observou as seguintes palavras-chave no contexto destes profissionais como motivos que levaram suas organizações a adotarem a terceirização. As razões mais recorrentes estão na tabela 2 a seguir que demonstram os principais motivos que levam as empresas a terceirizarem TI. Tabela 2: Principais motivos que levam as empresas a terceirizarem TI Motivo Porcentagem dos profissionais que enxergam como crítico Falta de conhecimento interno 48% Reduzir custos 42% Oferecer um serviço melhor/mais 34% rápido Reduzir riscos em TI 30% Fonte: ISACA, 2004 Uma controvérsia em relação ao principal motivo que leva as empresas a terceirizarem TI é o estudo de mestrado de PRADO (2000), onde identifica a seguinte situação que é demonstrada na tabela 3 a seguir. Tabela 3: Principais motivos que levam as empresas a terceirizarem TI Motivo para terceirizar TI Importância Ocorrência Expectativa de redução de custos 1º 28% Acesso ao conhecimento e à tecnologia 2º 20% Flutuação na carga de trabalho 3º 18% Melhoria na prestação de serviços de produtividade 4º 16% Outros 5º 19% Fonte: PRADO, 2000 Embora observadas controvérsias em relação à primeira colocação entre expectativa de redução de custos e acesso imediato à conhecimento e tecnologia, estas duas são as principais razões para uma empresa tomar a decisão de terceirizar sua área de Tecnologia da Informação.

17 17 3 RISCOS Segundo MARCH e SHAPIRA (1987) risco é definido em dois aspectos: econômico e gerencial. No aspecto econômico, o risco é uma variante de uma distribuição provável de possíveis ganhos ou perdas coligadas a uma determinada ação. Já no aspecto gerencial, o risco é associado a resultados negativos, logo, são problemas percebidos como um perigo ou ameaça. Ameaças são fatores/ocorrências que podem violar sistemas e causar incidentes de segurança e, dessa forma causar danos aos negócios das empresas. Existem diversos tipos de ameaças e incidentes como: revelação de informações; destruição de informações ou recursos; interrupção de serviços de rede; modificação ou deturpação das informações; roubo, remoção ou perda de informações ou de outros recursos. Todos os ambientes estão vulneráveis a incidentes de segurança, portanto, à ação de ameaças. Alguns ambientes tendem a ter maior ou menor probabilidade de ocorrência, devido à eficiência das medidas de segurança implementadas (MOREIRA, 2001). 3.1 Vulnerabilidade A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações etc. Condição causada muitas vezes pela ausência ou ineficiência das medidas de proteção utilizadas com o intuito de guardar os bens da empresa (MOREIRA 2001). Todos os ambientes são vulneráveis, partindo do pressuposto de que não existem ambientes totalmente seguros. Muitas vezes, as medidas de segurança implementadas pelas empresas possuem vulnerabilidades. Neste caso, a ineficiência de medidas de proteção, em função de configurações inadequadas é uma das causas. Identificar as vulnerabilidades do sistema é um aspecto importante na identificação de medidas adequadas de segurança.

18 18 Os riscos não podem ser determinados sem o conhecimento de até onde um sistema é vulnerável, contribuindo então para a ação das ameaças (MOREIRA 2001). Em um processo de análise de segurança, deve-se identificar os processos vulneráveis e saber se os riscos associados são aceitáveis ou não. O nível de vulnerabilidade decai na medida em que são implementados controles de proteção adequadas, diminuindo também os riscos para os negócios. Pode-se dizer que os riscos estão ligados a um nível de vulnerabilidade que o ambiente analisado possui, pois para se determinar os riscos, as vulnerabilidades precisam ser identificadas (MOREIRA 2001). Os riscos relacionados com a área de TI estão cada vez mais evidenciados e o impacto nos negócios é visível, principalmente se a organização apresentar forte dependência da área de tecnologia da informação para tomada de decisão. Segundo ISACA (2007) não se pode dizer que existe somente um tipo genérico de risco em TI. O mesmo relata alguns que podem ser utilizados como exemplo: Risco de investimento: É o risco de que o investimento sendo feito em TI não seja excessivo ou perdido; Risco de segurança: Risco de informações confidenciais sejam divulgadas, ou acessadas por indivíduos sem a autoridade necessária. Inclui a privacidade e proteção de dados pessoais; Risco de integridade: O risco dos dados não serem inconsistentes, por serem privativos, incompletos ou inexatos; Risco de relevância: O risco de que as pessoas certas não tenham a informação necessária no momento oportuno para a tomada de decisão; Risco de disponibilidade: O risco de um serviço se tornar indisponível; Risco de Infraestrutura: Risco de que os sistemas e a infraestrutura de TI não ofereçam suporte à necessidade atual ou futura do negócio da organização de uma maneira eficiente, ou com o custo estimado; Risco de posse do projeto: Risco de os projetos de TI não atingirem seus objetivos por falta de responsabilidade e comprometimento;

19 19 4 TÉCNICAS DE ANÁLISE DE RISCOS Técnicas de análise de riscos são metodologias para identificar o nível de risco e ameaça aos sistemas informatizados. O Guide 73 (ISO, 2002) define como o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. É a primeira etapa do gerenciamento de riscos. Existem diversas metodologias de análise de riscos, a metodologia escolhida neste trabalho é a publicada por FERREIRA (2003) em seu livro, com base no NIST. Essa abordagem é qualitativa, sendo composta pelos passos a seguir. 4.1 Caracterização dos ativos Ativo é qualquer coisa que tenha valor para a organização (ISO/IEC , 2004). Esta etapa consiste em realizar um detalhado levantamento de tudo que tem valor para a organização, como hardware, software, interfaces de sistemas, dados e informações, além de pessoas que usam ou sustentam o ambiente de TI. 4.2 Identificação de Ameaças Ameaça é o potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ISO/IEC , 2004). Deve-se identificar as ameaças para cada ativo listado. O SP (NIST, 2002) classifica as ameaças como naturais (terremotos, tornados, enchentes, deslizamentos de terra, avalanches e etc.), humanos (intencionalmente ou deliberadamente, como ataque à rede, envio de arquivos maliciosos ou acesso indevido à informações confidenciais) ou ambientais (queda de energia por um longo período, poluição e queda de líquidos são alguns exemplos). 4.3 Identificação das Vulnerabilidades A definição de vulnerabilidade segundo a ISO/IEC (2005) é uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Nesta etapa é possível contar com o auxílio de sites especializados em vulnerabilidades, como o National Vulnerability Database (mantido pelo NIST) e o

20 20 SecurityFocus. Os sites de alguns fabricantes de software também contam com listas de vulnerabilidades e seus respectivos hot fixes, pacotes que corrigem estas vulnerabilidades. No caso de sistemas, é possível realizar testes para identificar vulnerabilidades, como utilizar ferramentas de varredura de portas, realizar ataques simulados ou ainda contar com o conhecimento dos profissionais especializados. 4.4 Determinação da Vulnerabilidade Esta etapa consiste em analisar cada vulnerabilidade identificada e determinar a probabilidade desta ser explorada. Alguns fatores podem contribuir na determinação da chance de ocorrer algum evento, como encontrar uma motivação da ameaça, a natureza da vulnerabilidade, existência e eficiência de modelos de controle atuais demonstrados na tabela 4 abaixo. Nível Alto Médio Baixo Fonte: NIST, 2002 Tabela 4: Classificação dos níveis de vulnerabilidade Definição A fonte de ameaça está altamente motivada e possui conhecimento suficiente para a execução do ataque. Os controles de Segurança para prevenir que a vulnerabilidade seja explorada são ineficazes A fonte de ameaça está motivada e possui conhecimento suficiente para a execução do ataque. Os controles de Segurança para prevenir que a vulnerabilidade seja explorada são eficazes A fonte de ameaça não está altamente motivada e não possui conhecimento suficiente para a execução do ataque. Os controles de Segurança para prevenir que a vulnerabilidade seja explorada são eficazes 4.5 Análise de Impacto Esta importante etapa constitui na determinação do impacto adverso causado pela exploração de uma vulnerabilidade. O SP (NIST, 2002) recomenda a utilização das seguintes informações para determinar o impacto: Missão do sistema (processos suportados pelo sistema); Criticidade do sistema e dos dados envolvidos (a importância do sistema e dos dados para a organização); Classificação do sistema e informações.

21 21 A Tabela 5 a seguir demonstra a classificação dos níveis de impacto. Nível Alto Médio Baixo Fonte: NIST, 2002 Tabela 5: Classificação dos níveis de impacto Definição Perda significante dos principais ativos e recursos Perda da reputação, imagem e credibilidade Impossibilidade de continuar com atividades de negócio Perda dos principais ativos e recursos Perda da reputação, imagem e credibilidade Perda de alguns dos principais ativos e recursos Perda da reputação, imagem e credibilidade 4.6 Determinação do Risco O objetivo desta etapa é analisar o nível de risco ao ativo de TI. A determinação do risco para uma determinada combinação de ameaça e vulnerabilidade pode ser expressa como (NIST, 2002): A possibilidade de uma fonte de ameaça tentar explorar uma vulnerabilidade; A magnitude do impacto caso a fonte de ameaça explore a vulnerabilidade com sucesso; A conformidade dos controles de segurança planejados ou existentes, para reduzir ou eliminar o risco; Para se determinar o nível do risco, deve-se utilizar a Matriz de Riscos, obtida pela multiplicação da probabilidade de ocorrência pelo nível de impacto, como no exemplo da tabela 6 abaixo. Tabela 6: Cálculo de classificação de riscos Impacto Probabilidade Baixo(10) Médio(50) Alto(100) Alto (1,0) Baixo 10 * 1,0 = Médio 50 * 1,0 = 50 Alto 100 * 1,0 = Médio(0,5) Baixo 10 * 0,5 = 5 Médio 50 * 0,5 = 25 Alto 100 * 0,5 = 50 Baixo (0,1) Baixo 10 * 0,1 = 1 Médio 50 * 0,1 = 5 Alto 100 * 0,1 = 10 Fonte: NIST, 2002

22 22 O risco é classificado como alto quando obtém mais de 50 pontos, médio quanto tem entre 10 e 50 pontos, e baixo quando tem menos de 10 pontos. 4.7 Seleção de Controles de Segurança A partir da relação de ativos e suas vulnerabilidades, deve-se determinar um ou mais controles que visem mitigar ou eliminar os respectivos riscos. É recomendado usar alguma norma para auxiliar este item. A seleção de controles é o resultado da análise de riscos, e fornece subsídio para o processo de mitigação de riscos. 4.8 Apresentação dos Resultados O NIST (2002) recomenda que uma vez finalizada a análise de riscos, os resultados devem ser documentados em um relatório oficial. Um relatório de análise de risco é um documento gerencial, que auxilia os tomadores de decisão a definir as políticas de segurança da empresa.

23 23 5 NORMAS Neste trabalho, serão exploradas algumas normas como ISO, CMMI e Cobit. O uso das mesmas ocorre visto sua vasta utilização no ambiente empresarial. Neste capítulo será apresentada uma breve introdução à algumas normas que têm relação com segurança da informação. 5.1 International Organization for Standardization - ISO Sediada na Europa, a ISO é uma entidade não governamental que atua na padronização de diversas disciplinas e sua adoção e aceitação é mundial. Atualmente é a principal desenvolvedora de padrões internacionais. O desenvolvimento das normas conta com a participação de institutos de normas de mais de 160 países (ISO, 2011) ISO Adotando a proposta da BS7799 publicada pelo BSI, a ISO especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes (NBR ISO 27001, 2006). Este padrão pode ser utilizado por empresas de diferentes tipos, portes e setores, como por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos (NBR ISO 27001, 2006) ISO Ao contrário da ISO que propõe um modelo que a empresa deve implementar, a ISO é um guia de boas práticas, que pode ser utilizado em conjunto com a ISO

24 24 Os objetivos de controle e os controles desta norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Esta Norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades inter organizacionais (NBR ISO 27002, 2005). A seguir, a ISO destaca os seguintes controles, que devem ser analisados: O fornecedor deve: 1. Verificar se o fornecedor possui uma política de segurança da informação; 2. Determinar os controles para assegurar a proteção dos ativos, incluindo: a. Procedimentos para proteger os ativos da organização, incluindo informação, software e hardware; b. Quaisquer mecanismos e controles para a proteção física requerida; c. Controles para assegurar a proteção contra software malicioso; d. Procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por exemplo, perda ou modificação de dados, software e hardware; e. Controles para assegurar o retorno ou a destruição da informação e dos ativos no final do contrato, ou em um dado momento definido no acordo; f. Confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante dos ativos; g. Restrições em relação a cópias e divulgação de informações, e uso dos acordos de confidencialidade; 3. Promover treinamento dos usuários e administradores nos métodos, procedimentos e segurança da informação; 4. Assegurar a conscientização dos usuários nas questões e responsabilidades pela segurança da informação; 5. Possibilitar a transferência de pessoal, onde necessário; 6. Responsabilidades com relação a manutenção e instalação de software e hardware;

25 25 Quando existem partes externas: Determinar recursos de processamento da informação que uma parte externa estará autorizada a acessar a. Acesso físico à escritórios, salas com computadores e arquivos de papéis; b. Acesso lógico à banco de dados e sistemas de informação; c. Conexão entre a organização e a parte externa, como acesso remoto ou conexão permanente; d. Se o acesso ocorrerá dentro ou fora da organização; Determinar o valor e a sensibilidade da informação envolvida, e sua criticidade para as operações do negócio; Determinar os controles necessários para proteger a informação que não deve ser acessada pelas partes externas; Identificar as pessoas das partes externas envolvidas no manuseio das informações da organização; Estabelecer os critérios que a parte externa e/ou o pessoal autorizado a ter acesso é/são identificados, como a autorização é verificada e com qual frequência isso precisa ser reconfirmado; Determinar as formas de controle aplicadas pela parte externa quando estiver armazenando, processando, comunicando, compartilhando e repassando informações; Avaliar o impacto do acesso não estar disponível à parte externa quando necessário, e a entrada ou o recebimento incorreto ou por engano da informação; Verificar a existência de práticas e procedimentos para tratar com incidentes de segurança da informação e danos potenciais, e os termos e condições para que a parte externa continue acessando, caso ocorra um incidente de segurança da informação; Determinar requisitos regulamentares e outras obrigações contratuais relevantes para a parte externa sejam levados em consideração;

26 26 Política de controle de acesso: Identificar as diferentes razões, requisitos e benefícios que justificam a necessidade de acesso pelo terceiro; Determinar os métodos de acessos permitidos e o controle e uso de identificadores únicos, tais como identificadores de usuários e senha de acesso; Definir processo de autorização de acessos e privilégios para os usuários; Determinar requisito para manter uma lista de pessoas autorizadas a usar os serviços que estão sendo disponibilizados, e qual seus direitos e privilégios em relação a tal uso; Elaborar declaração de que todo o acesso que não seja explicitamente autorizado é proibido; Validar processo para revogar os direitos de acessos ou interromper a conexão entre os sistemas; Serviços terceirizados: Monitorar níveis de desempenho de serviços para verificar aderência aos acordos; Analisar criticamente os relatórios de serviços produzidos por terceiros e agendamento de reuniões de progresso conforme requerido pelos acordos; Fornecer informações acerca de incidentes de segurança da informação e analise critica de tais informações tanto pelo terceiro quanto pela organização, como requerido pelos acordos e por quaisquer requerimento ou diretrizes que os apoiem; Resolver e gerenciar quaisquer problemas identificados; Renegociação dos acordos se os requisitos de segurança da organização mudarem;

27 Guide to Information Technology Security Services Escrito pelo NIST, órgão do Departamento de Comércio norte-americano. Contém uma série de recomendações para assegurar o bom uso da tecnologia da informação com o objetivo de assegurar a competitividade das empresas. Inclui práticas que podem ser utilizadas em todo o ciclo de vida do serviço de TI, mas é voltado ao setor executivo da empresa, pois não contém muitos termos e conceitos utilizados na operação de Tecnologia da Informação. 5.3 Capability Maturity Model Integration Descreve as principais características de uma organização de processos de engenharia de segurança, sendo usado como uma ferramenta para a organização definir práticas de seguranças, além de sugerir melhorias. Possui também um mecanismo para avaliar a capacidade de um provedor de engenharia de segurança. O SSE-CM aplica se a todas as organizações de engenharia de segurança. 5.4 Cobit O objetivo do Cobit é focar no que é necessário para atingir um adequado controle e gerenciamento de TI e está posicionado em elevado nível. O Cobit foi alinhado e harmonizado com outros padrões e boas práticas de TI. Sua atuação é como um integrador desses diferentes materiais de orientação, resumindo os principais objetivos sob uma metodologia que também está relacionada aos requisitos de governança e de negócios (ISACA, 2007) O ISACA (2007) define o Cobit como um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas. O Cobit habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. O Cobit é atualizado continuamente e harmonizado com outros padrões e guias. Assim, o ISACA (2007) cuidada para que o Cobit seja interpretado como integrador de boas práticas de TI e a metodologia de

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com

COBIT Um kit de ferramentas para a excelência na gestão de TI. Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com COBIT Um kit de ferramentas para a excelência na gestão de TI Eduardo Mayer Fagundes e-mail: eduardo@efagundes.com Introdução Atualmente, é impossível imaginar uma empresa sem uma forte área de sistemas

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI

Profa. Celia Corigliano. Unidade IV GERENCIAMENTO DE PROJETOS DE TI Profa. Celia Corigliano Unidade IV GERENCIAMENTO DE PROJETOS DE TI Agenda da disciplina Unidade I Gestão de Projetos Unidade II Ferramentas para Gestão de Projetos Unidade III Gestão de Riscos em TI Unidade

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3 Gerenciamento de Serviços de TIC ISO/IEC 20.000 / ITIL V2 e V3 Agenda O que é serviço de TIC? O que é Qualidade de Serviços de TIC? O que é Gerenciamento de Serviços de TIC? ISO IEC/20.000-2005 ITIL versão

Leia mais

SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português

SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português 1 de 7 28/10/2012 16:47 SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português RESULTADO DO SIMULADO Total de questões: 40 Pontos: 0 Score: 0 % Tempo restante: 55:07 min Resultado: Você precisa

Leia mais

ADMINISTRAÇÃO DE REDES E DATA CENTER 1º PERÍODO DE TECNOLOGIA DE REDES

ADMINISTRAÇÃO DE REDES E DATA CENTER 1º PERÍODO DE TECNOLOGIA DE REDES DESENHO DE SERVIÇO Este estágio do ciclo de vida tem como foco o desenho e a criação de serviços de TI cujo propósito será realizar a estratégia concebida anteriormente. Através do uso das práticas, processos

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 276:2011) - OTS NORMA Nº NIT-DICOR-011 APROVADA EM MAR/2013 Nº 01/46 SUMÁRIO

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

SENAC GO. Gestão da Tecnologia da Informação. Tópicos especiais em administração. Professor Itair Pereira da Silva. Alunos: Eduardo Vaz

SENAC GO. Gestão da Tecnologia da Informação. Tópicos especiais em administração. Professor Itair Pereira da Silva. Alunos: Eduardo Vaz SENAC GO Gestão da Tecnologia da Informação Tópicos especiais em administração Professor Itair Pereira da Silva Alunos: Eduardo Vaz Jalles Gonçalves COBIT COBIT (CONTROL OBJETIVES FOR INFORMATION AND RELATED

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1

Alinhamento Estratégico. A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 Conhecimento em Tecnologia da Informação Alinhamento Estratégico A importância do alinhamento entre a TI e o Negócio e o método proposto pelo framework do CobiT 4.1 2010 Bridge Consulting Apresentação

Leia mais

Governança de TI. ITIL v.2&3. parte 1

Governança de TI. ITIL v.2&3. parte 1 Governança de TI ITIL v.2&3 parte 1 Prof. Luís Fernando Garcia LUIS@GARCIA.PRO.BR ITIL 1 1 ITIL Gerenciamento de Serviços 2 2 Gerenciamento de Serviços Gerenciamento de Serviços 3 3 Gerenciamento de Serviços

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA ESTUDOCOMPARATIVO NBRISO13485:2004 RDC59:2000 PORTARIA686:1998 ITENSDEVERIFICAÇÃOPARAAUDITORIA 1. OBJETIVO 1.2. 1. Há algum requisito da Clausula 7 da NBR ISO 13485:2004 que foi excluída do escopo de aplicação

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Qualidade de Software

Qualidade de Software Rafael D. Ribeiro, M.Sc. rafaeldiasribeiro@gmail.com http://www.rafaeldiasribeiro.com.br A expressão ISO 9000 (International Organization for Standardization) designa um grupo de normas técnicas que estabelecem

Leia mais

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS

GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS GESTÃO DE TI NAS ORGANIZAÇÕES CONTEMPORÂNEAS WALLACE BORGES CRISTO 1 JOÃO CARLOS PEIXOTO FERREIRA 2 João Paulo Coelho Furtado 3 RESUMO A Tecnologia da Informação (TI) está presente em todas as áreas de

Leia mais

Metodologia para Análise de Maturidade de Governança de TI. Soluções em Gestão e TI que adicionam valor aos negócios

Metodologia para Análise de Maturidade de Governança de TI. Soluções em Gestão e TI que adicionam valor aos negócios Metodologia para Análise de Maturidade de Governança de TI Soluções em Gestão e TI que adicionam valor aos negócios Garanta a eficiência e a competitividade da sua empresa Análise de Maturidade de Governança

Leia mais

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE Prof. Dr. Ivanir Costa Unidade III QUALIDADE DE SOFTWARE Normas de qualidade de software - introdução Encontra-se no site da ABNT (Associação Brasileira de Normas Técnicas) as seguintes definições: Normalização

Leia mais

Qualidade de Processo de Software Normas ISO 12207 e 15504

Qualidade de Processo de Software Normas ISO 12207 e 15504 Especialização em Gerência de Projetos de Software Qualidade de Processo de Software Normas ISO 12207 e 15504 Prof. Dr. Sandro Ronaldo Bezerra Oliveira srbo@ufpa.br Qualidade de Software 2009 Instituto

Leia mais

Politicas de Segurança da Informação

Politicas de Segurança da Informação Politicas de Segurança da Informação Rodrigo Pionti¹, Daniel Paulo Ferreira² Faculdade de Tecnologia de Ourinhos FATEC INTRODUÇÃO Com o avanço da tecnologia de modo acelerado, o uso da internet tem se

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

Gerência de Projetos de Software Modelos de gerência. CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR

Gerência de Projetos de Software Modelos de gerência. CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR Modelos de gerência CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR Modelo de maturidade: CMM CMM (Capability Maturity Model) é um modelo subdividido em 5 estágios

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

MBA em Gestão de Tecnologia da Informação. Governança de TI - Aula 2. Lincoln Herbert Teixeira lincolnherbert@gmail.com

MBA em Gestão de Tecnologia da Informação. Governança de TI - Aula 2. Lincoln Herbert Teixeira lincolnherbert@gmail.com MBA em Gestão de Tecnologia da Informação Governança de TI - Aula 2 Lincoln Herbert Teixeira lincolnherbert@gmail.com Projetos Altos investimentos em TI - importante que tenhamos processos eficazes para

Leia mais

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio?

Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? Como obter resultados em TI com gestão e governança efetivas direcionadas a estratégia do negócio? A Tecnologia da Informação vem evoluindo constantemente, e as empresas seja qual for seu porte estão cada

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de Riscos em Segurança da informação cynaracarvalho@yahoo.com.br

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Technology and Security Risk Services. Novembro, 2003

Technology and Security Risk Services. Novembro, 2003 Technology and Security Risk Services Novembro, 2003 1. Por que escrevemos o livro? 2. Objetivo do livro 3. Conteúdo do livro 4. Dúvidas Acesso aos sites financeiros cresceu 199% em dois anos; Os sites

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versão 2.0 30/10/2014 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 5 5.1 Identificação dos riscos...

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MODELOS DE MELHORES PRÁTICAS DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza MELHORES PRÁTICAS PARA T.I. MODELO DE MELHORES PRÁTICAS COBIT Control Objectives for Information

Leia mais

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Versão 1.6 15/08/2013 Visão Resumida Data Criação 15/08/2013 Versão Documento 1.6 Projeto Responsáveis

Leia mais

ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS

ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS ITIL V3 GUIA DE MELHORES PRÁTICAS EM GERENCIAMENTO DE SERVIÇOS CAPÍTULO 1 INTRODUÇÃO ITIL V3 1.1. Introdução ao gerenciamento de serviços. Devemos ressaltar que nos últimos anos, muitos profissionais da

Leia mais

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE Modelo de Otimização de SAM Controle, otimize, cresça Em um mercado internacional em constante mudança, as empresas buscam oportunidades de ganhar vantagem competitiva

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição Novembro, 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

PR 2 PROCEDIMENTO. Auditoria Interna. Revisão - 2 Página: 1 de 9

PR 2 PROCEDIMENTO. Auditoria Interna. Revisão - 2 Página: 1 de 9 Página: 1 de 9 1. OBJETIVO Estabelecer sistemática de funcionamento e aplicação das Auditorias Internas da Qualidade, fornecendo diretrizes para instruir, planejar, executar e documentar as mesmas. Este

Leia mais

Módulo 3. Interpretação da norma NBR ISO 19011:2002 requisitos: 6.2, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.3, 6.4, 6.4.1, 6.4.2, 6.4.

Módulo 3. Interpretação da norma NBR ISO 19011:2002 requisitos: 6.2, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.3, 6.4, 6.4.1, 6.4.2, 6.4. Módulo 3 Interpretação da norma NBR ISO 19011:2002 requisitos: 6.2, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.3, 6.4, 6.4.1, 6.4.2, 6.4.3 Exercícios 6.2 Iniciando a auditoria/ 6.2.1 Designando o líder da equipe

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

MASTER IN PROJECT MANAGEMENT

MASTER IN PROJECT MANAGEMENT MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Atividade 1 Que modelos em gestão de projetos estão sendo adotados como referência nas organizações? Como

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Palestra Informativa Sistema da Qualidade NBR ISO 9001:2000

Palestra Informativa Sistema da Qualidade NBR ISO 9001:2000 Palestra Informativa Sistema da Qualidade NBR ISO 9001:2000 ISO 9001:2000 Esta norma considera de forma inovadora: problemas de compatibilidade com outras normas dificuldades de pequenas organizações tendências

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

O Valor da TI. Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação. Conhecimento em Tecnologia da Informação

O Valor da TI. Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação. Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação O Valor da TI Introduzindo os conceitos do Val IT para mensuração do valor de Tecnologia da Informação 2010 Bridge Consulting

Leia mais

Por que utilizar o modelo ITIL

Por que utilizar o modelo ITIL Por que utilizar o modelo ITIL... O que não é definido não pode ser controlado... O que não é controlado não pode ser medido... O que não é medido não pode ser melhorado Empregado para definir, controlar,

Leia mais

ITIL. Conteúdo. 1. Introdução. 2. Suporte de Serviços. 3. Entrega de Serviços. 4. CobIT X ITIL. 5. Considerações Finais

ITIL. Conteúdo. 1. Introdução. 2. Suporte de Serviços. 3. Entrega de Serviços. 4. CobIT X ITIL. 5. Considerações Finais ITIL Conteúdo 1. Introdução 2. Suporte de Serviços 3. Entrega de Serviços 4. CobIT X ITIL 5. Considerações Finais Introdução Introdução Information Technology Infrastructure Library O ITIL foi desenvolvido,

Leia mais

Sistemas de Informação Empresarial

Sistemas de Informação Empresarial Sistemas de Informação Empresarial Governança de Tecnologia da Informação parte 2 Fonte: Mônica C. Rodrigues Padrões e Gestão de TI ISO,COBIT, ITIL 3 International Organization for Standardization d -

Leia mais

ALESSANDRO PEREIRA DOS REIS PAULO CESAR CASTRO DE ALMEIDA ENGENHARIA DE SOFTWARE - CAPABILITY MATURITY MODEL INTEGRATION (CMMI)

ALESSANDRO PEREIRA DOS REIS PAULO CESAR CASTRO DE ALMEIDA ENGENHARIA DE SOFTWARE - CAPABILITY MATURITY MODEL INTEGRATION (CMMI) ALESSANDRO PEREIRA DOS REIS PAULO CESAR CASTRO DE ALMEIDA ENGENHARIA DE SOFTWARE - CAPABILITY MATURITY MODEL INTEGRATION (CMMI) APARECIDA DE GOIÂNIA 2014 LISTA DE TABELAS Tabela 1 Áreas de processo por

Leia mais

MANUAL DE GESTÃO DA QUALIDADE

MANUAL DE GESTÃO DA QUALIDADE Revisão: 07 Data: 05.03.09 Página 1 de 7 Copia controlada MANUAL DE GESTÃO DA QUALIDADE José G. Cardoso Diretor Executivo As informações contidas neste Manual são de propriedade da Abadiaço Ind. e Com.

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

Unidade V GOVERNANÇA DE TI. Profa. Gislaine Stachissini

Unidade V GOVERNANÇA DE TI. Profa. Gislaine Stachissini Unidade V GOVERNANÇA DE TI Profa. Gislaine Stachissini Control Objectives for Information and Related Technology - Cobit O CobiT é um guia para a gestão de TI recomendado pelo Information Systems Audit

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008

RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008 SUPERINTENDÊNCIA DE CONTROLE GERÊNCIA DE CONTROLE DE TESOURARIA ANÁLISE DE RISCO OPERACIONAL RELATÓRIO DE GERENCIAMENTO DO RISCO OPERACIONAL NO BANCO BMG POSIÇAO EM 31 DE DEZEMBRO DE 2008 Belo Horizonte

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição outubro 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Página: 1 de 5 1. INTRODUÇÃO A informação é um ativo que possui grande importância para PRÓ-MEMÓRIA, sendo resguardada contra ameaças e riscos. Segurança da informação, segundo a NBR ISO/IEC 27002:2005,

Leia mais

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit.

1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 1- Objetivo: Avaliar os conhecimentos adquiridos durante o auto treinamento de Governança de TI com as práticas da ITIL e Cobit. 2 Regras e Instruções: Antes de começar a fazer a avaliação leia as instruções

Leia mais

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA

FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO DA TECNOLOGIA DA INFORMAÇÃO EDUARDO ROCHA BRUNO CATTANY FERNANDO BAPTISTA Descrição da(s) atividade(s): Indicar qual software integrado de gestão e/ou ferramenta

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, CSPO, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor Gestão e Governança de TI Modelo de Governança em TI Prof. Marcel Santos Silva PMI (2013), a gestão de portfólio é: uma coleção de projetos e/ou programas e outros trabalhos que são agrupados para facilitar

Leia mais

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012

SISTEMAS INTEGRADOS DE GESTÃO. Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012 Risk Tecnologia Coleção Risk Tecnologia SISTEMAS INTEGRADOS DE GESTÃO Requisitos e Diretrizes para a Integração de Sistemas de Gestão PAS 99:2012 Aplicável às Atuais e Futuras Normas ISO 9001, ISO 14001,

Leia mais

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento

CobiT. MBA em Sistemas de Informação. Conteúdo. 1. Sumário Executivo. 2. Estrutura. 3. Objetivos de Controle. 4. Diretrizes de Gerenciamento MBA em Sistemas de Informação CobiT Conteúdo 1. Sumário Executivo 2. Estrutura 3. Objetivos de Controle 4. Diretrizes de Gerenciamento 5. Modelo de Maturidade 6. Guia de Certificação de TI 7. Implementação

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Processos Técnicos - Aulas 4 e 5

Processos Técnicos - Aulas 4 e 5 Processos Técnicos - Aulas 4 e 5 Trabalho / PEM Tema: Frameworks Públicos Grupo: equipe do TCC Entrega: versão digital, 1ª semana de Abril (de 31/03 a 04/04), no e-mail do professor (rodrigues.yuri@yahoo.com.br)

Leia mais

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI

Objetivos. PDI - Plano Diretor de Informática. O que é? Como é feito? Quanto dura sua elaboração? Impactos da não execução do PDI Objetivos Assegurar que os esforços despendidos na área de informática sejam consistentes com as estratégias, políticas e objetivos da organização como um todo; Proporcionar uma estrutura de serviços na

Leia mais

Qualidade na gestão de projeto de desenvolvimento de software

Qualidade na gestão de projeto de desenvolvimento de software Qualidade na gestão de projeto de desenvolvimento de software [...] O que é a Qualidade? A qualidade é uma característica intrínseca e multifacetada de um produto (BASILI, et al, 1991; TAUSWORTHE, 1995).

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

EMC Consulting. Estratégia visionária, resultados práticos. Quando a informação se reúne, seu mundo avança.

EMC Consulting. Estratégia visionária, resultados práticos. Quando a informação se reúne, seu mundo avança. EMC Consulting Estratégia visionária, resultados práticos Quando a informação se reúne, seu mundo avança. Alinhando TI aos objetivos de negócios. As decisões de TI de hoje devem basear-se em critérios

Leia mais

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Versão 1.0 neutronica.com.br 2016 Sumário PARTE I... 5 I. Introdução... 5 II. Melhores Práticas de Governança... 6 III. Melhores Práticas de Entrega de Serviços...

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

SI- Sistemas de Informação. Professora: Mariana A. Fuini

SI- Sistemas de Informação. Professora: Mariana A. Fuini SI- Sistemas de Informação Professora: Mariana A. Fuini INTRODUÇÃO A informação é tudo na administração de uma organização. Mas para uma boa informação é necessário existir um conjunto de características

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes

Aula 01 Introdução à Gestão da Segurança da Informação. Prof. Leonardo Lemes Fagundes Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa

Leia mais

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS

REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS REDUÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO COMO MEIO DE COMBATE A FUGA DE INFORMAÇÔES ORGANIZACIONAIS Autor(a): Tatiene Rochelle Santana Melo Coautor(es): Gliner Dias Alencar INTRODUÇÃO Com o aumento

Leia mais