Curso de Engenharia de Computação APRESENTAÇÃO DE OBJETIVOS E PRÁTICAS EM SEGURANÇA DE INFORMAÇÃO E IDENTIFICAÇÃO DE APLICABILIDADE

Tamanho: px
Começar a partir da página:

Download "Curso de Engenharia de Computação APRESENTAÇÃO DE OBJETIVOS E PRÁTICAS EM SEGURANÇA DE INFORMAÇÃO E IDENTIFICAÇÃO DE APLICABILIDADE"

Transcrição

1 Curso de Engenharia de Computação APRESENTAÇÃO DE OBJETIVOS E PRÁTICAS EM SEGURANÇA DE INFORMAÇÃO E IDENTIFICAÇÃO DE APLICABILIDADE William Alberto Breternitz Itatiba SP Brasil 2008

2 Curso de Engenharia de Computação APRESENTAÇÃO DE OBJETIVOS E PRÁTICAS EM SEGURANÇA DE INFORMAÇÃO E IDENTIFICAÇÃO DE APLICABILIDADE William Alberto Breternitz Monografia apresentada à disciplina Trabalho de Conclusão de Curso II, do Curso de Engenharia de Computação da Universidade São Francisco, sob a orientação do Prof. Ms. Sidney Pio de Campos, como exigência para conclusão do curso de graduação. Orientador: Prof. Ms. Sidney Pio de Campos Itatiba SP Brasil 2008

3 APRESENTAÇÃO DE OBJETIVOS E PRÁTICAS EM SEGURANÇA DE INFORMAÇÃO E IDENTIFICAÇÃO DE APLICABILIDADE William Alberto Breternitz Monografia defendida e aprovada em 11 de Dezembro de 2008 pela Banca Examinadora assim constituída: Prof. Ms. Sidney Pio de Campos (Orientador) USF Universidade São Francisco Itatiba SP. Prof. Thales de Társis Cezare (Membro Interno) USF Universidade São Francisco Itatiba SP. Prof. Beto Wenzel (Membro Interno) USF Universidade São Francisco Itatiba SP. O registro de argüição e defesa consta de ATA DE ARGUIÇÃO FINAL DE MONOGRAFIA, devidamente assinada e arquivada na Coordenação do curso.

4 DEDICATÓRIA Dedico este trabalho a todos os educadores que se empenharam em fornecer uma formação sólida e diferenciada durante todo o período da graduação. Também dedico este trabalho a toda minha família responsável por me apoiar em todos os momentos de alegrias e dificuldades. Não posso deixar de dedicar a todos os amigos de turma e também de outros cursos, responsáveis pelo crescimento e amadurecimento tanto educativo como social. Finalmente a Deus, presente em minha vida em todos os momentos, que me abençoou e me deu forças para mais essa conquista.

5 RESUMO Uma das grandes dificuldades que a maioria das organizações enfrenta no início deste século XXI é tratar e proteger adequadamente suas informações de operação, negócio e estratégicas. Deste modo este trabalho de conclusão de curso propõe a apresentação dos objetivos das duas principais normas que tratam o aspecto de segurança de informação, a NBR ISO/IEC 27001:2006 que possui foco em requisitos de gestão, e a NBR ISO/IEC 27002:2007 que possui foco no conjunto de práticas. Além disso, tem por objetivo desenvolver um relacionamento que auxilie a identificação das atividades a serem implementadas conforme características da organização, de modo a auxiliar nas diretivas iniciais da abordagem ao tema. As atividades desenvolvidas consistem basicamente em: conceituação no tema, identificando e estudando os principais conceitos em Segurança de Informação; identificação e apresentação dos objetivos das práticas utilizadas em Gestão da Segurança da Informação; identificação de aplicabilidade e relacionamento; realização de testes e análise dos resultados obtidos para futuras realimentações. Assim, a conclusão deste trabalho resulta em uma bibliografia consolidada em objetivos e práticas em segurança da informação e na aplicabilidade destes conforme características e estratégias da organização. Palavras-chaves: NBR; segurança; informação; objetivo; prática; aplicabilidade.

6 ABSTRACT One of the major difficulties that organizations deal with in the beggining of this century is to treat and protect accurately their operation, business and strategic information. This paper presents the objectives of the two main information security management standards which are the NBR ISO/IEC 27001:2006 that focuses requirement management and the NBR ISO/IEC 27002:2007 that focuses a code of best-practices. Moreover, the goal of this paper is to help to identify activities to be implemented according to the company's characteristics with extensive guidance to implementers. The activities consist in: Theme definition, Study and Identification of the main concepts of Information Security, Identification and Presentation of the Code of Practices used in Information Security Management System, Applicability and Relationship Identification, Test Execution and Critical Analysis of the acquired results and future regenerations. The conclusion of this paper results in a bibliography consolidated in information security objectives and practices and on their applicabilities according to characteristics and organizational strategies. Keywords: Security, Information, Objective, Practice, Applicability

7 ÍNDICE ÍNDICE... i LISTA DE FIGURAS...iii NOMENCLATURAS... iv 1 INTRODUÇÃO OBJETIVOS Objetivos Gerais Objetivos Específicos DESENVOLVIMENTO E RESULTADOS COMPOSIÇÃO BIBLIOGRÁFICA Conceituação ao Tema Metodologias e Práticas para Gestão em Segurança da Informação Requisitos Gerais Estabelecendo e Gerenciando o SGSI Requisitos de Documentação Comprometimento da Direção Gestão de Risco Auditorias Internas Analise Crítica do SGSI Melhoria do SGSI COBIT Código de Práticas para Gestão em Segurança da Informação Analisando e avaliando os riscos de segurança da informação Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativo Segurança em Recursos Humanos Segurança Física e do Ambiente Gestão das Operações e Comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade ITIL Relacionamento entre Gestão e Código de Práticas IDENTIFICAÇÃO DE APLICABILIDADE E RELACIONAMENTO Relacionamento entre SGSI e a organização Interface da Caracterização e Apresentação de Resultados REALIZAÇÃO DE TESTES E ANÁLISE DOS RESULTADOS i

8 5.1 Resultados Obtidos CONCLUSÕES E TRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRÁFICAS Bibliografias Referenciadas Bibliografias Consultadas ANEXO A QUESTIONÁRIO DE CARACTERIZAÇÃO ANEXO B QUESTIONÁRIO DE CARACTERIZAÇÃO ANEXO C INFORMAÇÕES GERAIS (instruções) ii

9 LISTA DE FIGURAS As figuras utilizadas nesse trabalho de conclusão de curso encontram-se relacionadas a seguir: Figura 1: Ciclo PDCA...07 Figura 2: Estruturação Típica e Ciclo de Operação de um Sistema de Gestão...18 Figura 3: Apresentação do Questionário...22 Figura 4: Apresentação Inicial do Relatório de Aplicabilidade...22 Figura 5: Exemplo do Relatório de Aplicabilidade...23 Figura 6: Relatório de Gestão / Empresa Alimentícia...25 Figura 7: Relatório de Gestão / Empresa de Tecnologia da Informação...26 iii

10 NOMENCLATURAS As nomenclaturas utilizadas nesse trabalho de conclusão de curso encontram-se descritas a seguir: ABNT: Associação Brasileira de Normas Técnicas; CCTA: Central Computer and Telecommunications Agency; COBIT: Control Objectives for Inforémation and related Technology; IA: Inteligência Artificial; IEC: International Electrotechnical Commission; ISACA: Information Systems Audit and Control Association; ISO: International Organization for Standardization; ITIGI: IT Governance Institute; ITIL: Information Technology Infrastructure Library; NBR: Norma Brasileira; PDCA: Plan, Do, Check, Act; SGSI: Sistema de Gestão de Segurança de Informação; TI: Tecnologia da informação. iv

11 1 INTRODUÇÃO A evolução da globalização no campo socioeconômico e a expansão da Internet com a informática no campo tecnológico desencadearam diversas mudanças a nível mundial [1,2]. Quanto aos aspectos da globalização, é de se destacar a ramificação geográfica das organizações juntamente com a expansão do mercado consumidor, com o objetivo de minimizar custos produtivos e maximizar a lucratividade. A informática por sua vez gerou a capacidade de captar e acumular informações como nunca houve na história [2]. Por sua vez a Internet possibilitou a conectividade entre os blocos mundiais, tornando possível o acesso quase que imediato às informações inseridas na rede [1]. Esses cenários impulsionam a quebra de paradigmas e incluíram novas variáveis no meio corporativo e governamental, exigindo assim uma profunda análise nos modelos de gestão das organizações. Agora as estratégias de marketing, estudo de novos nichos de mercados, produção e inovação tecnológica de produtos ou serviços passou a ser desenvolvidos e compartilhados a nível global. Isso significa a distribuição de informações estratégicas à filiais, a fornecedores e a parceiros por todo o mundo além da concreta dependência da informática [1]. Com isso, segundo Ramos [1], o tratamento dos seguintes aspectos tornou-se relevantes: Espionagem industrial e confidencialidade das informações; Crimes eletrônicos e softwares maliciosos; Criminalidade em países em desenvolvimento; Aperfeiçoamento do direito internacional; Polêmicas em torno da legislação de direitos autorais e patentes; Fraudes financeiras e contábeis; Pirataria em geral; Diferenciação cultural e terrorismo religioso ou ideológico. 1

12 Deste modo, é necessário adotar práticas para garantir sistematicamente a segurança das informações das organizações e amenizar os problemas supracitados. Assim a ISO (International Organization for Standardization) em conjunto com a IEC (International Electrotechnical Commission) colecionaram as melhores metodologias de gestão e também de práticas para o estabelecimento de duas normas, totalizando 211 itens, sendo estas também são adotadas como padrão pela ABNT (Associação Brasileira de Normas Técnicas). As referidas normas, respectivamente, são: NBR ISO/IEC 27001:2006: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Requisitos NBR ISO/IEC 27002:2007: Técnicas de segurança - Código de prática para a gestão da segurança da informação Nota-se que o volume de práticas em segurança da informação é consideravelmente denso e extenso, abrangendo disciplinas tanto técnicas quanto humanas. Segundo Beal [3], as organizações têm uma visão estreita sobre o tema, nas quais dedicam sua atenção e esforços apenas na questão dos riscos de TI (Tecnologia da Informação). Essa abordagem, compreensível pela alta dependência da tecnologia da informação, é insuficiente para mitigar uma série de ameaças graves para os ativos de informação, como segredos de negócio e senhas de acesso memorizadas por funcionários. Isto também é reforçado por Peixoto [4], que de acordo com levantamento da Nona Pesquisa Nacional de Segurança da Informação, segundo 53% das empresas brasileiras, tem-se como o segundo maior fator de risco de ameaças à segurança da informação o aspecto do funcionário insatisfeito. Deste modo, medir e tratar riscos é um desafio e de complexidade elevada, uma vez que os aspectos podem não ser estritamente exato e lógico. Ainda reforça que quando tratado adequadamente o aspecto da segurança humana diminui-se ou reduz a probabilidade de desvio nos outros aspectos de segurança física e tecnológica. Também é de se destacar que a evolução da tecnologia e uso da informática transformou-se em um grande desafio para a gestão do conhecimento em Segurança da Informação, devendo-se dar grande importância na atualização, capacitação e conscientização constante aos profissionais da área e aos usuários finais, segundo Ramos [1]. 2

13 Tais indicações confirmam que tratar adequadamente a Segurança da Informação é uma tarefa de alta complexidade e que necessita ser amadurecido seu entendimento às organizações para evitar atuação restrita e ineficaz. A carência de bibliografias que possibilite diretamente o entendimento quanto a objetivos, abrangência e propósitos, dificultam que as organizações identifiquem quais práticas de segurança de informação, e com qual profundidade, devem ser implementadas de modo que estejam alinhadas ao negócio e com os objetivos da gestão como um todo. Além disso, segundo Beal [3], para a maioria das organizações, mais importante que estar em conformidade plena para certificação NBR ISO/IEC 27001:2006 é conhecer os padrões e melhores práticas disponíveis para selecionarem o que de fato poderá ser útil para sua operação e negócio. Deste modo, este trabalho de conclusão de curso propõe a apresentação dos objetivos dos requisitos de um sistema de gestão e o conjunto de práticas em Segurança de Informação, conforme normas supracitadas, além de propor uma metodologia clara e objetiva para indicar os itens críticos de um Sistema de Gestão de Segurança da Informação que estejam alinhados ao negócio e as estratégias das organizações. O presente trabalho está organizado da seguinte forma: na seção 1 encontra-se a introdução e contextualização histórica do tema; na seção 2 são apresentados os objetivos deste trabalho; na seção 3 é detalhado o desenvolvimento bibliográfico, passando pela conceituação ao tema, consolidação dos objetivos da ISO27001 (Gestão) [7], consolidação dos objetivos da ISO27002 (Práticas) [8], detalhado o relacionamento entre gestão e código de prática; na seção 4 é detalhada a identificação de aplicabilidade, relacionamento, e interface da caracterização e apresentação de resultados; na seção 5 são apresentados resultados obtidos, análise sobre os mesmos e projeções de futuras melhorias; na seção 6 é apresentada a conclusão deste trabalho de conclusão de curso; finalmente na seção 7 são detalhadas as referências bibliográficas que foram utilizadas. 3

14 2 OBJETIVOS 2.1 Objetivos Gerais Compor uma bibliografia que possibilite diretamente o entendimento dos objetivos de um SGSI (Sistema de Gestão da Segurança da Informação) e também de suas principais práticas conforme normas NBR ISO/IEC 27001:2006 [7] e NBR ISO/IEC 27002:2007 [8]. Também tem por objetivo desenvolver um programa para verificação de aplicabilidade das práticas de Segurança da Informação, de modo a garantir alinhamento ao negócio e aos objetivos da organização como um todo. 2.2 Objetivos Específicos A composição bibliográfica abrange: Conceituação no tema, identificando e estudando os principais conceitos em Sistema de Gestão em Segurança de Informação; Identificação e estudo dos objetivos das práticas utilizadas em SGSI; A identificação de aplicabilidade abrange: Identificação de focos organizacionais e estratégicos quanto a SGSI; Identificação dos aspectos operacionais quanto a SGSI; Relacionamento das características operacionais e organizacionais aos quesitos das normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2007; Desenvolvimento de questionário para coleta de informações; Consolidação dos resultados em um relatório. 4

15 3 DESENVOLVIMENTO E RESULTADOS COMPOSIÇÃO BIBLIOGRÁFICA 3.1 Conceituação ao Tema De modo a auxiliar o entendimento sobre o tema deste trabalho de conclusão de curso é necessário abordar os principais conceitos que serão utilizados e explorados nas etapas posteriores. A conceituação foi explorada nas normas ISO e também nas bibliografias utilizadas, sempre com foco em Segurança de Informação, sendo expandida ao longo do desenvolvimento. Por conveniência, a conceituação e propósitos dos requisitos de gestão e práticas serão tratados nos próprios itens de desenvolvimento. Minimamente nesta etapa são apresentados os seguintes conceitos: O que é um ativo: é tudo aquilo que possui valor para uma organização, podendo ser desde um computador até uma janela [3]; O que é segurança: é estar livre de perigos, ameaças e incertezas. Por esta definição fica claro que a segurança plena é intangível [1]; O que é proteção: conjunto de medidas e ações adotadas para fornecer segurança aos ativos [1]; O que é Segurança da Informação: conjunto de ações e práticas que visa à proteção de ativos que contêm informações ou que possa afetar aspectos de confidencialidade, disponibilidade e integridade. Esses três aspectos são considerados os pilares da segurança da informação [3]; O que é gestão: conjunto de ações e métodos que procuram garantir a utilização eficaz dos recursos disponibilizados por uma organização ou entidade, que visa atingir um conjunto de objetivos pré-determinados. O que é cadeia de valor: série de atividades relacionadas e desenvolvidas por uma organização que irá compor seu produto de venda. Abrange desde as relações com os fornecedores, ciclos de produção, venda até a fase da distribuição para o consumidor final [5]; 5

16 Inteligência artificial: é uma área de pesquisa da computação dedicada a buscar métodos ou dispositivos computacionais que possuam ou simulem a capacidade humana de resolver problemas, tomar decisões autônomas ou, de forma ampla, ser inteligente [6]; Registros: Conjunto de informações e/ou dados originados da realização de uma atividade; Conformidade: Estar de acordo com requisitos formalizados em seu respectivo escopo ou abrangência. 6

17 3.2 Metodologias e Práticas para Gestão em Segurança da Informação O objetivo de um sistema de gestão é fazer que a organização tenha base para atuação sistemática e controle gerencial no foco do seu negócio, de maneira organizada e estruturada. A principal norma ISO que define 25 conjuntos de requisitos para adoção de um SGSI é a NBR ISO/IEC que atualmente está na versão de Os objetivos dos requisitos estão detalhados nos seguintes subitens desta seção: Requisitos Gerais; Estabelecendo e Gerenciando o SGSI; Requisitos de Documentação; Comprometimento da Direção; Gestão de Risco; Auditorias Internas; Analise Crítica do SGSI; Melhoria do SGSI; COBIT. É importante ressaltar que os requisitos normativos da norma ISO27001:2006 foram desenvolvidos de forma a serem compatíveis em um processo de integração com a norma ISO9001:2000 e ISO14001:2004, que tratam respectivamente da Gestão da Qualidade e Gestão Ambiental. Deste modo sua adoção não implicará em ônus de adaptação e manutenção dos sistemas já implementados ou a serem implementados [7]; Requisitos Gerais Tem por objetivo indicar, em vias gerais, a obrigação que a organização tem de adotar todos os itens apresentados na norma além de implementar o conceito PDCA de melhoria continua, conforme indicado na Figura 1 a seguir. Conforme 7

18 apresentado na norma ISO27001 [7] o ciclo PDCA consiste em 4 fases bem definidas, como segue: Plan / Planejar: Identificar os objetivos a serem atendidos e definir um planejamento de ações consistente e factível para alcançar tais objetivos; Do / Realizar: Implementar as ações planejadas e realizar as operações conforme processos estabelecidos e existentes; Check / Verificar: Monitorar resultados obtidos de formar a verificar se os objetivos planejados estão sendo atendidos e, se necessário, adotar as revisões necessárias; Act / Agir: Realizar a manutenção e implementar melhorias necessárias das ações ou processos que foram estabelecidos. Figura 1 Ciclo PDCA [7] Estabelecendo e Gerenciando o SGSI Tem por objetivo indicar os requisitos mínimos para implementação, operação e manutenção do SGSI. Deste modo, segundo a norma ISO27001 [7], são exigidos critérios como: Escopo do SGSI: Tem por objetivo definir a abrangência do SGSI, para que seja adequado aos interesses de negócio, tecnologia atual, seus ativos e localidade da planta; 8

19 Política do SGSI: Tem por objetivo declarar a filosofia e compromisso da organização com o SGSI, que inclui o atendimento a requisitos legais, avaliação de risco e práticas de segurança de informação. Deve ser clara quanto aos seus propósitos, objetivos e também a cultura organizacional [2]; Avaliação de Risco: Tem por objetivo estabelecer uma metodologia de como os riscos ao SGSI serão identificados, analisados, avaliados, controlados, mitigados e aprovados Requisitos de Documentação Segundo a norma ISO27001 [7], tem por objetivo definir critérios para identificar e controlar todos os documentos e registros que fazem parte do SGSI, visando definir: período de retenção; hierarquia dos documentos; nível de distribuição ou confidencialidade e também como deverá ser aplicada a proteção. O item de documentos é fundamental a qualquer sistema de gestão, pois garante consistência e rastreabilidade das operações Comprometimento da Direção Segundo a norma ISO27001 [7], tem por objetivo exigir a identificação e o nível da Alta Direção e além de requerer formalização do seu comprometimento em acompanhar o desempenho do SGSI bem como garantir o fornecimento dos recursos necessários para sua implementação, manutenção e melhoria contínua Gestão de Risco Tem por objetivo a adoção de uma série de atividades relacionadas à forma com a organização vai lidar com os riscos identificados, uma vez que não é possível atingir a segurança plena dos ativos. Segundo Ramos [1], esta série de atividades irá cobrir todo o ciclo de vida de tratamento de risco que consiste na sua identificação, análise e avaliação, tratamento (de forma a atingirem objetivos pré-estabelecidos em termos de tolerância) e comunicação às partes envolvidas. Para tal é necessário à provisão de recursos por parte da direção e treinamento, conscientização e competência para os demais recursos humanos envolvidos. 9

20 3.2.6 Auditorias Internas Tem por objetivo implementar verificações periódicas que abrange todo o escopo do SGSI com o objetivo de identificar o nível de aderência e possíveis pontos de melhorias ou correções. Segundo a norma ISO27001 [7], para atender tal objetivo é recomendável que o período entre as auditorias internas ocorra pelo menos uma vez ao ano Analise Crítica do SGSI Tem por objetivo verificar periodicamente se os objetivos e metas do SGSI estão sendo atingidos, além de apresentar à alta direção os desvios e não conformidades mais significativas ocorridas no período. Assim, sendo o momento que a Alta Direção define ações de adequação e melhorias que serão verificadas no próximo período, conforme apontado na norma ISO27001 [1] Melhoria do SGSI Tem por objetivo sistematizar como a organização irá tratar as ações preventivas (com a identificação precoce de potenciais não conformidades) e também as ações corretivas (com a identificação de não conformidades ocorridas) para evitar sua reincidência. Conforme a norma ISO [1] também tem por objetivo definir critérios para a implementação de ciclos de melhorias consecutivas conforme histórico da operação COBIT Uma referência bibliográfica de destaque e que também foi utilizada para a conceituação ao tema de gestão foi a COBIT (Control Objectives for Inforémation and related Technology) que foi criada pela ISACA (Information Systems Audit and Control Association) e ITIGI (IT Governance Institute) em 1992, tendo seu principal objetivo em auxiliar a organização a equilibrar risco e retorno em investimentos em TI [3]. 10

21 3.3 Código de Práticas para Gestão em Segurança da Informação O objetivo de um código de práticas é indicar e detalhar um conjunto de atividades que pode ser utilizada para um determinado fim, sendo assim um guia de referência. A principal norma ISO que trata de técnicas de segurança de informação é a ISO/IEC 27002:2007 que define 186 possíveis conjunto de práticas que podem ser adotadas, conforme a complexidade da organização, ramo de atuação e riscos identificados. Os objetivos dos principais requisitos estão detalhados nos seguintes subitens desta seção: Analisando e avaliando os riscos de segurança da informação; Política de Segurança da Informação; Organizando a Segurança da Informação; Gestão de Ativo; Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gestão das Operações e Comunicações; Controle de Acesso; Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; Gestão de Incidentes de Segurança da Informação; Gestão da Continuidade do Negócio; Conformidade; ITIL Analisando e avaliando os riscos de segurança da informação Tem por objetivo definir um processo para identificar, quantificar e priorizar de forma contínua e sistemática as proteções existentes e ausentes para serem utilizadas como referência na gestão de risco [3, 8]. Tal prática deve ser objetiva e abranger todas as áreas e ativos da organização. De acordo com a norma ISO27002 [8], algumas práticas que devem ser implementadas são: estabelecer escopo da análise; estabelecer critérios de 11

22 aceitação e tratamento do risco; transferir riscos a terceiros; aplicar controles apropriados para reduzir os riscos; balancear o investimento em proteção e relação ao ganho de segurança frente aos objetivos da organização; identificar requisitos e restrições de legislações e regulamentações nacionais e internacionais Política de Segurança da Informação Tem por objetivo fornecer orientação e apoio da alta direção para implantação e manutenção da segurança da informação de acordo com os requisitos e objetivos do negócio além da conformidade com as leis e regulamentações relevantes aplicáveis à organização [3]. De acordo com a norma ISO27002 [8], algumas práticas que devem ser implementadas são: Definição da política de segurança da informação; Documentação e formalização da política definida; Análise crítica periódica para adequação e acompanhamento do amadurecimento do SGSI Organizando a Segurança da Informação Tem por objetivo fornecer diretrizes para o estabelecimento de uma estrutura de gestão, de modo a planejar e controlar adequadamente a implementação da Segurança da Informação [3]. Conforme característica da operação da organização pode-se dividir em duas frentes, sendo: Infra-estrutura da segurança da informação: Têm por objetivo implementar o gerenciamento efetivo da Segurança da Informação dentro da organização, para tal, segundo a norma ISO27002 [8], tais práticas devem ser adotadas: comprometimento da direção com a segurança da informação; coordenação da segurança da informação; atribuição de responsabilidades para a segurança da informação; processo de autorização para os recursos de processamento da informação; acordos de confidencialidade; contato com autoridades; contato com grupos especiais; análise crítica independente de segurança da informação; Partes externas: Tem por objetivo manter a segurança de forma contínua e controlada dos recursos de processamento da informação e da informação da 12

23 organização, que são acessados, processados, comunicados ou gerenciados por partes externas e de forma contínua. Segundo a norma ISO27002 [8], algumas das práticas mínimas a serem implementadas são: identificação dos riscos relacionados com partes externas; identificando a segurança da informação, quando tratando com os clientes; identificando segurança da informação nos acordos com terceiros Gestão de Ativo Tem por objetivo fornecer recomendações para realizar mapeamento dos ativos da organização, atribuindo responsabilidades e para seu controle e manutenção adequada [3]. É possível estruturar este tópico em duas partes, sendo: Responsabilidade pelos ativos: Tem por objetivo alcançar e manter a proteção adequada dos ativos da organização conforme interesse e importância para a organização. Algumas das práticas mínimas comentadas pela norma ISO27002 [8] são: realização de inventário dos ativos; definição de proprietário dos ativos; estabelecimento de uso aceitável dos ativos. Classificação da informação: Tem por objetivo assegurar que a informação receba um nível adequado de proteção, ou seja, que a informação seja analisada adequadamente para que sejam definidos e estabelecidos os devidos cuidados. As práticas que devem ser implementadas, segundo a norma ISO27002 [8], para atender a este objetivo consistem na: recomendações e critérios para classificação; estabelecimento de rótulos para identificação e tratamento da informação Segurança em Recursos Humanos Tem por objetivo fornecer recomendações para evitar que aspectos humanos venham comprometer a segurança da informação, como fraude, roubos, espionagem, uso indevido, entre outros [3]. 13

24 Segundo a norma ISO27002 [8], este tópico pode ser tratado em três fases distintas, sendo: Antes da contratação: tem por objetivo assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo e cientes com os seus papéis, além de reduzir o risco de roubo, fraude ou mau uso de recursos. Práticas como, definição organizacional de papéis e responsabilidades, critérios formais para a seleção e recrutamento, termos e condições de contratação, devem ser implementadas [8]; Durante a contratação: tem por objetivo assegurar que os funcionários, fornecedores e terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações. Práticas como, definição de responsabilidades da alta direção, conscientização, educação, treinamento em segurança da informação dos recursos contratados e definição de processo disciplinar a infratores [8]; Encerramento ou mudança da contratação: tem por objetivo assegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de trabalho de forma ordenada, sem por em risco a continuidade do negócio e aspectos de segurança de informação. Para tal, processos para encerramento de atividades, devolução dos ativos e retirada dos direitos de acesso devem ser estabelecidos e implementados pela organização [8]; Segurança Física e do Ambiente Segundo Beal [3] e norma ISO27002 [8] têm por objetivo prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização, além de impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização. Assim a norma ISO27002 [8], recomenda implementar minimamente os seguintes controles e processos: definição do perímetro de segurança física; controles de entrada física; segurança em escritórios, salas e demais instalações; proteção contra ameaças externas e do meio ambiente; trabalhando em áreas seguras; acesso do público, áreas de entrega e de carregamento; instalação e proteção do equipamento; garantia para utilidade contínua; segurança do cabeamento; manutenção dos 14

25 equipamentos; segurança de equipamentos fora das dependências da organização; reutilização e alienação segura de equipamentos e remoção de propriedade Gestão das Operações e Comunicações Tem por objetivo garantir a operação correta, integridade da operação e de todas as comunicações envolvidas, por toda a cadeia de valor da organização [3]. Para garantir esse objetivo, deve se implementado minimamente: procedimentos e responsabilidades operacionais; gerenciamento de serviços terceirizados; planejamento e aceitação dos sistemas; proteção contra códigos maliciosos e códigos móveis; cópias de segurança; gerenciamento da segurança em redes; manuseio de mídias; troca de informações; serviços de comércio eletrônico; monitoramento do uso do sistema e auditorias. [8] Controle de Acesso Tem por objetivo garantir o controle de acesso à informação, incluindo requisitos a sistemas informatizado, físico e políticas de controle a usuários, deste modo evitando abusos internos e ataques externos [3]. Para garantir esse objetivo, deve se implementados minimamente: política de controle de acesso; requisitos de negócio para controle de acesso; gerenciamento de acesso do usuário; controle de acesso à rede; controle de acesso ao sistema operacional; controle de acesso à aplicação e à informação; habilitação de computação móvel e trabalho remoto [8] Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Tem por objetivo garantir que segurança é parte integrante de sistemas de informação, de modo a prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações, isso durante todo o ciclo de vida [3]. 15

26 Para garantir esse objetivo, deve ser implementado minimamente: requisitos de segurança de sistemas de informação; processamento correto nas aplicações; controles criptográficos; segurança dos arquivos do sistema; segurança em processos de desenvolvimento e de suporte; gestão de vulnerabilidades técnicas [8] Gestão de Incidentes de Segurança da Informação Tem por objetivo assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil ou no menor tempo possível. Para garantir esse objetivo, deve ser implementado minimamente: processo para notificação de fragilidades e eventos de segurança da informação; gestão de incidentes de segurança da informação e melhorias [8] Gestão da Continuidade do Negócio Tem por objetivo não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres que possam impactar o negócio, e no caso de ocorrência assegurar a sua retomada em tempo hábil. [3]. Para garantir esse objetivo, deve ser implementado minimamente processos para: incluir segurança da informação no processo de gestão da continuidade de negócio; continuidade de negócios e análise/avaliação de riscos; desenvolvimento e implementação de planos de continuidade relativos à segurança da informação; estrutura do plano de continuidade do negócio; testes, manutenção e reavaliação dos planos de continuidade do negócio [8] Conformidade Tem por objetivo oferecer recomendações para evitar violação quanto aos aspectos legais (estatutos, regulamentações ou obrigações contratuais e de outros requisitos 16

27 de segurança da informação) além de garantir aderência dos sistemas com políticas e normas organizacionais [3]. Para garantir esse objetivo, deve ser implementado processos para: identificação da legislação vigente; direitos de propriedade intelectual; proteção de registros organizacionais; proteção de dados e privacidade de informações pessoais; prevenção de mau uso de recursos de processamento da informação; regulamentação de controles de criptografia; verificação da conformidade técnica e processual; controles de auditoria de sistemas de informação; proteção de ferramentas de auditoria de sistemas de informação [8] ITIL Outra importante e reconhecida referência bibliográfica, que também foca práticas em segurança de informação, e que foi utilizada na conceituação no tema foi a ITIL (Information Technology Infrastructure Library) desenvolvida pelo United Kingdom pelo CCTA (Central Computer and Telecommunications Agency) a partir de 1980 [3]. À medida que a tecnologia for evoluindo, as práticas e seus objetivos aqui apresentados também devem ser revisados para se adequar ao novo cenário tecnológico e mercadológico. 17

28 3.4 Relacionamento entre Gestão e Código de Práticas Como já apresentado na seção 3.2, o objetivo de um sistema de gestão é fazer que a organização tenha base para atuação sistêmica e controle gerencial no foco do seu negócio de maneira organizada e estruturada. Ou seja, são definidos requisitos para a inclusão de práticas focadas apenas em gestão, não especificando como a proteção dos ativos podem ser alcançada. Com isto fica fácil perceber a importância do código de práticas, apresentado na seção 3.3, que irá direcionar como tratar aspectos da segurança de informação, uma vez que possui indicações de atividades a nível operacional e técnica, além também de enriquecer os requisitos de gestão. A figura 2 auxilia o entendimento desse relacionamento, no qual a gestão é a representação dos blocos (borda) e as práticas é o conteúdo de cada bloco (cor de preenchimento). Figura 2 - Estruturação Típica e Ciclo de Operação de um Sistema de Gestão É importante notar que as práticas para segurança da informação devem ser definidas conforme o escopo que o SGSI estará abrangendo. 18

29 4 IDENTIFICAÇÃO DE APLICABILIDADE E RELACIONAMENTO Além do desenvolvimento da bibliografia apresentada na seção anterior este trabalho de conclusão de curso tem por objetivo o desenvolvimento de um relacionamento para indicar os itens críticos de um SGSI, que devem ser implementados conforme características e necessidades da organização. O desenvolvimento desse relacionamento foi dividido em duas partes: a primeira, e mais importante, consiste na elaboração da base de relacionamento entre todo o escopo do SGSI com as características da organização; a segunda parte consiste na apresentação de um questionário responsável pela interface entre o processo de caracterização e apresentação de resultados em um relatório. 4.1 Relacionamento entre SGSI e a organização A base de informação utilizada na verificação da aplicabilidade e indicação dos itens críticos de um SGSI advém do relacionamento do escopo do SGSI com possíveis características que as organizações passam ter. Não há bibliografias baseadas nas normas [7,8] que forneça essa abordagem, assim uma das grandes contribuições deste trabalho de conclusão de curso foi o desenvolvimento e compartilhamento deste conteúdo. A verificação de aplicabilidade foi possível com o mapeamento de cada item do escopo relacionado com um ou mais fatores que determinem características operacionais ou estratégicas das organizações. Este trabalho foi estruturado da seguinte forma: Identificação e listagem do escopo do SGSI tanto para a norma de gestão [7] e de práticas [8] em segurança da informação, somando ao total 211 itens; Identificação de cinco níveis de interesse estratégico, sendo a aplicabilidade e relacionamento de cada um verificada para todo o escopo do SGSI; 19

30 Identificação dos três principais aspectos de segurança (Física, Tecnologia e Humana [4]) existentes, sendo a aplicabilidade e relacionamento de cada um verificado para todo o escopo do SGSI; Desenvolvida 25 questões visando identificar características operacionais, comerciais e estratégicas, sendo a aplicabilidade e relacionamento de cada questão verificada para todo o escopo do SGSI. Deste modo a caracterização foi estruturada em 27 questões, na qual a organização deve responder conforme características de sua operação, estratégia e áreas de negócio, sendo cada uma relacionada a um ou uma série de itens das normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2007. Tal relacionamento, bem como as questões podem ser verificados no Anexo A e Anexo B respectivamente. De modo geral as questões são simples e querem respostas diretas, como: sim ; não ; apenas se houver necessidade ; apenas esporadicamente ; entre outras. Já as duas primeiras questões que são estruturadas da seguinte forma: Questão 1: Quanto a Sistema de Gestão de Segurança de Informação, qual é o nível de interesse da organização? Tendo como possíveis respostas: o Certificação ISO27001: Abrange todo o conteúdo das normas [7,8]; o Aderência aos processos mínimos de gestão: Abrange apenas as principais práticas de gestão para o SGSI; o Monitoramento e acompanhamento dos ativos: Abrange apenas as práticas de monitoramento e acompanhamento dos ativos da organização; o Proteção aos ativos: Abrange apenas práticas para a proteção dos ativos de forma isolada; o Mapeamento da situação atual: Abrangem apenas práticas para verificação da situação corrente a organização quanto vulnerabilidades e riscos de segurança. Questão 2: Qual(is) aspectos de segurança é relevante a organização? Tendo como possíveis respostas: o Segurança Física: Abrange apenas as práticas focadas em segurança física; 20

31 o Segurança Tecnológica: Abrange apenas as práticas focadas em segurança tecnológica; o Segurança Humana: Abrange apenas as práticas focadas em segurança humana; Contudo é fundamental que o responsável da organização, que for responder o questionário, tenha conhecimento das atividades operacionais, estratégicas e de negócio para tornar o resultado o mais próximo possível da implementação ideal. A eleição de um item do escopo do SGSI, que será considerado significativo à organização, ocorre quando todas as questões aplicáveis a ele contiverem respostas afirmativas. Assim são atribuídos valores variáveis e fixos a cada quesito conforme quantidade de questões relacionadas, para que seja possível a compensação, quando aplicável, e eleição sistêmica. As questões que contém opções de resposta intermediária, como ocorre apenas esporadicamente, o processo de eleição sempre considera estas como significativa devido à característica do tema deste trabalho de conclusão de curso. O Anexo A indica todos esses casos. Na situação atual não foi necessário a implementação de algoritmos de inteligência artificial para auxiliar ou refinar este relacionamento, pois, devido ao caráter inovador, não há base de dados para relacionar as características mapeadas e conhecidas. No futuro a utilização deste recurso poderá trazer ganhos significativos ao objetivo iniciado neste trabalho de conclusão de curso. 4.2 Interface da Caracterização e Apresentação de Resultados Para facilitar o processo de caracterização, o questionário é apresentado em um arquivo Microsof Excel tendo o suporte de uma macro, desenvolvida em Microsoft Visual Basic, para garantir que todas as questões foram respondidas adequadamente. 21

32 O processo de validação do questionário ocorre quando o botão "Validar Questionário", existente ao fim da última questão, for pressionado, conforme apresentado na Figura 3. Fazendo isso, a macro irá acessar o mapeamento existente e pontuar as questões conforme respostas fornecidas, dados estes que serão utilizados para eleger os quesitos que irá compor o relatório de aplicabilidade. Figura 3 Apresentação do Questionário Após a validação do questionário é aberta a seção de geração do relatório de aplicabilidade. Nesta seção é solicitado o nome do responsável pela caracterização realizada e esperado que o botão Gerar Relatório seja pressionado. Quando pressionado, a macro existente irá consultar na base de informação quais os quesitos que foram eleitos para incluir automaticamente estes no relatório de aplicabilidade, conforme apresentado na Figura 4. Figura 4 Apresentação Inicial do Relatório de Aplicabilidade 22

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

André Campos Sistema de Segurança da Informação Controlando os Riscos 2 a Edição Visual Books Sumário Parte I - Sistema de Gestão 13 1 Conceitos Essenciais 15 1 1 Informação 15 1 2 A Informação e sua Importância

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17

Sumário. Parte I - Sistema de Gestão... 13. 1 Conceitos Essenciais... 15. 2 O que é a Segurança da Informação?... 17 Sumário Parte I - Sistema de Gestão... 13 1 Conceitos Essenciais... 15 1.1 Informação... 15 1.2 A Informação e sua Importância... 16 2 O que é a Segurança da Informação?... 17 2.1 Confidencialidade...

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Segurança da Informação: Conceitos e Modelo de Gestão

Segurança da Informação: Conceitos e Modelo de Gestão : Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1 Sistemas de Gestão - Evolução Sistema de Gestão da Qualidade

Leia mais

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library

Ciência da Computação. Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Ciência da Computação Gestão da Tecnologia da Informação ITIL Information Technology Infrastructure Library Agenda Histórico Conceitos básicos Objetivos Visão Geral do Modelo Publicações: Estratégia de

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação

Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva edilms@yahoo.com/ http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina Ementa: Conceitos e definições.

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI

Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Metodologias COBIT e ITIL e as perspectivas do Modelo de Alinhamento Estratégico de TI Gilberto Zorello (USP) gilberto.zorello@poli.usp.br Resumo Este artigo apresenta o Modelo de Alinhamento Estratégico

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006

ISO/IEC 20000:2005. Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 ISO/IEC 20000:2005 Introdução da Norma ISO/IEC 20000 no Mercado Brasileiro Versão 1.1, 15.09.2006 André Jacobucci andre.jacobucci@ilumna.com +55 11 5087 8829 www.ilumna.com Objetivos desta Apresentação

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Governança e Qualidade em Serviços de TI COBIT Governança de TI

Governança e Qualidade em Serviços de TI COBIT Governança de TI Governança e Qualidade em Serviços de TI COBIT Governança de TI COBIT Processos de TI Aplicativos Informações Infraestrutura Pessoas O que é o CObIT? CObIT = Control Objectives for Information and Related

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1

ISO 14000. ISO 14000 Edição Junho / 2006 - Rev.0 C-1 MÓDULO C REQUISITOS DA NORMA AMBIENTAL ISO 14001 ISO 14000 Edição Junho / 2006 - Rev.0 C-1 REQUISITOS DA NORMA AMBIENTAL ISO 14001/04 Sumário A.) A Organização ISO...3 B.) Considerações sobre a elaboração

Leia mais

Lista de Exercícios - COBIT 5

Lista de Exercícios - COBIT 5 Lista de Exercícios - COBIT 5 1. O COBIT 5 possui: a) 3 volumes, 7 habilitadores, 5 princípios b) 3 volumes, 5 habilitadores, 7 princípios c) 5 volumes, 7 habilitadores, 5 princípios d) 5 volumes, 5 habilitadores,

Leia mais

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000).

Conteúdo: Regulamentações de conformidade; CobiT; ITIL; Normas de Segurança da Informação (Família ISO 27000). Segurança em Redes de Computadores e Auditoria de Sistemas Emanuel Rebouças, MBA AGENDA AULA 4 & 5 Objetivo: Avaliar as melhores práticas do mercado na área de Segurança da Informação e como aplicá-las

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3

Gerenciamento de Serviços de TIC. ISO/IEC 20.000 / ITIL V2 e V3 Gerenciamento de Serviços de TIC ISO/IEC 20.000 / ITIL V2 e V3 Agenda O que é serviço de TIC? O que é Qualidade de Serviços de TIC? O que é Gerenciamento de Serviços de TIC? ISO IEC/20.000-2005 ITIL versão

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Versão 1.0 neutronica.com.br 2016 Sumário PARTE I... 5 I. Introdução... 5 II. Melhores Práticas de Governança... 6 III. Melhores Práticas de Entrega de Serviços...

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação

ISO/IEC 20000. Curso e-learning. Sistema de Gerenciamento de Serviços da Tecnologia da Informação Curso e-learning ISO/IEC 20000 Sistema de Gerenciamento de Serviços da Tecnologia da Informação Este é um curso independente desenvolvido pelo TI.exames em parceria com a CONÊXITO CONSULTORIA que tem grande

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA

ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA ISO 14001:2015 SAIBA O QUE MUDA NA NOVA VERSÃO DA NORMA SUMÁRIO Apresentação ISO 14001 Sistema de Gestão Ambiental Nova ISO 14001 Principais alterações e mudanças na prática Estrutura de alto nível Contexto

Leia mais

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4 1 CobIT Modelo abrangente aplicável para a auditoria e controle de processo de TI, desde o planejamento da tecnologia até a monitoração e auditoria de

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

a qualidade em suas mãos www.iso4all.com.br

a qualidade em suas mãos www.iso4all.com.br a qualidade em suas mãos www.iso4all.com.br ISO/DIS 9001:2015 Tradução livre* Sistemas de Gestão da Qualidade - Requisitos Sumário Prefácio... 5 Introdução... 6 0.1 Generalidades... 6 0.2 A Norma ISO para

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

ITIL. Information Technology Infrastructure Library

ITIL. Information Technology Infrastructure Library Information Technology Infrastructure Library 34929 - Daniel Aquere de Oliveira 34771 - Daniel Tornieri 34490 - Edson Gonçalves Rodrigues 34831 - Fernando Túlio 34908 - Luiz Gustavo de Mendonça Janjacomo

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009 Normas de Segurança da Informação Processo de Certificação ISO 27001:2006 Ramon Gomes Brandão Janeiro de 2009 Agenda Elementos centrais da Seg. da Informação O Par ABNT:ISO 27001 e ABNT:ISO 17799 Visão

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

Security Officer Foundation

Security Officer Foundation Security Officer Foundation As comunicações e os meios de armazenamento das informações evoluíram mais nestes últimos anos do que em outro tempo na história conhecida. A internet comercial foi consolidada

Leia mais

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Auditoria e Segurança de Sistemas Aula 02 Auditoria Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Evolução / Necessidade Empresas com Capital Fechado Aumento da concorrência Investimento em

Leia mais

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT: Visão Geral e domínio Monitorar e Avaliar. Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT: Visão Geral e domínio Monitorar e Avaliar Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso CobiT O que é? Um framework contendo boas práticas para

Leia mais

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602.

Diretrizes e Políticas de Segurança da Informação Organização CAPEMISA SEGURADORA DE VIDA E PREVIDÊNCIA S/A (CNPJ: 08.602. CONSELHO DE ADMINISTRAÇÃO RESOLUÇÃO N.º 4/2008 O Conselho de Administração, com base no disposto no Art. 17 do Estatuto da CAPEMISA Seguradora de Vida e Previdência, em reunião do dia 19 de fevereiro de

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Diretoria Executiva Aprovação: DD-494-0001/2012 Revisão 05 Vigência a partir de 25/09/2012 1. Introdução Os processos e atividades de negócio são suportados, cada vez

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)

ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

IT Service Management Foundation Bridge based on ISO/IEC 20000

IT Service Management Foundation Bridge based on ISO/IEC 20000 Exame simulado IT Service Management Foundation Bridge based on ISO/IEC 20000 Edição outubro 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger

ISO/IEC 17799-27001. Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 Clauzio Cleber Hugo Azevedo Roger ISO/IEC 17799-27001 ISO: Organização de Padronização Internacional: ISO 9001 e 14001; IEC: Comissão Eletrotécnica Internacional: IEC 60950-1 (ITE:

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 1 - Há milhões e milhões de anos

Leia mais

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma se aplica no âmbito da Administração Pública Federal, direta e indireta. PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações METODOLOGIA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES ORIGEM Departamento de

Leia mais

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007

Qualidade. Introdução à Administração de Empresas. Prof. Luiz Antonio 01/03/2007 Introdução à Administração de Empresas Prof. Luiz Antonio 01/03/2007 Histórico Era Artesanal (séc. XIX) Etapas da produção controladas pelo artesão. Compra dos materiais e insumos Acabamento Entrega do

Leia mais

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007

S e g u r a n ç a. d a. I n f o r m a ç ã o 2007 S e g u r a n ç a d a I n f o r m a ç ã o 2007 Uma corrente não é mais forte do que seu elo mais fraco. Tem medo de ataques? Tranque sua rede numa sala!. Só gerenciamos aquilo que medimos, só medimos aquilo

Leia mais

Plano de Governança de Tecnologia de Informação

Plano de Governança de Tecnologia de Informação Plano de Governança de Tecnologia de Informação Julho/2012 Junho/2014 1 Universidade Federal Fluminense Superintendência de Tecnologia da Informação Fernando Cesar Cunha Gonçalves Superintendência de Tecnologia

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

Tradução livre Uso Exclusivo em Treinamento

Tradução livre Uso Exclusivo em Treinamento Web Site: www.simplessolucoes.com.br N786-1 ISO CD 9001 Tradução livre Uso Exclusivo em Treinamento N786-1 ISO CD 9001 para treinamento - Rev0 SUMÁRIO Página Introdução 4 0.1 Generalidades 4 0.2 Abordagem

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) Universidade Federal de Santa Catarina Departamento de Informática e Estatística INE Curso: Sistemas de Informação Disciplina: Projetos I Professor: Renato Cislaghi Aluno: Fausto Vetter Orientadora: Maria

Leia mais

Serviço de Avaliaça o e Planejamento de Governança de TI

Serviço de Avaliaça o e Planejamento de Governança de TI efagundes.com Serviço de Avaliaça o e Planejamento de Governança de TI O serviço especializado avalia, planeja e implanta um modelo de governança nas organizações de TI alinhado com as estratégias e operações

Leia mais