ESCOLA SUPERIOR ABERTA DO BRASIL - ESAB CURSO DE PÓS-GRADUAÇÃO LATO SENSU EM ENGENHARIA DE SISTEMAS NARA SUELY OLIVEIRA BANDEIRA

Tamanho: px
Começar a partir da página:

Download "ESCOLA SUPERIOR ABERTA DO BRASIL - ESAB CURSO DE PÓS-GRADUAÇÃO LATO SENSU EM ENGENHARIA DE SISTEMAS NARA SUELY OLIVEIRA BANDEIRA"

Transcrição

1 ESCOLA SUPERIOR ABERTA DO BRASIL - ESAB CURSO DE PÓS-GRADUAÇÃO LATO SENSU EM ENGENHARIA DE SISTEMAS NARA SUELY OLIVEIRA BANDEIRA PRINCIPAIS RISCOS DE SEGURANÇA DA INFORMAÇÃO A QUE AS ORGANIZAÇÕES ESTÃO EXPOSTAS VILA VELHA - ES 2011

2 NARA SUELY OLIVEIRA BANDEIRA PRINCIPAIS RISCOS DE SEGURANÇA DA INFORMAÇÃO A QUE AS ORGANIZAÇÕES ESTÃO EXPOSTAS Monografia apresentada ao Curso de Pós-Graduação em Engenharia de Sistemas da Escola Superior Aberta do Brasil como requisito para obtenção do título de Especialista em Engenharia de Sistemas, sob orientação da Prof.ª Janaina Costa Binda. VILA VELHA - ES 2011

3 NARA SUELY OLIVEIRA BANDEIRA PRINCIPAIS RISCOS DE SEGURANÇA DA INFORMAÇÃO A QUE AS ORGANIZAÇÕES ESTÃO EXPOSTAS Monografia aprovada em de de Banca examinadora VILA VELHA - ES 2011

4 Dedico este trabalho à minha família. DEDICATÓRIA

5 AGRADECIMENTO À Deus, pela força para conseguir chegar até aqui. À ESAB, pela oportunidade de fazer esse curso. À minha amiga Nadielle, pelo apoio de sempre. A todos que de alguma forma contribuíram para a conclusão desse trabalho.

6 RESUMO Palavras-chave: Segurança da Informação. Riscos. Organizações. O trabalho que segue analisa os principais riscos envolvidos na segurança da informação das organizações. Inicialmente, o trabalho contempla um estudo sobre os conceitos importantes do tema segurança da informação, para ajudar no entendimento do tema, e lista as normas ABNT existentes sobre o assunto, principal fonte do trabalho. Em seguida, identifica os vários tipos de riscos de segurança da informação a que as organizações estão expostas, e, com base nas normas ABNT previamente citadas, sugere várias ações que podem ser tomadas para reduzir esses ricos, de acordo com os interesses da organização. O método de pesquisa escolhido foi a pesquisa exploratória, através de livros, artigos de Internet e trabalhos científicos. Evidenciando, por fim, que os riscos de segurança da informação, quando não são conhecidos e devidamente controlados, podem trazer prejuízos para a organização, mas que, através de um estudo específico, eles podem ser reduzidos e deixarem de ser um perigo.

7 LISTA DE FIGURAS Figura 1 Firewall Figura 2 - Chave Simétrica Figura 3 - Certificado Digital Figura 4 - Modelo PDCA aplicado aos processos de SGSI Figura 5 - Processo de gestão de riscos em segurança da informação... 32

8 LISTA DE QUADROS Quadro 1 - Etapas do modelo PDCA... 29

9 SUMÁRIO 1. INTRODUÇÃO PROBLEMA JUSTIFICATIVA OBJETIVOS METODOLOGIA DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO VÍRUS FIREWALL CRIPTOGRAFIA ASSINATURA DIGITAL CERTIFICADO DIGITAL NORMAS ABNT SOBRE SEGURANÇA DA INFORMAÇÃO ABNT NBR ISO/IEC 27001: ABNT NBR ISO/IEC 27002: ABNT NBR ISO/IEC 27004: ABNT NBR ISO/IEC 27005: PRINCIPAIS RISCOS ANÁLISE E AVALIAÇÃO DE RISCOS PRINCIPAIS RISCOS Organização da equipe segurança da informação Ativos de informática Segurança de equipamentos Documentação e procedimentos Gerenciamento da rede Backup... 41

10 4.2.7 Controle de acesso MEDIDAS DE CONTROLE PARA REDUÇÃO DE RISCOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO GESTÃO DE ATIVOS GESTÃO DE RECURSOS HUMANOS SEGURANÇA FÍSICA E DO AMBIENTE GERENCIAMENTO DAS OPERAÇÕES CONTROLE DE ACESSO CONCLUSÃO REFERÊNCIAS... 56

11 11 1. INTRODUÇÃO Na era do conhecimento, é imprescindível a necessidade de segurança da informação nas organizações. A informação pode ser considerada um patrimônio e deve ser protegida em relação à disponibilidade, integridade e confidencialidade. Se não houver mecanismos de proteção, cedo ou tarde, haverá prejuízo moral ou material. A segurança é clara para os gestores da área, que conhecem as necessidades da organização nesse contexto, mas a questão é como mostrar para a alta administração a verdadeira necessidade de investimentos em Segurança da Informação. Uma análise de riscos eficiente pode auxiliar os gestores a encontrarem as principais ameaças A análise de risco é parte do gerenciamento de risco, que é uma abordagem importante para todas as organizações minimizarem os riscos negativos e maximizarem as oportunidades. Afinal, o risco nos permite enxergar o futuro e suas consequências, podendo ser positivo ou negativo. A partir da análise risco, a organização pode controlar os riscos identificados, de modo que eles não interfiram no bom andamento dos projetos. Nesse contexto, serão apresentados os principais pontos que devem ser considerados para uma análise se riscos, a fim de se obter os principais riscos de segurança da informação a que as empresas estão expostas. 1.1 PROBLEMA A segurança da informação tem uma influência muito forte nas organizações e, se não for dada a devida atenção aos riscos dessa área, eles com certeza causarão

12 12 prejuízos, como furto de informações, documentos, equipamentos, espionagem, e até denegrir a imagem dela. As consequências podem ser traduzidas em vários aspectos como perdas financeiras, paralisação dos serviços essenciais, perda da confiança dos clientes, falhas de telecomunicação, entre outros, mas uma avaliação prévia dos riscos pode minimizar muito essa situação. Diante dessa problemática, a presente pesquisa foi desenvolvida a partir da seguinte indagação: Quais os riscos de segurança da informação de uma empresa? 1.2 JUSTIFICATIVA Riscos de segurança da informação desconhecidos e não controlados podem provocar grandes impactos, positivos ou negativos, às organizações informatizadas, o que demonstra sua grande importância para seus administradores. A análise de riscos os identifica e permite aos gestores priorizá-los de acordo com a severidade ou importância para a organização e tomar medidas preventivas, a fim de evitar problemas para a organização. Conhecer e controlar os riscos que podem afetar seu negócio é uma medida cada vez mais prudente e incentivada às organizações, e os benefícios que ela traz podem ser se origem econômica e moral.

13 OBJETIVOS O objetivo geral dessa pesquisa é analisar os riscos envolvidos na segurança das informações de uma organização. Os objetivos específicos são: a) descrever os conceitos de segurança da informação; b) listar as normas ABNT sobre segurança da informação; c) identificar os tipos de riscos de segurança da informação; e d) indicar recomendações para redução dos riscos. 1.4 METODOLOGIA Pedro Demo (1981, p.7) afirma que metodologia significa, etimologicamente, o estudo dos caminhos, dos instrumentos usados para fazer a ciência. É uma disciplina instrumental, a serviço da pesquisa. Para Salomon (2001, p.152) pesquisa é o trabalho empreendido metodologicamente, quando surge um problema, para o qual se procura a solução adequada de natureza científica. Partindo desses princípios, o presente trabalho elabora um estudo para analisar os riscos de segurança da informação das organizações, bem como os principais conceitos de segurança da informação, suas normas e medidas de controle. Para o bom andamento do desenvolvimento dos estudos, foi adotado o método de pesquisa exploratório, através de livros, artigos de Internet e trabalhos científicos. Para Gil (1999, p.46): Um trabalho é de natureza exploratória quando envolver levantamento bibliográfico, entrevistas com pessoas que tiveram (ou tem) experiências

14 14 práticas com o problema pesquisado e análise de exemplos que estimulem a compreensão. Possui ainda a finalidade básica de desenvolver, esclarecer e modificar conceitos e ideias para a formulação de abordagens posteriores. A análise de dados será através da leitura e organização de todo o material coletado, para formulação das considerações finais.

15 15 2. DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO Todas as organizações informatizadas precisam enviar e receber informações através da rede de computadores, seja com outras empresas, filiais ou clientes. O grande desafio é prover segurança nessas operações, principalmente quando tratamos de dados sigilosos, através de mecanismos de segurança. Segundo Tanenbaum (2003), a segurança é um assunto abrangente e inclui inúmeros tipos de problemas. Em sua forma mais simples, a segurança se preocupa em garantir que pessoas mal-intencionadas não leiam ou, pior ainda, modifiquem secretamente mensagens enviadas a outros destinatários (TANEMBAUM, 2003). Quando nos referimos à segurança da informação, existe a preocupação não apenas com os recursos físicos, mas também com os recursos abstratos. Entre os recursos físicos podem-se citar fitas magnéticas, discos, cabos, switches e roteadores, que constituem a infraestrutura da rede. O desenvolvimento de técnicas destinadas a comprometer os serviços ou fornecer acesso não autorizado a dados que trafegam em redes que seguem a arquitetura TCP/IP vêm acompanhado do crescimento exponencial da Internet e do uso constante desta arquitetura em redes coorporativas (MARQUES, 2001). Nesse contexto, a preocupação com a segurança da informação só aumenta, pois existe o risco de informações confidenciais serem acessadas, caso não estejam bem protegidas. Para prover a proteção aos recursos abstratos é necessário conhecer os princípios da segurança da informação. Em Kurose e Ross (2006), encontramos as seguintes definições:

16 16 a) confidencialidade: Apenas o remetente e o destinatário pretendido podem entender o conteúdo da mensagem transmitida, que deve estar cifrada de alguma maneira, para que ela não seja decifrada por algum interceptador; b) autenticação: O remetente e o destinatário precisam confirmar a identidade da outra parte envolvida na negociação confirmar se a outra parte é realmente quem alega ser; c) integridade: Mesmo que o remetente e o destinatário consigam se autenticar reciprocamente, eles também querem assegurar que o conteúdo da comunicação não seja alteado durante a transmissão; d) não repúdio: Impede que uma entidade (computador, pessoa etc) envolvida em uma transação negue sua participação; e) disponibilidade: Os recursos devem ficar disponíveis para serem usados por seus usuários legítimos; e f) controle de acesso: Limita o acesso de recursos apenas a pessoas autorizadas. Kurose e Ross (2006, p.514) ainda fazem uma importante observação sobre a segurança de rede: Na prática, a segurança da rede envolve não apenas proteção, mas também detecção de falhas de comunicação seguras e ataques à infraestrutura e reação a esses ataques. E muitos casos, um administração pode implementar mecanismos especiais de proteção para reagir a ataques. Nesse sentido, a segurança de rede é conseguida por meio de um ciclo contínuo de proteção, detecção e reação. A seguir, serão listados alguns tipos de vírus de computadores e algumas técnicas e tecnologias utilizadas na proteção das informações de redes.

17 VÍRUS Para Alecrim (2011, np), vírus são pequenos programas capazes de causar grandes transtornos a indivíduos, empresas e outras instituições, afinal, podem apagar dados, capturar informações, alterar ou impedir o funcionamento do sistema operacional e assim por diante. E ainda existem outros programas símiles, como worms, cavalos de Tróia, spywares e rootkits. Portanto, os vírus são apenas uma categoria das pragas digitais, que são programas com fins maliciosos. Alecrim (2011) ainda explica que o termo malware é usado para generalizar todos esses tipos de programas. Quando um vírus contamina um computador, além de executar a ação para o qual foi programado, tenta também se espalhar para outras máquinas, tal como fazem os vírus biológicos nos organismos que invadem. Com a ajuda da Internet, os vírus podem se propagar com uma velocidade inimaginável e contaminar um número expressivo de computadores, explorando principalmente falhas de segurança, s e downloads. Segue uma simples explicação dos principais malwares conhecidos: a) Cavalo de Tróia: um código malicioso que realiza uma função inesperada e indesejável. Segundo Tanenbaum (2003), essa função pode modificar, remover, copiar ou criptografar os arquivos do usuário, pelo correio eletrônico ou FTP. Para que ele execute, a pessoa deve ser convencida a aceitá-lo/executá-lo, geralmente em anexos ou links em , download de programas desconhecidos, download de vídeos, etc. Originalmente, ele não se multiplica, isso só acontece quando está em conjunto com outro vírus (TANEMBAUM, 2003).

18 18 b) Worms: também conhecidos como vermes, são um software criado para fazer cópias de si mesmo e infectar outros computadores, sem contar com a interação humana, explorando falhas em aplicativos ou no sistema operacional. E diferentemente de um vírus, o worm faz isso automaticamente (ALECRIM, 2011). c) Spyware: a função dele é coletar informações pessoais do usuário sem que ele saiba. Essas informações coletadas variam de registros dos sites acessados até nomes de usuário e senha (BECEIRO, 2008). d) Rootkits: o grande diferencial desse malware é sua capacidade de se camuflar no sistema, ou seja, os antivírus e outros softwares de segurança têm muita dificuldade em encontrá-los. E quando encontrados são de difícil remoção (ALECRIM, 2011). Uma das principais ferramentas utilizadas para combater (detectar e remover) essas pragas digitais são os antivírus. Eles são programas que possuem uma extensa base de dados com vários tipos de malwares, que deve estar sempre atualizada, e graças a ela conseguem identificá-los e removê-los do sistema (RUSSEL, 2002). Russel (2002) ainda explica que apenas o antivírus não é garantia de que os computadores estarão totalmente seguros. Entre as várias medidas que podem ser adotadas, é aconselhável que a rede possua um filtro de pacotes, para impedir ou dificultar que o usuário faça downloads de arquivos maliciosos na Internet, trazendo assim um risco para o computador. Atualizações frequentes do sistema operacional e orientação aos usuários para que não cliquem em links desconhecidos estão entre as outras medidas que podem ser adotadas.

19 FIREWALL Miranda (2008, p.280) definiu Firewall na seguinte forma: É o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de Proxy de aplicações, comumente associados a redes TCP/IP. O firewall existe em forma de hardware, software ou na combinação dos dois. A complexidade desse equipamento vai depender do tamanho da atividade a que ele se propõe, levando em consideração do tamanho da rede, a política de segurança em questão e o grau de segurança desejado (COMER, 1998). Conforme a figura 1, o firewall funciona como uma barreira de segurança entre a rede local LAN e a Internet, podendo evitar que intrusos acessem informações confidenciais da rede. Figura 1 Firewall Fonte: Thiengo (2008) Miranda (2008) explica que o filtro de pacotes é o tipo mais comum de Firewall e tem como objetivo permitir ou negar a entrada de um determinado pacote de informações em uma rede, levando em consideração o endereço IP ou a porta de origem e de destino. Possui como vantagens ser mais barato e rápido que os outros

20 20 tipos de Firewall, uma vez que ele não se importa com o conteúdo dos pacotes. Entretanto, por fazer apenas uma filtragem superficial, sua principal desvantagem é ser mais inseguro que os demais (FAVARETO, 2003). Para Alecrim (2011), os firewalls de aplicação (exemplos de aplicação: SMTP, FTP, HTTP, etc) são instalados geralmente em computadores servidores e são conhecidos como proxy. Este tipo não permite comunicação direta entre a rede e a Internet. Dessa forma, todo o tráfego deve passar pelo firewall e o Proxy efetua a comunicação entre ambos os lados. Este é o tipo mais complexo e o mais seguro, pois todas as aplicações passam por um Proxy, que faz a avaliação TCP dos pacotes. Porém, vale ressaltar que esse projeto deve ser realizado por administradores de rede ou profissionais de comunicação qualificados (MIRANDA, 2008). A seguir são citadas as três principais razões, segundo Alecrim (2011), para se usar um firewall: a) o firewall pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização. Assim, é possível evitar que informações sejam capturadas ou que sistemas tenham seu funcionamento prejudicado pela ação de hackers; b) o firewall é um grande aliado no combate a vírus e cavalos de Tróia, uma vez que é capaz de bloquear portas que eventualmente sejam usadas pelas "pragas digitais" ou então bloquear acesso a programas não autorizados; e c) em redes corporativas, é possível evitar que os usuários acessem serviços ou sistemas indevidos, além de ter o controle sobre as ações realizadas na rede, sendo possível até mesmo descobrir quais usuários as efetuaram.

21 CRIPTOGRAFIA Para Nakamura e Geus (2007, p.301), a criptografia é uma ciência que tem importância fundamental para a segurança da informação, ao servir de base para diversas tecnologias e protocolos, tais como a infraestrutura de claves públicas, o IP Security e o Wired Equivalent Privacy (WEP). Suas propriedades sigilo, integridade, autenticidade e não repúdio garantem o armazenamento, as comunicações e as transações seguras, essenciais no mundo atual (NAKAMURA; GEUS, 2007). Para Marques (2001), a palavra criptografia vem do grego (Kryptos = escondido, oculto e Grafia = Escrita) e pode ser definida como a arte ou ciência de garantir a segurança de mensagens, de forma que apenas pessoas autorizadas a leiam. No contexto da segurança em redes de computadores ela garante confidencialidade, autenticidade, integridade e não repúdio. Tanembaum (2003) explica que a criptografia deve cifrar a mensagem original de um emissor, utilizando uma chave e um algoritmo determinados e, desta forma, gerar outro texto, chamado de texto cifrado. O texto cifrado é, então, enviado ao receptor que deve fazer o processo inverso utilizar a chave e o algoritmo determinados para chegar à mensagem original (TANEMBAUM, 2003). Assim, observa-se que mesmo sendo interceptada por outros não autorizados, a mensagem só será compreendida se souberem a forma de decifrá-la. Em geral, a chave utilizada em processos de criptografia é uma combinação de bits e, dependendo da forma como a chave é utilizada, a criptografia classifica-se em simétrica ou assimétrica (RUSSEL, 2002). Os algoritmos de chave simétrica utilizam a mesma chave para codificação e decodificação da mensagem. E essa chave deve ser previamente conhecida pelo

22 22 emissor e pelo receptor (NAKAMURA; GEUS, 2007). A figura 2 demonstra o funcionamento desse tipo de chave. Galvão Junior (2011) explica que uma das principais desvantagens da criptografia simétrica é o uso da mesma chave tanto para criptografar como para descriptografar os dados. Por isso, todas as partes que enviam e recebem os dados devem conhecer ou ter acesso à chave de criptografia. Esse requisito cria um problema de gerenciamento de segurança e problemas de gerenciamento de chave que uma organização deve considerar em seu ambiente. Figura 2 - Chave Simétrica Fonte: Nunes (2007) No entanto, a simplicidade desses algoritmos faz com que eles sejam mais rápidos que os assimétricos. Em Tanembaum (2003, p. 798), encontramos os exemplos: a) Data Encryption Standard (DES); b) Advanced Encryption Standard (AES); c) Blowfish; d) Serpent.

23 23 Já a criptografia assimétrica, por outro lado, envolve o uso de duas chaves distintas: uma chave pública, usada pelo mundo inteiro para criptografar as mensagens a serem enviadas para esse usuário, e uma chave privada, que o usuário utiliza para descriptografar mensagens (TANENBAUM, 2003). Desta forma, se um emissor utiliza a chave pública de um determinado receptor para cifrar uma mensagem, esta só poderá ser decifrada pela chave privada que o receptor deve manter em sigilo absoluto (TANENBAUM, 2003). Assim, garante-se autenticidade e confidencialidade. Marques (2001) ressalta que o principal problema da criptografia por chave pública é que ela é muito mais lenta que a criptografia simétrica. Como exemplo de algoritmos assim, Marques (2001) cita o RSA, que utiliza chaves compostas de 512, 768, 1024 ou 2048 bits. 2.4 ASSINATURA DIGITAL Barwinski (2011, np) define a assinatura digital da seguinte forma: A assinatura digital é uma tecnologia que permite dar garantia de integridade e autenticidade a arquivos eletrônicos. É um conjunto de operações criptográficas aplicadas a um determinado arquivo, tendo como resultado o que se convencionou chamar de assinatura digital. Graças à assinatura digital, é possível comprovar que a mensagem ou arquivo não foi alterado e que foi assinado pela entidade ou pessoa que possui a chave privada utilizada na assinatura, segundo Tanenbaum (2003). De acordo com o principio da assinatura digital, o emissor assina a mensagem com sua chave privada e o receptor verifica sua assinatura com a sua chave pública, garantindo que a mensagem foi realmente emitida pelo assinante (TANEMBAUM, 2003).

24 24 Barwinski (2011) também explica que no Brasil, com a criação da ICP-Brasil e da MP /2001 foi estabelecida a validade legal de documentos assinados digitalmente, utilizando-se certificados digitais emitidos dentro da cadeia de certificação da ICP-Brasil. Russel (2002) complementar o assunto informando que a ICP-Brasil fiscaliza e audita o processo de emissão de certificados digitais das autoridades certificadoras integrantes a fim de garantir total confiabilidade do processo de certificação. Desta forma dá respaldo à presunção legal de integridade, autenticidade e não repúdio dos arquivos assinados digitalmente. 2.5 CERTIFICADO DIGITAL Os certificados digitais são um dos elementos que têm como base a criptografia de chave pública, utilizado por esses protocolos, e são essenciais em um modelo de segurança como o do ambiente cooperativo, no qual diversos níveis de acesso devem ser controlados e protegidos (NAKAMURA; GEUS, 2007). Burguesa (2011) define o certificado digital é um documento eletrônico assinado digitalmente, contendo a identificação de uma pessoa, sua chave pública (utilizada na verificação da validade da assinatura) e assinado digitalmente por uma Autoridade Certificadora. Puttini (2011, np) explica o uso dos certificados digitais: Com o uso de certificados digitais, a credibilidade inicial deixa de ser depositada sobre a chave pública a ser usada e passa para um terceiro participante do processo, a autoridade certificadora (Certificate Authority - CA). Ao expedir um certificado, um CA autentica a relação entre entidade e sua chave pública, garantindo que o nome da entidade presente dentro do certificado (DistinguishedName) é o nome do proprietário da chave pública que o mesmo carrega.

25 25 Teles (2011) afirma que, atualmente, os certificados digitais são frequentemente usados em sistemas que trabalham com transações financeiras como bancos, comercio eletrônico, receita federal e outros. Ainda segundo Teles (2011, np), atualmente existem 6 entidades como Autoridades Certificadoras na ICP-Brasil: a) Caixa Econômica Federal; b) Certisign; c) Presidência da República; d) Secretaria da Receita Federal; e) SERASA; e f) SERPRO. A figura 3 mostra as informações contidas em um certificado digital.

26 Figura 3 - Certificado Digital Fonte: Asakura (2011) 26

27 27 3. NORMAS ABNT SOBRE SEGURANÇA DA INFORMAÇÃO A ISO é uma organização internacional formada por um conselho e comitês com membros oriundos de vários países. Seu objetivo é criar normas e padrões universalmente aceitos sobre a realização de atividades comerciais, industriais, científicas e tecnológicas. A IEC é uma organização voltada ao aprimoramento da indústria da informação (FERREIRA; ARAÚJO, 2006). Segundo Ferreira e Araújo (2006), em dezembro de 2000 a ABNT (Associação Brasileira de Normas Técnicas) resolveu acatar a norma ISO como padrão brasileiro sendo publicada em 2001 a ABNT NBR 17799, que depois foi atualizada para a ABNT ISO/IEC A seguir serão listadas algumas normas elaboradas pela ABNT que tratam da segurança da informação nas organizações. 3.1 ABNT NBR ISO/IEC 27001:2006 A ISO/IEC foi traduzida para o português em 2006 e trata dos Sistemas de Segurança da Informação - Requisitos. Seu capítulo de introdução já define que ela especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação SGSI documentado dentro do contexto dos riscos de negócio globais da organização (ABNT 27001, 2006). A norma ABNT (2006) ainda afirma que o SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.

28 28 Os requisitos definidos na norma são genéricos e devem ser aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A abordagem de processo para a gestão da segurança da informação apresentada pela ABNT encoraja que seus usuários enfatizem a importância de: a) entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança de informação; b) implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização; c) monitoração e análise crítica do desempenho e eficácia do SGSI; e d) melhoria contínua baseada em medições objetivas. A ABNT adota o modelo conhecido como Plan-Do-Check-Act (PDCA), conforme a figura 4, aplicado para estruturar todos os processos do SGSI, de forma que as entradas do processo são as expectativas e requisitos de segurança de informação da organização. Como saída desse processo, temos a Gestão da Segurança da Informação propriamente dita. Dessa maneira, essa norma foi projetada para permitir a uma organização alinhar ou integrar seu SGSI com requisitos de sistemas de gestão relacionados (ABNT 27001, 2006). Essa norma vem demonstrando seu importante papel para as organizações, visto que permite que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essas tarefas (INFORMABR, 2007).

29 29 A figura 4, abaixo, mostra o modelo Plan-Do-Check-Act (PDCA), adotado por esta norma. Figura 4 - Modelo PDCA aplicado aos processos de SGSI Fonte: ABNT (2006) O quadro 1, abaixo, explica o que acontece em cada etapa. Quadro 1 - Etapas do modelo PDCA Fonte: ABNT (2006)

30 ABNT NBR ISO/IEC 27002:2005 A ISO/IEC foi traduzida para o português em 2005 e fala do Código de prática para a gestão da segurança da informação. Seu objetivo é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos na norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação (ABNT 27002, 2005). Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. A norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais (MATOS, 2010). A ABNT (2005) contém 11 seções de controles de segurança da informação, que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. Cada seção contém um número de categorias principais de segurança da informação. As 11 seções são: Política de Segurança da Informação (1 categoria); Organizando a Segurança da Informação (2 categorias); Gestão de Ativos (2 categorias); Segurança em Recursos Humanos (3 categorias); Segurança Física e do Ambiente (2 categorias); Gestão das Operações e Comunicações (10 categorias); Controle de Acesso (7 categorias); Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6 categorias); Gestão de Incidentes de Segurança da Informação (2 categorias); Gestão da Continuidade do Negócio (1 categoria); Conformidade (3 categorias).

31 31 Ela serve como referência para a criação e implementação de práticas de segurança reconhecidas internacionalmente, incluindo: Políticas, Diretrizes, Procedimentos, Controles. É um conjunto completo de recomendações para: Gestão da Segurança da Informação e Controles e Práticas para a Segurança da Informação (MATOS, 2010). 3.3 ABNT NBR ISO/IEC 27004:2010 A norma ABNT NBR ISO/IEC 27004:2010 fornece diretrizes para o desenvolvimento e uso de métricas e medições para avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na ABNT NBR ISO/IEC De acordo com a norma ABNT (2010), seus principais objetivos são: a) avaliar a eficácia dos controles ou grupos de controles implementados, baseados na NBR ISO IEC 27001; b) verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos, incluindo os requisitos das partes interessadas pertinentes; c) fornecer dados confiáveis para a análise crítica pela direção para apoiar a tomada de decisões, como também para as demais partes interessadas pertinentes; e d) adotar ações corretivas e preventivas visando à melhoria contínua do SGSI.

32 ABNT NBR ISO/IEC 27005:2008 A norma ABNT NBR ISO/IEC 27005, de 2008, fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar na implementação e certificação de tais sistemas de gestão. De acordo com a norma, o processo de gestão de riscos de SI é composto pelas atividades mostradas na figura 5: Figura 5 - Processo de gestão de riscos em segurança da informação Fonte: ABNT (2008)

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

EAD. Controles de Acesso Lógico. Identificar os controles de acesso lógico a serem implementados em cada uma das situações possíveis de ataque.

EAD. Controles de Acesso Lógico. Identificar os controles de acesso lógico a serem implementados em cada uma das situações possíveis de ataque. Controles de Acesso Lógico 3 EAD 1. Objetivos Identificar os controles de acesso lógico a serem implementados em cada uma das situações possíveis de ataque. Usar criptografia, assinatura e certificados

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação

SEGURANÇA DA INFORMAÇÃO. Política de Segurança da Informação SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos,

Leia mais

CERTIFICAÇÃO DIGITAL

CERTIFICAÇÃO DIGITAL Autenticidade Digital CERTIFICAÇÃO DIGITAL Certificação Digital 1 Políticas de Segurança Regras que baseiam toda a confiança em um determinado sistema; Dizem o que precisamos e o que não precisamos proteger;

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

SEGURANÇA DA INFORMAÇÃO PROF. SÓCRATES FILHO http://socratesfilho.wordpress.com

SEGURANÇA DA INFORMAÇÃO PROF. SÓCRATES FILHO http://socratesfilho.wordpress.com Comentários sobre prova do TRE/PR 2009 (CESPE TRE/PR 2009 Analista Judiciário Especialidade: Análise de Sistemas) A figura acima ilustra como um sistema de gerenciamento de segurança da informação (SGSI)

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes Autoria Esta apresentação foi desenvolvida por Ricardo Campos, docente do Instituto Politécnico de Tomar. Encontra-se disponível na página web do autor no link Publications ao abrigo da seguinte licença:

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Entendendo a Certificação Digital

Entendendo a Certificação Digital Entendendo a Certificação Digital Novembro 2010 1 Sumário 1. Introdução... 3 2. O que é certificação digital?... 3 3. Como funciona a certificação digital?... 3 6. Obtendo certificados digitais... 6 8.

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas comunicações Responsabilidades e procedimentos operacionais Assegurar que as informações

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Firewall. Alunos: Hélio Cândido Andersson Sales

Firewall. Alunos: Hélio Cândido Andersson Sales Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a

Leia mais

M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações

M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações Prof. Fernando Augusto Teixeira 1 2 Agenda da Disciplina Certificado Digital e suas aplicações Segurança Criptografia Simétrica

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos.

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos. INTRODUÇÃO Essa apostila foi idealizada como suporte as aulas de Informática Educativa do professor Haroldo do Carmo. O conteúdo tem como objetivo a inclusão digital as ferramentas de pesquisas on-line

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Carreira Policial Mais de 360 aprovados na Receita Federal em 2006 67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Apostila

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX. Empresa XX LTDA

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX. Empresa XX LTDA 1 REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA EMPRESA XX Empresa XX LTDA A EMPRESA XX LTDA, através de seu Comitê de Tecnologia da Informação, órgão responsável pela normatização e padronização

Leia mais

USO DOS SERVIÇOS DE E-MAIL

USO DOS SERVIÇOS DE E-MAIL USO DOS SERVIÇOS DE E-MAIL 1. OBJETIVO Estabelecer responsabilidades e requisitos básicos de uso dos serviços de Correio Eletrônico, no ambiente de Tecnologia da Informação da CREMER S/A. 2. DEFINIÇÕES

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico.

1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada no processo criptográfico. Exercícios da Parte II: Segurança da Informação Walter Cunha Criptografia (CESPE/PCF-PF 03 2002) 1. A quebra de sistemas criptográficos simétricos sempre depende da descoberta da chave secreta utilizada

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

MINISTÉRIO DA EDUCAÇÃO CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE RIO VERDE NORMATIZAÇÃO DE USO DOS RECURSOS COMPUTACIONAIS DO CEFET RIO VERDE

MINISTÉRIO DA EDUCAÇÃO CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE RIO VERDE NORMATIZAÇÃO DE USO DOS RECURSOS COMPUTACIONAIS DO CEFET RIO VERDE MINISTÉRIO DA EDUCAÇÃO CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE RIO VERDE NORMATIZAÇÃO DE USO DOS RECURSOS COMPUTACIONAIS DO CEFET RIO VERDE Capítulo I DAS DEFINIÇÕES Art. 1º Para os fins desta Norma,

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação (Extraído da apostila de Segurança da Informação do Professor Carlos C. Mello) 1. Conceito A Segurança da Informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido,

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais Fundamentos em Segurança de Redes de Computadores Pragas Virtuais 1 Pragas Virtuais São programas desenvolvidos com fins maliciosos. Pode-se encontrar algumas semelhanças de um vírus de computador com

Leia mais

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa SEGURANÇA DA INFORMAÇÃO DICAS Aguinaldo Fernandes Rosa Especialista em Segurança da Informação Segurança da Informação Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos

Leia mais

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA UNIVERSIDADE FEDERAL DE PELOTAS (UFPelNet)

REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA UNIVERSIDADE FEDERAL DE PELOTAS (UFPelNet) REGULAMENTO PARA USO DA REDE CORPORATIVA DE COMPUTADORES DA UNIVERSIDADE FEDERAL DE PELOTAS (UFPelNet) A Universidade Federal de Pelotas (UFPel), através de seu Comitê de Tecnologia da Informação (PORTARIA

Leia mais

USO DE CONTROLES CRIPTOGRÁFICOS. 1 OBJETIVO Estabelecer regras sobre o uso efetivo e adequado de criptografia na proteção da informação.

USO DE CONTROLES CRIPTOGRÁFICOS. 1 OBJETIVO Estabelecer regras sobre o uso efetivo e adequado de criptografia na proteção da informação. 1786/2015 - Quinta-feira, 06 de Agosto de 2015 Tribunal Regional do Trabalho da 18ª Região 1 FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia

Leia mais

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles

Leia mais

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02

Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE. Revisão 02 Regulamento Interno de Segurança da Informação ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ - ALCE Revisão 02 As informações contidas neste documento são restritas à ALCE, não podendo ser divulgadas a terceiros

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas virtuais 1 Vírus A mais simples e conhecida das ameaças. Esse programa malicioso pode ligar-se

Leia mais

SEGURANÇA E AUDITORIA DE TI

SEGURANÇA E AUDITORIA DE TI 1 SEGURANÇA E AUDITORIA DE TI Objetivos - Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos Malware O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador

Leia mais

Cartilha de Segurança para Internet Checklist

Cartilha de Segurança para Internet Checklist Cartilha de Segurança para Internet Checklist NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Este checklist resume as principais recomendações contidas no documento intitulado Cartilha

Leia mais

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: Malwares Códigos Maliciosos - Malware Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas

Leia mais

SIG - Sistemas de Informações Gerenciais. Segurança da Informação

SIG - Sistemas de Informações Gerenciais. Segurança da Informação Segurança da Informação Importância da Informação A Informação é considerada atualmente como um dos principais patrimônio de uma organização. Importância da Informação Ela é um ativo que, como qualquer

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

1 Introdução 1.1. Segurança em Redes de Computadores

1 Introdução 1.1. Segurança em Redes de Computadores 1 Introdução 1.1. Segurança em Redes de Computadores A crescente dependência das empresas e organizações modernas a sistemas computacionais interligados em redes e a Internet tornou a proteção adequada

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Segurança a da Informação Aula 02. Aula 02

Segurança a da Informação Aula 02. Aula 02 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Segurança a da Informação é: Cultura, Cidadania, Desenvolvimento pessoal e social, Competitividade, Influência e poder, Imprescindível para a

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES RESPONSABILIDADE DE TODOS PRESIDENTE DA REPÚBLICA Dilma Rouseff MINISTRO DE ESTADO DO TRABALHO E EMPREGO Carlos Roberto Lupi SECRETÁRIO EXECUTIVO Paulo Roberto dos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

O acesso ao Site é gratuito, através de qualquer dispositivo com acesso à

O acesso ao Site é gratuito, através de qualquer dispositivo com acesso à Termos de Uso Sobre o Site Este site e seu conteúdo (o Site ) são de propriedade exclusiva da ROIA COMÉRCIO DE BIJUTERIAS E ACESSORIOS LTDA., sociedade limitada, inscrita no CNPJ/MF sob o nº 15.252.911/0001-83

Leia mais

Ameaças a computadores. Prof. César Couto

Ameaças a computadores. Prof. César Couto Ameaças a computadores Prof. César Couto Conceitos Malware: termo aplicado a qualquer software desenvolvido para causar danos em computadores. Estão nele incluídos vírus, vermes e cavalos de tróia. Vírus:

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais